Nozioni di base su Identity Protection
Identity Protection è un servizio che consente alle organizzazioni di visualizzare il comportamento di sicurezza di qualsiasi account. Le organizzazioni possono eseguire le tre attività chiave seguenti:
- Automatizzare il rilevamento e la correzione dei rischi in base all'identità.
- Esaminare i rischiusando i dati nel portale.
- Esportare i dati di rilevamento dei rischi in utilità di terze parti per analizzarli ulteriormente.
Occorre ricordare sempre che per il funzionamento di Microsoft Entra ID, parte di Microsoft Entra ID Protection, è necessaria una licenza di Microsoft Entra ID P2. La gestione licenze verrà esaminata più in dettaglio in un'unità successiva.
Identity Protection usa le conoscenze acquisite da Microsoft dalla sua posizione in organizzazioni che utilizzano Microsoft Entra ID, nello spazio consumer con account Microsoft e nelle piattaforme di gioco con Xbox per proteggere gli utenti. Microsoft analizza 6,5 mila miliardi di segnali al giorno per identificare le minacce e proteggere i clienti.
I segnali generati e inviati a Identity Protection possono essere ulteriormente inseriti in strumenti come l'accesso condizionale per prendere decisioni relative agli accessi oppure restituiti a uno strumento SIEM (Security Information and Event Management) per un'analisi più approfondita a seconda dei criteri applicati dall'organizzazione.
Rilevamento e correzione dei rischi
Identity Protection consente di identificare i rischi suddivisi nelle classificazioni seguenti:
| Tipo di rilevamento dei rischi | Descrizione |
|---|---|
| Indirizzo IP anonimo | Accedere da un indirizzo IP anonimo (ad esempio: Tor Browser o VPN rese anonime). |
| Spostamento fisico atipico | Accesso da una posizione insolita in base agli accessi recenti dell'utente. |
| Indirizzo IP collegato al malware | Accesso da indirizzo IP collegato a malware. |
| Proprietà di accesso insolite | Accesso con proprietà non osservate di recente per l'utente specificato. |
| Credenziali perse | Indica che le credenziali valide dell'utente sono andate perse. |
| Password spraying | Indica che è in corso un attacco unificato di forza bruta contro più nomi utente usando password comuni. |
| Intelligence sulle minacce per Microsoft Entra | Le origini di intelligence Microsoft per le minacce interne ed esterne hanno identificato uno schema di attacco noto. |
| Nuovo paese | Questo rilevamento viene individuato da Microsoft Defender for Cloud Apps (MDCA). |
| Attività da indirizzi IP anonimi | Questo rilevamento viene individuato da MDCA. |
| Inoltro sospetto per la Posta in arrivo | Questo rilevamento viene individuato da MDCA. |
Autorizzazioni
Per poter accedere, Identity Protection richiede che gli utenti abbiano uno dei ruoli seguenti: Ruolo con autorizzazioni di lettura per la sicurezza, Operatore per la sicurezza, Ruolo con autorizzazioni di lettura globali o Amministratore globale.
| Ruolo | Può eseguire | Non può eseguire |
|---|---|---|
| Amministratore globale | Accesso completo a Identity Protection | |
| Amministratore della sicurezza | Accesso completo a Identity Protection | Reimpostare la password di un utente |
| Operatore per la sicurezza | Visualizzare tutti i report di Identity Protection e la schermata Panoramica, ignorare il rischio utente, confermare l'accesso sicuro, confermare la compromissione | Configurare o modificare i criteri, reimpostare la password per un utente, configurare gli avvisi |
| Ruolo con autorizzazioni di lettura per la sicurezza | Visualizzazione di tutti i report di Identity Protection e della schermata Panoramica | Configurare o modificare i criteri, reimpostare la password per un utente, configurare gli avvisi, fornire feedback sui rilevamenti |
Attualmente, il ruolo Operatore per la sicurezza non può accedere al report degli accessi a rischio. Gli amministratori dell'accesso condizionale possono anche creare criteri che tengono conto del rischio di accesso come condizione.
Requisiti di licenza
L’utilizzo di questa funzionalità richiede una licenza di Microsoft Entra ID Premium P2.
| Funzionalità | Dettagli | App Microsoft Entra ID gratuita / Microsoft 365 | Microsoft Entra ID Premium P1 | Microsoft Entra ID Premium P2 |
|---|---|---|---|---|
| Criteri di rischio | Criteri di rischio utente (tramite Identity Protection) | No | No | Sì |
| Criteri di rischio | Criteri di rischio di accesso (tramite Identity Protection o accesso condizionale) | No | No | Sì |
| Report di sicurezza. | Panoramica | No | No | Sì |
| Report di sicurezza. | Utenti a rischio | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Informazioni limitate. Vengono visualizzati solo gli utenti con rischio medio ed elevato. Nessun pannello dei dettagli o cronologia dei rischi. | Accesso completo |
| Report di sicurezza. | Accessi a rischio | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Informazioni limitate. Non vengono visualizzati i dettagli del rischio né il livello di rischio. | Accesso completo |
| Report di sicurezza. | Rilevamenti dei rischi | No | Informazioni limitate. Nessun pannello dei dettagli. | Accesso completo |
| Notifications | Avvisi relativi a utenti a rischio rilevati | No | No | Sì |
| Notifications | Digest settimanale | No | No | Sì |
| Criteri di registrazione MFA | No | No | Sì |