Gestire l'autenticazione a più fattori (MFA) nelle sottoscrizioni
Se si usano password solo per autenticare gli utenti, si lascia aperto un vettore di attacco. Gli utenti usano spesso password deboli o le riutilizzano per più servizi. Se si abilita l'autenticazione a più fattori, gli account sono più sicuri e gli utenti possono ancora eseguire l'autenticazione a quasi tutte le applicazioni con Single Sign-On (SSO).
Esistono metodi diversi per abilitare l'autenticazione a più fattori per gli utenti di Microsoft Entra in base alle licenze di proprietà dell'organizzazione. Questa pagina fornisce i dettagli per ognuno di questi metodi nel contesto di Microsoft Defender per il cloud.
Autenticazione a più fattori e Microsoft Defender per il cloud
Defender per il cloud attribuisce un valore elevato all’autenticazione a più fattori. Il controllo di sicurezza che contribuisce maggiormente al punteggio di sicurezza è Abilitare MFA.
Le raccomandazioni seguenti fornite nel controllo di Abilitare MFA garantiscono che vengano rispettate le procedure consigliate per gli utenti delle sottoscrizioni:
- Per gli account con autorizzazioni di proprietario nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori
- Agli account con autorizzazioni di scrittura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori
- Agli account con autorizzazioni di lettura nelle risorse di Azure deve essere abilitata l'autenticazione a più fattori
Esistono tre metodi per abilitare l'autenticazione a più fattori ed essere conformi alle due raccomandazioni in Defender per il cloud: impostazioni predefinite per la sicurezza, assegnazione per utente e criteri di accesso condizionale.
Opzione gratuita: impostazioni predefinite per la sicurezza
Se si usa l'edizione gratuita di Microsoft Entra ID, è necessario usare le impostazioni predefinite per la sicurezza per abilitare l'autenticazione a più fattori nel tenant.
MFA per i clienti di Microsoft 365 Business, E3 o E5
I clienti che dispongono di Microsoft 365 possono usare l'assegnazione per utente. In questo scenario, l'autenticazione multifattoriale Microsoft Entra è abilitata o disabilitata per tutti gli utenti, relativamente a tutti gli eventi di accesso. Non è possibile abilitare l'autenticazione a più fattori per un sottoinsieme di utenti o in determinati scenari e la gestione viene effettuata tramite il portale di Office 365.
MFA per i clienti di Microsoft Entra ID P1 o P2
Per migliorare l'esperienza utente, eseguire l'aggiornamento a Microsoft Entra ID P1 o P2 per le opzioni dei criteri di accesso condizionale (CA). Per configurare un criterio CA, sono necessarie le autorizzazioni del tenant di Microsoft Entra.
I criteri di CA devono:
applicare l'autenticazione a più fattori
includere i portali di Amministrazione Microsoft
non escludere l'ID app di Gestione di Microsoft Azure
I clienti di Microsoft Entra ID P1 possono usare l'accesso condizionale di Microsoft Entra per richiedere agli utenti di eseguire l'autenticazione a più fattori durante determinati scenari o eventi in base alle esigenze aziendali. Altre licenze che includono questa funzionalità sono le seguenti: Enterprise Mobility + Security E3, Microsoft 365 F1 e Microsoft 365 E3.
Microsoft Entra ID P2 offre le funzionalità di sicurezza più avanzate e un'esperienza utente migliorata. Questa licenza aggiunge l'accesso condizionale basato sul rischio alle funzionalità di Microsoft Entra ID P1. Il CA basato sul rischio si adatta ai modelli degli utenti e riduce al minimo le richieste di autenticazione a più fattori. Altre licenze che includono questa funzionalità sono le seguenti: Enterprise Mobility + Security E5 o Microsoft 365 E5.
Per altre informazioni, vedere la documentazione sull'Accesso condizionale di Azure.
Identificare gli account senza abilitazione per l’autenticazione a più fattori (MFA)
È possibile visualizzare l'elenco degli account utente senza abilitazione per l'MFA dalla pagina dei dettagli delle raccomandazioni di Defender per il cloud o tramite Azure Resource Graph.
Visualizzare gli account senza abilitazione per l’MFA nel portale di Azure
Nella pagina dei dettagli delle raccomandazioni, selezionare una sottoscrizione dall'elenco Risorse non integre oppure Esegui azione e verrà visualizzato l'elenco.
Visualizzare gli account senza abilitazione per l’MFA tramite Azure Resource Graph
Per vedere quali account non dispongono dell’abilitazione per l'autenticazione a più fattori, usare la query di Azure Resource Graph seguente. La query restituisce tutte le risorse non integre, ovvero gli account, della raccomandazione "Gli account con autorizzazioni di proprietario nelle risorse di Azure devono essere abilitati per l'MFA".
Aprire Azure Resource Graph Explorer.
Immettere la query seguente e selezionare Esegui query.
securityresources | where type =~ "microsoft.security/assessments/subassessments" | where id has "assessments/dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c" or id has "assessments/c0cb17b2-0607-48a7-b0e0-903ed22de39b" or id has "assessments/6240402e-f77c-46fa-9060-a7ce53997754" | parse id with start "/assessments/" assessmentId "/subassessments/" userObjectId | summarize make_list(userObjectId) by strcat(tostring(properties.displayName), " (", assessmentId, ")") | project ["Recommendation Name"] = Column1 , ["Account ObjectIDs"] = list_userObjectIdLa proprietà
additionalDatarivela l'elenco degli ID dell'oggetto account relativi agli account che non hanno applicato l'MFA.Nota
La colonna di ''Account ObjectID'' contiene l'elenco degli ID dell'oggetto account relativi agli account che non hanno applicato l'MFA in base alle raccomandazioni.
Suggerimento
In alternativa, è possibile usare il metodo dell'API REST di Defender per il cloud Valutazioni - Ottieni.
Limiti
- La funzionalità di accesso condizionale per applicare l'autenticazione a più fattori a utenti/tenant esterni non è ancora supportata.
- I criteri di accesso condizionale applicati ai ruoli di Microsoft Entra (ad esempio tutti gli amministratori globali, gli utenti esterni, il dominio esterno e così via) non sono ancora supportati.
- La capacità di autenticazione dell'accesso condizionale non è ancora supportata.
- Le soluzioni MFA esterne, ad esempio Okta, Ping, Duo e altre ancora, non sono supportate dalle raccomandazioni sull'identità dell'MFA.
Passaggi successivi
Per altre informazioni sulle raccomandazioni applicabili ad altri tipi di risorse di Azure, vedere gli articoli seguenti:
- Protezione della rete in Microsoft Defender per il cloud
- Per informazioni, vedere le domande frequenti sull'autenticazione a più fattori.