Lavoro prerequisito per l'implementazione di criteri di identità e accesso ai dispositivi Zero Trust
Questo articolo descrive i prerequisiti che gli amministratori devono soddisfare per usare i criteri di identità e di accesso ai dispositivi Zero Trust consigliati e per usare l'accesso condizionale. Vengono inoltre illustrate le impostazioni predefinite consigliate per la configurazione delle piattaforme client per la migliore esperienza di Single Sign-On (SSO).
Prerequisiti
Prima di usare i criteri di identità e accesso ai dispositivi Zero Trust consigliati, l'organizzazione deve soddisfare i prerequisiti. I requisiti sono diversi per i diversi modelli di identità e autenticazione elencati:
- Solo cloud
- Autenticazione ibrida con sincronizzazione dell'hash delle password
- Ibrido con autenticazione pass-through (PTA)
- Federati
Nella tabella seguente vengono descritte in dettaglio le funzionalità dei prerequisiti e la relativa configurazione che si applicano a tutti i modelli di identità, tranne dove indicato.
| Configurazione | Eccezioni | Licenze |
|---|---|---|
| Configurare PHS. Questa funzionalità deve essere abilitata per rilevare le credenziali perse e agire su di esse per l'accesso condizionale basato sul rischio. Nota: Questa operazione è necessaria indipendentemente dal fatto che l'organizzazione usi l'autenticazione federata. | Solo cloud | Microsoft 365 E3 o E5 |
| Abilitare l'accesso Single Sign-On facile per accedere automaticamente agli utenti quando si trovano nei dispositivi dell'organizzazione connessi alla rete dell'organizzazione. | Solo cloud e federato | Microsoft 365 E3 o E5 |
| Configurare le posizioni denominate. Microsoft Entra ID Protection raccoglie e analizza tutti i dati di sessione disponibili per generare un punteggio di rischio. È consigliabile specificare gli intervalli IP pubblici dell'organizzazione per la rete nella configurazione Microsoft Entra ID percorsi denominati. Al traffico proveniente da questi intervalli viene assegnato un punteggio di rischio ridotto e al traffico proveniente dall'esterno dell'ambiente dell'organizzazione viene assegnato un punteggio di rischio più elevato. | Microsoft 365 E3 o E5 | |
| Registrare tutti gli utenti per la reimpostazione della password self-service (SSPR) e l'autenticazione a più fattori (MFA). È consigliabile registrare gli utenti per Microsoft Entra'autenticazione a più fattori in anticipo. Microsoft Entra ID Protection usa l'autenticazione a più fattori Microsoft Entra per eseguire una verifica di sicurezza aggiuntiva. Inoltre, per un'esperienza di accesso ottimale, è consigliabile che gli utenti installino l'app Microsoft Authenticator e l'app Microsoft Portale aziendale nei propri dispositivi. Questi possono essere installati dall'App Store per ogni piattaforma. | Microsoft 365 E3 o E5 | |
| Pianificare l'implementazione Microsoft Entra join ibrido. L'accesso condizionale garantisce che i dispositivi che si connettono alle app siano aggiunti a un dominio o conformi. Per supportare questa operazione nei computer Windows, il dispositivo deve essere registrato con Microsoft Entra ID. In questo articolo viene illustrato come configurare la registrazione automatica dei dispositivi. | Solo cloud | Microsoft 365 E3 o E5 |
| Preparare il team di supporto. Predisporre un piano per gli utenti che non riescono a portare a termine l'autenticazione a più fattori. Potrebbe trattarsi di aggiungerli a un gruppo di esclusione di criteri o di registrare nuove informazioni sull'autenticazione a più fattori. Prima di apportare una di queste modifiche sensibili alla sicurezza, è necessario assicurarsi che l'utente effettivo stia effettuando la richiesta. Un passaggio efficace consiste nel richiedere ai responsabili degli utenti di offrire assistenza nel processo di approvazione. | Microsoft 365 E3 o E5 | |
| Configurare il writeback delle password nell'AD locale. Il writeback delle password consente a Microsoft Entra ID di richiedere agli utenti di modificare le password locali quando viene rilevata una compromissione dell'account ad alto rischio. È possibile abilitare questa funzionalità usando Microsoft Entra Connect in uno dei due modi seguenti: abilitare il writeback delle password nella schermata delle funzionalità facoltative dell'installazione di Microsoft Entra Connect oppure abilitarla tramite Windows PowerShell. | Solo cloud | Microsoft 365 E3 o E5 |
| Configurare Microsoft Entra protezione password. Microsoft Entra Protezione password rileva e blocca le password vulnerabili note e le relative varianti e può anche bloccare altri termini deboli specifici dell'organizzazione. Gli elenchi di password escluse globali predefiniti vengono applicati automaticamente a tutti gli utenti in un tenant Microsoft Entra. È possibile definire altre voci in un elenco di password escluse personalizzato. Quando gli utenti modificano o reimpostano le loro password, gli elenchi di password escluse sono controllati per applicare l'uso di password sicure. | Microsoft 365 E3 o E5 | |
| Abilitare Microsoft Entra ID Protection. Microsoft Entra ID Protection consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e di configurare criteri di correzione automatizzati per il rischio di accesso basso, medio e alto e il rischio utente. | Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security | |
| Abilitare l'autenticazione moderna per Exchange Online e per Skype for Business Online. L'autenticazione moderna è un prerequisito per l'uso di MFA. L'autenticazione moderna è abilitata per impostazione predefinita per i client di Office 2016 e 2019, SharePoint e OneDrive for Business. | Microsoft 365 E3 o E5 | |
| Abilitare la valutazione dell'accesso continuo per Microsoft Entra ID. La valutazione dell'accesso continuo termina in modo proattivo le sessioni utente attive e applica le modifiche dei criteri tenant quasi in tempo reale. | Microsoft 365 E3 o E5 |
Configurazioni client consigliate
Questa sezione descrive le configurazioni client della piattaforma predefinite consigliate per offrire agli utenti la migliore esperienza SSO, nonché i prerequisiti tecnici per l'accesso condizionale.
Dispositivi Windows
È consigliabile Windows 11 o Windows 10 (versione 2004 o successiva), poiché Azure è progettato per offrire l'esperienza SSO più fluida possibile sia in locale che in Microsoft Entra ID. I dispositivi aziendali o dell'istituto di istruzione devono essere configurati per l'aggiunta diretta Microsoft Entra ID o se l'organizzazione usa l'aggiunta al dominio AD locale, questi dispositivi devono essere configurati per la registrazione automatica e invisibile all'utente con Microsoft Entra ID.
Per i dispositivi Windows BYOD, gli utenti possono usare Aggiungi account aziendale o dell'istituto di istruzione. Si noti che gli utenti del browser Google Chrome nei dispositivi Windows 11 o Windows 10 devono installare un'estensione per ottenere la stessa esperienza di accesso senza problemi degli utenti di Microsoft Edge. Inoltre, se l'organizzazione dispone di dispositivi Windows 8 o 8.1 aggiunti al dominio, è possibile installare Microsoft Workplace Join per computer non Windows 10. Scaricare il pacchetto per registrare i dispositivi con Microsoft Entra ID.
Dispositivi iOS
È consigliabile installare l'app Microsoft Authenticator nei dispositivi utente prima di distribuire i criteri di accesso condizionale o MFA. L'app deve essere installata almeno quando agli utenti viene richiesto di registrare il dispositivo con Microsoft Entra ID aggiungendo un account aziendale o dell'istituto di istruzione o quando installano l'app portale aziendale Intune per registrare il dispositivo nella gestione. Dipende dai criteri di accesso condizionale configurati.
Dispositivi Android
È consigliabile che gli utenti installino l'app Portale aziendale Intune e l'app Microsoft Authenticator prima della distribuzione dei criteri di accesso condizionale o quando necessario durante determinati tentativi di autenticazione. Dopo l'installazione dell'app, agli utenti potrebbe essere richiesto di registrarsi con Microsoft Entra ID o registrare il dispositivo con Intune. Dipende dai criteri di accesso condizionale configurati.
È anche consigliabile standardizzare i dispositivi di proprietà dell'organizzazione in OEM e versioni che supportano Android for Work o Samsung Knox per consentire gli account di posta elettronica, essere gestiti e protetti da Intune criteri MDM.
Client di posta elettronica consigliati
I client di posta elettronica seguenti supportano l'autenticazione moderna e l'accesso condizionale.
| Piattaforma | Client | Versione/Note |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook per iOS | Ultima versione |
| Android | Outlook per Android | Ultima versione |
| macOS | Outlook | 2019 e 2016 |
| Linux | Non supportato |
Piattaforme client consigliate per la protezione di documenti
I client seguenti sono consigliati quando è stato applicato un criterio di documenti sicuri.
| Piattaforma | Word/Excel/PowerPoint | OneNote | App OneDrive | App SharePoint | Client di sincronizzazione di OneDrive |
|---|---|---|---|---|---|
| Windows 11 o Windows 10 | Supportato | Supportato | N/D | N/D | Supportato |
| Windows 8.1 | Supportato | Supportato | N/D | N/D | Supportato |
| Android | Supportato | Supportato | Supportato | Supportato | N/D |
| iOS | Supportato | Supportato | Supportato | Supportato | N/D |
| macOS | Supportato | Supportato | N/D | N/D | Non supportato |
| Linux | Non supportato | Non supportato | Non supportato | Non supportato | Non supportato |
Supporto client di Microsoft 365
Per altre informazioni sul supporto client in Microsoft 365, vedere gli articoli seguenti:
- Supporto delle app client di Microsoft 365 - Accesso condizionale
- Supporto delle app client di Microsoft 365 - Autenticazione a più fattori
Protezione degli account amministratore
Per Microsoft 365 E3 o E5 o con licenze P1 o P2 Microsoft Entra ID separate, è possibile richiedere L'autenticazione a più fattori per gli account amministratore con criteri di accesso condizionale creati manualmente. Per informazioni dettagliate, vedere Accesso condizionale: Richiedere l'autenticazione a più fattori per gli amministratori .
Per le edizioni di Microsoft 365 o Office 365 che non supportano l'accesso condizionale, è possibile abilitare le impostazioni predefinite di sicurezza per richiedere l'autenticazione a più fattori per tutti gli account.
Ecco alcuni consigli aggiuntivi:
- Usare Microsoft Entra Privileged Identity Management per ridurre il numero di account amministrativi persistenti.
- Usare la gestione degli accessi con privilegi per proteggere l'organizzazione da violazioni che possono usare account amministratore con privilegi esistenti con accesso permanente ai dati sensibili o accesso a impostazioni di configurazione critiche.
- Creare e usare account separati a cui vengono assegnati ruoli di amministratore di Microsoft 365solo per l'amministrazione. Gli amministratori devono avere un proprio account utente per un uso non amministrativo regolare e usare un account amministrativo solo quando necessario per completare un'attività associata al ruolo o alla funzione del processo.
- Seguire le procedure consigliate per proteggere gli account con privilegi in Microsoft Entra ID.
Passaggio successivo
Configurare i criteri comuni di identità Zero Trust e accesso ai dispositivi
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per