Studio sulla protezione delle identità di Azure Active DirectoryAzure Active Directory Identity Protection playbook

Questo studio consente di:This playbook helps you to:

  • Inserire i dati nell'ambiente Identity Protection simulando eventi di rischio e vulnerabilitàPopulate data in the Identity Protection environment by simulating risk events and vulnerabilities
  • Impostare criteri di accesso condizionali basati sui rischi e testare l'impatto di questi criteriSet up risk-based conditional access policies and test the impact of these policies

Simulazione di eventi di rischioSimulating Risk Events

Questa sezione riporta i passaggi per la simulazione dei seguenti tipi di eventi di rischio:This section provides you with steps for simulating the following risk event types:

  • Accessi da indirizzi IP anonimi (facile)Sign-ins from anonymous IP addresses (easy)
  • Accessi da posizioni non note (intermedio)Sign-ins from unfamiliar locations (moderate)
  • Trasferimento impossibile a posizioni atipiche (difficile)Impossible travel to atypical locations (difficult)

Non è possibile simulare altri eventi di rischio in modo sicuro.Other risk events cannot be simulated in a secure manner.

Accessi da indirizzi IP anonimiSign-ins from anonymous IP addresses

Per altre informazioni su questo evento di rischio, vedere Accessi da indirizzi IP anonimi.For more information about this risk event, see Sign-ins from anonymous IP addresses.

Per completare la procedura seguente, sono necessari:Completing the following procedure requires you to use:

  • Tor Browser per simulare indirizzi IP anonimi.The Tor Browser to simulate anonymous IP addresses. Potrebbe essere necessario usare una macchina virtuale, se l'organizzazione limita l'uso di Tor Browser.You might need to use a virtual machine if your organization restricts using the Tor browser.
  • Un account di test che non è stato ancora registrato per l'autenticazione a più fattori.A test account that is not yet registered for multi-factor authentication.

Per simulare un accesso da un IP anonimo, seguire questa procedura:To simulate a sign-in from an anonymous IP, perform the following steps:

  1. Usando Tor Browser, passare a https://myapps.microsoft.com.Using the Tor Browser, navigate to https://myapps.microsoft.com.
  2. Immettere le credenziali dell'account da visualizzare nel report Accessi da indirizzi IP anonimi .Enter the credentials of the account you want to appear in the Sign-ins from anonymous IP addresses report.

L'accesso viene visualizzato nel dashboard Identity Protection entro 10-15 minuti.The sign-in shows up on the Identity Protection dashboard within 10 - 15 minutes.

Accessi da posizioni non noteSign-ins from unfamiliar locations

Per altre informazioni su questo evento di rischio, vedere Accessi da posizioni non note.For more information about this risk event, see Sign-ins from unfamiliar locations.

Per simulare posizioni non note, è necessario accedere da una posizione e da un dispositivo mai usati prima con l'account di test.To simulate unfamiliar locations, you have to sign in from a location and device your test account has not signed in from before.

Con la procedura seguente si usano gli elementi seguenti, appena creati:The procedure below uses a newly created:

  • Connessione VPN, per simulare la nuova posizione.VPN connection, to simulate new location.

  • Macchina virtuale, per simulare un nuovo dispositivo.Virtual machine, to simulate a new device.

Per completare la procedura seguente, è necessario usare un account utente con:Completing the following procedure requires you to use a user account that has:

  • Una cronologia di accesso di almeno 30 giorni.At least a 30-day sign-in history.
  • Autenticazione a più fattori abilitata.Multi-factor authentication enabled.

Per simulare un accesso da una posizione non nota, seguire questa procedura:To simulate a sign-in from an unfamiliar location, perform the following steps:

  1. Quando si accede con l'account di test, fare in modo che la richiesta di verifica dell'autenticazione a più fattori non riesca.When signing in with your test account, fail the MFA challenge by not passing the MFA challenge.
  2. Usando la nuova rete VPN, passare a https://myapps.microsoft.com e immettere le credenziali dell'account di test.Using your new VPN, navigate to https://myapps.microsoft.com and enter the credentials of your test account.

L'accesso viene visualizzato nel dashboard Identity Protection entro 10-15 minuti.The sign-in shows up on the Identity Protection dashboard within 10 - 15 minutes.

Trasferimento impossibile a posizioni atipicheImpossible travel to atypical location

Per altre informazioni su questo evento di rischio, vedere Trasferimento impossibile a posizioni atipiche.For more information about this risk event, see Impossible travel to atypical location.

La condizione di trasferimento impossibile è difficile da simulare perché l'algoritmo usa Machine Learning per eliminare i falsi positivi, ad esempio il trasferimento impossibile da dispositivi noti o l'accesso da VPN usate da altri utenti nella directory.Simulating the impossible travel condition is difficult because the algorithm uses machine learning to weed out false-positives such as impossible travel from familiar devices, or sign-ins from VPNs that are used by other users in the directory. Per iniziare a generare eventi di rischio, l'algoritmo richiede anche una cronologia di accesso di 14 giorni e 10 accessi per l'utente.Additionally, the algorithm requires a sign-in history of 14 days and 10 logins of the user before it begins generating risk events. A causa dei complessi modelli di Machine Learning coinvolti e delle regole sopra descritte, è possibile che con la procedura seguente non venga rilevato alcun evento di rischio.Because of the complex machine learning models and above rules, there is a chance that the following steps will not lead to a risk event. Per pubblicare questo evento di rischio, è consigliabile replicare la procedura per più account Azure AD.You might want to replicate these steps for multiple Azure AD accounts to publish this risk event.

Per simulare un trasferimento impossibile a posizioni atipiche, seguire questa procedura:To simulate an impossible travel to atypical location, perform the following steps:

  1. Usando il browser standard, passare a https://myapps.microsoft.com.Using your standard browser, navigate to https://myapps.microsoft.com.
  2. Immettere le credenziali dell'account per cui si vuole generare un evento di rischio trasferimento impossibile.Enter the credentials of the account you want to generate an impossible travel risk event for.
  3. Modificare l'agente utente.Change your user agent. Per modificare l'agente utente in Internet Explorer, usare Strumenti di sviluppo. Per modificare l'agente utente in Firefox o Chrome, usare un componente aggiuntivo di selezione dell'agente utente.You can change user agent in Internet Explorer from Developer Tools, or change your user agent in Firefox or Chrome using a user-agent switcher add-on.
  4. Modificare l'indirizzo IP.Change your IP address. È possibile modificare l'indirizzo IP usando una VPN, un componente aggiuntivo Tor o avviare un nuovo computer in Azure in un altro data center.You can change your IP address by using a VPN, a Tor add-on, or spinning up a new machine in Azure in a different data center.
  5. Accedere a https://myapps.microsoft.com con le stesse credenziali usate in precedenza ed entro pochi minuti dall'accesso precedente.Sign-in to https://myapps.microsoft.com using the same credentials as before and within a few minutes after the previous sign-in.

L'accesso viene visualizzato nel dashboard Identity Protection entro 2-4 ore.The sign-in shows up in the Identity Protection dashboard within 2-4 hours.

Simulazione di vulnerabilitàSimulating vulnerabilities

Le vulnerabilità sono punti deboli in un ambiente Azure AD che possono essere sfruttati da un utente malintenzionato.Vulnerabilities are weaknesses in an Azure AD environment that can be exploited by a bad actor. In Azure AD Identity Protection sono attualmente visibili 3 tipi di vulnerabilità che consentono di sfruttare altre funzionalità di Azure AD.Currently 3 types of vulnerabilities are surfaced in Azure AD Identity Protection that leverage other features of Azure AD. Tali vulnerabilità verranno visualizzate automaticamente nel dashboard Identity Protection dopo aver impostato le funzionalità seguenti.These Vulnerabilities will be displayed on the Identity Protection dashboard automatically once these features are set up.

Test dei criteri di sicurezzaTesting security policies

Questa sezione illustra i passaggi per testare i criteri di sicurezza per il rischio utente e il rischio di accesso.This section provides you with steps for testing the user risk and the sign-in risk security policy.

Criteri di sicurezza per il rischio utenteUser risk security policy

Per altre informazioni, vedere Criteri di sicurezza per il rischio utente.For more information, see User risk security policy.

Rischio utenteUser risk

Per testare i criteri di sicurezza per il rischio utente, seguire questa procedura:To test a user risk security policy, perform the following steps:

  1. Accedere a https://portal.azure.com con credenziali di amministratore globale per il tenant.Sign-in to https://portal.azure.com with global administrator credentials for your tenant.
  2. Passare a Identity Protection.Navigate to Identity Protection.
  3. Nella pagina Azure AD Identity Protection fare clic su Criteri di rischio utente.On the Azure AD Identity Protection page, click User risk policy.
  4. Nella sezione Assegnazioni selezionare gli utenti (e i gruppi) desiderati e il livello di rischio utente.In the Assignments section, select the desired users (and groups) and user risk level.

    Rischio utenteUser risk

  5. Nella sezione Controlli selezionare il controllo di accesso desiderato, ad esempio Richiedi modifica password.In the Controls section, select the desired Access control (e.g. Require password change).

  6. Come valore di Imponi criteri, selezionare Disattivato.As Enforce Policy, select Off.
  7. Alzare di livello il rischio di utente di un account di test, ad esempio, simulando alcune volte uno degli eventi di rischio.Elevate the user risk of a test account by, for example, simulating one of the risk events a few times.
  8. Attendere alcuni minuti e poi verificare che il livello utente sia Medio.Wait a few minutes, and then verify that user level for your user is Medium. Se non lo è, simulare altri eventi di rischio per l'utente.If not, simulate more risk events for the user.
  9. Come valore di Imponi criteri, selezionare Attivato.As Enforce Policy, select On.
  10. A questo punto è possibile testare l'accesso condizionale basato sul rischio utente eseguendo l'accesso come un utente con un livello di rischio elevato.You can now test user risk-based conditional access by signing in using a user with an elevated risk level.

Criteri di sicurezza per il rischio di accessoSign-in risk security policy

Per altre informazioni, vedere Criteri di sicurezza per il rischio utente.For more information, see User risk security policy.

Rischio di accessoSign-in risk

Per testare i criteri di rischio di accesso, seguire questa procedura:To test a sign in risk policy, perform the following steps:

  1. Accedere a https://portal.azure.com con credenziali di amministratore globale per il tenant.Sign-in to https://portal.azure.com with global administrator credentials for your tenant.

  2. Passare ad Azure AD Identity Protection.Navigate to Azure AD Identity Protection.

  3. Nella pagina principale di Azure AD Identity Protection fare clic su Criteri di rischio di accesso.On the main Azure AD Identity Protection page, click Sign-in risk policy.

  4. Nella sezione Assegnazioni selezionare gli utenti (e i gruppi) desiderati e il livello di rischio di accesso.In the Assignments section, select the desired users (and groups) and sign-in risk level.

    Rischio di accessoSign-in risk

  5. Nella sezione Controlli selezionare il controllo di accesso desiderato, ad esempio Richiedi autenticazione a più fattori.In the Controls section, select the desired Access control (for example, Require multi-factor authentication).

  6. Come valore di Imponi criteri, selezionare Attivato.As Enforce Policy, select On.

  7. Fare clic su Save.Click Save.

  8. A questo punto è possibile testare l'accesso condizionale basato sul rischio di accesso eseguendo l'accesso con una sessione a rischio, ad esempio Tor Browser.You can now test Sign-in Risk-based conditional access by signing in using a risky session (for example, by using the Tor browser).

Vedere anche See also