Passaggio 2. Proteggere gli account con privilegi di Microsoft 365
Questo articolo si applica sia a Microsoft 365 Enterprise che a Office 365 Enterprise.
Dai un'occhiata a tutti i contenuti delle piccole imprese su Small Business Help & Learning. (Guide e formazione per le piccole imprese).
Le violazioni della sicurezza di un tenant di Microsoft 365, incluse la raccolta di informazioni e gli attacchi di phishing, vengono in genere eseguite compromettendo le credenziali di un account con privilegi di Microsoft 365. La sicurezza nel cloud è una partnership tra l'utente e Microsoft:
I servizi cloud Microsoft si fondano su un principio di fiducia e sicurezza. Microsoft fornisce controlli e funzionalità di sicurezza che consentono di proteggere i dati e le applicazioni.
I dati e le identità dell'utente appartengono all'utente stesso, che è responsabile della loro protezione, della sicurezza delle risorse locali e della sicurezza dei componenti cloud sotto il suo controllo.
Microsoft offre funzionalità che consentono di proteggere l'organizzazione, ma sono efficaci solo se vengono usate dall'utente. Se non li usi, potresti essere vulnerabile agli attacchi. Per proteggere gli account con privilegi, Microsoft è qui per fornire istruzioni dettagliate per:
Creare account dedicati, con privilegi e basati sul cloud e usarli solo quando necessario.
Configurare l'autenticazione a più fattori (MFA) per gli account con privilegi di Microsoft 365 dedicati e usare la forma più avanzata di autenticazione secondaria.
Proteggere gli account con privilegi con Zero Trust consigli per l'identità e l'accesso ai dispositivi.
Nota
Per proteggere i ruoli con privilegi, vedere Procedure consigliate per Microsoft Entra ruoli per proteggere l'accesso con privilegi al tenant.
1. Creare account utente dedicati, con privilegi e basati sul cloud e usarli solo quando necessario
Anziché usare gli account utente quotidiani a cui sono stati assegnati ruoli di amministratore, creare account utente dedicati con i ruoli di amministratore in Microsoft Entra ID.
Da questo momento in poi, si accede con gli account con privilegi dedicati solo per le attività che richiedono privilegi di amministratore. Tutte le altre attività amministrative di Microsoft 365 devono essere eseguite assegnando altri ruoli di amministrazione agli account utente.
Nota
Questa operazione richiede passaggi aggiuntivi per disconnettersi come account utente quotidiano e accedere con un account amministratore dedicato. Ma questa operazione deve essere eseguita solo occasionalmente per le operazioni di amministratore. Si consideri che il ripristino dell'abbonamento a Microsoft 365 dopo una violazione dell'account amministratore richiede molti più passaggi.
È anche necessario creare account di accesso di emergenza per evitare di essere bloccati accidentalmente da Microsoft Entra ID.
È possibile proteggere ulteriormente gli account con privilegi con Microsoft Entra Privileged Identity Management (PIM) per l'assegnazione just-in-time su richiesta dei ruoli di amministratore.
2. Configurare l'autenticazione a più fattori per gli account con privilegi di Microsoft 365 dedicati
L'autenticazione a più fattori (MFA) richiede informazioni aggiuntive oltre al nome e alla password dell'account. Microsoft 365 supporta questi metodi di verifica aggiuntivi:
- L'app Microsoft Authenticator
- Una telefonata
- Codice di verifica generato in modo casuale inviato tramite un sms
- Una smart card (virtuale o fisica) (richiede l'autenticazione federata)
- Un dispositivo biometrico
- Token Oauth
Nota
Per le organizzazioni che devono rispettare gli standard NIST (National Institute of Standards and Technology), l'uso di una chiamata telefonica o di metodi di verifica aggiuntivi basati su sms è limitato. Fare clic qui per i dettagli.
Se si è una piccola azienda che usa account utente archiviati solo nel cloud (il modello di identità solo cloud), configurare L'autenticazione a più fattori per configurare L'autenticazione a più fattori usando una chiamata telefonica o un codice di verifica sms inviato a uno smart phone per ogni account con privilegi dedicati.
Se si è un'organizzazione di dimensioni maggiori che usa un modello di identità ibrido di Microsoft 365, sono disponibili altre opzioni di verifica. Se l'infrastruttura di sicurezza è già disponibile per un metodo di autenticazione secondaria più efficace, configurare MFA e configurare ogni account con privilegi dedicati per il metodo di verifica appropriato.
Se l'infrastruttura di sicurezza per il metodo di verifica più efficace desiderato non è disponibile e funziona per Microsoft 365 MFA, è consigliabile configurare account con privilegi dedicati con MFA usando l'app Microsoft Authenticator, una telefonata o un codice di verifica sms inviato a uno smart phone per gli account con privilegi come misura di sicurezza provvisoria. Non lasciare gli account con privilegi dedicati senza la protezione aggiuntiva fornita da MFA.
Per altre informazioni, vedere MFA per Microsoft 365.
3. Proteggere gli account amministratore con Zero Trust consigli per l'identità e l'accesso ai dispositivi
Per garantire una forza lavoro sicura e produttiva, Microsoft offre un set di raccomandazioni per l'identità e l'accesso ai dispositivi. Per l'identità, usare le raccomandazioni e le impostazioni riportate in questi articoli:
Protezioni aggiuntive per le organizzazioni aziendali
Usare questi metodi aggiuntivi per garantire che l'account con privilegi e la configurazione eseguita con tale account siano il più sicuro possibile.
Workstation con accesso con privilegi
Per garantire che l'esecuzione di attività con privilegi elevati sia il più sicura possibile, usare una workstation con accesso con privilegi. Un paw è un computer dedicato che viene usato solo per attività di configurazione sensibili, ad esempio la configurazione di Microsoft 365 che richiede un account con privilegi. Poiché questo computer non viene usato quotidianamente per l'esplorazione o la posta elettronica in Internet, è meglio protetto da attacchi Internet e minacce.
Per istruzioni su come configurare una workstation PAW, vedere Protezione dei dispositivi come parte della storia di accesso con privilegi.
Per abilitare Azure PIM per gli account tenant e amministratore Microsoft Entra, vedere la procedura per configurare PIM.
Per sviluppare una roadmap completa per proteggere l'accesso con privilegi dagli utenti malintenzionati informatici, vedere Protezione dell'accesso con privilegi per distribuzioni ibride e cloud in Microsoft Entra ID.
Privileged Identity Management
Anziché assegnare in modo permanente un ruolo di amministratore agli account con privilegi, è possibile usare PIM per abilitare l'assegnazione just-in-time su richiesta del ruolo di amministratore quando necessario.
Gli account amministratore passano da amministratori permanenti a amministratori idonei. Il ruolo di amministratore è inattivo finché qualcuno non lo richiede. Si completa quindi un processo di attivazione per aggiungere il ruolo di amministratore all'account con privilegi per un periodo di tempo predeterminato. Quando l'ora scade, PIM rimuove il ruolo di amministratore dall'account con privilegi.
L'uso di PIM e di questo processo riduce significativamente la quantità di tempo in cui gli account con privilegi sono vulnerabili agli attacchi e all'uso da parte di utenti malintenzionati.
L'uso di questa funzionalità richiede sottoscrizioni Microsoft Entra ID Governance o Microsoft Entra ID P2. Per trovare la licenza appropriata per i propri requisiti, vedere Confrontare le funzionalità disponibili a livello generale di Microsoft Entra ID.
Per informazioni sulle licenze per gli utenti, vedere Requisiti di licenza per l'uso di Privileged Identity Management.
Per ulteriori informazioni consulta:
- Privileged Identity Management.
- Protezione dell'accesso con privilegi per distribuzioni ibride e cloud in Microsoft Entra ID
Gestione accessi con privilegi
La gestione degli accessi con privilegi viene abilitata configurando criteri che specificano l'accesso JIT per le attività basate su attività nel tenant. Può aiutare a proteggere l'organizzazione da violazioni che possono usare account amministratore con privilegi esistenti con accesso permanente ai dati sensibili o accesso a impostazioni di configurazione critiche. Ad esempio, è possibile configurare un criterio di gestione degli accessi con privilegi che richiede l'approvazione esplicita per accedere e modificare le impostazioni delle cassette postali dell'organizzazione nel tenant.
In questo passaggio si abiliterà la gestione degli accessi con privilegi nel tenant e si configureranno i criteri di accesso con privilegi che offrono sicurezza aggiuntiva per l'accesso basato su attività ai dati e alle impostazioni di configurazione per l'organizzazione. Sono disponibili tre passaggi di base per iniziare a usare l'accesso con privilegi nell'organizzazione:
- Creazione di un gruppo responsabile dell'approvazione
- Abilitazione dell’accesso con privilegi
- Creazione di criteri per l'approvazione
La gestione degli accessi con privilegi consente all'organizzazione di operare senza privilegi permanenti e di fornire un livello di difesa contro le vulnerabilità derivanti da tale accesso amministrativo permanente. L'accesso con privilegi richiede approvazioni per l'esecuzione di qualsiasi attività con un criterio di approvazione associato definito. Gli utenti che devono eseguire le attività incluse nei criteri di approvazione devono richiedere e ottenere l'approvazione dell'accesso.
Per abilitare la gestione degli accessi con privilegi, vedere Introduzione alla gestione degli accessi con privilegi.
Per altre informazioni, vedere Informazioni sulla gestione degli accessi con privilegi.
Software siem (Security Information and Event Management) per la registrazione di Microsoft 365
Il software SIEM eseguito in un server esegue l'analisi in tempo reale degli avvisi di sicurezza e degli eventi creati dalle applicazioni e dall'hardware di rete. Per consentire al server SIEM di includere avvisi ed eventi di sicurezza di Microsoft 365 nelle funzioni di analisi e creazione di report, integrare Microsoft Entra ID nel seim. Vedere Introduzione alla Integrazione log di Azure.
Passaggio successivo
Continuare con il passaggio 3 per proteggere gli account utente.