Impostazioni predefinite per la sicurezza in Azure AD

Microsoft rende disponibili le impostazioni predefinite per la sicurezza a tutti, perché la gestione della sicurezza può essere difficile. Gli attacchi correlati all'identità come password spray, riproduzione e phishing sono comuni nell'ambiente attuale. Oltre il 99,9% di questi attacchi correlati all'identità viene arrestato usando l'autenticazione a più fattori (MFA) e bloccando l'autenticazione legacy. L'obiettivo è garantire che tutte le organizzazioni abbiano almeno un livello di sicurezza di base abilitato senza costi aggiuntivi.

Le impostazioni predefinite per la sicurezza semplificano la protezione dell'organizzazione da questi attacchi correlati all'identità con impostazioni di sicurezza preconfigurate:

A chi sono destinate le impostazioni predefinite per la sicurezza?

  • Organizzazioni che vogliono aumentare il proprio comportamento di sicurezza, ma non sanno come o dove iniziare.
  • Organizzazioni che usano il livello gratuito delle licenze di Azure Active Directory.

A chi è rivolto l'accesso condizionale?

  • Se si è un'organizzazione che usa i criteri di accesso condizionale, le impostazioni predefinite per la sicurezza probabilmente non sono appropriate.
  • Se si è un'organizzazione con licenze di Azure Active Directory Premium, le impostazioni predefinite per la sicurezza probabilmente non sono appropriate per l'utente.
  • Se l'organizzazione ha requisiti di sicurezza complessi, è consigliabile prendere in considerazione l'accesso condizionale.

Abilitazione delle impostazioni predefinite per la sicurezza

Se il tenant è stato creato a partire dal 22 ottobre 2019, è possibile che le impostazioni predefinite per la sicurezza siano già abilitate nel tenant. Per proteggere tutti gli utenti, le impostazioni predefinite per la sicurezza vengono implementate in tutti i nuovi tenant al momento della creazione.

Per abilitare le impostazioni predefinite per la sicurezza nella directory:

  1. Accedere al portale di Azure come amministratore della sicurezza, amministratore dell'accesso condizionale o amministratore globale.
  2. Passare aProprietàdi Azure Active Directory>.
  3. Selezionare Gestisci le impostazioni predefinite per la sicurezza.
  4. Impostare Abilita le impostazioni predefinite per la sicurezza su .
  5. Selezionare Salva.

Screenshot della portale di Azure con l'interruttore per abilitare le impostazioni predefinite per la sicurezza

Criteri di sicurezza applicati

Richiedere a tutti gli utenti di registrarsi per Azure AD Multi-Factor Authentication

Tutti gli utenti del tenant devono registrarsi per l'autenticazione a più fattori (MFA) sotto forma di Azure AD Multi-Factor Authentication. Gli utenti hanno 14 giorni per registrarsi per Azure AD Multi-Factor Authentication usando l'app Microsoft Authenticator o qualsiasi app che supporta OATH TOTP. Dopo aver superato i 14 giorni, l'utente non può accedere fino al completamento della registrazione. Il periodo di 14 giorni di un utente inizia dopo il primo accesso interattivo completato dopo l'abilitazione delle impostazioni predefinite per la sicurezza.

Richiedere agli amministratori di eseguire l'autenticazione a più fattori

Gli amministratori hanno aumentato l'accesso all'ambiente. A causa del potere di questi account con privilegi elevati, è consigliabile trattarli con particolare attenzione. Un metodo comune per migliorare la protezione degli account con privilegi consiste nel richiedere una forma di verifica degli account più avanzata per l'accesso. In Azure AD è possibile richiedere l'autenticazione a più fattori per ottenere una verifica degli account più avanzata.

Suggerimento

È consigliabile disporre di account separati per le attività di amministrazione e produttività standard per ridurre significativamente il numero di richieste di autenticazione a più fattori da parte degli amministratori.

Al termine della registrazione con Azure AD Multi-Factor Authentication, saranno necessari i ruoli di amministratore di Azure AD seguenti per eseguire l'autenticazione aggiuntiva ogni volta che accedono:

  • Amministratore globale
  • Amministratore di applicazioni
  • Amministratore dell'autenticazione
  • Amministratore fatturazione
  • Amministratore di applicazioni cloud
  • Amministratore di accesso condizionale
  • Amministratore di Exchange
  • Amministratore dell'help desk
  • Amministratore password
  • Amministratore autenticazione con privilegi
  • Amministratore della sicurezza
  • Amministratore di SharePoint
  • Amministratore utenti

Richiedere agli utenti di eseguire l'autenticazione a più fattori quando necessario

Si tende a pensare che gli account amministratore siano gli unici account che richiedono livelli aggiuntivi di autenticazione. Gli amministratori hanno accesso esteso alle informazioni sensibili e possono apportare modifiche alle impostazioni a livello di sottoscrizione. Ma gli utenti malintenzionati spesso hanno come obiettivo gli utenti finali.

Dopo che questi utenti malintenzionati ottengono l'accesso, possono richiedere l'accesso alle informazioni privilegiate per il titolare dell'account originale. Possono anche scaricare l'intera directory per eseguire un attacco di phishing sull'intera organizzazione.

Un metodo comune per migliorare la protezione per tutti gli utenti è quello di richiedere una forma più avanzata di verifica dell'account, come l'autenticazione a più fattori, per tutti. Al termine della registrazione, agli utenti verrà richiesta un'altra autenticazione ogni volta che necessario. Azure AD decide quando verrà richiesta l'autenticazione a più fattori da parte di un utente, in base a fattori quali posizione, dispositivo, ruolo e attività. Questa funzionalità protegge tutte le applicazioni registrate con Azure AD incluse le applicazioni SaaS.

Nota

In caso di utenti con connessione diretta B2B , qualsiasi requisito di autenticazione a più fattori dalle impostazioni predefinite di sicurezza abilitate nel tenant delle risorse dovrà essere soddisfatto, inclusa la registrazione dell'autenticazione a più fattori dall'utente con connessione diretta nel tenant principale.

Bloccare i protocolli di autenticazione legacy

Per consentire agli utenti di accedere facilmente alle app cloud, Azure AD supporta diversi protocolli di autenticazione, inclusa l'autenticazione legacy. Con il termine autenticazione legacy si fa riferimento a una richiesta di autenticazione effettuata da:

  • Client che non usano l'autenticazione moderna (ad esempio, un client Office 2010).
  • Qualsiasi client che usi protocolli di posta elettronica precedenti come IMAP, SMTP o POP3.

Oggi la maggior parte dei tentativi di accesso compromessi deriva dall'autenticazione legacy. L'autenticazione legacy non supporta l'autenticazione a più fattori. Anche se nella directory è abilitato un criterio di autenticazione a più fattori, un utente malintenzionato può eseguire l'autenticazione usando un protocollo precedente e ignorare l'autenticazione a più fattori.

Una volta abilitate le impostazioni predefinite per la sicurezza nel tenant, tutte le richieste di autenticazione effettuate da un protocollo precedente verranno bloccate. Le impostazioni predefinite per la sicurezza bloccano l'autenticazione di base Exchange Active Sync.

Avviso

Prima di abilitare le impostazioni predefinite per la sicurezza, assicurarsi che gli amministratori non usino protocolli di autenticazione precedenti. Per altre informazioni, vedere Come passare dall'autenticazione legacy a un'altra autenticazione.

Proteggere le attività con privilegi, ad esempio l'accesso alle portale di Azure

Le organizzazioni usano vari servizi di Azure gestiti tramite l'API Resource Manager di Azure, tra cui:

  • Portale di Azure
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure

L'uso di Azure Resource Manager per gestire i servizi è un'azione con privilegi elevati. Azure Resource Manager può modificare le configurazioni a livello di tenant, ad esempio le impostazioni del servizio e la fatturazione della sottoscrizione. L'autenticazione a singolo fattore è vulnerabile a vari attacchi, ad esempio phishing e password spray.

È importante verificare l'identità degli utenti che vogliono accedere alle configurazioni di Azure Resource Manager e di aggiornamento. Prima di consentire l'accesso, è necessario verificare la propria identità richiedendo un'autenticazione maggiore.

Dopo aver abilitato le impostazioni predefinite per la sicurezza nel tenant, qualsiasi utente che accede ai servizi seguenti deve completare l'autenticazione a più fattori:

  • Portale di Azure
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure

Questo criterio si applica a tutti gli utenti che accedono ai servizi di Resource Manager di Azure, sia che siano amministratori o utenti.

Nota

Per i tenant di Exchange Online precedenti al 2017, l'autenticazione moderna è disabilitata per impostazione predefinita. Per evitare la possibilità di un ciclo di accesso durante l'autenticazione tramite questi tenant, è necessario abilitare l'autenticazione moderna.

Nota

L'account di sincronizzazione di Azure AD Connect è escluso dalle impostazioni predefinite di sicurezza e non verrà richiesto di registrare o eseguire l'autenticazione a più fattori. Le organizzazioni non devono usare questo account per altri scopi.

Considerazioni sulla distribuzione

Metodi di autenticazione

Gli utenti predefiniti per la sicurezza sono necessari per la registrazione e l'uso di Azure AD Multi-Factor Authentication usando l'app Microsoft Authenticator usando le notifiche. Gli utenti possono usare codici di verifica dall'app Microsoft Authenticator, ma possono registrare solo usando l'opzione di notifica. Gli utenti possono anche usare qualsiasi applicazione di terze parti usando OATH TOTP per generare codici.

Avviso

Non disabilitare i metodi per l'organizzazione se si usano impostazioni predefinite di sicurezza. La disabilitazione dei metodi può causare il blocco del tenant. Lasciare disponibili tutti i metodi per gli utenti abilitati nel portale delle impostazioni del servizio MFA.

Account amministratore di backup

Ogni organizzazione deve avere almeno due account di amministratore di backup configurati. Si chiamano questi account di accesso di emergenza.

Questi account possono essere usati negli scenari in cui non è possibile usare gli account di amministratore normali. Ad esempio: la persona con l'accesso amministratore globale più recente ha lasciato l'organizzazione. Azure AD impedisce l'eliminazione dell'ultimo account amministratore globale, ma non impedisce che l'account venga eliminato o disabilitato in locale. Entrambi i casi potrebbero rendere impossibile per l'organizzazione ripristinare l'account.

Gli account di accesso di emergenza sono:

  • Diritti di amministratore globale assegnati in Azure AD.
  • Non vengono usati su base giornaliera.
  • Sono protetti con una password complessa lunga.

Le credenziali per questi account di accesso di emergenza devono essere archiviate offline in una posizione sicura, ad esempio una sicurezza a prova di fuoco. Solo gli utenti autorizzati devono avere accesso a queste credenziali.

Per creare un account di accesso di emergenza:

  1. Accedere alla portale di Azure come amministratore globale esistente.
  2. Passare aUtenti di Azure Active Directory>.
  3. Selezionare Nuovo utente.
  4. Selezionare Create user (Crea utente).
  5. Assegnare all'account un nome utente.
  6. Assegnare all'account un nome.
  7. Creare una password lunga e complessa per l'account.
  8. In Ruoli assegnare il ruolo Amministratore globale .
  9. In Percorso di utilizzo selezionare la posizione appropriata.
  10. Selezionare Crea.

È possibile scegliere di disabilitare la scadenza della password per questi account usando Azure AD PowerShell.

Per informazioni più dettagliate sugli account di accesso di emergenza, vedere l'articolo Gestire gli account di accesso di emergenza in Azure AD.

Utenti B2B

Tutti gli utenti guest B2B o B2Bconnettono direttamente gli utenti che accedono alla directory vengono trattati come gli utenti dell'organizzazione.

Stato MFA disabilitato

Se l'organizzazione è un utente precedente di Azure AD Multi-Factor Authentication basato su utente, non visualizzare gli utenti in uno stato abilitato o applicato se si esamina la pagina di stato di Multi-Factor Auth. Disabilitato è lo stato appropriato per gli utenti che usano impostazioni predefinite di sicurezza o accesso condizionale basato su Azure AD Multi-Factor Authentication.

Accesso condizionale

È possibile usare l'accesso condizionale per configurare criteri simili alle impostazioni predefinite per la sicurezza, ma con maggiore granularità. I criteri di accesso condizionale consentono di selezionare altri metodi di autenticazione e la possibilità di escludere gli utenti, che non sono disponibili nelle impostazioni predefinite di sicurezza. Se si usa l'accesso condizionale nell'ambiente, le impostazioni predefinite per la sicurezza non saranno disponibili per l'utente.

Messaggio di avviso indicante che è possibile disporre di impostazioni predefinite per la sicurezza o dell'accesso condizionale, ma non di entrambi

Se si vuole abilitare l'accesso condizionale per configurare un set di criteri, che costituiscono un buon punto di partenza per proteggere le identità:

Disabilitazione delle impostazioni predefinite per la sicurezza

Le organizzazioni che scelgono di implementare i criteri di accesso condizionale che sostituiscono le impostazioni predefinite per la sicurezza devono disabilitare le impostazioni predefinite per la sicurezza.

Messaggio di avviso indicante che le impostazioni predefinite per la sicurezza devono essere disabilitate per abilitare l'accesso condizionale

Per disabilitare le impostazioni predefinite per la sicurezza nella directory:

  1. Accedere alla portale di Azure come amministratore della sicurezza, amministratore dell'accesso condizionale o amministratore globale.
  2. Passare aProprietà diAzure Active Directory>.
  3. Selezionare Gestisci le impostazioni predefinite per la sicurezza.
  4. Impostare Abilita le impostazioni predefinite per la sicurezza su No.
  5. Selezionare Salva.

Passaggi successivi