Criteri gestiti da Microsoft
Come accennato nel Report sulla difesa digitale Microsoft nell'ottobre 2023
... minacce alla pace digitale hanno ridotto la fiducia nella tecnologia e hanno evidenziato la necessità di migliorare urgentemente le difese informatiche a tutti i livelli...
...in Microsoft, oltre 10.000 esperti di sicurezza analizzano ogni giorno oltre 65 bilioni di segnali... ottenendo alcune delle informazioni più influenti sulla cybersecurity. Insieme, possiamo arrivare alla cyber resilience attraverso azioni innovative e difesa collettiva.
Come parte di questo lavoro, i criteri gestiti da Microsoft sono disponibili nei tenant di Microsoft Entra in tutto il mondo. Questi criteri di accesso condizionale semplificati agiscono per richiedere l'autenticazione a più fattori, che un recente studio rileva può ridurre il rischio di compromissione di oltre il 99%.
Gli amministratori a cui è stato assegnato almeno il ruolo di Amministratore dell’accesso condizionale trovano queste policy nel centro di amministrazione di Microsoft Entra in Protezione>Accesso condizionale>Policy.
Gli amministratori hanno la possibilità di modificare lo stato (attivato, disattivato o solo segnalazione) e le identità escluse (utenti, gruppi e ruoli) nella politica. È consigliabile escludere gli account di accesso di emergenza o break-glass da questi criteri, così come farebbero per altre politiche di accesso condizionale. Le organizzazioni possono duplicare questi criteri se vogliono apportare più modifiche rispetto a quelle di base consentite nelle versioni gestite da Microsoft.
Microsoft abiliterà questi criteri dopo non meno di 90 giorni dopo l'introduzione nel tenant se vengono lasciati nello stato solo report. Gli amministratori possono scegliere di attivare questi criteri prima o rifiutare esplicitamente impostando lo stato del criterio su Disattivato. I clienti ricevono notifiche tramite messaggi di posta elettronica e post del Centro messaggi 28 giorni prima che i criteri siano abilitati.
Nota
In alcuni casi, i criteri potrebbero essere abilitati più velocemente di 90 giorni. Se questo cambiamento è applicabile al tuo cliente:
- Lo menzioniamo nelle email e nei post del Centro messaggi di Microsoft 365 che ricevi sui criteri gestiti da Microsoft.
- Viene menzionato nei dettagli delle politiche nel centro di amministrazione di Microsoft Entra.
Politiche
Questi criteri gestiti da Microsoft consentono agli amministratori di apportare semplici modifiche, ad esempio l'esclusione degli utenti o scegliere se attivare la modalità solo report o la modalità attiva/disattiva. Le organizzazioni non possono rinominare o eliminare criteri gestiti da Microsoft. Man mano che gli amministratori hanno familiarità con i criteri di accesso condizionale, possono scegliere di duplicare i criteri per creare versioni personalizzate.
Man mano che le minacce si evolvono nel tempo, Microsoft potrebbe modificare questi criteri in futuro per sfruttare nuove funzionalità, funzionalità o migliorare la loro funzione.
Bloccare l'autenticazione legacy
Questo criterio blocca i tentativi di accesso usando l'autenticazione legacy e i protocolli di autenticazione legacy. Queste autenticazioni possono provenire da client meno recenti come Office 2010 o client che usano protocolli come IMAP, SMTP o POP3.
In base all'analisi di Microsoft oltre il 99% degli attacchi password spraying usa questi protocolli di autenticazione legacy. Questi attacchi cesserebbero con l'autenticazione di base disabilitata o bloccata.
Bloccare il flusso del codice del dispositivo
Questo criterio blocca il flusso del codice del dispositivo, in cui un utente avvia l'autenticazione in un dispositivo, viene completato in un altro e il relativo token viene restituito al dispositivo originale. Questo tipo di autenticazione è comune in cui gli utenti non possono immettere le proprie credenziali, ad esempio smart TV, dispositivi Microsoft Teams Room, dispositivi IoT o stampanti.
Il flusso di codice del dispositivo viene usato raramente dai clienti, ma viene spesso usato dagli utenti malintenzionati. L'abilitazione di questo criterio gestito da Microsoft per l'organizzazione consente di rimuovere questo vettore di attacco.
Autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft
Questo criterio riguarda 14 ruoli di amministratore considerati con privilegi elevati, che accedono al gruppo Portali di amministrazione Microsoft e richiede che eseguano l'autenticazione a più fattori.
Questa politica è destinata ai tenant Microsoft Entra ID P1 e P2 in cui i valori predefiniti di sicurezza non sono abilitati.
Suggerimento
I criteri gestiti da Microsoft che richiedono l'autenticazione a più fattori differiscono dall'annuncio dell'autenticazione a più fattori obbligatoria per l'accesso di Azure effettuato nel 2024 che ha avviato gradualmente l'implementazione a ottobre 2024. Per ulteriori informazioni su tale attuazione, consultare l'articolo Pianificazione dell'autenticazione a più fattori obbligatoria per Azure e altri portali di amministrazione.
Autenticazione a più fattori per utenti con autenticazione a più fattori
Questo criterio riguarda gli utenti Autenticazione a più fattori per utente, una configurazione che Microsoft non consiglia più. L'accesso condizionale offre un'esperienza di amministrazione migliore con molte funzionalità aggiuntive. Il consolidamento di tutti i criteri di autenticazione a più fattori nei criteri di accesso condizionale consente di rendere più mirata la richiesta dell'autenticazione a più fattori, riducendo al contempo l'impatto sull'esperienza degli utenti finali mantenendo il livello di sicurezza.
Questa politica si rivolge a:
- Utenti con licenza per le organizzazioni con ID Microsoft Entra P1 e P2
- Organizzazioni in cui le impostazioni predefinite per la sicurezza non sono abilitate
- Organizzazioni con meno di 500 utenti per i quali MFA è abilitata o imposta
Per applicare questo criterio a più utenti, duplicarlo e modificare le assegnazioni.
Suggerimento
Se si usa la matita Modifica nella parte superiore per modificare i criteri di autenticazione a più fattori gestiti da Microsoft per utente, potrebbe verificarsi un errore di aggiornamento non riuscito. Per risolvere questo problema, selezionare Modifica nella sezione del criterio Identità escluse.
Autenticazione a più fattori e riautenticazione per gli accessi a rischio
Questo criterio riguarda tutti gli utenti e richiede l'autenticazione a più fattori e la riautenticazione quando vengono rilevati accessi ad alto rischio. In questo caso ad alto rischio significa qualcosa sul modo in cui l'utente ha eseguito l'accesso non è normale. Questi accessi ad alto rischio possono includere: viaggi altamente anomali, attacco del tipo password spray o attacco di ripetizione dei token. Per altre informazioni su queste definizioni di rischio, vedere l'articolo Informazioni sul rilevamento dei rischi.
Questo criterio è destinato ai tenant Microsoft Entra ID P2 dove le impostazioni di sicurezza predefinite non sono abilitate.
- Se le licenze P2 sono uguali o superano il totale degli utenti attivi registrati con MFA, il criterio copre tutti gli utenti.
- Se gli utenti attivi registrati con autenticazione a più fattori superano le licenze P2, creiamo e assegniamo i criteri a un gruppo di sicurezza limitato in base alle licenze P2 disponibili.If MFA-registered active users exceed P2 licenses, we create and assign the policy to a capped security group based on available P2 licenses. È possibile modificare l'appartenenza al gruppo di sicurezza dei criteri.
Per impedire agli utenti malintenzionati di assumere account, Microsoft non consente agli utenti rischiosi di registrarsi per l'autenticazione a più fattori.
Configurazione predefinita di sicurezza
Sono disponibili i seguenti criteri quando si esegue l'aggiornamento dalle impostazioni predefinite di sicurezza.
Bloccare l'autenticazione legacy
Questo criterio impedisce ai protocolli di autenticazione legacy di accedere alle applicazioni. Con il termine autenticazione legacy si riferisce a una richiesta di autenticazione effettuata da:
- Client che non usano l'autenticazione moderna (ad esempio, un client Office 2010)
- Qualsiasi client che usi protocolli di posta elettronica precedenti come IMAP, SMTP o POP3
- Qualsiasi tentativo di accesso che usa l'autenticazione legacy viene bloccato.
La maggior parte dei tentativi compromettenti di accesso osservati deriva dall'autenticazione legacy. Poiché l'autenticazione legacy non supporta l'autenticazione a più fattori, un utente malintenzionato può ignorare i requisiti di autenticazione a più fattori usando un protocollo precedente.
Richiedere l'autenticazione a più fattori per la gestione di Azure
Questo criterio riguarda tutti gli utenti quando tentano di accedere a vari servizi di Azure gestiti tramite l'API di Azure Resource Manager, tra cui:
- Portale di Azure
- Interfaccia di amministrazione di Microsoft Entra
- Azure PowerShell
- Interfaccia della riga di comando di Azure
Quando si tenta di accedere a una di queste risorse, l'utente deve completare l'autenticazione a più fattori prima di poter ottenere l'accesso.
Richiedere l'autenticazione a più fattori per gli amministratori
Questo criterio copre tutti gli utenti con uno dei ruoli di amministratore considerati con privilegi elevati:
- Amministratore globale
- Amministratore applicazione
- Amministratore dell'autenticazione
- Amministratore fatturazione
- Amministratore di applicazioni cloud
- Amministratore dell'accesso condizionale
- Amministratore di Exchange
- Amministratore supporto tecnico
- Amministratore delle password
- Amministratore dell'autenticazione privilegiata
- Amministratore ruolo con privilegi
- Amministratore della sicurezza
- Amministratore di SharePoint
- Amministratore utenti
A causa del potere di questi account con privilegi elevati, è richiesta l'autenticazione a più fattori ogni volta che accedono a qualsiasi applicazione.
Richiedere l'autenticazione a più fattori per tutti gli utenti
Questa politica copre tutti gli utenti dell'organizzazione e richiede loro di utilizzare l'autenticazione a più fattori ogni volta che effettuano l'accesso. Nella maggior parte dei casi, la sessione persiste nel dispositivo e gli utenti non devono completare l'autenticazione a più fattori quando interagiscono con un'altra applicazione.
Come si vedono gli effetti di questi criteri?
Gli amministratori possono esaminare la sezione Impatto dei criteri sugli accessi per visualizzare un breve riepilogo dell'effetto dei criteri nel proprio ambiente.
Gli amministratori possono approfondire e esaminare i log di accesso di Microsoft Entra per visualizzare questi criteri in azione nella propria organizzazione.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Lettore report.
- Passare a Identità>Monitoraggio e integrità>Log di accesso.
- Trova l'accesso specifico che vuoi rivedere. Aggiungere o rimuovere filtri e colonne per escludere le informazioni non necessarie.
- Aggiungere filtri per limitare l'ambito:
- ID di correlazione quando si deve cercare la causa di un evento specifico.
- Accesso condizionale per verificare l'esito positivo e negativo dei criteri. Definizione dell'ambito del filtro per visualizzare solo gli errori e limitare i risultati.
- Nome utente per visualizzare le informazioni correlate a utenti specifici.
- Data riferito all'intervallo di tempo in questione.
- Aggiungere filtri per limitare l'ambito:
- Dopo aver individuato l'evento di accesso corrispondente all'errore di accesso dell'utente, selezionare la scheda Accesso condizionale, che visualizza i criteri specifici che hanno causato l'interruzione dell'accesso.
- Per un'analisi più approfondita, eseguire il drill-down della configurazione dei criteri facendo clic su Nome criterio. Selezionando Nome criterio, viene visualizzata l'interfaccia utente di configurazione per i criteri selezionati per la revisione e la modifica.
- I dettagli relativi all'utente e al dispositivo client usati per la valutazione dei criteri di accesso condizionale sono disponibili anche nelle schede Informazioni di base, Posizione, Informazioni sul dispositivo, Dettagli di autenticazione e Dettagli aggiuntivi dell'evento di accesso.
Domande comuni
Informazioni sull'accesso condizionale
L'accesso condizionale è una funzionalità di Microsoft Entra che consente alle organizzazioni di applicare i requisiti di sicurezza quando accedono alle risorse. L'accesso condizionale viene comunemente usato per applicare l'autenticazione a più fattori, la configurazione del dispositivo o i requisiti dei percorsi di rete.
Questi criteri possono essere considerati come istruzioni logiche "se-then".
Se le assegnazioni (utenti, risorse e condizioni) sono vere, allora applicare i controlli di accesso (concessione e/o sessione) nei criteri. Se si è un amministratore, che vuole accedere a uno dei portali di amministrazione Microsoft, allora è necessario eseguire l'autenticazione a più fattori per dimostrare che si tratta effettivamente dell'utente.
Cosa succede se si vogliono apportare altre modifiche?
Gli amministratori possono scegliere di apportare ulteriori modifiche a questi criteri duplicandoli usando il pulsante Duplica nella visualizzazione elenco criteri. Questo nuovo criterio può essere configurato come qualsiasi altro criterio di accesso condizionale con a partire da una posizione consigliata da Microsoft. Prestare attenzione a non abbassare inavvertitamente il livello di sicurezza con quelle modifiche.
Quali ruoli amministrativi sono coperti da questi criteri?
- Amministratore globale
- Amministratore applicazione
- Amministratore dell'autenticazione
- Amministratore fatturazione
- Amministratore di applicazioni cloud
- Amministratore dell'accesso condizionale
- Amministratore di Exchange
- Amministratore supporto tecnico
- Amministratore delle password
- Amministratore dell'autenticazione privilegiata
- Amministratore ruolo con privilegi
- Amministratore della sicurezza
- Amministratore di SharePoint
- Amministratore utenti
Cosa accade se si usa una soluzione diversa per l'autenticazione a più fattori?
L'autenticazione a più fattori completata usando i metodi di autenticazione esterni soddisfa i requisiti MFA dei criteri gestiti da Microsoft.
Quando l'autenticazione a più fattori viene completata tramite un provider di identità federato (IdP), potrebbe soddisfare i requisiti MFA dell'ID Microsoft Entra a seconda della configurazione. Per altre informazioni, vedere Soddisfare i controlli MFA (Microsoft Entra ID multifactor authentication) con attestazioni MFA da un IdP federato.
Cosa accade se si usa l'autenticazione Certificate-Based?
A seconda della configurazione di Certificate-Based Authentication (CBA), può funzionare come autenticazione singola o multifattoriale.
- Se l'organizzazione dispone di autenticazione basata su certificato configurata come a singolo fattore, gli utenti devono usare un secondo metodo di autenticazione per soddisfare l'autenticazione a più fattori. Per ulteriori informazioni sulle combinazioni consentite di metodi di autenticazione a MFA con CBA a fattore singolo, vedere MFA con autenticazione basata su certificati a singolo fattore.
- Se l'organizzazione ha configurato CBA come autenticazione multifattore, gli utenti possono completare l'autenticazione MFA utilizzando il loro metodo di autenticazione CBA.
Cosa accade se si usano controlli personalizzati?
i controlli personalizzati non soddisfano i requisiti delle dichiarazioni di autenticazione a più fattori. Se l'organizzazione usa controlli personalizzati, è necessario eseguire la migrazione a metodi di autenticazione esterni, la sostituzione dei controlli personalizzati. Il provider di autenticazione esterno deve supportare i metodi di autenticazione esterni e fornire le indicazioni di configurazione necessarie per l'integrazione.