Impostazioni predefinite per la sicurezza in Azure AD

Microsoft rende disponibili le impostazioni predefinite per la sicurezza per tutti, perché la gestione della sicurezza può essere difficile. Gli attacchi correlati all'identità come password spray, riproduzione e phishing sono comuni nell'ambiente attuale. Più del 99,9% di questi attacchi correlati all'identità vengono arrestati usando l'autenticazione a più fattori (MFA) e bloccando l'autenticazione legacy. L'obiettivo è garantire che tutte le organizzazioni abbiano almeno un livello di sicurezza di base abilitato senza costi aggiuntivi.

Le impostazioni predefinite per la sicurezza semplificano la protezione dell'organizzazione da questi attacchi correlati all'identità con impostazioni di sicurezza preconfigurate:

A chi sono destinate le impostazioni predefinite per la sicurezza?

  • Organizzazioni che vogliono aumentare il proprio comportamento di sicurezza, ma non sanno come o dove iniziare.
  • Organizzazioni che usano il livello gratuito di licenza Azure Active Directory.

A chi è rivolto l'accesso condizionale?

  • Se si è un'organizzazione che usa i criteri di accesso condizionale, le impostazioni predefinite per la sicurezza probabilmente non sono appropriate.
  • Se si è un'organizzazione con licenze di Azure Active Directory Premium, le impostazioni predefinite per la sicurezza probabilmente non sono appropriate per l'utente.
  • Se l'organizzazione ha requisiti di sicurezza complessi, è consigliabile prendere in considerazione l'accesso condizionale.

Abilitazione delle impostazioni predefinite per la sicurezza

Se il tenant è stato creato il 22 ottobre 2019, le impostazioni predefinite per la sicurezza potrebbero essere abilitate nel tenant. Per proteggere tutti gli utenti, le impostazioni predefinite per la sicurezza vengono implementate in tutti i nuovi tenant al momento della creazione.

Per abilitare le impostazioni predefinite per la sicurezza nella directory:

  1. Accedere al portale di Azure come amministratore della sicurezza, amministratore dell'accesso condizionale o amministratore globale.
  2. Passare a Azure Active Directory>Proprietà.
  3. Selezionare Gestisci le impostazioni predefinite per la sicurezza.
  4. Impostare Abilita le impostazioni predefinite per la sicurezza su .
  5. Selezionare Salva.

Screenshot of the Azure portal with the toggle to enable security defaults

Criteri di sicurezza applicati

Richiedere a tutti gli utenti di registrarsi per Azure AD Multi-Factor Authentication

Tutti gli utenti del tenant devono registrarsi per l'autenticazione a più fattori (MFA) sotto forma di Azure AD Multi-Factor Authentication. Gli utenti hanno 14 giorni per eseguire la registrazione per Azure AD Multifactor Authentication usando l'app Microsoft Authenticator. Dopo aver superato i 14 giorni, l'utente non può accedere fino al completamento della registrazione. Il periodo di 14 giorni di un utente inizia dopo il primo accesso interattivo completato dopo l'abilitazione delle impostazioni predefinite per la sicurezza.

Richiedere agli amministratori di eseguire l'autenticazione a più fattori

Gli amministratori hanno aumentato l'accesso all'ambiente. A causa del potere di questi account con privilegi elevati, è consigliabile trattarli con particolare attenzione. Un metodo comune per migliorare la protezione degli account con privilegi consiste nel richiedere una forma di verifica degli account più avanzata per l'accesso. In Azure AD è possibile richiedere l'autenticazione a più fattori per ottenere una verifica degli account più avanzata.

Suggerimento

È consigliabile disporre di account separati per le attività di amministrazione e produttività standard per ridurre significativamente il numero di richieste di autenticazione a più fattori da parte degli amministratori.

Al termine della registrazione con Azure AD Multi-Factor Authentication, saranno necessari i ruoli di amministratore Azure AD seguenti per eseguire l'autenticazione aggiuntiva ogni volta che accedono:

  • Amministratore globale
  • Amministratore di applicazioni
  • Amministratore dell'autenticazione
  • Amministratore fatturazione
  • Amministratore di applicazioni cloud
  • Amministratore di accesso condizionale
  • Amministratore di Exchange
  • Amministratore dell'help desk
  • Amministratore password
  • Amministratore autenticazione con privilegi
  • Amministratore della sicurezza
  • Amministratore di SharePoint
  • Amministratore utenti

Richiedere agli utenti di eseguire l'autenticazione a più fattori quando necessario

Si tende a pensare che gli account amministratore siano gli unici account che richiedono livelli aggiuntivi di autenticazione. Gli amministratori hanno accesso esteso alle informazioni sensibili e possono apportare modifiche alle impostazioni a livello di sottoscrizione. Ma gli utenti malintenzionati spesso hanno come obiettivo gli utenti finali.

Dopo che questi utenti malintenzionati ottengono l'accesso, possono richiedere l'accesso alle informazioni privilegiate per il titolare dell'account originale. Possono anche scaricare l'intera directory per eseguire un attacco di phishing sull'intera organizzazione.

Un metodo comune per migliorare la protezione per tutti gli utenti è quello di richiedere una forma più avanzata di verifica dell'account, come Multi-Factor Authentication, per tutti. Dopo aver completato la registrazione di Multi-Factor Authentication, gli utenti dovranno richiedere un'altra autenticazione ogni volta che necessario. Azure AD decide quando verrà richiesto a un utente l'autenticazione a più fattori, in base a fattori quali posizione, dispositivo, ruolo e attività. Questa funzionalità protegge tutte le applicazioni registrate con Azure AD incluse le applicazioni SaaS.

Bloccare i protocolli di autenticazione legacy

Per consentire agli utenti di accedere facilmente alle app cloud, Azure AD supporta diversi protocolli di autenticazione, tra cui l'autenticazione legacy. Con il termine autenticazione legacy si fa riferimento a una richiesta di autenticazione effettuata da:

  • Client che non usano l'autenticazione moderna (ad esempio, un client Office 2010).
  • Qualsiasi client che usi protocolli di posta elettronica precedenti come IMAP, SMTP o POP3.

Oggi la maggior parte dei tentativi di accesso compromessi deriva dall'autenticazione legacy. L'autenticazione legacy non supporta Multi-Factor Authentication. Anche se nella directory è abilitato un criterio di Multi-Factor Authentication, un utente malintenzionato può eseguire l'autenticazione usando un protocollo precedente e ignorare Multi-Factor Authentication.

Una volta abilitate le impostazioni predefinite per la sicurezza nel tenant, tutte le richieste di autenticazione effettuate da un protocollo precedente verranno bloccate. Le impostazioni predefinite per la sicurezza bloccano l'autenticazione di base Exchange Active Sync.

Avviso

Prima di abilitare le impostazioni predefinite per la sicurezza, assicurarsi che gli amministratori non usino protocolli di autenticazione precedenti. Per altre informazioni, vedere Come passare dall'autenticazione legacy a un'altra autenticazione.

Proteggere le attività con privilegi, ad esempio l'accesso alle portale di Azure

Le organizzazioni usano vari servizi di Azure gestiti tramite l'API Resource Manager di Azure, tra cui:

  • Portale di Azure
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure

L'uso di Azure Resource Manager per gestire i servizi è un'azione con privilegi elevati. Azure Resource Manager può modificare le configurazioni a livello di tenant, ad esempio le impostazioni del servizio e la fatturazione della sottoscrizione. L'autenticazione a singolo fattore è vulnerabile a vari attacchi, ad esempio phishing e password spray.

È importante verificare l'identità degli utenti che vogliono accedere alle configurazioni di Azure Resource Manager e di aggiornamento. Prima di consentire l'accesso, è necessario verificare la propria identità richiedendo un'autenticazione maggiore.

Dopo aver abilitato le impostazioni predefinite per la sicurezza nel tenant, qualsiasi utente che accede ai servizi seguenti deve completare l'autenticazione a più fattori:

  • Portale di Azure
  • Azure PowerShell
  • Interfaccia della riga di comando di Azure

Questo criterio si applica a tutti gli utenti che accedono ai servizi di Resource Manager di Azure, sia che siano amministratori o utenti.

Nota

Per i tenant di Exchange Online precedenti al 2017, l'autenticazione moderna è disabilitata per impostazione predefinita. Per evitare la possibilità di un ciclo di accesso durante l'autenticazione tramite questi tenant, è necessario abilitare l'autenticazione moderna.

Nota

L'account di sincronizzazione Azure AD Connect viene escluso dalle impostazioni predefinite per la sicurezza e non verrà richiesto di eseguire la registrazione o l'autenticazione a più fattori. Le organizzazioni non devono usare questo account per altri scopi.

Considerazioni sulla distribuzione

Metodi di autenticazione

Le impostazioni predefinite di sicurezza consentono la registrazione e l'uso di Azure AD Multi-Factor Authentication usando solo l'app Microsoft Authenticator usando le notifiche. L'accesso condizionale consente di usare qualsiasi metodo di autenticazione che l'amministratore sceglie di abilitare.

Metodo Impostazioni predefinite di sicurezza Accesso condizionale
Notifica tramite app per dispositivi mobili X X
Codice di verifica dall'app per dispositivi mobili o dal token hardware X** X
SMS al telefono X
Chiamata al telefono X
Password dell'app X***
  • ** Gli utenti possono usare i codici di verifica dell'app Microsoft Authenticator ma possono registrarsi solo con l'opzione di notifica.
  • *** Le password dell'app sono disponibili solo nell'autenticazione a più fattori per utente con scenari di autenticazione legacy solo se abilitati dagli amministratori.

Avviso

Non disabilitare i metodi per l'organizzazione se si usano impostazioni predefinite di sicurezza. La disabilitazione dei metodi può causare il blocco del tenant. Lasciare disponibili tutti i metodi per gli utenti abilitati nel portale delle impostazioni del servizio MFA.

Account amministratore di backup

Ogni organizzazione deve avere almeno due account di amministratore di backup configurati. Si chiamano questi account di accesso di emergenza.

Questi account possono essere usati negli scenari in cui non è possibile usare gli account di amministratore normali. Ad esempio: la persona con l'accesso amministratore globale più recente ha lasciato l'organizzazione. Azure AD impedisce l'eliminazione dell'ultimo account amministratore globale, ma non impedisce che l'account venga eliminato o disabilitato in locale. Entrambi i casi potrebbero rendere impossibile per l'organizzazione ripristinare l'account.

Gli account di accesso di emergenza sono:

  • Diritti di amministratore globale assegnati in Azure AD.
  • Non vengono usati su base giornaliera.
  • Sono protetti con una password complessa lunga.

Le credenziali per questi account di accesso di emergenza devono essere archiviate offline in una posizione sicura, ad esempio una sicurezza a prova di fuoco. Solo gli utenti autorizzati devono avere accesso a queste credenziali.

Per creare un account di accesso di emergenza:

  1. Accedere alla portale di Azure come amministratore globale esistente.
  2. Passare a Azure Active Directory>Users.
  3. Selezionare Nuovo utente.
  4. Selezionare Create user (Crea utente).
  5. Assegnare all'account un nome utente.
  6. Assegnare all'account un nome.
  7. Creare una password lunga e complessa per l'account.
  8. In Ruoli assegnare il ruolo Amministratore globale .
  9. In Percorso di utilizzo selezionare la posizione appropriata.
  10. Selezionare Crea.

È possibile scegliere di disabilitare la scadenza della password per questi account usando Azure AD PowerShell.

Per informazioni più dettagliate sugli account di accesso di emergenza, vedere l'articolo Gestire gli account di accesso di emergenza in Azure AD.

Stato MFA disabilitato

Se l'organizzazione è un utente precedente di Azure AD basato su utente Azure AD Multi-Factor Authentication, non essere in allarme per non visualizzare gli utenti in uno stato abilitato o applicato se si esamina la pagina di stato di Multi-Factor Auth. Disabilitato è lo stato appropriato per gli utenti che usano impostazioni predefinite di sicurezza o accesso condizionale basato su Azure AD Multi-Factor Authentication.

Accesso condizionale

È possibile usare l'accesso condizionale per configurare criteri simili alle impostazioni predefinite per la sicurezza, ma con maggiore granularità, incluse le esclusioni utente, che non sono disponibili nelle impostazioni predefinite della sicurezza. Se si usa l'accesso condizionale nell'ambiente, le impostazioni predefinite per la sicurezza non saranno disponibili per l'utente.

Warning message that you can have security defaults or Conditional Access not both

Se si vuole abilitare l'accesso condizionale per configurare un set di criteri, che costituiscono un buon punto di partenza per proteggere le identità:

Disabilitazione delle impostazioni predefinite per la sicurezza

Le organizzazioni che scelgono di implementare i criteri di accesso condizionale che sostituiscono le impostazioni predefinite per la sicurezza devono disabilitare le impostazioni predefinite per la sicurezza.

Warning message disable security defaults to enable Conditional Access

Per disabilitare le impostazioni predefinite per la sicurezza nella directory:

  1. Accedere alla portale di Azure come amministratore della sicurezza, amministratore dell'accesso condizionale o amministratore globale.
  2. Passare a Azure Active Directory>Properties.
  3. Selezionare Gestisci le impostazioni predefinite per la sicurezza.
  4. Impostare Abilita le impostazioni predefinite per la sicurezza su No.
  5. Selezionare Salva.

Passaggi successivi