Procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure

Questo articolo illustra una serie di procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure. Queste procedure consigliate derivano dalla nostra esperienza con Microsoft Entra ID e le esperienze dei clienti come te stesso.

Per ogni procedura consigliata verrà illustrato:

• Qual è la procedura consigliata
• Il motivo per cui si vuole abilitare tale procedura consigliata
• Quale potrebbe essere il risultato se non fosse possibile abilitare la procedura consigliata
• Alternative possibili alla procedura consigliata
• Come imparare ad abilitare la procedura consigliata

Questo articolo sulle procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure si basa su pareri condivisi, nonché sulle capacità e sui set di funzionalità della piattaforma Azure esistenti quando l'articolo è stato scritto.

Lo scopo di questo articolo è fornire una roadmap generale per un comportamento di sicurezza più affidabile dopo la distribuzione basata sull'elenco di controllo "Cinque passaggi per proteggere l'infrastruttura di identità", che illustra funzionalità e servizi di base.

Le opinioni e le tecnologie cambiano nel tempo e questo articolo verrà aggiornato regolarmente per riflettere tali modifiche.

Procedure consigliate per la sicurezza con il controllo di accesso e la gestione delle identità di Azure illustrate in questo articolo:

• Trattare l'identità come perimetro di sicurezza primario
• Centralizzare la gestione delle identità
• Gestire i tenant connessi
• Abilita Single Sign-On
• Abilitare l'accesso condizionale
• Pianificare miglioramenti per la sicurezza di routine
• Abilitare la gestione delle password
• Applicare la verifica a più fattori per gli utenti
• Usare il controllo degli accessi in base al ruolo
• Diminuire l'esposizione degli account con privilegi
• Controllare le posizioni in cui si trovano le risorse
• Usare Microsoft Entra ID per l'autenticazione di archiviazione

Trattare l'identità come perimetro di sicurezza primario

Molti considerano l'identità come perimetro primario per la sicurezza. Questa strategia rappresenta un cambiamento rispetto al tradizionale ruolo centrale attribuito alla sicurezza della rete. I perimetri di rete diventano sempre più permeabili pertanto la difesa perimetrale non può essere efficace quanto lo era prima dell'esplosione dei dispositivi BYOD e delle applicazioni cloud.

Microsoft Entra ID è la soluzione di Azure per la gestione delle identità e degli accessi. Microsoft Entra ID è un servizio di gestione delle identità e della directory multi-tenant basato sul cloud di Microsoft. Combina servizi directory di base, gestione dell'accesso alle applicazioni e protezione delle identità in un'unica soluzione.

Le sezioni seguenti elencano le procedure consigliate per la sicurezza delle identità e degli accessi tramite Microsoft Entra ID.

Procedura consigliata: centro controlli di sicurezza e rilevamenti relativi alle identità degli utenti e dei servizi. Dettagli: usare Microsoft Entra ID per collocare controlli e identità.

Centralizzare la gestione delle identità

In uno scenario di soluzione ibrida di gestione delle identità è consigliabile integrare le directory cloud e locali. L'integrazione consente al team IT di gestire gli account da una posizione, indipendentemente da dove è stato creato un account. L'integrazione rende inoltre gli utenti più produttivi, in quanto fornisce un'identità comune per l'accesso alle risorse cloud e locali.

Procedura consigliata: stabilire una singola istanza di Microsoft Entra. La coerenza e un'unica origine autorevole aumentano la chiarezza e riducono i rischi per la sicurezza introdotti da errori umani e configurazioni complesse.
Dettagli: designare una singola directory di Microsoft Entra come origine autorevole per gli account aziendali e aziendali.

Procedura consigliata: integrare le directory locali con Microsoft Entra ID.
Dettagli: usare Microsoft Entra Connessione per sincronizzare la directory locale con la directory cloud.

Nota

Esistono fattori che influiscono sulle prestazioni di Microsoft Entra Connessione. Assicurarsi che Microsoft Entra Connessione abbia capacità sufficiente per impedire ai sistemi di sottoperforma di impedire la sicurezza e la produttività. Le organizzazioni di grandi dimensioni o complesse (organizzazioni che eseguono il provisioning di più di 100.000 oggetti) devono seguire le raccomandazioni per ottimizzare l'implementazione di Microsoft Entra Connessione.

Procedura consigliata: non sincronizzare gli account con Microsoft Entra ID con privilegi elevati nell'istanza di Active Directory esistente.
Dettagli: non modificare la configurazione predefinita di Microsoft Entra Connessione che filtra questi account. Questa configurazione consente di attenuare il rischio di passaggio degli antagonisti dal cloud alle risorse locali (che potrebbero creare un evento imprevisto importante).

Procedura consigliata: attivare la sincronizzazione dell'hash delle password.
Dettagli: la sincronizzazione dell'hash delle password è una funzionalità usata per sincronizzare gli hash delle password utente da un'istanza di Active Directory locale a un'istanza di Microsoft Entra basata sul cloud. Questa sincronizzazione consente di evitare la riproduzione di credenziali compromesse da una fuga dovuta ad attacchi precedenti.

Anche se si decide di usare la federazione con Active Directory Federation Services (AD FS) o altri provider di identità, è possibile configurare la sincronizzazione dell'hash delle password come backup in caso di errore o temporanea indisponibilità dei server locali. Questa sincronizzazione consente agli utenti di accedere al servizio usando la stessa password usata per accedere all'istanza di Active Directory locale. Consente inoltre a Identity Protection di rilevare le credenziali compromesse confrontando gli hash delle password sincronizzati con password note per essere compromessi, se un utente ha usato lo stesso indirizzo di posta elettronica e la stessa password in altri servizi che non sono connessi all'ID Di Microsoft Entra.

Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.

Procedura consigliata: per lo sviluppo di nuove applicazioni, usare Microsoft Entra ID per l'autenticazione.
Dettagli: usare le funzionalità corrette per supportare l'autenticazione:

• ID Microsoft Entra per i dipendenti
• Microsoft Entra B2B per utenti guest e partner esterni
• Azure AD B2C per controllare il modo in cui i clienti effettuano l'iscrizione, l'accesso e la gestione dei profili quando usano le applicazioni fornite

Le organizzazioni che non integrano l'identità locale con la propria identità cloud possono subire un sovraccarico maggiore nella gestione degli account. Questo sovraccarico aumenta le probabilità di incorrere in errori e violazioni della sicurezza.

Nota

È necessario scegliere in quali directory includere gli account critici e se la workstation di amministrazione usata è gestita da nuovi servizi cloud o da processi esistenti. L'uso di processi di provisioning di gestione e identità esistenti può ridurre alcuni rischi, ma può anche creare il rischio che un utente malintenzionato comprometta un account locale e passi al cloud. Potrebbe essere necessario usare una strategia diversa per ruoli diversi, ad esempio amministratori IT e amministratori di business unit. Hai due opzioni. La prima opzione consiste nel creare account Microsoft Entra non sincronizzati con l'istanza di Active Directory locale. Aggiungere la workstation di amministrazione a Microsoft Entra ID, che è possibile gestire e applicare patch usando Microsoft Intune. La seconda opzione consiste nell'usare account amministratore esistenti eseguendo la sincronizzazione con l'istanza di Active Directory locale. Usare le workstation esistenti nel dominio di Active Directory per la gestione e la sicurezza.

Gestire i tenant connessi

L'organizzazione di sicurezza necessita di visibilità per valutare i rischi e determinare se vengono rispettati i criteri dell'organizzazione e gli eventuali requisiti normativi. È necessario assicurarsi che l'organizzazione della sicurezza abbia visibilità su tutte le sottoscrizioni connesse all'ambiente di produzione e alla rete (tramite Azure ExpressRoute o VPN da sito a sito. Un Amministrazione istrator globale in Microsoft Entra ID può elevare l'accesso al ruolo accesso utente Amministrazione istrator e visualizzare tutte le sottoscrizioni e i gruppi gestiti connessi all'ambiente.

Vedere Elevare i privilegi di accesso per gestire tutte le sottoscrizioni e i gruppi di gestione di Azure per assicurarsi che l'utente e il gruppo di sicurezza possano visualizzare tutte le sottoscrizioni o i gruppi di gestione connessi all'ambiente. È necessario rimuovere questo accesso con privilegi elevati dopo aver valutato i rischi.

Abilita Single Sign-On

In un mondo incentrato su dispositivi mobili e cloud, è importante poter accedere con Single Sign-On (SSO) a dispositivi, app e servizi da qualsiasi posizione in modo che gli utenti siano produttivi sempre e ovunque. La gestione di più soluzioni di identità rappresenta un problema di amministrazione non solo per il reparto IT, ma anche per gli utenti finali che devono tenere a mente più password.

Utilizzando la stessa soluzione di identità per tutte le applicazioni e risorse, è possibile ottenere l'accesso Single Sign-On. Gli utenti hanno la possibilità di usare lo stesso set di credenziali per accedere alle risorse, indipendentemente dalla dislocazione in locale o nel cloud di tali risorse.

Procedura consigliata: abilitare SSO.
Dettagli: Microsoft Entra ID estende Active Directory locale al cloud. Gli utenti possono usare il loro account aziendale o dell'istituto di istruzione principale per i dispositivi aggiunti al dominio, per le risorse aziendali e per tutte le applicazioni Web e SaaS necessarie per svolgere le loro attività. Oltre a eliminare la necessità di ricordare diversi set di nomi utente e password, permette anche di effettuare automaticamente il provisioning o il deprovisioning dell'accesso alle applicazioni degli utenti in base all'appartenenza ai gruppi dell'organizzazione e al relativo stato come dipendenti. È anche possibile controllare l'accesso per le app della raccolta o per le proprie app locali sviluppate e pubblicate tramite il proxy dell'applicazione Microsoft Entra.

Usare l'accesso Single Sign-On per consentire agli utenti di accedere alle applicazioni SaaS in base al proprio account aziendale o dell'istituto di istruzione in Microsoft Entra ID. Questo vale non solo per le app SaaS Microsoft, ma anche per altre app come Google Apps e Salesforce. È possibile configurare l'applicazione in modo da usare Microsoft Entra ID come provider di identità basato su SAML. Come controllo di sicurezza, Microsoft Entra ID non rilascia un token che consente agli utenti di accedere all'applicazione a meno che non siano stati concessi l'accesso tramite Microsoft Entra ID. L'accesso può essere concesso direttamente agli utenti o attraverso un gruppo di cui sono membri.

Le organizzazioni che non creano un'identità comune per stabilire l'accesso SSO per utenti e applicazioni sono più esposte a situazioni in cui gli utenti devono utilizzare più password. In queste situazioni aumenta la probabilità di riutilizzare le password o di utilizzare password vulnerabili.

Abilitare l'accesso condizionale

Gli utenti possono accedere alle risorse dell'organizzazione con una serie di dispositivi e app ovunque si trovino. È compito dell'amministratore IT assicurarsi che i dispositivi soddisfino gli standard di sicurezza e conformità. Tuttavia, non è più sufficiente concentrarsi solo su chi può accedere a una risorsa.

Per ottenere un equilibrio tra sicurezza e produttività, nelle decisioni relative al controllo di accesso è necessario considerare anche il modo in cui si accede a una risorsa. Con l'accesso condizionale Microsoft Entra, è possibile soddisfare questo requisito. Con l'accesso condizionale è possibile prendere decisioni di controllo automatiche per l'accesso alle app cloud in base a determinate condizioni.

Procedura consigliata: gestire e controllare l'accesso alle risorse aziendali.
Dettagli: configurare i criteri di accesso condizionale Microsoft Entra comuni in base a un gruppo, alla posizione e alla riservatezza delle applicazioni per le app SaaS e le app connesse a Microsoft Entra ID.

Procedura consigliata: Bloccare i protocolli di autenticazione legacy.
Dettagli: Gli utenti malintenzionati sfruttano ogni giorno i punti deboli nei protocolli meno recenti, in particolare per gli attacchi password spraying. Configurare l'accesso condizionale in modo da bloccare i protocolli legacy.

Pianificare miglioramenti per la sicurezza di routine

La sicurezza è sempre in evoluzione ed è importante creare nel framework di gestione delle identità e del cloud un modo per mostrare regolarmente la crescita e individuare nuove soluzioni per proteggere l'ambiente.

Il punteggio di sicurezza delle identità è un set di controlli di sicurezza consigliati pubblicati da Microsoft. Fornisce un punteggio numerico per misurare in modo mirato il comportamento di sicurezza e contribuire a pianificare miglioramenti della sicurezza futuri. È anche possibile visualizzare il punteggio rispetto a quelli di altri settori e alle tendenze della propria organizzazione nel tempo.

Procedura consigliata: pianificare revisioni e miglioramenti della sicurezza di routine in base alle procedure consigliate nel settore.
Dettagli: usare la funzionalità Identity Secure Score per classificare i miglioramenti nel tempo.

Abilitare la gestione delle password

Se sono presenti più tenant o si vuole consentire agli utenti di reimpostare la propria password, è importante adottare criteri di sicurezza adatti per prevenire l'uso improprio.

Procedura consigliata: configurare Reimpostazione password self-service per gli utenti.
Dettagli: usare la funzionalità di reimpostazione della password self-service di Microsoft Entra ID.

Procedura consigliata: monitorare se e come Reimpostazione password self-service è effettivamente usata.
Dettagli: monitorare gli utenti che eseguono la registrazione usando il report Attività di registrazione per la reimpostazione della password di Microsoft Entra ID. La funzionalità di creazione di report fornita da Microsoft Entra ID consente di rispondere alle domande usando report predefiniti. Se si dispone di una licenza appropriata, è anche possibile creare query personalizzate.

Procedura consigliata: estendere i criteri password basati sul cloud all'infrastruttura locale.
Dettagli: migliorare i criteri delle password nell'organizzazione eseguendo gli stessi controlli per le modifiche delle password locali apportate alle modifiche delle password basate sul cloud. Installare la protezione password di Microsoft Entra per gli agenti di Active Directory di Windows Server in locale per estendere gli elenchi di password escluse all'infrastruttura esistente. Gli utenti e gli amministratori che modificano, impostano o reimpostano le password in locale devono rispettare gli stessi criteri per le password degli utenti che usano solo il cloud.

Applicare la verifica a più fattori per gli utenti

È consigliabile richiedere la verifica in due passaggi per tutti gli utenti. Questo vale anche per gli amministratori e gli altri utenti dell'organizzazione la cui compromissione dell'account potrebbe avere un impatto significativo, ad esempio, i dirigenti del reparto finanziario.

Sono disponibili vari modi per richiedere la verifica in due passaggi. L'opzione migliore dipende dagli obiettivi, dall'edizione Microsoft Entra in esecuzione e dal programma di licenza. Vedere Come richiedere la verifica in due passaggi per un utente per determinare l'opzione migliore per il proprio ambiente. Per altre informazioni sulle licenze e sui prezzi, vedere le pagine dei prezzi di Microsoft Entra ID e Microsoft Entra multifactor authentication .

Di seguito sono indicati i vantaggi e le opzioni per l'abilitazione della verifica in due passaggi:

Opzione 1: Abilitare l'autenticazione a più fattori per tutti gli utenti e i metodi di accesso con impostazioni predefinite di Microsoft Entra Security
Vantaggio: questa opzione consente di applicare in modo semplice e rapido l'autenticazione a più fattori per tutti gli utenti dell'ambiente con criteri rigorosi per:

• Verificare gli account amministrativi e i meccanismi di accesso amministrativo
• Richiedere la verifica con autenticazione MFA tramite Microsoft Authenticator per tutti gli utenti
• Bloccare i protocolli di autenticazione legacy

Questo metodo è disponibile per tutti i livelli di licenza, ma non può essere combinato con criteri di accesso condizionale esistenti. Per altre informazioni, vedere Impostazioni predefinite per la sicurezza di Microsoft Entra

Opzione 2: abilitare l'autenticazione a più fattori modificando lo stato utente.
Vantaggio questo è il metodo tradizionale per richiedere la verifica in due passaggi. Funziona sia con l'autenticazione a più fattori Microsoft Entra nel cloud che con il server Azure Multi-Factor Authentication. Con questo metodo gli utenti devono eseguire la verifica in due passaggi ogni volta che eseguono l'accesso e viene eseguito l'override dei criteri di accesso condizionale.

Per determinare dove deve essere abilitata l'autenticazione a più fattori, vedere Quale versione dell'autenticazione a più fattori Di Microsoft Entra è adatta per l'organizzazione?

Opzione 3: abilitare l'autenticazione a più fattori con i criteri di accesso condizionale.
Vantaggio: questa opzione consente di richiedere la verifica in due passaggi in condizioni specifiche usando l'accesso condizionale. L'accesso di utenti da posizioni diverse, l'uso di dispositivi non attendibili o l'uso di applicazioni considerate rischiose possono essere considerate condizioni specifiche. La definizione di condizioni specifiche in cui si richiede la verifica in due passaggi consente di evitare di chiedere continuamente conferma agli utenti della loro identità, che può risultare spiacevole.

Questo rappresenta il mezzo più flessibile per abilitare la verifica in due passaggi per gli utenti. L'abilitazione di un criterio di accesso condizionale funziona solo per l'autenticazione a più fattori Microsoft Entra nel cloud ed è una funzionalità premium di Microsoft Entra ID. Per altre informazioni su questo metodo, vedere Distribuire l'autenticazione a più fattori Microsoft Entra basata sul cloud.

Opzione 4: abilitare l'autenticazione a più fattori con i criteri di accesso condizionale valutando i criteri di accesso condizionale basati sul rischio.
Vantaggio: questa opzione consente di:

• Rilevare le potenziali vulnerabilità per le identità dell'organizzazione.
• Configurare risposte automatizzate alle azioni sospette rilevate in relazione alle identità dell'organizzazione.
• Esaminare gli eventi imprevisti sospetti ed eseguire l'azione appropriata per risolverli.

Questo metodo usa la valutazione dei rischi di Microsoft Entra ID Protection per determinare se è necessaria la verifica in due passaggi in base al rischio utente e di accesso per tutte le applicazioni cloud. Questo metodo richiede la licenza Microsoft Entra ID P2. Per altre informazioni su questo metodo, vedere Microsoft Entra ID Protection.You can find more information on this method in Microsoft Entra ID Protection.

Nota

Opzione 2, abilitazione dell'autenticazione a più fattori modificando lo stato utente, esegue l'override dei criteri di accesso condizionale. Poiché le opzioni 3 e 4 usano i criteri di accesso condizionale, non è possibile usare l'opzione 2 con tali criteri.

Le organizzazioni che non aggiungono livelli supplementari di protezione delle identità, come la verifica in due passaggi, sono più vulnerabili agli attacchi con furto di credenziali. Un attacco con furto di credenziali comporta il rischio di compromissione dei dati.

Usare il controllo degli accessi in base al ruolo

La gestione dell'accesso per le risorse cloud è fondamentale per tutte le organizzazioni che usano il cloud. Il controllo degli accessi in base al ruolo di Azure consente di gestire chi può accedere alle risorse di Azure, le operazioni che possono eseguire con tali risorse e le aree a cui hanno accesso.

La designazione di gruppi o singoli ruoli responsabili di funzioni specifiche in Azure consente di evitare confusioni che possono causare errori umani e di automazione che creano rischi per la sicurezza. Per le organizzazioni che intendono applicare criteri di sicurezza per l'accesso ai dati è fondamentale limitare l'accesso in base a principi di riservatezza e privilegi minimi.

Il team di sicurezza deve avere visibilità sulle risorse di Azure per valutare e correggere i rischi. Se il team di sicurezza ha responsabilità operative, è necessario disporre di autorizzazioni aggiuntive per svolgere il proprio lavoro.

È possibile usare il controllo degli accessi in base al ruolo di Azure per assegnare autorizzazioni a utenti, gruppi e applicazioni in un determinato ambito. L'ambito di un'assegnazione di ruolo può essere una sottoscrizione, un gruppo di risorse o una singola risorsa.

Procedura consigliata: separare i compiti all'interno del team e concedere solo la quantità di accesso agli utenti necessari per svolgere il proprio lavoro. Anziché concedere a tutti autorizzazioni senza restrizioni per la sottoscrizione o le risorse di Azure, consentire solo determinate azioni in un particolare ambito.
Dettagli: usare i ruoli predefiniti di Azure in Azure per assegnare privilegi agli utenti.

Nota

Le autorizzazioni specifiche creano complessità e confusione non richieste e si accumulano in una configurazione "legacy" difficile da correggere senza il rischio di danneggiare qualcosa. Evitare di definire autorizzazioni specifiche per le risorse. In alternativa, usare gruppi di gestione per autorizzazioni a livello aziendale e gruppi di risorse per autorizzazioni nell'ambito delle sottoscrizioni. Evitare di definire autorizzazioni specifiche per gli utenti. Assegnare invece l'accesso ai gruppi in Microsoft Entra ID.

Procedura consigliata: concedere ai team di sicurezza l'accesso alle responsabilità di Azure per visualizzare le risorse di Azure in modo da poter valutare e correggere i rischi.
Dettagli: concedere ai team di sicurezza il ruolo con autorizzazioni di lettura per la sicurezza degli accessi in base al ruolo di Azure. È possibile usare il gruppo di gestione radice o il gruppo di gestione segmenti, a seconda dell'ambito di responsabilità:

• Gruppo di gestione radice per i team responsabili di tutte le risorse aziendali
• Gruppo di gestione segmenti per i team con ambito limitato (in genere a causa di normative o altri limiti dell'organizzazione)

Procedura consigliata: concedere le autorizzazioni appropriate ai team di sicurezza che hanno responsabilità operative dirette.
Dettagli: esaminare i ruoli predefiniti di Azure per l'assegnazione di ruolo appropriata. Se i ruoli predefiniti non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati di Azure. Analogamente ai ruoli predefiniti, è possibile assegnare ruoli personalizzati a utenti, gruppi ed entità servizio negli ambiti di sottoscrizione, gruppo di risorse e risorsa.

Procedure consigliate: concedere Microsoft Defender per il cloud l'accesso ai ruoli di sicurezza necessari. Defender per il cloud consente ai team di sicurezza di identificare e correggere rapidamente i rischi.
Dettagli: aggiungere team di sicurezza con queste esigenze al ruolo Sicurezza controllo degli accessi in base al ruolo di Azure Amministrazione in modo da poter visualizzare i criteri di sicurezza, visualizzare gli stati di sicurezza, modificare i criteri di sicurezza, visualizzare avvisi e raccomandazioni e ignorare avvisi e raccomandazioni. A tale scopo, è possibile usare il gruppo di gestione radice o il gruppo di gestione segmenti, a seconda dell'ambito di responsabilità.

Le organizzazioni che non applicano il controllo dell'accesso ai dati usando funzionalità come Il controllo degli accessi in base al ruolo di Azure potrebbero concedere più privilegi rispetto alle esigenze degli utenti. Questo può causare la compromissione dei dati perché gli utenti potrebbero avere accesso a tipi di dati, come importanti dati aziendali, a cui non dovrebbero poter accedere.

Diminuire l'esposizione degli account con privilegi

La protezione dell'accesso con privilegi è il primo fondamentale passo per proteggere le risorse aziendali. Riducendo al minimo il numero di utenti che hanno accesso a informazioni o risorse protette riduce le probabilità che un utente malintenzionato acceda al sistema, o che un utente autorizzato comprometta inavvertitamente una risorsa sensibile.

Gli account con privilegi sono gli account che amministrano e gestiscono i sistemi IT. Gli utenti malintenzionati usano questi account per ottenere l'accesso ai dati e ai sistemi di un'organizzazione. Per proteggere l'accesso con privilegi, è necessario isolare gli account e i sistemi dal rischio di esposizione a utenti malintenzionati.

Si consiglia di sviluppare e seguire una roadmap per proteggere l'accesso con privilegi dagli utenti malintenzionati. Per informazioni sulla creazione di una roadmap dettagliata per proteggere le identità e l'accesso gestiti o segnalati in Microsoft Entra ID, Microsoft Azure, Microsoft 365 e altri servizi cloud, vedere Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID.

Di seguito sono riepilogate le procedure consigliate disponibili in Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID:

Procedura consigliata: gestire, controllare e monitorare l'accesso ad account con privilegi.
Dettagli: attivare Microsoft Entra Privileged Identity Management. Dopo l'attivazione di Privileged Identity Management, si riceveranno messaggi di posta elettronica di notifica in caso di modifiche ai ruoli di accesso con privilegi. Queste notifiche forniscono un avviso tempestivo in caso di aggiunta di ulteriori utenti a ruoli con privilegi elevati nella directory.

Procedura consigliata: Assicurarsi che tutti gli account amministratore critici siano gestiti dagli account Microsoft Entra. Dettagli: Rimuovere tutti gli account consumer dai ruoli di amministratore critici (ad esempio, account Microsoft come hotmail.com, live.com e outlook.com).

Procedura consigliata: Assicurarsi che tutti i ruoli di amministratore critici abbiano un account separato per le attività amministrative per evitare che attacchi di phishing e altri attacchi compromettano i privilegi amministrativi.
Dettagli: Creare un account amministratore separato a cui sono assegnati i privilegi necessari per eseguire le attività amministrative. Bloccare l'uso di questi account amministrativi per gli strumenti di produttività giornalieri, come la posta elettronica di Microsoft 365 o l'esplorazione arbitraria del Web.

Procedura consigliata: identificare e classificare gli account associati a ruoli con privilegi elevati.
Dettagli: Dopo aver attivato Microsoft Entra Privileged Identity Management, visualizzare gli utenti che si trovano nell'amministratore globale, nell'amministratore con privilegi e in altri ruoli con privilegi elevati. Rimuovere tutti gli account che non sono più necessari in questi ruoli e classificare gli account rimanenti assegnati ai ruoli di amministratore:

• Singolarmente assegnati a utenti amministratori e che possono essere usati per scopi non amministrativi, ad esempio, posta elettronica personale
• Singolarmente assegnati a utenti amministratori e designati esclusivamente per scopi amministrativi
• Condivisi tra più utenti
• Per scenari di accesso di emergenza
• Per script automatizzati
• Per utenti esterni

Procedura consigliata: implementare l'accesso "just in time" (JIT) per ridurre ulteriormente il tempo di esposizione dei privilegi e aumentare la visibilità sull'uso degli account con privilegi.
Dettagli: Microsoft Entra Privileged Identity Management consente di:

• Limitare gli utenti a prendere solo il proprio accesso con privilegi JIT.
• Assegnare i ruoli per un periodo di tempo ridotto sapendo che i privilegi vengono revocati automaticamente.

Procedura consigliata: definire almeno due account di accesso di emergenza.
Dettagli: gli account di accesso di emergenza consentono alle organizzazioni di limitare l'accesso con privilegi in un ambiente Microsoft Entra esistente. Si tratta di account con privilegi elevati non assegnati a utenti specifici. Gli account di accesso di emergenza sono limitati a scenari in cui non è possibile usare i normali account amministrativi. Le organizzazioni devono limitare l'utilizzo degli account di emergenza per la sola quantità di tempo necessaria.

Valutare gli account assegnati o idonei per il ruolo di amministratore globale. Se non sono presenti account solo cloud con il dominio *.onmicrosoft.com (destinati all'accesso di emergenza), crearli. Per altre informazioni, vedere Gestione degli account amministrativi di accesso di emergenza in Microsoft Entra ID.

Procedura consigliata: eseguire un processo di "break glass" in caso di emergenza.
Dettagli: seguire la procedura descritta in Protezione dell'accesso con privilegi per le distribuzioni ibride e cloud in Microsoft Entra ID.

Procedura consigliata: richiedere che tutti gli account amministratore critici siano senza password (preferito) o richiedano l'autenticazione a più fattori.
Dettagli: usare l'app Microsoft Authenticator per accedere a qualsiasi account Microsoft Entra senza usare una password. Analogamente a Windows Hello for Business, Microsoft Authenticator usa l'autenticazione basata su chiavi per abilitare credenziali utente associate a un dispositivo e usa l'autenticazione biometrica o un PIN.

Richiedere l'autenticazione a più fattori Di Microsoft Entra all'accesso per tutti i singoli utenti assegnati in modo permanente a uno o più ruoli di amministratore di Microsoft Entra: Global Amministrazione istrator, Privileged Role Amministrazione istrator, Exchange Online Amministrazione istrator e SharePoint Online Amministrazione istrator. Abilitare l'autenticazione a più fattori per gli account amministratore e assicurarsi che gli utenti dell'account amministratore siano registrati.

Procedura consigliata: per gli account amministratore critici, disporre di una workstation amministrativa in cui le attività di produzione non sono consentite ( ad esempio, esplorazione e posta elettronica). Questo consentirà di proteggere gli account amministratore da vettori di attacco che usano l'esplorazione e la posta elettronica e di ridurre in modo significativo il rischio di un evento imprevisto grave.
Dettagli: usare una workstation di amministrazione. Scegliere un livello di sicurezza della workstation:

• I dispositivi di produzione con sicurezza elevata garantiscono sicurezza avanzata per l'esplorazione e altre attività di produzione.
• Per le attività sensibili, le workstation dotate di accesso con privilegi (PAW, Privileged Access Workstation) forniscono un sistema operativo dedicato, protetto dagli attacchi provenienti da Internet e dai vettori di minacce.

Procedura consigliata: effettuare il deprovisioning degli account amministratore quando i dipendenti lasciano l'organizzazione.
Dettagli: è disponibile un processo che disabilita o elimina gli account amministratore quando i dipendenti lasciano l'organizzazione.

Procedura consigliata: testare regolarmente gli account amministratore usando tecniche di attacco correnti.
Dettagli: usare il simulatore di attacco di Microsoft 365 o un'offerta di terze parti per eseguire scenari di attacco realistici nell'organizzazione. In questo modo è possibile trovare utenti vulnerabili prima che si verifichi un attacco reale.

Procedura consigliata: intervenire per mitigare l'effetto delle tecniche di attacco usate più di frequente.
Dettagli: identificare gli account Microsoft in ruoli amministrativi che devono essere spostati in account aziendali o dell'istituto di istruzione

Separare gli account utente e l'inoltro della posta elettronica per gli account amministratore globale

Verificare che le password degli account amministrativi siano state modificate di recente

Attivare la sincronizzazione dell'hash delle password

Richiedere l'autenticazione a più fattori per gli utenti in tutti i ruoli con privilegi e gli utenti esposti

Ottenere il punteggio di sicurezza di Microsoft 365 (se si usa Microsoft 365)

Esaminare le indicazioni sulla sicurezza di Microsoft 365 (se si usa Microsoft 365)

Configurare il monitoraggio delle attività di Microsoft 365 (se si usa Microsoft 365)

Stabilire i proprietari del piano di risposta a eventi imprevisti ed emergenze

Proteggere gli account amministrativi con privilegi locali

Se non si protegge l'accesso con privilegi, si noterà che troppi utenti hanno ruoli con privilegi elevati che sono più vulnerabili agli attacchi. Attori dannosi, come gli utenti malintenzionati, prendono spesso di mira gli account amministratore e altri elementi di accesso con privilegi per accedere ai dati sensibili e ai sistemi usando attacchi con furto di credenziali.

Controllare le posizioni in cui vengono create le risorse

Permettere agli operatori cloud di eseguire attività senza infrangere convenzioni necessarie per la gestione delle risorse dell'organizzazione è molto importante. Per controllare i percorsi in cui le risorse vengono create, è consigliabile impostarli come hardcoded a livello dell'organizzazione.

Usare Azure Resource Manager per creare criteri di sicurezza con definizioni che descrivono le risorse o le azioni negate in modo specifico. Le definizioni dei criteri vengono assegnate all'ambito desiderato, ad esempio la sottoscrizione, un gruppo di risorse o una singola risorsa.

Nota

I criteri di sicurezza non corrispondono al controllo degli accessi in base al ruolo di Azure. Usano effettivamente il controllo degli accessi in base al ruolo di Azure per autorizzare gli utenti a creare tali risorse.

Le organizzazioni che non controllano le modalità di creazione delle risorse sono più soggette a un uso improprio del servizio da parte degli utenti, che potrebbero creare più risorse del necessario. Il rafforzamento del processo di creazione delle risorse è un passaggio importante per la protezione di uno scenario multi-tenant.

Monitorare attivamente le attività sospette

Un sistema di monitoraggio delle identità attive può rilevare rapidamente comportamenti sospetti e attivare un avviso per un'analisi approfondita. La tabella seguente elenca le funzionalità di Microsoft Entra che consentono alle organizzazioni di monitorare le identità:

Procedura consigliata: predisporre un metodo per individuare:

• Tentativi di accedere senza tracciamento.
• Attacchi di forza bruta contro un account specifico.
• Tentativi di accedere da più posizioni.
• Accessi da dispositivi infetti.
• Indirizzi IP sospetti.

Dettagli: usare report anomalie P1 o P2 di Microsoft Entra ID. Predisporre processi e procedure in modo che gli amministratori IT possano eseguire tali report ogni giorno o su richiesta, in genere in uno scenario di risposta a eventi imprevisti.

Procedura consigliate: disporre di un sistema di monitoraggio attivo che avvisi dei rischi e il cui livello di rischio (alto, medio o basso) possa essere adattato ai requisiti aziendali.
Dettagli: usare Microsoft Entra ID Protection, che contrassegna i rischi correnti nel proprio dashboard e invia notifiche di riepilogo giornaliere tramite posta elettronica. Per contribuire a proteggere le identità dell'organizzazione, è possibile configurare criteri basati sul rischio che rispondano automaticamente ai problemi rilevati quando viene raggiunto un livello di rischio specificato.

Le organizzazioni che non monitorano attivamente i sistemi di identità sono esposti al rischio di compromissione delle credenziali utente. Se l'organizzazione non è consapevole dello svolgimento di attività sospette con tali credenziali, non potrà attenuare questo tipo di minaccia.

Usare Microsoft Entra ID per l'autenticazione di archiviazione

Archiviazione di Azure supporta l'autenticazione e l'autorizzazione con Microsoft Entra ID per l'archiviazione BLOB e l'archiviazione code. Con l'autenticazione di Microsoft Entra, è possibile usare il controllo degli accessi in base al ruolo di Azure per concedere autorizzazioni specifiche a utenti, gruppi e applicazioni fino all'ambito di un singolo contenitore BLOB o coda.

È consigliabile usare Microsoft Entra ID per autenticare l'accesso all'archiviazione.

Passaggio successivo

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.