Procedure consigliate per la distribuzione sicura di Microsoft Entra ID Governance
Questo documento fornisce le procedure consigliate per proteggere la distribuzione di Microsoft Entra ID Governance.
Il principio dei privilegi minimi significa concedere agli utenti e alle identità del carico di lavoro il livello minimo di accesso o autorizzazioni necessarie per eseguire le attività. Limitando l'accesso solo alle risorse necessarie in base ai ruoli specifici o alle funzioni lavorative degli utenti e fornendo l'accesso just-in-time, si può ridurre il rischio di azioni non autorizzate. Inoltre, l'esecuzione di controlli regolari consente di attenuare potenziali violazioni della sicurezza.
Microsoft Entra ID Governance limita l'accesso utente in base al ruolo assegnato. Assicurarsi che gli utenti abbiano il ruolo con i privilegi minimi necessari per svolgere il compito richiesto.
Per altre informazioni, vedere privilegio minimo con Microsoft Entra ID Governance
Raccomandazione: Non usare gruppi annidati con PIM per le gestioni dei gruppi.
I gruppi possono controllare l'accesso a varie risorse, tra cui ruoli di Microsoft Entra, Azure SQL, Azure Key Vault, Intune, altri ruoli applicazione e applicazioni di terze parti. Microsoft Entra ID consente di concedere agli utenti l'appartenenza e la proprietà dei gruppi in modalità just-in-time tramite Privileged Identity Management (PIM) per i gruppi.
Questi gruppi possono essere flat o gruppi annidati (un gruppo non assegnabile a ruoli è membro di un gruppo assegnabile a ruoli). I ruoli come l'amministratore dei gruppi, l'amministratore di Exchange e l'amministratore delle informazioni possono gestire il gruppo non assegnabile di ruoli, fornendo agli amministratori un percorso per ottenere l'accesso ai ruoli con privilegi. Assicurarsi che i gruppi assegnabili a ruoli non abbiano come membri gruppi non assegnabili a ruoli.
Per altre informazioni, vedere Privileged Identity Management (PIM) per i gruppi
Raccomandazione: Usare la Gestione degli entitlement per fornire l'accesso alle risorse sensibili, anziché ai gruppi ibridi.
Storicamente, le organizzazioni si affidavano ai gruppi di Active Directory per accedere alle applicazioni. La sincronizzazione di questi gruppi con Microsoft Entra ID semplifica il riutilizzo di questi gruppi e l'accesso alle risorse connesse con Microsoft Entra ID. Tuttavia, questo crea un rischio di spostamento laterale poiché un account/gruppo compromesso in sede può essere usato per ottenere l'accesso alle risorse connesse nel cloud.
Quando si fornisce l'accesso ad applicazioni o ruoli sensibili, usare la gestione delle autorizzazioni per eseguire l'assegnazione all'applicazione anziché quella dei gruppi di sicurezza sincronizzati dai Servizi di dominio Active Directory. Per i gruppi che devono trovarsi sia in Microsoft Entra ID che in Servizi di dominio Active Directory, è possibile sincronizzare tali gruppi da Microsoft Entra ID a Servizi di dominio Active Directory usando sincronizzazione cloud.
Il principio "Nega per impostazione predefinita" è una strategia di sicurezza che limita l'accesso alle risorse per impostazione predefinita, a meno che non vengano concesse autorizzazioni esplicite. Questo approccio riduce al minimo il rischio di accesso non autorizzato assicurandosi che gli utenti e le applicazioni non abbiano diritti di accesso fino a quando non vengono assegnati specificamente. L'implementazione di questo principio consente di creare un ambiente più sicuro, in quanto limita i potenziali punti di ingresso per gli attori malintenzionati.
Le organizzazioni connesse sono una funzionalità di gestione delle autorizzazioni che consente agli utenti di accedere alle risorse tra i vari tenant. Seguire queste procedure consigliate durante la configurazione delle organizzazioni connesse.
Raccomandazioni:
- Richiedere una data di scadenza per i pacchetti di accesso in un'organizzazione connessa . Se, ad esempio, gli utenti devono accedere durante un contratto fisso, impostare il pacchetto di accesso in modo che scada alla fine del contratto.
- Richiedere l'approvazione prima di concedere l'accesso agli ospiti dalle organizzazioni connesse.
- Periodicamente rivedere l'accesso degli ospiti di modo che gli utenti abbiano accesso solo alle risorse di cui hanno ancora bisogno.
- Valutare attentamente le organizzazioni incluse come organizzazioni connesse. Esaminare periodicamente l'elenco delle organizzazioni connesse e rimuovere tutte le organizzazioni con cui non si collabora più.
Raccomandazione: Impostare l'ambito di provisioning per sincronizzare "utenti e gruppi assegnati".
Questo ambito garantisce che venga effettuato il provisioning solo degli utenti assegnati in modo esplicito alla configurazione di sincronizzazione. L'impostazione alternativa di consentire tutti gli utenti e i gruppi deve essere usata solo per le applicazioni in cui l'accesso è richiesto su larga scala nell'organizzazione.
raccomandazione : Richiedere l'approvazione delle richieste PIM per l'Amministratore Globale.
Con Privileged Identity Management (PIM) in Microsoft Entra ID è possibile configurare i ruoli per richiedere l'approvazione per l'attivazione e scegliere uno o più utenti o gruppi come responsabili approvazione delegati.
Per altre informazioni, vedere Approvare o negare le richieste per i ruoli di Microsoft Entra in Privileged Identity Management
Le sezioni seguenti forniscono indicazioni aggiuntive su misure di sicurezza multiple che è possibile adottare per implementare una strategia di difesa in profondità per le distribuzioni di governance.
raccomandazione : gestire in modo sicuro le credenziali per la connettività alle applicazioni
Incoraggiare i fornitori di applicazioni a supportare OAuth sugli endpoint SCIM, anziché basarsi su token di lunga durata. Archiviare in modo sicuro le credenziali in Azure Key Vaulte ruotare regolarmente le credenziali.
Raccomandazione: Usare un certificato emesso da un'autorità di certificazione attendibile quando si configura il provisioning di applicazioni locali.
Quando si configura il provisioning di applicazioni locali con l'host ECMA, è possibile usare un certificato autofirmato o un certificato attendibile. Anche se il certificato autofirmato è utile per iniziare rapidamente e testare la funzionalità, non è consigliabile per l'uso in produzione. Questo è perché i certificati non possono essere revocati e scadono automaticamente dopo 2 anni.
Raccomandazione : Rinforzare il server Microsoft Entra Provisioning Agent
Si consiglia di rafforzare il server dell'agente di provisioning di Microsoft Entra per ridurre la superficie vulnerabile di questo componente critico dell'ambiente IT. Le procedure consigliate descritte in Prerequisiti per Microsoft Entra Cloud Sync in Microsoft Entra ID includono:
- È consigliabile irrobustire il server dell'agente di provisioning di Microsoft Entra come risorsa del Piano di Controllo (in precedenza livello 0) seguendo le indicazioni fornite in Secure Privileged Access e nel modello a livelli amministrativi di Active Directory.
- Limitare l'accesso amministrativo al server agente di provisioning di Microsoft Entra solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
- Creare un account dedicato per tutto il personale con accesso con privilegi. Gli amministratori non devono esplorare il Web, controllare la posta elettronica e svolgere attività di produttività quotidiane con account con privilegi elevati.
- Seguire le indicazioni fornite in Protezione dell'accesso privilegiato.
- Abilitare l'autenticazione a più fattori (MFA) per tutti gli utenti con accesso con privilegi in Microsoft Entra ID o in AD. Un problema di sicurezza relativo all'uso dell'agente di provisioning di Microsoft Entra è che se un utente malintenzionato ottiene il controllo sul server dell'agente di provisioning di Microsoft Entra, può manipolare gli utenti in Microsoft Entra ID. Per impedire a un utente malintenzionato di usare queste funzionalità per assumere gli account Microsoft Entra, MFA offre protezioni. Anche se un utente malintenzionato riesce a reimpostare la password di un utente usando l'agente di provisioning di Microsoft Entra, non può comunque ignorare il secondo fattore.
Per altre informazioni e procedure consigliate aggiuntive, vedere Prerequisiti per Microsoft Entra Cloud Sync in Microsoft Entra ID
Raccomandazione: Seguire le migliori pratiche di sicurezza per l'uso di estensioni personalizzate nella gestione delle autorizzazioni e nei flussi di lavoro del ciclo di vita. Le procedure consigliate descritte in questo articolo includono:
- Protezione dell'accesso amministrativo all'abbonamento
- Disabilitazione della firma di accesso condiviso
- Uso delle identità gestite per l'autenticazione
- Autorizzare con privilegi minimi
- Assicurare l'uso della prova di possesso (Proof-of-Possession, PoP)
Raccomandazione: Tutti i criteri di gestione dei diritti devono avere una data di scadenza e/o una verifica periodica dell'accesso per un'ottimizzazione dell'accesso. Questi requisiti assicurano che solo gli utenti che devono avere accesso continuino ad avere accesso all'applicazione.
Eseguire il backup della configurazione in modo da poter ripristinare uno stato valido noto in caso di compromissione. Usare l'elenco seguente per creare una strategia di backup completa che copre le varie aree di governance.
- api Microsoft Graph possono essere usate per esportare lo stato corrente di molte configurazioni di Microsoft Entra.
- Microsoft Entra Exporter è uno strumento che è possibile usare per esportare le impostazioni di configurazione.
- Microsoft 365 Desired State Configuration è un modulo del framework Desired State Configuration (DSC) di PowerShell. È possibile usarla per esportare le configurazioni per riferimento e l'applicazione dello stato precedente di molte impostazioni.
- Provisioning: esportare la configurazione di provisioning delle applicazioni e ripristinarla a uno stato noto come funzionante per il ripristino di emergenza in Microsoft Entra ID
Il monitoraggio consente di rilevare tempestivamente potenziali minacce e vulnerabilità. Esaminando le attività insolite e le modifiche alla configurazione, è possibile prevenire violazioni della sicurezza e mantenere l'integrità dei dati.
- Avvisare quando gli utenti attivano i ruoli con privilegi. Avvisi di sicurezza per i ruoli di Microsoft Entra in PIM - Microsoft Entra ID Governance
- Monitorare proattivamente il tuo ambiente per rilevare modifiche di configurazione e attività sospette integrando i log di controllo di Microsoft Entra ID con Azure Monitor. Avvisi personalizzati di Identity Governance - Microsoft Entra ID Governance