Protezione dell'accesso con privilegi in Azure AD

La protezione dell'accesso con privilegi è il primo passaggio fondamentale per proteggere gli asset aziendali in un'organizzazione moderna. Gli account con privilegi sono gli account che amministrano e gestiscono i sistemi IT. Gli utenti malintenzionati usano questi account per ottenere l'accesso ai dati e ai sistemi di un'organizzazione. Per proteggere l'accesso con privilegi, è necessario isolare gli account e i sistemi dal rischio di esposizione a utenti malintenzionati.

Il numero di utenti che ottiene l'accesso con privilegi tramite i servizi cloud è in aumento. Tra questi, sono inclusi gli amministratori globali di Office 365, gli amministratori delle sottoscrizioni di Azure e gli utenti che dispongono dell'accesso amministrativo alle macchine virtuali o alle app SaaS.

Microsoft consiglia di seguire questa guida di orientamento sulla protezione dell'accesso con privilegi.

Per i clienti che usano Azure Active Directory, Office 365 o altri servizi e applicazioni Microsoft, questi principi si applicano sia se gli account utente sono gestiti e autenticati da Active Directory o Azure Active Directory o meno. Le sezioni seguenti offrono maggiori informazioni sulle funzionalità di Azure AD per il supporto della protezione dell'accesso con privilegi.

Azure Multi-Factor Authentication

Per aumentare la sicurezza dell'autenticazione degli amministratori, è opportuno richiedere la verifica in due passaggi prima di concedere i privilegi. La verifica in due passaggi è un metodo di verifica dell'identità dell'utente che richiede l'uso di più fattori, oltre a un nome utente e una password. Fornisce un secondo livello di sicurezza agli accessi e alle transazioni degli utenti.

Azure Multi-Factor Authentication, o MFA, è una soluzione per la verifica in due passaggi che permette di proteggere l'accesso ai dati e alle applicazioni, garantendo al tempo stesso agli utenti una procedura di accesso semplice. Offre un'autenticazione avanzata con una gamma di opzioni di verifica semplici che includono:

  • le telefonate
  • i messaggi di testo
  • le notifiche dell'app per dispositivi mobili
  • i codici di verifica dell'app per dispositivi mobili
  • Token OATH di terze parti

Per una panoramica del funzionamento di Azure Multi-Factor Authentication, vedere il video seguente:

Per altre informazioni, vedere MFA for Office 365 and MFA for Azure (MFA per Office 365 e MFA per Azure).

Privilegi con vincoli di tempo

Per alcune organizzazioni, il numero di utenti assegnati a ruoli con privilegi elevati potrebbe essere ritenuto eccessivo. Un utente potrebbe essere stato aggiunto al ruolo per un'attività specifica, ad esempio l'iscrizione a un servizio, ma aver usato tali privilegi raramente in seguito.

Per ridurre il tempo di esposizione dei privilegi e aumentare la visibilità sul relativo utilizzo, è possibile vincolare gli utenti all'uso dei privilegi in modalità JIT (Just-In-Time) solo quando devono eseguire un'attività. Per Azure Active Directory e Microsoft Online Services è possibile usare Azure AD Privileged Identity Management (PIM).

Dashboard di PIM

Rilevamento degli attacchi

Azure Active Directory Identity Protection offre una visualizzazione consolidata degli eventi di rischio e delle potenziali vulnerabilità che interessano le identità dell'organizzazione. In base agli eventi di rischio, Identity Protection calcola un livello di rischio utente per ogni utente e permette di configurare criteri basati sul rischio per proteggere automaticamente le identità dell'organizzazione. I criteri basati sul rischio, insieme ad altri controlli di accesso condizionale forniti da Azure Active Directory e da EMS, possono bloccare automaticamente l'utente o proporre suggerimenti, ad esempio la reimpostazione della password e l'imposizione dell'autenticazione a più fattori.

Azure AD Identity Protection

Accesso condizionale

Il controllo di accesso condizionale consente ad Azure Active Directory di controllare le condizioni specifiche selezionate durante l'autenticazione di un utente e prima di consentire l'accesso a un'applicazione. Se tali condizioni vengono soddisfatte, l'utente viene autenticato e gli viene consentito l'accesso all'applicazione.

Impostazione delle regole di accesso condizionale con MFA

Per altre informazioni su come creare una guida di orientamento alla sicurezza completa, vedere la sezione "Customer responsibilities and roadmap" del documento Microsoft Cloud Security for Enterprise Architects . Per altre informazioni sull'utilizzo dei servizi Microsoft illustrati in questi argomenti, contattare il rappresentante Microsoft oppure visitare la pagina relativa alle soluzioni per la sicurezza informatica.