Creare un piano di sicurezza per l'accesso esterno alle risorse
Prima di creare un piano di sicurezza per l'accesso esterno, esaminare i due articoli seguenti, che aggiungono contesto e informazioni per il piano di sicurezza.
- Determinare il comportamento di sicurezza per l'accesso esterno con Microsoft Entra ID
- Individuare lo stato corrente della collaborazione esterna nell'organizzazione
Operazioni preliminari
Questo articolo è il numero 3 di una serie di 10 articoli. È consigliabile esaminare gli articoli in ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.
Documentazione del piano di sicurezza
Per il piano di sicurezza, documentare le informazioni seguenti:
- Applicazioni e risorse raggruppate per l'accesso
- Condizioni di accesso per utenti esterni
- Stato del dispositivo, posizione di accesso, requisiti dell'applicazione client, rischio utente e così via.
- Criteri per determinare la tempistica per le verifiche e la rimozione dell'accesso
- Popolamenti utente raggruppati per esperienze simili
Per implementare il piano di sicurezza, è possibile usare i criteri di gestione delle identità e degli accessi Microsoft o un altro provider di identità (IdP).
Altre informazioni: Panoramica della gestione delle identità e degli accessi
Usare i gruppi per l'accesso
Vedere i collegamenti seguenti agli articoli sulle strategie di raggruppamento delle risorse:
- File di gruppi di Microsoft Teams, thread di conversazione e altre risorse
- Formulare una strategia di accesso esterno per Teams
- Vedere Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive for Business con Microsoft Entra ID
- Usare i pacchetti di accesso alla gestione entitlement per creare e delegare la gestione dei pacchetti di applicazioni, gruppi, team, siti di SharePoint e così via.
- Applicare i criteri di accesso condizionale a un massimo di 250 applicazioni, con gli stessi requisiti di accesso
- Definire l'accesso per i gruppi di applicazioni utente esterni
Documentare le applicazioni raggruppate. Alcune considerazioni includono:
- Profilo di rischio: valutare il rischio se un attore malintenzionato ottiene l'accesso a un'applicazione
- Identificare l'applicazione come rischio alto, medio o basso. È consigliabile non raggruppare alto rischio con basso rischio.
- Documentare le applicazioni che non possono essere condivise con utenti esterni
- Framework di conformità: determinare i framework di conformità per le app
- Identificare i requisiti di accesso e revisione
- Applicazioni per ruoli o reparti : valutare le applicazioni raggruppate per il ruolo o il reparto, l'accesso
- Applicazioni di collaborazione: identificare le applicazioni di collaborazione a cui gli utenti esterni possono accedere, ad esempio Teams o SharePoint
- Per le applicazioni di produttività, gli utenti esterni potrebbero avere licenze o è possibile fornire l'accesso
Documentare le informazioni seguenti per l'accesso all'applicazione e al gruppo di risorse da parte di utenti esterni.
- Nome descrittivo del gruppo, ad esempio High_Risk_External_Access_Finance
- Applicazioni e risorse nel gruppo
- Proprietari dell'applicazione e delle risorse e delle relative informazioni di contatto
- Il team IT controlla l'accesso o il controllo viene delegato a un proprietario dell'azienda
- Prerequisiti per l'accesso: controllo in background, training e così via.
- Requisiti di conformità per accedere alle risorse
- Problemi, ad esempio l'autenticazione a più fattori per alcune risorse
- Frequenza per le recensioni, da chi e dove sono documentati i risultati
Suggerimento
Usare questo tipo di piano di governance per l'accesso interno.
Documentare le condizioni di accesso per gli utenti esterni
Determinare i requisiti di accesso per gli utenti esterni che richiedono l'accesso. Requisiti di base sul profilo di rischio delle risorse e sulla valutazione dei rischi dell'utente durante l'accesso. Configurare le condizioni di accesso usando l'accesso condizionale: una condizione e un risultato. Ad esempio, è possibile richiedere l'autenticazione a più fattori.
Altre informazioni: Che cos'è l'accesso condizionale?
Condizioni di accesso al profilo di rischio delle risorse
Considerare i criteri basati sul rischio seguenti per attivare l'autenticazione a più fattori.
- Bassa - Autenticazione a più fattori per alcuni set di applicazioni
- Media - Autenticazione a più fattori quando sono presenti altri rischi
- Elevato : gli utenti esterni usano sempre l'autenticazione a più fattori
Altre informazioni:
- Esercitazione: Applicare l'autenticazione a più fattori per gli utenti guest B2B
- Considerare attendibile l'autenticazione a più fattori da tenant esterni
Condizioni di accesso utente e dispositivo
Usare la tabella seguente per valutare i criteri per affrontare i rischi.
| Rischio di accesso o utente | Criteri proposti |
|---|---|
| Dispositivo | Richiede dispositivi conformi |
| App per dispositivi mobili | Richiedere app approvate |
| La protezione delle identità è a rischio elevato | Richiedere all'utente di modificare la password |
| Percorso di rete | Per accedere ai progetti riservati, richiedere l'accesso da un intervallo di indirizzi IP |
Per usare lo stato del dispositivo come input dei criteri, registrare o aggiungere il dispositivo al tenant. Per considerare attendibili le attestazioni del dispositivo dal tenant principale, configurare le impostazioni di accesso tra tenant. Vedere Modificare le impostazioni di accesso in ingresso.
È possibile usare i criteri di rischio di Protezione delle identità. Tuttavia, attenuare i problemi nel tenant home dell'utente. Vedere Criteri di accesso condizionale comuni: Autenticazione a più fattori basata sul rischio di accesso.
Per i percorsi di rete, è possibile limitare l'accesso agli intervalli di indirizzi IP di cui si è proprietari. Usare questo metodo se i partner esterni accedono alle applicazioni mentre si trovano nella propria posizione. Vedere Accesso condizionale: Bloccare l'accesso in base alla posizione
Criteri di verifica dell'accesso ai documenti
Criteri di documento che determinano quando esaminare l'accesso alle risorse e rimuovere l'accesso all'account per gli utenti esterni. Gli input possono includere:
- Requisiti dei framework di conformità
- Criteri e processi aziendali interni
- Comportamento utente
In genere, le organizzazioni personalizzano i criteri, tuttavia considerano i parametri seguenti:
- Verifiche di accesso alla gestione entitlement:
- Modificare le impostazioni del ciclo di vita per un pacchetto di accesso nella gestione entitlement
- Creare una verifica di accesso di un pacchetto di accesso nella gestione entitlement
- Aggiungere un'organizzazione connessa nella gestione entitlement: raggruppare gli utenti di un partner e pianificare le revisioni
- Gruppi di Microsoft 365
- Opzioni:
- Se gli utenti esterni non usano pacchetti di accesso o gruppi di Microsoft 365, determinare quando gli account diventano inattivi o eliminati
- Rimuovere l'accesso per gli account che non accedono per 90 giorni
- Valutare regolarmente l'accesso per gli utenti esterni
Metodi di controllo di accesso
Alcune funzionalità, ad esempio la gestione entitlement, sono disponibili con una licenza Microsoft Entra ID P1 o P2. Le licenze di Microsoft 365 E5 e Office 365 E5 includono licenze microsoft Entra ID P2. Per altre informazioni, vedere la sezione relativa alla gestione entitlement seguente.
Nota
Le licenze sono per un utente. Pertanto, gli utenti, gli amministratori e i proprietari dell'azienda possono avere il controllo di accesso delegato. Questo scenario può verificarsi con Microsoft Entra ID P2 o Microsoft 365 E5 e non è necessario abilitare le licenze per tutti gli utenti. I primi 50.000 utenti esterni sono gratuiti. Se non si abilitano licenze P2 per altri utenti interni, non è possibile usare la gestione entitlement.
Altre combinazioni di Microsoft 365, Office 365 e Microsoft Entra ID hanno funzionalità per gestire gli utenti esterni. Vedere Le linee guida di Microsoft 365 per la sicurezza e la conformità.
Gestire l'accesso con Microsoft Entra ID P2 e Microsoft 365 o Office 365 E5
Microsoft Entra ID P2, incluso in Microsoft 365 E5, offre funzionalità di sicurezza e governance aggiuntive.
Effettuare il provisioning, l'accesso, esaminare l'accesso e il deprovisioning dell'accesso
Le voci in grassetto sono azioni consigliate.
| Funzionalità | Effettuare il provisioning di utenti esterni | Applicare i requisiti di accesso | Verificare l'accesso | Eseguire il deprovisioning dell'accesso |
|---|---|---|---|---|
| Collaborazione B2B di Microsoft Entra | Invitare tramite posta elettronica, password monouso (OTP), self-service | N/D | Revisione periodica dei partner | Rimozione di un account Limitare l'accesso |
| Gestione dei diritti | Aggiungere l'utente in base all'assegnazione o all'accesso self-service | N/D | Verifiche di accesso | Scadenza o rimozione da un pacchetto di accesso |
| Gruppi di Office 365 | N/D | N/D | Esaminare le appartenenze ai gruppi | Scadenza o eliminazione del gruppo Rimozione dal gruppo |
| Gruppi di sicurezza di Microsoft Entra | N/D | Criteri di accesso condizionale: aggiungere utenti esterni ai gruppi di sicurezza in base alle esigenze | N/D | N/D |
Accesso alle risorse
Le voci in grassetto sono azioni consigliate.
| Funzionalità | Accesso alle app e alle risorse | Accesso a SharePoint e OneDrive | Accesso a Teams | Sicurezza della posta elettronica e dei documenti |
|---|---|---|---|---|
| Gestione dei diritti | Aggiungere l'utente in base all'assegnazione o all'accesso self-service | Pacchetti di accesso | Pacchetti di accesso | N/D |
| Gruppo di Office 365 | N/D | Accesso ai siti e al contenuto del gruppo | Accesso ai team e al contenuto del gruppo | N/D |
| Etichette di riservatezza | N/D | Classificare e limitare manualmente e automaticamente l'accesso | Classificare e limitare manualmente e automaticamente l'accesso | Classificare e limitare manualmente e automaticamente l'accesso |
| Gruppi di sicurezza di Microsoft Entra | Criteri di accesso condizionale per l'accesso non inclusi nei pacchetti di accesso | N/D | N/D | N/D |
Gestione dei diritti
Usare la gestione entitlement per effettuare il provisioning e il deprovisioning dell'accesso a gruppi e team, applicazioni e siti di SharePoint. Definire le organizzazioni connesse a cui è stato concesso l'accesso, le richieste self-service e i flussi di lavoro di approvazione. Per garantire che l'accesso termini correttamente, definire i criteri di scadenza e le verifiche di accesso per i pacchetti.
Altre informazioni: Creare un nuovo pacchetto di accesso nella gestione entitlement
Gestire l'accesso con Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Effettuare il provisioning, l'accesso, esaminare l'accesso e il deprovisioning dell'accesso
Gli elementi in grassetto sono azioni consigliate.
| Funzionalità | Effettuare il provisioning di utenti esterni | Applicare i requisiti di accesso | Verificare l'accesso | Eseguire il deprovisioning dell'accesso |
|---|---|---|---|---|
| Collaborazione B2B di Microsoft Entra | Invitare tramite posta elettronica, OTP, self-service | Federazione B2B diretta | Revisione periodica dei partner | Rimozione di un account Limitare l'accesso |
| Gruppi di Microsoft 365 o Office 365 | N/D | N/D | N/D | Scadenza o eliminazione del gruppo Rimozione dal gruppo |
| Gruppi di sicurezza | N/D | Aggiungere utenti esterni ai gruppi di sicurezza (organizzazione, team, progetto e così via) | N/D | N/D |
| Criteri di accesso condizionale | N/D | Criteri di accesso condizionale per utenti esterni | N/D | N/D |
Accesso alle risorse
| Funzionalità | Accesso alle app e alle risorse | Accesso a SharePoint e OneDrive | Accesso a Teams | Sicurezza della posta elettronica e dei documenti |
|---|---|---|---|---|
| Gruppi di Microsoft 365 o Office 365 | N/D | Accesso ai siti di gruppo e al contenuto associato | Accesso ai team del gruppo di Microsoft 365 e al contenuto associato | N/D |
| Etichette di riservatezza | N/D | Classificare e limitare manualmente l'accesso | Classificare e limitare manualmente l'accesso | Classificare manualmente per limitare e crittografare |
| Criteri di accesso condizionale | Criteri di accesso condizionale per il controllo di accesso | N/D | N/D | N/D |
| Altri metodi | N/D | Limitare l'accesso al sito di SharePoint con i gruppi di sicurezza Non consentire la condivisione diretta |
Limitare gli inviti esterni da un team | N/D |
Passaggi successivi
Usare la serie di articoli seguente per informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine elencato.
Determinare il comportamento di sicurezza per l'accesso esterno con Microsoft Entra ID
Individuare lo stato corrente della collaborazione esterna nell'organizzazione
Creare un piano di sicurezza per l'accesso esterno alle risorse (qui)
Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365
Transizione alla collaborazione regolamentata con Microsoft Entra B2B Collaboration
Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra
Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale
Controllare l'accesso esterno alle risorse in Microsoft Entra ID con etichette di riservatezza
Convertire gli account guest locali in account guest Microsoft Entra B2B