Cinque passaggi per la protezione del repository identità

Chi legge questo documento è consapevole dell'importanza della sicurezza e sicuramente è già responsabile della sicurezza dell'organizzazione. Se è necessario convincere altri utenti dell'importanza della sicurezza, inviarli per leggere l'ultima Report sulla difesa digitale Microsoft.

Questo documento consente di ottenere un comportamento più sicuro usando le funzionalità di Microsoft Entra ID usando un elenco di controllo in cinque passaggi per migliorare la protezione dell'organizzazione contro gli attacchi informatici.

Questo elenco di controllo permette di distribuire rapidamente le azioni critiche consigliate per proteggere subito l'organizzazione spiegando in che modo:

• Rafforzare le credenziali
• Ridurre la superficie di attacco
• Automatizzare la risposta alle minacce
• Usare l'intelligenza cloud
• Abilitare l'self-service dell'utente finale

Nota

Molte delle raccomandazioni contenute in questo documento si applicano solo alle applicazioni configurate per l'uso dell'ID Microsoft Entra come provider di identità. La configurazione di app per il Single Sign-On garantisce i vantaggi associati a criteri per le credenziali, rilevamento delle minacce, controllo, registrazione e altre funzionalità aggiunte a queste applicazioni. Microsoft Entra Application Management è la base su cui si basano tutte queste raccomandazioni.

Le raccomandazioni contenute in questo documento sono allineate al punteggio di sicurezza delle identità, una valutazione automatizzata della configurazione di sicurezza delle identità del tenant di Microsoft Entra. Le organizzazioni possono usare la pagina Identity Secure Score nell'interfaccia di amministrazione di Microsoft Entra per individuare le lacune nella configurazione di sicurezza corrente per assicurarsi che seguano le procedure consigliate microsoft correnti per la sicurezza. L'implementazione di ogni raccomandazione nella pagina Secure Score aumenterà il punteggio e consentirà di tenere traccia dello stato di avanzamento, oltre a confrontare l'implementazione con altre organizzazioni di dimensioni simili.

Nota

Alcune delle funzionalità consigliate qui sono disponibili per tutti i clienti, mentre altre richiedono un abbonamento Microsoft Entra ID P1 o P2. Per altre informazioni, vedere l'elenco di controllo per i prezzi di Microsoft Entra e Microsoft Entra Deployment.

Prima di iniziare: proteggere gli account con privilegi mediante MFA

Prima di iniziare questo elenco di controllo, verificare che l'account non venga compromesso durante la lettura. In Microsoft Entra osserviamo 50 milioni di attacchi alle password ogni giorno, ma solo il 20% degli utenti e il 30% degli amministratori globali usano autenticazioni avanzate, ad esempio l'autenticazione a più fattori (MFA). Queste statistiche si basano sui dati a partire da agosto 2021. In Microsoft Entra ID gli utenti con ruoli con privilegi, ad esempio gli amministratori, sono la radice di attendibilità per creare e gestire il resto dell'ambiente. Implementare le procedure seguenti per ridurre al minimo gli effetti di una compromissione.

Gli utenti malintenzionati che ottengono il controllo degli account con privilegi possono causare danni enormi, quindi è fondamentale proteggere questi account prima di procedere. Abilitare e richiedere l'autenticazione a più fattori (MFA) di Microsoft Entra per tutti gli amministratori dell'organizzazione usando le impostazioni predefinite di Microsoft Entra Security o l'accesso condizionale. È fondamentale.

Tutto pronto? Iniziamo con l'elenco di controllo.

Passaggio 1: Rafforzare le credenziali

Anche se sono emergenti altri tipi di attacchi, tra cui phishing e attacchi di consenso su identità non disumane, gli attacchi basati su password sulle identità utente sono ancora il vettore più diffuso di compromissione delle identità. Le campagne di spear phishing e password spraying ben consolidate da parte degli avversari continuano a avere successo contro le organizzazioni che non hanno ancora implementato l'autenticazione a più fattori (MFA) o altre protezioni contro questa tattica comune.

In qualità di organizzazione è necessario assicurarsi che le identità siano convalidate e protette con MFA ovunque. Nel 2020, il rapporto DELL'FBI IC3 ha identificato il phishing come il tipo di crimine principale per le segnalazioni delle vittime. Numero di report raddoppiati rispetto all'anno precedente. Il phishing rappresenta una minaccia significativa sia per le aziende che per i singoli utenti e il phishing delle credenziali è stato usato in molti degli attacchi più dannosi dell'anno scorso. Microsoft Entra multifactor authentication (MFA) consente di proteggere l'accesso ai dati e alle applicazioni, offrendo un altro livello di sicurezza usando una seconda forma di autenticazione. Le organizzazioni possono abilitare l'autenticazione a più fattori con l'accesso condizionale per soddisfare le esigenze specifiche della soluzione. Vedere questa guida alla distribuzione per informazioni su come pianificare, implementare e implementare l'autenticazione a più fattori Di Microsoft Entra.

Assicurarsi che l'organizzazione usi l'autenticazione avanzata

Per abilitare facilmente il livello di base di sicurezza delle identità, è possibile usare l'abilitazione con un solo clic con le impostazioni predefinite di sicurezza di Microsoft Entra. Le impostazioni predefinite per la sicurezza applicano l'autenticazione a più fattori Di Microsoft Entra per tutti gli utenti in un tenant e blocca gli accessi dai protocolli legacy a livello di tenant.

Se l'organizzazione dispone di licenze Microsoft Entra ID P1 o P2, è anche possibile usare le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report per individuare le lacune nella configurazione e nella copertura. Da questi consigli, è possibile chiudere facilmente questo divario creando un criterio usando la nuova esperienza dei modelli di accesso condizionale. I modelli di accesso condizionale sono progettati per fornire un metodo semplice per distribuire nuovi criteri allineati alle procedure consigliate da Microsoft, semplificando la distribuzione di criteri comuni per proteggere le identità e i dispositivi.

Iniziare a vietare le password attaccate più spesso e disattivare le regole di complessità e scadenza tradizionali.

Molte organizzazioni usano regole tradizionali di complessità e scadenza delle password. La ricerca di Microsoft ha mostrato e linee guida NIST indica che questi criteri fanno sì che gli utenti scelgano le password che sono più facili da indovinare. È consigliabile usare la protezione password di Microsoft Entra una funzionalità di password vietata dinamica usando il comportamento corrente dell'utente malintenzionato per impedire agli utenti di impostare password facilmente individuabili. Questa funzionalità è sempre attiva quando gli utenti vengono creati nel cloud, ma è ora disponibile anche per le organizzazioni ibride quando distribuiscono la protezione password di Microsoft Entra per Windows Server Active Directory. È inoltre consigliabile rimuovere i criteri di scadenza. La modifica delle password non offre alcun vantaggio di contenimento perché i criminali informatici usano quasi sempre le credenziali non appena li comprometteno. Fare riferimento all'articolo seguente per impostare i criteri di scadenza delle password per l'organizzazione.

Proteggersi da credenziali perse e aggiungere resilienza da interruzioni

Il metodo più semplice e consigliato per abilitare l'autenticazione cloud per gli oggetti directory locali in Microsoft Entra ID consiste nell'abilitare la sincronizzazione dell'hash delle password . Se l'organizzazione usa una soluzione di identità ibrida con la federazione o l'autenticazione pass-through, è consigliabile abilitare la sincronizzazione dell'hash delle password per i due motivi seguenti:

• Il report Utenti con credenziali perse in Microsoft Entra ID avvisa le coppie nome utente e password esposte pubblicamente. Una quantità incredibile di password viene persa tramite phishing, malware e riuso delle password nei siti di terze parti che verranno sottoposti a violazioni in un secondo momento. Microsoft trova molte di queste credenziali perse e indicherà, in questo report, se corrispondono alle credenziali dell'organizzazione, ma solo se si abilita la sincronizzazione dell'hash delle password o si hanno identità solo cloud.
• Se si verifica un'interruzione locale, ad esempio un attacco ransomware, è possibile passare all'uso dell'autenticazione cloud usando la sincronizzazione dell'hash delle password. Questo metodo di autenticazione di backup consentirà di continuare ad accedere alle app configurate per l'autenticazione con Microsoft Entra ID, incluso Microsoft 365. In questo caso, il personale IT non dovrà ricorrere agli account di posta elettronica personali o IT shadow per condividere i dati fino a quando non viene risolta l'interruzione locale.

Le password non vengono mai archiviate in testo non crittografato o crittografate con un algoritmo reversibile in Microsoft Entra ID. Per altre informazioni sul processo effettivo di sincronizzazione dell'hash delle password, vedere Descrizione dettagliata del funzionamento della sincronizzazione dell'hash delle password.

Implementare il blocco intelligente della Extranet di AD FS

La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso. Questa funzione è in grado di riconoscere i tentativi di accesso eseguiti da utenti validi e di gestirli in modo diverso da quelli di utenti malintenzionati e di altre origini sconosciute. La funzione di blocco intelligente blocca gli utenti malintenzionati, consentendo al contempo a quelli validi di accedere ai propri account senza effetti negativi sulla produttività. Le organizzazioni, che configurano le applicazioni per l'autenticazione direttamente in Microsoft Entra ID traggono vantaggio dal blocco intelligente di Microsoft Entra. Le distribuzioni federate che usano AD FS 2016 e AD FS 2019 possono abilitare vantaggi simili usando il blocco Extranet di AD FS e il blocco intelligente Extranet.

Passaggio 2: Ridurre la superficie di attacco

Poiché le password vengono frequentemente compromesse, è fondamentale per l'organizzazione ridurre al minimo la superficie di attacco. Disabilitando l'uso di protocolli meno recenti, meno sicuri, limitando i punti di ingresso di accesso, passando all'autenticazione cloud e esercitando un controllo più significativo dell'accesso amministrativo alle risorse e adottando i principi di sicurezza Zero Trust.

Usare l'autenticazione cloud

Le credenziali sono un vettore di attacco primario. Le procedure descritte in questo blog possono ridurre la superficie di attacco usando l'autenticazione cloud, distribuire MFA e usare metodi di autenticazione senza password. È possibile distribuire metodi senza password, ad esempio Windows Hello for Business, Telefono Accedi con l'app Microsoft Authenticator o FIDO.

Bloccare l'autenticazione legacy

Le app che usano i propri metodi legacy per eseguire l'autenticazione con Microsoft Entra ID e accedere ai dati aziendali rappresentano un altro rischio per le organizzazioni. Esempi di app che usano l'autenticazione legacy sono i client POP3, IMAP4 o SMTP. Le app di autenticazione legacy eseguono l'autenticazione per conto dell'utente e impediscono a Microsoft Entra ID di eseguire valutazioni di sicurezza avanzate. L'alternativa, l'autenticazione moderna, ridurrà il rischio di sicurezza, perché supporta l'autenticazione a più fattori e l'accesso condizionale.

È consigliabile eseguire le azioni seguenti:

1. Individuare l'autenticazione legacy nell'organizzazione con i log di accesso di Microsoft Entra e le cartelle di lavoro di Log Analytics.
2. Configurare SharePoint Online ed Exchange Online per l'uso dell'autenticazione moderna.
3. Se si dispone di licenze microsoft Entra ID P1 o P2, usare i criteri di accesso condizionale per bloccare l'autenticazione legacy. Per il livello Gratuito di Microsoft Entra ID, usare Le impostazioni predefinite per la sicurezza di Microsoft Entra.
4. Bloccare l'autenticazione legacy se si usa AD FS.
5. Bloccare l'autenticazione legacy con Exchange Server 2019.
6. Disabilitare l'autenticazione legacy in Exchange Online.

Per altre informazioni, vedere l'articolo Blocco dei protocolli di autenticazione legacy in Microsoft Entra ID.

Bloccare punti di ingresso di autenticazione non validi

Usando il principio di verifica in modo esplicito, è consigliabile ridurre l'impatto delle credenziali utente compromesse quando si verificano. Per ogni app nell'ambiente, considerare i casi d'uso validi: quali gruppi, quali reti, quali dispositivi e altri elementi sono autorizzati, quindi bloccare il resto. Con l'accesso condizionale di Microsoft Entra, è possibile controllare come gli utenti autorizzati accedono alle app e alle risorse in base a condizioni specifiche definite.

Per altre informazioni su come usare l'accesso condizionale per le app cloud e le azioni dell'utente, vedere App cloud per l'accesso condizionale, azioni e contesto di autenticazione.

Esaminare e gestire i ruoli di amministratore

Un altro pilastro Zero Trust è la necessità di ridurre al minimo la probabilità che un account compromesso possa operare con un ruolo con privilegi. Questo controllo può essere eseguito assegnando la quantità minima di privilegi a un'identità. Se non si ha familiarità con i ruoli di Microsoft Entra, questo articolo consente di comprendere i ruoli di Microsoft Entra.

I ruoli con privilegi in Microsoft Entra ID devono essere account solo cloud per isolarli da qualsiasi ambiente locale e non usare insiemi di credenziali delle password locali per archiviare le credenziali.

Implementare la gestione degli accessi con privilegi

Privileged Identity Management (PIM) fornisce un'attivazione dei ruoli basata sul tempo e basata sull'approvazione per ridurre i rischi di autorizzazioni di accesso eccessive, non necessarie o improprie alle risorse importanti. Tali risorse includono quelle in Microsoft Entra ID, Azure e altri servizi Microsoft online, come ad esempio Microsoft 365 o Microsoft Intune.

Microsoft Entra Privileged Identity Management (PIM) consente di ridurre al minimo i privilegi degli account consentendo di:

• Identificare e gestire gli utenti assegnati a ruoli amministrativi.
• Capire quali ruoli con privilegi eccessivi o inutilizzati è opportuno rimuovere.
• Stabilire regole per assicurarsi che i ruoli con privilegi siano protetti dall'autenticazione a più fattori.
• Definire regole per verificare che i ruoli con privilegi vengano concessi solo per il tempo sufficiente a completare l'attività con privilegi.

Abilitare Microsoft Entra PIM, quindi visualizzare gli utenti a cui sono assegnati ruoli amministrativi e rimuovere gli account non necessari in tali ruoli. Per gli utenti con privilegi rimanenti, spostarli da permanenti a idonei. Infine, definire criteri appropriati per verificare che possano ottenere accesso a questi ruoli con privilegi, in modo sicuro e con il controllo modifiche necessario.

I ruoli predefiniti e personalizzati di Microsoft Entra operano su concetti simili ai ruoli disponibili nel sistema di controllo degli accessi in base al ruolo per le risorse di Azure (ruoli di Azure). La differenza tra questi due sistemi di controllo degli accessi in base al ruolo è la seguente:

• I ruoli di Microsoft Entra controllano l'accesso alle risorse di Microsoft Entra, ad esempio utenti, gruppi e applicazioni tramite l'API Microsoft Graph
• I ruoli di Azure controllano l'accesso a risorse di Azure come macchine virtuali o archiviazione tramite Gestione risorse di Azure

Entrambi i sistemi contengono definizioni e assegnazioni di ruoli usate in modo simile. Tuttavia, le autorizzazioni del ruolo Microsoft Entra non possono essere usate nei ruoli personalizzati di Azure e viceversa. Come parte della distribuzione del processo di account con privilegi, seguire la procedura consigliata per creare almeno due account di emergenza per assicurarsi di avere ancora accesso a Microsoft Entra ID se si blocca.

Per altre informazioni, vedere l'articolo Pianificare una distribuzione di Privileged Identity Management e proteggere l'accesso con privilegi.

Limitare le operazioni di consenso utente

È importante comprendere le varie esperienze di consenso dell'applicazione Microsoft Entra, i tipi di autorizzazioni e il consenso e le relative implicazioni sul comportamento di sicurezza dell'organizzazione. Consentendo agli utenti di fornire il consenso da soli consente agli utenti di acquisire facilmente applicazioni utili che si integrano con Microsoft 365, Azure e altri servizi, può rappresentare un rischio se non usato e monitorato attentamente.

Microsoft consiglia di limitare il consenso dell'utente per consentire il consenso dell'utente finale solo per le app provenienti da editori verificati e solo per le autorizzazioni selezionate. Se il consenso dell'utente finale è limitato, le concessioni di consenso precedenti verranno comunque rispettate, ma tutte le operazioni di consenso future devono essere eseguite da un amministratore. Per i casi limitati, il consenso amministratore può essere richiesto dagli utenti tramite un flusso di lavoro di richiesta di consenso amministratore integrato o tramite i propri processi di supporto. Prima di limitare il consenso dell'utente finale, usare le raccomandazioni per pianificare questa modifica nell'organizzazione. Per le applicazioni a cui si vuole consentire l'accesso a tutti gli utenti, è consigliabile concedere il consenso per conto di tutti gli utenti, assicurandosi che gli utenti che non hanno ancora acconsentito singolarmente potranno accedere all'app. Se non si vuole che queste applicazioni siano disponibili per tutti gli utenti in tutti gli scenari, usare l'assegnazione di applicazioni e l'accesso condizionale per limitare l'accesso degli utenti a app specifiche.

Assicurarsi che gli utenti possano richiedere l'approvazione dell'amministratore per le nuove applicazioni per ridurre l'attrito dell'utente, ridurre al minimo il volume di supporto e impedire agli utenti di iscriversi alle applicazioni usando credenziali non Microsoft Entra. Dopo aver regolato le operazioni di consenso, gli amministratori devono controllare regolarmente le autorizzazioni di app e consenso.

Per altre informazioni, vedere l'articolo Framework di consenso di Microsoft Entra.

Passaggio 3: Automatizzare la risposta alle minacce

Microsoft Entra ID offre molte funzionalità che intercettano automaticamente gli attacchi, per rimuovere la latenza tra rilevamento e risposta. Riducendo il tempo usato dai criminali per insinuarsi nell'ambiente, è possibile ridurre anche costi e rischi. Ecco i passaggi concreti che è possibile attuare.

Per altre informazioni, vedere l'articolo Procedura: Configurare e abilitare i criteri di rischio.

Implementare i criteri di rischio di accesso

Un rischio di accesso rappresenta la probabilità che una richiesta di autenticazione specificata non sia stata autorizzata dal proprietario dell'identità. È possibile implementare criteri basati sul rischio di accesso tramite l'aggiunta di una condizione di rischio di accesso ai criteri di accesso condizionale che valutano il livello di rischio a un utente o a un gruppo specifico. In base al livello di rischio (alto/medio/basso), è possibile configurare un criterio per bloccare l'accesso o forzare l'autenticazione a più fattori. È consigliabile forzare l'autenticazione a più fattori in accessi a rischio medio o superiore.

Implementare i criteri di sicurezza dei rischi utente

Il rischio utente indica la probabilità che l'identità di un utente sia stata compromessa e viene calcolato in base ai rilevamenti di rischi utente associati all'identità di un utente. È possibile implementare criteri basati sui rischi utente tramite l'aggiunta di una condizione di rischio utente ai criteri di accesso condizionale che valutano il livello di rischio a un utente specifico. In base a basso, medio, livello di rischio elevato, è possibile configurare un criterio per bloccare l'accesso o richiedere una modifica sicura della password usando l'autenticazione a più fattori. Microsoft consiglia di richiedere una modifica sicura della password per gli utenti con rischio alto.

Incluso nel rilevamento dei rischi utente è un controllo che indica se le credenziali dell'utente corrispondono alle credenziali perse dai criminali informatici. Per funzionare in modo ottimale, è importante implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.

Integrare Microsoft Defender XDR con Microsoft Entra ID Protection

Affinché Identity Protection sia in grado di eseguire il miglior rilevamento dei rischi possibile, è necessario ottenere il maggior numero possibile di segnali. È quindi importante integrare la suite completa di servizi Microsoft Defender XDR:

• Microsoft Defender per endpoint
• Microsoft Defender per Office 365
• Microsoft Defender per identità
• Microsoft Defender for Cloud Apps

Altre informazioni su Microsoft Threat Protection e sull'importanza dell'integrazione di domini diversi, vedere il breve video seguente.

Configurare il monitoraggio e gli avvisi

Il monitoraggio e il controllo dei log è importante per rilevare comportamenti sospetti. Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti, ad esempio Microsoft Sentinel, Monitoraggio di Azure e altri strumenti SIEM. Per altre informazioni, vedere la Guida alle operazioni di sicurezza di Microsoft Entra.

Passaggio 4: Usare l'intelligenza cloud

Il controllo e la registrazione di eventi relativi alla sicurezza e di avvisi correlati sono componenti essenziali di una strategia di protezione efficace. I report e i log di sicurezza offrono un record elettronico delle attività sospette e aiutano a rilevare criteri che possono indicare tentativi esterni di penetrazione nella rete e attacchi interni. È possibile usare la funzione di controllo per monitorare l'attività dell'utente, documentare la conformità alle normative, eseguire analisi forensi e altro ancora. Gli avvisi forniscono notifiche di eventi di sicurezza. Assicurarsi di disporre di criteri di conservazione dei log sia per i log di accesso che per i log di controllo per Microsoft Entra ID esportando in Monitoraggio di Azure o in uno strumento SIEM.

Monitorare l'ID Microsoft Entra

Le funzionalità e i servizi di Microsoft Azure offrono opzioni di controllo e registrazione di sicurezza configurabili che consentono di identificare e correggere i gap nei meccanismi e nei criteri di sicurezza per evitare violazioni. È possibile usare Registrazione e controllo di Azure e usare i report delle attività di controllo nell'interfaccia di amministrazione di Microsoft Entra. Per altre informazioni sul monitoraggio degli account utente, degli account con privilegi, delle app e dei dispositivi, vedere la Guida alle operazioni sulla sicurezza di Microsoft Entra.

Monitorare Microsoft Entra Connessione Health in ambienti ibridi

Il monitoraggio di AD FS con Microsoft Entra Connessione Health offre maggiori informazioni sui potenziali problemi e sulla visibilità degli attacchi sull'infrastruttura AD FS. È ora possibile visualizzare gli accessi ad ADFS per offrire maggiore profondità per il monitoraggio. Microsoft Entra Connessione Health fornisce avvisi con dettagli, passaggi di risoluzione e collegamenti alla documentazione correlata, analisi dell'utilizzo per diverse metriche correlate al traffico di autenticazione, monitoraggio delle prestazioni e report. Usare il WorkBook IP rischioso per ADFS che consente di identificare la norma per l'ambiente e avvisare quando si verifica una modifica. Tutte le infrastrutture ibride devono essere monitorate come asset di livello 0. Le indicazioni dettagliate sul monitoraggio per questi asset sono disponibili nella Guida alle operazioni di sicurezza per l'infrastruttura.

Monitorare gli eventi di Microsoft Entra ID Protection

Microsoft Entra ID Protection fornisce due report importanti da monitorare ogni giorno:

1. Report sugli accessi a rischio, che evidenzieranno le attività di accesso dell'utente che è necessario analizzare: il legittimo proprietario può non aver eseguito l'accesso.
2. Report sugli utenti a rischio, che evidenzieranno gli account utente che potrebbero essere stati compromessi: ad esempio, perdita di credenziali o accesso dell'utente da posizioni differenti che causa un evento di tipo comunicazione impossibile.

App di controllo e autorizzazioni per il consenso

Gli utenti possono essere indotti a navigare in siti Web o app compromesse che accedono ai loro dati e alle loro informazioni del profilo, ad esempio la posta elettronica. Un attore malintenzionato può usare le autorizzazioni per il consenso ricevute per crittografare il contenuto della cassetta postale e richiedere un riscatto per riottenere i dati della cassetta postale. Gli amministratori dovrebbero analizzare e controllare le autorizzazioni concesse dagli utenti. Oltre a controllare le autorizzazioni specificate dagli utenti, è possibile individuare applicazioni OAuth rischiose o indesiderate in ambienti Premium.

Passaggio 5: Abilitare self-service dell'utente finale

Per quanto possibile è opportuno bilanciare sicurezza e produttività. Per affrontare il percorso con la mentalità che si sta impostando una base per la sicurezza, è possibile rimuovere l'attrito dall'organizzazione consentendo agli utenti di rimanere vigili e riducendo i sovraccarichi operativi.

Implementare la reimpostazione self-service delle password

La reimpostazione della password self-service di Microsoft Entra ID offre un modo semplice per consentire agli amministratori IT di reimpostare o sbloccare le password o gli account senza l'intervento dell'amministratore o del supporto tecnico. Il sistema include report dettagliati per tenere traccia del momento in cui gli utenti hanno reimpostato le password, nonché delle notifiche che segnalano usi impropri o non autorizzati.

Implementare l'accesso self-service alle applicazioni e ai gruppi

Microsoft Entra ID può consentire agli utenti non amministratori di gestire l'accesso alle risorse, usando gruppi di sicurezza, gruppi di Microsoft 365, ruoli applicazione e cataloghi dei pacchetti di accesso. Gestione gruppi self-service consente a un proprietario di gruppi di gestire i propri gruppi senza che gli venga necessariamente assegnato un ruolo di amministratore. Gli utenti possono anche creare e gestire gruppi di Microsoft 365 senza affidarsi agli amministratori per gestire le richieste e i gruppi inutilizzati scadono automaticamente. La gestione entitlement di Microsoft Entra consente inoltre la delega e la visibilità, con flussi di lavoro completi delle richieste di accesso e scadenza automatica. È possibile delegare agli utenti non amministratori la possibilità di configurare pacchetti di accesso propri per i gruppi, Teams, le applicazioni e i siti di SharePoint Online di cui sono proprietari, con criteri personalizzati per gli utenti che richiedono di approvare l'accesso, inclusa la configurazione dei responsabili dei dipendenti e degli sponsor dei partner commerciali come responsabili approvazione.

Implementare le verifiche di accesso di Microsoft Entra

Con le verifiche di accesso di Microsoft Entra è possibile gestire le appartenenze ai pacchetti di accesso e ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo con privilegi per assicurarsi di mantenere uno standard di sicurezza. Una supervisione regolare da parte degli utenti stessi, dei proprietari delle risorse e di altri revisori garantisce che gli utenti non mantengano l'accesso per periodi di tempo prolungati quando non è più necessario.

Implementare il provisioning utenti automatico

Il provisioning e il deprovisioning sono i processi che assicurano la coerenza delle identità digitali tra più sistemi. Questi processi vengono in genere applicati come parte della gestione del ciclo di vita delle identità.

Il provisioning è il processo di creazione di un'identità in un sistema di destinazione in base a determinate condizioni. Il deprovisioning è il processo di rimozione dell'identità dal sistema di destinazione, quando le condizioni non vengono più soddisfatte. La sincronizzazione è il processo che consente di mantenere aggiornato l'oggetto di cui è stato effettuato il provisioning, in modo che l'oggetto di origine e quello di destinazione siano simili.

Microsoft Entra ID offre attualmente tre aree di provisioning automatizzato. Sono:

• Provisioning da un sistema autorevole non directory esterno di record a Microsoft Entra ID, tramite provisioning basato sulle risorse umane
• Provisioning da Microsoft Entra ID alle applicazioni tramite provisioning di app
• Provisioning tra Microsoft Entra ID e servizi di Dominio di Active Directory tramite provisioning tra directory

Altre informazioni sono disponibili qui: Che cos'è il provisioning con Microsoft Entra ID?

Riepilogo

Sono molti gli aspetti che ruotano attorno a un'infrastruttura di identità sicura, ma questo elenco di controllo di cinque passaggi consente di crearne una più sicura e protetta:

• Rafforzare le credenziali
• Ridurre la superficie di attacco
• Automatizzare la risposta alle minacce
• Usare l'intelligenza cloud
• Abilitare l'self-service dell'utente finale

Apprezziamo quanto seriamente si prenda la sicurezza e speriamo che questo documento sia una roadmap utile per un comportamento più sicuro per l'organizzazione.

Passaggi successivi

Se è necessaria assistenza per pianificare e distribuire le raccomandazioni, fare riferimento ai piani di distribuzione del progetto Microsoft Entra ID per assistenza.

Se si è certi di avere completato tutti questi passaggi, usare Identity Secure Score di Microsoft, che consente di rimanere aggiornati sulle procedure consigliate più recenti e sulle minacce alla sicurezza.