Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft 365 per le aziende segue tutte le procedure e le procedure consigliate per la sicurezza, ad esempio la sicurezza a livello di servizio tramite la difesa approfondita, i controlli dei clienti all'interno dei servizi, la protezione avanzata e le procedure consigliate operative. Per informazioni dettagliate, vedere Centro protezione Microsoft e Conformità Microsoft.
Progettato per l'affidabilità
Microsoft 365 è progettato e sviluppato in conformità con microsoft Trustworthy Computing Security Development Lifecycle (SDL), descritto in Microsoft Security Development Lifecycle (SDL). Il primo passaggio nella creazione di un sistema di comunicazione unificata, collaborazione e produttività più sicuro è stato quello di progettare modelli di minacce e testare ogni funzionalità così come è stata progettata. Durante il processo e le procedure di sviluppo sono stati apportati molteplici miglioramenti della protezione. Gli strumenti in fase di compilazione rilevano i sovraccarichi del buffer e altre potenziali minacce per la sicurezza prima che il codice venga introdotto nel prodotto finale. È impossibile progettare contro tutte le minacce alla sicurezza sconosciute. Nessun sistema è in grado di garantire una sicurezza totale. Tuttavia, poiché lo sviluppo del prodotto ha adottato principi di progettazione sicuri fin dall'inizio, Microsoft 365 incorpora le tecnologie di sicurezza standard del settore come parte fondamentale della sua architettura.
Security Framework per Microsoft 365
Microsoft 365 approva idee di sicurezza come Zero Trust e principi di accesso con privilegi minimi. Questa sezione offre una panoramica degli elementi fondamentali che costituiscono un framework di sicurezza per Microsoft 365.
Gli elementi principali includono:
- Microsoft Entra ID, che fornisce un singolo repository back-end attendibile per gli account utente. Le informazioni sul profilo utente vengono archiviate in Microsoft Entra ID tramite le azioni di Microsoft Graph.
- Potrebbero essere presenti più token emessi che potrebbero essere visualizzati se si traccia il traffico di rete.
- Transport Layer Security (TLS) crittografa il canale in movimento. L'autenticazione viene eseguita usando TLS reciproca (MTLS), in base ai certificati o usando l'autenticazione da servizio a servizio basata su Microsoft Entra ID.
- I flussi audio, video e di condivisione dell'applicazione da punto a punto vengono crittografati e l'integrità viene controllata tramite SRTP (Secure Real-Time Transport Protocol).
- Il traffico OAuth verrà visualizzato nella traccia, in particolare per quanto riguarda gli scambi di token e le autorizzazioni di negoziazione durante il passaggio da una scheda all'altra in Teams, ad esempio per passare da Post a File. Per un esempio del flusso OAuth per le schede, vedere questo documento.
- Microsoft 365 usa protocolli standard del settore per l'autenticazione utente, ove possibile.
Microsoft Entra ID
Microsoft Entra ID funziona come servizio directory per Microsoft 365 e Office 365. Archivia tutte le informazioni sulla directory dell'utente e dell'applicazione e le assegnazioni dei criteri.
Crittografia in Microsoft 365
All'interno di Microsoft 365 sono disponibili più livelli di crittografia per proteggere il contenuto dell'organizzazione. Per una panoramica della crittografia in Microsoft 365, vedere Crittografia in Microsoft 365.
Autenticazione utente e client
Un utente attendibile è un utente le cui credenziali sono state autenticate da Microsoft Entra ID in Microsoft 365 o Office 365.
L'autenticazione è il provisioning delle credenziali utente a un server o a un servizio attendibile. Microsoft 365 usa i protocolli di autenticazione seguenti, a seconda dello stato e della posizione dell'utente.
- L'autenticazione moderna (MA) è l'implementazione Microsoft di OAUTH 2.0 per le comunicazioni da client a server. Consente funzionalità di sicurezza come l'autenticazione a più fattori e l'accesso condizionale. Per usare MA, sia il tenant online che i client devono essere abilitati per MA. Tutti i client Microsoft 365 su PC e dispositivi mobili e i client Web supportano MA.
Nota
Per altre informazioni sui metodi di autenticazione e autorizzazione Microsoft Entra, saranno utili le sezioni Introduzione e Nozioni di base sull'autenticazione in Microsoft Entra ID di questo articolo.
L'autenticazione di Microsoft 365 viene eseguita tramite Microsoft Entra ID e OAuth. Il processo di autenticazione può essere semplificato per:
- Il rilascio > del token di > accesso dell'utente usa il token emesso per la richiesta successiva.
Le richieste dai client ai servizi cloud vengono autenticate e autorizzate da Microsoft Entra ID con l'uso di OAuth. Gli utenti con credenziali valide rilasciate da un partner federato sono attendibili e passano attraverso lo stesso processo degli utenti nativi. Tuttavia, gli amministratori possono applicare ulteriori restrizioni.
Per l'autenticazione multimediale, i protocolli ICE e TURN usano anche la richiesta di digest, come descritto in IETF TURN RFC.
Sicurezza endpoint
Microsoft unifica le app e i servizi di Microsoft 365 rivolti agli utenti a un singolo dominio coerente: **cloud.microsoft**.
La crescita dei servizi cloud Microsoft ha portato all'espansione dello spazio di dominio che occupano, con il risultato di centinaia di domini. Questa frammentazione rappresenta una sfida per la navigazione degli utenti finali, la semplicità amministrativa e lo sviluppo di esperienze tra app.
Il *.microsoft* dominio di primo livello è esclusivo di Microsoft. Il nuovo dominio non ha suffissi tradizionali, ad esempio .com o .net alla fine. Si tratta di un comportamento legato alla progettazione.
cloud.microsoft si trova nel dominio di primo livello, per il .microsoft quale Microsoft è un operatore del Registro di sistema e l'unico registrante. Questo dominio consente una maggiore sicurezza, privacy e protezione dallo spoofing quando si interagisce con le app all'interno di tale dominio. È possibile considerare attendibile che qualsiasi sito Web o app che termina con cloud.microsoft sia un prodotto o un servizio Microsoft ufficiale.
Per altre informazioni, vedere Dominio cloud.microsoft unificato per le app di Microsoft 365.
Articoli correlati
12 attività principali per i team di sicurezza per supportare il lavoro da casa
Informazioni sul funzionamento della sicurezza in Microsoft Viva
Panoramica della guida alla sicurezza per Microsoft Teams