Passaggio 2. Proteggere gli account con privilegi di Microsoft 365

Questo articolo si applica sia a Microsoft 365 Enterprise che a Office 365 Enterprise.

Le violazioni della sicurezza di un tenant di Microsoft 365, tra cui la raccolta di informazioni e gli attacchi di phishing, vengono in genere eseguite compromettendo le credenziali di un account con privilegi di Microsoft 365. La sicurezza nel cloud è una partnership tra l'utente e Microsoft:

  • I servizi cloud Microsoft si fondano su un principio di fiducia e sicurezza. Microsoft fornisce controlli e funzionalità di sicurezza che consentono di proteggere i dati e le applicazioni.

  • I dati e le identità dell'utente appartengono all'utente stesso, che è responsabile della loro protezione, della sicurezza delle risorse locali e della sicurezza dei componenti cloud sotto il suo controllo.

Microsoft offre funzionalità che consentono di proteggere l'organizzazione, ma sono efficaci solo se vengono usate dall'utente. Se non li usi, potresti essere vulnerabile agli attacchi. Per proteggere gli account con privilegi, Microsoft è qui per fornire istruzioni dettagliate per:

  1. Creare account dedicati, con privilegi e basati sul cloud e usarli solo quando necessario.

  2. Configurare l'autenticazione a più fattori (MFA) per gli account con privilegi di Microsoft 365 dedicati e usare la forma più avanzata di autenticazione secondaria.

  3. Proteggere gli account con privilegi con Zero Trust consigli per l'identità e l'accesso ai dispositivi.

Nota

Per proteggere i ruoli con privilegi, vedere Procedure consigliate per i ruoli di Azure AD per proteggere l'accesso con privilegi al tenant.

1. Creare account utente dedicati, con privilegi e basati sul cloud e usarli solo quando necessario

Anziché usare gli account utente di tutti i giorni a cui sono stati assegnati ruoli di amministratore, creare account utente dedicati con i ruoli di amministratore in Azure AD.

Da questo momento in poi, si accede con gli account con privilegi dedicati solo per le attività che richiedono privilegi di amministratore. Tutte le altre attività amministrative di Microsoft 365 devono essere eseguite assegnando altri ruoli di amministrazione agli account utente.

Nota

Questa operazione richiede passaggi aggiuntivi per disconnettersi come account utente quotidiano e accedere con un account amministratore dedicato. Ma questa operazione deve essere eseguita solo occasionalmente per le operazioni di amministratore. Si consideri che il ripristino dell'abbonamento a Microsoft 365 dopo una violazione dell'account amministratore richiede molti più passaggi.

È anche necessario creare account di accesso di emergenza per evitare di essere bloccati accidentalmente da Azure AD.

È possibile proteggere ulteriormente gli account con privilegi con Azure AD Privileged Identity Management (PIM) per l'assegnazione just-in-time su richiesta dei ruoli di amministratore.

2. Configurare l'autenticazione a più fattori per gli account con privilegi di Microsoft 365 dedicati

L'autenticazione a più fattori (MFA) richiede informazioni aggiuntive oltre al nome e alla password dell'account. Microsoft 365 supporta questi metodi di verifica aggiuntivi:

  • L'app Microsoft Authenticator
  • Una telefonata
  • Codice di verifica generato in modo casuale inviato tramite un sms
  • Una smart card (virtuale o fisica) (richiede l'autenticazione federata)
  • Un dispositivo biometrico
  • Token Oauth

Nota

Per le organizzazioni che devono rispettare gli standard NIST (National Institute of Standards and Technology), l'uso di una chiamata telefonica o di metodi di verifica aggiuntivi basati su sms è limitato. Fare clic qui per i dettagli.

Se si è una piccola azienda che usa account utente archiviati solo nel cloud (il modello di identità solo cloud), configurare MFA per configurare L'autenticazione a più fattori usando una chiamata telefonica o un codice di verifica sms inviato a uno smart phone per ogni account con privilegi dedicati.

Se si è un'organizzazione più grande che usa un modello di identità ibrido di Microsoft 365, sono disponibili altre opzioni di verifica. Se l'infrastruttura di sicurezza è già disponibile per un metodo di autenticazione secondaria più efficace, configurare MFA e configurare ogni account con privilegi dedicati per il metodo di verifica appropriato.

Se l'infrastruttura di sicurezza per il metodo di verifica più efficace desiderato non è disponibile e funziona per Microsoft 365 MFA, è consigliabile configurare account con privilegi dedicati con MFA usando l'app Microsoft Authenticator, una telefonata o un codice di verifica sms inviato a uno smart phone per gli account con privilegi come misura di sicurezza provvisoria. Non lasciare gli account con privilegi dedicati senza la protezione aggiuntiva fornita da MFA.

Per altre informazioni, vedere MFA per Microsoft 365.

3. Proteggere gli account amministratore con Zero Trust consigli per l'identità e l'accesso ai dispositivi

Per garantire una forza lavoro sicura e produttiva, Microsoft offre un set di raccomandazioni per l'identità e l'accesso ai dispositivi. Per l'identità, usare le raccomandazioni e le impostazioni riportate in questi articoli:

Protezioni aggiuntive per le organizzazioni aziendali

Usare questi metodi aggiuntivi per garantire che l'account con privilegi e la configurazione eseguita con tale account siano il più sicuro possibile.

Workstation con accesso con privilegi

Per garantire che l'esecuzione di attività con privilegi elevati sia il più sicura possibile, usare una workstation con accesso con privilegi. Un paw è un computer dedicato che viene usato solo per attività di configurazione sensibili, ad esempio la configurazione di Microsoft 365 che richiede un account con privilegi. Poiché questo computer non viene usato quotidianamente per l'esplorazione o la posta elettronica in Internet, è meglio protetto da attacchi Internet e minacce.

Per istruzioni su come configurare una workstation PAW, vedere https://aka.ms/cyberpaw.

Per attivare Azure PIM per gli account tenant e amministratore Azure Active Directory, vedere la procedura per configurare PIM.

Per sviluppare una roadmap che protegga l'accesso con privilegi dagli attacchi informatici, vedere Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD.

Azure AD Privileged Identity Management

Anziché assegnare in modo permanente un ruolo di amministratore agli account con privilegi, è possibile usare Azure AD PIM per abilitare l'assegnazione just-in-time su richiesta del ruolo di amministratore quando necessario.

Gli account amministratore passano da amministratori permanenti a amministratori idonei. Il ruolo di amministratore è inattivo finché qualcuno non lo richiede. Si completa quindi un processo di attivazione per aggiungere il ruolo di amministratore all'account con privilegi per un periodo di tempo predeterminato. Quando l'ora scade, PIM rimuove il ruolo di amministratore dall'account con privilegi.

L'uso di PIM e di questo processo riduce significativamente la quantità di tempo in cui gli account con privilegi sono vulnerabili agli attacchi e all'uso da parte di utenti malintenzionati.

PIM è disponibile con Azure Active Directory Premium P2, incluso in Microsoft 365 E5. In alternativa, è possibile acquistare singole licenze di Azure Active Directory Premium P2 per gli account di amministratore.

Per altre informazioni, vedere:

Gestione accessi con privilegi

La gestione degli accessi con privilegi è abilitata mediante la configurazione di criteri che specificano l'accesso just-in-time per le operazioni basate sulle attività nel tenant. Può aumentare il livello di protezione dell'organizzazione da violazioni che possono usare gli account amministratore con privilegi esistenti con accesso permanente a dati sensibili o con accesso a impostazioni di configurazione cruciali. Ad esempio, è possibile configurare un criterio di gestione degli accessi con privilegi che richiede l'approvazione esplicita per accedere e modificare le impostazioni delle cassette postali dell'organizzazione nel tenant.

In questo passaggio si abiliterà la gestione degli accessi con privilegi nel tenant e si configureranno i criteri di accesso con privilegi che offrono sicurezza aggiuntiva per l'accesso basato su attività ai dati e alle impostazioni di configurazione per l'organizzazione. Sono disponibili tre passaggi di base per iniziare a usare l'accesso con privilegi nell'organizzazione:

  • Creazione di un gruppo responsabile dell'approvazione
  • Abilitazione dell’accesso con privilegi
  • Creazione di criteri per l'approvazione

La gestione degli accessi con privilegi consente all'organizzazione di operare senza privilegi permanenti e di fornire un livello di difesa contro le vulnerabilità derivanti da tale accesso amministrativo permanente. L'accesso con privilegi richiede approvazioni per l'esecuzione di qualsiasi attività con un criterio di approvazione associato definito. Gli utenti che devono eseguire le attività incluse nei criteri di approvazione devono richiedere e ottenere l'approvazione dell'accesso.

Per abilitare la gestione degli accessi con privilegi, vedere Configurare la gestione degli accessi con privilegi.

Per altre informazioni, vedere Privileged access management.For more information, see Privileged access management.

Software siem (Security Information and Event Management) per la registrazione di Microsoft 365

Il software SIEM eseguito in un server esegue l'analisi in tempo reale degli avvisi di sicurezza e degli eventi creati dalle applicazioni e dall'hardware di rete. Per consentire al server SIEM di includere avvisi ed eventi di sicurezza di Microsoft 365 nelle funzioni di analisi e creazione di report, integrare Azure AD nel seim. Vedere Introduzione alla Integrazione log di Azure.

Passaggio successivo

Proteggere gli account utente di Microsoft 365

Continuare con il passaggio 3 per proteggere gli account utente.