Cos'è Azure Active Directory Identity Protection?What is Azure Active Directory Identity Protection?

Azure Active Directory identità Protection consente alle organizzazioni di configurare risposte automatizzate alle azioni sospette rilevate in relazione alle identità utente.Azure Active Directory Identity Protection enables organizations to configure automated responses to detected suspicious actions related to user identities.

Attività inizialiGet started

Microsoft protegge le identità basate sul cloud da oltre un decennio.Microsoft has secured cloud-based identities for more than a decade. Con Azure Active Directory Identity Protection, è possibile usare nell'ambiente gli stessi sistemi di protezione usati da Microsoft per proteggere le identità.With Azure Active Directory Identity Protection, in your environment, you can use the same protection systems Microsoft uses to secure identities.

La maggior parte delle violazioni della sicurezza si verifica quando utenti malintenzionati ottengono l'accesso a un ambiente impadronendosi dell'identità di un utente.The vast majority of security breaches take place when attackers gain access to an environment by stealing a user’s identity. Nel corso degli anni gli utenti malintenzionati hanno messo a punto tecniche sempre più efficaci per sfruttare le violazioni di terze parti e sferrare sofisticati attacchi di phishing.Over the years, attackers have become increasingly effective in leveraging third-party breaches and using sophisticated phishing attacks. L'accesso a un account utente, anche quelli con privilegi limitati, permette agli utenti malintenzionati di accedere immediatamente a risorse aziendali importanti in modo relativamente semplice tramite il movimento laterale.As soon as an attacker gains access to even low privileged user accounts, it is relatively easy for them to gain access to important company resources through lateral movement.

Di conseguenza, è necessario:As a consequence of this, you need to:

  • Proteggere tutte le identità indipendentemente dal livello di privilegiProtect all identities regardless of their privilege level

  • Impedire in modo proattivo l'uso improprio delle identità compromesseProactively prevent compromised identities from being abused

Trovare le identità compromesse non è un compito facile.Discovering compromised identities is no easy task. Azure Active Directory usa l'euristica e gli algoritmi adattivi di apprendimento automatico per rilevare anomalie ed eventi imprevisti sospetti che indicano identità potenzialmente compromesse.Azure Active Directory uses adaptive machine learning algorithms and heuristics to detect anomalies and suspicious incidents that indicate potentially compromised identities. Sulla base di tali dati, Identity Protection genera report e avvisi che consentono di valutare i problemi rilevati e di adottare le azioni di correzione o mitigazione appropriate.Using this data, Identity Protection generates reports and alerts that enable you to evaluate the detected issues and take appropriate mitigation or remediation actions.

Azure Active Directory Identity Protection è ben più di un semplice strumento di monitoraggio e reporting.Azure Active Directory Identity Protection is more than a monitoring and reporting tool. Per proteggere le identità dell'organizzazione, è possibile configurare criteri basati sul rischio che rispondano automaticamente ai problemi rilevati quando viene raggiunto un livello di rischio specificato.To protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Questi criteri, insieme ad altri controlli di accesso condizionale forniti da Azure Active Directory e Enterprise Mobility + Security (EMS), può automaticamente bloccare o avviare azioni di correzione adattive, tra cui reimpostazione della password e l'applicazione dell'autenticazione a più fattori.These policies, in addition to other Conditional Access controls provided by Azure Active Directory and Enterprise Mobility + Security (EMS), can either automatically block or initiate adaptive remediation actions including password resets and multi-factor authentication enforcement.

Funzionalità di Identity ProtectionIdentity Protection capabilities

Rilevamento di vulnerabilità e di account rischiosi:Detecting vulnerabilities and risky accounts:

  • Raccomandazioni personalizzate per migliorare il comportamento di sicurezza in generale evidenziando le vulnerabilità.Providing custom recommendations to improve overall security posture by highlighting vulnerabilities
  • Calcolo dei livelli di rischio di accesso.Calculating sign-in risk levels
  • Calcolo dei livelli di rischio utente.Calculating user risk levels

Analisi degli eventi di rischio:Investigating risk events:

  • Invio di notifiche per gli eventi di rischio.Sending notifications for risk events
  • Analisi degli eventi di rischio con informazioni rilevanti e contestuali.Investigating risk events using relevant and contextual information
  • Flussi di lavoro di base per tenere traccia delle analisi.Providing basic workflows to track investigations
  • Accesso semplificato ad azioni di correzione come la reimpostazione della password.Providing easy access to remediation actions such as password reset

Criteri di accesso condizionale basati sul rischio:Risk-based Conditional Access policies:

  • Criteri per mitigare gli accessi rischiosi con il blocco degli accessi o le richieste di autenticazione a più fattoriPolicy to mitigate risky sign-ins by blocking sign-ins or requiring multi-factor authentication challenges
  • Criteri per bloccare o proteggere gli account utente rischiosi.Policy to block or secure risky user accounts
  • Criteri per richiedere la registrazione degli utenti per l'autenticazione a più fattoriPolicy to require users to register for multi-factor authentication

Ruoli di Identity ProtectionIdentity Protection roles

Per bilanciare il carico delle attività di gestione per l'implementazione di Identity Protection, è possibile assegnare più ruoli.To load balance the management activities around your Identity Protection implementation, you can assign several roles. Azure AD Identity Protection supporta 3 ruoli di directory:Azure AD Identity Protection supports 3 directory roles:

RoleRole Operazione consentitaCan do Operazione non consentitaCannot do
Amministratore globaleGlobal administrator Accesso completo a Identity Protection, implementazione di Identity ProtectionFull access to Identity Protection, Onboard Identity Protection
Amministratore della sicurezzaSecurity administrator Accesso completo a Identity ProtectionFull access to Identity Protection Implementazione di Identity Protection, reimpostazione delle password per un utenteOnboard Identity Protection, reset passwords for a user
Ruolo con autorizzazioni di lettura per la sicurezzaSecurity reader Accesso in sola lettura a Identity ProtectionRead-only access to Identity Protection Implementazione di Identity Protection, correzione degli utenti, configurazione dei criteri, reimpostazione delle passwordOnboard Identity Protection, remediate users, configure policies, reset passwords

Per altri dettagli, vedere Assegnazione dei ruoli di amministratore in Azure Active DirectoryFor more details, see Assigning administrator roles in Azure Active Directory

RilevamentoDetection

VulnerabilitàVulnerabilities

Azure Active Directory Identity Protection analizza la configurazione e rileva le vulnerabilità che possono avere effetto sulle identità dell'utente.Azure Active Directory Identity Protection analyses your configuration and detects vulnerabilities that can have an impact on your user's identities. Per altri dettagli, vedere Vulnerabilità rilevate da Azure Active Directory Identity Protection.For more details, see Vulnerabilities detected by Azure Active Directory Identity Protection.

Eventi di rischioRisk events

Azure Active Directory usa l'euristica e algoritmi adattivi di apprendimento automatico per rilevare azioni sospette correlate alle identità dell'utente.Azure Active Directory uses adaptive machine learning algorithms and heuristics to detect suspicious actions that are related to your user's identities. Il sistema crea un record per ogni azione sospetta rilevata.The system creates a record for each detected suspicious action. Questi record sono denominati anche eventi di rischio.These records are also known as risk events.
Per altre informazioni, vedere Eventi di rischio di Azure Active Directory.For more details, see Azure Active Directory risk events.

AnalisiInvestigation

L'esperienza con Identity Protection inizia in genere dal relativo dashboard.Your journey through Identity Protection typically starts with the Identity Protection dashboard.

CorrezioneRemediation

Il dashboard consente di accedere a:The dashboard gives you access to:

  • Report, ad esempio Utenti contrassegnati per il rischio, Eventi di rischio e VulnerabilitàReports such as Users flagged for risk, Risk events and Vulnerabilities
  • Impostazioni come la configurazione dei criteri di sicurezza, delle notifiche e della registrazione per l'autenticazione a più fattoriSettings such as the configuration of your Security Policies, Notifications and multi-factor authentication registration

Si tratta in genere del punto di partenza dell'analisi, ovvero del processo di analisi di attività, log e altre informazioni rilevanti relative a un evento di rischio per decidere se sono necessarie procedure di correzione o mitigazione, se e come l'identità è stata compromessa e come è stata usata l'identità compromessa.It is typically your starting point for investigation, which is the process of reviewing the activities, logs, and other relevant information related to a risk event to decide whether remediation or mitigation steps are necessary, and how the identity was compromised, and understand how the compromised identity was used.

È possibile collegare le attività di analisi alle notifiche che Azure Active Directory Protection invia per posta elettronica.You can tie your investigation activities to the notifications Azure Active Directory Protection sends per email.

CriteriPolicies

Per implementare risposte automatiche, Azure Active Directory Identity Protection offre tre criteri:To implement automated responses, Azure Active Directory Identity Protection provides you with three policies:

Requisiti relativi alle licenzeLicense requirements

Per usare questa funzionalità è necessario avere una licenza di Azure AD Premium P2.Using this feature requires an Azure AD Premium P2 license. Per trovare la licenza adatta alle proprie esigenze, vedere il  confronto tra le funzionalità disponibili a livello generale per le edizioni Gratuita, Basic e Premium.To find the right license for your requirements, see Comparing generally available features of the Free, Basic, and Premium editions.

Passaggi successiviNext steps