Configurazioni di identità Zero Trust e accesso ai dispositivi
La forza lavoro di oggi richiede l'accesso alle applicazioni e alle risorse esistenti oltre i limiti tradizionali della rete aziendale. Le architetture di sicurezza che si basano su firewall di rete e reti private virtuali (VPN) per isolare e limitare l'accesso alle risorse non sono più sufficienti.
Per far fronte a questi nuovi ambienti informatici, Microsoft raccomanda vivamente di adottare il modello di sicurezza Zero Trust, basato su questi principi guida:
- Verificare in modo esplicito: autenticare e autorizzare sempre in base a tutti i punti dati disponibili. Questa verifica è la posizione in cui i criteri di identità Zero Trust e accesso ai dispositivi sono fondamentali per l'accesso e la convalida in corso.
- Usare l'accesso con privilegi minimi: limitare l'accesso utente con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.
- Presupporre una violazione: ridurre al minimo il raggio di esplosione e l'accesso segmentato. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.
Ecco l'architettura complessiva di Zero Trust:
I criteri di identità Zero Trust e accesso ai dispositivi rispondono al principio di guida Verifica in modo esplicito per:
- Identità: quando un'identità tenta di accedere a una risorsa, verificare che l'identità con autenticazione avanzata e assicurarsi che l'accesso richiesto sia conforme e tipico.
- Dispositivi (detti anche endpoint): monitorare e applicare i requisiti di integrità e conformità dei dispositivi per l'accesso sicuro.
- Applicazioni: applicare controlli e tecnologie a:
- Verificare le autorizzazioni in-app appropriate.
- Controllare l'accesso in base all'analisi in tempo reale.
- Monitorare il comportamento anomalo
- Controllare le azioni dell'utente.
- Convalidare le opzioni di configurazione sicure.
Questa serie di articoli descrive un set di configurazioni e criteri di accesso alle identità e ai dispositivi usando Microsoft Entra ID, Accesso condizionale, Microsoft Intune e altre funzionalità. Queste configurazioni e criteri forniscono l'accesso Zero Trust a Microsoft 365 per app e servizi cloud aziendali, ad altri servizi SaaS e alle applicazioni locali pubblicate con il proxy dell'applicazione Microsoft Entra.
Le impostazioni e i criteri di accesso ai dispositivi e identità Zero Trust sono consigliati in tre livelli:
- Punto di partenza.
- Azienda.
- Sicurezza specializzata per ambienti con dati altamente regolamentati o classificati.
Questi livelli e le configurazioni corrispondenti offrono livelli coerenti di protezione Zero Trust tra dati, identità e dispositivi. Queste funzionalità e le relative raccomandazioni:
- Sono supportati in Microsoft 365 E3 e Microsoft 365 E5.
- Sono allineati con Microsoft Secure Score e il punteggio di identità in Microsoft Entra ID. Seguendo le raccomandazioni, questi punteggi verranno aumentati per l'organizzazione.
- È possibile implementare questi cinque passaggi per proteggere l'infrastruttura di gestione delle identità.
Se l'organizzazione ha requisiti o complessità univoci, usare questi consigli come punto di partenza. Tuttavia, la maggior parte delle organizzazioni può implementare queste raccomandazioni come previsto.
Guardare questo video per una rapida panoramica delle configurazioni di identità e accesso ai dispositivi per Microsoft 365 for enterprise.
Nota
Microsoft vende anche licenze Enterprise Mobility + Security (EMS) per gli abbonamenti a Office 365. Le funzionalità EMS E3 e EMS E5 sono equivalenti a quelle di Microsoft 365 E3 e Microsoft 365 E5. Per altre informazioni, vedere Piani EMS.
Destinatari
Queste raccomandazioni sono destinate a architetti aziendali e professionisti IT che hanno familiarità con i servizi di produttività e sicurezza cloud di Microsoft 365. Questi servizi includono Microsoft Entra ID (identità), Microsoft Intune (gestione dei dispositivi) e Microsoft Purview Information Protection (protezione dei dati).
Ambiente del cliente
I criteri consigliati sono applicabili alle organizzazioni aziendali che operano interamente all'interno del cloud Microsoft e ai clienti con infrastruttura ibrida di gestione delle identità. Una struttura di identità ibrida è una foresta Active Directory locale sincronizzata con l'ID Microsoft Entra.
Molti dei nostri consigli si basano sui servizi disponibili solo con le licenze seguenti:
- Microsoft 365 E5.
- Microsoft 365 E3 con il componente aggiuntivo E5 Security.
- EMS E5.
- Licenze microsoft Entra ID P2.
Per le organizzazioni che non dispongono di queste licenze, è consigliabile implementare almeno le impostazioni predefinite per la sicurezza, incluse in tutti i piani di Microsoft 365.
Precisazioni
L'organizzazione potrebbe essere soggetta a requisiti normativi o di conformità, incluse raccomandazioni specifiche che richiedono l'applicazione di criteri che differiscono da queste configurazioni consigliate. Queste configurazioni consigliano controlli di utilizzo che non sono stati storicamente disponibili. È consigliabile usare questi controlli perché riteniamo che rappresentino un equilibrio tra sicurezza e produttività.
Abbiamo fatto del nostro meglio per tenere conto di un'ampia gamma di requisiti di protezione dell'organizzazione, ma non siamo in grado di tenere conto di tutti i requisiti possibili o per tutti gli aspetti univoci dell'organizzazione.
Tre livelli di protezione
La maggior parte delle organizzazioni dispone di requisiti specifici relativi alla sicurezza e alla protezione dei dati. Questi requisiti variano in base al segmento del settore e alle funzioni del processo all'interno delle organizzazioni. Ad esempio, il reparto legale e gli amministratori potrebbero richiedere ulteriori controlli di sicurezza e protezione delle informazioni relativi alla corrispondenza di posta elettronica che non sono necessari per altre business unit.
Ogni settore ha anche il proprio set di normative specializzate. Non si sta tentando di fornire un elenco di tutte le opzioni di sicurezza possibili o di una raccomandazione per ogni segmento di settore o funzione del processo. Vengono invece forniti suggerimenti per tre livelli di sicurezza e protezione che possono essere applicati in base alla granularità delle esigenze.
- Punto di partenza: è consigliabile che tutti i clienti stabiliscino e usino uno standard minimo per la protezione dei dati, nonché le identità e i dispositivi che accedono ai dati. È possibile seguire queste raccomandazioni per fornire una protezione predefinita avanzata come punto di partenza per tutte le organizzazioni.
- Enterprise: alcuni clienti dispongono di un subset di dati che devono essere protetti a livelli più elevati o che tutti i dati devono essere protetti a un livello superiore. È possibile applicare una maggiore protezione a tutti o a set di dati specifici nell'ambiente Microsoft 365. Si consiglia di proteggere le identità e i dispositivi che accedono ai dati sensibili con livelli di sicurezza analoghi.
- Sicurezza specializzata: se necessario, alcuni clienti hanno una piccola quantità di dati altamente classificati, costituiscono segreti commerciali o sono regolamentati. Microsoft offre funzionalità che consentono a questi clienti di soddisfare questi requisiti, inclusa la protezione aggiuntiva per identità e dispositivi.
Queste linee guida illustrano come implementare la protezione Zero Trust per identità e dispositivi per ognuno di questi livelli di protezione. Usare queste linee guida come minimo per l'organizzazione e modificare i criteri per soddisfare i requisiti specifici dell'organizzazione.
È importante usare livelli di protezione coerenti tra identità, dispositivi e dati. Ad esempio, la protezione per gli utenti con account prioritari, ad esempio dirigenti, dirigenti, manager e altri, deve includere lo stesso livello di protezione per le identità, i dispositivi e i dati a cui accedono.
Vedere anche la soluzione Distribuire la protezione delle informazioni per le normative sulla privacy dei dati per proteggere le informazioni archiviate in Microsoft 365.
Compromessi tra sicurezza e produttività
L'implementazione di qualsiasi strategia di sicurezza richiede compromessi tra sicurezza e produttività. È utile valutare in che modo ogni decisione influisce sull'equilibrio tra sicurezza, funzionalità e facilità d'uso.
Le raccomandazioni fornite si basano sui principi seguenti:
- Conoscere gli utenti e essere flessibili per i requisiti di sicurezza e funzionalità.
- Applicare un criterio di sicurezza just-in-time e assicurarsi che sia significativo.
Servizi e concetti per la protezione dell'identità Zero Trust e dell'accesso ai dispositivi
Microsoft 365 for enterprise è progettato per organizzazioni di grandi dimensioni per consentire a tutti di essere creativi e collaborare in modo sicuro.
Questa sezione offre una panoramica dei servizi e delle funzionalità di Microsoft 365 importanti per l'identità Zero Trust e l'accesso ai dispositivi.
Microsoft Entra ID
Microsoft Entra ID offre una suite completa di funzionalità di gestione delle identità. È consigliabile usare queste funzionalità per proteggere l'accesso.
Funzionalità o funzionalità | Descrizione | Licenze |
---|---|---|
Autenticazione a più fattori (MFA) | L'autenticazione a più fattori richiede agli utenti di fornire due forme di verifica, ad esempio una password utente e una notifica dall'app Microsoft Authenticator o una telefonata. L'autenticazione a più fattori riduce notevolmente il rischio che le credenziali rubate possano essere usate per accedere all'ambiente. Microsoft 365 usa il servizio di autenticazione a più fattori Microsoft Entra per gli accessi basati su MFA. | Microsoft 365 E3 o E5 |
Accesso condizionale | Microsoft Entra ID valuta le condizioni dell'accesso utente e usa i criteri di accesso condizionale per determinare l'accesso consentito. Ad esempio, in questa guida viene illustrato come creare criteri di accesso condizionale per richiedere la conformità del dispositivo per l'accesso ai dati sensibili. Ciò riduce notevolmente il rischio che un hacker con il proprio dispositivo e le credenziali rubate possa accedere ai dati sensibili. Protegge anche i dati sensibili nei dispositivi, perché i dispositivi devono soddisfare requisiti specifici per l'integrità e la sicurezza. | Microsoft 365 E3 o E5 |
Gruppi di Microsoft Entra | I criteri di accesso condizionale, la gestione dei dispositivi con Intune e persino le autorizzazioni per file e siti dell'organizzazione si basano sull'assegnazione agli account utente o ai gruppi di Microsoft Entra. È consigliabile creare gruppi di Microsoft Entra che corrispondono ai livelli di protezione che si stanno implementando. Ad esempio, il personale esecutivo è probabilmente bersagli di valore più alto per gli hacker. Pertanto, è opportuno aggiungere gli account utente di questi dipendenti a un gruppo Microsoft Entra e assegnare questo gruppo ai criteri di accesso condizionale e ad altri criteri che applicano un livello di protezione superiore per l'accesso. | Microsoft 365 E3 o E5 |
Registrazione del dispositivo | Registrare un dispositivo in Microsoft Entra ID per creare un'identità per il dispositivo. Questa identità viene usata per autenticare il dispositivo quando un utente accede e per applicare criteri di accesso condizionale che richiedono PC conformi o aggiunti a un dominio. Per questo materiale sussidiario viene usata la registrazione dei dispositivi per registrare automaticamente i computer Windows aggiunti a un dominio. La registrazione dei dispositivi è un prerequisito per la gestione dei dispositivi con Intune. | Microsoft 365 E3 o E5 |
Microsoft Entra ID Protection | Consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e di configurare criteri di correzione automatizzati a rischio di accesso basso, medio e alto e rischio utente. Queste linee guida si basano su questa valutazione dei rischi per applicare i criteri di accesso condizionale per l'autenticazione a più fattori. Queste indicazioni includono anche criteri di accesso condizionale che richiedono agli utenti di modificare la password se viene rilevata un'attività ad alto rischio per il proprio account. | Microsoft 365 E5, Microsoft 365 E3 con licenze E5 Security, EMS E5 o Microsoft Entra ID P2 |
Reimpostazione della password self-service | Consentire agli utenti di reimpostare le password in modo sicuro e senza l'intervento dell'help desk, fornendo la verifica di più metodi di autenticazione che l'amministratore può controllare. | Microsoft 365 E3 o E5 |
Protezione delle password Microsoft Entra | Rilevare e bloccare le password vulnerabili note e le relative varianti e termini deboli aggiuntivi specifici dell'organizzazione. Gli elenchi predefiniti di password escluse globali vengono applicati automaticamente a tutti gli utenti in un tenant di Microsoft Entra. È possibile definire voci aggiuntive in un elenco personalizzato di password escluse. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse. | Microsoft 365 E3 o E5 |
Ecco i componenti dell'identità Zero Trust e dell'accesso ai dispositivi, inclusi oggetti Intune e Microsoft Entra, impostazioni e sottoservizi.
Microsoft Intune
Intune è il servizio di gestione dei dispositivi mobili basato sul cloud di Microsoft. Queste indicazioni consigliano la gestione dei dispositivi dei PC Windows con Intune e consigliano le configurazioni dei criteri di conformità dei dispositivi. Intune determina se i dispositivi sono conformi e li inviano all'ID Entra di Microsoft da usare quando si applicano criteri di accesso condizionale.
Protezione delle app di Intune
I criteri di protezione delle app di Intune possono essere usati per proteggere i dati dell'organizzazione nelle app per dispositivi mobili, con o senza registrare i dispositivi nella gestione. Intune consente di proteggere le informazioni, assicurandosi che i dipendenti possano comunque essere produttivi e prevenire la perdita di dati. Mediante l'implementazione dei criteri a livello di applicazione, è possibile limitare l'accesso alle risorse aziendali e fare in modo che i dati vengano controllati dal reparto IT.
Queste linee guida illustrano come creare criteri consigliati per applicare l'uso delle app approvate e determinare come usare queste app con i dati aziendali.
Microsoft 365
Queste indicazioni illustrano come implementare un set di criteri per proteggere l'accesso ai servizi cloud di Microsoft 365, tra cui Microsoft Teams, Exchange, SharePoint e OneDrive. Oltre a implementare questi criteri, è consigliabile aumentare anche il livello di protezione per il tenant usando queste risorse:
Windows 11 o Windows 10 con Microsoft 365 Apps for enterprise
Windows 11 o Windows 10 con Microsoft 365 Apps for enterprise è l'ambiente client consigliato per i PC. Ti consigliamo Windows 11 o Windows 10 perché Microsoft Entra è progettato per offrire l'esperienza più fluida possibile sia per l'ID locale che per Microsoft Entra ID. Windows 11 o Windows 10 include anche funzionalità di sicurezza avanzate che possono essere gestite tramite Intune. Microsoft 365 Apps for enterprise include le versioni più recenti delle app Office licazioni. Questi usano l'autenticazione moderna, che è più sicura e un requisito per l'accesso condizionale. Queste app includono anche strumenti avanzati per la conformità e la sicurezza.
Applicazione di queste funzionalità nei tre livelli di protezione
La tabella seguente riepiloga le raccomandazioni per l'uso di queste funzionalità nei tre livelli di protezione.
Meccanismo di protezione | Punto di partenza | Enterprise | Sicurezza specializzata |
---|---|---|---|
Applicazione dell'autenticazione a più fattori | Con un rischio di accesso medio o superiore | Con un rischio di accesso basso o superiore | In tutte le nuove sessioni |
Applicare la modifica della password | Per gli utenti ad alto rischio | Per gli utenti ad alto rischio | Per gli utenti ad alto rischio |
Applicare la protezione delle applicazioni di Intune | Sì | Sì | Sì |
Applicare la registrazione di Intune per un dispositivo di proprietà dell'organizzazione | Richiedere un PC conforme o aggiunto a un dominio, ma consentire telefoni e tablet BYOD (Bring Your Own Devices) | Richiedere un dispositivo conforme o aggiunto a un dominio | Richiedere un dispositivo conforme o aggiunto a un dominio |
Proprietà del dispositivo
La tabella precedente riflette la tendenza per molte organizzazioni a supportare una combinazione di dispositivi di proprietà dell'organizzazione e byod personali o BYOD per consentire la produttività mobile nella forza lavoro. I criteri di protezione delle app di Intune assicurano che la posta elettronica sia protetta dall'esfiltrazione dall'app Outlook per dispositivi mobili e da altre app di Office per dispositivi mobili, sia nei dispositivi di proprietà dell'organizzazione che negli BYOD.
È consigliabile che i dispositivi di proprietà dell'organizzazione siano gestiti da Intune o aggiunti a un dominio per applicare protezioni e controlli aggiuntivi. A seconda della riservatezza dei dati, l'organizzazione potrebbe scegliere di non consentire BYOD per popolamenti di utenti specifici o app specifiche.
Distribuzione e app
Prima di configurare e implementare la configurazione dell'identità Zero Trust e dell'accesso ai dispositivi per le app integrate di Microsoft Entra, è necessario:
Decidere quali app usate nell'organizzazione si vogliono proteggere.
Analizzare questo elenco di app per determinare i set di criteri che forniscono livelli di protezione appropriati.
Non è consigliabile creare set separati di criteri per ogni app perché la gestione di tali criteri può diventare complessa. Microsoft consiglia di raggruppare le app con gli stessi requisiti di protezione per gli stessi utenti.
Ad esempio, avere un set di criteri che includono tutte le app di Microsoft 365 per tutti gli utenti per la protezione del punto di partenza. Avere un secondo set di criteri per tutte le app sensibili, ad esempio quelle usate dalle risorse umane o dai reparti finanziari, e applicarle a tali gruppi.
Dopo aver determinato il set di criteri per le app da proteggere, implementare i criteri agli utenti in modo incrementale, risolvendo i problemi lungo il percorso. Ad esempio:
- Configurare i criteri che si intende usare per tutte le app di Microsoft 365.
- Aggiungere solo Exchange con le modifiche necessarie, implementare i criteri agli utenti e risolvere eventuali problemi.
- Aggiungere Teams con le modifiche necessarie, implementare i criteri agli utenti e risolvere eventuali problemi.
- Aggiungere SharePoint con le modifiche necessarie, implementare i criteri agli utenti e risolvere eventuali problemi.
- Continuare ad aggiungere le altre app fino a quando non è possibile configurare con sicurezza questi criteri di punto di partenza per includere tutte le app di Microsoft 365.
Analogamente, per le app sensibili, creare il set di criteri e aggiungere un'app alla volta. Risolvere eventuali problemi fino a quando non sono tutti inclusi nel set di criteri delle app sensibili.
Microsoft consiglia di non creare set di criteri applicabili a tutte le app perché può comportare alcune configurazioni impreviste. Ad esempio, i criteri che bloccano tutte le app potrebbero bloccare gli amministratori dall'interfaccia di amministrazione di Microsoft Entra e le esclusioni non possono essere configurati per endpoint importanti, ad esempio Microsoft Graph.
Procedura per configurare l'identità Zero Trust e l'accesso ai dispositivi
- Configurare le funzionalità di identità dei prerequisiti e le relative impostazioni.
- Configurare i criteri di accesso condizionale e identità comuni.
- Configurare i criteri di accesso condizionale per utenti guest ed esterni.
- Configurare i criteri di accesso condizionale per le app cloud di Microsoft 365, ad esempio Microsoft Teams, Exchange e SharePoint, e Microsoft Defender per il cloud i criteri delle app.
Dopo aver configurato l'identità Zero Trust e l'accesso ai dispositivi, vedere la guida alla distribuzione delle funzionalità di Microsoft Entra per un elenco di controllo graduale delle funzionalità aggiuntive da considerare e microsoft Entra ID Governance per proteggere, monitorare e controllare l'accesso.After you have configured Zero Trust identity and device access, see the Microsoft Entra feature deployment guide for a phased checklist of additional features to consider and Microsoft Entra ID Governance to protect, monitor, and audit access.