Proteggere l'accesso di utenti e dispositivi

Proteggere l'accesso ai dati e ai servizi di Microsoft 365 è fondamentale per la difesa da attacchi informatici e la protezione dalla perdita di dati. Le stesse protezioni possono essere applicate ad altre applicazioni SaaS nell'ambiente e anche ad applicazioni locali pubblicate con Microsoft Entra proxy di applicazione.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Passaggio 1: Esaminare le raccomandazioni

Funzionalità consigliate per la protezione di identità e dispositivi che accedono a Office 365, altri servizi SaaS e applicazioni locali pubblicate con Microsoft Entra proxy di applicazione.

PDF | Visio | Altre lingue

Passaggio 2: Proteggere gli account amministratore e l'accesso

Gli account amministrativi usati per amministrare l'ambiente Microsoft 365 includono privilegi elevati. Questi sono obiettivi preziosi per hacker e cyberattacker.

Iniziare usando gli account amministratore solo per l'amministrazione. Gli amministratori devono avere un account utente separato per un uso normale e non amministrativo e usare il proprio account amministrativo solo quando necessario per completare un'attività associata alla funzione del processo.

Proteggere gli account amministratore con l'autenticazione a più fattori e l'accesso condizionale. Per altre informazioni, vedere Protezione degli account amministratore.

Configurare quindi Microsoft Purview Privileged Access Management. La gestione degli accessi privilegiati consente il controllo granulare degli accessi sulle attività di amministrazione privilegiate in Office 365. Può aiutare a proteggere l'organizzazione da violazioni che possono usare account amministratore con privilegi esistenti con accesso permanente ai dati sensibili o accesso a impostazioni di configurazione critiche.

Un altro consiglio principale consiste nell'usare workstation configurate in modo particolare per il lavoro amministrativo. Si tratta di dispositivi dedicati che vengono usati solo per le attività amministrative. Vedere Protezione dell'accesso con privilegi.

Infine, è possibile attenuare l'impatto della mancanza accidentale di accesso amministrativo creando due o più account di accesso di emergenza nel tenant. Vedere Gestire gli account di accesso di emergenza nell'ID Microsoft Entra.

L'autenticazione a più fattori (MFA) e i criteri di accesso condizionale sono strumenti potenti per attenuare gli account compromessi e l'accesso non autorizzato. È consigliabile implementare un set di criteri testati insieme. Per altre informazioni, inclusi i passaggi di distribuzione, vedere Configurazioni di identità e accesso ai dispositivi.

Questi criteri implementano le funzionalità seguenti:

  • Autenticazione a più fattori
  • Accesso condizionale
  • Protezione delle app di Intune (protezione delle app e dei dati per i dispositivi)
  • Conformità dei dispositivi Intune
  • Microsoft Entra ID Protection

L'implementazione della conformità dei dispositivi di Intune richiede la registrazione del dispositivo. La gestione dei dispositivi consente di assicurarsi che siano integri e conformi prima di consentire loro l'accesso alle risorse nell'ambiente. Vedere Registrare i dispositivi per la gestione in Intune

Passaggio 4: Configurare i criteri di accesso ai dispositivi SharePoint

Microsoft consiglia di proteggere il contenuto nei siti di SharePoint con contenuti sensibili e altamente regolamentati con controlli di accesso ai dispositivi. Per altre informazioni, vedere Indicazioni sui criteri per la protezione di file e siti di SharePoint.