Individuare e risolvere le lacune nella copertura avanzata dell'autenticazione per gli amministratori
Richiedere l'autenticazione a più fattori (MFA) per gli amministratori nel tenant è uno dei primi passaggi che è possibile eseguire per aumentare la sicurezza del tenant. In questo articolo verrà illustrato come assicurarsi che tutti gli amministratori siano coperti dall'autenticazione a più fattori.
Rilevare l'utilizzo corrente per i ruoli di amministratore predefiniti di Microsoft Entra
Microsoft Entra ID Secure Score fornisce un punteggio per Richiedi MFA per i ruoli amministrativi nel tenant. Questa azione di miglioramento tiene traccia dell'utilizzo dell'autenticazione a più fattori di amministratore globale, amministratore della sicurezza, amministratore di Exchange e amministratore di SharePoint.
Esistono diversi modi per verificare se gli amministratori sono coperti da un criterio MFA.
Per risolvere i problemi di accesso per un amministratore specifico, è possibile usare i log di accesso. I log di accesso consentono di filtrare i requisiti di autenticazione per utenti specifici. Qualsiasi accesso in cui il requisito di autenticazione è l'autenticazione a singolo fattore significa che non sono stati richiesti criteri di autenticazione a più fattori per l'accesso.
Quando si visualizzano i dettagli di un accesso specifico, selezionare la scheda Dettagli autenticazione per informazioni dettagliate sui requisiti di autenticazione a più fattori. Per altre informazioni, vedere Dettagli dell'attività del log di accesso.
Per scegliere i criteri da abilitare in base alle licenze utente, è disponibile una nuova procedura guidata per l'abilitazione dell'autenticazione a più fattori per confrontare i criteri di autenticazione a più fattori e vedere quali passaggi sono giusti per l'organizzazione. La procedura guidata mostra gli amministratori protetti da MFA negli ultimi 30 giorni.
È possibile eseguire questo script per generare a livello di codice un report di tutti gli utenti con assegnazioni di ruolo della directory che hanno eseguito l'accesso con o senza MFA negli ultimi 30 giorni. Questo script enumererà tutte le assegnazioni di ruolo predefinite e personalizzate attive, tutte le assegnazioni di ruolo predefinite e personalizzate idonee e i gruppi con ruoli assegnati.
Applicare l'autenticazione a più fattori agli amministratori
Se gli amministratori non sono protetti dall'autenticazione a più fattori, è possibile proteggerli in uno dei modi seguenti:
Se gli amministratori hanno una licenza per Microsoft Entra ID P1 o P2, è possibile creare un criterio di accesso condizionale per applicare l'autenticazione a più fattori per gli amministratori. È anche possibile aggiornare questo criterio per richiedere l'autenticazione a più fattori dagli utenti che si trovano in ruoli personalizzati.
Eseguire la procedura guidata di abilitazione dell'autenticazione a più fattori per scegliere i criteri di autenticazione a più fattori.
Se si assegnano ruoli di amministratore personalizzati o predefiniti in Privileged Identity Management, richiedere l'autenticazione a più fattori all'attivazione del ruolo.
Usare metodi di autenticazione senza password e resistenti al phishing per gli amministratori
Dopo che gli amministratori vengono applicati per l'autenticazione a più fattori e lo usano per un po', è il momento di aumentare la barra sull'autenticazione avanzata e usare il metodo di autenticazione senza password e resistente al phishing:
- accesso Telefono (con Microsoft Authenticator)
- FIDO2
- Windows Hello for Business (Configurare Windows Hello for Business)
Per altre informazioni su questi metodi di autenticazione e sulle relative considerazioni sulla sicurezza, vedere i metodi di autenticazione di Microsoft Entra.
Passaggi successivi
Abilitare l'accesso senza password con Microsoft Authenticator