Procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di AzureAzure Identity Management and access control security best practices

Questo articolo illustra una serie di procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure.In this article, we discuss a collection of Azure identity management and access control security best practices. Le procedure consigliate si basano sull'esperienza di tecnici e clienti con Azure AD.These best practices are derived from our experience with Azure AD and the experiences of customers like yourself.

Per ogni procedura consigliata verrà illustrato:For each best practice, we explain:

  • Qual è la procedura consigliataWhat the best practice is
  • Il motivo per cui si vuole abilitare tale procedura consigliataWhy you want to enable that best practice
  • Quale potrebbe essere il risultato se non fosse possibile abilitare la procedura consigliataWhat might be the result if you fail to enable the best practice
  • Alternative possibili alla procedura consigliataPossible alternatives to the best practice
  • Come imparare ad abilitare la procedura consigliataHow you can learn to enable the best practice

Questo articolo sulle procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure si basa su pareri condivisi, nonché sulle capacità e sui set di funzionalità della piattaforma Azure esistenti quando l'articolo è stato scritto.This Azure identity management and access control security best practices article is based on a consensus opinion and Azure platform capabilities and feature sets, as they exist at the time this article was written.

Lo scopo di questo articolo è fornire una roadmap generale per un comportamento di sicurezza più affidabile dopo la distribuzione basata sull'elenco di controllo "Cinque passaggi per proteggere l'infrastruttura di identità", che illustra funzionalità e servizi di base.The intention in writing this article is to provide a general roadmap to a more robust security posture after deployment guided by our “5 steps to securing your identity infrastructure” checklist, which walks you through some of our core features and services.

Le opinioni e le tecnologie cambiano nel tempo e questo articolo verrà aggiornato regolarmente per riflettere tali modifiche.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure illustrate in questo articolo:Azure identity management and access control security best practices discussed in this article include:

  • Trattare l'identità come perimetro di sicurezza primarioTreat identity as the primary security perimeter
  • Centralizzare la gestione delle identitàCentralize identity management
  • Gestire i tenant connessiManage connected tenants
  • Abilita Single Sign-OnEnable single sign-on
  • Abilitare l'accesso condizionaleTurn on Conditional Access
  • Pianificare miglioramenti per la sicurezza di routinePlan for routine security improvements
  • Abilitare la gestione delle passwordEnable password management
  • Applicare la verifica a più fattori per gli utentiEnforce multi-factor verification for users
  • Usare il controllo degli accessi in base al ruoloUse role-based access control
  • Diminuire l'esposizione degli account con privilegiLower exposure of privileged accounts
  • Controllare le posizioni in cui si trovano le risorseControl locations where resources are located
  • Usare Azure AD per l'autenticazione dell'archiviazioneUse Azure AD for storage authentication

Trattare l'identità come perimetro di sicurezza primarioTreat identity as the primary security perimeter

Molti considerano l'identità come perimetro primario per la sicurezza.Many consider identity to be the primary perimeter for security. Questa strategia rappresenta un cambiamento rispetto al tradizionale ruolo centrale attribuito alla sicurezza della rete.This is a shift from the traditional focus on network security. I perimetri di rete diventano sempre più permeabili pertanto la difesa perimetrale non può essere efficace quanto lo era prima dell'esplosione dei dispositivi BYOD e delle applicazioni cloud.Network perimeters keep getting more porous, and that perimeter defense can’t be as effective as it was before the explosion of BYOD devices and cloud applications.

Azure Active Directory (Azure AD) è la soluzione di Microsoft Azure per la gestione delle identità e degli accessi.Azure Active Directory (Azure AD) is the Azure solution for identity and access management. Azure AD è il servizio Microsoft multi-tenant di gestione delle identità e delle directory basato sul cloud.Azure AD is a multitenant, cloud-based directory and identity management service from Microsoft. Combina in un'unica soluzione servizi di directory importanti, gestione degli accessi alle applicazioni e protezione delle identità.It combines core directory services, application access management, and identity protection into a single solution.

Le sezioni seguenti elencano le procedure consigliate per garantire la sicurezza delle identità e degli accessi tramite Azure AD.The following sections list best practices for identity and access security using Azure AD.

Procedura consigliata: centrare i controlli di sicurezza e i rilevamenti su identità di utenti e servizi.Best practice: Center security controls and detections around user and service identities. Dettagli: usare Azure AD per collocare i controlli e le identità.Detail: Use Azure AD to collocate controls and identities.

Centralizzare la gestione delle identitàCentralize identity management

In uno scenario di soluzione ibrida di gestione delle identità è consigliabile integrare le directory cloud e locali.In a hybrid identity scenario we recommend that you integrate your on-premises and cloud directories. L'integrazione consente al team IT di gestire gli account da una posizione, indipendentemente da dove è stato creato un account.Integration enables your IT team to manage accounts from one location, regardless of where an account is created. L'integrazione rende inoltre gli utenti più produttivi, in quanto fornisce un'identità comune per l'accesso alle risorse cloud e locali.Integration also helps your users be more productive by providing a common identity for accessing both cloud and on-premises resources.

Procedura consigliata: definire una singola istanza di Azure AD.Best practice: Establish a single Azure AD instance. L'uniformità e una singola origine autorevole aumenteranno la chiarezza e ridurranno i rischi per la sicurezza dovuti a errori umani e a configurazioni complesse.Consistency and a single authoritative sources will increase clarity and reduce security risks from human errors and configuration complexity. Dettagli: designare una singola directory di Azure AD come origine autorevole per gli account aziendali e dell'organizzazione.Detail: Designate a single Azure AD directory as the authoritative source for corporate and organizational accounts.

Procedura consigliata: integrare le directory locali con Azure AD.Best practice: Integrate your on-premises directories with Azure AD.
Dettagli: sincronizzare la directory locale con la directory cloud usando Azure AD Connect.Detail: Use Azure AD Connect to synchronize your on-premises directory with your cloud directory.

Nota

Esistono fattori che influiscono sulle prestazioni di Azure AD Connect.There are factors that affect the performance of Azure AD Connect. Assicurarsi che Azure AD Connect disponga di una capacità sufficiente per evitare che sistemi con prestazioni scarse creino problemi di sicurezza e produttività.Ensure Azure AD Connect has enough capacity to keep underperforming systems from impeding security and productivity. È consigliabile che le organizzazioni complesse o di grandi dimensioni (organizzazioni che effettuano il provisioning di più di 100.000 oggetti) seguano le raccomandazioni per ottimizzare l'implementazione di Azure AD Connect.Large or complex organizations (organizations provisioning more than 100,000 objects) should follow the recommendations to optimize their Azure AD Connect implementation.

Procedura consigliata: non sincronizzare gli account per Azure AD con privilegi elevati nell'istanza di Active Directory esistente.Best practice: Don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory instance. Dettagli: non modificare la configurazione di Azure AD Connect predefinita che esclude questi account.Detail: Don’t change the default Azure AD Connect configuration that filters out these accounts. Questa configurazione consente di attenuare il rischio di passaggio degli antagonisti dal cloud alle risorse locali (che potrebbero creare un evento imprevisto importante).This configuration mitigates the risk of adversaries pivoting from cloud to on-premises assets (which could create a major incident).

Procedura consigliata: attivare la sincronizzazione dell'hash delle password.Best practice: Turn on password hash synchronization.
Dettagli: la sincronizzazione degli hash delle password è una funzionalità usata per sincronizzare gli hash delle password utente da un'istanza di Active Directory locale a un'istanza di Azure AD basata sul cloud.Detail: Password hash synchronization is a feature used to synch user password hashes from an on-premises Active Directory instance to a cloud-based Azure AD instance. Questa sincronizzazione consente di evitare la riproduzione di credenziali compromesse da una fuga dovuta ad attacchi precedenti.This sync helps to protect against leaked credentials being replayed from previous attacks.

Anche se si decide di usare la federazione con Active Directory Federation Services (AD FS) o altri provider di identità, è possibile configurare la sincronizzazione dell'hash delle password come backup in caso di errore o temporanea indisponibilità dei server locali.Even if you decide to use federation with Active Directory Federation Services (AD FS) or other identity providers, you can optionally set up password hash synchronization as a backup in case your on-premises servers fail or become temporarily unavailable. Questa sincronizzazione consente agli utenti di accedere al servizio usando la stessa password usata per accedere all'istanza di Active Directory locale.This sync enables users to sign in to the service by using the same password that they use to sign in to their on-premises Active Directory instance. Consente inoltre a Identity Protection di rilevare le credenziali compromesse confrontando gli hash sincronizzati delle password con password segnalate come compromesse, se un utente ha usato lo stesso indirizzo di posta elettronica e la stessa password in altri servizi non connessi ad Azure AD.It also allows Identity Protection to detect compromised credentials by comparing synchronized password hashes with passwords known to be compromised, if a user has used the same email address and password on other services that aren't connected to Azure AD.

Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con il servizio di sincronizzazione Azure AD Connect.For more information, see Implement password hash synchronization with Azure AD Connect sync.

Procedura consigliata: per lo sviluppo di nuove applicazioni, usare Azure AD per l'autenticazione.Best practice: For new application development, use Azure AD for authentication. Dettagli: usare le funzionalità corrette per supportare l'autenticazione:Detail: Use the correct capabilities to support authentication:

  • Azure AD per i dipendentiAzure AD for employees
  • Azure AD B2B per utenti guest e partner esterniAzure AD B2B for guest users and external partners
  • Azure AD B2C per controllare il modo in cui i clienti effettuano l'iscrizione, l'accesso e la gestione dei profili quando usano le applicazioni forniteAzure AD B2C to control how customers sign up, sign in, and manage their profiles when they use your applications

Le organizzazioni che non integrano l'identità locale con la propria identità cloud possono subire un sovraccarico maggiore nella gestione degli account.Organizations that don’t integrate their on-premises identity with their cloud identity can have more overhead in managing accounts. Questo sovraccarico aumenta le probabilità di incorrere in errori e violazioni della sicurezza.This overhead increases the likelihood of mistakes and security breaches.

Nota

È necessario scegliere in quali directory includere gli account critici e se la workstation di amministrazione usata è gestita da nuovi servizi cloud o da processi esistenti.You need to choose which directories critical accounts will reside in and whether the admin workstation used is managed by new cloud services or existing processes. L'uso di processi di provisioning di gestione e identità esistenti può ridurre alcuni rischi, ma può anche creare il rischio che un utente malintenzionato comprometta un account locale e passi al cloud.Using existing management and identity provisioning processes can decrease some risks but can also create the risk of an attacker compromising an on-premises account and pivoting to the cloud. Potrebbe essere necessario usare una strategia diversa per ruoli diversi, ad esempio amministratori IT e amministratori di business unit.You might want to use a different strategy for different roles (for example, IT admins vs. business unit admins). Sono disponibili due opzioni.You have two options. La prima opzione consiste nel creare account di Azure AD non sincronizzati con l'istanza di Active Directory locale.First option is to create Azure AD Accounts that aren’t synchronized with your on-premises Active Directory instance. Aggiungere ad Azure AD la workstation di amministrazione, che può essere gestita e corretta tramite patch usando Microsoft Intune.Join your admin workstation to Azure AD, which you can manage and patch by using Microsoft Intune. La seconda opzione consiste nell'usare account amministratore esistenti eseguendo la sincronizzazione con l'istanza di Active Directory locale.Second option is to use existing admin accounts by synchronizing to your on-premises Active Directory instance. Usare le workstation esistenti nel dominio di Active Directory per la gestione e la sicurezza.Use existing workstations in your Active Directory domain for management and security.

Gestire i tenant connessiManage connected tenants

L'organizzazione di sicurezza necessita di visibilità per valutare i rischi e determinare se vengono rispettati i criteri dell'organizzazione e gli eventuali requisiti normativi.Your security organization needs visibility to assess risk and to determine whether the policies of your organization, and any regulatory requirements, are being followed. È necessario assicurarsi che l'organizzazione di sicurezza abbia visibilità su tutte le sottoscrizioni connesse all'ambiente di produzione e alla rete (tramite Azure ExpressRoute o la VPN da sito a sito).You should ensure that your security organization has visibility into all subscriptions connected to your production environment and network (via Azure ExpressRoute or site-to-site VPN). Un amministratore globale in Azure ad può elevare l'accesso al ruolo di amministratore accesso utenti e visualizzare tutte le sottoscrizioni e i gruppi gestiti connessi all'ambiente.A Global Administrator in Azure AD can elevate their access to the User Access Administrator role and see all subscriptions and managed groups connected to your environment.

Vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure per assicurarsi che l'utente e il gruppo di sicurezza possano visualizzare tutte le sottoscrizioni o i gruppi di gestione connessi all'ambiente.See elevate access to manage all Azure subscriptions and management groups to ensure that you and your security group can view all subscriptions or management groups connected to your environment. È necessario rimuovere questo accesso con privilegi elevati dopo aver valutato i rischi.You should remove this elevated access after you’ve assessed risks.

Abilita Single Sign-OnEnable single sign-on

In un mondo incentrato su dispositivi mobili e cloud, è importante poter accedere con Single Sign-On (SSO) a dispositivi, app e servizi da qualsiasi posizione in modo che gli utenti siano produttivi sempre e ovunque.In a mobile-first, cloud-first world, you want to enable single sign-on (SSO) to devices, apps, and services from anywhere so your users can be productive wherever and whenever. La gestione di più soluzioni di identità rappresenta un problema di amministrazione non solo per il reparto IT, ma anche per gli utenti finali che devono tenere a mente più password.When you have multiple identity solutions to manage, this becomes an administrative problem not only for IT but also for users who have to remember multiple passwords.

Utilizzando la stessa soluzione di identità per tutte le applicazioni e risorse, è possibile ottenere l'accesso Single Sign-On.By using the same identity solution for all your apps and resources, you can achieve SSO. Gli utenti hanno la possibilità di usare lo stesso set di credenziali per accedere alle risorse, indipendentemente dalla dislocazione in locale o nel cloud di tali risorse.And your users can use the same set of credentials to sign in and access the resources that they need, whether the resources are located on-premises or in the cloud.

Procedura consigliata: abilitare SSO.Best practice: Enable SSO.
Dettagli: Azure AD estende Active Directory locale al cloud.Detail: Azure AD extends on-premises Active Directory to the cloud. Gli utenti possono usare il loro account aziendale o dell'istituto di istruzione principale per i dispositivi aggiunti al dominio, per le risorse aziendali e per tutte le applicazioni Web e SaaS necessarie per svolgere le loro attività.Users can use their primary work or school account for their domain-joined devices, company resources, and all of the web and SaaS applications that they need to get their jobs done. Oltre a eliminare la necessità di ricordare diversi set di nomi utente e password, permette anche di effettuare automaticamente il provisioning o il deprovisioning dell'accesso alle applicazioni degli utenti in base all'appartenenza ai gruppi dell'organizzazione e al relativo stato come dipendenti.Users don’t have to remember multiple sets of usernames and passwords, and their application access can be automatically provisioned (or deprovisioned) based on their organization group memberships and their status as an employee. Permette poi di controllare l'accesso ad app della raccolta o app locali sviluppate e pubblicate tramite il proxy di applicazione di Azure AD.And you can control that access for gallery apps or for your own on-premises apps that you’ve developed and published through the Azure AD Application Proxy.

Usare SSO per consentire agli utenti di accedere alle applicazioni SaaS in base all'account aziendale o dell'istituto di istruzione in Azure AD.Use SSO to enable users to access their SaaS applications based on their work or school account in Azure AD. Questo vale non solo per le app SaaS Microsoft, ma anche per altre app come Google Apps e Salesforce.This is applicable not only for Microsoft SaaS apps, but also other apps, such as Google Apps and Salesforce. L'applicazione può essere configurata per l'uso di Azure AD come provider di identità basata su SAML.You can configure your application to use Azure AD as a SAML-based identity provider. Come controllo di sicurezza, Azure AD non rilascia all'utente un token per l'accesso all'applicazione a meno che l'accesso non sia stato concesso all'utente con Azure AD.As a security control, Azure AD does not issue a token that allows users to sign in to the application unless they have been granted access through Azure AD. L'accesso può essere concesso direttamente agli utenti o attraverso un gruppo di cui sono membri.You can grant access directly, or through a group that users are a member of.

Le organizzazioni che non creano un'identità comune per stabilire l'accesso SSO per utenti e applicazioni sono più esposte a situazioni in cui gli utenti devono utilizzare più password.Organizations that don’t create a common identity to establish SSO for their users and applications are more exposed to scenarios where users have multiple passwords. In queste situazioni aumenta la probabilità di riutilizzare le password o di utilizzare password vulnerabili.These scenarios increase the likelihood of users reusing passwords or using weak passwords.

Abilitare l'accesso condizionaleTurn on Conditional Access

Gli utenti possono accedere alle risorse dell'organizzazione con una serie di dispositivi e app ovunque si trovino.Users can access your organization's resources by using a variety of devices and apps from anywhere. È compito dell'amministratore IT assicurarsi che i dispositivi soddisfino gli standard di sicurezza e conformità.As an IT admin, you want to make sure that these devices meet your standards for security and compliance. Tuttavia, non è più sufficiente concentrarsi solo su chi può accedere a una risorsa.Just focusing on who can access a resource is not sufficient anymore.

Per ottenere un equilibrio tra sicurezza e produttività, nelle decisioni relative al controllo di accesso è necessario considerare anche il modo in cui si accede a una risorsa.To balance security and productivity, you need to think about how a resource is accessed before you can make a decision about access control. Con l'accesso condizionale di Azure AD è possibile soddisfare questo requisito.With Azure AD Conditional Access, you can address this requirement. Con l'accesso condizionale è possibile prendere decisioni di controllo automatiche per l'accesso alle app cloud in base a determinate condizioni.With Conditional Access, you can make automated access control decisions based on conditions for accessing your cloud apps.

Procedura consigliata: gestire e controllare l'accesso alle risorse aziendali.Best practice: Manage and control access to corporate resources.
Dettagli: configurare i criteri di accesso condizionale di Azure AD in base all'importanza di gruppi, posizioni e applicazioni per le app SaaS e le app connesse ad Azure AD.Detail: Configure common Azure AD Conditional Access policies based on a group, location, and application sensitivity for SaaS apps and Azure AD–connected apps.

Procedura consigliata: bloccare i protocolli di autenticazione legacy.Best practice: Block legacy authentication protocols. Dettagli: gli utenti malintenzionati sfruttano ogni giorno i punti deboli nei protocolli meno recenti, in particolare per gli attacchi password spraying.Detail: Attackers exploit weaknesses in older protocols every day, particularly for password spray attacks. Configurare l'accesso condizionale in modo da bloccare i protocolli legacy.Configure Conditional Access to block legacy protocols.

Pianificare miglioramenti per la sicurezza di routinePlan for routine security improvements

La sicurezza è sempre in evoluzione ed è importante creare nel framework di gestione delle identità e del cloud un modo per mostrare regolarmente la crescita e individuare nuove soluzioni per proteggere l'ambiente.Security is always evolving, and it is important to build into your cloud and identity management framework a way to regularly show growth and discover new ways to secure your environment.

Il punteggio di sicurezza delle identità è un set di controlli di sicurezza consigliati pubblicati da Microsoft. Fornisce un punteggio numerico per misurare in modo mirato il comportamento di sicurezza e contribuire a pianificare miglioramenti della sicurezza futuri.Identity Secure Score is a set of recommended security controls that Microsoft publishes that works to provide you a numerical score to objectively measure your security posture and help plan future security improvements. È anche possibile visualizzare il punteggio rispetto a quelli di altri settori e alle tendenze della propria organizzazione nel tempo.You can also view your score in comparison to those in other industries as well as your own trends over time.

Procedura consigliata: pianificare verifiche e miglioramenti della sicurezza di routine in base alle procedure consigliate del settore.Best practice: Plan routine security reviews and improvements based on best practices in your industry. Dettagli: usare la funzionalità di punteggio di sicurezza delle identità per classificare i miglioramenti nel tempo.Detail: Use the Identity Secure Score feature to rank your improvements over time.

Abilitare la gestione delle passwordEnable password management

Se sono presenti più tenant o si vuole consentire agli utenti di reimpostare la propria password, è importante adottare criteri di sicurezza adatti per prevenire l'uso improprio.If you have multiple tenants or you want to enable users to reset their own passwords, it’s important that you use appropriate security policies to prevent abuse.

Procedura consigliata: configurare la reimpostazione della password self-service per gli utenti.Best practice: Set up self-service password reset (SSPR) for your users.
Dettagli: usare la funzionalità di reimpostazione della password self-service di Azure AD.Detail: Use the Azure AD self-service password reset feature.

Procedura consigliata: monitorare come o se la reimpostazione della password self-service viene effettivamente usata.Best practice: Monitor how or if SSPR is really being used.
Dettagli: monitorare gli utenti che eseguono la registrazione usando il report Attività di registrazione reimpostazione password di Azure AD.Detail: Monitor the users who are registering by using the Azure AD Password Reset Registration Activity report. La funzionalità di creazione di report disponibile in Azure AD consente di rispondere a domande specifiche grazie a report predefiniti.The reporting feature that Azure AD provides helps you answer questions by using prebuilt reports. Se si dispone di una licenza appropriata, è anche possibile creare query personalizzate.If you're appropriately licensed, you can also create custom queries.

Procedura consigliata: estendere all'infrastruttura locale i criteri per le password basate sul cloud.Best practice: Extend cloud-based password policies to your on-premises infrastructure. Dettagli: migliorare i criteri per le password nell'organizzazione eseguendo per le modifiche delle password locali gli stessi controlli eseguiti per le modifiche delle password basate sul cloud.Detail: Enhance password policies in your organization by performing the same checks for on-premises password changes as you do for cloud-based password changes. Installare gli agenti di protezione password di Azure AD per Windows Server Active Directory in locale per estendere all'infrastruttura esistente gli elenchi di password escluse.Install Azure AD password protection for Windows Server Active Directory agents on-premises to extend banned password lists to your existing infrastructure. Gli utenti e gli amministratori che modificano, impostano o reimpostano le password in locale devono rispettare gli stessi criteri per le password degli utenti che usano solo il cloud.Users and admins who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

Applicare la verifica a più fattori per gli utentiEnforce multi-factor verification for users

È consigliabile richiedere la verifica in due passaggi per tutti gli utenti.We recommend that you require two-step verification for all of your users. Questo vale anche per gli amministratori e gli altri utenti dell'organizzazione la cui compromissione dell'account potrebbe avere un impatto significativo, ad esempio, i dirigenti del reparto finanziario.This includes administrators and others in your organization who can have a significant impact if their account is compromised (for example, financial officers).

Sono disponibili vari modi per richiedere la verifica in due passaggi.There are multiple options for requiring two-step verification. L'opzione migliore dipende dall'obiettivo che si intende raggiungere, dall'edizione di Azure AD in esecuzione e dal programma di licenza.The best option for you depends on your goals, the Azure AD edition you’re running, and your licensing program. Vedere Come richiedere la verifica in due passaggi per un utente per determinare l'opzione migliore per il proprio ambiente.See How to require two-step verification for a user to determine the best option for you. Per altre informazioni sulle licenze e sui prezzi, vedere le pagine relative ai prezzi di Azure ad e Azure ad multi-factor authentication .See the Azure AD and Azure AD Multi-Factor Authentication pricing pages for more information about licenses and pricing.

Di seguito sono indicati i vantaggi e le opzioni per l'abilitazione della verifica in due passaggi:Following are options and benefits for enabling two-step verification:

Opzione 1: abilitare l'autenticazione MFA per tutti gli utenti e i metodi di accesso con le impostazioni predefinite per la sicurezza Azure AD Vantaggio: questa opzione consente di applicare in modo semplice e rapido l'autenticazione MFA per tutti gli utenti dell'ambiente con criteri rigorosi per:Option 1: Enable MFA for all users and login methods with Azure AD Security Defaults Benefit: This option enables you to easily and quickly enforce MFA for all users in your environment with a stringent policy to:

  • Verificare gli account amministrativi e i meccanismi di accesso amministrativoChallenge administrative accounts and administrative logon mechanisms
  • Richiedere la verifica con autenticazione MFA tramite Microsoft Authenticator per tutti gli utentiRequire MFA challenge via Microsoft Authenticator for all users
  • Bloccare i protocolli di autenticazione legacyRestrict legacy authentication protocols.

Questo metodo è disponibile per tutti i livelli di licenza, ma non può essere combinato con criteri di accesso condizionale esistenti.This method is available to all licensing tiers but is not able to be mixed with existing Conditional Access policies. Altre informazioni sono disponibili in Azure ad impostazioni predefinite di sicurezzaYou can find more information in Azure AD Security Defaults

Opzione 2: abilitare l'autenticazione a più fattori modificando lo stato utente.Option 2: Enable Multi-Factor Authentication by changing user state.
Vantaggio: questo è il metodo tradizionale per richiedere la verifica in due passaggi.Benefit: This is the traditional method for requiring two-step verification. Funziona con Azure AD multi-factor authentication nel cloud e server multi-factor authentication di Azure.It works with both Azure AD Multi-Factor Authentication in the cloud and Azure Multi-Factor Authentication Server. Con questo metodo gli utenti devono eseguire la verifica in due passaggi ogni volta che eseguono l'accesso e viene eseguito l'override dei criteri di accesso condizionale.Using this method requires users to perform two-step verification every time they sign in and overrides Conditional Access policies.

Per determinare la posizione in cui è necessario abilitare Multi-Factor Authentication, vedere quale versione di Azure ad multi-factor authentication è giusta per la propria organizzazione?To determine where Multi-Factor Authentication needs to be enabled, see Which version of Azure AD MFA is right for my organization?.

Opzione 3: abilitare l'autenticazione MFA con criteri di accesso condizionale.Option 3: Enable Multi-Factor Authentication with Conditional Access policy. Vantaggio: questa opzione consente di richiedere la verifica in due passaggi in determinate condizioni usando l'accesso condizionale.Benefit: This option allows you to prompt for two-step verification under specific conditions by using Conditional Access. L'accesso di utenti da posizioni diverse, l'uso di dispositivi non attendibili o l'uso di applicazioni considerate rischiose possono essere considerate condizioni specifiche.Specific conditions can be user sign-in from different locations, untrusted devices, or applications that you consider risky. La definizione di condizioni specifiche in cui si richiede la verifica in due passaggi consente di evitare di chiedere continuamente conferma agli utenti della loro identità, che può risultare spiacevole.Defining specific conditions where you require two-step verification enables you to avoid constant prompting for your users, which can be an unpleasant user experience.

Questo rappresenta il mezzo più flessibile per abilitare la verifica in due passaggi per gli utenti.This is the most flexible way to enable two-step verification for your users. L'abilitazione di un criterio di accesso condizionale funziona solo per Azure AD Multi-Factor Authentication nel cloud ed è una funzionalità Premium di Azure AD.Enabling a Conditional Access policy works only for Azure AD Multi-Factor Authentication in the cloud and is a premium feature of Azure AD. Per ulteriori informazioni su questo metodo, vedere la pagina relativa alla distribuzione di Azure ad basati su cloud multi-factor authentication.You can find more information on this method in Deploy cloud-based Azure AD Multi-Factor Authentication.

Opzione 4: abilitare l'autenticazione MFA con criteri di accesso condizionale valutando i criteri di accesso condizionale basati sul rischio.Option 4: Enable Multi-Factor Authentication with Conditional Access policies by evaluating Risk-based Conditional Access policies.
Vantaggio: questa opzione consente di:Benefit: This option enables you to:

  • Rilevare le potenziali vulnerabilità per le identità dell'organizzazione.Detect potential vulnerabilities that affect your organization’s identities.
  • Configurare risposte automatizzate alle azioni sospette rilevate in relazione alle identità dell'organizzazione.Configure automated responses to detected suspicious actions that are related to your organization’s identities.
  • Esaminare gli eventi imprevisti sospetti ed eseguire l'azione appropriata per risolverli.Investigate suspicious incidents and take appropriate action to resolve them.

Questo metodo usa la valutazione del rischio di Azure AD Identity Protection per determinare se la verifica in due passaggi è necessaria in funzione del rischio per l'utente e l'accesso per tutte le applicazioni cloud.This method uses the Azure AD Identity Protection risk evaluation to determine if two-step verification is required based on user and sign-in risk for all cloud applications. Questo metodo richiede una licenza di Azure Active Directory P2.This method requires Azure Active Directory P2 licensing. Per altre informazioni su questo metodo, vedere Azure Active Directory Identity Protection.You can find more information on this method in Azure Active Directory Identity Protection.

Nota

Opzione 2, abilitazione di Multi-Factor Authentication modificando lo stato utente, esegue l'override dei criteri di accesso condizionale.Option 2, enabling Multi-Factor Authentication by changing the user state, overrides Conditional Access policies. Poiché le opzioni 3 e 4 usano i criteri di accesso condizionale, non è possibile usare l'opzione 2 con essi.Because options 3 and 4 use Conditional Access policies, you cannot use option 2 with them.

Le organizzazioni che non aggiungono livelli supplementari di protezione delle identità, come la verifica in due passaggi, sono più vulnerabili agli attacchi con furto di credenziali.Organizations that don’t add extra layers of identity protection, such as two-step verification, are more susceptible for credential theft attack. Un attacco con furto di credenziali comporta il rischio di compromissione dei dati.A credential theft attack can lead to data compromise.

Usare il controllo degli accessi in base al ruoloUse role-based access control

La gestione dell'accesso per le risorse cloud è fondamentale per tutte le organizzazioni che usano il cloud.Access management for cloud resources is critical for any organization that uses the cloud. Il controllo degli accessi in base al ruolo di Azure (RBAC di Azure) consente di gestire gli utenti che hanno accesso alle risorse di Azure, le operazioni che possono eseguire con tali risorse e le aree a cui hanno accesso.Azure role-based access control (Azure RBAC) helps you manage who has access to Azure resources, what they can do with those resources, and what areas they have access to.

La designazione di gruppi o singoli ruoli responsabili di funzioni specifiche in Azure consente di evitare confusioni che possono causare errori umani e di automazione che creano rischi per la sicurezza.Designating groups or individual roles responsible for specific functions in Azure helps avoid confusion that can lead to human and automation errors that create security risks. Per le organizzazioni che intendono applicare criteri di sicurezza per l'accesso ai dati è fondamentale limitare l'accesso in base a principi di riservatezza e privilegi minimi.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access.

Il team di sicurezza deve avere visibilità sulle risorse di Azure per valutare e correggere i rischi.Your security team needs visibility into your Azure resources in order to assess and remediate risk. Se il team di sicurezza ha responsabilità operative, è necessario disporre di autorizzazioni aggiuntive per svolgere il proprio lavoro.If the security team has operational responsibilities, they need additional permissions to do their jobs.

È possibile usare il controllo degli accessi in base al ruolo di Azure per assegnare autorizzazioni a utenti, gruppi e applicazioni in un determinato ambito.You can use Azure RBAC to assign permissions to users, groups, and applications at a certain scope. L'ambito di un'assegnazione di ruolo può essere una sottoscrizione, un gruppo di risorse o una singola risorsa.The scope of a role assignment can be a subscription, a resource group, or a single resource.

Procedura consigliata: separare i compiti all'interno del team e concedere agli utenti l'accesso solo nella misura necessaria per consentire loro di svolgere il proprio lavoro.Best practice: Segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Anziché concedere a tutti autorizzazioni senza restrizioni per la sottoscrizione o le risorse di Azure, consentire solo determinate azioni in un particolare ambito.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, allow only certain actions at a particular scope. Dettagli: usare i ruoli predefiniti di Azure in Azure per assegnare privilegi agli utenti.Detail: Use Azure built-in roles in Azure to assign privileges to users.

Nota

Le autorizzazioni specifiche creano complessità e confusione non richieste e si accumulano in una configurazione "legacy" difficile da correggere senza il rischio di danneggiare qualcosa.Specific permissions create unneeded complexity and confusion, accumulating into a “legacy” configuration that’s difficult to fix without fear of breaking something. Evitare di definire autorizzazioni specifiche per le risorse.Avoid resource-specific permissions. In alternativa, usare gruppi di gestione per autorizzazioni a livello aziendale e gruppi di risorse per autorizzazioni nell'ambito delle sottoscrizioni.Instead, use management groups for enterprise-wide permissions and resource groups for permissions within subscriptions. Evitare di definire autorizzazioni specifiche per gli utenti.Avoid user-specific permissions. Assegnare piuttosto l'accesso a gruppi in Azure AD.Instead, assign access to groups in Azure AD.

Procedura consigliata: concedere ai team di sicurezza con responsabilità di Azure l'accesso per visualizzare le risorse di Azure in modo da poter valutare e correggere i rischi.Best practice: Grant security teams with Azure responsibilities access to see Azure resources so they can assess and remediate risk. Dettagli: concedere ai team di sicurezza il ruolo di lettore di sicurezza RBAC di Azure.Detail: Grant security teams the Azure RBAC Security Reader role. È possibile usare il gruppo di gestione radice o il gruppo di gestione segmenti, a seconda dell'ambito di responsabilità:You can use the root management group or the segment management group, depending on the scope of responsibilities:

  • Gruppo di gestione radice per i team responsabili di tutte le risorse aziendaliRoot management group for teams responsible for all enterprise resources
  • Gruppo di gestione segmenti per i team con ambito limitato (in genere a causa di normative o altri limiti dell'organizzazione)Segment management group for teams with limited scope (commonly because of regulatory or other organizational boundaries)

Procedura consigliata: concedere le autorizzazioni appropriate ai team di sicurezza che hanno responsabilità operative dirette.Best practice: Grant the appropriate permissions to security teams that have direct operational responsibilities. Dettagli: esaminare i ruoli predefiniti di Azure per l'assegnazione di ruolo appropriata.Detail: Review the Azure built-in roles for the appropriate role assignment. Se i ruoli predefiniti non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati di Azure.If the built-in roles don't meet the specific needs of your organization, you can create Azure custom roles. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio negli ambiti di sottoscrizione, gruppo di risorse e risorsa.As with built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

Procedure consigliate: concedere al Centro sicurezza di Azure l'accesso ai ruoli di sicurezza che lo richiedono.Best practices: Grant Azure Security Center access to security roles that need it. Il Centro sicurezza consente ai team di sicurezza di identificare e correggere rapidamente i rischi.Security Center allows security teams to quickly identify and remediate risks. Dettagli: aggiungere i team di sicurezza con queste esigenze al ruolo di amministratore della sicurezza RBAC di Azure in modo che possano visualizzare i criteri di sicurezza, visualizzare gli Stati di sicurezza, modificare i criteri di sicurezza, visualizzare avvisi e consigli e ignorare gli avvisi e le raccomandazioni.Detail: Add security teams with these needs to the Azure RBAC Security Admin role so they can view security policies, view security states, edit security policies, view alerts and recommendations, and dismiss alerts and recommendations. A tale scopo, è possibile usare il gruppo di gestione radice o il gruppo di gestione segmenti, a seconda dell'ambito di responsabilità.You can do this by using the root management group or the segment management group, depending on the scope of responsibilities.

Le organizzazioni che non applicano il controllo di accesso ai dati usando funzionalità come il controllo degli accessi in base al ruolo di Azure potrebbero concedere più privilegi del necessario agli utenti.Organizations that don’t enforce data access control by using capabilities like Azure RBAC might be giving more privileges than necessary to their users. Questo può causare la compromissione dei dati perché gli utenti potrebbero avere accesso a tipi di dati, come importanti dati aziendali, a cui non dovrebbero poter accedere.This can lead to data compromise by allowing users to access types of data (for example, high business impact) that they shouldn’t have.

Diminuire l'esposizione degli account con privilegiLower exposure of privileged accounts

La protezione dell'accesso con privilegi è il primo fondamentale passo per proteggere le risorse aziendali.Securing privileged access is a critical first step to protecting business assets. Riducendo al minimo il numero di utenti che hanno accesso a informazioni o risorse protette riduce le probabilità che un utente malintenzionato acceda al sistema, o che un utente autorizzato comprometta inavvertitamente una risorsa sensibile.Minimizing the number of people who have access to secure information or resources reduces the chance of a malicious user getting access, or an authorized user inadvertently affecting a sensitive resource.

Gli account con privilegi sono gli account che amministrano e gestiscono i sistemi IT.Privileged accounts are accounts that administer and manage IT systems. Gli utenti malintenzionati usano questi account per ottenere l'accesso ai dati e ai sistemi di un'organizzazione.Cyber attackers target these accounts to gain access to an organization’s data and systems. Per proteggere l'accesso con privilegi, è necessario isolare gli account e i sistemi dal rischio di esposizione a utenti malintenzionati.To secure privileged access, you should isolate the accounts and systems from the risk of being exposed to a malicious user.

Si consiglia di sviluppare e seguire una roadmap per proteggere l'accesso con privilegi dagli utenti malintenzionati.We recommend that you develop and follow a roadmap to secure privileged access against cyber attackers. Per informazioni sulla creazione di una roadmap dettagliata per proteggere le identità e l'accesso gestiti o segnalati in Azure AD, Microsoft Azure, Microsoft 365 e altri servizi cloud, vedere la pagina relativa alla protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure ad.For information about creating a detailed roadmap to secure identities and access that are managed or reported in Azure AD, Microsoft Azure, Microsoft 365, and other cloud services, review Securing privileged access for hybrid and cloud deployments in Azure AD.

Di seguito sono riassunte le procedure consigliate disponibili in Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD:The following summarizes the best practices found in Securing privileged access for hybrid and cloud deployments in Azure AD:

Procedura consigliata: gestire, controllare e monitorare l'accesso ad account con privilegi.Best practice: Manage, control, and monitor access to privileged accounts.
Dettagli: attivare Azure AD Privileged Identity Management.Detail: Turn on Azure AD Privileged Identity Management. Dopo l'attivazione di Privileged Identity Management, si riceveranno messaggi di posta elettronica di notifica in caso di modifiche ai ruoli di accesso con privilegi.After you turn on Privileged Identity Management, you’ll receive notification email messages for privileged access role changes. Queste notifiche forniscono un avviso tempestivo in caso di aggiunta di ulteriori utenti a ruoli con privilegi elevati nella directory.These notifications provide early warning when additional users are added to highly privileged roles in your directory.

Procedura consigliata: assicurarsi che tutti gli account amministratore critici siano account di Azure AD gestiti.Best practice: Ensure all critical admin accounts are managed Azure AD accounts. Dettagli: rimuovere gli account consumer dai ruoli di amministratore critici, ad esempio account Microsoft come hotmail.com, live.com e outlook.com.Detail: Remove any consumer accounts from critical admin roles (for example, Microsoft accounts like hotmail.com, live.com, and outlook.com).

Procedura consigliata: assicurarsi che tutti i ruoli di amministratore critici dispongano di un account separato per le attività amministrative, in modo da evitare phishing e altri attacchi che possano compromettere i privilegi amministrativi.Best practice: Ensure all critical admin roles have a separate account for administrative tasks in order to avoid phishing and other attacks to compromise administrative privileges. Dettagli: creare un account amministratore separato a cui assegnare i privilegi necessari per eseguire le attività amministrative.Detail: Create a separate admin account that’s assigned the privileges needed to perform the administrative tasks. Blocca l'uso di questi account amministrativi per strumenti di produttività giornalieri come Microsoft 365 posta elettronica o l'esplorazione Web arbitraria.Block the use of these administrative accounts for daily productivity tools like Microsoft 365 email or arbitrary web browsing.

Procedura consigliata: identificare e classificare gli account che si trovano in ruoli con privilegi elevati.Best practice: Identify and categorize accounts that are in highly privileged roles.
Dettagli: dopo aver attivato Azure AD Privileged Identity Management, visualizzare gli utenti con i ruoli di amministratore globale o di amministratore del ruolo con privilegi e con altri ruoli con privilegi elevati.Detail: After turning on Azure AD Privileged Identity Management, view the users who are in the global administrator, privileged role administrator, and other highly privileged roles. Rimuovere tutti gli account che non sono più necessari in questi ruoli e classificare gli account rimanenti assegnati ai ruoli di amministratore:Remove any accounts that are no longer needed in those roles, and categorize the remaining accounts that are assigned to admin roles:

  • Singolarmente assegnati a utenti amministratori e che possono essere usati per scopi non amministrativi, ad esempio, posta elettronica personaleIndividually assigned to administrative users, and can be used for non-administrative purposes (for example, personal email)
  • Singolarmente assegnati a utenti amministratori e designati esclusivamente per scopi amministrativiIndividually assigned to administrative users and designated for administrative purposes only
  • Condivisi tra più utentiShared across multiple users
  • Per scenari di accesso di emergenzaFor emergency access scenarios
  • Per script automatizzatiFor automated scripts
  • Per utenti esterniFor external users

Procedura consigliata: implementare l'accesso "just in time" (JIT) per ridurre ulteriormente il tempo di esposizione dei privilegi e aumentare la visibilità sull'uso degli account con privilegi.Best practice: Implement “just in time” (JIT) access to further lower the exposure time of privileges and increase your visibility into the use of privileged accounts.
Dettagli: Azure AD Privileged Identity Management consente di effettuare le operazioni seguenti:Detail: Azure AD Privileged Identity Management lets you:

  • Limitare gli utenti a prendere solo il proprio accesso con privilegi JIT.Limit users to only taking on their privileges JIT.
  • Assegnare i ruoli per un periodo di tempo ridotto sapendo che i privilegi vengono revocati automaticamente.Assign roles for a shortened duration with confidence that the privileges are revoked automatically.

Procedura consigliata: definire almeno due account di accesso di emergenza.Best practice: Define at least two emergency access accounts.
Dettagli: gli account di accesso di emergenza consentono alle organizzazioni di limitare l'accesso con privilegi in un ambiente Azure Active Directory esistente.Detail: Emergency access accounts help organizations restrict privileged access in an existing Azure Active Directory environment. Si tratta di account con privilegi elevati non assegnati a utenti specifici.These accounts are highly privileged and are not assigned to specific individuals. Gli account di accesso di emergenza sono limitati a scenari in cui non è possibile usare i normali account amministrativi.Emergency access accounts are limited to scenarios where normal administrative accounts can’t be used. Le organizzazioni devono limitare l'utilizzo degli account di emergenza per la sola quantità di tempo necessaria.Organizations must limit the emergency account's usage to only the necessary amount of time.

Valutare gli account assegnati o idonei per il ruolo di amministratore globale.Evaluate the accounts that are assigned or eligible for the global admin role. Se non sono presenti account solo cloud con il dominio *.onmicrosoft.com (destinati all'accesso di emergenza), crearli.If you don’t see any cloud-only accounts by using the *.onmicrosoft.com domain (intended for emergency access), create them. Per altre informazioni, vedere Gestire gli account amministrativi di accesso di emergenza in Azure AD.For more information, see Managing emergency access administrative accounts in Azure AD.

Procedura consigliata: definire un processo di scenario critico in caso di emergenza.Best practice: Have a “break glass" process in place in case of an emergency. Dettagli: seguire la procedura illustrata in Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD.Detail: Follow the steps in Securing privileged access for hybrid and cloud deployments in Azure AD.

Procedura consigliata: richiedere che tutti gli account amministratore critici siano senza password (scelta consigliata) o richiedere l'autenticazione MFA.Best practice: Require all critical admin accounts to be password-less (preferred), or require Multi-Factor Authentication. Dettagli: Usare l'app Microsoft Authenticator per accedere a qualsiasi account di Azure AD senza usare una password.Detail: Use the Microsoft Authenticator app to sign in to any Azure AD account without using a password. Analogamente a Windows Hello for Business, Microsoft Authenticator usa l'autenticazione basata su chiavi per abilitare credenziali utente associate a un dispositivo e usa l'autenticazione biometrica o un PIN.Like Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that’s tied to a device and uses biometric authentication or a PIN.

Richiedere Azure AD Multi-Factor Authentication all'accesso per tutti i singoli utenti assegnati in modo permanente a uno o più ruoli di amministratore Azure AD: amministratore globale, amministratore del ruolo con privilegi, amministratore di Exchange Online e amministratore di SharePoint Online.Require Azure AD Multi-Factor Authentication at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global Administrator, Privileged Role Administrator, Exchange Online Administrator, and SharePoint Online Administrator. Abilitare Multi-Factor Authentication per gli account amministratore e assicurarsi che tali utenti account amministratore abbiano tutti eseguito la registrazione.Enable Multi-Factor Authentication for your admin accounts and ensure that admin account users have registered.

Procedura consigliata: per gli account amministratore critici, predisporre una workstation di amministrazione in cui non siano consentite attività di produzione, ad esempio esplorazione e posta elettronica.Best practice: For critical admin accounts, have an admin workstation where production tasks aren’t allowed (for example, browsing and email). Questo consentirà di proteggere gli account amministratore da vettori di attacco che usano l'esplorazione e la posta elettronica e di ridurre in modo significativo il rischio di un evento imprevisto grave.This will protect your admin accounts from attack vectors that use browsing and email and significantly lower your risk of a major incident. Dettagli: usare una workstation di amministrazione.Detail: Use an admin workstation. Scegliere un livello di sicurezza della workstation:Choose a level of workstation security:

  • I dispositivi di produzione con sicurezza elevata garantiscono sicurezza avanzata per l'esplorazione e altre attività di produzione.Highly secure productivity devices provide advanced security for browsing and other productivity tasks.
  • Per le attività sensibili, le workstation dotate di accesso con privilegi (PAW, Privileged Access Workstation) forniscono un sistema operativo dedicato, protetto dagli attacchi provenienti da Internet e dai vettori di minacce.Privileged Access Workstations (PAWs) provide a dedicated operating system that’s protected from internet attacks and threat vectors for sensitive tasks.

Procedura consigliata: effettuare il deprovisioning degli account amministratore quando i dipendenti lasciano l'organizzazione.Best practice: Deprovision admin accounts when employees leave your organization. Dettagli: predisporre un processo che disabilita o elimina gli account amministratore quando i dipendenti lasciano l'organizzazione.Detail: Have a process in place that disables or deletes admin accounts when employees leave your organization.

Procedura consigliata: eseguire regolarmente test degli account amministratore usando le tecniche di attacco correnti.Best practice: Regularly test admin accounts by using current attack techniques. Dettagli: usare Microsoft 365 simulatore di attacco o un'offerta di terze parti per eseguire scenari di attacco realistici nell'organizzazione.Detail: Use Microsoft 365 Attack Simulator or a third-party offering to run realistic attack scenarios in your organization. In questo modo è possibile trovare utenti vulnerabili prima che si verifichi un attacco reale.This can help you find vulnerable users before a real attack occurs.

Procedura consigliata: intervenire per mitigare l'effetto delle tecniche di attacco usate più di frequente.Best practice: Take steps to mitigate the most frequently used attacked techniques.
Dettagli: identificare gli account Microsoft in ruoli amministrativi per cui è necessario passare ad account aziendali o dell'istituto di istruzione.Detail: Identify Microsoft accounts in administrative roles that need to be switched to work or school accounts

Separare gli account utente e l'inoltro della posta elettronica per gli account amministratore globaleEnsure separate user accounts and mail forwarding for global administrator accounts

Verificare che le password degli account amministrativi siano state modificate di recenteEnsure that the passwords of administrative accounts have recently changed

Attivare la sincronizzazione dell'hash delle passwordTurn on password hash synchronization

Richiedere l'autenticazione a più fattori per gli utenti con tutti i ruoli con privilegi e gli utenti espostiRequire Multi-Factor Authentication for users in all privileged roles as well as exposed users

Ottenere il Punteggio sicuro Microsoft 365 (se si usa Microsoft 365)Obtain your Microsoft 365 Secure Score (if using Microsoft 365)

Esaminare le linee guida per la sicurezza Microsoft 365 (se si usa Microsoft 365)Review the Microsoft 365 security guidance (if using Microsoft 365)

Configurare il monitoraggio dell'attività Microsoft 365 (se si usa Microsoft 365)Configure Microsoft 365 Activity Monitoring (if using Microsoft 365)

Stabilire i proprietari del piano di risposta a eventi imprevisti ed emergenzeEstablish incident/emergency response plan owners

Proteggere gli account amministrativi con privilegi localiSecure on-premises privileged administrative accounts

Se non si protegge l'accesso con privilegi, si noterà che troppi utenti hanno ruoli con privilegi elevati che sono più vulnerabili agli attacchi.If you don’t secure privileged access, you might find that you have too many users in highly privileged roles and are more vulnerable to attacks. Attori dannosi, come gli utenti malintenzionati, prendono spesso di mira gli account amministratore e altri elementi di accesso con privilegi per accedere ai dati sensibili e ai sistemi usando attacchi con furto di credenziali.Malicious actors, including cyber attackers, often target admin accounts and other elements of privileged access to gain access to sensitive data and systems by using credential theft.

Controllare le posizioni in cui vengono create le risorseControl locations where resources are created

Permettere agli operatori cloud di eseguire attività senza infrangere convenzioni necessarie per la gestione delle risorse dell'organizzazione è molto importante.Enabling cloud operators to perform tasks while preventing them from breaking conventions that are needed to manage your organization's resources is very important. Per controllare i percorsi in cui le risorse vengono create, è consigliabile impostarli come hardcoded a livello dell'organizzazione.Organizations that want to control the locations where resources are created should hard code these locations.

Usare Azure Resource Manager per creare criteri di sicurezza con definizioni che descrivono le risorse o le azioni negate in modo specifico.You can use Azure Resource Manager to create security policies whose definitions describe the actions or resources that are specifically denied. Le definizioni dei criteri vengono assegnate all'ambito desiderato, ad esempio la sottoscrizione, un gruppo di risorse o una singola risorsa.You assign those policy definitions at the desired scope, such as the subscription, the resource group, or an individual resource.

Nota

I criteri di sicurezza non corrispondono a RBAC di Azure.Security policies are not the same as Azure RBAC. Usano effettivamente RBAC di Azure per autorizzare gli utenti a creare tali risorse.They actually use Azure RBAC to authorize users to create those resources.

Le organizzazioni che non controllano le modalità di creazione delle risorse sono più soggette a un uso improprio del servizio da parte degli utenti, che potrebbero creare più risorse del necessario.Organizations that are not controlling how resources are created are more susceptible to users who might abuse the service by creating more resources than they need. Il rafforzamento del processo di creazione delle risorse è un passaggio importante per la protezione di uno scenario multi-tenant.Hardening the resource creation process is an important step to securing a multitenant scenario.

Monitorare attivamente le attività sospetteActively monitor for suspicious activities

Un sistema di monitoraggio delle identità attive può rilevare rapidamente comportamenti sospetti e attivare un avviso per un'analisi approfondita.An active identity monitoring system can quickly detect suspicious behavior and trigger an alert for further investigation. Nella tabella seguente sono elencate due funzionalità di Azure AD che consentono alle organizzazioni di monitorare le identità:The following table lists two Azure AD capabilities that can help organizations monitor their identities:

Procedura consigliata: predisporre un metodo per individuare:Best practice: Have a method to identify:

Dettagli: usare i report anomalie di Azure AD Premium.Detail: Use Azure AD Premium anomaly reports. Predisporre processi e procedure in modo che gli amministratori IT possano eseguire tali report ogni giorno o su richiesta, in genere in uno scenario di risposta a eventi imprevisti.Have processes and procedures in place for IT admins to run these reports on a daily basis or on demand (usually in an incident response scenario).

Procedura consigliata: disporre di un sistema di monitoraggio attivo che avvisi dei rischi e il cui livello di rischio (alto, medio o basso) possa essere adattato ai requisiti aziendali.Best practice: Have an active monitoring system that notifies you of risks and can adjust risk level (high, medium, or low) to your business requirements.
Dettagli: usare Azure AD Identity Protection, che segnala i rischi correnti nel relativo dashboard e invia notifiche riassuntive giornaliere tramite posta elettronica.Detail: Use Azure AD Identity Protection, which flags the current risks on its own dashboard and sends daily summary notifications via email. Per contribuire a proteggere le identità dell'organizzazione, è possibile configurare criteri basati sul rischio che rispondano automaticamente ai problemi rilevati quando viene raggiunto un livello di rischio specificato.To help protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level is reached.

Le organizzazioni che non monitorano attivamente i sistemi di identità sono esposti al rischio di compromissione delle credenziali utente.Organizations that don’t actively monitor their identity systems are at risk of having user credentials compromised. Se l'organizzazione non è consapevole dello svolgimento di attività sospette con tali credenziali, non potrà attenuare questo tipo di minaccia.Without knowledge that suspicious activities are taking place through these credentials, organizations can’t mitigate this type of threat.

Usare Azure AD per l'autenticazione dell'archiviazioneUse Azure AD for storage authentication

Archiviazione di Azure supporta l'autenticazione e l'autorizzazione con Azure AD per archiviazione BLOB e archiviazione code.Azure Storage supports authentication and authorization with Azure AD for Blob storage and Queue storage. Con l'autenticazione di Azure AD è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere autorizzazioni specifiche a utenti, gruppi e applicazioni fino all'ambito di un singolo contenitore BLOB o di una coda.With Azure AD authentication, you can use the Azure role-based access control to grant specific permissions to users, groups, and applications down to the scope of an individual blob container or queue.

È consigliabile usare Azure AD per autenticare l'accesso alle risorse di archiviazione.We recommend that you use Azure AD for authenticating access to storage.

Passaggio successivoNext step

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.