Lavoro prerequisito per l'implementazione dei criteri di identità Zero Trust e di accesso ai dispositivi
Questo articolo descrive i prerequisiti che gli amministratori devono soddisfare per usare i criteri di identità e accesso ai dispositivi Zero Trust consigliati e per usare l'accesso condizionale. Vengono inoltre illustrate le impostazioni predefinite consigliate per la configurazione delle piattaforme client per l'esperienza SSO (Single Sign-On) ottimale.
Prerequisiti
Prima di usare i criteri di identità Zero Trust e di accesso ai dispositivi consigliati, l'organizzazione deve soddisfare i prerequisiti. I requisiti sono diversi per i vari modelli di identità e autenticazione elencati:
- Solo cloud
- Autenticazione ibrida con sincronizzazione dell'hash delle password
- Ibrido con autenticazione pass-through (PTA)
- Federato
La tabella seguente illustra in dettaglio le funzionalità dei prerequisiti e la relativa configurazione applicabili a tutti i modelli di identità, tranne dove indicato.
| Impostazione | Eccezioni | Licenze |
|---|---|---|
| Configurare la sincronizzazione dell'hash delle password (PHS). Questa funzionalità deve essere abilitata per rilevare le credenziali perse e agire su di esse per l'accesso condizionale basato sul rischio. Questa configurazione è necessaria indipendentemente dal fatto che l'organizzazione usi l'autenticazione federata. | Solo cloud | Microsoft 365 E3 o E5 |
| Abilitare l'accesso Single Sign-On facile per consentire agli utenti di accedere automaticamente quando si trovano nei dispositivi dell'organizzazione connessi alla rete dell'organizzazione. | Solo cloud e federati | Microsoft 365 E3 o E5 |
| Configurare le posizioni di rete. Microsoft Entra ID Protection raccoglie e analizza tutti i dati di sessione disponibili per generare un punteggio di rischio. È consigliabile specificare gli intervalli IP pubblici dell'organizzazione per la rete nella configurazione dei percorsi denominati dell'ID Microsoft Entra. Il traffico proveniente da questi intervalli riceve un punteggio di rischio ridotto e il traffico proveniente dall'esterno dell'ambiente dell'organizzazione riceve un punteggio di rischio più elevato. | Microsoft 365 E3 o E5 | |
| Registrare tutti gli utenti per la reimpostazione della password self-service (SSPR) e l'autenticazione a più fattori (MFA). È consigliabile eseguire questo passaggio in anticipo. Microsoft Entra ID Protection usa l'autenticazione a più fattori Microsoft Entra per la verifica di sicurezza aggiuntiva. Per un'esperienza di accesso ottimale, è consigliabile usare l'app Microsoft Authenticator e l'app Portale aziendale Microsoft nei dispositivi. Gli utenti possono installare queste app dall'App Store per la piattaforma del dispositivo. | Microsoft 365 E3 o E5 | |
| Pianificare l'implementazione dell'aggiunta ibrida a Microsoft Entra. L'accesso condizionale garantisce che i dispositivi che si connettono alle app siano membri di un dominio o conformi. Per supportare questo requisito nei computer Windows, il dispositivo deve essere registrato con l'ID Microsoft Entra. In questo articolo viene illustrato come configurare la registrazione automatica del dispositivo. | Solo cloud | Microsoft 365 E3 o E5 |
| Preparare il team di supporto. Avere un piano per gli utenti che non possono eseguire l'autenticazione a più fattori. Ad esempio, aggiungerli a un gruppo di esclusione di criteri o registrare nuove informazioni di autenticazione a più fattori. Se si apportano eccezioni sensibili alla sicurezza, verificare che l'utente stia effettivamente effettuando la richiesta. Richiedere ai responsabili di fornire assistenza per l'approvazione per gli utenti è un passaggio efficace. | Microsoft 365 E3 o E5 | |
| Configurare il writeback delle password su l'Active Directory locale. Il writeback delle password consente a Microsoft Entra ID di richiedere che gli utenti modifichino le password locali quando viene rilevata una compromissione di un account ad alto rischio. È possibile abilitare questa funzionalità usando Microsoft Entra Connect in uno dei due modi seguenti: abilitare il writeback delle password nella schermata facoltativa della configurazione di Microsoft Entra Connect o abilitarla tramite Windows PowerShell. | Solo cloud | Microsoft 365 E3 o E5 |
| Configurare la protezione password di Microsoft Entra. Microsoft Entra Password Protection rileva e blocca le password vulnerabili note e le relative varianti e può anche bloccare altri termini deboli specifici dell'organizzazione. Gli elenchi predefiniti di password escluse globali vengono applicati automaticamente a tutti gli utenti di un'organizzazione Microsoft Entra. È possibile definire altre voci in un elenco personalizzato di password escluse. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse. | Microsoft 365 E3 o E5 | |
| Abilitare Microsoft Entra ID Protection. Microsoft Entra ID Protection consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e di configurare un criterio di correzione automatizzato a rischi di accesso basso, medio e alto e rischio utente. | Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security | |
| Abilitare la valutazione dell'accesso continuo per Microsoft Entra ID. La valutazione dell'accesso continuo termina in modo proattivo le sessioni utente attive e applica le modifiche ai criteri dell'organizzazione quasi in tempo reale. | Microsoft 365 E3 o E5 |
Configurazioni client consigliate
Questa sezione descrive le configurazioni client della piattaforma predefinite consigliate per l'esperienza SSO ottimale e i prerequisiti tecnici per l'accesso condizionale.
Dispositivi Windows
È consigliabile usare Windows 11 o Windows 10 (versione 2004 o successiva), perché Azure è progettato per offrire l'esperienza SSO più uniforme possibile sia per l'ID locale che per Microsoft Entra ID. I dispositivi rilasciati dall'organizzazione devono essere configurati usando una delle opzioni seguenti:
- Partecipa direttamente a Microsoft Entra ID.
- Configurare i dispositivi active directory locali aggiunti a un dominio per automaticamente e in modo automatico e invisibile all'utente
Per i dispositivi Windows personali (bring your own device o BYOD), gli utenti possono usare Aggiungi account aziendale o dell'istituto di istruzione. Gli utenti di Google Chrome nei dispositivi Windows 11 o Windows 10 devono installare un'estensione per ottenere la stessa esperienza di accesso uniforme degli utenti di Microsoft Edge. Inoltre, se l'organizzazione dispone di dispositivi Windows 8 o 8.1 aggiunti a un dominio, è possibile installare Microsoft Workplace Join per computer non Windows 10. Scaricare il pacchetto per registrare i dispositivi con Microsoft Entra ID.
Dispositivi iOS
È consigliabile installare l'app Microsoft Authenticator nei dispositivi utente prima di distribuire i criteri di accesso condizionale o MFA. Se non puoi, installare l'app nei seguenti scenari:
- Quando agli utenti viene chiesto di registrare il dispositivo con Microsoft Entra ID aggiungendo un account aziendale o dell'istituto di istruzione.
- Quando gli utenti installano l'app portale aziendale di Intune per registrare il loro dispositivo per la gestione.
La richiesta dipende dai criteri di accesso condizionale configurati.
Dispositivi Android
Raccomandiamo agli utenti di installare l'app Portale aziendale di Intune e l'app Microsoft Authenticator prima che i criteri di accesso condizionale vengano distribuiti o durante tentativi di autenticazione specifici. Dopo l'installazione dell'app, agli utenti potrebbe essere richiesto di registrarsi con Microsoft Entra ID o registrare il dispositivo con Intune, a seconda dei criteri di accesso condizionale configurati.
Si consiglia inoltre che i dispositivi di proprietà dell'organizzazione supportino Android for Work o Samsung Knox per consentire la gestione e la protezione degli account di posta elettronica tramite i criteri di gestione dei dispositivi mobili (MDM) di Intune.
Client di posta elettronica consigliati
I client di posta elettronica nella tabella seguente supportano l'autenticazione moderna e l'accesso condizionale:
| Piattaforma | Client | Versione/Note |
|---|---|---|
| Windows | Outlook | 2016 o versioni successive Aggiornamenti necessari |
| iOS | Outlook per iOS | Latest |
| Android | Outlook per Android | Latest |
| macOS | Outlook | 2016 o versioni successive |
| Linux | Non supportato |
Piattaforme client consigliate per la protezione dei documenti
Raccomandiamo i client di posta elettronica nella tabella seguente quando viene applicato un criterio di documenti sicuri.
| Piattaforma | Word/Excel/PowerPoint | OneNote | App OneDrive | app di SharePoint | sincronizzazione OneDrive client |
|---|---|---|---|---|---|
| Windows 11 o Windows 10 | Supportata | Supportata | N/D | N/D | Supportata |
| Windows 8.1 | Supportata | Supportata | N/D | N/D | Supportata |
| Android | Supportata | Supportata | Supportata | Supportata | N/D |
| iOS | Supportata | Supportata | Supportata | Supportata | N/D |
| macOS | Supportata | Supportata | N/D | N/D | Non supportato |
| Linux | Non supportato | Non supportato | Non supportato | Non supportato | Non supportato |
Supporto client di Microsoft 365
Per ulteriori informazioni sul supporto clienti in Microsoft 365, consultare Implementare l'infrastruttura di identità per Microsoft 365.
Protezione degli account amministratore
Per Microsoft 365 E3 o E5 o con licenze Microsoft Entra ID P1 o P2 separate, è possibile richiedere l'autenticazione a più fattori resistente al phishing per gli account amministratore con un criterio di accesso condizionale creato manualmente. Per ulteriori informazioni, vedere Accesso Condizionale: Richiedere l'autenticazione a più fattori resistente al phishing per gli amministratori.
Per le edizioni di Microsoft 365 o Office 365 che non supportano l'accesso condizionale, è possibile abilitare le impostazioni predefinite di sicurezza per richiedere l'autenticazione a più fattori per tutti gli account.
Ecco alcune altre raccomandazioni:
- Usare Microsoft Entra Privileged Identity Management per ridurre il numero di account amministrativi persistenti.
- Usare la gestione degli accessi con privilegi per proteggere l'organizzazione da violazioni che potrebbero usare account amministratore con privilegi esistenti con accesso permanente ai dati sensibili o l'accesso alle impostazioni di configurazione critiche.
- Creare e usare account separati assegnati ai ruolidi amministratore di Microsoft 365 solo per l'amministrazione. Gli amministratori devono avere il proprio account utente per un uso normale. Devono usare un account amministrativo solo quando necessario per completare un'attività associata al loro ruolo o alla loro funzione lavorativa.
- Seguire le procedure consigliate per proteggere gli account con privilegi in Microsoft Entra ID.
Passaggio successivo
Configurare i criteri comuni di identità Zero Trust e accesso ai dispositivi