Impostazioni predefinite di sicurezza nell'ID Microsoft Entra

Le impostazioni predefinite per la sicurezza semplificano la protezione dell'organizzazione da attacchi correlati all'identità, ad esempio password spray, riproduzione e phishing comuni negli ambienti attuali.

Microsoft rende disponibili queste impostazioni di sicurezza preconfigurate a tutti, perché sappiamo che la gestione della sicurezza può essere difficile. In base alle informazioni apprese più del 99,9% di questi attacchi comuni correlati all'identità vengono arrestati usando l'autenticazione a più fattori e bloccando l'autenticazione legacy. L'obiettivo è garantire che tutte le organizzazioni abbiano almeno un livello di sicurezza di base abilitato senza costi aggiuntivi.

Questi controlli di base includono:

A chi sono destinate le impostazioni predefinite per la sicurezza?

  • Organizzazioni che vogliono aumentare il comportamento di sicurezza, ma non sanno come o dove iniziare.
  • Organizzazioni che usano il livello gratuito di licenza microsoft Entra ID.

A chi è rivolto l'accesso condizionale?

  • Se si è un'organizzazione con licenze Microsoft Entra ID P1 o P2, le impostazioni predefinite per la sicurezza probabilmente non sono appropriate per l'utente.
  • Se l'organizzazione ha requisiti di sicurezza complessi, è consigliabile prendere in considerazione l'accesso condizionale.

Abilitazione delle impostazioni predefinite per la sicurezza

Se il tenant è stato creato il 22 ottobre 2019 o dopo il 22 ottobre 2019, le impostazioni predefinite per la sicurezza potrebbero essere abilitate nel tenant. Per proteggere tutti gli utenti, le impostazioni predefinite per la sicurezza vengono implementate in tutti i nuovi tenant al momento della creazione.

Per proteggere le organizzazioni, stiamo sempre lavorando per migliorare la sicurezza dei servizi account Microsoft. Nell'ambito di questa protezione, i clienti ricevono periodicamente una notifica per l'abilitazione automatica delle impostazioni predefinite per la sicurezza, se:

  • Non sono stati abilitati i criteri di accesso condizionale
  • Non avere licenze Premium
  • Non usano attivamente client di autenticazione legacy

Dopo aver abilitato questa impostazione, tutti gli utenti dell'organizzazione dovranno registrarsi per l'autenticazione a più fattori. Per evitare confusione, fare riferimento al messaggio di posta elettronica ricevuto e in alternativa è possibile disabilitare le impostazioni predefinite di sicurezza dopo l'abilitazione.

Per configurare le impostazioni predefinite di sicurezza nella directory, è necessario assegnare almeno il ruolo Security Amministrazione istrator. Per impostazione predefinita, al primo account in qualsiasi directory viene assegnato un ruolo con privilegi più elevati noto come Global Amministrazione istrator.

Per abilitare le impostazioni predefinite per la sicurezza:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
  2. Passare a Proprietà della panoramica>delle identità.>
  3. Selezionare Gestisci le impostazioni predefinite per la sicurezza.
  4. Impostare l'impostazione predefinita Sicurezza su Abilitato.
  5. Seleziona Salva.

Screenshot of the Microsoft Entra admin center with the toggle to enable security defaults

Revoca dei token attivi

Nell'ambito dell'abilitazione delle impostazioni predefinite per la sicurezza, gli amministratori devono revocare tutti i token esistenti per richiedere a tutti gli utenti di registrarsi per l'autenticazione a più fattori. Questo evento di revoca impone agli utenti autenticati in precedenza di eseguire l'autenticazione e la registrazione per l'autenticazione a più fattori. Questa attività può essere eseguita usando il cmdlet di PowerShell Revoke-AzureADUserAllRefreshToken .

Criteri di sicurezza applicati

Richiedere a tutti gli utenti di registrarsi per l'autenticazione a più fattori Di Microsoft Entra

Tutti gli utenti hanno 14 giorni per registrarsi usando l'app Microsoft Authenticator o qualsiasi app che supporta OATH TOTP. Dopo aver superato i 14 giorni, l'utente non può accedere fino al completamento della registrazione. Il periodo di 14 giorni di un utente inizia dopo il primo accesso interattivo completato dopo l'abilitazione delle impostazioni predefinite per la sicurezza.

Quando gli utenti accedono e vengono richiesti di eseguire l'autenticazione a più fattori, viene visualizzata una schermata che fornisce un numero da immettere nell'app Microsoft Authenticator. Questa misura consente di impedire agli utenti di cadere per gli attacchi di affaticamento MFA.

Screenshot showing an example of the Approve sign in request window with a number to enter.

Richiedere agli amministratori di eseguire l'autenticazione a più fattori

Amministrazione istrator hanno aumentato l'accesso all'ambiente. A causa del potere di questi account con privilegi elevati, è consigliabile trattarli con particolare attenzione. Un metodo comune per migliorare la protezione degli account con privilegi consiste nel richiedere una forma più avanzata di verifica dell'account per l'accesso, ad esempio richiedere l'autenticazione a più fattori.

Suggerimento

Consigli per gli amministratori:

  • Assicurarsi che tutti gli amministratori eseguino l'accesso dopo aver abilitato le impostazioni predefinite di sicurezza in modo che possano eseguire la registrazione per i metodi di autenticazione.
  • Disporre di account separati per le attività di amministrazione e produttività standard per ridurre significativamente il numero di richieste degli amministratori per l'autenticazione a più fattori.

Al termine della registrazione, verranno necessari i ruoli di amministratore seguenti per eseguire l'autenticazione a più fattori ogni volta che accedono:

  • Amministratore globale
  • Amministratore di applicazioni
  • Amministratore dell'autenticazione
  • Amministratore dei criteri di autenticazione
  • Amministratore fatturazione
  • Amministratore applicazione cloud
  • Amministratore accesso condizionale
  • Amministratore di Exchange
  • Amministratore supporto tecnico
  • Amministratore di Identity Governance
  • Amministratore password
  • Amministratore autenticazione con privilegi
  • Amministratore ruolo con privilegi
  • Amministratore della sicurezza
  • Amministratore SharePoint
  • Amministratore utenti

Richiedere agli utenti di eseguire l'autenticazione a più fattori quando necessario

Si tende a pensare che gli account amministratore siano gli unici account che richiedono livelli aggiuntivi di autenticazione. Gli amministratori hanno accesso esteso alle informazioni sensibili e possono apportare modifiche alle impostazioni a livello di sottoscrizione. Ma gli utenti malintenzionati spesso hanno come obiettivo gli utenti finali.

Dopo che questi utenti malintenzionati ottengono l'accesso, possono richiedere l'accesso alle informazioni con privilegi per il titolare dell'account originale. Possono anche scaricare l'intera directory per eseguire un attacco di phishing sull'intera organizzazione.

Un metodo comune per migliorare la protezione per tutti gli utenti è quello di richiedere una forma più avanzata di verifica dell'account, come l'autenticazione a più fattori, per tutti. Al termine della registrazione, agli utenti verrà richiesta un'altra autenticazione ogni volta che necessario. Microsoft decide quando viene richiesta l'autenticazione a più fattori da parte di un utente, in base a fattori quali posizione, dispositivo, ruolo e attività. Questa funzionalità protegge tutte le applicazioni registrate, incluse le applicazioni SaaS.

Nota

In caso di utenti con connessione diretta B2B, qualsiasi requisito di autenticazione a più fattori dalle impostazioni predefinite di sicurezza abilitate nel tenant delle risorse dovrà essere soddisfatto, inclusa la registrazione dell'autenticazione a più fattori dall'utente con connessione diretta nel tenant principale.

Bloccare i protocolli di autenticazione legacy

Per consentire agli utenti di accedere facilmente alle app cloud, sono supportati diversi protocolli di autenticazione, tra cui l'autenticazione legacy. Con il termine autenticazione legacy si fa riferimento a una richiesta di autenticazione effettuata da:

  • Client che non usano l'autenticazione moderna (ad esempio, un client di Office 2010)
  • Qualsiasi client che usa protocolli di posta elettronica meno recenti, ad esempio IMAP, SMTP o POP3

Oggi, la maggior parte dei tentativi di accesso compromessi deriva dall'autenticazione legacy. L'autenticazione legacy non supporta l'autenticazione a più fattori. Anche se nella directory è abilitato un criterio di autenticazione a più fattori, un utente malintenzionato può eseguire l'autenticazione usando un protocollo precedente e ignorare l'autenticazione a più fattori.

Una volta abilitate le impostazioni predefinite per la sicurezza nel tenant, tutte le richieste di autenticazione effettuate da un protocollo precedente verranno bloccate. Le impostazioni predefinite per la sicurezza bloccano l'autenticazione di base Exchange Active Sync.

Avviso

Prima di abilitare le impostazioni predefinite per la sicurezza, assicurarsi che gli amministratori non usino protocolli di autenticazione precedenti. Per altre informazioni, vedere Come passare dall'autenticazione legacy a un'altra autenticazione.

Proteggere le attività con privilegi, ad esempio l'accesso al portale di Azure

Le organizzazioni usano vari servizi di Azure gestiti tramite l'API di Azure Resource Manager, tra cui:

  • Azure portal
  • Interfaccia di amministrazione di Microsoft Entra
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure

L'uso di Azure Resource Manager per gestire i servizi è un'azione con privilegi elevati. Azure Resource Manager può modificare le configurazioni a livello di tenant, ad esempio le impostazioni del servizio e la fatturazione della sottoscrizione. L'autenticazione a singolo fattore è vulnerabile a vari attacchi, ad esempio phishing e spraying delle password.

È importante verificare l'identità degli utenti che vogliono accedere alle configurazioni di Azure Resource Manager e di aggiornamento. Verificare la propria identità richiedendo un'autenticazione maggiore prima di consentire l'accesso.

Dopo aver abilitato le impostazioni predefinite per la sicurezza nel tenant, tutti gli utenti che accedono ai servizi seguenti devono completare l'autenticazione a più fattori:

  • Azure portal
  • Interfaccia di amministrazione di Microsoft Entra
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure

Questo criterio si applica a tutti gli utenti che accedono ai servizi di Azure Resource Manager, sia che si tratti di un amministratore o di un utente. Questo vale per le API di Azure Resource Manager, ad esempio l'accesso alla sottoscrizione, alle macchine virtuali, agli account di archiviazione e così via. Questo non include Microsoft Entra ID o Microsoft Graph.

Nota

Per i tenant di Exchange Online precedenti al 2017, l'autenticazione moderna è disabilitata per impostazione predefinita. Per evitare la possibilità di un ciclo di accesso durante l'autenticazione tramite questi tenant, è necessario abilitare l'autenticazione moderna.

Nota

L'account di sincronizzazione di Microsoft Entra Connessione viene escluso dalle impostazioni predefinite per la sicurezza e non verrà richiesto di eseguire la registrazione per o eseguire l'autenticazione a più fattori. Le organizzazioni non devono usare questo account per altri scopi.

Considerazioni sulla distribuzione

Preparazione degli utenti

È fondamentale informare gli utenti delle modifiche imminenti, dei requisiti di registrazione e delle azioni utente necessarie. Vengono forniti modelli di comunicazione e documentazione utente per preparare gli utenti per la nuova esperienza e contribuire a garantire un'implementazione corretta. Inviare gli utenti a per https://myprofile.microsoft.com la registrazione selezionando il collegamento Informazioni di sicurezza in tale pagina.

Metodi di autenticazione

Per le impostazioni predefinite per la sicurezza, gli utenti devono registrarsi e usare l'autenticazione a più fattori usando l'app Microsoft Authenticator usando le notifiche. Gli utenti possono usare i codici di verifica dell'app Microsoft Authenticator, ma possono registrarsi solo usando l'opzione di notifica. Gli utenti possono anche usare qualsiasi applicazione di terze parti usando OATH TOTP per generare codici.

Avviso

Non disabilitare i metodi per l'organizzazione se si usano impostazioni predefinite per la sicurezza. La disabilitazione dei metodi può causare il blocco di se stessi dal tenant. Lasciare disponibili tutti i metodi per gli utenti abilitati nel portale delle impostazioni del servizio MFA.

Utenti B2B

Tutti gli utenti guest B2B o B2B connettono direttamente gli utenti che accedono alla directory vengono trattati come gli utenti dell'organizzazione.

Stato MFA disabilitato

Se l'organizzazione è un utente precedente dell'autenticazione a più fattori basata su utente, non essere allarmati per non visualizzare gli utenti in uno stato Abilitato o Applicato se si esamina la pagina di stato dell'autenticazione a più fattori. Disabilitato è lo stato appropriato per gli utenti che usano le impostazioni predefinite per la sicurezza o l'autenticazione a più fattori basata sull'accesso condizionale.

Disabilitazione delle impostazioni predefinite per la sicurezza

Le organizzazioni che scelgono di implementare i criteri di accesso condizionale che sostituiscono le impostazioni predefinite per la sicurezza devono disabilitare le impostazioni predefinite per la sicurezza.

Per disabilitare le impostazioni predefinite per la sicurezza nella directory:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.
  2. Passare a Proprietà della panoramica>delle identità.>
  3. Selezionare Gestisci le impostazioni predefinite per la sicurezza.
  4. Impostare Impostazioni predefinite sicurezza su Disabilitato (non consigliato).Set Security defaults to Disabled (not recommended).
  5. Seleziona Salva.

Passare dalle impostazioni predefinite per la sicurezza all'accesso condizionale

Anche se le impostazioni predefinite per la sicurezza sono una buona baseline per avviare il comportamento di sicurezza, non consentono la personalizzazione richiesta da molte organizzazioni. I criteri di accesso condizionale offrono un'ampia gamma di personalizzazioni richieste da organizzazioni più complesse.

Impostazioni predefinite per la sicurezza Accesso condizionale
Licenze obbligatorie None Almeno Microsoft Entra ID P1
Personalizzazione Nessuna personalizzazione (attivata o disattivata) Personalizzazione completa
Abilitato da Microsoft o amministratore Amministratore
Complessità Semplice da usare Completamente personalizzabile in base alle esigenze

Passaggi consigliati quando si passa dalle impostazioni predefinite di sicurezza

Le organizzazioni che vogliono testare le funzionalità dell'accesso condizionale possono iscriversi per ottenere una versione di valutazione gratuita per iniziare.

Dopo che gli amministratori disabilitano le impostazioni predefinite per la sicurezza, le organizzazioni devono abilitare immediatamente i criteri di accesso condizionale per proteggere l'organizzazione. Questi criteri devono includere almeno questi criteri nella categoria secure foundations dei modelli di accesso condizionale. Le organizzazioni con licenze Microsoft Entra ID P2 che includono Microsoft Entra ID Protection possono espandere questo elenco per includere i criteri basati sui rischi per l'utente e l'accesso per rafforzare ulteriormente il proprio comportamento.

È consigliabile escludere almeno un account dai criteri di accesso condizionale. Questi account esclusi per l'accesso di emergenza o i break-glass consentono di evitare il blocco dell'account a livello di tenant. Nello scenario improbabile che tutti gli amministratori siano bloccati dal tenant, l'account amministrativo di accesso di emergenza può essere usato per accedere al tenant per eseguire le operazioni necessarie per ripristinare l'accesso. Per altre informazioni, vedere l'articolo Gestire gli account di accesso di emergenza.

Passaggi successivi