Criteri di sicurezza comuni per le organizzazioni di Microsoft 365

Le organizzazioni hanno molto di cui preoccuparsi quando distribuiscono Microsoft 365 per la propria organizzazione. I criteri di accesso condizionale, protezione delle app e conformità dei dispositivi a cui si fa riferimento in questo articolo si basano sulle raccomandazioni di Microsoft e sui tre principi guida di Zero Trust:

  • Verificare esplicitamente
  • Usare privilegi minimi
  • Presupporre le violazioni

Le organizzazioni possono adottare questi criteri così come sono o personalizzarli in base alle proprie esigenze. Se possibile, testare i criteri in un ambiente non di produzione prima di distribuirli agli utenti di produzione. Il test è fondamentale per identificare e comunicare eventuali effetti agli utenti.

Questi criteri vengono raggruppati in tre livelli di protezione in base alla posizione in cui si è nel percorso di distribuzione:

  • Punto di partenza : controlli di base che introducono l'autenticazione a più fattori, le modifiche delle password sicure e i criteri di protezione delle app.
  • Enterprise : controlli avanzati che introducono la conformità dei dispositivi.
  • Sicurezza specializzata : criteri che richiedono l'autenticazione a più fattori ogni volta per set di dati o utenti specifici.

Il diagramma seguente mostra il livello di protezione a cui si applica ogni criterio e se i criteri si applicano a PC, telefoni e tablet o a entrambe le categorie di dispositivi.

Diagramma che mostra i criteri comuni di identità e dispositivi che supportano i principi di Zero Trust.

È possibile scaricare questo diagramma come file PDF .

Consiglio

È consigliabile richiedere l'uso dell'autenticazione a più fattori prima di registrare i dispositivi in Intune per garantire che il dispositivo sia in possesso dell'utente previsto. È necessario registrare i dispositivi in Intune prima di poter applicare i criteri di conformità dei dispositivi.

Prerequisiti

Autorizzazioni

  • Gli utenti che gestiranno i criteri di accesso condizionale devono essere in grado di accedere alla portale di Azure come amministratore dell'accesso condizionale, amministratore della sicurezza o amministratore globale.
  • Gli utenti che gestiranno i criteri di protezione delle app e conformità dei dispositivi devono essere in grado di accedere a Intune come amministratore di Intune o amministratore globale.
  • Agli utenti che devono solo visualizzare le configurazioni possono essere assegnati i ruoli Lettore di sicurezza o Lettore globale .

Per altre informazioni sui ruoli e le autorizzazioni, vedere l'articolo Microsoft Entra ruoli predefiniti.

Registrazione utente

Assicurarsi che gli utenti si registrino per l'autenticazione a più fattori prima di richiederne l'uso. Se si dispone di licenze che includono Microsoft Entra ID P2, è possibile usare i criteri di registrazione MFA all'interno di Microsoft Entra ID Protection per richiedere la registrazione degli utenti. Forniamo modelli di comunicazione, è possibile scaricare e personalizzare per promuovere la registrazione.

Gruppi

Tutti i gruppi Microsoft Entra usati come parte di queste raccomandazioni devono essere creati come gruppo di Microsoft 365e non come gruppo di sicurezza. Questo requisito è importante per la distribuzione di etichette di riservatezza quando si proteggono i documenti in Microsoft Teams e SharePoint in un secondo momento. Per altre informazioni, vedere l'articolo Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID

Assegnazione di criteri

I criteri di accesso condizionale possono essere assegnati a utenti, gruppi e ruoli di amministratore. I criteri di protezione delle app e conformità dei dispositivi di Intune possono essere assegnati solo ai gruppi. Prima di configurare i criteri, è necessario identificare chi deve essere incluso ed escluso. In genere, i criteri del livello di protezione del punto di partenza si applicano a tutti gli utenti dell'organizzazione.

Ecco un esempio di assegnazione di gruppo ed esclusioni per la richiesta di autenticazione a più fattori dopo che gli utenti hanno completato la registrazione utente.

  Microsoft Entra criteri di accesso condizionale Includi Exclude
Punto iniziale Richiedere l'autenticazione a più fattori per un rischio di accesso medio o elevato Tutti gli utenti
  • Account di accesso di emergenza
  • Gruppo di esclusione accesso condizionale
Aziendale Richiedere l'autenticazione a più fattori per un rischio di accesso basso, medio o elevato Gruppo di dirigenti
  • Account di accesso di emergenza
  • Gruppo di esclusione accesso condizionale
Sicurezza specializzata Richiedere sempre l'autenticazione a più fattori Gruppo buckeye del progetto top secret
  • Account di accesso di emergenza
  • Gruppo di esclusione accesso condizionale

Prestare attenzione quando si applicano livelli di protezione più elevati a gruppi e utenti. L'obiettivo della sicurezza non è quello di aggiungere inutili problemi all'esperienza utente. Ad esempio, i membri del gruppo Buckeye del progetto Top Secret dovranno usare MFA ogni volta che accedono, anche se non stanno lavorando al contenuto di sicurezza specializzato per il progetto. Un eccessivo attrito di sicurezza può causare affaticamento.

È possibile abilitare metodi di autenticazione senza password, ad esempio Windows Hello for Business o le chiavi di sicurezza FIDO2 per ridurre alcuni problemi creati da determinati controlli di sicurezza.

Account di accesso di emergenza

Tutte le organizzazioni devono avere almeno un account di accesso di emergenza monitorato per l'uso ed escluso dai criteri. Questi account vengono usati solo nel caso in cui tutti gli altri account amministratore e metodi di autenticazione vengano bloccati o altrimenti non disponibili. Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.

Esclusioni

Una procedura consigliata consiste nel creare un gruppo di Microsoft Entra per le esclusioni di accesso condizionale. Questo gruppo offre un mezzo per fornire l'accesso a un utente durante la risoluzione dei problemi di accesso.

Avviso

Questo gruppo è consigliato solo come soluzione temporanea. Monitorare e controllare continuamente questo gruppo per le modifiche e assicurarsi che il gruppo di esclusione venga usato solo come previsto.

Per aggiungere questo gruppo di esclusione a tutti i criteri esistenti:

  1. Accedere al portale di Azure come amministratore dell'accesso condizionale, amministratore della sicurezza o amministratore globale.
  2. Passare a Microsoft Entra ID>Accesso condizionaledi sicurezza>.
  3. Selezionare un criterio esistente.
  4. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o di interruzione dell'organizzazione e il gruppo di esclusione accesso condizionale dell'organizzazione.

Distribuzione

È consigliabile implementare i criteri del punto di partenza nell'ordine indicato in questa tabella. Tuttavia, i criteri MFA per i livelli di protezione aziendali e specializzati possono essere implementati in qualsiasi momento.

Punto iniziale

Criteri Altre informazioni Licenze
Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto Usare i dati di rischio di Microsoft Entra ID Protection per richiedere l'autenticazione a più fattori solo quando viene rilevato un rischio Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Bloccare i client che non supportano l'autenticazione moderna I client che non usano l'autenticazione moderna possono ignorare i criteri di accesso condizionale, quindi è importante bloccarli. Microsoft 365 E3 o E5
Gli utenti a rischio elevato devono modificare la password Impone agli utenti di modificare la password durante l'accesso se viene rilevata un'attività ad alto rischio per il proprio account. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Applicare criteri di protezione delle applicazioni per la protezione dei dati Un criterio di protezione delle app di Intune per piattaforma (Windows, iOS/iPadOS, Android). Microsoft 365 E3 o E5
Richiedere app approvate e criteri di protezione delle app Applica i criteri di protezione delle app per dispositivi mobili per telefoni e tablet usando iOS, iPadOS o Android. Microsoft 365 E3 o E5

Enterprise

Criteri Altre informazioni Licenze
Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o elevato Usare i dati di rischio di Microsoft Entra ID Protection per richiedere l'autenticazione a più fattori solo quando viene rilevato un rischio Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Definire i criteri di conformità dei dispositivi Impostare i requisiti minimi di configurazione. Un criterio per ogni piattaforma. Microsoft 365 E3 o E5
Richiedere PC e dispositivi mobili conformi Applica i requisiti di configurazione per i dispositivi che accedono all'organizzazione Microsoft 365 E3 o E5

Sicurezza specializzata

Criteri Altre informazioni Licenze
Richiedere sempre l'autenticazione a più fattori Gli utenti devono eseguire l'autenticazione a più fattori ogni volta che accedono ai servizi dell'organizzazione Microsoft 365 E3 o E5

Criteri di protezione delle app

Protezione di app criteri definiscono quali app sono consentite e quali azioni possono eseguire con i dati dell'organizzazione. Ci sono molte scelte disponibili e può essere fonte di confusione per alcuni. Le linee di base seguenti sono le configurazioni consigliate di Microsoft che possono essere personalizzate in base alle proprie esigenze. Sono disponibili tre modelli da seguire, ma si ritiene che la maggior parte delle organizzazioni sceglierà i livelli 2 e 3.

Il livello 2 esegue il mapping a ciò che si considera il punto di partenza o la sicurezza a livello aziendale , il livello 3 esegue il mapping alla sicurezza specializzata .

  • Protezione dei dati di base aziendale di livello 1 : Microsoft consiglia questa configurazione come configurazione minima per la protezione dei dati per un dispositivo aziendale.

  • Protezione dei dati avanzata aziendale di livello 2 : Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni sensibili o riservate. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Alcuni controlli possono influire sull'esperienza utente.

  • Protezione dei dati elevata aziendale di livello 3 : Microsoft consiglia questa configurazione per i dispositivi eseguiti da un'organizzazione con un team di sicurezza più grande o più sofisticato o per utenti o gruppi specifici a rischio univoco (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Un'organizzazione che probabilmente sarà presa di mira da avversari ben finanziati e sofisticati dovrebbe aspirare a questa configurazione.

Creare i criteri di protezione delle app

Creare un nuovo criterio di protezione delle app per ogni piattaforma (iOS e Android) all'interno di Microsoft Intune usando le impostazioni del framework di protezione dei dati:

Criteri di conformità dei dispositivi

I criteri di conformità dei dispositivi di Intune definiscono i requisiti che i dispositivi devono soddisfare per essere determinati come conformi.

È necessario creare un criterio per ogni piattaforma pc, telefono o tablet. Questo articolo illustra le raccomandazioni per le piattaforme seguenti:

Creare criteri di conformità dei dispositivi

Per creare criteri di conformità dei dispositivi, accedere all'interfaccia di amministrazione Microsoft Intune e passare a Criteri diconformità> dei dispositivi>. Selezionare Crea criteri.

Per indicazioni dettagliate sulla creazione di criteri di conformità in Intune, vedere Creare criteri di conformità in Microsoft Intune.

Impostazioni di registrazione e conformità per iOS/iPadOS

iOS/iPadOS supporta diversi scenari di registrazione, due dei quali sono trattati come parte di questo framework:

Usando i principi descritti in Zero Trust configurazioni di identità e accesso ai dispositivi:

Impostazioni di conformità per i dispositivi registrati personalmente
  • Sicurezza di base personale (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
  • Sicurezza avanzata personale (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione consente di applicare i controlli di condivisione dei dati. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
  • Sicurezza elevata personale (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici a rischio univoco (gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione applica criteri password più avanzati, disabilita determinate funzioni del dispositivo e applica restrizioni aggiuntive per il trasferimento dei dati.
Impostazioni di conformità per la registrazione automatica dei dispositivi
  • Sicurezza di base con supervisione (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi con supervisione in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
  • Sicurezza avanzata con supervisione (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica i controlli di condivisione dei dati e blocca l'accesso ai dispositivi USB. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
  • Sicurezza elevata con supervisione (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici a rischio univoco (gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione applica criteri password più avanzati, disabilita determinate funzioni del dispositivo, applica restrizioni aggiuntive per il trasferimento dei dati e richiede l'installazione di app tramite il programma di acquisto di volumi Apple.

Impostazioni di registrazione e conformità per Android

Android Enterprise supporta diversi scenari di registrazione, due dei quali sono trattati come parte di questo framework:

  • Profilo di lavoro Android Enterprise : questo modello di registrazione viene in genere usato per i dispositivi di proprietà personale, in cui l'IT vuole fornire un chiaro limite di separazione tra i dati aziendali e personali. I criteri controllati dall'IT garantiscono che i dati di lavoro non possano essere trasferiti nel profilo personale.
  • Dispositivi Android Enterprise completamente gestiti : questi dispositivi sono di proprietà dell'azienda, associati a un singolo utente e usati esclusivamente per uso aziendale e non personale.

Il framework di configurazione della sicurezza Android Enterprise è organizzato in diversi scenari di configurazione distinti, fornendo indicazioni per il profilo di lavoro e scenari completamente gestiti.

Usando i principi descritti in Zero Trust configurazioni di identità e accesso ai dispositivi:

Impostazioni di conformità per i dispositivi del profilo di lavoro Android Enterprise
  • A causa delle impostazioni disponibili per i dispositivi del profilo di lavoro di proprietà personale, non esiste alcuna offerta di sicurezza di base (livello 1). Le impostazioni disponibili non giustificano una differenza tra il livello 1 e il livello 2.
  • Sicurezza avanzata del profilo di lavoro (livello 2): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, separa i dati aziendali e personali e convalida l'attestazione del dispositivo Android.
  • Sicurezza elevata del profilo di lavoro (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici a rischio univoco (gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione introduce la difesa dalle minacce per dispositivi mobili o Microsoft Defender per endpoint, imposta la versione minima di Android, applica criteri password più avanzati e limita ulteriormente la separazione tra lavoro e personale.
Impostazioni di conformità per dispositivi Android Enterprise completamente gestiti
  • Sicurezza di base completamente gestita (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per un dispositivo aziendale. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, imposta la versione minima di Android e impone determinate restrizioni del dispositivo.
  • Sicurezza avanzata completamente gestita (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione adotta criteri password più efficaci e disabilita le funzionalità utente/account.
  • Sicurezza elevata completamente gestita (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici a rischio univoco. Questi utenti possono gestire dati altamente sensibili in cui la divulgazione non autorizzata può causare una notevole perdita di materiale per l'organizzazione. Questa configurazione aumenta la versione minima di Android, introduce la difesa dalle minacce per dispositivi mobili o Microsoft Defender per endpoint e impone restrizioni aggiuntive per i dispositivi.

Le impostazioni seguenti sono configurate nel passaggio 2: Impostazioni di conformità, del processo di creazione dei criteri di conformità per Windows 10 e dispositivi più recenti. Queste impostazioni sono allineate ai principi descritti in Zero Trust configurazioni di identità e accesso ai dispositivi.

Per le regole di valutazione del servizio di attestazione integrità windows per l'integrità > del dispositivo, vedere questa tabella.

Proprietà Valore
Richiedi BitLocker Richiedono
Richiedere l'abilitazione dell'avvio protetto nel dispositivo Richiedono
Richiedere l'integrità del codice Richiedono

Per Proprietà dispositivo specificare i valori appropriati per le versioni del sistema operativo in base ai criteri IT e di sicurezza.

Per Configuration Manager Conformità, se si è in un ambiente co-gestito con Configuration Manager selezionare Richiedi in caso contrario selezionare Non configurato.

Per Sicurezza del sistema, vedere questa tabella.

Proprietà Valore
Richiedere una password per sbloccare i dispositivi mobili Richiedono
Password semplici Blocca
Tipo di password Impostazione predefinita del dispositivo
Lunghezza minima password 6
Numero massimo di minuti di inattività prima che sia necessaria una password 15 minuti
Scadenza password (giorni) 41
Numero di password precedenti per impedire il riutilizzo 5
Richiedi password quando il dispositivo torna dallo stato di inattività (Mobile e Holographic) Richiedono
Richiedere la crittografia dell'archiviazione dati nel dispositivo Richiedono
Firewall Richiedono
Antivirus Richiedono
Antispyware Richiedono
Microsoft Defender Antimalware Richiedono
Microsoft Defender versione minima di Antimalware Microsoft consiglia versioni non superiori a cinque rispetto alla versione più recente.
Microsoft Defender firma Antimalware aggiornata Richiedono
Protezione in tempo reale Richiedono

Per Microsoft Defender per endpoint

Proprietà Valore
Richiedere che il dispositivo sia al o sotto il punteggio di rischio del computer Medio

Criteri di accesso condizionale

Dopo aver creato i criteri di protezione delle app e conformità dei dispositivi in Intune, è possibile abilitare l'imposizione con i criteri di accesso condizionale.

Richiedere l'autenticazione a più fattori in base al rischio di accesso

Seguire le indicazioni nell'articolo Criteri di accesso condizionale comuni: Autenticazione a più fattori basata sul rischio di accesso per creare un criterio per richiedere l'autenticazione a più fattori in base al rischio di accesso.

Quando si configurano i criteri, usare i livelli di rischio seguenti.

Livello di protezione Valori del livello di rischio necessari Azione
Punto iniziale Alto, medio Controlla entrambi.
Enterprise Alto, medio, basso Controlla tutti e tre.

Bloccare i client che non supportano l'autenticazione a più fattori

Seguire le indicazioni riportate nell'articolo Criteri comuni di accesso condizionale: Bloccare l'autenticazione legacy per bloccare l'autenticazione legacy.

Gli utenti a rischio elevato devono modificare la password

Seguire le indicazioni nell'articolo Criteri di accesso condizionale comuni: modifica della password basata sul rischio utente per richiedere agli utenti con credenziali compromesse di modificare la password.

Usare questo criterio insieme a Microsoft Entra la protezione delle password, che rileva e blocca le password vulnerabili note e le relative varianti oltre ai termini specifici dell'organizzazione. L'uso di Microsoft Entra protezione password garantisce che le password modificate siano più complesse.

Richiedere app approvate e criteri di protezione delle app

È necessario creare criteri di accesso condizionale per applicare i criteri di protezione delle app creati in Intune. L'applicazione dei criteri di protezione delle app richiede un criterio di accesso condizionale e un criterio di protezione delle app corrispondente.

Per creare criteri di accesso condizionale che richiedono app approvate e protezione delle APP, seguire la procedura descritta in Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili. Questo criterio consente solo agli account all'interno di app per dispositivi mobili protetti dai criteri di protezione delle app di accedere agli endpoint di Microsoft 365.

Il blocco dell'autenticazione legacy per altre app client nei dispositivi iOS e Android garantisce che questi client non possano ignorare i criteri di accesso condizionale. Se si seguono le indicazioni in questo articolo, sono già stati configurati i client Di blocco che non supportano l'autenticazione moderna.

Richiedere PC e dispositivi mobili conformi

La procedura seguente consente di creare criteri di accesso condizionale per richiedere che i dispositivi che accedono alle risorse siano contrassegnati come conformi ai criteri di conformità di Intune dell'organizzazione.

Attenzione

Assicurarsi che il dispositivo sia conforme prima di abilitare questo criterio. In caso contrario, è possibile rimanere bloccati e non è possibile modificare questo criterio fino a quando l'account utente non viene aggiunto al gruppo di esclusione accesso condizionale.

  1. Accedere al portale di Azure.
  2. Passare a Microsoft Entra ID>Accesso condizionaledi sicurezza>.
  3. Selezionare Nuovo criterio.
  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard significativo per i nomi dei criteri.
  5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti.
    2. In Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o di emergenza dell'organizzazione.
  6. In App cloud o azioni>Includi selezionare Tutte le app cloud.
    1. Se è necessario escludere applicazioni specifiche dai criteri, è possibile sceglierle nella scheda Escludi in Selezionare le app cloud escluse e scegliere Seleziona.
  7. In Controlli di accesso>Concedere.
    1. Selezionare Richiedi che il dispositivo sia contrassegnato come conforme.
    2. Selezionare Seleziona.
  8. Confermare le impostazioni e impostare Abilita criterio su .
  9. Selezionare Crea per creare per abilitare i criteri.

Nota

È possibile registrare i nuovi dispositivi in Intune anche se si seleziona Richiedi che il dispositivo sia contrassegnato come conforme per Tutti gli utenti e Tutte le app cloud nei criteri. Richiedere che il dispositivo sia contrassegnato come controllo conforme non blocca la registrazione di Intune e l'accesso all'applicazione Portale aziendale Web Microsoft Intune.

Attivazione della sottoscrizione

Le organizzazioni che usano la funzionalità Attivazione sottoscrizione per consentire agli utenti di eseguire il "passaggio" da una versione di Windows a un'altra potrebbero voler escludere le API del servizio Universal Store e l'applicazione Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f dai criteri di conformità del dispositivo.

Richiedere sempre l'autenticazione a più fattori

Seguire le indicazioni nell'articolo Criteri comuni di accesso condizionale: Richiedere l'autenticazione a più fattori per tutti gli utenti per richiedere agli utenti a livello di sicurezza specializzati di eseguire sempre l'autenticazione a più fattori.

Avviso

Quando si configurano i criteri, selezionare il gruppo che richiede sicurezza specializzata e usarlo invece di selezionare Tutti gli utenti.

Passaggi successivi

Passaggio 3: Criteri per gli utenti guest ed esterni.

Informazioni sui consigli sui criteri per gli utenti guest ed esterni