Pianificare un'implementazione della protezione ID

Microsoft Entra ID Protection rileva i rischi basati sull'identità e li segnala, consentendo agli amministratori di analizzare e correggere questi rischi per mantenere le organizzazioni protette e sicure. I dati sui rischi possono essere poi inseriti in strumenti come l'accesso condizionale per prendere decisioni relative agli accessi oppure inviati a uno strumento per informazioni di sicurezza e gestione degli eventi (SIEM, Security Information and Event Management) per ulteriori analisi e indagini.

Questo piano di distribuzione estende i concetti introdotti nel piano di distribuzione dell'accesso condizionale.

Prerequisiti

• Un tenant di Microsoft Entra con Microsoft Entra ID P2 o una licenza di prova abilitata. Se necessario, crearne uno gratuitamente.
• Gli amministratori che interagiscono con ID Protection devono avere una o più delle assegnazioni di ruolo seguenti a seconda delle attività eseguite. Per seguire il principio Zero Trust dei privilegi minimi, è consigliabile usare il Privileged Identity Management (PIM) per attivare just-in-time le assegnazioni di ruolo con privilegi.
  • Leggere criteri e configurazioni di ID Protection e accesso condizionale
    • Lettore di Sicurezza
    • Lettore Globale
  • Gestire la protezione ID
    • Operatore per la sicurezza
    • Amministratore della sicurezza
  • Creare o modificare criteri di accesso condizionale
    • Amministratore accesso condizionale
    • Amministratore della sicurezza
• Un utente di test che non è un amministratore che verifica che i criteri funzionino come previsto prima della distribuzione agli utenti reali. Se è necessario creare un utente, vedere Guida introduttiva: Aggiungere nuovi utenti a Microsoft Entra ID.
• Gruppo a cui appartiene l'utente. Se è necessario creare un gruppo, vedere Creare un gruppo e aggiungere membri in Microsoft Entra ID.

Coinvolgere gli stakeholder appropriati

Quando i progetti tecnologici non hanno successo, in genere la causa è legata ad aspettative su influenze, risultati e responsabilità non corrispondenti. Per evitare questi problemi, assicurarsi di coinvolgere gli stakeholder appropriati e che i ruoli degli stakeholder nel progetto vengano compresi in modo esatto, documentando le informazioni sugli stakeholder, sui rispettivi input e sulle responsabilità in merito al progetto.

Comunicazione delle modifiche

La comunicazione è fondamentale per il successo di una nuova funzionalità. Comunicare in modo proattivo con gli utenti spiegando come cambierà l'esperienza, quando viene modificata e come ottenere supporto in caso di problemi.

Passaggio 1: Esaminare i report esistenti

È importante esaminare i report di Protezione ID prima di distribuire criteri di accesso condizionale basati sul rischio. Questa revisione offre l'opportunità di analizzare eventuali comportamenti sospetti esistenti. È possibile scegliere di ignorare il rischio o confermare questi utenti come sicuri se si determina che non sono a rischio.

• Indagare i rilevamenti di rischi
• Correggere i rischi e sbloccare gli utenti
• Apportare modifiche in blocco con Microsoft Graph PowerShell

Per garantire l'efficienza, è consigliabile consentire agli utenti di auto-risolvere attraverso le politiche discusse nel passaggio 3.

Passaggio 2: Pianificare i criteri di rischio per l'accesso condizionale

ID Protection invia segnali di rischio a Conditional Access, per prendere decisioni e applicare i criteri organizzativi. Questi criteri potrebbero richiedere agli utenti l'autenticazione a più fattori o la modifica sicura della password. Esistono diversi elementi che le organizzazioni devono pianificare prima di creare i criteri.

Esclusioni della polizza

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account di servizio e principali del servizio, come l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale rivolti agli utenti. Usare l'accesso condizionale per le identità dei carichi di lavoro al fine di definire criteri destinati ai principali di servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Autenticazione a più fattori

Per consentire agli utenti di correggere autonomamente i rischi, tuttavia, è necessario registrarsi per l'autenticazione a più fattori di Microsoft Entra prima che diventino rischiosi. Per altre informazioni, vedere l’articolo Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra.

Posizioni di rete note

È importante configurare le posizioni denominate nell'accesso condizionale e aggiungere gli intervalli VPN alle app di Defender per il cloud. Gli accessi da località denominate e contrassegnate come attendibili o conosciute migliorano l'accuratezza dei calcoli del rischio di ID Protection. Questi accessi consentono di ridurre il rischio di un utente quando eseguono l'autenticazione da una posizione contrassegnata come attendibile o nota. Questa procedura riduce i falsi positivi per alcuni rilevamenti nel tuo ambiente.

Modalità solo segnalazione

La modalità solo report è un nuovo stato dei criteri di Conditional Access che consente agli amministratori di valutare l'impatto dei criteri di accesso condizionale prima di applicarli nell'ambiente.

Passaggio 3: Configurare i criteri

Criteri di registrazione MFA di ID Protection

Utilizza la politica di registrazione dell'autenticazione multifattoriale di Protezione ID per aiutare gli utenti a registrarsi per l'autenticazione a più fattori di Microsoft Entra prima che sia necessario utilizzarla. Seguire la procedura descritta nell'articolo Come fare a...: Configurare i criteri di registrazione per autenticazione a più fattori di Microsoft Entra per abilitare questo criterio.

Criteri di accesso condizionale

Rischio di accesso: la maggior parte degli utenti ha un comportamento normale monitorabile. In condizioni che esulano dalla normalità, potrebbe essere rischioso consentire loro semplicemente di accedere. Si vuole bloccare l'utente o chiedergli di usare l'autenticazione a più fattori per dimostrare la sua effettiva identità. Per iniziare, applicare questi criteri a un sottoinsieme dei tuoi utenti.

Rischio utente: Microsoft collabora con ricercatori, forze dell'ordine, diversi team di sicurezza di Microsoft e altre fonti attendibili per trovare coppie di nome utente e password perse. Quando questi utenti vulnerabili vengono rilevati, è consigliabile richiedere agli utenti di eseguire l'autenticazione a più fattori e quindi reimpostare la password.

L'articolo Configurare e abilitare i criteri di rischio fornisce indicazioni per creare criteri di accesso condizionale per risolvere questi rischi.

Passaggio 4: Monitoraggio ed esigenze operative continue

Notifiche tramite posta elettronica

Abilitare le notifiche in modo da poter rispondere quando un utente viene contrassegnato come a rischio. Queste notifiche consentono di avviare immediatamente l'analisi. È anche possibile configurare messaggi di posta elettronica di riepiloghi settimanali, offrendo una panoramica del rischio per la settimana.

Monitorare e analizzare

L’analisi di impatto della cartella di lavoro dei criteri di accesso basati sui rischi consente agli amministratori di comprendere l'impatto degli utenti prima di creare criteri di accesso condizionale basati sul rischio.

La cartella di lavoro protezione ID consente di monitorare e cercare modelli nel tenant. Monitorare questa cartella di lavoro per individuare le tendenze e i risultati della modalità di accesso condizionale Solo report, per vedere se occorrono delle modifiche, ad esempio aggiunte alle sedi designate.

Microsoft Defender for Cloud Apps fornisce un framework di indagine che le organizzazioni possono usare come punto di partenza. Per altre informazioni, vedere l'articolo Come analizzare gli avvisi di rilevamento anomalie.

È anche possibile usare le API di protezione ID per esportare le informazioni sui rischi in altri strumenti, in modo che il team di sicurezza possa monitorare e avvisare gli eventi di rischio.

Durante i test, potrebbe essere necessario simulare alcune minacce per testare i processi di indagine.

Passaggi successivi

Che cos'è il rischio?