Procedure consigliate per proteggere Microsoft 365 per le aziende

Se si è un'organizzazione di piccole o medie dimensioni che usa uno dei piani aziendali di Microsoft, le indicazioni in questo articolo consentono di rafforzare la sicurezza dell'organizzazione. Tra le tue scelte, Microsoft 365 Business Premium apre la strada perché ora include Microsoft Defender for Business e altre protezioni di sicurezza. Le azioni consigliate incluse qui ti aiuteranno a raggiungere gli obiettivi descritti nel Manuale della campagna sulla cybersecurity della Harvard Kennedy School.

Suggerimento

Se è necessario assistenza per i passaggi descritti in questo articolo, è consigliabile collaborare con uno specialista microsoft per piccole imprese. Con Business Assist, tu e i tuoi dipendenti ottenete l'accesso 24 ore su 24 agli specialisti delle piccole imprese man a seconda della crescita dell'azienda, dall'onboarding all'uso quotidiano.

Guarda: Una rapida panoramica della sicurezza

Tutti i piani di Microsoft 365 offrono protezione di base e sicurezza con Defender Antivirus, ma con Microsoft 365 Business Premium sono disponibili anche funzionalità di protezione dalle minacce, protezione dei dati e gestione dei dispositivi grazie all'inclusione di Microsoft Defender for Business. Queste funzionalità aggiuntive proteggono l'organizzazione da minacce online e accessi non autorizzati, nonché consentono di gestire i dati aziendali su telefoni, tablet e computer.

Confronto delle funzionalità di sicurezza

Per informazioni su una delle funzionalità del piano di servizio, fare clic sull'intestazione nella tabella seguente.

Attività Microsoft 365 Business Standard Microsoft 365 Business Premium
Proteggere da password smarrite o rubate Incluso. Incluso.
Formazione degli utenti Incluso. Incluso.
Usare account amministratore dedicati Incluso. Incluso.
Protezione da malware Incluso.
(protezione per la posta elettronica)
Incluso.
(maggiore protezione per posta elettronica e dispositivi)
Proteggere l'ambiente da ransomware Incluso.
(protezione per la posta elettronica e l'archiviazione cloud)
Incluso.
(maggiore protezione per dispositivi, posta elettronica e archiviazione cloud)
Crittografare i messaggi di posta elettronica sensibili Incluso. Incluso.
Proteggere la posta elettronica da attacchi di phishing Incluso.
(protezione anti-phishing)
Incluso.
(protezione avanzata anti-phishing)
Proteggere da allegati, file e URL dannosi nei file di posta elettronica e Office Incluso.
(collegamenti Cassaforte e allegati Cassaforte)
Aumentare la protezione per i dispositivi dell'organizzazione Incluso.
(protezione dei dispositivi di livello aziendale)

È possibile configurare rapidamente la sicurezza e iniziare a collaborare in modo sicuro con le indicazioni fornite nella libreria Microsoft 365 Business Premium. Il Business Premium informazioni è stato sviluppato in collaborazione con il team microsoft di difesa della democrazia per proteggere tutti i clienti delle piccole imprese dalle minacce informatiche lanciate da sofisticati attacchi informatici e hacker.

Informazioni sul punteggio di sicurezza Microsoft 365

Prima di iniziare, è importante controllare il punteggio di sicurezza Microsoft 365 nel portale di Microsoft 365 Defender. Da un dashboard centralizzato è possibile monitorare e migliorare la sicurezza per l'Microsoft 365 identità, dati, app, dispositivi e infrastruttura. Vengono forniti punti per la configurazione delle funzionalità di sicurezza consigliate, l'esecuzione di attività correlate alla sicurezza (ad esempio la visualizzazione di report) o l'indirizzamento di raccomandazioni con un'applicazione o un software di terze parti. Con informazioni dettagliate aggiuntive e una maggiore visibilità su un set più ampio di prodotti e servizi Microsoft, è possibile creare report sicuri sull'integrità della sicurezza dell'organizzazione.

Screenshot di Microsoft Secure Score.

Configurare l'autenticazione a più fattori

Proteggere le password smarrite o rubate usando l'autenticazione a più fattori (MFA). Quando l'autenticazione a più fattori è configurata, è necessario che gli utenti usino un codice sul telefono per accedere a Microsoft 365. Questo passaggio aggiuntivo può impedire agli hacker di assumere il controllo se conoscono la password.

L'autenticazione a più fattori è chiamata anche verifica in due passaggi. Gli utenti possono aggiungere facilmente la verifica in due passaggi alla maggior parte degli account, ad esempio agli account Google o Microsoft. Ecco come aggiungere la verifica in due passaggi all'account Microsoft personale.

Per le aziende che usano Microsoft 365, aggiungere un'impostazione che richiede agli utenti di accedere usando l'autenticazione a più fattori. Quando si apporta questa modifica, agli utenti verrà richiesto di configurare il telefono per l'autenticazione a due fattori la prossima volta che accedono. Per visualizzare un video di training su come configurare L'autenticazione a più fattori e su come gli utenti completano la configurazione, vedere Configurare l'autenticazione a più fattori e la configurazione dell'utente.

Attivare le impostazioni predefinite di sicurezza

Per la maggior parte delle organizzazioni, le impostazioni predefinite di sicurezza offrono un buon livello di sicurezza di accesso aggiunta. Per altre informazioni, vedere Che cosa sono le impostazioni predefinite per la sicurezza? Se la sottoscrizione è nuova, le impostazioni predefinite di sicurezza potrebbero essere già attivate automaticamente.

Abilitare o disabilitare le impostazioni predefinite di sicurezza nel riquadro Proprietà per Azure Active Directory (Azure AD) nel portale di Azure.

  1. Accedere al portale di amministrazione di Microsoft 365 con le credenziali di amministratore globale.

  2. Nel riquadro di spostamento sinistro scegliere Mostra tutto, e in Interfacce di amministrazione scegliere Azure Active Directory.

  3. Nell'interfaccia di amministrazione Azure Active Directory scegliere Azure Active Directory > Proprietà.

  4. Nella parte inferiore della pagina scegliere Gestire le impostazioni di sicurezza predefinite.

  5. Scegliere per abilitare le impostazioni di sicurezza predefinite o No per disabilitare le impostazioni predefinite per la sicurezza, quindi scegliere Salva.

Dopo aver configurato l'autenticazione a più fattori per l’organizzazione, agli utenti verrà richiesto di impostare la verifica in due passaggi sui loro dispositivi. Per altre informazioni, vedere Configurare la verifica in due passaggi per Microsoft 365.

Suggerimento

Se è necessario un controllo più granulare dell'autenticazione a più fattori, è possibile abilitare l'accesso condizionale con Microsoft 365 Business Premium. In questo caso, è consigliabile implementare i criteri equivalenti alle impostazioni predefinite di sicurezza. Per altre informazioni sulle impostazioni predefinite di sicurezza, vedere qui.

Per altri dettagli e consigli, vedere Configurare l'autenticazione a più fattori per gli utenti.

Formare gli utenti

Il Manuale della campagna di cybersecurity della Harvard Kennedy School fornisce indicazioni eccellenti per stabilire una forte cultura della consapevolezza della sicurezza all'interno dell'organizzazione, inclusa la formazione degli utenti per identificare gli attacchi di phishing.

Microsoft consiglia inoltre agli utenti di eseguire le azioni descritte in questo articolo: Proteggere l'account e i dispositivi da hacker e malware. Queste azioni includono:

  • Uso di password complesse
  • Protezione dei dispositivi
  • Abilitazione delle funzionalità di sicurezza nei PC Windows 10 e Mac

Microsoft consiglia inoltre agli utenti di proteggere i propri account di posta elettronica personali eseguendo le azioni consigliate negli articoli seguenti:

Usare account amministratore dedicati

Gli account amministrativi usati per amministrare l'ambiente Microsoft 365 includono privilegi elevati. Questi sono obiettivi preziosi per gli hacker e gli utenti malintenzionati informatici. Usare gli account amministratore solo per l'amministrazione. Gli amministratori devono avere un account utente separato per un uso normale e non amministrativo e usare il proprio account amministrativo solo quando necessario per completare un'attività associata alla funzione del processo. Consigli aggiuntivi:

  • Assicurarsi che gli account vengano aggiunti a Azure Active Directory.
  • Assicurarsi che gli account amministratore siano configurati anche per l'autenticazione a più fattori.
  • Prima di usare gli account amministratore, chiudere tutte le app e le sessioni del browser non correlate, inclusi gli account di posta elettronica personali.
  • Dopo aver completato le attività di amministratore, assicurarsi di disconnettersi dalla sessione del browser.

Protezione da malware

L'ambiente Microsoft 365 include la protezione dal malware. È possibile aumentare la protezione antimalware:

  • Uso di criteri preimpostato per Microsoft Office 365.
  • Blocco di allegati con determinati tipi di file.
  • Uso della protezione antivirus/antimalware nei dispositivi, in particolare Microsoft Defender for Business. Include funzionalità come la creazione di report investigativi automatizzati (AIR) e il dashboard di gestione delle minacce e delle vulnerabilità (TVM). Quando Microsoft Defender for Business non è il software antivirus primario, è comunque possibile eseguirlo in modalità passiva e usare endpoint protection e risposta (EDR), in particolare in modalità blocco in cui funziona dietro le quinte per correggere gli artefatti dannosi rilevati dalle funzionalità di EDR e mancanti dal software primario di rilevamento dei virus.

Bloccare gli allegati con determinati tipi di file

È possibile aumentare la protezione dal malware bloccando gli allegati con tipi di file comunemente usati per il malware. Per aumentare la protezione dal malware tramite posta elettronica, visualizzare un breve video di training o completare i passaggi seguenti:

  1. Nel portale di Microsoft 365 Defender passare a Posta elettronica & Criteri di collaborazione > & regole > Criteri > di minaccia Antimalware nella sezione Criteri.
  2. Nella pagina Antimalware fare doppio clic su Predefinito. Viene visualizzato un riquadro a comparsa.
  3. Selezionare Modifica impostazioni di protezione nella parte inferiore del riquadro a comparsa.
  4. Nella pagina successiva, in Impostazioni protezione selezionare la casella di controllo accanto a Abilita filtro allegati comuni. I tipi di file bloccati sono elencati direttamente sotto questa opzione. Per aggiungere o eliminare tipi di file, selezionare Personalizza tipi di file alla fine dell'elenco.
  5. Selezionare Salva.

Per altre informazioni, vedere Protezione antimalware in EOP.

Usare la protezione antivirus e antimalware

Antivirus Microsoft Defender offre una protezione antivirus e antimalware avanzata ed è integrato nel sistema operativo Windows.

Se l'organizzazione usa Microsoft 365 Business Premium, si ottiene una protezione aggiuntiva del dispositivo che include:

  • Protezione di nuova generazione
  • Protezione del firewall
  • Filtro contenuti Web

Queste funzionalità sono incluse in Microsoft Defender for Business, un'offerta che inizierà a essere distribuita ai clienti Microsoft 365 Business Premium, a partire dal 1° marzo 2022.

Altre informazioni su Microsoft Defender for Business.

Proteggere l'ambiente da ransomware

Ransomware limita l'accesso ai dati crittografando i file o bloccando le schermate del computer. Tenta quindi di estorcire denaro alle vittime chiedendo "riscatto", di solito sotto forma di criptovalute come Bitcoin, in cambio dell'accesso ai dati.

Si ottiene la protezione ransomware per la posta elettronica ospitata in Microsoft 365 e per i file archiviati in OneDrive. Se si dispone di Microsoft 365 Business Premium, si ottiene una protezione ransomware aggiuntiva per i dispositivi dell'organizzazione.

È possibile proteggere dal ransomware creando una o più regole del flusso di posta per bloccare le estensioni di file comunemente usate per il ransomware o per avvisare gli utenti che ricevono questi allegati tramite posta elettronica. Un buon punto di partenza consiste nel creare due regole:

  • Usare OneDrive per spostare i file, in modo che siano sempre controllati dall'accesso e protetti.

  • Avvisare gli utenti prima di aprire Office file allegati che includono macro. Ransomware può essere nascosto all'interno di macro, in modo da avvertire gli utenti di non aprire questi file da persone che non conoscono.

  • Blocca i tipi di file che potrebbero contenere ransomware o altro codice dannoso. Si inizierà con un elenco comune di eseguibili (elencato nella tabella seguente). Se l'organizzazione usa uno di questi tipi eseguibili e si prevede che vengano inviati tramite posta elettronica, aggiungerli alla regola precedente (avvisare gli utenti).

Per creare una regola di trasporto della posta, visualizzare un breve video di training o completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Exchange.

  2. Nella categoria flusso di posta selezionare regole.

  3. Selezionare + e quindi Creare una nuova regola.

  4. Selezionare **** nella parte inferiore della finestra di dialogo per visualizzare il set completo di opzioni.

  5. Applicare le impostazioni nella tabella seguente per ogni regola. Lasciare il resto delle impostazioni come predefinito, a meno che non si voglia modificarle.

  6. Selezionare Salva.

Impostazione Avvisare gli utenti prima di aprire allegati di file Office Blocca i tipi di file che potrebbero contenere ransomware o altro codice dannoso
Nome
Regola anti-ransomware: avvisa gli utenti
Regola anti-ransomware: tipi di file di blocco
Applicare questa regola se . . .
Qualsiasi allegato . . . l'estensione del file corrisponde a . . .
Qualsiasi allegato . . . l'estensione del file corrisponde a . . .
Specificare parole o frasi
Aggiungere questi tipi di file:
dotm, docm, xlsm, sltm, xla, xlam, xll, pptm, potm, ppam, ppsm, sldm
Aggiungere questi tipi di file:
ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, job, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif
Eseguire le operazioni seguenti. . .
Anteporre una dichiarazione di non responsabilità
Bloccare il messaggio . . . rifiutare il messaggio e includere una spiegazione
Fornire il testo del messaggio
Non aprire questi tipi di file, a meno che non fossero previsti, perché i file possono contenere codice dannoso e sapere che il mittente non è una garanzia di sicurezza.

Suggerimento

È anche possibile aggiungere i file che si desidera bloccare all'elenco antimalware in Protezione da malware.

Per altre informazioni, vedere:

Proteggere i messaggi di posta elettronica sensibili

Microsoft 365 include Office Crittografia messaggi che consente di inviare e ricevere messaggi di posta elettronica crittografati tra persone all'interno e all'esterno dell'organizzazione e solo i destinatari previsti possono visualizzarli. La crittografia funziona con Outlook.com, Yahoo!, Gmail e altri servizi di posta elettronica.

Suggerimento

Se è necessario un livello di sicurezza più rigoroso, l'organizzazione deve anche configurare e usare l'etichettatura di riservatezza per i messaggi di posta elettronica o i file. Le etichette di riservatezza consentono il controllo sul contenuto, indipendentemente da dove si trovi.

Inviare messaggi di posta elettronica crittografati

Per crittografare il messaggio di posta elettronica:

  1. Con un nuovo messaggio di posta elettronica aperto, selezionare il menu Opzioni .
  2. Nell'elenco a discesa Crittografa scegliere il livello di autorizzazione appropriato.

Crittografia dei messaggi di posta elettronica in Outlook

Ricevere messaggi di posta elettronica crittografati

Se il destinatario ha Outlook 2013 o Outlook 2016 e un account di posta elettronica Microsoft, visualizzerà un avviso sulle autorizzazioni limitate dell'elemento nel riquadro di lettura. Dopo aver aperto il messaggio, il destinatario può visualizzare il messaggio come qualsiasi altro.

Se il destinatario usa un altro client di posta elettronica o un account di posta elettronica, ad esempio Gmail o Yahoo, verrà visualizzato un collegamento che consente di accedere per leggere il messaggio di posta elettronica o richiedere un passcode monouso per visualizzare il messaggio in un Web browser. Se gli utenti non ricevono il messaggio di posta elettronica, devono controllare la cartella Posta indesiderata o Posta indesiderata.

Proteggere l'organizzazione

Se sono stati configurati uno o più domini personalizzati per l'ambiente Microsoft 365, è possibile configurare la protezione anti-phishing di destinazione. La protezione anti-phishing è inclusa in Microsoft Defender per Office 365 e può aiutare a proteggere l'organizzazione da phishing dannosi basati su rappresentazione e altri attacchi.

Nota

Se non è stato configurato un dominio personalizzato, non è necessario eseguire questa operazione.

È consigliabile iniziare a usare questa protezione creando un criterio per gli utenti più importanti e il dominio personalizzato. Un buon posto per farlo è in Microsoft 365 Defender, incluso in Microsoft Business Premium. Per creare criteri anti-phishing in Defender per Office 365, seguire questa procedura:

  1. Passare al portale di Microsoft 365 Defender.

  2. Passare a Posta elettronica & criteri di collaborazione > & regole > Criteri > di minaccia Anti-phishing nella sezione Criteri .

  3. Nella pagina Anti-phishing selezionare + Crea. Viene avviata una procedura guidata che consente di definire i criteri anti-phishing.

  4. Specificare il nome, la descrizione e le impostazioni per i criteri come consigliato nel grafico seguente. Per altre informazioni, vedere Informazioni sui criteri anti-phishing nelle opzioni di Microsoft Defender per Office 365.

  5. Dopo aver esaminato le impostazioni, selezionare Crea questo criterio o Salva, in base alle esigenze.

Impostazione o opzione Impostazione consigliata
Nome Dominio e personale della campagna più prezioso
Descrizione Assicurarsi che il personale più importante e il dominio non vengano rappresentati.
Aggiungere gli utenti da proteggere Selezionare + Aggiungi una condizione. Il destinatario è. Digitare i nomi utente o immettere l'indirizzo di posta elettronica del candidato, del responsabile della campagna e di altri membri importanti del personale. È possibile aggiungere fino a 20 indirizzi interni ed esterni da proteggere dalla rappresentazione.
Aggiungere i domini da proteggere Selezionare + Aggiungi una condizione. Il dominio del destinatario è. Immettere il dominio personalizzato associato alla sottoscrizione di Microsoft 365, se ne è stato definito uno. È possibile immettere più di un dominio.
Scegli azioni Se il messaggio di posta elettronica viene inviato da un utente rappresentato: selezionare Reindirizza messaggio a un altro indirizzo di posta elettronica e quindi digitare l'indirizzo di posta elettronica dell'amministratore della sicurezza; ad esempio, securityadmin@contoso.com.
Se il messaggio di posta elettronica viene inviato da un dominio rappresentato: selezionare Messaggio di quarantena.
Intelligence della cassetta postale Per impostazione predefinita, la funzione di intelligence della cassetta postale è selezionata quando si creano nuovi criteri anti-phishing. Per ottenere risultati ottimali, lasciare l’opzione attiva.
Aggiungere mittenti e domini attendibili Per questo esempio, non definire alcuna sostituzione.
Applicato a Selezionare Il dominio del destinatario è. In Uno dei seguenti, selezionare Scegli. Selezionare + Aggiungi. Selezionare la casella di controllo accanto al nome del dominio, ad esempio contoso.com, nell'elenco e quindi selezionare Aggiungi. Scegliere Fine.

Suggerimento

Per altre informazioni, vedere Configurare i criteri anti-phishing in Defender per Office 365.

Proteggere da allegati, file e URL dannosi

Le persone inviano, ricevono e condividono regolarmente allegati, ad esempio documenti, presentazioni, fogli di calcolo e altro ancora. Non è sempre facile stabilire se un allegato è sicuro o dannoso semplicemente guardando un messaggio di posta elettronica. Microsoft Defender per Office 365 include Cassaforte protezione degli allegati, ma questa protezione non è attivata per impostazione predefinita. È consigliabile creare una nuova regola per iniziare a usare questa protezione. Questa protezione si estende ai file in SharePoint, OneDrive e Microsoft Teams.

Configurare Cassaforte allegati

È possibile usare criteri predefiniti Cassaforte allegati oppure crearne di propri. Per creare un criterio Cassaforte Allegati, visualizzare un breve video di training o completare i passaggi seguenti:

  1. Passare a Microsoft 365 Defender portale e accedere con l'account amministratore.

  2. Passare a Posta elettronica & criteri di collaborazione > & regole > Criteri di minaccia > Antimalware nella sezione Criteri .

  3. Selezionare + Crea per creare un nuovo criterio.

  4. Applicare le impostazioni nella tabella seguente.

  5. Dopo aver esaminato le impostazioni, selezionare Crea questo criterio o Salva, in base alle esigenze.

Impostazione o opzione Impostazione consigliata
Nome Bloccare i messaggi di posta elettronica correnti e futuri con malware rilevato.
Descrizione Bloccare i messaggi di posta elettronica e gli allegati attuali e futuri con malware rilevato.
Salvare allegati risposta malware sconosciuta Selezionare Blocca - Blocca i messaggi di posta elettronica e gli allegati correnti e futuri con malware rilevato.
Allegato di reindirizzamento al rilevamento Abilitare il reindirizzamento (selezionare questa casella)
Immettere l'account amministratore o una configurazione della cassetta postale per la quarantena.
Applicare la selezione precedente se si verifica un timeout dell'analisi malware per gli allegati o si verifica un errore (selezionare questa casella).
Applicato a Il dominio del destinatario è . . . selezionare il dominio.

Suggerimento

Per altre informazioni, vedere Configurare i criteri anti-phishing in Defender per Office 365.

Gli hacker a volte nascondono siti Web dannosi nei collegamenti nella posta elettronica o in altri file. Cassaforte Collegamenti, parte del Microsoft Defender per Office 365, consente di proteggere l'organizzazione fornendo la verifica temporizzato degli indirizzi Web (URL) nei messaggi di posta elettronica e nei documenti Office. La protezione viene definita tramite criteri Cassaforte Collegamenti.

Per proteggere dagli attacchi, eseguire le operazioni seguenti:

  • Modificare i criteri predefiniti per aumentare la protezione.

  • Aggiungere un nuovo criterio destinato a tutti i destinatari nel dominio.

Per accedere a Cassaforte Collegamenti, visualizzare un breve video di training o completare i passaggi seguenti:

  1. Passare a Microsoft 365 Defender portale e accedere con l'account amministratore.

  2. Passare a Posta elettronica & criteri di collaborazione > & regole > Criteri di minaccia > Antimalware nella sezione Criteri .

  3. Selezionare + Crea per creare un nuovo criterio o modificare il criterio predefinito.

Per modificare i criteri predefiniti:

  1. Fare doppio clic sul criterio predefinito . Viene visualizzato un riquadro a comparsa.

  2. Selezionare Modifica impostazioni di protezione nella parte inferiore del riquadro a comparsa.

  3. Dopo aver modificato il criterio predefinito, selezionare Salva.

Impostazione o opzione Impostazione consigliata
Nome Cassaforte criteri dei collegamenti per tutti i destinatari nel dominio
Selezionare l'azione per URL potenzialmente dannosi sconosciuti nei messaggi Selezionare Sì: gli URL verranno riscritti e controllati in base a un elenco di collegamenti dannosi noti quando l'utente fa clic sul collegamento.
Applicare l'analisi degli URL in tempo reale per individuare collegamenti sospetti e collegamenti che puntano ai file Selezionare questa casella.
Applicato a Il dominio del destinatario è . . . selezionare il dominio.

Suggerimento

Per altre informazioni, vedere collegamenti Cassaforte in Microsoft Defender per Office 365.

Aumentare la protezione per i dispositivi dell'organizzazione

Antivirus Microsoft Defender è integrato nel sistema operativo Windows e offre una buona protezione da virus e malware. È tuttavia possibile aumentare la protezione per i dispositivi dell'organizzazione eseguendone l'onboarding in Microsoft Defender for Business che è una nuova offerta per piccole e medie imprese come la tua ed è inclusa in Microsoft 365 Business Premium. Con Defender per le aziende, i dispositivi dell'organizzazione sono meglio protetti da ransomware, malware, phishing e altre minacce.

Con Microsoft 365 Business Premium si ottengono funzionalità di sicurezza più avanzate, ad esempio la gestione dei dispositivi e la protezione avanzata dalle minacce. Quando si registrano i dispositivi in Microsoft 365 Business for Defender, i dispositivi vengono monitorati e protetti da InTune.

Per altre informazioni, vedere le risorse seguenti:

Autenticazione a più fattori per Microsoft 365 (articolo)
Gestire e monitorare gli account con priorità (articolo)
report Microsoft 365 nell'interfaccia di amministrazione (video)