Azure Active Directory Identity ProtectionAzure Active Directory Identity Protection

Azure Active Directory Identity Protection è una funzionalità dell'edizione Azure AD Premium P2 che consente di:Azure Active Directory Identity Protection is a feature of the Azure AD Premium P2 edition that enables you to:

  • Rilevare le potenziali vulnerabilità per le identità dell'organizzazioneDetect potential vulnerabilities affecting your organization’s identities

  • Configurare risposte automatizzate alle azioni sospette rilevate correlate alle identità dell'organizzazioneConfigure automated responses to detected suspicious actions that are related to your organization’s identities

  • Esaminare gli eventi imprevisti sospetti ed eseguire l'azione appropriata per risolverliInvestigate suspicious incidents and take appropriate action to resolve them

introduttivaGetting started

Microsoft protegge le identità basate sul cloud da oltre un decennio.Microsoft has secured cloud-based identities for more than a decade. Con Azure Active Directory Identity Protection, è possibile usare nell'ambiente gli stessi sistemi di protezione usati da Microsoft per proteggere le identità.With Azure Active Directory Identity Protection, in your environment, you can use the same protection systems Microsoft uses to secure identities.

La maggior parte delle violazioni della sicurezza si verifica quando utenti malintenzionati ottengono l'accesso a un ambiente impadronendosi dell'identità di un utente.The vast majority of security breaches take place when attackers gain access to an environment by stealing a user’s identity. Nel corso degli anni, gli utenti malintenzionati hanno messo a punto tecniche sempre più efficaci per sfruttare le violazioni di terze parti e sferrare sofisticati attacchi di phishing.Over the years, attackers have become increasingly effective in leveraging third party breaches and using sophisticated phishing attacks. L'accesso a un account utente, anche quelli con privilegi limitati, permette agli utenti malintenzionati di accedere immediatamente a risorse aziendali importanti in modo relativamente semplice tramite il movimento laterale.As soon as an attacker gains access to even low privileged user accounts, it is relatively easy for them to gain access to important company resources through lateral movement.

Di conseguenza, è necessario:As a consequence of this, you need to:

  • Proteggere tutte le identità indipendentemente dal livello di privilegiProtect all identities regardless of their privilege level

  • Impedire in modo proattivo l'uso improprio delle identità compromesseProactively prevent compromised identities from being abused

Trovare le identità compromesse non è un compito facile.Discovering compromised identities is no easy task. Azure Active Directory usa l'euristica e gli algoritmi adattivi di apprendimento automatico per rilevare anomalie ed eventi imprevisti sospetti che indicano identità potenzialmente compromesse.Azure Active Directory uses adaptive machine learning algorithms and heuristics to detect anomalies and suspicious incidents that indicate potentially compromised identities. Sulla base di tali dati, Identity Protection genera report e avvisi che consentono di valutare i problemi rilevati e di adottare le azioni di correzione o mitigazione appropriate.Using this data, Identity Protection generates reports and alerts that enable you to evaluate the detected issues and take appropriate mitigation or remediation actions.

Azure Active Directory Identity Protection è ben più di un semplice strumento di monitoraggio e reporting.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Per proteggere le identità dell'organizzazione, è possibile configurare criteri basati sul rischio che rispondano automaticamente ai problemi rilevati quando viene raggiunto un livello di rischio specificato.To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Questi criteri, con altri controlli di accesso condizionale forniti da Azure Active Directory e da EMS, possono eseguire il blocco automatico o avviare azioni di correzione adattive, incluse la reimpostazione della password e l'applicazione dell'autenticazione a più fattori.These policies, in addition to other conditional access controls provided by Azure Active Directory and EMS, can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Funzionalità di Identity ProtectionIdentity Protection capabilities

Rilevamento di vulnerabilità e di account rischiosi:Detecting vulnerabilities and risky accounts:

  • Raccomandazioni personalizzate per migliorare il comportamento di sicurezza in generale evidenziando le vulnerabilità.Providing custom recommendations to improve overall security posture by highlighting vulnerabilities
  • Calcolo dei livelli di rischio di accesso.Calculating sign-in risk levels
  • Calcolo dei livelli di rischio utente.Calculating user risk levels

Analisi degli eventi di rischio:Investigating risk events:

  • Invio di notifiche per gli eventi di rischio.Sending notifications for risk events
  • Analisi degli eventi di rischio con informazioni rilevanti e contestuali.Investigating risk events using relevant and contextual information
  • Flussi di lavoro di base per tenere traccia delle analisi.Providing basic workflows to track investigations
  • Accesso semplificato ad azioni di correzione come la reimpostazione della password.Providing easy access to remediation actions such as password reset

Criteri di accesso condizionale basati sul rischio:Risk-based conditional access policies:

  • Criteri per mitigare gli accessi rischiosi con il blocco degli accessi o le richieste di autenticazione a più fattoriPolicy to mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges
  • Criteri per bloccare o proteggere gli account utente rischiosi.Policy to block or secure risky user accounts
  • Criteri per richiedere la registrazione degli utenti per l'autenticazione a più fattoriPolicy to require users to register for multi-factor authentication

Ruoli di Identity ProtectionIdentity Protection roles

Per bilanciare il carico delle attività di gestione per l'implementazione di Identity Protection, è possibile assegnare più ruoli.To load balance the management activities around your Identity Protection implementation, you can assign several roles. Azure AD Identity Protection supporta 3 ruoli di directory:Azure AD Identity Protection supports 3 directory roles:

RuoloRole Operazione consentitaCan do Operazione non consentitaCannot do
Amministratore globaleGlobal administrator Accesso completo a Identity Protection, implementazione di Identity ProtectionFull access to Identity Protection, Onboard Identity Protection
Amministratore della sicurezzaSecurity administrator Accesso completo a Identity ProtectionFull access to Identity Protection Implementazione di Identity Protection, reimpostazione delle password per un utenteOnboard Identity Protection, reset passwords for a user
Ruolo con autorizzazioni di lettura per la sicurezzaSecurity reader Accesso in sola lettura a Identity ProtectionRead-only access to Identity Protection Implementazione di Identity Protection, correzione degli utenti, configurazione dei criteri, reimpostazione delle passwordOnboard Identity Protection, remidiate users, configure policies, reset passwords

Per altri dettagli, vedere Assegnazione dei ruoli di amministratore in Azure Active DirectoryFor more details, see Assigning administrator roles in Azure Active Directory

RilevamentoDetection

VulnerabilitàVulnerabilities

Azure Active Directory Identity Protection analizza la configurazione e rileva le vulnerabilità che possono avere effetto sulle identità dell'utente.Azure Active Directory Identity Protection analyses your configuration and detects vulnerabilities that can have an impact on your user's identities. Per altri dettagli, vedere Vulnerabilità rilevate da Azure Active Directory Identity Protection.For more details, see Vulnerabilities detected by Azure Active Directory Identity Protection.

Eventi di rischioRisk events

Azure Active Directory usa l'euristica e algoritmi adattivi di apprendimento automatico per rilevare azioni sospette correlate alle identità dell'utente.Azure Active Directory uses adaptive machine learning algorithms and heuristics to detect suspicious actions that are related to your user's identities. Il sistema crea un record per ogni azione sospetta rilevata.The system creates a record for each detected suspicious action. Questi record sono denominati anche eventi di rischio.These records are also known as risk events.
Per altre informazioni, vedere Eventi di rischio di Azure Active Directory.For more details, see Azure Active Directory risk events.

AnalisiInvestigation

L'esperienza con Identity Protection inizia in genere dal relativo dashboard.Your journey through Identity Protection typically starts with the Identity Protection dashboard.

CorrezioneRemediation

Il dashboard consente di accedere a:The dashboard gives you access to:

  • Report, ad esempio Utenti contrassegnati per il rischio, Eventi di rischio e VulnerabilitàReports such as Users flagged for risk, Risk events and Vulnerabilities
  • Impostazioni come la configurazione dei criteri di sicurezza, delle notifiche e della registrazione per l'autenticazione a più fattoriSettings such as the configuration of your Security Policies, Notifications and multi-factor authentication registration

Si tratta in genere del punto di partenza dell'analisi, ovvero del processo di analisi di attività, log e altre informazioni rilevanti relative a un evento di rischio per decidere se sono necessarie procedure di correzione o mitigazione, se e come l'identità è stata compromessa e come è stata usata l'identità compromessa.It is typically your starting point for investigation, which is the process of reviewing the activities, logs, and other relevant information related to a risk event to decide whether remediation or mitigation steps are necessary, and how the identity was compromised, and understand how the compromised identity was used.

È possibile collegare le attività di analisi alle notifiche che Azure Active Directory Protection invia per posta elettronica.You can tie your investigation activities to the notifications Azure Active Directory Protection sends per email.

Le sezioni seguenti forniscono altre informazioni e i passaggi relativi a un'analisi.The following sections provide you with more details and the steps that are related to an investigation.

Accessi a rischioRisky sign-ins

Azure Active Directory rileva i tipi di eventi di rischio in tempo reale e offline.Azure Active Directory detects risk event types in real-time and offline. Ogni evento di rischio in tempo reale rilevato per un accesso di un utente rientra nel concetto logico degli accessi a rischio.Each risk event that has been detected for a sign-in of a user contributes to a logical concept called risky sign-in. Un accesso a rischio è indicativo di un tentativo di accesso che potrebbe non essere stato eseguito dal legittimo proprietario di un account utente.A risky sign-in is an indicator for a sign-in attempt that might not have been performed by the legitimate owner of a user account.

Livello di rischio di un accessoSign-in risk level

Il livello di rischio di un accesso è un'indicazione (Alto, Medio o Basso) della probabilità che un tentativo di accesso non sia stato eseguito dal legittimo proprietario di un account utente.A sign-in risk level is an indication (High, Medium, or Low) of the likelihood that a sign-in attempt was not performed by the legitimate owner of a user account.

Mitigazione degli eventi di rischio di accessoMitigating sign-in risk events

La mitigazione è un'azione che consente di limitare la possibilità che un utente malintenzionato sfrutti un'identità o un dispositivo compromesso senza ripristinare l'identità o il dispositivo a uno stato sicuro.A mitigation is an action to limit the ability of an attacker to exploit a compromised identity or device without restoring the identity or device to a safe state. La mitigazione non risolve gli eventi di rischio di accesso precedenti associati all'identità o al dispositivo.A mitigation does not resolve previous sign-in risk events associated with the identity or device.

Per attenuare automaticamente gli accessi a rischio, è possibile configurare criteri di rischio per gli accessi.To mitigate risky sign-ins automatically, you can configure sign-in risk security policicies. Usando questi criteri, si tiene conto del livello di rischio dell'utente o dell'accesso per bloccare gli accessi rischiosi o richiedere all'utente di eseguire l'autenticazione a più fattori.Using these policies, you consider the risk level of the user or the sign-in to block risky sign-ins or require the user to perform multi-factor authentication. Queste azioni possono impedire a un utente malintenzionato di sfruttare un'identità rubata per causare danni e permettono di guadagnare tempo per proteggere l'identità.These actions may prevent an attacker from exploiting a stolen identity to cause damage, and may give you some time to secure the identity.

Criteri di sicurezza per il rischio di accessoSign-in risk security policy

I criteri di rischio di accesso sono criteri di accesso condizionale che valutano il rischio associato a un accesso specifico e applicano le azioni di mitigazione in base a condizioni e regole predefinite.A sign-in risk policy is a conditional access policy that evaluates the risk to a specific sign-in and applies mitigations based on predefined conditions and rules.

Criteri di rischio di accessoSign-in risk policy

Azure AD Identity Protection consente di gestire le azioni di mitigazione degli accessi rischiosi seguendo questa procedura:Azure AD Identity Protection helps you manage the mitigation of risky sign-ins by enabling you to:

  • Impostare gli utenti e i gruppi a cui vengono applicati i criteri:Set the users and groups the policy applies to:

    Criteri di rischio di accessoSign-in risk policy

  • Impostare la soglia del livello di rischio di accesso, bassa, media o alta, che attiva il criterio:Set the sign-in risk level threshold (low, medium, or high) that triggers the policy:

    Criteri di rischio di accessoSign-in risk policy

  • Impostare i controlli da applicare quando viene attivato il criterio:Set the controls to be enforced when the policy triggers:

    Criteri di rischio di accessoSign-in risk policy

  • Cambiare lo stato dei criteri:Switch the state of your policy:

    Registrazione MFAMFA Registration

  • Esaminare e valutare l'impatto di una modifica prima di attivarla:Review and evaluate the impact of a change before activating it:

    Criteri di rischio di accessoSign-in risk policy

Informazioni importantiWhat you need to know

È possibile configurare un criterio di sicurezza per il rischio di accesso per richiedere l'autenticazione a più fattori:You can configure a sign-in risk security policy to require multi-factor authentication:

Criteri di rischio di accessoSign-in risk policy

Tuttavia, per motivi di sicurezza, questa impostazione funziona soltanto per gli utenti che sono già stati registrati per l'autenticazione a più fattori.However, for security reasons, this setting only works for users that have already been registered for multi-factor authentication. Se la condizione per richiedere l'autenticazione a più fattori risulta soddisfatta per un utente che non è ancora registrato per l'autenticazione a più fattori, tale utente viene bloccato.If the condition to require multi-factor authentication is satisfied for a user who is not yet registered for multi-factor authentication, the user is blocked.

Se si vuole richiedere l'autenticazione a più fattori per gli accessi rischiosi, è consigliabile procedere nel modo indicato di seguito:As a best practice, if you want to require multi-factor authentication for risky sign-ins, you should:

  1. Abilitare il criterio di registrazione per l'autenticazione a più fattori per gli utenti interessati.Enable the multi-factor authentication registration policy for the affected users.
  2. Richiedere agli utenti interessati di accedere in una sessione non rischiosa per eseguire la registrazione per l'autenticazione a più fattoriRequire the affected users to login in a non-risky session to perform a MFA registration

L'esecuzione di questa procedura assicura che, in caso di accesso rischioso, venga richiesta l'autenticazione a più fattori.Completing these steps ensures that multi-factor authentication is required for a risky sign-in.

Procedure consigliateBest practices

La scelta di una soglia alta riduce la frequenza di attivazione dei criteri e riduce al minimo l'impatto sugli utenti.Choosing a High threshold reduces the number of times a policy is triggered and minimizes the impact to users.

Tuttavia, esclude dai criteri gli accessi contrassegnati per il rischio con una soglia bassa o media. Questa scelta può non impedire a un utente malintenzionato di sfruttare un'identità compromessa.However, it excludes Low and Medium sign-ins flagged for risk from the policy, which may not block an attacker from exploiting a compromised identity.

Quando si impostano i criteri:When setting the policy,

  • Escludere gli utenti non hanno o non possono avere l'autenticazione a più fattoriExclude users who do not/cannot have multi-factor authentication
  • Escludere gli utenti con impostazioni locali in cui abilitare i criteri non è pratico, ad esempio per la mancanza di accesso al supporto tecnicoExclude users in locales where enabling the policy is not practical (for example no access to helpdesk)
  • Escludere gli utenti che possono generare molti falsi positivi, ad esempio sviluppatori o analisti della sicurezzaExclude users who are likely to generate a lot of false-positives (developers, security analysts)
  • Usare una soglia alta durante il rollout iniziale dei criteri o se è necessario ridurre al minimo gli avvisi visualizzati dagli utenti finali.Use a High threshold during initial policy roll out, or if you must minimize challenges seen by end users.
  • Usare una soglia bassa se l'organizzazione richiede una maggiore sicurezza.Use a Low threshold if your organization requires greater security. La scelta di una soglia bassa introduce richieste di accesso aggiuntive per l'utente, ma garantisce una maggiore sicurezza.Selecting a Low threshold introduces additional user sign-in challenges, but increased security.

L'impostazione predefinita consigliata per la maggior parte delle organizzazioni è la configurazione di una regola per una soglia media , che permette di bilanciare usabilità e sicurezza.The recommended default for most organizations is to configure a rule for a Medium threshold to strike a balance between usability and security.

I criteri di rischio di accesso:The sign-in risk policy is:

  • Vengono applicati a tutto il traffico tramite browser e agli accessi che usano l'autenticazione moderna.Applied to all browser traffic and sign-ins using modern authentication.
  • Non vengono applicati alle applicazioni che usano protocolli di sicurezza meno recenti disabilitando l'endpoint WS-Trust in corrispondenza dell'IDP federato, ad esempio ADFS.Not applied to applications using older security protocols by disabling the WS-Trust endpoint at the federated IDP, such as ADFS.

La pagina Eventi di rischio nella console di Identity Protection contiene un elenco di tutti gli eventi:The Risk Events page in the Identity Protection console lists all events:

  • Visualizzare a quali eventi sono stati applicati i criteriThis policy was applied to
  • Esaminare l'attività e determinare se l'azione è stata appropriata o menoYou can review the activity and determine whether the action was appropriate or not

Per una panoramica dell'esperienza utente correlata, vedere:For an overview of the related user experience, see:

Per aprire la relativa finestra di dialogo di configurazione:To open the related configuration dialog:

  • Nel pannello Azure AD Identity Protection fare clic su Criteri di rischio di accesso nella sezione Configura.On the Azure AD Identity Protection blade, in the Configure section, click Sign-in risk policy.

    Criteri di rischio utenteUser ridk policy

Utenti contrassegnati per il rischioUsers flagged for risk

Tutti gli eventi di rischio attivi rilevati da Azure Active Directory per un utente rientrano nel concetto logico del rischio utente.All active risk events that were detected by Azure Active Directory for a user contribute to a logical concept called user risk. Un utente contrassegnato per il rischio è indicativo di un account utente che potrebbe essere stato compromesso.A user flagged for risk is an indicator for a user account that might have been compromised.

Utenti contrassegnati per il rischio

Livello di rischio utenteUser risk level

Il livello di rischio utente può essere Alto, Medio o Basso e indica la probabilità che l'identità dell'utente sia stata compromessa.A user risk level is an indication (High, Medium, or Low) of the likelihood that the user’s identity has been compromised. Viene calcolato in base agli eventi di rischio utente associati all'identità di un utente.It is calculated based on the user risk events that are associated with a user's identity.

Lo stato di un evento di rischio può essere attivo o chiuso.The status of a risk event is either Active or Closed. Solo gli eventi di rischio attivi vengono conteggiati nel calcolo del livello di rischio utente.Only risk events that are Active contribute to the user risk level calculation.

Il livello di rischio utente viene calcolato usando le informazioni seguenti:The user risk level is calculated using the following inputs:

  • Eventi di rischio attivi che interessano l'utente.Active risk events impacting the user
  • Livello di rischio di tali eventi.Risk level of these events
  • Eventuali azioni di correzione intraprese o meno.Whether any remediation actions have been taken

Rischi utenteUser risks

È possibile usare i livelli di rischio utente per creare criteri di accesso condizionale che bloccano l'accesso degli utenti a rischio o per fare in modo che modifichino la password in modo sicuro.You can use the user risk levels to create conditional access policies that block risky users from signing in, or force them to securely change their password.

Chiusura manuale degli eventi di rischioClosing risk events manually

Nella maggior parte dei casi, per chiudere automaticamente gli eventi di rischio si procede con azioni di correzione come la reimpostazione della password di protezione.In most cases, you will take remediation actions such as a secure password reset to automatically close risk events. Tuttavia, questo potrebbe non essere sempre possibile.However, this might not always be possible.
Ad esempio quando:This is, for example, the case, when:

  • Un utente con eventi di rischio attivi è stato eliminatoA user with Active risk events has been deleted
  • Un'analisi rivela che un evento di rischio segnalato è stato eseguito dall'utente legittimoAn investigation reveals that a reported risk event has been perform by the legitimate user

Dal momento che gli eventi di rischio attivi vengono conteggiati nel calcolo del rischio utente, potrebbe essere necessario ridurre il livello di rischio chiudendo manualmente gli eventi di rischio.Because risk events that are Active contribute to the user risk calculation, you may have to manually lower a risk level by closing risk events manually.
Nel corso dell'analisi è possibile eseguire una qualsiasi di queste azioni per modificare lo stato di un evento di rischio:During the course of investigation, you can choose to take any of these actions to change the status of a risk event:

AzioniActions

  • Risolvi : se è stata eseguita l'azione di correzione appropriata all'esterno di Identity Protection dopo l'analisi di un evento di rischio e si ritiene che l'evento sia da considerare chiuso, contrassegnarlo come risolto.Resolve - If after investigating a risk event, you took an appropriate remediation action outside Identity Protection, and you believe that the risk event should be considered closed, mark the event as Resolved. Gli eventi risolti impostano lo stato dell'evento di rischio come chiuso e l'evento di rischio non viene più conteggiato nel rischio utente.Resolved events will set the risk event’s status to Closed and the risk event will no longer contribute to user risk.
  • Contrassegna come falso positivo : in alcuni casi è possibile analizzare un evento di rischio e scoprire che è stato erroneamente contrassegnato come rischioso.Mark as false-positive - In some cases, you may investigate a risk event and discover that it was incorrectly flagged as a risky. È possibile ridurre il numero di tali occorrenze contrassegnando l'evento di rischio come falso positivo.You can help reduce the number of such occurrences by marking the risk event as False-positive. Questo permetterà agli algoritmi di Machine Learning di migliorare la classificazione di eventi simili in futuro.This will help the machine learning algorithms to improve the classification of similar events in the future. Lo stato dell'evento falso positivo viene impostato come chiuso e non viene più conteggiato nel rischio utente.The status of false-positive events is to Closed and they will no longer contribute to user risk.
  • Ignora : se non sono state intraprese azioni di correzione, ma si vuole rimuovere l'evento di rischio dall'elenco attivo, è possibile contrassegnarlo come da ignorare e il relativo stato verrà impostato come chiuso.Ignore - If you have not taken any remediation action, but want the risk event to be removed from the active list, you can mark a risk event Ignore and the event status will be Closed. Gli eventi ignorati non vengono conteggiati nel rischio utente.Ignored events do not contribute to user risk. Questa opzione deve essere usata solo in circostanze particolari.This option should only be used under unusual circumstances.
  • Riattiva: gli eventi di rischio che sono stati chiusi manualmente mediante Risolvi, Contrassegna come falso positivo o Ignora, possono essere riattivati impostando nuovamente lo stato dell'evento su Attivo.Reactivate - Risk events that were manually closed (by choosing Resolve, False positive, or Ignore) can be reactivated, setting the event status back to Active. Gli eventi di rischio riattivati vengono conteggiati nel calcolo del livello di rischio utente.Reactivated risk events contribute to the user risk level calculation. Gli eventi di rischio chiusi tramite correzione, ad esempio la reimpostazione della password di protezione, non possono essere riattivati.Risk events closed through remediation (such as a secure password reset) cannot be reactivated.

Per aprire la relativa finestra di dialogo di configurazione:To open the related configuration dialog:

  1. Nel pannello Azure AD Identity Protection fare clic su Eventi di rischio in Ricerca causa.On the Azure AD Identity Protection blade, under Investigate, click Risk events.

    Reimpostazione manuale della passwordManual password reset

  2. Nell'elenco Eventi di rischio fare clic su un rischio.In the Risk events list, click a risk.

    Reimpostazione manuale della passwordManual password reset

  3. Nel pannello dei rischi fare clic con il pulsante destro del mouse su un utente.On the risk blade, right-click a user.

    Reimpostazione manuale della passwordManual password reset

Chiusura manuale di tutti gli eventi di rischio per un utenteClosing all risk events for a user manually

Invece di chiudere manualmente i singoli eventi di rischio per un utente, Azure Active Directory Identity Protection offre anche un metodo per chiudere tutti gli eventi per un utente con un solo clic.Instead of manually closing risk events for a user individually, Azure Active Directory Identity Protection also provides you with a method to close all events for a user with one click.

AzioniActions

Quando si fa clic su Dismiss all events(Ignora tutti gli eventi), tutti gli eventi vengono chiusi e l'utente interessato non è più a rischio.When you click Dismiss all events, all events are closed and the affected user is no longer at risk.

Correzione di eventi di rischio utenteRemediating user risk events

Una correzione è un'azione che consente di proteggere un'identità o un dispositivo che in precedenza è stato sospettato o ritenuto essere compromesso.A remediation is an action to secure an identity or a device that was previously suspected or known to be compromised. Un'azione di correzione ripristina l'identità o il dispositivo a uno stato sicuro e risolve gli eventi di rischio precedenti associati all'identità o al dispositivo.A remediation action restores the identity or device to a safe state, and resolves previous risk events associated with the identity or device.

Per correggere gli eventi di rischio utente, è possibile:To remediate user risk events, you can:

  • Eseguire una reimpostazione della password di protezione per correggere manualmente gli eventi di rischio utentePerform a secure password reset to remediate user risk events manually
  • Configurare criteri di sicurezza per il rischio utente per mitigare o correggere automaticamente gli eventi di rischio utenteConfigure a user risk security policy to mitigate or remediate user risk events automatically
  • Ricreare l'immagine del dispositivo infettoRe-image the infected device

Reimpostazione manuale della password di protezioneManual secure password reset

La reimpostazione della password di protezione un'azione di correzione efficace per molti eventi di rischio. Quando viene eseguita, permette di chiudere automaticamente gli eventi di rischio e ricalcolare il livello di rischio utente.A secure password reset is an effective remediation for many risk events, and when performed, automatically closes these risk events and recalculates the user risk level. È possibile usare il dashboard di Identity Protection per avviare una reimpostazione della password per un utente rischioso.You can use the Identity Protection dashboard to initiate a password reset for a risky user.

La finestra di dialogo correlata fornisce due metodi diversi per reimpostare una password:The related dialog provides two different methods to reset a password:

Reimposta password: selezionare Richiedi all'utente di reimpostare la password per consentirgli di eseguire il ripristino automatico se è registrato per l'autenticazione a più fattori.Reset password - Select Require the user to reset their password to allow the user to self-recover if the user has registered for multi-factor authentication. Durante l'accesso successivo all'utente verrà richiesto di risolvere correttamente una richiesta di autenticazione a più fattori e quindi di modificare la password.During the user's next sign-in, the user will be required to solve a multi-factor authentication challenge successfully and then, forced to change the password. Questa opzione non è disponibile se l'account utente non è già registrato per l'autenticazione a più fattori.This option isn't available if the user account is not already registered multi-factor authentication.

Password provvisoria: selezionare Genera una password provvisoria per annullare immediatamente la password esistente e creare una nuova password provvisoria per l'utente.Temporary password - Select Generate a temporary password to immediately invalidate the existing password, and create a new temporary password for the user. Inviare la nuova password provvisoria a un indirizzo di posta elettronica alternativo dell'utente o al responsabile dell'utente.Send the new temporary password to an alternate email address for the user or to the user's manager. La password è provvisoria, quindi verrà richiesto all'utente di modificarla al momento dell'accesso.Because the password is temporary, the user will be prompted to change the password upon sign-in.

CriteriPolicy

Per aprire la relativa finestra di dialogo di configurazione:To open the related configuration dialog:

  1. Nel pannello Azure AD Identity Protection fare clic su Utenti contrassegnati per il rischio.On the Azure AD Identity Protection blade, click Users flagged for risk.

    Reimpostazione manuale della passwordManual password reset

  2. Dall'elenco di utenti selezionare un utente con almeno un evento di rischio.From the list of users, select a user with at least one risk events.

    Reimpostazione manuale della passwordManual password reset

  3. Nel pannello dell'utente fare clic su Reimposta password.On the user blade, click Reset password.

    Reimpostazione manuale della passwordManual password reset

Criteri di sicurezza per il rischio utenteUser risk security policy

I criteri di sicurezza per il rischio utente sono criteri di accesso condizionale che valutano il livello di rischio per un utente specifico e applicano azioni di correzione e mitigazione dei rischi in base a regole e condizioni predefinite.A user risk security policy is a conditional access policy that evaluates the risk level to a specific user and applies remediation and mitigation actions based on predefined conditions and rules.

Criteri di rischio utenteUser ridk policy

Azure AD Identity Protection consente di gestire le azioni di mitigazione e correzione per gli utenti contrassegnati per il rischio seguendo questa procedura:Azure AD Identity Protection helps you manage the mitigation and remediation of users flagged for risk by enabling you to:

  • Impostare gli utenti e i gruppi a cui vengono applicati i criteri:Set the users and groups the policy applies to:

    Criteri di rischio utenteUser ridk policy

  • Impostare la soglia del livello di rischio utente, bassa, media o alta, che attiva il criterio:Set the user risk level threshold (low, medium, or high) that triggers the policy:

    Criteri di rischio utenteUser ridk policy

  • Impostare i controlli da applicare quando viene attivato il criterio:Set the controls to be enforced when the policy triggers:

    Criteri di rischio utenteUser ridk policy

  • Cambiare lo stato dei criteri:Switch the state of your policy:

    Criteri di rischio utenteUser ridk policy

  • Esaminare e valutare l'impatto di una modifica prima di attivarla:Review and evaluate the impact of a change before activating it:

    Criteri di rischio utenteUser ridk policy

La scelta di una soglia alta riduce la frequenza di attivazione dei criteri e riduce al minimo l'impatto sugli utenti.Choosing a High threshold reduces the number of times a policy is triggered and minimizes the impact to users. Esclude tuttavia dai criteri gli utenti contrassegnati per il rischio con una soglia bassa o media. Questa scelta può non garantire la protezione delle identità o dei dispositivi in precedenza sospettati di essere compromessi o noti come compromessi.However, it excludes Low and Medium users flagged for risk from the policy, which may not secure identities or devices that were previously suspected or known to be compromised.

Quando si impostano i criteri:When setting the policy,

  • Escludere gli utenti che possono generare molti falsi positivi, ad esempio sviluppatori o analisti della sicurezzaExclude users who are likely to generate a lot of false-positives (developers, security analysts)
  • Escludere gli utenti con impostazioni locali in cui abilitare i criteri non è pratico, ad esempio per la mancanza di accesso al supporto tecnicoExclude users in locales where enabling the policy is not practical (for example no access to helpdesk)
  • Usare una soglia alta durante il rollout iniziale dei criteri o se è necessario ridurre al minimo gli avvisi visualizzati dagli utenti finali.Use a High threshold during initial policy roll out, or if you must minimize challenges seen by end users.
  • Usare una soglia bassa se l'organizzazione richiede una maggiore sicurezza.Use a Low threshold if your organization requires greater security. La scelta di una soglia bassa introduce richieste di accesso aggiuntive per l'utente, ma garantisce una maggiore sicurezza.Selecting a Low threshold introduces additional user sign-in challenges, but increased security.

L'impostazione predefinita consigliata per la maggior parte delle organizzazioni è la configurazione di una regola per una soglia media , che permette di bilanciare usabilità e sicurezza.The recommended default for most organizations is to configure a rule for a Medium threshold to strike a balance between usability and security.

Per una panoramica dell'esperienza utente correlata, vedere:For an overview of the related user experience, see:

Per aprire la relativa finestra di dialogo di configurazione:To open the related configuration dialog:

  • Nel pannello Azure AD Identity Protection fare clic su Criteri di rischio utente nella sezione Configura.On the Azure AD Identity Protection blade, in the Configure section, click User risk policy.

    Criteri di rischio utenteUser ridk policy

Mitigazione di eventi di rischio utenteMitigating user risk events

Gli amministratori possono impostare criteri di sicurezza per il rischio utente per bloccare gli utenti al momento dell'accesso in base al livello di rischio.Administrators can set a user risk security policy to block users upon sign-in depending on the risk level.

Il blocco dell'accesso:Blocking a sign-in:

  • Impedisce la generazione di nuovi eventi di rischio utente per l'utente interessatoPrevents the generation of new user risk events for the affected user
  • Consente agli amministratori di correggere manualmente gli eventi di rischio che interessano l'identità dell'utente e di ripristinarne lo stato protettoEnables administrators to manually remediate the risk events affecting the user's identity and restore it to a secure state

Criteri di registrazione per l'autenticazione a più fattoriMulti-factor authentication registration policy

Azure Multi-Factor Authentication è un metodo di verifica dell'identità dell'utente che richiede l'uso di più fattori, oltre a un nome utente e una password.Azure multi-factor authentication is a method of verifying who you are that requires the use of more than just a username and password. Fornisce un secondo livello di sicurezza agli accessi e alle transazioni degli utenti.It provides a second layer of security to user sign-ins and transactions.
È consigliabile richiedere l'autenticazione a più fattori per l'accesso degli utenti perché:We recommend that you require Azure multi-factor authentication for user sign-ins because it:

  • Offre un'autenticazione avanzata con una gamma di opzioni di verifica sempliciDelivers strong authentication with a range of easy verification options
  • Svolge un ruolo chiave nella preparazione dell'organizzazione per le operazioni di protezione e ripristino in caso di compromissione degli accountPlays a key role in preparing your organization to protect and recover from account compromises

Criteri di rischio utenteUser ridk policy

Per altre informazioni, vedere la pagina relativa ad Informazioni su Azure Multi-Factor AuthenticationFor more details, see What is Azure Multi-Factor Authentication?

Azure AD Identity Protection permette di gestire il rollout della registrazione per l'autenticazione a più fattori con la configurazione di criteri che consentono di:Azure AD Identity Protection helps you manage the roll-out of multi-factor authentication registration by configuring a policy that enables you to:

  • Impostare gli utenti e i gruppi a cui vengono applicati i criteri:Set the users and groups the policy applies to:

    Criteri MFAMFA policy

  • Impostare i controlli da applicare quando viene attivato il criterio:Set the controls to be enforced when the policy triggers::

    Criteri MFAMFA policy

  • Cambiare lo stato dei criteri:Switch the state of your policy:

    Criteri MFAMFA policy

  • Visualizzare lo stato di registrazione corrente:View the current registration status:

    Criteri MFAMFA policy

Per una panoramica dell'esperienza utente correlata, vedere:For an overview of the related user experience, see:

Per aprire la relativa finestra di dialogo di configurazione:To open the related configuration dialog:

  • Nel pannello Azure AD Identity Protection fare clic su Criteri di registrazione per l'autenticazione a più fattori nella sezione Configura.On the Azure AD Identity Protection blade, in the Configure section, click Multi-factor authentication registration.

    Criteri MFAMFA policy

Passaggi successiviNext steps