Procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di AzureAzure Identity Management and access control security best practices

Questo articolo illustra una serie di procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure.In this article, we discuss a collection of Azure identity management and access control security best practices. Le procedure consigliate si basano sull'esperienza di tecnici e clienti con Azure AD.These best practices are derived from our experience with Azure AD and the experiences of customers like yourself.

Per ogni procedura consigliata verrà illustrato:For each best practice, we explain:

  • Qual è la procedura consigliataWhat the best practice is
  • Il motivo per cui si vuole abilitare tale procedura consigliataWhy you want to enable that best practice
  • Quale potrebbe essere il risultato se non fosse possibile abilitare la procedura consigliataWhat might be the result if you fail to enable the best practice
  • Alternative possibili alla procedura consigliataPossible alternatives to the best practice
  • Come imparare ad abilitare la procedura consigliataHow you can learn to enable the best practice

Questo articolo sulle procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure si basa su pareri condivisi, nonché sulle capacità e sui set di funzionalità della piattaforma Azure esistenti quando l'articolo è stato scritto.This Azure identity management and access control security best practices article is based on a consensus opinion and Azure platform capabilities and feature sets, as they exist at the time this article was written. Le opinioni e le tecnologie cambiano nel tempo e questo articolo verrà aggiornato regolarmente per riflettere tali modifiche.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure illustrate in questo articolo:Azure identity management and access control security best practices discussed in this article include:

  • Trattare l'identità come perimetro di sicurezza primarioTreat identity as the primary security perimeter
  • Centralizzare la gestione delle identitàCentralize identity management
  • Gestire i tenant connessiManage connected tenants
  • Abilita Single Sign-OnEnable single sign-on
  • Attivare l'accesso condizionaleTurn on Conditional Access
  • Abilitare la gestione delle passwordEnable password management
  • Applicare la verifica a più fattori per gli utentiEnforce multi-factor verification for users
  • Usare il controllo degli accessi in base al ruoloUse role-based access control
  • Diminuire l'esposizione degli account con privilegiLower exposure of privileged accounts
  • Controllare le posizioni in cui si trovano le risorseControl locations where resources are located
  • Usare Azure AD per l'autenticazione dell'archiviazioneUse Azure AD for storage authentication

Trattare l'identità come perimetro di sicurezza primarioTreat identity as the primary security perimeter

Molti considerano l'identità come perimetro primario per la sicurezza.Many consider identity to be the primary perimeter for security. Questa strategia rappresenta un cambiamento rispetto al tradizionale ruolo centrale attribuito alla sicurezza della rete.This is a shift from the traditional focus on network security. I perimetri di rete diventano sempre più permeabili pertanto la difesa perimetrale non può essere efficace quanto lo era prima dell'esplosione dei dispositivi BYOD e delle applicazioni cloud.Network perimeters keep getting more porous, and that perimeter defense can’t be as effective as it was before the explosion of BYOD devices and cloud applications.

Azure Active Directory (Azure AD) è la soluzione di Microsoft Azure per la gestione delle identità e degli accessi.Azure Active Directory (Azure AD) is the Azure solution for identity and access management. Azure AD è il servizio Microsoft multi-tenant di gestione delle identità e delle directory basato sul cloud.Azure AD is a multitenant, cloud-based directory and identity management service from Microsoft. Combina in un'unica soluzione servizi di directory importanti, gestione degli accessi alle applicazioni e protezione delle identità.It combines core directory services, application access management, and identity protection into a single solution.

Le sezioni seguenti elencano le procedure consigliate per garantire la sicurezza delle identità e degli accessi tramite Azure AD.The following sections list best practices for identity and access security using Azure AD.

Centralizzare la gestione delle identitàCentralize identity management

In uno scenario di soluzione ibrida di gestione delle identità è consigliabile integrare le directory cloud e locali.In a hybrid identity scenario we recommend that you integrate your on-premises and cloud directories. L'integrazione consente al team IT di gestire gli account da un'unica posizione, indipendentemente da dove viene creato un account.Integration enables your IT team to manage accounts from one location, regardless of where an account is created. L'integrazione consente inoltre agli utenti di essere più produttivi fornendo un'identità comune per l'accesso alle risorse cloud e locali.Integration also helps your users be more productive by providing a common identity for accessing both cloud and on-premises resources.

Procedura consigliata: Definire una singola istanza di Azure AD.Best practice: Establish a single Azure AD instance. La coerenza e una singola origine autorevole aumenteranno la chiarezza e ridurranno i rischi per la sicurezza da errori umani e complessità della configurazione.Consistency and a single authoritative sources will increase clarity and reduce security risks from human errors and configuration complexity. Dettagli: Designare una singola directory di Azure AD come origine autorevole per gli account aziendali e dell'organizzazione.Detail: Designate a single Azure AD directory as the authoritative source for corporate and organizational accounts.

Procedura consigliata: integrare le directory locali con Azure AD.Best practice: Integrate your on-premises directories with Azure AD.
Dettagli: sincronizzare la directory locale con la directory cloud usando Azure AD Connect.Detail: Use Azure AD Connect to synchronize your on-premises directory with your cloud directory.

Nota

Esistono fattori che influiscono sulle prestazioni dei Azure ad Connect.There are factors that affect the performance of Azure AD Connect. Assicurarsi che Azure AD Connect disponga di una capacità sufficiente per mantenere i sistemi sottoposti a sottoesecuzione impedendo la sicurezza e la produttività.Ensure Azure AD Connect has enough capacity to keep underperforming systems from impeding security and productivity. Le organizzazioni di grandi dimensioni o complesse (che eseguono il provisioning di più di 100.000 oggetti) devono seguire i consigli per ottimizzare l'implementazione del Azure ad Connect.Large or complex organizations (organizations provisioning more than 100,000 objects) should follow the recommendations to optimize their Azure AD Connect implementation.

Procedura consigliata: Non sincronizzare gli account per Azure AD con privilegi elevati nell'istanza di Active Directory esistente.Best practice: Don’t synchronize accounts to Azure AD that have high privileges in your existing Active Directory instance. Dettagli: Non modificare la configurazione di Azure ad Connect predefinita che filtra questi account.Detail: Don’t change the default Azure AD Connect configuration that filters out these accounts. Questa configurazione consente di ridurre il rischio di alternanza degli avversari dal cloud alle risorse locali (che potrebbero creare un evento imprevisto principale).This configuration mitigates the risk of adversaries pivoting from cloud to on-premises assets (which could create a major incident).

Procedura consigliata: attivare la sincronizzazione dell'hash delle password.Best practice: Turn on password hash synchronization.
Dettagli: La sincronizzazione dell'hash delle password è una funzionalità usata per sincronizzare gli hash delle password utente da un'istanza di Active Directory locale a un'istanza di Azure AD basata sul cloud.Detail: Password hash synchronization is a feature used to synch user password hashes from an on-premises Active Directory instance to a cloud-based Azure AD instance. Questa sincronizzazione consente di evitare la riproduzione di credenziali perse da attacchi precedenti.This sync helps to protect against leaked credentials being replayed from previous attacks.

Anche se si decide di usare la federazione con Active Directory Federation Services (AD FS) o altri provider di identità, è possibile configurare la sincronizzazione dell'hash delle password come backup in caso di errore o temporanea indisponibilità dei server locali.Even if you decide to use federation with Active Directory Federation Services (AD FS) or other identity providers, you can optionally set up password hash synchronization as a backup in case your on-premises servers fail or become temporarily unavailable. Questa sincronizzazione consente agli utenti di accedere al servizio usando la stessa password usata per accedere all'istanza di Active Directory locale.This sync enables users to sign in to the service by using the same password that they use to sign in to their on-premises Active Directory instance. Consente inoltre a Identity Protection di rilevare le credenziali compromesse confrontando gli hash delle password sincronizzati con password note come compromesse, se un utente ha utilizzato lo stesso indirizzo di posta elettronica e la stessa password in altri servizi non connessi a Azure AD.It also allows Identity Protection to detect compromised credentials by comparing synchronized password hashes with passwords known to be compromised, if a user has used the same email address and password on other services that aren't connected to Azure AD.

Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con il servizio di sincronizzazione Azure AD Connect.For more information, see Implement password hash synchronization with Azure AD Connect sync.

Procedura consigliata: Per lo sviluppo di nuove applicazioni, usare Azure AD per l'autenticazione.Best practice: For new application development, use Azure AD for authentication. Dettagli: Usare le funzionalità corrette per supportare l'autenticazione:Detail: Use the correct capabilities to support authentication:

  • Azure AD per i dipendentiAzure AD for employees
  • Azure ad B2B per utenti guest e partner esterniAzure AD B2B for guest users and external partners
  • Azure ad B2C per controllare la modalità di iscrizione, accesso e gestione dei profili dei clienti quando usano le applicazioniAzure AD B2C to control how customers sign up, sign in, and manage their profiles when they use your applications

Le organizzazioni che non integrano l'identità locale con la propria identità cloud possono subire un sovraccarico maggiore nella gestione degli account.Organizations that don’t integrate their on-premises identity with their cloud identity can have more overhead in managing accounts. Questo sovraccarico aumenta le probabilità di incorrere in errori e violazioni della sicurezza.This overhead increases the likelihood of mistakes and security breaches.

Nota

È necessario scegliere le directory in cui si trovano gli account critici e se la workstation di amministrazione utilizzata è gestita da nuovi servizi cloud o da processi esistenti.You need to choose which directories critical accounts will reside in and whether the admin workstation used is managed by new cloud services or existing processes. L'uso di processi di provisioning di gestione e identità esistenti può ridurre alcuni rischi, ma può anche creare il rischio che un utente malintenzionato compromettere un account locale e passare al cloud.Using existing management and identity provisioning processes can decrease some risks but can also create the risk of an attacker compromising an on-premises account and pivoting to the cloud. Potrebbe essere necessario usare una strategia diversa per ruoli diversi, ad esempio amministratori IT e amministratori di business unit.You might want to use a different strategy for different roles (for example, IT admins vs. business unit admins). Sono disponibili due opzioni.You have two options. La prima opzione consiste nel creare Azure AD account che non sono sincronizzati con l'istanza di Active Directory locale.First option is to create Azure AD Accounts that aren’t synchronized with your on-premises Active Directory instance. Aggiungere la workstation di amministrazione per Azure AD, che è possibile gestire e applicare patch usando Microsoft Intune.Join your admin workstation to Azure AD, which you can manage and patch by using Microsoft Intune. La seconda opzione consiste nell'usare gli account amministratore esistenti sincronizzando con l'istanza di Active Directory locale.Second option is to use existing admin accounts by synchronizing to your on-premises Active Directory instance. Usare le workstation esistenti nel dominio di Active Directory per la gestione e la sicurezza.Use existing workstations in your Active Directory domain for management and security.

Gestire i tenant connessiManage connected tenants

L'organizzazione della sicurezza necessita di visibilità per valutare i rischi e determinare se i criteri dell'organizzazione e i requisiti normativi vengono seguiti.Your security organization needs visibility to assess risk and to determine whether the policies of your organization, and any regulatory requirements, are being followed. È necessario assicurarsi che l'organizzazione di sicurezza abbia visibilità in tutte le sottoscrizioni connesse all'ambiente di produzione e alla rete (tramite Azure ExpressRoute o VPN da sito a sito).You should ensure that your security organization has visibility into all subscriptions connected to your production environment and network (via Azure ExpressRoute or site-to-site VPN). Un amministratore globale/amministratore della società in Azure ad può elevare l'accesso al ruolo di amministratore accesso utenti e visualizzare tutte le sottoscrizioni e i gruppi gestiti connessi all'ambiente.A Global Administrator/Company Administrator in Azure AD can elevate their access to the User Access Administrator role and see all subscriptions and managed groups connected to your environment.

Vedere elevare l'accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure per assicurarsi che l'utente e il gruppo di sicurezza possano visualizzare tutte le sottoscrizioni o i gruppi di gestione connessi all'ambiente.See elevate access to manage all Azure subscriptions and management groups to ensure that you and your security group can view all subscriptions or management groups connected to your environment. È necessario rimuovere questo accesso con privilegi elevati dopo aver valutato i rischi.You should remove this elevated access after you’ve assessed risks.

Abilita Single Sign-OnEnable single sign-on

In un mondo incentrato su dispositivi mobili e cloud, è importante poter accedere con Single Sign-On (SSO) a dispositivi, app e servizi da qualsiasi posizione in modo che gli utenti siano produttivi sempre e ovunque.In a mobile-first, cloud-first world, you want to enable single sign-on (SSO) to devices, apps, and services from anywhere so your users can be productive wherever and whenever. La gestione di più soluzioni di identità rappresenta un problema di amministrazione non solo per il reparto IT, ma anche per gli utenti finali che devono tenere a mente più password.When you have multiple identity solutions to manage, this becomes an administrative problem not only for IT but also for users who have to remember multiple passwords.

Utilizzando la stessa soluzione di identità per tutte le applicazioni e risorse, è possibile ottenere l'accesso Single Sign-On.By using the same identity solution for all your apps and resources, you can achieve SSO. Gli utenti hanno la possibilità di usare lo stesso set di credenziali per accedere alle risorse, indipendentemente dalla dislocazione in locale o nel cloud di tali risorse.And your users can use the same set of credentials to sign in and access the resources that they need, whether the resources are located on-premises or in the cloud.

Procedura consigliata: abilitare SSO.Best practice: Enable SSO.
Dettagli: Azure AD estende Active Directory locale al cloud.Detail: Azure AD extends on-premises Active Directory to the cloud. Gli utenti possono usare il loro account aziendale o dell'istituto di istruzione principale per i dispositivi aggiunti al dominio, per le risorse aziendali e per tutte le applicazioni Web e SaaS necessarie per svolgere le loro attività.Users can use their primary work or school account for their domain-joined devices, company resources, and all of the web and SaaS applications that they need to get their jobs done. Oltre a eliminare la necessità di ricordare diversi set di nomi utente e password, permette anche di effettuare automaticamente il provisioning o il deprovisioning dell'accesso alle applicazioni degli utenti in base all'appartenenza ai gruppi dell'organizzazione e al relativo stato come dipendenti.Users don’t have to remember multiple sets of usernames and passwords, and their application access can be automatically provisioned (or deprovisioned) based on their organization group memberships and their status as an employee. Permette poi di controllare l'accesso ad app della raccolta o app locali sviluppate e pubblicate tramite il proxy di applicazione di Azure AD.And you can control that access for gallery apps or for your own on-premises apps that you’ve developed and published through the Azure AD Application Proxy.

Usare SSO per consentire agli utenti di accedere alle applicazioni SaaS in base all'account aziendale o dell'istituto di istruzione in Azure AD.Use SSO to enable users to access their SaaS applications based on their work or school account in Azure AD. Questo vale non solo per le app SaaS Microsoft, ma anche per altre app come Google Apps e Salesforce.This is applicable not only for Microsoft SaaS apps, but also other apps, such as Google Apps and Salesforce. L'applicazione può essere configurata per l'uso di Azure AD come provider di identità basata su SAML.You can configure your application to use Azure AD as a SAML-based identity provider. Come controllo di sicurezza, Azure AD non rilascia all'utente un token per l'accesso all'applicazione a meno che l'accesso non sia stato concesso all'utente con Azure AD.As a security control, Azure AD does not issue a token that allows users to sign in to the application unless they have been granted access through Azure AD. L'accesso può essere concesso direttamente agli utenti o attraverso un gruppo di cui sono membri.You can grant access directly, or through a group that users are a member of.

Le organizzazioni che non creano un'identità comune per stabilire l'accesso SSO per utenti e applicazioni sono più esposte a situazioni in cui gli utenti devono utilizzare più password.Organizations that don’t create a common identity to establish SSO for their users and applications are more exposed to scenarios where users have multiple passwords. In queste situazioni aumenta la probabilità di riutilizzare le password o di utilizzare password vulnerabili.These scenarios increase the likelihood of users reusing passwords or using weak passwords.

Attivare l'accesso condizionaleTurn on Conditional Access

Gli utenti possono accedere alle risorse dell'organizzazione con una serie di dispositivi e app ovunque si trovino.Users can access your organization's resources by using a variety of devices and apps from anywhere. In qualità di amministratore IT, è necessario assicurarsi che questi dispositivi soddisfino gli standard di sicurezza e conformità.As an IT admin, you want to make sure that these devices meet your standards for security and compliance. Tuttavia, non è più sufficiente concentrarsi solo su chi può accedere a una risorsa.Just focusing on who can access a resource is not sufficient anymore.

Per bilanciare la sicurezza e la produttività, è necessario considerare la modalità di accesso a una risorsa prima di poter prendere una decisione sul controllo di accesso.To balance security and productivity, you need to think about how a resource is accessed before you can make a decision about access control. Con Azure AD accesso condizionale, è possibile soddisfare questo requisito.With Azure AD Conditional Access, you can address this requirement. Con l'accesso condizionale è possibile prendere decisioni automatiche sul controllo degli accessi in base alle condizioni per l'accesso alle app cloud.With Conditional Access, you can make automated access control decisions based on conditions for accessing your cloud apps.

Procedura consigliata: gestire e controllare l'accesso alle risorse aziendali.Best practice: Manage and control access to corporate resources.
Dettagli: Configurare Azure AD l'accesso condizionale in base a un gruppo, alla posizione e alla sensibilità dell'applicazione per le app SaaS e le app connesse al Azure ad.Detail: Configure Azure AD Conditional Access based on a group, location, and application sensitivity for SaaS apps and Azure AD–connected apps.

Procedura consigliata: Blocca i protocolli di autenticazione legacy.Best practice: Block legacy authentication protocols. Dettagli: Gli utenti malintenzionati sfruttano i punti deboli nei protocolli meno recenti, in particolare per gli attacchi di spray delle password.Detail: Attackers exploit weaknesses in older protocols every day, particularly for password spray attacks. Configurare l'accesso condizionale per bloccare i protocolli legacy.Configure Conditional Access to block legacy protocols. Vedere il video Azure ad: Per ulteriori informazioni, vedere.See the video Azure AD: Do’s and Don’ts for more information.

Abilitare la gestione delle passwordEnable password management

Se sono presenti più tenant o si vuole consentire agli utenti di reimpostare la propria password, è importante adottare criteri di sicurezza adatti per prevenire l'uso improprio.If you have multiple tenants or you want to enable users to reset their own passwords, it’s important that you use appropriate security policies to prevent abuse.

Procedura consigliata: configurare la reimpostazione della password self-service per gli utenti.Best practice: Set up self-service password reset (SSPR) for your users.
Dettagli: usare la funzionalità di reimpostazione della password self-service di Azure AD.Detail: Use the Azure AD self-service password reset feature.

Procedura consigliata: monitorare come o se la reimpostazione della password self-service viene effettivamente usata.Best practice: Monitor how or if SSPR is really being used.
Dettagli: monitorare gli utenti che eseguono la registrazione usando il report Attività di registrazione reimpostazione password di Azure AD.Detail: Monitor the users who are registering by using the Azure AD Password Reset Registration Activity report. La funzionalità di creazione di report disponibile in Azure AD consente di rispondere a domande specifiche grazie a report predefiniti.The reporting feature that Azure AD provides helps you answer questions by using prebuilt reports. Se si dispone di una licenza appropriata, è anche possibile creare query personalizzate.If you're appropriately licensed, you can also create custom queries.

Procedura consigliata: Estendere i criteri per le password basati sul cloud all'infrastruttura locale.Best practice: Extend cloud-based password policies to your on-premises infrastructure. Dettagli: Migliorare i criteri per le password nell'organizzazione eseguendo gli stessi controlli per le modifiche delle password locali come per le modifiche delle password basate sul cloud.Detail: Enhance password policies in your organization by performing the same checks for on-premises password changes as you do for cloud-based password changes. Installare Azure ad la protezione con password per gli agenti Active Directory di Windows Server in locale per estendere gli elenchi delle password vietate all'infrastruttura esistente.Install Azure AD password protection for Windows Server Active Directory agents on-premises to extend banned password lists to your existing infrastructure. Gli utenti e gli amministratori che modificano, impostano o reimpostano le password in locale sono tenuti a rispettare gli stessi criteri password degli utenti solo cloud.Users and admins who change, set, or reset passwords on-premises are required to comply with the same password policy as cloud-only users.

Applicare la verifica a più fattori per gli utentiEnforce multi-factor verification for users

È consigliabile richiedere la verifica in due passaggi per tutti gli utenti.We recommend that you require two-step verification for all of your users. Questo vale anche per gli amministratori e gli altri utenti dell'organizzazione la cui compromissione dell'account potrebbe avere un impatto significativo, ad esempio, i dirigenti del reparto finanziario.This includes administrators and others in your organization who can have a significant impact if their account is compromised (for example, financial officers).

Sono disponibili vari modi per richiedere la verifica in due passaggi.There are multiple options for requiring two-step verification. L'opzione migliore dipende dall'obiettivo che si intende raggiungere, dall'edizione di Azure AD in esecuzione e dal programma di licenza.The best option for you depends on your goals, the Azure AD edition you’re running, and your licensing program. Vedere Come richiedere la verifica in due passaggi per un utente per determinare l'opzione migliore per il proprio ambiente.See How to require two-step verification for a user to determine the best option for you. Altre informazioni sulle licenze e i prezzi sono disponibili nelle pagine relative ai prezzi di Azure AD e Multi-Factor Authentication.See the Azure AD and Azure Multi-Factor Authentication pricing pages for more information about licenses and pricing.

Di seguito sono indicati i vantaggi e le opzioni per l'abilitazione della verifica in due passaggi:Following are options and benefits for enabling two-step verification:

Opzione 1: abilitare l'autenticazione a più fattori modificando lo stato utente.Option 1: Enable Multi-Factor Authentication by changing user state.
Vantaggio: questo è il metodo tradizionale per richiedere la verifica in due passaggi.Benefit: This is the traditional method for requiring two-step verification. Funziona sia con Azure Multi-Factor Authentication nel cloud e Server Multi-Factor Authentication.It works with both Azure Multi-Factor Authentication in the cloud and Azure Multi-Factor Authentication Server. Con questo metodo è necessario che gli utenti eseguano la verifica in due passaggi ogni volta che accedono e sostituiscono i criteri di accesso condizionale.Using this method requires users to perform two-step verification every time they sign in and overrides Conditional Access policies.

Per determinare dove è necessario abilitare Multi-Factor Authentication, vedere quale versione di autenticazione a più fattori di Azure è adatta alla propria organizzazione?To determine where Multi-Factor Authentication needs to be enabled, see Which version of Azure MFA is right for my organization?.

Opzione 2: Abilitare multi-factor authentication con i criteri di accesso condizionale.Option 2: Enable Multi-Factor Authentication with Conditional Access policy. Vantaggio: Questa opzione consente di richiedere la verifica in due passaggi in condizioni specifiche usando l'accesso condizionale.Benefit: This option allows you to prompt for two-step verification under specific conditions by using Conditional Access. L'accesso di utenti da posizioni diverse, l'uso di dispositivi non attendibili o l'uso di applicazioni considerate rischiose possono essere considerate condizioni specifiche.Specific conditions can be user sign-in from different locations, untrusted devices, or applications that you consider risky. La definizione di condizioni specifiche in cui si richiede la verifica in due passaggi consente di evitare di chiedere continuamente conferma agli utenti della loro identità, che può risultare spiacevole.Defining specific conditions where you require two-step verification enables you to avoid constant prompting for your users, which can be an unpleasant user experience.

Questo rappresenta il mezzo più flessibile per abilitare la verifica in due passaggi per gli utenti.This is the most flexible way to enable two-step verification for your users. L'abilitazione di un criterio di accesso condizionale funziona solo per Azure Multi-Factor Authentication nel cloud ed è una funzionalità Premium di Azure AD.Enabling a Conditional Access policy works only for Azure Multi-Factor Authentication in the cloud and is a premium feature of Azure AD. Per altre informazioni su questo metodo, vedere Implementare Azure Multi-Factor Authentication basato su cloud.You can find more information on this method in Deploy cloud-based Azure Multi-Factor Authentication.

Opzione 3: Abilitare Multi-Factor Authentication con i criteri di accesso condizionale valutando il rischio per l'utente e l'accesso di Azure ad Identity Protection.Option 3: Enable Multi-Factor Authentication with Conditional Access policies by evaluating user and sign-in risk of Azure AD Identity Protection.
Vantaggio: questa opzione consente di:Benefit: This option enables you to:

  • Rilevare le potenziali vulnerabilità per le identità dell'organizzazione.Detect potential vulnerabilities that affect your organization’s identities.
  • Configurare risposte automatizzate alle azioni sospette rilevate in relazione alle identità dell'organizzazione.Configure automated responses to detected suspicious actions that are related to your organization’s identities.
  • Esaminare gli eventi imprevisti sospetti ed eseguire l'azione appropriata per risolverli.Investigate suspicious incidents and take appropriate action to resolve them.

Questo metodo usa la valutazione del rischio di Azure AD Identity Protection per determinare se la verifica in due passaggi è necessaria in funzione del rischio per l'utente e l'accesso per tutte le applicazioni cloud.This method uses the Azure AD Identity Protection risk evaluation to determine if two-step verification is required based on user and sign-in risk for all cloud applications. Questo metodo richiede una licenza di Azure Active Directory P2.This method requires Azure Active Directory P2 licensing. Per altre informazioni su questo metodo, vedere Azure Active Directory Identity Protection.You can find more information on this method in Azure Active Directory Identity Protection.

Nota

Opzione 1, abilitazione di Multi-Factor Authentication modificando lo stato utente, esegue l'override dei criteri di accesso condizionale.Option 1, enabling Multi-Factor Authentication by changing the user state, overrides Conditional Access policies. Poiché le opzioni 2 e 3 usano i criteri di accesso condizionale, non è possibile usare l'opzione 1 con essi.Because options 2 and 3 use Conditional Access policies, you cannot use option 1 with them.

Le organizzazioni che non aggiungono livelli supplementari di protezione delle identità, come la verifica in due passaggi, sono più vulnerabili agli attacchi con furto di credenziali.Organizations that don’t add extra layers of identity protection, such as two-step verification, are more susceptible for credential theft attack. Un attacco con furto di credenziali comporta il rischio di compromissione dei dati.A credential theft attack can lead to data compromise.

Usare il controllo degli accessi in base al ruoloUse role-based access control

La gestione degli accessi per le risorse cloud è essenziale per qualsiasi organizzazione che usa il cloud.Access management for cloud resources is critical for any organization that uses the cloud. Il controllo degli accessi in base al ruolo (RBAC)consente di gestire gli utenti che hanno accesso alle risorse di Azure, le operazioni che possono eseguire con tali risorse e le aree a cui hanno accesso.Role-based access control (RBAC)helps you manage who has access to Azure resources, what they can do with those resources, and what areas they have access to.

La designazione di gruppi o singoli ruoli responsabili di funzioni specifiche in Azure consente di evitare confusione che può causare errori umani e di automazione che creano rischi per la sicurezza.Designating groups or individual roles responsible for specific functions in Azure helps avoid confusion that can lead to human and automation errors that create security risks. Per le organizzazioni che intendono applicare criteri di sicurezza per l'accesso ai dati è fondamentale limitare l'accesso in base a principi di riservatezza e privilegi minimi.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access.

Il team di sicurezza deve avere visibilità sulle risorse di Azure per valutare e correggere i rischi.Your security team needs visibility into your Azure resources in order to assess and remediate risk. Se il team di sicurezza ha responsabilità operative, è necessario disporre di autorizzazioni aggiuntive per svolgere i propri processi.If the security team has operational responsibilities, they need additional permissions to do their jobs.

È possibile utilizzare il controllo degli accessi in base al ruolo per assegnare autorizzazioni a utenti, gruppi e applicazioni in un determinato ambito.You can use RBAC to assign permissions to users, groups, and applications at a certain scope. L'ambito di un'assegnazione di ruolo può essere una sottoscrizione, un gruppo di risorse o una singola risorsa.The scope of a role assignment can be a subscription, a resource group, or a single resource.

Procedura consigliata: Separare i compiti all'interno del team e concedere solo la quantità di accesso agli utenti necessari per svolgere il proprio lavoro.Best practice: Segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Anziché concedere a tutti le autorizzazioni senza restrizioni per la sottoscrizione o le risorse di Azure, consentire solo determinate azioni in un determinato ambito.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, allow only certain actions at a particular scope. Dettagli: Usare i ruoli RBAC predefiniti in Azure per assegnare privilegi agli utenti.Detail: Use built-in RBAC roles in Azure to assign privileges to users.

Nota

Le autorizzazioni specifiche creano complessità e confusione non necessarie e si accumulano in una configurazione "Legacy" difficile da risolvere senza temere che si rompa qualcosa.Specific permissions create unneeded complexity and confusion, accumulating into a “legacy” configuration that’s difficult to fix without fear of breaking something. Evitare di definire autorizzazioni specifiche per le risorse.Avoid resource-specific permissions. Usare invece i gruppi di gestione per le autorizzazioni a livello aziendale e i gruppi di risorse per le autorizzazioni all'interno delle sottoscrizioni.Instead, use management groups for enterprise-wide permissions and resource groups for permissions within subscriptions. Evitare autorizzazioni specifiche dell'utente.Avoid user-specific permissions. Assegnare invece l'accesso ai gruppi in Azure AD.Instead, assign access to groups in Azure AD.

Procedura consigliata: Concedi ai team di sicurezza con responsabilità di Azure l'accesso per visualizzare le risorse di Azure in modo da poter valutare e correggere i rischi.Best practice: Grant security teams with Azure responsibilities access to see Azure resources so they can assess and remediate risk. Dettagli: Concedere ai team di sicurezza il ruolo di lettore di sicurezza RBAC.Detail: Grant security teams the RBAC Security Reader role. È possibile utilizzare il gruppo di gestione radice o il gruppo di gestione segmenti, a seconda dell'ambito di responsabilità:You can use the root management group or the segment management group, depending on the scope of responsibilities:

  • Gruppo di gestione radice per i team responsabili di tutte le risorse aziendaliRoot management group for teams responsible for all enterprise resources
  • Gruppo di gestione dei segmenti per i team con ambito limitato (in genere a causa di vincoli normativi o di altro livello aziendale)Segment management group for teams with limited scope (commonly because of regulatory or other organizational boundaries)

Procedura consigliata: Concedere le autorizzazioni appropriate ai team di sicurezza che hanno responsabilità operative dirette.Best practice: Grant the appropriate permissions to security teams that have direct operational responsibilities. Dettagli: Esaminare i ruoli predefiniti RBAC per l'assegnazione di ruolo appropriata.Detail: Review the RBAC built-in roles for the appropriate role assignment. Se i ruoli predefiniti non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati per le risorse di Azure.If the built-in roles don't meet the specific needs of your organization, you can create custom roles for Azure resources. Come per i ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio in ambito di sottoscrizione, gruppo di risorse e risorse.As with built-in roles, you can assign custom roles to users, groups, and service principals at subscription, resource group, and resource scopes.

Procedure consigliate: Concedere al centro sicurezza di Azure l'accesso ai ruoli di sicurezza che lo richiedono.Best practices: Grant Azure Security Center access to security roles that need it. Il Centro sicurezza consente ai team di sicurezza di identificare e correggere rapidamente i rischi.Security Center allows security teams to quickly identify and remediate risks. Dettagli: Aggiungere i team di sicurezza con queste esigenze al ruolo di amministratore della sicurezza RBAC in modo che possano visualizzare i criteri di sicurezza, visualizzare gli Stati di sicurezza, modificare i criteri di sicurezza, visualizzare gli avvisi e le raccomandazioni e ignorare gli avvisi e le raccomandazioni.Detail: Add security teams with these needs to the RBAC Security Admin role so they can view security policies, view security states, edit security policies, view alerts and recommendations, and dismiss alerts and recommendations. A tale scopo, è possibile utilizzare il gruppo di gestione radice o il gruppo di gestione segmenti, a seconda dell'ambito di responsabilità.You can do this by using the root management group or the segment management group, depending on the scope of responsibilities.

Le organizzazioni che non applicano il controllo di accesso ai dati usando funzionalità come RBAC potrebbero concedere più privilegi del necessario agli utenti.Organizations that don’t enforce data access control by using capabilities like RBAC might be giving more privileges than necessary to their users. Questo può comportare una compromissione dei dati consentendo agli utenti di accedere ai tipi di dati (ad esempio, un elevato livello di business) che non dovrebbero avere.This can lead to data compromise by allowing users to access types of data (for example, high business impact) that they shouldn’t have.

Diminuire l'esposizione degli account con privilegiLower exposure of privileged accounts

La protezione dell'accesso con privilegi è il primo fondamentale passo per proteggere le risorse aziendali.Securing privileged access is a critical first step to protecting business assets. Riducendo al minimo il numero di utenti che hanno accesso a informazioni o risorse protette riduce le probabilità che un utente malintenzionato acceda al sistema, o che un utente autorizzato comprometta inavvertitamente una risorsa sensibile.Minimizing the number of people who have access to secure information or resources reduces the chance of a malicious user getting access, or an authorized user inadvertently affecting a sensitive resource.

Gli account con privilegi sono gli account che amministrano e gestiscono i sistemi IT.Privileged accounts are accounts that administer and manage IT systems. Gli utenti malintenzionati usano questi account per ottenere l'accesso ai dati e ai sistemi di un'organizzazione.Cyber attackers target these accounts to gain access to an organization’s data and systems. Per proteggere l'accesso con privilegi, è necessario isolare gli account e i sistemi dal rischio di esposizione a utenti malintenzionati.To secure privileged access, you should isolate the accounts and systems from the risk of being exposed to a malicious user.

Si consiglia di sviluppare e seguire una roadmap per proteggere l'accesso con privilegi dagli utenti malintenzionati.We recommend that you develop and follow a roadmap to secure privileged access against cyber attackers. Per informazioni sulla creazione di una roadmap dettagliata per proteggere le identità e gli accessi che sono gestiti o segnalati in Azure AD, Microsoft Azure, Office 365 e altri servizi cloud, vedere Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD.For information about creating a detailed roadmap to secure identities and access that are managed or reported in Azure AD, Microsoft Azure, Office 365, and other cloud services, review Securing privileged access for hybrid and cloud deployments in Azure AD.

Di seguito sono riassunte le procedure consigliate disponibili in Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure AD:The following summarizes the best practices found in Securing privileged access for hybrid and cloud deployments in Azure AD:

Procedura consigliata: gestire, controllare e monitorare l'accesso ad account con privilegi.Best practice: Manage, control, and monitor access to privileged accounts.
Dettagli: attivare Azure AD Privileged Identity Management.Detail: Turn on Azure AD Privileged Identity Management. Dopo l'attivazione di Privileged Identity Management, si riceveranno messaggi di posta elettronica di notifica in caso di modifiche ai ruoli di accesso con privilegi.After you turn on Privileged Identity Management, you’ll receive notification email messages for privileged access role changes. Queste notifiche forniscono un avviso tempestivo in caso di aggiunta di ulteriori utenti a ruoli con privilegi elevati nella directory.These notifications provide early warning when additional users are added to highly privileged roles in your directory.

Procedura consigliata: Verificare che tutti gli account amministrativi critici siano gestiti Azure AD account.Best practice: Ensure all critical admin accounts are managed Azure AD accounts. Dettagli: Rimuovere gli account consumer dai ruoli di amministratore critici, ad esempio account Microsoft come hotmail.com, live.com e outlook.com.Detail: Remove any consumer accounts from critical admin roles (for example, Microsoft accounts like hotmail.com, live.com, and outlook.com).

Procedura consigliata: Assicurarsi che tutti i ruoli di amministratore critici dispongano di un account separato per le attività amministrative, in modo da evitare il phishing e altri attacchi per compromettere i privilegi amministrativi.Best practice: Ensure all critical admin roles have a separate account for administrative tasks in order to avoid phishing and other attacks to compromise administrative privileges. Dettagli: Creare un account amministratore separato a cui sono assegnati i privilegi necessari per eseguire le attività amministrative.Detail: Create a separate admin account that’s assigned the privileges needed to perform the administrative tasks. Blocca l'uso di questi account amministrativi per gli strumenti di produttività giornalieri, come Microsoft Office posta elettronica 365 o l'esplorazione Web arbitraria.Block the use of these administrative accounts for daily productivity tools like Microsoft Office 365 email or arbitrary web browsing.

Procedura consigliata: identificare e classificare gli account che si trovano in ruoli con privilegi elevati.Best practice: Identify and categorize accounts that are in highly privileged roles.
Dettagli: dopo aver attivato Azure AD Privileged Identity Management, visualizzare gli utenti con i ruoli di amministratore globale o di amministratore del ruolo con privilegi e con altri ruoli con privilegi elevati.Detail: After turning on Azure AD Privileged Identity Management, view the users who are in the global administrator, privileged role administrator, and other highly privileged roles. Rimuovere tutti gli account che non sono più necessari in questi ruoli e classificare gli account rimanenti assegnati ai ruoli di amministratore:Remove any accounts that are no longer needed in those roles, and categorize the remaining accounts that are assigned to admin roles:

  • Singolarmente assegnati a utenti amministratori e che possono essere usati per scopi non amministrativi, ad esempio, posta elettronica personaleIndividually assigned to administrative users, and can be used for non-administrative purposes (for example, personal email)
  • Singolarmente assegnati a utenti amministratori e designati esclusivamente per scopi amministrativiIndividually assigned to administrative users and designated for administrative purposes only
  • Condivisi tra più utentiShared across multiple users
  • Per scenari di accesso di emergenzaFor emergency access scenarios
  • Per script automatizzatiFor automated scripts
  • Per utenti esterniFor external users

Procedura consigliata: implementare l'accesso "just in time" (JIT) per ridurre ulteriormente il tempo di esposizione dei privilegi e aumentare la visibilità sull'uso degli account con privilegi.Best practice: Implement “just in time” (JIT) access to further lower the exposure time of privileges and increase your visibility into the use of privileged accounts.
Dettagli: Azure AD Privileged Identity Management consente di effettuare le operazioni seguenti:Detail: Azure AD Privileged Identity Management lets you:

  • Limitare gli utenti a prendere solo il proprio accesso con privilegi JIT.Limit users to only taking on their privileges JIT.
  • Assegnare i ruoli per un periodo di tempo ridotto sapendo che i privilegi vengono revocati automaticamente.Assign roles for a shortened duration with confidence that the privileges are revoked automatically.

Procedura consigliata: definire almeno due account di accesso di emergenza.Best practice: Define at least two emergency access accounts.
Dettagli: gli account di accesso di emergenza consentono alle organizzazioni di limitare l'accesso con privilegi in un ambiente Azure Active Directory esistente.Detail: Emergency access accounts help organizations restrict privileged access in an existing Azure Active Directory environment. Si tratta di account con privilegi elevati non assegnati a utenti specifici.These accounts are highly privileged and are not assigned to specific individuals. Gli account di accesso di emergenza sono limitati a scenari in cui non è possibile usare i normali account amministrativi.Emergency access accounts are limited to scenarios where normal administrative accounts can’t be used. Le organizzazioni devono limitare l'utilizzo degli account di emergenza per la sola quantità di tempo necessaria.Organizations must limit the emergency account's usage to only the necessary amount of time.

Valutare gli account assegnati o idonei per il ruolo di amministratore globale.Evaluate the accounts that are assigned or eligible for the global admin role. Se non sono presenti account solo cloud con il dominio *.onmicrosoft.com (destinati all'accesso di emergenza), crearli.If you don’t see any cloud-only accounts by using the *.onmicrosoft.com domain (intended for emergency access), create them. Per altre informazioni, vedere Gestire gli account amministrativi di accesso di emergenza in Azure AD.For more information, see Managing emergency access administrative accounts in Azure AD.

Procedura consigliata: È necessario un processo di "Break Glass" in caso di emergenza.Best practice: Have a “break glass" process in place in case of an emergency. Dettagli: Seguire la procedura descritta in protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Azure ad.Detail: Follow the steps in Securing privileged access for hybrid and cloud deployments in Azure AD.

Procedura consigliata: Richiedere che tutti gli account amministrativi critici siano senza password (scelta consigliata) o richiedere Multi-Factor Authentication.Best practice: Require all critical admin accounts to be password-less (preferred), or require Multi-Factor Authentication. Dettagli: Usare l' app Microsoft Authenticator per accedere a qualsiasi account Azure ad senza usare una password.Detail: Use the Microsoft Authenticator app to sign in to any Azure AD account without using a password. Analogamente a Windows Hello for business, il Microsoft Authenticator usa l'autenticazione basata su chiavi per abilitare le credenziali utente associate a un dispositivo e usa l'autenticazione biometrica o un PIN.Like Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that’s tied to a device and uses biometric authentication or a PIN.

Richiedi Multi-Factor Authentication di Azure all'accesso per tutti i singoli utenti assegnati in modo permanente a uno o più ruoli di amministratore Azure AD: Amministratore globale, amministratore del ruolo con privilegi, amministratore di Exchange Online e amministratore di SharePoint Online.Require Azure Multi-Factor Authentication at sign-in for all individual users who are permanently assigned to one or more of the Azure AD admin roles: Global Administrator, Privileged Role Administrator, Exchange Online Administrator, and SharePoint Online Administrator. Abilitare multi-factor authentication per gli account amministratore e assicurarsi che gli utenti dell'account amministratore abbiano effettuato la registrazione.Enable Multi-Factor Authentication for your admin accounts and ensure that admin account users have registered.

Procedura consigliata: Per gli account amministrativi critici, disporre di una workstation di amministrazione in cui le attività di produzione non sono consentite (ad esempio, esplorazione e posta elettronica).Best practice: For critical admin accounts, have an admin workstation where production tasks aren’t allowed (for example, browsing and email). Questo consentirà di proteggere gli account amministrativi da vettori di attacco che usano l'esplorazione e la posta elettronica e di ridurre significativamente il rischio di un evento imprevisto grave.This will protect your admin accounts from attack vectors that use browsing and email and significantly lower your risk of a major incident. Dettagli: Usare una workstation amministrativa.Detail: Use an admin workstation. Scegliere un livello di sicurezza della workstation:Choose a level of workstation security:

  • I dispositivi con produttività altamente sicura forniscono sicurezza avanzata per l'esplorazione e altre attività di produttività.Highly secure productivity devices provide advanced security for browsing and other productivity tasks.
  • Le workstation con accesso con privilegi (Paw) forniscono un sistema operativo dedicato protetto da attacchi Internet e vettori di minacce per attività riservate.Privileged Access Workstations (PAWs) provide a dedicated operating system that’s protected from internet attacks and threat vectors for sensitive tasks.

Procedura consigliata: Effettuare il deprovisioning degli account amministratore quando i dipendenti lasciano l'organizzazione.Best practice: Deprovision admin accounts when employees leave your organization. Dettagli: Eseguire un processo che disabilita o Elimina gli account amministratore quando i dipendenti lasciano l'organizzazione.Detail: Have a process in place that disables or deletes admin accounts when employees leave your organization.

Procedura consigliata: Testare regolarmente gli account amministratore usando le tecniche di attacco correnti.Best practice: Regularly test admin accounts by using current attack techniques. Dettagli: Usare il simulatore di attacco di Office 365 o un'offerta di terze parti per eseguire scenari di attacco realistici nell'organizzazione.Detail: Use Office 365 Attack Simulator or a third-party offering to run realistic attack scenarios in your organization. Questo consente di trovare utenti vulnerabili prima che si verifichi un attacco reale.This can help you find vulnerable users before a real attack occurs.

Procedura consigliata: intervenire per mitigare l'effetto delle tecniche di attacco usate più di frequente.Best practice: Take steps to mitigate the most frequently used attacked techniques.
Dettagli: identificare gli account Microsoft in ruoli amministrativi per cui è necessario passare ad account aziendali o dell'istituto di istruzione.Detail: Identify Microsoft accounts in administrative roles that need to be switched to work or school accounts

Separare gli account utente e l'inoltro della posta elettronica per gli account amministratore globaleEnsure separate user accounts and mail forwarding for global administrator accounts

Verificare che le password degli account amministrativi siano state modificate di recenteEnsure that the passwords of administrative accounts have recently changed

Attivare la sincronizzazione dell'hash delle passwordTurn on password hash synchronization

Richiedere l'autenticazione a più fattori per gli utenti con tutti i ruoli con privilegi e gli utenti espostiRequire Multi-Factor Authentication for users in all privileged roles as well as exposed users

Ottenere Office 365 Secure Score (se si usa Office 365)Obtain your Office 365 Secure Score (if using Office 365)

Esaminare le indicazioni di sicurezza e conformità di Office 365 (se si usa Office 365)Review the Office 365 security and compliance guidance (if using Office 365)

Configurare Monitoraggio attività di Office 365 (se si usa Office 365)Configure Office 365 Activity Monitoring (if using Office 365)

Stabilire i proprietari del piano di risposta a eventi imprevisti ed emergenzeEstablish incident/emergency response plan owners

Proteggere gli account amministrativi con privilegi localiSecure on-premises privileged administrative accounts

Se non si protegge l'accesso con privilegi, si noterà che troppi utenti hanno ruoli con privilegi elevati che sono più vulnerabili agli attacchi.If you don’t secure privileged access, you might find that you have too many users in highly privileged roles and are more vulnerable to attacks. Attori dannosi, come gli utenti malintenzionati, prendono spesso di mira gli account amministratore e altri elementi di accesso con privilegi per accedere ai dati sensibili e ai sistemi usando attacchi con furto di credenziali.Malicious actors, including cyber attackers, often target admin accounts and other elements of privileged access to gain access to sensitive data and systems by using credential theft.

Controllare le posizioni in cui vengono create le risorseControl locations where resources are created

Permettere agli operatori cloud di eseguire attività senza infrangere convenzioni necessarie per la gestione delle risorse dell'organizzazione è molto importante.Enabling cloud operators to perform tasks while preventing them from breaking conventions that are needed to manage your organization's resources is very important. Per controllare i percorsi in cui le risorse vengono create, è consigliabile impostarli come hardcoded a livello dell'organizzazione.Organizations that want to control the locations where resources are created should hard code these locations.

Usare Azure Resource Manager per creare criteri di sicurezza con definizioni che descrivono le risorse o le azioni negate in modo specifico.You can use Azure Resource Manager to create security policies whose definitions describe the actions or resources that are specifically denied. Le definizioni dei criteri vengono assegnate all'ambito desiderato, ad esempio la sottoscrizione, un gruppo di risorse o una singola risorsa.You assign those policy definitions at the desired scope, such as the subscription, the resource group, or an individual resource.

Nota

I criteri di sicurezza non corrispondono al controllo degli accessi in base al ruolo.Security policies are not the same as RBAC. In realtà, usano il controllo degli accessi in base al ruolo per autorizzare gli utenti a creare tali risorse.They actually use RBAC to authorize users to create those resources.

Le organizzazioni che non controllano le modalità di creazione delle risorse sono più soggette a un uso improprio del servizio da parte degli utenti, che potrebbero creare più risorse del necessario.Organizations that are not controlling how resources are created are more susceptible to users who might abuse the service by creating more resources than they need. Il rafforzamento del processo di creazione delle risorse è un passaggio importante per la protezione di uno scenario multi-tenant.Hardening the resource creation process is an important step to securing a multitenant scenario.

Monitorare attivamente le attività sospetteActively monitor for suspicious activities

Un sistema di monitoraggio delle identità attive può rilevare rapidamente comportamenti sospetti e attivare un avviso per un'analisi approfondita.An active identity monitoring system can quickly detect suspicious behavior and trigger an alert for further investigation. Nella tabella seguente sono elencate due funzionalità di Azure AD che consentono alle organizzazioni di monitorare le identità:The following table lists two Azure AD capabilities that can help organizations monitor their identities:

Procedura consigliata: predisporre un metodo per individuare:Best practice: Have a method to identify:

Dettagli: usare i report anomalie di Azure AD Premium.Detail: Use Azure AD Premium anomaly reports. Predisporre processi e procedure in modo che gli amministratori IT possano eseguire tali report ogni giorno o su richiesta, in genere in uno scenario di risposta a eventi imprevisti.Have processes and procedures in place for IT admins to run these reports on a daily basis or on demand (usually in an incident response scenario).

Procedura consigliata: disporre di un sistema di monitoraggio attivo che avvisi dei rischi e il cui livello di rischio (alto, medio o basso) possa essere adattato ai requisiti aziendali.Best practice: Have an active monitoring system that notifies you of risks and can adjust risk level (high, medium, or low) to your business requirements.
Dettagli: usare Azure AD Identity Protection, che segnala i rischi correnti nel relativo dashboard e invia notifiche riassuntive giornaliere tramite posta elettronica.Detail: Use Azure AD Identity Protection, which flags the current risks on its own dashboard and sends daily summary notifications via email. Per contribuire a proteggere le identità dell'organizzazione, è possibile configurare criteri basati sul rischio che rispondano automaticamente ai problemi rilevati quando viene raggiunto un livello di rischio specificato.To help protect your organization's identities, you can configure risk-based policies that automatically respond to detected issues when a specified risk level is reached.

Le organizzazioni che non monitorano attivamente i sistemi di identità sono esposti al rischio di compromissione delle credenziali utente.Organizations that don’t actively monitor their identity systems are at risk of having user credentials compromised. Se l'organizzazione non è consapevole dello svolgimento di attività sospette con tali credenziali, non potrà attenuare questo tipo di minaccia.Without knowledge that suspicious activities are taking place through these credentials, organizations can’t mitigate this type of threat.

Usare Azure AD per l'autenticazione dell'archiviazioneUse Azure AD for storage authentication

Archiviazione di Azure supporta l'autenticazione e l'autorizzazione con Azure ad per l'archiviazione BLOB e l'archiviazione code.Azure Storage supports authentication and authorization with Azure AD for Blob storage and Queue storage. Con Azure AD autenticazione è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere autorizzazioni specifiche a utenti, gruppi e applicazioni fino all'ambito di un singolo contenitore BLOB o di una coda.With Azure AD authentication, you can use the Azure role-based access control to grant specific permissions to users, groups, and applications down to the scope of an individual blob container or queue.

Si consiglia di usare Azure ad per l'autenticazione dell'accesso all'archiviazione.We recommend that you use Azure AD for authenticating access to storage.

Passaggio successivoNext step

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.