Condividi tramite


Criteri gestiti da Microsoft

Come accennato nella Report sulla difesa digitale Microsoft nell'ottobre 2023

... minacce alla pace digitale hanno ridotto la fiducia nella tecnologia e hanno evidenziato la necessità urgente di migliorare le difese informatiche a tutti i livelli...

... Microsoft, oltre 10.000 esperti di sicurezza analizzano ogni giorno oltre 65 trilioni di segnali... guida di alcune delle informazioni più influenti sulla cybersecurity. Insieme, possiamo costruire la resilienza informatica attraverso azioni innovative e difesa collettiva.

Come parte di questo lavoro, i criteri gestiti da Microsoft sono disponibili nei tenant di Microsoft Entra in tutto il mondo. Questi criteri di accesso condizionale semplificati agiscono per richiedere l'autenticazione a più fattori, che uno studio recente rileva che può ridurre il rischio di compromissione del 99,22%.

Al lancio Microsoft sta distribuendo i tre criteri seguenti in cui i dati indicano che avrebbero aumentato il comportamento di sicurezza di un'organizzazione:

  • Autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft
  • Autenticazione a più fattori per utenti con autenticazione a più fattori
  • Autenticazione a più fattori e riautenticazione per gli accessi a rischio

Screenshot che mostra un esempio di criteri gestiti da Microsoft nell'interfaccia di amministrazione di Microsoft Entra.

Gli amministratori con almeno il ruolo Amministratore accesso condizionale assegnato trovano questi criteri nell'interfacciadi amministrazione di Microsoft Entra in Criteri di accesso> condizionale di protezione.>

Gli amministratori hanno la possibilità di modificare lo stato (attivato, disattivato o solo report) e le identità escluse (utenti, gruppi e ruoli) nei criteri. Le organizzazioni devono escludere gli account di accesso di emergenza o di interruzione da questi criteri come in altri criteri di accesso condizionale. Le organizzazioni possono duplicare questi criteri se vogliono apportare più modifiche rispetto a quelle di base consentite nelle versioni gestite da Microsoft.

Microsoft abiliterà questi criteri dopo non meno di 90 giorni dopo l'introduzione nel tenant se vengono lasciati nello stato solo report. Gli amministratori possono scegliere di attivare questi criteri prima o rifiutare esplicitamente impostando lo stato del criterio su Disattivato. I clienti ricevono notifiche tramite messaggi di posta elettronica e post del Centro messaggi 28 giorni prima che i criteri siano abilitati.

Criteri

Questi criteri gestiti da Microsoft consentono agli amministratori di apportare semplici modifiche, ad esempio l'esclusione degli utenti o la loro disattivazione dalla modalità solo report a attiva o disattivata. Le organizzazioni non possono rinominare o eliminare criteri gestiti da Microsoft. Man mano che gli amministratori hanno familiarità con i criteri di accesso condizionale, possono scegliere di duplicare i criteri per creare versioni personalizzate.

Man mano che le minacce si evolvono nel tempo, Microsoft potrebbe modificare questi criteri in futuro per sfruttare nuove funzionalità, funzionalità o migliorare la loro funzione.

Autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft

Questo criterio riguarda 14 ruoli di amministratore considerati con privilegi elevati, che accedono al gruppo Portali di amministrazione Microsoft e richiede che eseguano l'autenticazione a più fattori.

Questo criterio è destinato ai tenant Microsoft Entra ID P1 e P2 in cui le impostazioni predefinite per la sicurezza non sono abilitate.

Autenticazione a più fattori per utenti con autenticazione a più fattori

Questo criterio riguarda gli utenti per utente MFA, una configurazione che Microsoft non consiglia più. L'accesso condizionale offre un'esperienza di amministrazione migliore con molte funzionalità aggiuntive. Il consolidamento di tutti i criteri di autenticazione a più fattori nell'accesso condizionale consente di essere più mirati a richiedere l'autenticazione a più fattori, riducendo al contempo l'attrito dell'utente finale mantenendo il comportamento di sicurezza.

Questo criterio è destinato solo agli utenti con licenza con ID Microsoft Entra P1 e P2, in cui i criteri predefiniti per la sicurezza non sono abilitati e sono presenti meno di 500 utenti abilitati o applicati per utente.

Per applicare questo criterio a più utenti, duplicarlo e modificare le assegnazioni.

Suggerimento

Se si usa la matita Modifica nella parte superiore per modificare i criteri di autenticazione a più fattori gestiti da Microsoft per utente, potrebbe verificarsi un errore di aggiornamento non riuscito. Per risolvere questo problema, selezionare Modifica nella sezione Identità escluse del criterio.

Autenticazione a più fattori e riautenticazione per gli accessi a rischio

Questo criterio riguarda tutti gli utenti e richiede l'autenticazione a più fattori e la riautenticazione quando vengono rilevati accessi ad alto rischio. In questo caso ad alto rischio significa qualcosa sul modo in cui l'utente ha eseguito l'accesso non è normale. Questi accessi ad alto rischio possono includere: gli attacchi di spostamento altamente anomali, gli attacchi password spraying o gli attacchi di riproduzione dei token. Per altre informazioni su queste definizioni di rischio, vedere l'articolo Informazioni sui rilevamenti dei rischi.

Questo criterio è destinato ai tenant di Microsoft Entra ID P2 in cui le impostazioni predefinite per la sicurezza non sono abilitate e sono disponibili licenze sufficienti per ogni utente. Microsoft non consente agli utenti rischiosi di registrarsi per l'autenticazione a più fattori. Per evitare di bloccare gli utenti, questo criterio è disponibile solo per le organizzazioni in cui ogni utente è già registrato per MFA.

Bloccare l'autenticazione legacy

Questo criterio impedisce ai protocolli di autenticazione legacy di accedere alle applicazioni. L'autenticazione legacy fa riferimento a una richiesta di autenticazione effettuata da:

  • Client che non usano l'autenticazione moderna (ad esempio, un client di Office 2010)
  • Qualsiasi client che usa protocolli di posta elettronica meno recenti, ad esempio IMAP, SMTP o POP3
  • Qualsiasi tentativo di accesso che usa l'autenticazione legacy viene bloccato.

La maggior parte dei tentativi di accesso osservati deriva dall'autenticazione legacy. Poiché l'autenticazione legacy non supporta l'autenticazione a più fattori, un utente malintenzionato può ignorare i requisiti di autenticazione a più fattori usando un protocollo precedente.

Richiedere l'autenticazione a più fattori per la gestione di Azure

Questo criterio riguarda tutti gli utenti quando tentano di accedere a vari servizi di Azure gestiti tramite l'API di Azure Resource Manager, tra cui:

  • Azure portal
  • Interfaccia di amministrazione di Microsoft Entra
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure

Quando si tenta di accedere a una di queste risorse, l'utente deve completare l'autenticazione a più fattori prima di poter ottenere l'accesso.

Richiedere l'autenticazione a più fattori per gli amministratori

Questo criterio copre qualsiasi utente con uno dei 14 ruoli di amministratore considerati con privilegi elevati. A causa della potenza di questi account con privilegi elevati, sono necessari per l'autenticazione a più fattori ogni volta che accedono a qualsiasi applicazione.

Richiedere l'autenticazione a più fattori per tutti gli utenti

Questo criterio riguarda tutti gli utenti dell'organizzazione e richiede l'autenticazione a più fattori ogni volta che accedono. Nella maggior parte dei casi, la sessione persiste nel dispositivo e gli utenti non devono completare l'autenticazione a più fattori quando interagiscono con un'altra applicazione.

Ricerca per categorie vedere gli effetti di questi criteri?

Gli amministratori possono esaminare la sezione Impatto dei criteri sugli accessi per visualizzare un breve riepilogo dell'effetto dei criteri nel proprio ambiente.

Screenshot che mostra l'impatto di un criterio nell'organizzazione.

Gli amministratori possono approfondire e esaminare i log di accesso di Microsoft Entra per visualizzare questi criteri in azione nella propria organizzazione.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
  2. Passare a Identity Monitoring & health Sign-in logs (Log di accesso per l'integrità>e monitoraggio delle identità).>
  3. Trovare l'accesso specifico da rivedere. Aggiungere o rimuovere filtri e colonne per escludere le informazioni non necessarie.
    1. Per restringere l'ambito, aggiungere filtri come:
      1. ID di correlazione quando si deve cercare la causa di un evento specifico.
      2. Accesso condizionale per visualizzare l'errore e l'esito positivo dei criteri. Definizione dell'ambito del filtro per visualizzare solo gli errori e limitare i risultati.
      3. Nome utente per visualizzare le informazioni correlate a utenti specifici.
      4. Data nell'ambito dell'intervallo di tempo in questione.
  4. Dopo aver trovato l'evento di accesso corrispondente all'accesso dell'utente, selezionare la scheda Accesso condizionale. La scheda Accesso condizionale mostra i criteri o i criteri specifici che hanno causato l'interruzione dell'accesso.
    1. Per approfondire l'analisi, eseguire il drill-down nella configurazione dei criteri facendo clic sul nome dei criteri. Facendo clic su Nome criterio viene visualizzata l'interfaccia utente di configurazione dei criteri per il criterio selezionato per la revisione e la modifica.
    2. I dettagli relativi all'utente e al dispositivo client usati per la valutazione dei criteri di accesso condizionale sono disponibili anche nelle schede Informazioni di base, Posizione, Informazioni sul dispositivo, Dettagli di autenticazione e Dettagli aggiuntivi dell'evento di accesso.

Informazioni sull'accesso condizionale

L'accesso condizionale è una funzionalità di Microsoft Entra che consente alle organizzazioni di applicare i requisiti di sicurezza quando accedono alle risorse. L'accesso condizionale viene comunemente usato per applicare l'autenticazione a più fattori, la configurazione del dispositivo o i requisiti dei percorsi di rete.

Questi criteri possono essere considerati come logici se le istruzioni then.

Se le assegnazioni (utenti, risorse e condizioni) sono vere, applicare i controlli di accesso (concessione e/o sessione) nei criteri. Se si è un amministratore, che vuole accedere a uno dei portali di amministrazione Microsoft, è necessario eseguire l'autenticazione a più fattori per dimostrare che si tratta effettivamente dell'utente.

Cosa succede se si vogliono apportare altre modifiche?

Gli amministratori possono scegliere di apportare ulteriori modifiche a questi criteri duplicandoli usando il pulsante Duplica nella visualizzazione elenco criteri. Questo nuovo criterio può essere configurato nello stesso modo di qualsiasi altro criterio di accesso condizionale con a partire da una posizione consigliata da Microsoft.

Quali ruoli di amministratore sono coperti da questi criteri?

  • Amministratore globale
  • Amministratore di applicazioni
  • Amministratore dell'autenticazione
  • Amministratore fatturazione
  • Amministratore applicazione cloud
  • Amministratore accesso condizionale
  • Amministratore di Exchange
  • Amministratore supporto tecnico
  • Amministratore password
  • Amministratore autenticazione con privilegi
  • Amministratore ruolo con privilegi
  • Amministratore della sicurezza
  • Amministratore SharePoint
  • Amministratore utenti

Cosa accade se si usa una soluzione diversa per l'autenticazione a più fattori?

L'autenticazione a più fattori completata tramite la federazione o i metodi di autenticazione esterni annunciati di recente soddisfano i requisiti dei criteri gestiti.

Passaggi successivi