Proteggere le identità dell'organizzazione con Microsoft Entra ID

Può sembrare scoraggiante cercare di proteggere i lavoratori nel mondo odierno, soprattutto quando è necessario rispondere rapidamente e fornire l'accesso a molti servizi rapidamente. Questo articolo è destinato a fornire un elenco conciso di tutte le azioni da intraprendere, consentendo di identificare e classificare in ordine di priorità l'ordine di distribuzione delle funzionalità di Microsoft Entra in base al tipo di licenza di cui si è proprietari.

Microsoft Entra ID offre molte funzionalità e offre molti livelli di sicurezza per le identità, spostandosi in quale funzionalità è rilevante a volte può essere difficile. Questo documento è progettato per aiutare le organizzazioni a distribuire rapidamente i servizi, con identità sicure come considerazione principale.

Ogni tabella fornisce una raccomandazione di sicurezza coerente, proteggendo le identità da attacchi di sicurezza comuni riducendo al minimo l'attrito degli utenti.

Le indicazioni consentono di:

  • Configurare l'accesso al software come servizio (SaaS) e alle applicazioni locali in modo sicuro e protetto
  • Identità sia cloud che ibride
  • Utenti che lavorano in remoto o in ufficio

Prerequisiti

Questa guida presuppone che l'identità cloud o ibrida sia già stata stabilita in Microsoft Entra ID. Per informazioni sulla scelta del tipo di identità, vedere l'articolo Scegliere il metodo di autenticazione appropriato (AuthN) per la soluzione di gestione delle identità ibrida Di Microsoft Entra.

Procedura dettagliata guidata

Per una procedura dettagliata guidata di molti dei consigli in questo articolo, vedere la guida Configurare l'ID Di Microsoft Entra quando si accede al Amministrazione Microsoft 365 Center. Per esaminare le procedure consigliate senza accedere e attivare funzionalità di configurazione automatizzate, passare al portale di installazione di Microsoft 365.

Indicazioni per i clienti di Microsoft Entra ID Free, Office 365 o Microsoft 365

Esistono molti consigli che i clienti delle app Microsoft Entra ID Free, Office 365 o Microsoft 365 devono adottare per proteggere le identità degli utenti. La tabella seguente è progettata per evidenziare le azioni chiave per le sottoscrizioni di licenza seguenti:

  • Office 365 (Office 365 E1, E3, E5, F1, A1, A3, A5)
  • Microsoft 365 (Business Basic, Apps for Business, Business Standard, Business Premium, A1)
  • Microsoft Entra ID Free (incluso in Azure, Dynamics 365, Intune e Power Platform)
Azione consigliata Dettagli
Abilitare le impostazioni predefinite per la sicurezza Proteggere tutte le identità utente e le applicazioni abilitando l'autenticazione a più fattori e bloccando l'autenticazione legacy.
Abilitare la sincronizzazione dell'hash delle password (se si usano identità ibride) Fornire ridondanza per l'autenticazione e migliorare la sicurezza (tra cui blocco intelligente, blocco IP e possibilità di individuare le credenziali perse).
Abilitare il blocco intelligente di AD FS (se applicabile) Protegge gli utenti dall'esperienza di blocco dell'account Extranet da attività dannose.
Abilitare il blocco intelligente di Microsoft Entra (se si usano identità gestite) Il blocco intelligente consente di bloccare gli attori malintenzionati che tentano di indovinare le password degli utenti o usare metodi di forza bruta per entrare.
Disabilitare il consenso dell'utente finale alle applicazioni Il flusso di lavoro di consenso amministratore offre agli amministratori un modo sicuro per concedere l'accesso alle applicazioni che richiedono l'approvazione dell'amministratore, in modo che gli utenti finali non espongono i dati aziendali. Per ridurre l’area di azione e mitigare questo rischio, Microsoft consiglia di disabilitare le future operazioni di consenso degli utenti.
Integrare le applicazioni SaaS supportate dalla raccolta a Microsoft Entra ID e abilitare l'accesso Single Sign-On (SSO) Microsoft Entra ID include una raccolta che contiene migliaia di applicazioni preintegrate. Alcune applicazioni usate dall'organizzazione sono probabilmente incluse nella raccolta accessibile direttamente dal portale di Azure. Fornire l'accesso alle applicazioni SaaS aziendali in modalità remota e sicura con un'esperienza utente migliorata (Single Sign-On)).
Automatizzare il provisioning e il deprovisioning degli utenti dalle applicazioni SaaS (se applicabile) Creare automaticamente identità utente e ruoli nelle applicazioni cloud (SaaS) a cui gli utenti devono accedere. Oltre a creare identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente man mano che cambiano lo stato o i ruoli, aumentando la sicurezza dell'organizzazione.
Abilitare l'accesso ibrido sicuro: proteggere le app legacy con controller e reti esistenti per la distribuzione di app (se applicabile) Pubblicare e proteggere le applicazioni di autenticazione legacy locali e cloud connettendole all'ID Microsoft Entra con il controller o la rete esistente per la distribuzione di applicazioni.
Abilitare la reimpostazione della password self-service (applicabile agli account solo cloud) Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione.
Usare i ruoli con privilegi minimi, se possibile Concedere agli amministratori solo l'accesso necessario esclusivamente alle aree a cui devono accedere. Non tutti gli amministratori devono essere global Amministrazione istrator.
Implementare le linee guida per le password di Microsoft Smettere di richiedere agli utenti di modificare la password in base a una pianificazione specifica e disabilitare i requisiti di complessità: gli utenti saranno più propensi a ricordare le loro password e a mantenerle in sicurezza.

Indicazioni per i clienti di Microsoft Entra ID P1

La tabella seguente è progettata per evidenziare le azioni chiave per le sottoscrizioni di licenza seguenti:

  • Microsoft Entra ID P1
  • Microsoft Enterprise Mobility + Security E3
  • Microsoft 365 (E3, A3, F1, F3)
Azione consigliata Dettagli
Creare più di un Amministrazione istrator globale Assegnare almeno due account global Amministrazione istrator permanenti solo cloud da usare in caso di emergenza. Questi account non devono essere usati quotidianamente e devono avere password lunghe e complesse.
Abilitare l'esperienza di registrazione combinata per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service per semplificare l'esperienza di registrazione utente Consentire agli utenti di registrarsi da un'esperienza comune sia per l'autenticazione a più fattori microsoft che per la reimpostazione della password self-service.
Configurare le impostazioni di autenticazione a più fattori per l'organizzazione Assicurarsi che gli account siano protetti da essere compromessi con l'autenticazione a più fattori.
Abilitare la reimpostazione self-service delle password Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione.
Implementare il writeback delle password (se si usano identità ibride) Consentire il writeback delle modifiche delle password nel cloud in un ambiente di Windows Server Active Directory locale.
Creare e abilitare i criteri di accesso condizionale Autenticazione a più fattori per gli amministratori per proteggere gli account a cui sono assegnati diritti amministrativi.

Bloccare i protocolli di autenticazione legacy a causa del maggiore rischio associato ai protocolli di autenticazione legacy.

Autenticazione a più fattori per tutti gli utenti e le applicazioni per creare criteri di autenticazione a più fattori bilanciati per l'ambiente, proteggendo utenti e applicazioni.

Richiedere l'autenticazione a più fattori per Gestione di Azure per proteggere le risorse con privilegi richiedendo l'autenticazione a più fattori per qualsiasi utente che accede alle risorse di Azure.
Abilitare la sincronizzazione dell'hash delle password (se si usano identità ibride) Fornire ridondanza per l'autenticazione e migliorare la sicurezza (tra cui blocco intelligente, blocco IP e la possibilità di individuare le credenziali perse).
Abilitare il blocco intelligente di AD FS (se applicabile) Protegge gli utenti dall'esperienza di blocco dell'account Extranet da attività dannose.
Abilitare il blocco intelligente di Microsoft Entra (se si usano identità gestite) Il blocco intelligente consente di bloccare gli attori malintenzionati che tentano di indovinare le password degli utenti o usare metodi di forza bruta per entrare.
Disabilitare il consenso dell'utente finale alle applicazioni Il flusso di lavoro di consenso amministratore offre agli amministratori un modo sicuro per concedere l'accesso alle applicazioni che richiedono l'approvazione dell'amministratore, in modo che gli utenti finali non espongono i dati aziendali. Per ridurre l’area di azione e mitigare questo rischio, Microsoft consiglia di disabilitare le future operazioni di consenso degli utenti.
Abilitare l'accesso remoto alle applicazioni legacy locali con il proxy di applicazione Abilitare il proxy dell'applicazione Microsoft Entra e integrarsi con le app legacy per consentire agli utenti di accedere in modo sicuro alle applicazioni locali accedendo con il proprio account Microsoft Entra.
Abilitare l'accesso ibrido sicuro: proteggere le app legacy con controller e reti esistenti per la distribuzione di app (se applicabile). Pubblicare e proteggere le applicazioni di autenticazione legacy locali e cloud connettendole all'ID Microsoft Entra con il controller o la rete esistente per la distribuzione di applicazioni.
Integrare le applicazioni SaaS supportate dalla raccolta a Microsoft Entra ID e abilitare l'accesso Single Sign-On Microsoft Entra ID include una raccolta che contiene migliaia di applicazioni preintegrate. Alcune applicazioni usate dall'organizzazione sono probabilmente incluse nella raccolta accessibile direttamente dal portale di Azure. Fornire l'accesso alle applicazioni SaaS aziendali in modalità remota e sicura con un'esperienza utente migliorata (SSO).
Automatizzare il provisioning e il deprovisioning degli utenti dalle applicazioni SaaS (se applicabile) Creare automaticamente identità utente e ruoli nelle applicazioni cloud (SaaS) a cui gli utenti devono accedere. Oltre a creare identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente man mano che cambiano lo stato o i ruoli, aumentando la sicurezza dell'organizzazione.
Abilitare l'accesso condizionale - Basato su dispositivo Migliorare la sicurezza e le esperienze utente con l'accesso condizionale basato su dispositivo. Questo passaggio garantisce che gli utenti possano accedere solo dai dispositivi che soddisfano gli standard per la sicurezza e la conformità. I dispositivi di questo tipo sono noti anche come dispositivi gestiti. I dispositivi gestiti possono essere conformi a Intune o dispositivi aggiunti a Microsoft Entra ibrido.
Abilitare la protezione password Proteggere gli utenti dall'uso di password deboli e facili da indovinare.
Usare i ruoli con privilegi minimi, se possibile Concedere agli amministratori solo l'accesso necessario esclusivamente alle aree a cui devono accedere. Non tutti gli amministratori devono essere global Amministrazione istrator.
Implementare le linee guida per le password di Microsoft Smettere di richiedere agli utenti di modificare la password in base a una pianificazione specifica e disabilitare i requisiti di complessità: gli utenti saranno più propensi a ricordare le loro password e a mantenerle in sicurezza.
Creare un elenco di password personalizzate personalizzate escluse per un'organizzazione Impedire agli utenti di creare password che includono parole o frasi comuni per l'organizzazione o l'area.
Distribuire metodi di autenticazione senza password per gli utenti Fornire agli utenti metodi di autenticazione senza password.
Creare un piano per l'accesso degli utenti guest Collaborare con gli utenti guest consentendo loro di accedere alle app e ai servizi dell'organizzazione con le proprie identità aziendali, dell'istituto di istruzione o di social networking.

Indicazioni per i clienti di Microsoft Entra ID P2

La tabella seguente è progettata per evidenziare le azioni chiave per le sottoscrizioni di licenza seguenti:

  • Microsoft Entra ID P2
  • Microsoft Enterprise Mobility + Security E5
  • Microsoft 365 (E5, A5)
Azione consigliata Dettagli
Creare più di un Amministrazione istrator globale Assegnare almeno due account global Amministrazione istrator permanenti solo cloud da usare in caso di emergenza. Questi account non devono essere usati quotidianamente e devono avere password lunghe e complesse.
Abilitare l'esperienza di registrazione combinata per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service per semplificare l'esperienza di registrazione utente Consentire agli utenti di registrarsi da un'esperienza comune sia per l'autenticazione a più fattori microsoft che per la reimpostazione della password self-service.
Configurare le impostazioni di autenticazione a più fattori per l'organizzazione Assicurarsi che gli account siano protetti da essere compromessi con l'autenticazione a più fattori.
Abilitare la reimpostazione self-service delle password Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione.
Implementare il writeback delle password (se si usano identità ibride) Consentire il writeback delle modifiche delle password nel cloud in un ambiente di Windows Server Active Directory locale.
Abilitare i criteri di Identity Protection per applicare la registrazione dell'autenticazione a più fattori Gestire l'implementazione dell'autenticazione a più fattori di Microsoft Entra.
Abilitare i criteri di rischio di accesso e utente di Identity Protection Abilitare i criteri utente e di accesso di Identity Protection. I criteri di accesso consigliati sono destinati agli accessi a medio rischio e richiedono l'autenticazione a più fattori. Per i criteri utente, è consigliabile indirizzare gli utenti ad alto rischio che richiedono l'azione di modifica della password.
Creare e abilitare i criteri di accesso condizionale Autenticazione a più fattori per gli amministratori per proteggere gli account a cui sono assegnati diritti amministrativi.

Bloccare i protocolli di autenticazione legacy a causa del maggiore rischio associato ai protocolli di autenticazione legacy.

Richiedere l'autenticazione a più fattori per Gestione di Azure per proteggere le risorse con privilegi richiedendo l'autenticazione a più fattori per qualsiasi utente che accede alle risorse di Azure.
Abilitare la sincronizzazione dell'hash delle password (se si usano identità ibride) Fornire ridondanza per l'autenticazione e migliorare la sicurezza (tra cui blocco intelligente, blocco IP e la possibilità di individuare le credenziali perse).
Abilitare il blocco intelligente di AD FS (se applicabile) Protegge gli utenti dall'esperienza di blocco dell'account Extranet da attività dannose.
Abilitare il blocco intelligente di Microsoft Entra (se si usano identità gestite) Il blocco intelligente consente di bloccare gli attori malintenzionati che tentano di indovinare le password degli utenti o usare metodi di forza bruta per entrare.
Disabilitare il consenso dell'utente finale alle applicazioni Il flusso di lavoro di consenso amministratore offre agli amministratori un modo sicuro per concedere l'accesso alle applicazioni che richiedono l'approvazione dell'amministratore, in modo che gli utenti finali non espongono i dati aziendali. Per ridurre l’area di azione e mitigare questo rischio, Microsoft consiglia di disabilitare le future operazioni di consenso degli utenti.
Abilitare l'accesso remoto alle applicazioni legacy locali con il proxy di applicazione Abilitare il proxy dell'applicazione Microsoft Entra e integrarsi con le app legacy per consentire agli utenti di accedere in modo sicuro alle applicazioni locali accedendo con il proprio account Microsoft Entra.
Abilitare l'accesso ibrido sicuro: proteggere le app legacy con controller e reti esistenti per la distribuzione di app (se applicabile). Pubblicare e proteggere le applicazioni di autenticazione legacy locali e cloud connettendole all'ID Microsoft Entra con il controller o la rete esistente per la distribuzione di applicazioni.
Integrare le applicazioni SaaS supportate dalla raccolta a Microsoft Entra ID e abilitare l'accesso Single Sign-On Microsoft Entra ID include una raccolta che contiene migliaia di applicazioni preintegrate. Alcune applicazioni usate dall'organizzazione sono probabilmente incluse nella raccolta accessibile direttamente dal portale di Azure. Fornire l'accesso alle applicazioni SaaS aziendali in modalità remota e sicura con un'esperienza utente migliorata (SSO).
Automatizzare il provisioning e il deprovisioning degli utenti dalle applicazioni SaaS (se applicabile) Creare automaticamente identità utente e ruoli nelle applicazioni cloud (SaaS) a cui gli utenti devono accedere. Oltre a creare identità utente, il provisioning automatico include la manutenzione e la rimozione delle identità utente man mano che cambiano lo stato o i ruoli, aumentando la sicurezza dell'organizzazione.
Abilitare l'accesso condizionale - Basato su dispositivo Migliorare la sicurezza e le esperienze utente con l'accesso condizionale basato su dispositivo. Questo passaggio garantisce che gli utenti possano accedere solo dai dispositivi che soddisfano gli standard per la sicurezza e la conformità. I dispositivi di questo tipo sono noti anche come dispositivi gestiti. I dispositivi gestiti possono essere conformi a Intune o dispositivi aggiunti a Microsoft Entra ibrido.
Abilitare la protezione password Proteggere gli utenti dall'uso di password deboli e facili da indovinare.
Usare i ruoli con privilegi minimi, se possibile Concedere agli amministratori solo l'accesso necessario esclusivamente alle aree a cui devono accedere. Non tutti gli amministratori devono essere global Amministrazione istrator.
Implementare le linee guida per le password di Microsoft Smettere di richiedere agli utenti di modificare la password in base a una pianificazione specifica e disabilitare i requisiti di complessità: gli utenti saranno più propensi a ricordare le loro password e a mantenerle in sicurezza.
Creare un elenco di password personalizzate personalizzate escluse per un'organizzazione Impedire agli utenti di creare password che includono parole o frasi comuni per l'organizzazione o l'area.
Distribuire metodi di autenticazione senza password per gli utenti Fornire agli utenti metodi di autenticazione senza password
Creare un piano per l'accesso degli utenti guest Collaborare con gli utenti guest consentendo loro di accedere alle app e ai servizi dell'organizzazione con le proprie identità aziendali, dell'istituto di istruzione o di social networking.
Abilitare Privileged Identity Management (PIM) Consente di gestire, controllare e monitorare l'accesso a risorse importanti nell'organizzazione, assicurando agli amministratori l'accesso solo quando necessario e con l'approvazione.
Completare una verifica di accesso per i ruoli della directory Microsoft Entra in PIM Collaborare con i dirigenti e i team dedicati alla sicurezza per creare criteri di verifica di accesso per controllare l'accesso amministrativo in base alle politiche dell'organizzazione.

Zero Trust

Questa funzionalità consente alle organizzazioni di allineare le proprie identità ai tre principi guida di un'architettura Zero Trust:

  • Verificare esplicita
  • Usare privilegi minimi
  • Presunzione di violazione

Per altre informazioni su Zero Trust e altri modi per allineare l'organizzazione ai principi guida, vedere Zero Trust Guidance Center.

Passaggi successivi

  • Per indicazioni dettagliate sulla distribuzione per le singole funzionalità di Microsoft Entra ID, vedere i piani di distribuzione del progetto Microsoft Entra ID.
  • Le organizzazioni possono usare il punteggio di sicurezza delle identità per tenere traccia dello stato di avanzamento rispetto ad altre raccomandazioni Microsoft.