Recupero da configurazioni errate
Le impostazioni di configurazione in Microsoft Entra ID possono influire sulle risorse presenti nel tenant di Microsoft Entra tramite azioni di gestione mirate o a livello di tenant.
Cosa è la configurazione?
Le configurazioni sono modifiche apportate a Microsoft Entra ID che modificano il comportamento o le funzionalità di un servizio o di una funzionalità di Microsoft Entra. Ad esempio, quando si configura un criterio di Accesso condizionale, si modifica chi può accedere alle applicazioni di destinazione e in quali circostanze.
È necessario comprendere gli elementi di configurazione importanti per l'organizzazione. Le configurazioni seguenti hanno un impatto elevato sulla postura di sicurezza.
Configurazioni a livello di tenant
Identità esterne: gli amministratori globali per il tenant identificano e controllano le identità esterne di cui è possibile effettuare il provisioning nel tenant. Determinano:
- Indica se consentire identità esterne nel tenant.
- Da cui è possibile aggiungere identità esterne dei domini.
- Indica se gli utenti possono invitare utenti da altri tenant.
Località denominate: gli amministratori globali possono creare posizioni denominate, che possono quindi essere usate per:
- Bloccare gli accessi da posizioni specifiche.
- Attivare criteri di Accesso condizionale come l'autenticazione a più fattori.
Metodi di autenticazione consentiti: gli amministratori globali impostano i metodi di autenticazione consentiti per il tenant.
Opzioni self-service: gli amministratori globali impostano opzioni self-service come la reimpostazione della password self-service e creano gruppi di Office 365 a livello di tenant.
È possibile definire l'ambito dell'implementazione di alcune configurazioni a livello di tenant, purché non vengano sottoposte a override dai criteri di amministrazione globali. Ad esempio:
- Se il tenant è configurato per consentire le identità esterne, un amministratore delle risorse può comunque escludere tali identità dall'accesso a una risorsa.
- Se il tenant è configurato per consentire la registrazione del dispositivo personale, un amministratore delle risorse può escludere tali dispositivi dall'accesso a risorse specifiche.
- Se sono configurati percorsi denominati, un amministratore delle risorse può configurare i criteri che consentono o escludono l'accesso da tali posizioni.
Configurazioni di Accesso condizionale
I criteri di Accesso condizionale sono configurazioni di controllo di accesso che raggruppano i segnali per prendere decisioni e applicare i criteri dell'organizzazione.
Per altre informazioni sui criteri sull’Accesso condizionale, vedere Cos'è l'Accesso condizionale in Microsoft Entra ID?.
Nota
Sebbene la configurazione modifichi il comportamento o le funzionalità di un oggetto o di un criterio, non tutte le modifiche apportate a un oggetto sono la configurazione. È possibile modificare i dati o gli attributi associati a un elemento, ad esempio la modifica dell'indirizzo di un utente, senza influire sulle funzionalità dell'oggetto utente.
Che cos'è una configurazione errata?
La configurazione errata è una configurazione di una risorsa o di un criterio che differisce dai criteri o dai piani dell'organizzazione e provoca conseguenze impreviste o indesiderate.
Una configurazione errata delle impostazioni a livello di tenant o dei criteri di Accesso condizionale può influire seriamente sulla sicurezza e sull'immagine pubblica dell'organizzazione:
Modifica del modo in cui gli amministratori, gli utenti tenant e gli utenti esterni interagiscono con le risorse nel tenant:
- Limitare inutilmente l'accesso alle risorse.
- Allentare i controlli di accesso sulle risorse sensibili.
Modifica della capacità degli utenti di interagire con altri tenant e utenti esterni per interagire con il tenant.
Causando un attacco Denial of Service, ad esempio, non consentendo ai clienti di accedere ai propri account.
Dipendenze di rilievo tra dati, sistemi e applicazioni che causano errori dei processi aziendali.
Quando si verificano errori di configurazione?
È molto probabile che si verifichi una configurazione errata quando:
- Si è commesso un errore durante le modifiche ad hoc.
- Un errore viene commesso a seguito di esercizi di risoluzione dei problemi.
- Un'azione è stata eseguita con finalità dannose da un cattivo attore.
Evitare errori di configurazione
È fondamentale che le modifiche alla configurazione prevista di un tenant di Microsoft Entra siano soggette a processi di gestione delle modifiche affidabili, tra cui:
- Documentare la modifica, incluso lo stato precedente e lo stato post-modifica previsto.
- L'uso di Privileged Identity Management (PIM) per garantire che gli amministratori con finalità di modifica debbano eseguire deliberatamente l'escalation dei propri privilegi a tale scopo. Per altre informazioni su PIM, vedere Che cos'è Azure AD Privileged Identity Management?.
- L'uso di un flusso di lavoro di approvazione sicuro per le modifiche, ad esempio, richiede l’'approvazione dell'escalation PIM dei privilegi.
Monitorare le modifiche di configurazione
Anche se si desidera evitare errori di configurazione, non è possibile impostare la barra per le modifiche in modo che influisca sulla capacità degli amministratori di eseguire il lavoro in modo efficiente.
Monitorare attentamente le modifiche alla configurazione controllando le operazioni seguenti nel log di audit di Microsoft Entra:
- Aggiungere
- Creazione
- Aggiornamento
- Set
- Elimina
La tabella seguente include voci informative nel log di audit che è possibile cercare.
Modifiche alla configurazione del metodo di autenticazione e dell'Accesso condizionale
I criteri di Accesso condizionale vengono creati nella pagina Accesso condizionale nel portale di Azure. Le modifiche ai criteri vengono apportate nella pagina Dettagli dei criteri di Accesso condizionale per i criteri.
| Filtro del servizio | Attività | Potenziale impatto |
|---|---|---|
| Accesso condizionale | Aggiungere, aggiornare o eliminare criteri di Accesso condizionale | L'accesso utente viene concesso o bloccato quando non deve essere. |
| Accesso condizionale | Aggiungere, aggiornare o eliminare un percorso denominato | I percorsi di rete utilizzati dai criteri di Accesso condizionale non sono configurati come previsto, creando lacune nelle condizioni dei criteri di Accesso condizionale. |
| Authentication method | Aggiorna criterio Metodi di autenticazione | Gli utenti possono usare metodi di autenticazione più deboli o sono bloccati da un metodo che devono usare. |
Modifiche alla configurazione per la reimpostazione di utenti e password
Le modifiche alle impostazioni utente vengono apportate nella pagina Impostazioni utente del portale di Azure. Le modifiche alla reimpostazione della password vengono apportate nella pagina Reimpostazione password. Le modifiche apportate in queste pagine vengono acquisite nel log di audit come descritto nella tabella seguente.
| Filtro del servizio | Attività | Potenziale impatto |
|---|---|---|
| Directory principale | Aggiornare le impostazioni aziendali | Gli utenti potrebbero o non essere in grado di registrare le applicazioni, contrariamente all’intento. |
| Directory principale | Impostare le informazioni sull'azienda | Gli utenti potrebbero o non essere in grado di accedere al portale di amministrazione di Microsoft Entra, contrariamente all’intento. Le pagine di accesso non rappresentano il marchio aziendale, con potenziali danni alla reputazione. |
| Directory principale | Attività: entità servizio aggiornata Destinazione: 0365 Connessione LinkedIn |
Gli utenti potrebbero o non essere in grado di connettere il proprio account Microsoft Entra con LinkedIn, contrariamente all’intento. |
| Gestione di gruppi self-service | Aggiornare il valore della funzionalità App personali | Gli utenti potrebbero o meno essere in grado di usare le funzionalità utente, contrariamente all’intento. |
| Gestione di gruppi self-service | Aggiornare il valore della funzionalità ConvergedUXV2 | Gli utenti potrebbero o meno essere in grado di usare le funzionalità utente, contrariamente all’intento. |
| Gestione di gruppi self-service | Aggiornare il valore della funzionalità MyStaff | Gli utenti potrebbero o meno essere in grado di usare le funzionalità utente, contrariamente all’intento. |
| Directory principale | Attività: aggiornare un'entità servizio Destinazione: servizio di reimpostazione della password Microsoft |
Gli utenti sono o meno in grado di reimpostare la password, contrariamente all’intento. Gli utenti devono o meno eseguire la registrazione per la reimpostazione della password self-service, contrariamente all’intento. Gli utenti possono reimpostare la password usando metodi non approvati, ad esempio usando domande di sicurezza. |
Modifiche alla configurazione delle identità esterne
È possibile apportare modifiche a queste impostazioni nelle pagine delle impostazioni Identità esterne o Collaborazione esterna nel portale di Azure.
| Filtro del servizio | Attività | Potenziale impatto |
|---|---|---|
| Directory principale | Aggiungere, aggiornare o eliminare un partner per l'impostazione di accesso tra tenant | Gli utenti hanno accesso in uscita ai tenant che devono essere bloccati. Gli utenti di tenant esterni che devono essere bloccati hanno accesso in ingresso. |
| B2C | Creare o eliminare un provider di identità | I provider di identità per gli utenti che devono essere in grado di collaborare sono mancanti, bloccando l'accesso per tali utenti. |
| Directory principale | Impostare una funzionalità directory nel tenant | Gli utenti esterni hanno una visibilità maggiore o inferiore degli oggetti directory rispetto a quanto previsto. Gli utenti esterni potrebbero o meno invitare altri utenti esterni al tenant, contrariamente all’intento. |
| Directory principale | Configurazione delle impostazioni di federazione nel dominio | Gli inviti degli utenti esterni potrebbero o meno essere inviati agli utenti di altri tenant, contrariamente all’intento. |
| Criteri di autorizzazione | Aggiorna criterio di autorizzazione | Gli inviti degli utenti esterni potrebbero o meno essere inviati agli utenti di altri tenant, contrariamente all’intento. |
| Directory principale | Criteri di aggiornamento | Gli inviti degli utenti esterni potrebbero o meno essere inviati agli utenti di altri tenant, contrariamente all’intento. |
Modifiche alla configurazione delle definizioni di ruolo e mobilità personalizzate
| Filtro del servizio | Attività/portale | Potenziale impatto |
|---|---|---|
| Directory principale | Aggiungere una definizione di ruolo | L'ambito del ruolo personalizzato è più stretto o più ampio del previsto. |
| PIM | Aggiornare l'impostazione del ruolo | L'ambito del ruolo personalizzato è più stretto o più ampio del previsto. |
| Directory principale | Aggiornare la definizione del ruolo | L'ambito del ruolo personalizzato è più stretto o più ampio del previsto. |
| Directory principale | Eliminare la definizione del ruolo | Mancano ruoli personalizzati. |
| Directory principale | Aggiungere concessioni di autorizzazioni delegate | La gestione dei dispositivi mobili o la configurazione della gestione delle applicazioni mobili non è configurata correttamente, il che causa un errore di gestione di dispositivi o applicazioni. |
Visualizzazione dettagli log di audit
Se si selezionano alcune voci di audit nel log di audit, verranno forniti dettagli sui valori di configurazione precedenti e nuovi. Ad esempio, per le modifiche alla configurazione dei criteri di Accesso condizionale, è possibile visualizzare le informazioni nello screenshot seguente.
Usare le cartelle di lavoro per tenere traccia delle modifiche
Le cartelle di lavoro di Monitoraggio di Azure possono aiutare a monitorare le modifiche alla configurazione.
La cartella di lavoro di Report operazioni sensibili può aiutare a identificare le attività sospette dell'applicazione e dell'entità servizio che potrebbero indicare una compromissione, tra cui:
- Metodi di autenticazione o credenziali di applicazioni o entità servizio modificati.
- Nuove autorizzazioni concesse alle entità servizio.
- Aggiornamenti del ruolo della directory e dell'appartenenza ai gruppi per le entità servizio.
- Impostazioni di federazione modificate.
La cartella di lavoro Attività di accesso tra tenant può aiutare a monitorare le applicazioni nei tenant esterni a cui gli utenti accedono e quali applicazioni accedono agli utenti esterni del tenant. Usare questa cartella di lavoro per cercare modifiche anomale nell'accesso alle applicazioni in ingresso o in uscita tra tenant.
Passaggi successivi
- Per informazioni fondamentali sulla recuperabilità, vedere Procedure consigliate per la recuperabilità.
- Per informazioni sul recupero da eliminazioni, vedere Recupero da eliminazioni.