Condividi tramite

Configurazioni di identità Zero Trust e accesso ai dispositivi

  • Articolo

La forza lavoro di oggi richiede l'accesso alle applicazioni e alle risorse esistenti oltre i limiti tradizionali della rete aziendale. Le architetture di sicurezza che si basano su firewall di rete e reti private virtuali (VPN) per isolare e limitare l'accesso alle risorse non sono più sufficienti.

Per far fronte a questi nuovi ambienti informatici, Microsoft raccomanda vivamente di adottare il modello di sicurezza Zero Trust, basato su questi principi guida:

  • Verificare in modo esplicito: autenticare e autorizzare sempre in base a tutti i punti dati disponibili. I criteri di identità Zero Trust e accesso ai dispositivi sono fondamentali per l'accesso e la convalida in corso.
  • Usare l'accesso con privilegi minimi: limitare l'accesso utente con JUST-In-Time e Just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati.
  • Presupporre una violazione: ridurre al minimo il raggio di esplosione e l'accesso segmentato. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, guidare il rilevamento delle minacce e migliorare le difese.

Ecco l'architettura complessiva di Zero Trust:

Diagramma che mostra l'architettura di Microsoft Zero Trust.

I criteri di identità Zero Trust e accesso ai dispositivi rispondono al principio di guida Verifica in modo esplicito per:

  • Identità: quando un'identità tenta di accedere a una risorsa, verificare che l'identità con autenticazione avanzata e assicurarsi che l'accesso richiesto sia conforme e tipico.
  • Dispositivi (detti anche endpoint): monitorare e applicare i requisiti di integrità e conformità dei dispositivi per l'accesso sicuro.
  • Applicazioni: applicare controlli e tecnologie a:
    • Verificare le autorizzazioni in-app appropriate.
    • Controllare l'accesso in base all'analisi in tempo reale.
    • Monitorare il comportamento anomalo
    • Controllare le azioni dell'utente.
    • Convalidare le opzioni di configurazione sicure.

Questa serie di articoli descrive un set di configurazioni e criteri di accesso alle identità e ai dispositivi usando Microsoft Entra ID, Accesso condizionale, Microsoft Intune e altre funzionalità. Queste configurazioni e criteri forniscono l'accesso Zero Trust alle posizioni seguenti:

  • Microsoft 365 per app e servizi cloud aziendali.
  • Altri servizi SaaS.
  • Applicazioni locali pubblicate con il proxy dell'applicazione Microsoft Entra.

Le impostazioni e i criteri di accesso ai dispositivi e identità Zero Trust sono consigliati in tre livelli:

  • Punto di partenza.
  • Azienda.
  • Sicurezza specializzata per ambienti con dati altamente regolamentati o classificati.

Questi livelli e le configurazioni corrispondenti offrono livelli coerenti di protezione Zero Trust tra dati, identità e dispositivi. Queste funzionalità e le relative raccomandazioni:

Se l'organizzazione ha requisiti o complessità univoci, usare questi consigli come punto di partenza. Tuttavia, la maggior parte delle organizzazioni può implementare queste raccomandazioni come previsto.

Guardare questo video per una rapida panoramica delle configurazioni di identità e accesso ai dispositivi per Microsoft 365 for enterprise.

Nota

Microsoft vende anche licenze Enterprise Mobility + Security (EMS) per gli abbonamenti a Office 365. Le funzionalità EMS E3 ed EMS E5 sono equivalenti a Microsoft 365 E3 e Microsoft 365 E5. Per altre informazioni, vedere Piani EMS.

Destinatari

Queste raccomandazioni sono destinate a architetti aziendali e professionisti IT che hanno familiarità con i servizi di produttività e sicurezza cloud di Microsoft 365. Questi servizi includono Microsoft Entra ID (identità), Microsoft Intune (gestione dei dispositivi) e Microsoft Purview Information Protection (protezione dei dati).

Ambiente del cliente

I criteri consigliati sono applicabili alle organizzazioni aziendali che operano interamente all'interno del cloud Microsoft e per i clienti con identità ibrida. Un'infrastruttura di identità ibrida sincronizza una foresta Active Directory locale con l'ID Microsoft Entra.

Molti dei nostri consigli si basano sui servizi disponibili solo con le licenze seguenti:

  • Microsoft 365 E5
  • Microsoft 365 E3 con il componente aggiuntivo E5 Security
  • EMS E5
  • Licenze microsoft Entra ID P2

Per le organizzazioni che non dispongono di queste licenze, è consigliabile sicurezza predefinita, disponibile in tutti i piani di Microsoft 365 ed è abilitata per impostazione predefinita.

Precisazioni

L'organizzazione potrebbe essere soggetta a requisiti normativi o di conformità, incluse raccomandazioni specifiche che richiedono criteri che differiscono dalle configurazioni consigliate. È consigliabile usare questi controlli perché riteniamo che rappresentino un equilibrio tra sicurezza e produttività.

Anche se si è tentato di tenere conto di un'ampia gamma di requisiti di protezione dell'organizzazione, non è possibile tenere conto di tutti i requisiti possibili o degli elementi univoci dell'organizzazione.

Tre livelli di protezione

La maggior parte delle organizzazioni dispone di requisiti specifici relativi alla sicurezza e alla protezione dei dati. Questi requisiti variano in base al segmento del settore e alle funzioni del processo all'interno delle organizzazioni. Ad esempio, il reparto legale e gli amministratori potrebbero richiedere più controlli di sicurezza e protezione delle informazioni relativi alla corrispondenza di posta elettronica che non sono necessari per altre business unit.

Ogni settore ha anche il proprio set di normative specializzate. Non si sta tentando di fornire un elenco di tutte le opzioni di sicurezza possibili o di una raccomandazione per ogni segmento di settore o funzione del processo. Vengono invece forniti suggerimenti per tre livelli di sicurezza e protezione che possono essere applicati in base alla granularità delle esigenze.

  • Punto di partenza: è consigliabile che tutti i clienti stabiliscino e usino uno standard minimo per la protezione dei dati, nonché le identità e i dispositivi che accedono ai dati. È possibile seguire queste raccomandazioni per fornire una protezione predefinita avanzata come punto di partenza per tutte le organizzazioni.
  • Enterprise: alcuni clienti dispongono di un subset di dati che devono essere protetti a livelli più elevati o che tutti i dati devono essere protetti a un livello superiore. È possibile applicare una maggiore protezione a tutti o a set di dati specifici nell'ambiente Microsoft 365. Si consiglia di proteggere le identità e i dispositivi che accedono ai dati sensibili con livelli di sicurezza analoghi.
  • Sicurezza specializzata: se necessario, alcuni clienti hanno una piccola quantità di dati altamente classificati, costituiscono segreti commerciali o sono regolamentati. Microsoft offre funzionalità che consentono a questi clienti di soddisfare questi requisiti, inclusa la protezione aggiuntiva per identità e dispositivi.

Screenshot del cono di sicurezza che mostra l'intervallo di clienti.

Queste linee guida illustrano come implementare la protezione Zero Trust per identità e dispositivi per ognuno di questi livelli di protezione. Usare queste linee guida come minimo per l'organizzazione e modificare i criteri per soddisfare i requisiti specifici dell'organizzazione.

È importante usare livelli di protezione coerenti tra identità, dispositivi e dati. Ad esempio, la protezione per gli utenti con account prioritari (dirigenti, leader, manager e così via) deve includere lo stesso livello di protezione per le identità, i dispositivi e i dati a cui accedono.

Vedere anche la soluzione: Distribuire la protezione delle informazioni per le normative sulla privacy dei dati per proteggere le informazioni archiviate in Microsoft 365.

Compromessi tra sicurezza e produttività

L'implementazione di qualsiasi strategia di sicurezza richiede compromessi tra sicurezza e produttività. È utile valutare in che modo ogni decisione influisce sull'equilibrio tra sicurezza, funzionalità e facilità d'uso.

Sicurezza, funzionalità e facilità d'uso

Le raccomandazioni fornite si basano sui principi seguenti:

  • Conoscere gli utenti e essere flessibili per i requisiti di sicurezza e funzionalità.
  • Applicare un criterio di sicurezza just-in-time e assicurarsi che sia significativo.

Servizi e concetti per la protezione dell'identità Zero Trust e dell'accesso ai dispositivi

Microsoft 365 for enterprise è progettato per organizzazioni di grandi dimensioni per consentire a tutti di essere creativi e collaborare in modo sicuro.

Questa sezione offre una panoramica dei servizi e delle funzionalità di Microsoft 365 importanti per l'identità Zero Trust e l'accesso ai dispositivi.

Microsoft Entra ID

Microsoft Entra ID offre una suite completa di funzionalità di gestione delle identità. È consigliabile usare queste funzionalità per proteggere l'accesso.

Funzionalità o funzionalità Descrizione Licenze
Autenticazione a più fattori (MFA) L'autenticazione a più fattori richiede agli utenti di fornire due forme di verifica, ad esempio una password utente e una notifica dall'app Microsoft Authenticator o una telefonata. L'autenticazione a più fattori riduce notevolmente il rischio che le credenziali rubate possano essere usate per accedere all'ambiente. Microsoft 365 usa il servizio di autenticazione a più fattori Microsoft Entra per gli accessi basati su MFA. Microsoft 365 E3 o E5
Accesso condizionale Microsoft Entra ID valuta le condizioni dell'accesso utente e usa i criteri di accesso condizionale per determinare l'accesso consentito. Ad esempio, in questa guida viene illustrato come creare criteri di accesso condizionale per richiedere la conformità del dispositivo per l'accesso ai dati sensibili. Questa configurazione riduce notevolmente il rischio che un hacker con il proprio dispositivo e le credenziali rubate possa accedere ai dati sensibili. Protegge anche i dati sensibili nei dispositivi, perché i dispositivi devono soddisfare requisiti specifici per l'integrità e la sicurezza. Microsoft 365 E3 o E5
Gruppi di Microsoft Entra I criteri di accesso condizionale, la gestione dei dispositivi con Intune e persino le autorizzazioni per file e siti dell'organizzazione si basano sull'assegnazione agli account utente o ai gruppi di Microsoft Entra. È consigliabile creare gruppi di Microsoft Entra che corrispondono ai livelli implementati di protezione. Ad esempio, i membri del tuo staff esecutivo sono probabilmente obiettivi di alto valore per gli hacker. È consigliabile aggiungere questi account utente a un gruppo Microsoft Entra e assegnare questo gruppo ai criteri di accesso condizionale e ad altri criteri che applicano un livello di protezione superiore. Microsoft 365 E3 o E5
Registrazione del dispositivo Registrare un dispositivo in Microsoft Entra ID per creare un'identità per il dispositivo. Questa identità viene usata per autenticare il dispositivo quando un utente accede e per applicare criteri di accesso condizionale che richiedono PC conformi o aggiunti a un dominio. Per questo materiale sussidiario viene usata la registrazione dei dispositivi per registrare automaticamente i computer Windows aggiunti a un dominio. La registrazione dei dispositivi è un prerequisito per la gestione dei dispositivi con Intune. Microsoft 365 E3 o E5
Microsoft Entra ID Protection Consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e di configurare criteri di correzione automatizzati a rischio di accesso basso, medio e alto e rischio utente. Queste linee guida si basano su questa valutazione dei rischi per applicare i criteri di accesso condizionale per l'autenticazione a più fattori. Queste indicazioni includono anche criteri di accesso condizionale che richiedono agli utenti di modificare la password se viene rilevata un'attività ad alto rischio per il proprio account. Microsoft 365 E5, Microsoft 365 E3 con licenze E5 Security, EMS E5 o Microsoft Entra ID P2
Reimpostazione della password self-service Consentire agli utenti di reimpostare le password in modo sicuro e senza l'intervento dell'help desk, fornendo la verifica di più metodi di autenticazione che l'amministratore può controllare. Microsoft 365 E3 o E5
Protezione delle password Microsoft Entra Rilevare e bloccare password vulnerabili note, varianti di password e altri termini deboli specifici dell'organizzazione. Gli elenchi predefiniti di password escluse globali vengono applicati automaticamente a tutti gli utenti di un'organizzazione Microsoft Entra. È anche possibile definire voci specifiche in un elenco personalizzato di password escluse. Quando gli utenti modificano o reimpostano le password, questi elenchi di password escluse vengono controllati per applicare l'uso di password complesse. Microsoft 365 E3 o E5

Ecco i componenti dell'identità Zero Trust e dell'accesso ai dispositivi, inclusi oggetti Intune e Microsoft Entra, impostazioni e sottoservizi.

Componenti dell'identità Zero Trust e dell'accesso ai dispositivi

Microsoft Intune

Intune è il servizio di gestione dei dispositivi mobili basato sul cloud di Microsoft. Queste indicazioni consigliano la gestione dei dispositivi dei PC Windows con Intune e consigliano le configurazioni dei criteri di conformità dei dispositivi. Intune determina se i dispositivi sono conformi e li inviano all'ID Entra di Microsoft da usare quando si applicano criteri di accesso condizionale.

Protezione delle app di Intune

I criteri di protezione delle app di Intune possono essere usati per proteggere i dati dell'organizzazione nelle app per dispositivi mobili, con o senza registrare i dispositivi nella gestione. Intune consente di proteggere le informazioni mantenendo al contempo la produttività degli utenti e impedendo la perdita di dati. Mediante l'implementazione dei criteri a livello di applicazione, è possibile limitare l'accesso alle risorse aziendali e fare in modo che i dati vengano controllati dal reparto IT.

Queste linee guida illustrano come creare criteri per applicare l'uso delle app approvate e specificare come usare queste app con i dati aziendali.

Microsoft 365

Queste indicazioni illustrano come implementare un set di criteri per proteggere l'accesso ai servizi cloud di Microsoft 365, tra cui Microsoft Teams, Exchange, SharePoint e OneDrive. Oltre a implementare questi criteri, è consigliabile aumentare anche il livello di protezione per l'organizzazione usando queste risorse:

Windows 11 o Windows 10 con Microsoft 365 Apps for enterprise

Windows 11 o Windows 10 con Microsoft 365 Apps for enterprise è l'ambiente client consigliato per i PC. Ti consigliamo Windows 11 o Windows 10 perché Microsoft Entra è progettato per offrire l'esperienza più fluida possibile sia per l'ID locale che per Microsoft Entra ID. Windows 11 o Windows 10 include anche funzionalità di sicurezza avanzate che possono essere gestite tramite Intune. Microsoft 365 Apps for enterprise include le versioni più recenti delle app Office licazioni. Queste app usano l'autenticazione moderna, che è più sicura ed è necessaria per l'accesso condizionale. Queste app includono anche strumenti avanzati per la conformità e la sicurezza.

Applicazione di queste funzionalità nei tre livelli di protezione

La tabella seguente riepiloga le raccomandazioni per l'uso di queste funzionalità nei tre livelli di protezione.

Meccanismo di protezione Punto di partenza Enterprise Sicurezza specializzata
Applicazione dell'autenticazione a più fattori Il rischio di accesso è medio o alto. Il rischio di accesso è basso, medio o alto. Tutte le nuove sessioni.
Applicare la modifica della password Per gli utenti ad alto rischio. Per gli utenti ad alto rischio. Per gli utenti ad alto rischio.
Applicare la protezione delle applicazioni di Intune
Applicare la registrazione di Intune per un dispositivo di proprietà dell'organizzazione Richiedi un PC conforme o aggiunto a un dominio, ma consenti telefoni e tablet BYOD (Bring Your Own Devices). Richiede un dispositivo conforme o unito a un dominio. Richiedere un dispositivo conforme o connesso a un dominio.

Proprietà del dispositivo

La tabella precedente riflette la tendenza per molte organizzazioni a supportare una combinazione di dispositivi BYOD (Organization e Personal) che accedono ai dati aziendali. I criteri di protezione delle app di Intune assicurano che i dati aziendali siano protetti dall'esfiltrazione in Outlook per iOS e Android e da altre app per dispositivi mobili di Microsoft 365 sia nell'organizzazione che nei dispositivi personali.

È consigliabile usare Intune per gestire i dispositivi di proprietà dell'organizzazione o che i dispositivi siano aggiunti a un dominio per applicare protezioni e controlli aggiuntivi. A seconda della riservatezza dei dati, l'organizzazione potrebbe non consentire BYOD per gruppi di utenti o app specifici.

Distribuzione e app

Prima di configurare e implementare la configurazione dell'identità Zero Trust e dell'accesso ai dispositivi per le app integrate di Microsoft Entra, è necessario eseguire la procedura seguente:

  • Decidete le app nella vostra organizzazione da proteggere.

  • Analizzare questo elenco di app per determinare i set di criteri che forniscono livelli di protezione appropriati.

    Non è consigliabile separare i set di criteri per ogni app perché la gestione di criteri separati può diventare complessa. È invece consigliabile raggruppare le app con gli stessi requisiti di protezione per gli stessi utenti.

    Ad esempio, iniziare con un set di criteri che includono tutte le app di Microsoft 365 per tutti gli utenti. Usa un set di criteri diverso e più restrittivo per tutte le app sensibili (ad esempio, le app usate dai reparti di risorse umane o finanze) e applica tali criteri restrittivi ai gruppi interessati.

Dopo aver determinato il set di criteri per le app da proteggere, implementare in modo incrementale i criteri agli utenti, risolvendo i problemi lungo il percorso. Ad esempio:

  1. Configurare i criteri che si intende usare per tutte le app di Microsoft 365.
  2. Aggiungere Exchange con le modifiche necessarie, implementare le politiche agli utenti e risolvere qualsiasi problema.
  3. Aggiungere Teams con le modifiche necessarie, implementare i criteri agli utenti e risolvere eventuali problemi.
  4. Aggiungere SharePoint con le modifiche necessarie, implementare i criteri agli utenti e risolvere eventuali problemi.
  5. Continuare ad aggiungere app fino a quando non è possibile configurare in modo sicuro questi criteri di punto di partenza per includere tutte le app di Microsoft 365.

Analogamente, creare il set di criteri per le app sensibili aggiungendo un'app alla volta. Risolvere eventuali problemi fino a quando non sono tutti inclusi nel set di criteri delle app sensibili.

Microsoft consiglia di non creare set di criteri applicabili a tutte le app perché può comportare alcune configurazioni impreviste. Ad esempio, i criteri che bloccano tutte le app potrebbero bloccare gli amministratori dall'interfaccia di amministrazione di Microsoft Entra e le esclusioni non possono essere configurati per endpoint importanti, ad esempio Microsoft Graph.

Procedura per configurare l'identità Zero Trust e l'accesso ai dispositivi

La procedura per configurare l'identità Zero Trust e l'accesso ai dispositivi

  1. Configurare le funzionalità e le impostazioni di identità preliminari.
  2. Configurare i criteri di accesso condizionale e identità comuni.
  3. Configurare i criteri di accesso condizionale per l'accesso ospite.
  4. Configurare i criteri di accesso condizionale per le app cloud di Microsoft 365 (ad esempio Microsoft Teams, Exchange e SharePoint) e configurare i criteri di Microsoft Defender for Cloud Apps.

Dopo aver configurato l'identità Zero Trust e l'accesso ai dispositivi, consultare la guida alla distribuzione delle funzionalità di Microsoft Entra per un elenco di controllo graduale di altre funzionalità da considerare e la Microsoft Entra ID Governance per proteggere, monitorare e controllare l'accesso.

Passaggio successivo

Lavoro prerequisito per l'implementazione dei criteri di identità Zero Trust e di accesso ai dispositivi