Configurare il tenant di Microsoft 365 per una maggiore sicurezza

• Si applica a:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Le esigenze dell'organizzazione richiedono sicurezza.

Le specifiche dipendono dall'azienda.

Questo articolo illustra la configurazione manuale delle impostazioni a livello di tenant che influiscono sulla sicurezza dell'ambiente Microsoft 365. Usare queste raccomandazioni come punto di partenza.

Ottimizzare i criteri di protezione di EOP e Defender per Office 365 nel portale di Microsoft Defender

Il portale Microsoft Defender offre funzionalità sia per la protezione che per la creazione di report. Dispone di dashboard che è possibile usare per monitorare e intervenire quando si verificano minacce.

Come passaggio iniziale, è necessario configurare i record di autenticazione della posta elettronica in DNS per tutti i domini di posta elettronica personalizzati in Microsoft 365 (SPF, DKIM e DMARC). Microsoft 365 configura automaticamente l'autenticazione tramite posta elettronica per il dominio *.onmicrosoft.com. Per altre informazioni, vedere Passaggio 1: Configurare l'autenticazione tramite posta elettronica per i domini di Microsoft 365.

Nota

Per distribuzioni non standard di SPF, distribuzioni ibride e risoluzione dei problemi: configurare SPF per impedire lo spoofing.

La maggior parte delle funzionalità di protezione in Exchange Online Protection (EOP) e Defender per Office 365 include configurazioni dei criteri predefinite. Per altre informazioni, vedere la tabella qui.

È consigliabile attivare e usare i criteri di sicurezza predefiniti Standard e/o Strict per tutti i destinatari. Per altre informazioni, vedere gli articoli seguenti:

• Attivare e configurare i criteri di sicurezza predefiniti: preimpostati criteri di sicurezza in EOP e Microsoft Defender per Office 365.
• Differenza nelle impostazioni tra i criteri di sicurezza predefiniti Standard e Strict: impostazioni dei criteri nei criteri di sicurezza predefiniti.
• Elenco completo di tutte le funzionalità e le impostazioni nei criteri predefiniti, nei criteri di sicurezza predefiniti standard e nei criteri di sicurezza predefiniti strict: impostazioni consigliate per EOP e sicurezza Microsoft Defender per Office 365.

I criteri personalizzati sono necessari se le esigenze aziendali dell'organizzazione richiedono impostazioni di criteri diverse da o non definite nei criteri di sicurezza predefiniti. In alternativa, se l'organizzazione richiede un'esperienza utente diversa per i messaggi in quarantena (incluse le notifiche). Per altre informazioni, vedere Determinare la strategia dei criteri di protezione.

Visualizzare dashboard e report nel portale di Microsoft Defender

Nel portale https://security.microsoft.com di Defender in selezionare Report. In alternativa, per passare direttamente alla pagina Report , usare https://security.microsoft.com/securityreports.

Nella pagina Report è possibile visualizzare informazioni sulle tendenze di sicurezza e tenere traccia dello stato di protezione di identità, dati, dispositivi, app e infrastruttura.

I dati in questi report diventano più completi man mano che l'organizzazione usa Office 365 servizi (tenere presente questo punto se si sta pilotando o testando). Per il momento, avere familiarità con ciò che è possibile monitorare e intervenire.

Nella pagina Report in https://security.microsoft.com/securityreportsselezionare Email & report di collaborazione>Email & collaborazione.

Nella pagina Email & report di collaborazione visualizzata prendere nota delle schede disponibili. In qualsiasi scheda selezionare Visualizza dettagli per esaminare i dati. Per altre informazioni, vedere gli articoli seguenti:

• Visualizzare i report di sicurezza della posta elettronica nel portale di Microsoft Defender
• Visualizzare Defender per Office 365 report nel portale di Microsoft Defender

I report e le informazioni dettagliate sul flusso di posta sono disponibili nell'interfaccia di amministrazione di Exchange. Per altre informazioni, vedere Report sul flusso di posta e Informazioni dettagliate sul flusso di posta.

|Se si sta analizzando o si verifica un attacco contro il tenant, usare Esplora minacce (o rilevamenti in tempo reale) per analizzare le minacce. Explorer (e il report sui rilevamenti in tempo reale) mostra il volume di attacchi nel tempo ed è possibile analizzare questi dati in base alle famiglie di minacce, all'infrastruttura degli utenti malintenzionati e altro ancora. È anche possibile contrassegnare qualsiasi messaggio di posta elettronica sospetto per l'elenco Eventi imprevisti.

Considerazioni aggiuntive

Per informazioni sulla protezione ransomware, vedere gli articoli seguenti:

• Proteggere l'ambiente da ransomware
• Protezione da malware e ransomware in Microsoft 365
• Playbook di risposta agli eventi imprevisti ransomware

Configurare i criteri di condivisione a livello di tenant nell'interfaccia di amministrazione di SharePoint

Consigli microsoft per la configurazione dei siti del team di SharePoint a livelli di protezione crescenti, a partire dalla protezione di base. Per altre informazioni, vedere Indicazioni sui criteri per la protezione di file e siti di SharePoint.

I siti del team di SharePoint configurati a livello di baseline consentono la condivisione di file con utenti esterni tramite collegamenti di accesso anonimi. Questo approccio è consigliato invece di inviare file tramite posta elettronica.

Per supportare gli obiettivi per la protezione di base, configurare i criteri di condivisione a livello di tenant come consigliato qui. Le impostazioni di condivisione per i singoli siti possono essere più restrittive rispetto a questo criterio a livello di tenant, ma non più permissive.

Area	Include un criterio predefinito	Consiglio
Condivisione (SharePoint Online e OneDrive for Business)	Sì	La condivisione esterna è abilitata per impostazione predefinita. Queste impostazioni sono consigliate: Consenti la condivisione agli utenti esterni autenticati e usando collegamenti di accesso anonimi (impostazione predefinita). I collegamenti di accesso anonimo scadono in questo periodo di molti giorni. Immettere un numero, se necessario, ad esempio 30 giorni. Tipo di > collegamento predefinito selezionare Interno (solo utenti dell'organizzazione). Gli utenti che desiderano condividere tramite collegamenti anonimi devono scegliere questa opzione dal menu di condivisione. Altre informazioni: Panoramica della condivisione esterna

L'interfaccia di amministrazione di SharePoint e OneDrive for Business'interfaccia di amministrazione includono le stesse impostazioni. Le impostazioni in entrambe le interfacce di amministrazione si applicano a entrambi.

Configurare le impostazioni in Microsoft Entra ID

Assicurarsi di visitare queste due aree in Microsoft Entra ID per completare la configurazione a livello di tenant per ambienti più sicuri.

Configurare le posizioni denominate (in accesso condizionale)

Se l'organizzazione include uffici con accesso di rete sicuro, aggiungere gli intervalli di indirizzi IP attendibili a Microsoft Entra ID come posizioni denominate. Questa funzionalità consente di ridurre il numero di falsi positivi segnalati per gli eventi di rischio di accesso.

Vedere: Percorsi denominati in Microsoft Entra ID

Bloccare le app che non supportano l'autenticazione moderna

L'autenticazione a più fattori richiede app che supportano l'autenticazione moderna. Le app che non supportano l'autenticazione moderna non possono essere bloccate usando regole di accesso condizionale.

Per gli ambienti sicuri, assicurarsi di disabilitare l'autenticazione per le app che non supportano l'autenticazione moderna. È possibile eseguire questa operazione in Microsoft Entra ID con un controllo presto disponibile.

Nel frattempo, usare uno dei metodi seguenti per bloccare l'accesso per le app in SharePoint Online e OneDrive for Business che non supportano l'autenticazione moderna:

• Interfaccia di amministrazione di SharePoint:

  1. Nell'interfaccia di amministrazione di SharePoint in https://admin.microsoft.com/sharepointpassare a Criteri>Controllo di accesso.
  2. Nella pagina Controllo di accesso selezionare App che non usano l'autenticazione moderna.
  3. Nel riquadro a comparsa App che non usano l'autenticazione moderna visualizzato selezionare Blocca accesso e quindi selezionare Salva.

• PowerShell: vedere Bloccare le app che non usano l'autenticazione moderna.

Introduzione a Defender per app cloud o Office 365 Cloud App Security

Usare Microsoft 365 Cloud App Security per valutare i rischi, per segnalare attività sospette e per intervenire automaticamente. Richiede Office 365 E5 piano.

In alternativa, usare Microsoft Defender for Cloud Apps per ottenere una visibilità più approfondita anche dopo aver concesso l'accesso, controlli completi e una protezione migliorata per tutte le applicazioni cloud, inclusi i Office 365.

Poiché questa soluzione consiglia il piano EMS E5, è consigliabile iniziare con Defender per app cloud in modo da poterlo usare con altre applicazioni SaaS nell'ambiente. Iniziare con i criteri e le impostazioni predefiniti.

Ulteriori informazioni:

• distribuire defender per le app cloud
• Altre informazioni su Microsoft Defender for Cloud Apps
• Cos’è Defender per app cloud?

Risorse aggiuntive

Questi articoli e guide forniscono informazioni aggiuntive per proteggere l'ambiente Microsoft 365:

• Linee guida per la sicurezza Microsoft per campagne politiche, organizzazioni no profit e altre organizzazioni agile (è possibile usare queste raccomandazioni in qualsiasi ambiente, in particolare in ambienti solo cloud)

• Criteri e configurazioni di sicurezza consigliati per identità e dispositivi (queste raccomandazioni includono la Guida per gli ambienti AD FS)