Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Chi legge questo documento è consapevole dell'importanza della sicurezza È probabile che tu sia già responsabile della sicurezza della tua organizzazione. Se è necessario convincere altri utenti dell'importanza della sicurezza, inviarli per leggere l'ultimo Microsoft Digital Defense Report.
Questo documento consente di ottenere un comportamento più sicuro tramite le funzionalità di Microsoft Entra ID e un elenco di controllo in cinque passaggi per migliorare la protezione dell'organizzazione da attacchi informatici.
Questo elenco di controllo consente di distribuire rapidamente azioni critiche consigliate per proteggere immediatamente l'organizzazione, spiegando come:
- Rafforzare le credenziali.
- Ridurre la superficie di attacco.
- Automatizzare la risposta alle minacce.
- Usa l'intelligence basata sul cloud.
- Abilitare l'self-service dell'utente finale.
Nota
Molte raccomandazioni contenute in questo documento si applicano solo alle applicazioni che usano Microsoft Entra ID come provider di identità. La configurazione delle app per l'accesso Single Sign-On garantisce che i criteri delle credenziali, il rilevamento delle minacce, il controllo, la registrazione e altre funzionalità aggiungono vantaggi a tali applicazioni. Microsoft Entra Gestione applicazioni è la base su cui si basano tutte queste raccomandazioni.
Le raccomandazioni contenute in questo documento sono allineate al punteggio di sicurezza delle identità, una valutazione automatizzata della configurazione di sicurezza delle identità del tenant Microsoft Entra. Le organizzazioni possono usare la pagina Identity Secure Score nel Interfaccia di amministrazione di Microsoft Entra per individuare le lacune nella configurazione di sicurezza corrente per assicurarsi di seguire le procedure consigliate correnti Microsoft per la sicurezza. L'implementazione di ogni raccomandazione nella pagina Secure Score aumenta il punteggio, consente di tenere traccia dello stato di avanzamento e di confrontare l'implementazione con altre organizzazioni di dimensioni simili.
Nota
Alcune delle funzionalità consigliate qui sono disponibili per tutti i clienti, mentre altre richiedono una sottoscrizione Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Microsoft Entra prezzi e Microsoft Entra elenco di controllo per la distribuzione.
Prima di iniziare: proteggere gli account con privilegi mediante MFA
Prima di iniziare questo elenco di controllo, assicurarsi che l'account non venga compromesso durante la lettura di questo elenco di controllo. Microsoft osserva più di 600 milioni di attacchi di identità ogni giorno e gli attacchi alle password costituiscono 99% di tutti gli attacchi di identità. In Microsoft Entra ID, gli utenti con ruoli con privilegi, ad esempio gli amministratori, sono la radice dell'attendibilità per compilare e gestire il resto dell'ambiente. Implementare le procedure seguenti per ridurre al minimo gli effetti di una compromissione.
Gli utenti malintenzionati che ottengono il controllo di account con privilegi possono causare enormi danni, per cui è fondamentale proteggere questi account prima di procedere. Abilitare e richiedere Microsoft Entra l'autenticazione a più fattori (MFA) per tutti gli amministratori dell'organizzazione usando Microsoft Entra impostazioni predefinite per la sicurezza o l'accesso condizionale. È fondamentale.
Tutto pronto? Avviare l'elenco di controllo.
Passaggio 1: rafforzare le credenziali
Anche se stanno emergendo altri tipi di attacchi, tra cui phishing di consenso e attacchi su identità non umane, gli attacchi basati su password sulle identità utente sono ancora il vettore più diffuso di compromissione delle identità. Le campagne di spear phishing e password spraying ben consolidate da parte dei nemici continuano ad avere successo contro le organizzazioni che non implementano l'autenticazione a più fattori (MFA) o altre protezioni contro questa tattica comune.
In qualità di organizzazione, è necessario assicurarsi che le identità siano convalidate e protette tramite MFA ovunque. Il Federal Bureau of Investigation (FBI) Internet Crime Complaint Center (IC3) 2024 Internet Crime Report ha identificato phishing e spoofing come il tipo di crimine Internet più segnalato, con 193.407 reclami. Il phishing rappresenta una minaccia significativa per le aziende e gli utenti malintenzionati e gli utenti malintenzionati usano il phishing delle credenziali in molti attacchi dannosi. Microsoft Entra l'autenticazione a più fattori (MFA) consente di proteggere l'accesso ai dati e alle applicazioni, fornendo un altro livello di sicurezza usando una seconda forma di autenticazione. Le organizzazioni possono abilitare l'autenticazione a più fattori usando l'accesso condizionale per soddisfare le esigenze specifiche della soluzione. Per altre informazioni, vedi Pianificare, implementare e distribuire l'autenticazione a più fattori di Microsoft Entra.
Assicurarsi che l'organizzazione usi l'autenticazione avanzata
Per abilitare facilmente il livello di base di sicurezza delle identità, è possibile usare l'abilitazione con una selezione in Microsoft Entra impostazioni predefinite per la sicurezza. Le impostazioni predefinite per la sicurezza applicano Microsoft Entra l'autenticazione a più fattori per tutti gli utenti di un tenant e bloccano gli accessi dai protocolli legacy a livello di tenant.
Se l'organizzazione ha Microsoft Entra ID licenze P1 o P2, è anche possibile usare le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report per individuare lacune nella configurazione e nella copertura. Da questi consigli, è possibile chiudere facilmente questo divario attraverso la nuova esperienza dei modelli di accesso condizionale. I modelli di accesso condizionale offrono un metodo semplice per distribuire nuovi criteri allineati alle procedure consigliate Microsoft. Questi modelli semplificano la distribuzione di criteri comuni per proteggere identità e dispositivi.
Iniziare a vietare le password comunemente attaccate e disattivare le regole di complessità e scadenza tradizionali
Molte organizzazioni usano regole tradizionali di complessità e di scadenza delle password. La ricerca di Microsoft mostra che, e le linee guida sulle identità digitali della Pubblicazione Speciale 800-63B dell'Istituto Nazionale di Standard e Tecnologia (NIST) affermano che questi criteri portano gli utenti a scegliere password più facili da indovinare. Usa Protezione password di Microsoft Entra, una funzionalità dinamica di blocco delle password che usa il comportamento attuale degli attaccanti per impedire agli utenti di impostare password facilmente intuibili dagli attaccanti. Questa funzionalità è sempre attiva quando gli utenti vengono creati nel cloud, ma è ora disponibile anche per le organizzazioni ibride quando distribuiscono Microsoft Entra la protezione password per Windows Server Active Directory. Rimuovere anche i criteri di scadenza. Le modifiche alle password non offrono alcun vantaggio di contenimento perché i criminali informatici usano quasi sempre le credenziali non appena li comprometteno. Per altre informazioni, vedere Impostare i criteri di scadenza delle password per l'organizzazione.
Proteggersi da credenziali compromesse e aggiungere resilienza contro le interruzioni
Il metodo più semplice e consigliato per abilitare l'autenticazione cloud per gli oggetti directory locali in Microsoft Entra ID consiste nell'abilitare la sincronizzazione hash password (PHS). Se l'organizzazione usa una soluzione ibrida di gestione delle identità con autenticazione pass-through o federazione, è necessario abilitare la sincronizzazione dell'hash delle password per i due motivi seguenti:
- Il report Utenti con credenziali trapelate in Microsoft Entra ID avvisa riguardo a coppie di nome utente e password esposte pubblicamente. Un volume incredibile di password viene trapelato tramite phishing, malware e riutilizzo delle password nei siti di terze parti che vengono successivamente violati. Microsoft trova molte di queste credenziali perse e indica, in questo report, se corrispondono alle credenziali dell'organizzazione, ma solo se si abilita password hash sync o si hanno identità solo cloud.
- Se si verifica un'interruzione locale, ad esempio un attacco ransomware, è possibile passare all'autenticazione cloud usando la sincronizzazione dell'hash delle password. Questo metodo di autenticazione di backup consente di continuare ad accedere alle app configurate per l'autenticazione con Microsoft Entra ID, incluse le Microsoft 365. In questo caso, il personale IT non deve fare ricorso agli account e-mail o allo shadow IT per condividere i dati fino alla risoluzione dell'interruzione locale.
Microsoft Entra ID non archivia mai le password in testo non crittografato o le crittografa con un algoritmo reversibile. Per altre informazioni sul processo effettivo di sincronizzazione dell'hash delle password, vedere Descrizione dettagliata del funzionamento della sincronizzazione dell'hash delle password.
Implementare il blocco intelligente della Extranet di AD FS
Il blocco intelligente consente di bloccare gli utenti malintenzionati che tentano di indovinare le password degli utenti o di usare metodi di forza bruta per accedere. La funzione di blocco intelligente è in grado di riconoscere i tentativi di accesso eseguiti da utenti validi e di gestirli in modo diverso rispetto a quelli provenienti da attaccanti e altre fonti sconosciute. Gli aggressori vengono bloccati, mentre i tuoi utenti continuano ad accedere ai propri account e rimanere produttivi. Le organizzazioni che configurano le applicazioni per eseguire l'autenticazione direttamente con Microsoft Entra ID beneficiano del blocco intelligente di Microsoft Entra. Le distribuzioni federate che usano AD FS 2016 e AD FS 2019 possono offrire vantaggi simili tramite AD FS Extranet Lockout ed Extranet Smart Lockout.
Passaggio 2: ridurre l'area della superficie di attacco
Poiché le password vengono frequentemente compromesse, è fondamentale per l'organizzazione ridurre al minimo la superficie di attacco. Disabilitare l'uso di protocolli meno recenti, meno sicuri, limitare i punti di ingresso di accesso, passare all'autenticazione cloud, esercitare un controllo più significativo dell'accesso amministrativo alle risorse e adottare Zero Trust principi di sicurezza.
Usare l'autenticazione cloud
Le credenziali sono un vettore di attacco primario. Le procedure descritte in questo articolo possono ridurre la superficie di attacco usando l'autenticazione cloud, la distribuzione di MFA e l'uso di metodi di autenticazione senza password. È possibile distribuire metodi senza password, ad esempio Windows Hello for Business, Accesso tramite telefono con l'app Microsoft Authenticator o FIDO.
Bloccare l'autenticazione legacy
Le app che usano i propri metodi legacy per l'autenticazione con Microsoft Entra ID e l'accesso ai dati aziendali rappresentano un altro rischio per le organizzazioni. Esempi di app che usano l'autenticazione legacy includono client POP3, IMAP4 o SMTP. Le app di autenticazione legacy eseguono l'autenticazione per conto dell'utente e impediscono Microsoft Entra ID di eseguire valutazioni avanzate della sicurezza. L'alternativa, l’autenticazione moderna, riduce i rischi per la sicurezza perché supporta l'autenticazione a più fattori e l'accesso condizionale.
Microsoft consiglia le azioni seguenti:
- Scopri l'autenticazione legacy nella tua organizzazione usando i log di accesso di Microsoft Entra e le cartelle di lavoro di Log Analytics.
- Configurare SharePoint Online e Exchange Online per l'uso dell'autenticazione moderna.
- Se disponi di licenze Microsoft Entra ID P1 o P2, usa i criteri di Accesso Condizionale per bloccare l’autenticazione legacy. Per Microsoft Entra ID piano gratuito, usare Microsoft Entra Impostazioni di Sicurezza Predefinite.
- Bloccare l'autenticazione legacy se si usa AD FS.
- Bloccare l'autenticazione legacy usando Exchange Server 2019.
- Disabilitare l'autenticazione vecchia in Exchange Online.
Per altre informazioni, vedere Blocco dei protocolli di autenticazione legacy in Microsoft Entra ID.
Bloccare punti di ingresso di autenticazione non validi
Usando il principio di verifica in modo esplicito, è consigliabile ridurre l'impatto delle credenziali utente compromesse quando si verificano. Per ogni app nell'ambiente, considerare i casi d'uso validi: quali gruppi, quali reti, quali dispositivi e quali altri elementi sono autorizzati. Blocca il resto. Usando Accesso condizionale di Microsoft Entra, è possibile controllare il modo in cui gli utenti autorizzati accedono alle app e alle risorse in base a condizioni specifiche definite.
Per altre informazioni, vedi App cloud, azioni e contesto di autenticazione per l'accesso condizionale.
Esaminare e gestire i ruoli di amministratore
Un altro pilastro Zero Trust richiede di ridurre al minimo la probabilità che un account compromesso possa operare con un ruolo con privilegi. È possibile eseguire questo controllo assegnando la quantità minima di privilegi a un'identità. Se non si ha familiarità con i ruoli di Microsoft Entra, questo articolo permette di comprenderli.
Usare account esclusivamente cloud per i ruoli privilegiati in Microsoft Entra ID per isolarli da eventuali ambienti on-premises. Non usare archivi protetti di password locali per archiviare le credenziali.
Implementare Privileged Identity Management
Privileged Identity Management (PIM) fornisce un'attivazione dei ruoli basata sul tempo e basata sull'approvazione per ridurre i rischi di autorizzazioni di accesso eccessive, non necessarie o improprie alle risorse importanti. Queste risorse includono risorse in Microsoft Entra ID, Azure e altri servizi online di Microsoft, ad esempio Microsoft 365 o Microsoft Intune.
Microsoft Entra Privileged Identity Management (PIM) consente di ridurre al minimo i privilegi dell'account consentendo di:
- Identificare e gestire gli utenti assegnati a ruoli amministrativi.
- Capire quali ruoli con privilegi eccessivi o inutilizzati è opportuno rimuovere.
- Definire regole per assicurarsi che i ruoli con privilegi siano protetti tramite l'autenticazione a più fattori.
- Definire regole per verificare che i ruoli con privilegi vengano concessi solo per il tempo sufficiente a completare l'attività con privilegi.
Abilitare Microsoft Entra PIM, visualizzare gli utenti a cui sono assegnati ruoli amministrativi e rimuovere gli account non necessari in tali ruoli. Per gli utenti con privilegi rimanenti, spostarli da permanenti a idonei. Infine, stabilire criteri appropriati per assicurarsi che gli utenti debbano ottenere l'accesso a tali ruoli con privilegi, possono farlo in modo sicuro, con il controllo delle modifiche necessario.
I ruoli predefiniti e personalizzati di Microsoft Entra si basano su concetti simili a quelli dei ruoli disponibili nel sistema di controllo degli accessi basato su ruoli per le risorse di Azure (ruoli di Azure). La differenza tra questi due sistemi di controllo degli accessi in base al ruolo è la seguente:
- Microsoft Entra ruoli controllano l'accesso alle risorse di Microsoft Entra, ad esempio utenti, gruppi e applicazioni usando microsoft API Graph.
- I ruoli di Azure controllano l'accesso alle risorse di Azure, ad esempio macchine virtuali o archiviazione, tramite Azure Resource Manager.
Entrambi i sistemi contengono definizioni e assegnazioni di ruoli usate in modo simile. Tuttavia, le autorizzazioni di ruolo di Microsoft Entra non possono essere usate nei ruoli personalizzati di Azure e viceversa. Nell'ambito dei processi relativi agli account privilegiati, seguire la migliore pratica per creare almeno due account di emergenza per assicurarsi di avere ancora accesso a Microsoft Entra ID nel caso in cui rimani bloccato fuori.
Per altre informazioni, vedere Pianificare una distribuzione di Privileged Identity Management e Proteggere l'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID.
Limitare le operazioni di consenso utente
È importante comprendere le varie esperienze di consenso delle applicazioni Microsoft Entra, i tipi di autorizzazioni e il consenso e le relative implicazioni sul comportamento di sicurezza dell'organizzazione. Consentendo agli utenti di fornire il consenso da soli consente agli utenti di acquisire facilmente applicazioni utili che si integrano con Microsoft 365, Azure e altri servizi, può rappresentare un rischio se non usato e monitorato attentamente.
Microsoft consiglia di limitare il consenso dell'utente per consentire il consenso dell'utente finale solo per le app provenienti da autori verificati e solo per le autorizzazioni selezionate. Se il consenso dell'utente finale è limitato, le concessioni di consenso precedenti verranno comunque rispettate, ma gli amministratori devono eseguire tutte le operazioni di consenso future. Per i casi limitati, gli utenti possono chiedere il consenso dell'amministratore tramite un flusso di lavoro di richiesta di consenso all'amministratore integrato o tramite i processi di supporto personali. Prima di limitare il consenso dell'utente finale, usare Microsoft raccomandazioni per pianificare questa modifica nell'organizzazione. Per le applicazioni a cui si vuole consentire l'accesso a tutti gli utenti, è consigliabile concedere il consenso per conto di tutti gli utenti, per assicurarsi che gli utenti che non hanno ancora fornito il consenso individuale possano accedere all'app. Se non si desidera che queste applicazioni siano disponibili a tutti gli utenti in tutti gli scenari, usare l’assegnazione dell'applicazione e l’accesso condizionale per limitare l’accesso degli utenti ad app specifiche.
Assicurarsi che gli utenti possano richiedere l'approvazione dell'amministratore per le nuove applicazioni per ridurre l'attrito dell'utente, ridurre al minimo il volume di supporto e impedire agli utenti di iscriversi alle applicazioni usando credenziali non Microsoft Entra. Dopo aver regolato le operazioni di consenso, gli amministratori devono controllare regolarmente le autorizzazioni di app e consenso.
Per maggiori informazioni, consultare la sezione Framework di consenso Microsoft Entra.
Passaggio 3: automatizzare la risposta alle minacce
Microsoft Entra ID include molte funzionalità che intercettano automaticamente gli attacchi e riducono la latenza tra rilevamento e risposta. È possibile ridurre i costi e i rischi riducendo il tempo usato dai criminali per incorporarsi nell'ambiente in uso.
Per altre informazioni, vedere Procedura: Configurare e abilitare i criteri di rischio.
Implementare i criteri di rischio di accesso
Un rischio di accesso rappresenta la probabilità che il proprietario dell'identità non abbia autorizzato la richiesta di autenticazione. È possibile implementare criteri basati sul rischio di accesso aggiungendo una condizione di rischio di accesso ai criteri di accesso condizionale che valutano il livello di rischio per un utente o un gruppo specifico. In base ai livelli di rischio, ad esempio alto, medio o basso, un criterio può bloccare l'accesso o forzare l'autenticazione a più fattori. Microsoft consiglia di forzare l'autenticazione a più fattori su accessi a rischio medio o superiore.
Implementare criteri di sicurezza per il rischio utente
Il rischio utente indica la probabilità di compromissione dell'identità utente e Identity Protection lo calcola in base ai rilevamenti dei rischi utente associati all'identità di un utente. È possibile implementare criteri basati sui rischi utente aggiungendo una condizione di rischio utente ai criteri di accesso condizionale che valutano il livello di rischio per un utente specifico. In base a un livello di rischio basso, medio o alto, un criterio può bloccare l'accesso o richiedere una modifica sicura della password usando l'autenticazione a più fattori. Microsoft consiglia di richiedere una modifica sicura della password per gli utenti ad alto rischio.
Il rilevamento dei rischi utente include un controllo per verificare se le credenziali dell'utente corrispondono alle credenziali perse dai criminali informatici. Per funzionare in modo ottimale, è importante implementare la sincronizzazione dell'hash delle password usando Microsoft Entra Connect Sync.
Integrare Microsoft Defender XDR con Microsoft Entra ID Protection
Affinché Identity Protection esegua il rilevamento dei rischi ottimale, è necessario il maggior numero possibile di segnali. È importante integrare la suite completa di servizi Microsoft Defender XDR:
- Microsoft Defender per endpoint.
- Microsoft Defender per Office 365.
- Microsoft Defender per identità
- Microsoft Defender per le app cloud.
Altre informazioni su Microsoft Defender XDR e sull'importanza dell'integrazione di domini diversi nel breve video seguente.
Configurare il monitoraggio e gli avvisi
È importante monitorare e controllare i log per rilevare comportamenti sospetti. Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti, ad esempio Microsoft Sentinel, Monitoraggio di Azure e altri strumenti SIEM. Per altre informazioni, vedere la guida alle operazioni di sicurezza Microsoft Entra.
Passaggio 4: Usare l'intelligence sul cloud
Il controllo e la registrazione di eventi correlati alla sicurezza e gli avvisi correlati sono componenti essenziali di una strategia di protezione efficiente. I report e i log di sicurezza offrono un record elettronico delle attività sospette e facilitano il rilevamento di modelli che potrebbero indicare una penetrazione esterna tentata o riuscita nella rete e attacchi interni. È possibile usare la funzione di controllo per monitorare l'attività dell'utente, documentare la conformità alle normative, eseguire analisi forensi e altro ancora. Gli avvisi forniscono notifiche di eventi di sicurezza. Assicurarsi di disporre di criteri di conservazione dei log sia per i log di accesso che per i log di controllo per Microsoft Entra ID esportandoli in Monitoraggio di Azure o in uno strumento SIEM.
Monitorare Microsoft Entra ID
Microsoft Azure servizi e funzionalità offrono opzioni di controllo e registrazione della sicurezza configurabili per identificare le lacune nei criteri e nei meccanismi di sicurezza e risolvere tali lacune per prevenire le violazioni. Usa Registrazione e controllo di Azure e i report delle attività di controllo nel Interfaccia di amministrazione di Microsoft Entra. Per altre informazioni, vedere la guida alle operazioni di sicurezza di Microsoft Entra sul monitoraggio degli account utente, degli account con privilegi, delle app e dei dispositivi.
Monitorare Microsoft Entra Connect Health in ambienti ibridi
Il monitoraggio di AD FS con Microsoft Entra Connect Health offre maggiori informazioni sui potenziali problemi e sulla visibilità degli attacchi sull'infrastruttura AD FS. È ora possibile visualizzare gli accessi ad AD FS per offrire maggiore profondità per il monitoraggio. Microsoft Entra Connect Health fornisce avvisi che includono dettagli, passaggi di risoluzione e collegamenti alla documentazione correlata, analisi dell'utilizzo per diverse metriche correlate al traffico di autenticazione, monitoraggio delle prestazioni e report. Usa la cartella di lavoro Rischiosità IP per AD FS per identificare il comportamento normale del tuo ambiente e ricevere un avviso quando si verifica una modifica. Monitorare tutte le infrastrutture ibride come asset di livello 0. Per indicazioni dettagliate sul monitoraggio per questi asset, vedere la Guida alle operazioni di sicurezza per l'infrastruttura.
Monitorare gli eventi di Microsoft Entra ID Protection
Microsoft Entra ID Protection fornisce due report importanti da monitorare ogni giorno:
- I report di accesso rischiosi indicano le attività di accesso utente da analizzare per determinare se il proprietario legittimo ha eseguito l'accesso.
- I report utente rischiosi indicano account utente che potrebbero essere compromessi, ad esempio quando viene rilevata una credenziale persa o quando l'utente accede da posizioni diverse, causando un evento di viaggio impossibile.
App di controllo e autorizzazioni per il consenso
Gli utenti malintenzionati possono ingannare gli utenti a passare a un sito Web o a app compromesse che ottengono l'accesso alle informazioni sul profilo e ai dati utente, ad esempio la posta elettronica. Un attore malintenzionato può usare le autorizzazioni concesse per crittografare il contenuto della cassetta postale e richiedere un riscatto per ripristinare i dati della cassetta postale. Gli amministratori devono esaminare e controllare le autorizzazioni concesse dagli utenti. Oltre a controllare le autorizzazioni concesse dagli utenti, è possibile individuare applicazioni OAuth rischiose o indesiderate in ambienti Premium.
Passaggio 5: abilitare il self-service per gli utenti finali
Quanto più possibile, si vuole bilanciare la sicurezza con la produttività. Quando si affronta il percorso con la mentalità che si sta impostando una base per la sicurezza, è possibile rimuovere l'attrito dall'organizzazione consentendo agli utenti di rimanere vigili e riducendo i sovraccarichi operativi.
Implementare la reimpostazione self-service delle password
La reimpostazione della password self-service di Microsoft Entra ID offre agli amministratori IT un modo semplice per reimpostare o sbloccare password o account senza intervento dell'amministratore o dell'helpdesk. Il sistema include report dettagliati che tengono traccia del momento in cui gli utenti hanno reimpostato le password, nonché notifiche che segnalano usi impropri o non autorizzati.
Implementare l'accesso self-service ai gruppi e alle applicazioni
Con Microsoft Entra ID è possibile consentire ai non amministratori di gestire l'accesso alle risorse usando gruppi di sicurezza, gruppi di Microsoft 365, ruoli dell'applicazione e cataloghi dei pacchetti di accesso. La gestione dei gruppi self-service consente ai proprietari di gruppi di gestire i propri gruppi, senza essere assegnati a un ruolo amministrativo. Gli utenti possono anche creare e gestire Microsoft 365 gruppi senza affidarsi agli amministratori per gestire le richieste e i gruppi inutilizzati scadono automaticamente. La gestione entitlement di Microsoft Entra offre un ulteriore livello di delega e di visibilità, con flussi di lavoro di richiesta di accesso completi e scadenza automatica. È possibile delegare a utenti non amministratori la possibilità di configurare i propri pacchetti di accesso per gruppi, Teams, applicazioni e SharePoint siti online di cui sono proprietari. Usare criteri personalizzati per gli utenti che devono approvare l'accesso, ad esempio i responsabili dei dipendenti e gli sponsor dei partner commerciali.
Implementare le revisioni degli accessi di Microsoft Entra
Con Microsoft Entra verifiche di accesso, è possibile gestire i pacchetti di accesso e le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo con privilegi per assicurarsi di mantenere uno standard di sicurezza. Una supervisione regolare da parte degli utenti stessi, dei proprietari delle risorse e di altri revisori garantisce che gli utenti non mantengano l'accesso per periodi di tempo prolungati quando non è più necessario.
Implementare il provisioning automatico degli utenti
Il provisioning e il deprovisioning sono i processi che assicurano la coerenza delle identità digitali tra più sistemi. Questi processi generalmente vengono applicati nell'ambito della gestione del ciclo di vita delle identità.
Il provisioning consiste nel creare un'identità in un sistema di destinazione sulla base di determinate condizioni. La disattivazione è il processo di rimozione dell'identità dal sistema di destinazione quando non sono più soddisfatte le condizioni richieste. La sincronizzazione è il processo di aggiornamento dell'oggetto di cui è stato effettuato il provisioning, in modo che l'oggetto di origine e l'oggetto di destinazione siano coerenti.
Microsoft Entra ID attualmente offre tre aree di provisioning automatizzato:
- Provisioning da un sistema di record autorevole esterno non basato su directory a Microsoft Entra ID tramite provisioning basato su HR.
- Provisioning da Microsoft Entra ID alle applicazioni tramite App provisioning.
- Il provisioning tra Microsoft Entra ID e Active Directory Domain Services tramite provisioning tra directory diverse.
Per altre informazioni, vedere Che cos'è il provisioning?.
Riepilogo
Un'infrastruttura di identità sicura presenta molti aspetti, ma questo elenco di controllo in cinque passaggi consente di ottenere rapidamente un'infrastruttura di identità più sicura e sicura:
- Rafforzare le credenziali.
- Ridurre la superficie di attacco.
- Automatizzare la risposta alle minacce.
- Usa l'intelligence basata sul cloud.
- Abilitare l'self-service dell'utente finale.
Grazie per aver preso sul serio la sicurezza. Questo documento può fungere da roadmap utile per un comportamento più sicuro per l'organizzazione.
Passaggi successivi
Per assistenza per la pianificazione e la distribuzione delle raccomandazioni, vedere i piani di distribuzione del progetto Microsoft Entra ID.
Se si è certi che tutti questi passaggi siano stati completati, usare Microsoft Identity Secure Score, che consente di mantenere aggiornati le procedure consigliate latest e le minacce per la sicurezza.
