Protezione dell'accesso con privilegi in Azure ADSecuring privileged access in Azure AD

La protezione dell'accesso con privilegi è il primo passaggio fondamentale per proteggere gli asset aziendali in un'organizzazione moderna.Securing privileged access is a critical first step to help protect business assets in a modern organization. Gli account con privilegi sono gli account che amministrano e gestiscono i sistemi IT.Privileged accounts are accounts that administer and manage IT systems. Gli utenti malintenzionati usano questi account per ottenere l'accesso ai dati e ai sistemi di un'organizzazione.Cyber-attackers target these accounts to gain access to an organization’s data and systems. Per proteggere l'accesso con privilegi, è necessario isolare gli account e i sistemi dal rischio di esposizione a utenti malintenzionati.To secure privileged access, you should isolate the accounts and systems from the risk of being exposed to a malicious user.

Il numero di utenti che ottiene l'accesso con privilegi tramite i servizi cloud è in aumento.More users are starting to get privileged access through cloud services. Tra questi, sono inclusi gli amministratori globali di Office 365, gli amministratori delle sottoscrizioni di Azure e gli utenti che dispongono dell'accesso amministrativo alle macchine virtuali o alle app SaaS.This can include global administrators of Office365, Azure subscription administrators, and users who have administrative access in VMs or on SaaS apps.

Microsoft consiglia di seguire questa guida di orientamento sulla protezione dell'accesso con privilegi.Microsoft recommends you follow this roadmap on Securing Privileged Access.

Per i clienti che usano Azure Active Directory, Office 365 o altri servizi e applicazioni Microsoft, questi principi si applicano sia se gli account utente sono gestiti e autenticati da Active Directory o Azure Active Directory o meno.For customers using Azure Active Directory, Office 365, or other Microsoft services and applications, these principles apply whether user accounts are managed and authenticated by Active Directory or in Azure Active Directory. Le sezioni seguenti offrono maggiori informazioni sulle funzionalità di Azure AD per il supporto della protezione dell'accesso con privilegi.The following sections provide more information on Azure AD features to support securing privileged access.

Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication

Per aumentare la sicurezza dell'autenticazione degli amministratori, è opportuno richiedere la verifica in due passaggi prima di concedere i privilegi.To increase the security of administrator authentication, you should require two-step verification before granting privileges. La verifica in due passaggi è un metodo di verifica dell'identità dell'utente che richiede l'uso di più fattori, oltre a un nome utente e una password.Two-step verification is a method of verifying who you are that requires the use of more than just a username and password. Fornisce un secondo livello di sicurezza agli accessi e alle transazioni degli utenti.It provides a second layer of security to user sign-ins and transactions.

Azure Multi-Factor Authentication, o MFA, è una soluzione per la verifica in due passaggi che permette di proteggere l'accesso ai dati e alle applicazioni, garantendo al tempo stesso agli utenti una procedura di accesso semplice.Azure Multi-Factor Authentication (MFA) is Microsoft's two-step verification solution, which helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Offre un'autenticazione avanzata con una gamma di opzioni di verifica semplici che includono:It delivers strong authentication via a range of easy verification options including:

  • le telefonatephone calls
  • i messaggi di testotext messages
  • le notifiche dell'app per dispositivi mobilimobile app notifications
  • i codici di verifica dell'app per dispositivi mobilimobile app verification codes
  • Token OATH di terze partithird-party OATH tokens

Per una panoramica del funzionamento di Azure Multi-Factor Authentication, vedere il video seguente:For an overview of how Azure Multi-Factor Authentication works see the following video:

Per altre informazioni, vedere MFA for Office 365 and MFA for Azure (MFA per Office 365 e MFA per Azure).For more information, see MFA for Office 365 and MFA for Azure.

Privilegi con vincoli di tempoTime-bound privileges

Per alcune organizzazioni, il numero di utenti assegnati a ruoli con privilegi elevati potrebbe essere ritenuto eccessivo.Some organizations may find that they have too many users in highly privileged roles. Un utente potrebbe essere stato aggiunto al ruolo per un'attività specifica, ad esempio l'iscrizione a un servizio, ma aver usato tali privilegi raramente in seguito.A user might have been added to the role for a particular activity, like to sign up for a service, but didn't use those privileges frequently afterward.

Per ridurre il tempo di esposizione dei privilegi e aumentare la visibilità del relativo utilizzo, limitare gli utenti a prendere solo i propri privilegi "just in time" (JIT), oppure ad assegnare questi ruoli per un periodo di tempo ridotto sapendo che i privilegi verranno revocati automaticamente.To lower the exposure time of privileges and increase your visibility into their use, limit users to only taking on their privileges "just in time" (JIT), or assign these roles for a shortened duration with confidence the privileges will be revoked automatically. Per Azure Active Directory, Risorse di Azure (Anteprima) e Microsoft Online Services è possibile usare Azure Active Directory Privileged Identity Management (PIM).For Azure Active Directory, Azure Resources (Preview) and Microsoft Online Services, you can use Azure AD Privileged Identity Management (PIM).

Dashboard di PIM

Rilevamento degli attacchiAttack detection

Azure Active Directory Identity Protection offre una visualizzazione consolidata degli eventi di rischio e delle potenziali vulnerabilità che interessano le identità dell'organizzazione.Azure Active Directory Identity Protection provides a consolidated view into risk events and potential vulnerabilities affecting your organization’s identities. In base agli eventi di rischio, Identity Protection calcola un livello di rischio utente per ogni utente e permette di configurare criteri basati sul rischio per proteggere automaticamente le identità dell'organizzazione.Based on risk events, Identity Protection calculates a user risk level for each user, enabling you to configure risk-based policies to automatically protect the identities of your organization. I criteri basati sul rischio, insieme ad altri controlli di accesso condizionale forniti da Azure Active Directory e da EMS, possono bloccare automaticamente l'utente o proporre suggerimenti, ad esempio la reimpostazione della password e l'imposizione dell'autenticazione a più fattori.These policies, along with other conditional access controls provided by Azure Active Directory and EMS, can automatically block the user or offer suggestions that include password resets and multi-factor authentication enforcement.

Azure AD Identity Protection

Accesso condizionaleConditional access

Il controllo di accesso condizionale consente ad Azure Active Directory di controllare le condizioni specifiche selezionate durante l'autenticazione di un utente e prima di consentire l'accesso a un'applicazione.With conditional access control, Azure Active Directory checks the specific conditions you choose when authenticating a user, before allowing access to an application. Se tali condizioni vengono soddisfatte, l'utente viene autenticato e gli viene consentito l'accesso all'applicazione.Once those conditions are met, the user is authenticated and allowed access to the application.

Per altre informazioni su come creare una guida di orientamento alla sicurezza completa, vedere la sezione "Customer responsibilities and roadmap" del documento Microsoft Cloud Security for Enterprise Architects .For more information on building a complete security roadmap, see the “Customer responsibilities and roadmap” section of the Microsoft Cloud Security for Enterprise Architects document. Per altre informazioni sull'utilizzo dei servizi Microsoft illustrati in questi argomenti, contattare il rappresentante Microsoft oppure visitare la pagina relativa alle soluzioni per la sicurezza informatica.For more information on engaging Microsoft services to assist with any of these topics, contact your Microsoft representative or visit our Cybersecurity solutions page.