Lavoro prerequisito per l'implementazione dei criteri di identità Zero Trust e di accesso ai dispositivi

Questo articolo descrive i prerequisiti che gli amministratori devono soddisfare per usare i criteri di identità e accesso ai dispositivi Zero Trust consigliati e per usare l'accesso condizionale. Vengono inoltre illustrate le impostazioni predefinite consigliate per la configurazione delle piattaforme client per l'esperienza SSO (Single Sign-On) ottimale.

Prerequisiti

Prima di usare i criteri di identità Zero Trust e di accesso ai dispositivi consigliati, l'organizzazione deve soddisfare i prerequisiti. I requisiti sono diversi per i vari modelli di identità e autenticazione elencati:

  • Solo cloud
  • Autenticazione ibrida con sincronizzazione dell'hash delle password
  • Ibrido con autenticazione pass-through (PTA)
  • Federati

La tabella seguente illustra in dettaglio le funzionalità dei prerequisiti e la relativa configurazione applicabili a tutti i modelli di identità, tranne dove indicato.

Impostazione Eccezioni Licenze
Configurare PHS. Questa funzionalità deve essere abilitata per rilevare le credenziali perse e agire su di esse per l'accesso condizionale basato sul rischio. Si noti che questa funzionalità è necessaria indipendentemente dal fatto che l'organizzazione usi l'autenticazione federata. Solo cloud Microsoft 365 E3 o E5
Abilitare l'accesso Single Sign-On facile per consentire agli utenti di accedere automaticamente quando si trovano nei dispositivi dell'organizzazione connessi alla rete dell'organizzazione. Solo cloud e federati Microsoft 365 E3 o E5
Configurare le posizioni denominate. Microsoft Entra ID Protection raccoglie e analizza tutti i dati di sessione disponibili per generare un punteggio di rischio. È consigliabile specificare gli intervalli IP pubblici dell'organizzazione per la rete nella configurazione dei percorsi denominati dell'ID Microsoft Entra. Il traffico proveniente da questi intervalli riceve un punteggio di rischio ridotto e il traffico proveniente dall'esterno dell'ambiente dell'organizzazione riceve un punteggio di rischio più elevato. Microsoft 365 E3 o E5
Registrare tutti gli utenti per la reimpostazione della password self-service (SSPR) e l'autenticazione a più fattori (MFA). È consigliabile registrare gli utenti per l'autenticazione a più fattori Di Microsoft Entra in anticipo. Microsoft Entra ID Protection usa l'autenticazione a più fattori Microsoft Entra per eseguire una verifica aggiuntiva di sicurezza. Inoltre, per un'esperienza di accesso ottimale, è consigliabile che gli utenti installino l'app Microsoft Authenticator e l'app Microsoft Portale aziendale nei propri dispositivi. Questi possono essere installati dall'App Store per ogni piattaforma. Microsoft 365 E3 o E5
Pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra. L'accesso condizionale garantisce che i dispositivi che si connettono alle app siano aggiunti a un dominio o conformi. Per supportare questo problema nei computer Windows, il dispositivo deve essere registrato con Microsoft Entra ID. In questo articolo viene illustrato come configurare la registrazione automatica del dispositivo. Solo cloud Microsoft 365 E3 o E5
Preparare il team di supporto. Attuare un piano per gli utenti che non possono completare l'autenticazione a più fattori. Potrebbe essere necessario aggiungerli a un gruppo di esclusione di criteri o registrare nuove informazioni di autenticazione a più fattori per tali utenti. Prima di apportare una di queste modifiche sensibili alla sicurezza, è necessario assicurarsi che l'utente effettivo stia effettuando la richiesta. Un passaggio importante consiste nel richiedere che i responsabili degli utenti contribuiscano all'approvazione. Microsoft 365 E3 o E5
Configurare il writeback delle password in AD locale. Il writeback delle password consente a Microsoft Entra ID di richiedere che gli utenti modifichino le password locali quando viene rilevata una compromissione di un account ad alto rischio. È possibile abilitare questa funzionalità usando Microsoft Entra Connect in uno dei due modi seguenti: abilitare il writeback delle password nella schermata facoltativa della configurazione di Microsoft Entra Connect o abilitarla tramite Windows PowerShell. Solo cloud Microsoft 365 E3 o E5
Configurare la protezione password di Microsoft Entra. Il servizio di protezione delle password di Microsoft Entra rileva e blocca le password vulnerabili note, con le relative varianti, e può bloccare anche ulteriori termini vulnerabili specifici di un'organizzazione. Gli elenchi predefiniti di password escluse globali vengono applicati automaticamente a tutti gli utenti in un tenant di Microsoft Entra. È possibile definire voci aggiuntive in un elenco personalizzato di password escluse. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse. Microsoft 365 E3 o E5
Abilitare Microsoft Entra ID Protection. Microsoft Entra ID Protection consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e di configurare un criterio di correzione automatizzato a rischi di accesso basso, medio e alto e rischio utente. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Abilitare l'autenticazione moderna per Exchange Online e per Skype for Business Online. L'autenticazione moderna è un prerequisito per l'uso di MFA. L'autenticazione moderna è abilitata per impostazione predefinita per i client di Office 2016 e 2019, SharePoint e OneDrive for Business. Microsoft 365 E3 o E5
Abilitare la valutazione dell'accesso continuo per Microsoft Entra ID. La valutazione dell'accesso continuo termina in modo proattivo le sessioni utente attive e applica le modifiche ai criteri del tenant quasi in tempo reale. Microsoft 365 E3 o E5

Questa sezione descrive le configurazioni client della piattaforma predefinite che è consigliabile offrire agli utenti l'esperienza SSO migliore, nonché i prerequisiti tecnici per l'accesso condizionale.

Dispositivi Windows

È consigliabile usare Windows 11 o Windows 10 (versione 2004 o successiva), perché Azure è progettato per offrire l'esperienza SSO più uniforme possibile sia per l'ID locale che per Microsoft Entra ID. I dispositivi rilasciati dall'azienda o dall'istituto di istruzione devono essere configurati per l'aggiunta diretta a Microsoft Entra ID o se l'organizzazione usa l'aggiunta al dominio AD locale, questi dispositivi devono essere configurati per la registrazione automatica e invisibile all'utente con Microsoft Entra ID.

Per i dispositivi Windows BYOD, gli utenti possono usare Aggiungi account aziendale o dell'istituto di istruzione. Si noti che gli utenti del browser Google Chrome nei dispositivi Windows 11 o Windows 10 devono installare un'estensione per ottenere la stessa esperienza di accesso uniforme degli utenti di Microsoft Edge. Inoltre, se l'organizzazione dispone di dispositivi Windows 8 o 8.1 aggiunti a un dominio, è possibile installare Microsoft Workplace Join per computer non Windows 10. Scaricare il pacchetto per registrare i dispositivi con Microsoft Entra ID.

Dispositivi iOS

È consigliabile installare l'app Microsoft Authenticator nei dispositivi utente prima di distribuire i criteri di accesso condizionale o MFA. Come minimo, l'app deve essere installata quando agli utenti viene chiesto di registrare il dispositivo con l'ID Microsoft Entra aggiungendo un account aziendale o dell'istituto di istruzione o quando installa l'app portale aziendale di Intune per registrare il dispositivo nella gestione. Questo dipende dai criteri di accesso condizionale configurati.

Dispositivi Android

È consigliabile che gli utenti installino l'app Portale aziendale Intune e l'app Microsoft Authenticator prima della distribuzione dei criteri di accesso condizionale o quando necessario durante determinati tentativi di autenticazione. Dopo l'installazione dell'app, agli utenti potrebbe essere richiesto di registrarsi con Microsoft Entra ID o registrare il dispositivo con Intune. Questo dipende dai criteri di accesso condizionale configurati.

È anche consigliabile standardizzare i dispositivi di proprietà dell'organizzazione in OEM e versioni che supportano Android for Work o Samsung Knox per consentire la gestione e la protezione degli account di posta elettronica tramite i criteri MDM di Intune.

I client di posta elettronica seguenti supportano l'autenticazione moderna e l'accesso condizionale.

Piattaforma Client Versione/Note
Windows Outlook 2019, 2016

Aggiornamenti necessari

iOS Outlook per iOS Latest
Android Outlook per Android Latest
macOS Outlook 2019 e 2016
Linux Non supportato

Quando è stato applicato un criterio di documenti sicuri, è consigliabile usare i client seguenti.

Piattaforma Word/Excel/PowerPoint OneNote OneDrive App SharePoint App sincronizzazione OneDrive client
Windows 11 o Windows 10 Supportata Supportata N/D N/D Supportato
Windows 8.1 Supportata Supportata N/D N/D Supportata
Android Supportata Supportato Supportato Supportata N/D
iOS Supportata Supportato Supportato Supportata N/D
macOS Supportata Supportata N/D N/D Non supportato
Linux Non supportato Non supportato Non supportato Non supportato Non supportato

Supporto client di Microsoft 365

Per altre informazioni sul supporto client in Microsoft 365, vedere gli articoli seguenti:

Protezione degli account amministratore

Per Microsoft 365 E3 o E5 o con licenze P1 o P2 separate, è possibile richiedere l'autenticazione a più fattori per gli account amministratore con un criterio di accesso condizionale creato manualmente. Per informazioni dettagliate, vedere Accesso condizionale: Richiedere l'autenticazione a più fattori per gli amministratori .

Per le edizioni di Microsoft 365 o Office 365 che non supportano l'accesso condizionale, è possibile abilitare le impostazioni predefinite per la sicurezza per richiedere l'autenticazione a più fattori per tutti gli account.

Ecco alcune raccomandazioni aggiuntive:

  • Usare Microsoft Entra Privileged Identity Management per ridurre il numero di account amministrativi persistenti.
  • Usare la gestione degli accessi con privilegi per proteggere l'organizzazione da violazioni che possono usare account amministratore con privilegi esistenti con accesso permanente ai dati sensibili o l'accesso alle impostazioni di configurazione critiche.
  • Creare e usare account separati assegnati ai ruoli di amministratore di Microsoft 365 solo per l'amministrazione. Gli amministratori devono avere un proprio account utente per uso non amministrativo regolare e usare un account amministrativo solo quando necessario per completare un'attività associata al proprio ruolo o alla funzione del processo.
  • Seguire le procedure consigliate per proteggere gli account con privilegi in Microsoft Entra ID.

Passaggio successivo

Passaggio 2: Configurare l'identità Zero Trust comune e i criteri di accesso condizionale.

Configurare i criteri comuni di identità Zero Trust e accesso ai dispositivi