Configurazioni di accesso al dispositivo e identità zero trust
La forza lavoro di oggi richiede l'accesso ad applicazioni e risorse che esistono oltre i limiti della rete aziendale tradizionale. Le architetture di sicurezza che si basano su firewall di rete e reti private virtuali (VPN) per isolare e limitare l'accesso alle risorse non sono più sufficienti.
Per affrontare questo nuovo mondo del calcolo, Microsoft consiglia vivamente il modello di sicurezza Zero Trust, basato su questi principi guida:
- Verifica in modo esplicito: autenticare e autorizzare sempre in base a tutti i punti dati disponibili. Questa verifica è la posizione in cui Zero Trust criteri di identità e accesso ai dispositivi sono fondamentali per l'accesso e la convalida in corso.
- Usare l'accesso con privilegi minimi: limitare l'accesso utente con JIT(Just-In-Time) e JUST-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.
- Presupporre una violazione: ridurre al minimo il raggio di esplosione e l'accesso ai segmenti. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.
Ecco l'architettura complessiva di Zero Trust:
Zero Trust criteri di identità e accesso ai dispositivi si indirizzano al principio guida di Verifica in modo esplicito per:
- Identità: quando un'identità tenta di accedere a una risorsa, verificare che l'identità con autenticazione avanzata e assicurarsi che l'accesso richiesto sia conforme e tipico.
- Dispositivi (detti anche endpoint): monitorare e applicare i requisiti di integrità e conformità dei dispositivi per l'accesso sicuro.
- Applicazioni: applicare controlli e tecnologie a:
- Verificare le autorizzazioni appropriate in-app.
- Controllare l'accesso in base all'analisi in tempo reale.
- Monitorare il comportamento anomalo
- Controllare l'attività degli utenti.
- Convalidare le opzioni di configurazione sicura.
Questa serie di articoli descrive un set di configurazioni e criteri di accesso ai dispositivi e identità che usano Microsoft Entra ID, accesso condizionale, Microsoft Intune e altre funzionalità. Queste configurazioni e criteri forniscono Zero Trust l'accesso a Microsoft 365 per le app e i servizi cloud aziendali, ad altri servizi SaaS e alle applicazioni locali pubblicate con Microsoft Entra proxy di applicazione.
Zero Trust le impostazioni e i criteri di accesso ai dispositivi e alle identità sono consigliati in tre livelli:
- Punto iniziale.
- Azienda.
- Sicurezza specializzata per ambienti con dati altamente regolamentati o classificati.
Questi livelli e le relative configurazioni corrispondenti offrono livelli coerenti di protezione Zero Trust tra dati, identità e dispositivi. Queste funzionalità e le relative raccomandazioni:
- Sono supportati in Microsoft 365 E3 e Microsoft 365 E5.
- Sono allineati con il punteggio di sicurezza Microsoft e il punteggio di identità in Microsoft Entra ID. Seguendo le raccomandazioni, questi punteggi aumenteranno per l'organizzazione.
- Consente di implementare questi cinque passaggi per proteggere l'infrastruttura di identità.
Se l'organizzazione ha requisiti o complessità univoci, usare queste raccomandazioni come punto di partenza. Tuttavia, la maggior parte delle organizzazioni può implementare queste raccomandazioni come previsto.
Guardare questo video per una rapida panoramica delle configurazioni di identità e accesso ai dispositivi per Microsoft 365 per le aziende.
Nota
Microsoft vende anche licenze Enterprise Mobility + Security (EMS) per le sottoscrizioni Office 365. Le funzionalità EMS E3 ed EMS E5 sono equivalenti a quelle di Microsoft 365 E3 e Microsoft 365 E5. Per altre informazioni, vedere Piani EMS.
Destinatari
Queste raccomandazioni sono destinate a architetti aziendali e professionisti IT che hanno familiarità con i servizi di produttività e sicurezza del cloud di Microsoft 365. Questi servizi includono Microsoft Entra ID (identità), Microsoft Intune (gestione dei dispositivi) e Microsoft Purview Information Protection (protezione dei dati).
Ambiente del cliente
I criteri consigliati sono applicabili alle organizzazioni aziendali che operano interamente nel cloud Microsoft e per i clienti con infrastruttura di identità ibrida. Una struttura di identità ibrida è una foresta Active Directory locale sincronizzata con Microsoft Entra ID.
Molte delle raccomandazioni si basano su servizi disponibili solo con le licenze seguenti:
- Microsoft 365 E5.
- Microsoft 365 E3 con il componente aggiuntivo E5 Security.
- EMS E5.
- Microsoft Entra ID licenze P2.
Per le organizzazioni che non dispongono di queste licenze, è consigliabile implementare almeno le impostazioni predefinite di sicurezza, incluse in tutti i piani di Microsoft 365.
Avvertenze
L'organizzazione potrebbe essere soggetta a requisiti normativi o di altri requisiti di conformità, incluse raccomandazioni specifiche che richiedono l'applicazione di criteri che divergono da queste configurazioni consigliate. Queste configurazioni consigliano controlli di utilizzo che non sono stati storicamente disponibili. Questi controlli sono consigliati perché riteniamo che rappresentino un equilibrio tra sicurezza e produttività.
Abbiamo fatto del nostro meglio per tenere conto di un'ampia gamma di requisiti di protezione dell'organizzazione, ma non siamo in grado di tenere conto di tutti i requisiti possibili o di tutti gli aspetti univoci dell'organizzazione.
Tre livelli di protezione
La maggior parte delle organizzazioni hanno requisiti specifici relativi a sicurezza e protezione dei dati. Tali requisiti variano in base al settore e alle mansioni lavorative all'interno delle organizzazioni. Ad esempio, il reparto legale e gli amministratori potrebbero richiedere controlli aggiuntivi di sicurezza e protezione delle informazioni relativi alla corrispondenza di posta elettronica che non sono necessari per altre business unit.
Ogni settore ha anche il proprio set di normative specializzate. Non si sta cercando di fornire un elenco di tutte le opzioni di sicurezza possibili o una raccomandazione per segmento di settore o funzione del processo. Vengono invece forniti consigli per tre livelli di sicurezza e protezione che possono essere applicati in base alla granularità delle esigenze.
- Punto di partenza: è consigliabile che tutti i clienti stabiliscano e usino uno standard minimo per la protezione dei dati, nonché le identità e i dispositivi che accedono ai dati. È possibile seguire questi consigli per fornire una protezione predefinita avanzata come punto di partenza per tutte le organizzazioni.
- Enterprise: alcuni clienti hanno un subset di dati che devono essere protetti a livelli superiori o tutti i dati devono essere protetti a un livello superiore. È possibile applicare una maggiore protezione a tutti i set di dati o a set di dati specifici nell'ambiente Microsoft 365. È consigliabile proteggere le identità e i dispositivi che accedono ai dati sensibili con livelli di sicurezza analoghi.
- Sicurezza specializzata: se necessario, alcuni clienti hanno una piccola quantità di dati altamente classificati, che costituiscono segreti commerciali o sono regolamentati. Microsoft offre funzionalità che consentono a questi clienti di soddisfare questi requisiti, inclusa una protezione aggiuntiva per identità e dispositivi.
Questa guida illustra come implementare Zero Trust protezione per identità e dispositivi per ognuno di questi livelli di protezione. Usare queste linee guida come minimo per l'organizzazione e modificare i criteri per soddisfare i requisiti specifici dell'organizzazione.
È importante usare livelli di protezione coerenti tra identità, dispositivi e dati. Ad esempio, la protezione per gli utenti con account prioritari, ad esempio dirigenti, dirigenti, responsabili e altri, deve includere lo stesso livello di protezione per le identità, i dispositivi e i dati a cui accedono.
Vedere anche la soluzione Distribuire la protezione delle informazioni per le normative sulla privacy dei dati per proteggere le informazioni archiviate in Microsoft 365.
Compromesso tra sicurezza e produttività
L'implementazione di qualsiasi strategia di sicurezza richiede compromessi tra sicurezza e produttività. È utile valutare in che modo ogni decisione influisce sull'equilibrio tra sicurezza, funzionalità e facilità d'uso.
Le raccomandazioni fornite si basano sui principi seguenti:
- Conoscere gli utenti ed essere flessibili in base ai requisiti di sicurezza e funzionalità.
- Applicare un criterio di sicurezza just-in-time e assicurarsi che sia significativo.
Servizi e concetti per Zero Trust protezione dall'identità e dall'accesso ai dispositivi
Microsoft 365 for enterprise è progettato per le organizzazioni di grandi dimensioni per consentire a tutti di essere creativi e collaborare in modo sicuro.
Questa sezione offre una panoramica dei servizi e delle funzionalità di Microsoft 365 importanti per Zero Trust l'identità e l'accesso ai dispositivi.
Microsoft Entra ID
Microsoft Entra ID offre una suite completa di funzionalità di gestione delle identità. È consigliabile usare queste funzionalità per proteggere l'accesso.
| Capacità o funzionalità | Descrizione | Licenze |
|---|---|---|
| Autenticazione a più fattori (MFA) | MFA richiede agli utenti di fornire due forme di verifica, ad esempio una password utente e una notifica dall'app Microsoft Authenticator o una telefonata. L'autenticazione a più fattori riduce notevolmente il rischio che le credenziali rubate possano essere usate per accedere all'ambiente. Microsoft 365 usa il servizio di autenticazione a più fattori Microsoft Entra per gli accessi basati su MFA. | Microsoft 365 E3 o E5 |
| Accesso condizionale | Microsoft Entra ID valuta le condizioni di accesso dell'utente e usa i criteri di accesso condizionale per determinare l'accesso consentito. Ad esempio, in questa guida viene illustrato come creare criteri di accesso condizionale per richiedere la conformità del dispositivo per l'accesso ai dati sensibili. Ciò riduce notevolmente il rischio che un hacker con il proprio dispositivo e le credenziali rubate possa accedere ai dati sensibili. Protegge anche i dati sensibili nei dispositivi, perché i dispositivi devono soddisfare requisiti specifici per l'integrità e la sicurezza. | Microsoft 365 E3 o E5 |
| gruppi Microsoft Entra | I criteri di accesso condizionale, la gestione dei dispositivi con Intune e persino le autorizzazioni per file e siti nell'organizzazione si basano sull'assegnazione agli account utente o ai gruppi Microsoft Entra. È consigliabile creare gruppi Microsoft Entra corrispondenti ai livelli di protezione che si stanno implementando. Ad esempio, il personale esecutivo è probabilmente target di valore più alto per gli hacker. Pertanto, è opportuno aggiungere gli account utente di questi dipendenti a un gruppo di Microsoft Entra e assegnare questo gruppo ai criteri di accesso condizionale e ad altri criteri che applicano un livello superiore di protezione per l'accesso. | Microsoft 365 E3 o E5 |
| Registrazione dei dispositivi | Si registra un dispositivo in Microsoft Entra ID per creare un'identità per il dispositivo. Questa identità viene usata per autenticare il dispositivo quando un utente accede e per applicare criteri di accesso condizionale che richiedono PC aggiunti a un dominio o conformi. Per queste indicazioni, viene usata la registrazione dei dispositivi per registrare automaticamente i computer Windows aggiunti a un dominio. La registrazione dei dispositivi è un prerequisito per la gestione dei dispositivi con Intune. | Microsoft 365 E3 o E5 |
| Microsoft Entra ID Protection | Consente di rilevare potenziali vulnerabilità che influiscono sulle identità dell'organizzazione e di configurare criteri di correzione automatizzati per il rischio di accesso basso, medio e elevato e il rischio utente. Queste indicazioni si basano su questa valutazione dei rischi per applicare i criteri di accesso condizionale per l'autenticazione a più fattori. Queste linee guida includono anche criteri di accesso condizionale che richiedono agli utenti di modificare la password se viene rilevata un'attività ad alto rischio per il proprio account. | Microsoft 365 E5, Microsoft 365 E3 con le licenze del componente aggiuntivo E5 Security, EMS E5 o Microsoft Entra ID P2 |
| Reimpostazione della password self-service (SSPR) | Consentire agli utenti di reimpostare le password in modo sicuro e senza l'intervento dell'help desk, fornendo la verifica di più metodi di autenticazione che l'amministratore può controllare. | Microsoft 365 E3 o E5 |
| protezione password Microsoft Entra | Rilevare e bloccare le password vulnerabili note e le relative varianti e termini deboli aggiuntivi specifici dell'organizzazione. Gli elenchi di password escluse globali predefiniti vengono applicati automaticamente a tutti gli utenti in un tenant Microsoft Entra. È possibile definire altre voci in un elenco di password escluse personalizzato. Quando gli utenti modificano o reimpostano le loro password, gli elenchi di password escluse sono controllati per applicare l'uso di password sicure. | Microsoft 365 E3 o E5 |
Di seguito sono riportati i componenti di Zero Trust l'identità e l'accesso ai dispositivi, inclusi oggetti, impostazioni e sottoservizi Intune e Microsoft Entra.
Microsoft Intune
Intune è il servizio di gestione dei dispositivi mobili basato sul cloud di Microsoft. Queste linee guida consigliano la gestione dei dispositivi dei PC Windows con Intune e consigliano le configurazioni dei criteri di conformità dei dispositivi. Intune determina se i dispositivi sono conformi e invia questi dati a Microsoft Entra ID da usare quando si applicano i criteri di accesso condizionale.
protezione delle app Intune
Intune criteri di protezione delle app possono essere usati per proteggere i dati dell'organizzazione nelle app per dispositivi mobili, con o senza registrare i dispositivi nella gestione. Intune consente di proteggere le informazioni, assicurandosi che i dipendenti possano comunque essere produttivi e impedendo la perdita di dati. Implementando criteri a livello di app, è possibile limitare l'accesso alle risorse aziendali e mantenere i dati sotto il controllo del reparto IT.
Queste linee guida illustrano come creare criteri consigliati per applicare l'uso di app approvate e per determinare come queste app possono essere usate con i dati aziendali.
Microsoft 365
Questa guida illustra come implementare un set di criteri per proteggere l'accesso ai servizi cloud di Microsoft 365, tra cui Microsoft Teams, Exchange, SharePoint e OneDrive. Oltre a implementare questi criteri, è consigliabile aumentare il livello di protezione per il tenant usando queste risorse:
Windows 11 o Windows 10 con Microsoft 365 Apps for enterprise
Windows 11 o Windows 10 con Microsoft 365 Apps for enterprise è l'ambiente client consigliato per i PC. È consigliabile Windows 11 o Windows 10 perché Microsoft Entra è progettato per offrire l'esperienza più fluida possibile sia in locale che in Microsoft Entra ID. Windows 11 o Windows 10 include anche funzionalità di sicurezza avanzate che possono essere gestite tramite Intune. Microsoft 365 Apps for enterprise include le versioni più recenti delle applicazioni di Office. Usano l'autenticazione moderna, che è più sicura e un requisito per l'accesso condizionale. Queste app includono anche strumenti di conformità e sicurezza avanzati.
Applicazione di queste funzionalità nei tre livelli di protezione
La tabella seguente riepiloga le raccomandazioni per l'uso di queste funzionalità nei tre livelli di protezione.
| Meccanismo di protezione | Punto iniziale | Enterprise | Sicurezza specializzata |
|---|---|---|---|
| Applicare l'autenticazione a più fattori | A partire da rischio di accesso medio | A partire da rischio di accesso basso | Per tutte le nuove sessioni |
| Applicare la modifica della password | Per gli utenti ad alto rischio | Per gli utenti ad alto rischio | Per gli utenti ad alto rischio |
| Applicare Intune protezione delle applicazioni | Sì | Sì | Sì |
| Applicare la registrazione Intune per il dispositivo di proprietà dell'organizzazione | Richiedere un PC conforme o aggiunto al dominio, ma consentire telefoni e tablet BYOD (Bring Your Own Devices) | Richiedere un dispositivo conforme o aggiunto a un dominio | Richiedere un dispositivo conforme o aggiunto a un dominio |
Proprietà del dispositivo
La tabella precedente riflette la tendenza di molte organizzazioni a supportare una combinazione di dispositivi di proprietà dell'organizzazione e dispositivi personali o BYOD per consentire la produttività dei dispositivi mobili in tutta la forza lavoro. Intune criteri di protezione delle app assicurano che la posta elettronica sia protetta dall'esfiltrazione dall'app Outlook per dispositivi mobili e da altre app per dispositivi mobili di Office, sia nei dispositivi di proprietà dell'organizzazione che nei BYOD.
È consigliabile che i dispositivi di proprietà dell'organizzazione siano gestiti da Intune o aggiunti a un dominio per applicare protezioni e controlli aggiuntivi. A seconda della riservatezza dei dati, l'organizzazione potrebbe scegliere di non consentire i BYOD per utenti specifici o app specifiche.
Distribuzione e app
Prima di configurare e distribuire Zero Trust configurazione dell'identità e dell'accesso ai dispositivi per le app integrate Microsoft Entra, è necessario:
Decidere quali app usate nell'organizzazione si vuole proteggere.
Analizzare questo elenco di app per determinare i set di criteri che forniscono livelli di protezione appropriati.
Non è consigliabile creare set separati di criteri ognuno per le app perché la loro gestione può diventare complessa. Microsoft consiglia di raggruppare le app con gli stessi requisiti di protezione per gli stessi utenti.
Ad esempio, avere un set di criteri che includono tutte le app di Microsoft 365 per tutti gli utenti per la protezione del punto di partenza. Avere un secondo set di criteri per tutte le app sensibili, ad esempio quelle usate dalle risorse umane o dai reparti finanziari, e applicarli a tali gruppi.
Dopo aver determinato il set di criteri per le app da proteggere, implementare i criteri agli utenti in modo incrementale, risolvendo i problemi lungo la strada. Ad esempio:
- Configurare i criteri che si intende usare per tutte le app di Microsoft 365.
- Aggiungere solo Exchange con le modifiche necessarie, implementare i criteri agli utenti e risolvere eventuali problemi.
- Aggiungere Teams con le modifiche necessarie, implementare i criteri agli utenti e risolvere eventuali problemi.
- Aggiungere SharePoint con le modifiche necessarie, implementare i criteri agli utenti e risolvere eventuali problemi.
- Continuare ad aggiungere il resto delle app fino a quando non è possibile configurare con sicurezza questi criteri del punto di partenza per includere tutte le app di Microsoft 365.
Analogamente, per le app sensibili, creare il set di criteri e aggiungere un'app alla volta. Risolvere eventuali problemi fino a quando non vengono tutti inclusi nel set di criteri delle app sensibili.
Microsoft consiglia di non creare set di criteri che si applicano a tutte le app perché possono comportare configurazioni impreviste. Ad esempio, i criteri che bloccano tutte le app potrebbero bloccare gli amministratori dal Interfaccia di amministrazione di Microsoft Entra e le esclusioni non possono essere configurate per endpoint importanti come Microsoft Graph.
Procedura per configurare l'identità Zero Trust e l'accesso al dispositivo
- Configurare le funzionalità di identità dei prerequisiti e le relative impostazioni.
- Configurare i criteri comuni di identità e accesso condizionale.
- Configurare i criteri di accesso condizionale per gli utenti guest ed esterni.
- Configurare i criteri di accesso condizionale per le app cloud di Microsoft 365, ad esempio Microsoft Teams, Exchange e SharePoint, e i criteri di Microsoft Defender for Cloud Apps.
Dopo aver configurato Zero Trust'identità e l'accesso al dispositivo, vedere la guida alla distribuzione delle funzionalità Microsoft Entra per un elenco di controllo in più fasi di funzionalità aggiuntive da considerare e Microsoft Entra ID Governance per proteggere, monitorare e controllare l'accesso.
Passaggio successivo
Lavoro prerequisito per l'implementazione di criteri di identità e accesso ai dispositivi Zero Trust
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per