Informazioni di riferimento sulla guida alle operazioni generali di Microsoft Entra
Questa sezione della guida di riferimento alle operazioni di Microsoft Entra descrive i controlli e le azioni da eseguire per ottimizzare le operazioni generali di Microsoft Entra ID.
Nota
Queste raccomandazioni sono aggiornate a partire dalla data di pubblicazione, ma possono cambiare nel tempo. Le organizzazioni devono valutare continuamente le procedure operative man mano che i prodotti e i servizi Microsoft si evolvono nel tempo.
Processi operativi chiave
Assegnare proprietari alle attività principali
La gestione di Microsoft Entra ID richiede l'esecuzione continua di attività e processi operativi chiave, che potrebbero non far parte di un progetto di implementazione. È comunque importante configurare queste attività per ottimizzare l'ambiente. Le attività principali e i relativi proprietari consigliati includono:
| Attività | Proprietario |
|---|---|
| Miglioramenti delle unità nel punteggio di sicurezza delle identità | Team operativo di InfoSec |
| Gestire i server microsoft Entra Connessione | Team operativo IAM |
| Eseguire e valutare regolarmente i report IdFix | Team operativo IAM |
| Valutazione degli avvisi di integrità di Microsoft Entra Connessione per la sincronizzazione e AD FS | Team operativo IAM |
| Se non si usa Microsoft Entra Connessione Health, il cliente dispone di processi e strumenti equivalenti per monitorare l'infrastruttura personalizzata | Team operativo IAM |
| Se non si usa AD FS, il cliente ha strumenti e processi equivalenti per monitorare l'infrastruttura personalizzata | Team operativo IAM |
| Monitorare i log ibridi: connettori di rete privata Di Microsoft Entra | Team operativo IAM |
| Monitorare i log ibridi: agenti di autenticazione pass-through | Team operativo IAM |
| Monitorare i log ibridi: servizio di writeback delle password | Team operativo IAM |
| Monitorare i log ibridi: gateway di protezione password locale | Team operativo IAM |
| Monitorare i log ibridi: Estensione NPS per l'autenticazione a più fattori Di Microsoft Entra (se applicabile) | Team operativo IAM |
Quando si esamina l'elenco, potrebbe essere necessario assegnare un proprietario per le attività che mancano a un proprietario o modificare la proprietà per le attività con i proprietari che non sono allineati alle raccomandazioni precedenti.
Lettura consigliata dai proprietari
Gestione ibrida
Versioni recenti dei componenti locali
La disponibilità delle versioni più aggiornate dei componenti locali offre al cliente tutti gli ultimi aggiornamenti della sicurezza, miglioramenti delle prestazioni e funzionalità che potrebbero contribuire a semplificare ulteriormente l'ambiente. La maggior parte dei componenti ha un'impostazione di aggiornamento automatico, che automatizza il processo di aggiornamento.
Questi componenti includono:
- Microsoft Entra Connect
- Connettori di rete privata Microsoft Entra
- Agenti di autenticazione pass-through di Microsoft Entra
- Microsoft Entra Connessione Health Agents
A meno che non sia stato stabilito, è necessario definire un processo per aggiornare questi componenti e basarsi sulla funzionalità di aggiornamento automatico, quando possibile. Se si trovano componenti con sei o più mesi di ritardo, è consigliabile eseguire l'aggiornamento il prima possibile.
Lettura consigliata per la gestione ibrida
- Microsoft Entra Connessione: aggiornamento automatico
- Informazioni sui connettori di rete privata di Microsoft Entra | Aggiornamenti automatici
Baseline degli avvisi di integrità di Microsoft Entra Connessione
Le organizzazioni devono distribuire Microsoft Entra Connessione Health per il monitoraggio e la creazione di report di Microsoft Entra Connessione e AD FS. Microsoft Entra Connessione e AD FS sono componenti critici che possono interrompere la gestione e l'autenticazione del ciclo di vita e quindi causare interruzioni. Microsoft Entra Connessione Health consente di monitorare e ottenere informazioni dettagliate sull'infrastruttura di gestione delle identità locale, garantendo così l'affidabilità dell'ambiente.
Quando si monitora l'integrità dell'ambiente, è necessario risolvere immediatamente eventuali avvisi con gravità elevata, seguiti da avvisi di gravità inferiore.
Lettura consigliata di Microsoft Entra Connessione Health
Log degli agenti locali
Alcuni servizi di gestione delle identità e degli accessi richiedono agenti locali per abilitare scenari ibridi. Alcuni esempi includono la reimpostazione della password, l'autenticazione pass-through (PTA), il proxy dell'applicazione Microsoft Entra e l'estensione nps di autenticazione a più fattori Di Microsoft Entra. È fondamentale che la baseline del team operativo e monitori l'integrità di questi componenti archiviando e analizzando i log dell'agente dei componenti usando soluzioni come System Center Operations Manager o SIEM. È altrettanto importante che il team operativo di Infosec o l'help desk comprendano come risolvere i modelli di errori.
Lettura consigliata dei log degli agenti locali
- Risolvere i problemi del Proxy applicazione
- Risoluzione dei problemi di reimpostazione della password self-service
- Informazioni sui connettori di rete privata di Microsoft Entra
- Microsoft Entra Connessione: Risolvere i problemi di autenticazione pass-through
- Risolvere i problemi relativi ai codici di errore per l'estensione nps di autenticazione a più fattori Microsoft Entra
Gestione degli agenti locali
L'adozione di procedure consigliate consente di ottimizzare il funzionamento degli agenti locali. Prendere in considerazione le procedure consigliate seguenti:
- Quando si accede alle applicazioni proxy, è consigliabile usare più connettori di rete privati Microsoft Entra per ogni gruppo di connettori per garantire un bilanciamento del carico e una disponibilità elevata senza interruzioni. Se attualmente si dispone di un solo connettore in un gruppo di connettori che gestisce le applicazioni nell'ambiente di produzione, è necessario distribuire almeno due connettori per la ridondanza.
- La creazione e l'uso di un gruppo di connettori di rete privata a scopo di debug possono essere utili per la risoluzione dei problemi di scenari e durante l'onboarding di nuove applicazioni locali. È anche consigliabile installare strumenti di rete come Message Analyzer e Fiddler nei computer del connettore.
- È consigliabile usare più agenti di autenticazione pass-through per garantire un bilanciamento del carico semplice e una disponibilità elevata evitando un singolo punto di errore durante il flusso di autenticazione. Assicurarsi di distribuire almeno due agenti di autenticazione pass-through per la ridondanza.
Lettura consigliata per la gestione degli agenti locali
- Informazioni sui connettori di rete privata di Microsoft Entra
- Autenticazione pass-through di Microsoft Entra - Guida introduttiva
Gestione su larga scala
Punteggio di sicurezza delle identità
Il punteggio di sicurezza dell'identità fornisce una misura quantificabile del comportamento di sicurezza dell'organizzazione. È fondamentale esaminare e risolvere costantemente i risultati segnalati e cercare di ottenere il punteggio più alto possibile. Il punteggio consente di:
- Misurare obiettivamente le condizioni di sicurezza delle identità
- Pianificare miglioramenti per la sicurezza delle identità
- Verificare il successo dei miglioramenti apportati
Se l'organizzazione non dispone attualmente di un programma per monitorare le modifiche nel punteggio di sicurezza delle identità, è consigliabile implementare un piano e assegnare ai proprietari il monitoraggio e l'esecuzione di azioni di miglioramento. Le organizzazioni devono correggere le azioni di miglioramento con un impatto del punteggio superiore a 30 appena possibile.
Notifications
Microsoft invia comunicazioni tramite posta elettronica agli amministratori per notificare varie modifiche nel servizio, aggiornamenti della configurazione necessari ed errori che richiedono l'intervento dell'amministratore. È importante che i clienti impostino gli indirizzi di posta elettronica di notifica in modo che le notifiche vengano inviate ai membri del team appropriati che possono riconoscere e agire su tutte le notifiche. È consigliabile aggiungere più destinatari al Centro messaggi e richiedere che le notifiche (incluse le notifiche di Microsoft Entra Connessione Integrità) vengano inviate a una lista di distribuzione o a una cassetta postale condivisa. Se si dispone di un solo account globale Amministrazione istrator con un indirizzo di posta elettronica, assicurarsi di configurare almeno due account che supportano la posta elettronica.
Esistono due indirizzi "From" usati da Microsoft Entra ID: o365mc@email2.microsoft.com, che invia le notifiche del Centro messaggi; e azure-noreply@microsoft.com, che invia notifiche correlate a:
- Verifiche di accesso di Microsoft Entra
- Microsoft Entra Connessione Health
- Microsoft Entra ID Protection
- Gestione delle identità con privilegi di Microsoft Entra
- Notifiche del certificato di scadenza dell'app aziendale
- Notifiche del servizio di provisioning di app aziendali
Fare riferimento alla tabella seguente per informazioni sul tipo di notifiche inviate e sulla relativa posizione:
| Origine delle notifiche | Cosa viene inviato | Dove controllare |
|---|---|---|
| Contatto tecnico | Errori di sincronizzazione | portale di Azure - Pannello delle proprietà |
| Centro messaggi | Avvisi imprevisti e riduzione delle prestazioni dei servizi back-end di Servizi di gestione delle identità e dei servizi back-end di Microsoft 365 | Portale di Office |
| Digest settimanale di Identity Protection | Identity Protection Digest | Pannello Protezione ID Microsoft Entra |
| Microsoft Entra Connect Health | Notifiche di avviso | portale di Azure - Pannello Integrità di Microsoft Entra Connessione |
| Notifiche delle applicazioni aziendali | Notifiche quando i certificati stanno per scadere e errori di provisioning | portale di Azure - Pannello Applicazione aziendale (ogni app ha un'impostazione specifica dell'indirizzo di posta elettronica) |
Notifiche consigliate per la lettura
Superficie operativa
Blocco di AD FS
Le organizzazioni, che configurano le applicazioni per l'autenticazione direttamente in Microsoft Entra ID traggono vantaggio dal blocco intelligente di Microsoft Entra. Se si usa AD FS in Windows Server 2012 R2, implementare la protezione del blocco extranet di AD FS. Se si usa AD FS in Windows Server 2016 o versione successiva, implementare il blocco intelligente extranet. È consigliabile abilitare almeno il blocco extranet per contenere il rischio di attacchi di forza bruta contro Active Directory locale. Tuttavia, se si dispone di AD FS in Windows 2016 o versione successiva, è consigliabile abilitare anche il blocco intelligente extranet che contribuirà a mitigare gli attacchi password spray .
Se AD FS viene usato solo per la federazione di Microsoft Entra, esistono alcuni endpoint che possono essere disattivati per ridurre al minimo la superficie di attacco. Ad esempio, se AD FS viene usato solo per Microsoft Entra ID, è necessario disabilitare gli endpoint WS-Trust diversi dagli endpoint abilitati per usernamemixed e windowstransport.
Accesso ai computer con componenti di identità locali
Le organizzazioni devono bloccare l'accesso ai computer con componenti ibridi locali nello stesso modo del dominio locale. Ad esempio, un operatore di backup o un amministratore di Hyper-V non deve essere in grado di accedere a Microsoft Entra Connessione Server per modificare le regole.
Il modello di livello amministrativo di Active Directory è stato progettato per proteggere i sistemi di gestione delle identità usando un set di zone di buffer tra il controllo completo dell'ambiente (livello 0) e gli asset delle workstation ad alto rischio che gli utenti malintenzionati compromessi frequentemente.
Il modello di livello è composto da tre livelli e include solo account amministrativi, non account utente standard.
- Livello 0: controllo diretto dell'identità dell'organizzazione nell'ambiente. Il livello 0 include account, gruppi e altre risorse che detengono il controllo amministrativo diretto o indiretto della foresta, dei domini o dei controller di dominio di Active Directory e tutte le risorse in esso contenuti. La riservatezza della sicurezza di tutti gli asset di livello 0 è equivalente perché sono tutti in grado di controllarsi tra loro.
- Livello 1: controllo dei server aziendali e delle applicazioni. Le risorse di livello 1 includono i sistemi operativi del server, i servizi cloud e le applicazioni aziendali. Gli account amministratore di livello 1 hanno il controllo amministrativo di una percentuale significativa del valore aziendale ospitato su queste risorse. Un ruolo di esempio comune sono gli amministratori del server che gestiscono questi sistemi operativi con la possibilità di influenzare tutti i servizi aziendali.
- Livello 2: controllo delle workstation e dei dispositivi degli utenti. Gli account amministratore di livello 2 hanno il controllo amministrativo di una percentuale significativa del valore aziendale ospitato sulle workstation e sui dispositivi degli utenti. Gli esempi includono l'Help Desk e gli amministratori di supporto del computer, in quanto possono avere un impatto sull'integrità della maggior parte dei dati utente.
Bloccare l'accesso ai componenti di identità locali, ad esempio Microsoft Entra Connessione, AD FS e i servizi SQL allo stesso modo dei controller di dominio.
Riepilogo
Esistono sette aspetti per un'infrastruttura di identità sicura. Questo elenco consente di trovare le azioni da eseguire per ottimizzare le operazioni per Microsoft Entra ID.
- Assegnare proprietari alle attività principali.
- Automatizzare il processo di aggiornamento per i componenti ibridi locali.
- Distribuire Microsoft Entra Connessione Health per il monitoraggio e la creazione di report di Microsoft Entra Connessione e AD FS.
- Monitorare l'integrità dei componenti ibridi locali archiviando e analizzando i log dell'agente dei componenti usando System Center Operations Manager o una soluzione SIEM.
- Implementare miglioramenti della sicurezza misurando il comportamento di sicurezza con Identity Secure Score.
- Bloccare AD FS.
- Bloccare l'accesso ai computer con componenti di identità locali.
Passaggi successivi
Per informazioni dettagliate sull'implementazione di tutte le funzionalità non distribuite, vedere i piani di distribuzione di Microsoft Entra.