Identità e dispositivi comuni le regole di accessoCommon identity and device access policies

Questo articolo descrive i criteri consigliati comuni per contribuire a proteggere Microsoft 365 Enterprise. Vengono anche presentate le configurazioni client della piattaforma predefinite consigliate per offrire un'esperienza SSO ottimale agli utenti, oltre ai prerequisiti tecnici per l'accesso condizionale.This article describes the common recommended policies to help you secure Microsoft 365 Enterprise. Also discussed are the default platform client configurations we recommend to provide the best SSO experience to your users, as well as the technical pre-requisites for conditional access.

In questa guida viene descritto come distribuire i criteri consigliati in un ambiente di cui è appena stato eseguito il provisioning. L'impostazione di questi criteri in un ambiente lab distinto consente di comprendere e valutare i criteri consigliati prima di eseguire l'implementazione degli ambienti di pre-produzione e di produzione. L'ambiente di cui è stato eseguito il provisioning può essere solo cloud o ibrido.This guidance discusses how to deploy the recommended policies in a newly provisioned environment. Setting up these policies in a separate lab environment allows you to understand and evaluate the recommended policies before staging the rollout to your pre-production and production environments. Your newly provisioned environment may be cloud-only or Hybrid.

Per distribuire correttamente i criteri consigliati, è necessario accedere al portale di Azure e soddisfare i prerequisiti specificati in precedenza. In particolare, è necessario:To successfully deploy the recommended polices, you need to take actions in the Azure portal to meet the prerequisites stated earlier. Specifically, you need to:

  • Configurare le reti denominate per garantire che Azure Identity Protection generi un punteggio di rischio correttamenteConfigure named networks, to ensure Azure Identity Protection can properly generate a risk score
  • Richiedere a tutti gli utenti di registrarsi per l'autenticazione a più fattori (MFA)Require all users to register for multi-factor authentication (MFA)
  • Configurare la sincronizzazione degli hash delle password e la reimpostazione della password self-service per consentire agli utenti di reimpostare le password in modo autonomoConfigure Password Hash Sync and self-service password reset to enable users to be able to reset passwords themselves

È possibile usare i criteri di Azure AD e di Intune per gruppi di utenti specifici. È consigliabile implementare i criteri definiti in precedenza a fasi. In questo modo è possibile convalidare le prestazioni dei criteri e i team di supporto che si occupano dei criteri in modo graduale.You can target both Azure AD and Intune policies towards specific groups of users. We suggest rolling out the policies defined earlier in a staged way. This way you can validate the performance of the policies and your support teams relative to the policy incrementally.

PrerequisitiPrerequisites

Prima di implementare i criteri descritti nella parte restante di questo documento, l'organizzazione deve soddisfare alcuni prerequisiti:Before implementing the policies described in the remainder of this document, there are several prerequisites that your organization must meet:

  • Configurare la sincronizzazione degli hash delle password. Questa funzionalità deve essere abilitata per rilevare credenziali perse e intervenire per l'accesso condizionale basato sui rischi. Nota: questo requisito è obbligatorio, indipendentemente dal fatto che l'organizzazione usi l'autenticazione gestita, come l'autenticazione pass-through, o l'autenticazione federata.Configure Password Hash Sync. This must be enabled to detect leaked credentials and to act on them for risk based Conditional Access. Note: This is required, regardless of whether your organization use managed, like Pass Through Authentication (PTA), or federated authentication.
  • Configurare le reti denominate. Azure AD Identity Protection raccoglie e analizza tutti i dati di sessione disponibili per generare un punteggio di rischio. Si consiglia di specificare gli intervalli IP pubblici dell'organizzazione per la propria rete nella configurazione di reti denominate di Azure AD. Al traffico proveniente da questi intervalli viene assegnato un punteggio di rischio ridotto, di conseguenza il traffico proveniente dall'esterno rispetto all'ambiente aziendale viene valutato con un punteggio di rischio più elevato.Configure named networks. Azure AD Identity Protection collects and analyzes all available session data to generate a risk score. We recommend that you specify your organization's public IP ranges for your network in the Azure AD named networks configuration. Traffic coming from these ranges is given a reduced risk score, so traffic from outside the corporate environment is treated as higher risk score.
  • Registrare tutti gli utenti con l'autenticazione a più fattori (MFA). Azure AD Identity Protection usa Azure MFA per eseguire una verifica della sicurezza aggiuntiva. È consigliabile richiedere a tutti gli utenti di registrarsi per tempo con l'autenticazione a più fattori di Azure.Register all users with multi-factor authentication (MFA). Azure AD Identity Protection makes use of Azure MFA to perform additional security verification. We recommend that you require all users to register for Azure MFA ahead of time.
  • Abilitare la registrazione automatica dei dispositivi dei computer Windows con dominio associato. L'accesso condizionale può garantire che il dispositivo che si collega al servizio sia un dispositivo con dominio associato o un dispositivo conforme. A tale scopo, nei computer Windows, il dispositivo deve essere registrato con Azure AD. In questo articolo viene illustrato come configurare la registrazione automatica dei dispositivi.Enable automatic device registration of domain joined Windows computers. Conditional access can ensure the device connecting to the service is a domain joined or compliant device. To support this on Windows computers, the device must be registered with Azure AD. This article discusses how to configure automatic device registration.
  • Preparare il team di supporto. Predisporre un piano per gli utenti che non riescono a portare a termine l'autenticazione a più fattori. Tale piano potrebbe prevedere la loro aggiunta a un gruppo di esclusione di criteri o la registrazione di nuove informazioni di autenticazione a più fattori a loro riguardo. Prima di apportare una di queste modifiche relative alla sicurezza, è necessario verificare che l'utente effettivo presenti la richiesta. Un passaggio efficace consiste nel richiedere ai responsabili degli utenti di offrire assistenza nel processo di approvazione.Prepare your support team. Have a plan in place for users that cannot complete MFA. This can be adding them to a policy exclusion group, or registering new MFA info for them. Before making either of these security sensitive changes, you need to ensure the actual user is making the request. Requiring users' managers to help with the approval is an effective step.
  • Configurare il writeback delle password nell'AD locale. Il writeback delle password consente ad Azure AD di richiedere che gli utenti modifichino le loro password locali quando è stato rilevato un rischio elevato di compromissione di account. È possibile abilitare questa funzionalità con Azure AD Connect in due modi. È possibile abilitare il writeback delle password nella schermata delle funzionalità opzionali della procedura guidata di Azure AD Connect oppure è possibile abilitarlo tramite Windows PowerShell.Configure password writeback to on-premises AD. Password Writeback allows Azure AD to require that users change their on-premises passwords when there has been a high risk of account compromise detected. You can enable this feature using Azure AD Connect in one of two ways. You can either enable Password Writeback in the optional features screen of the Azure AD Connect setup wizard, or you can enable it via Windows PowerShell.
  • Abilitare l'autenticazione moderna e proteggere gli endpoint legacy. L'accesso condizionale funziona con le applicazioni sia desktop che portatili che usano l'autenticazione moderna. Se l'applicazione usa protocolli di autenticazione legacy, potrebbe ottenere l'accesso nonostante l'applicazione delle condizioni. È importante sapere quali applicazioni possono usare le regole di accesso condizionale e i passaggi da eseguire per proteggere altri punti di ingresso dell'applicazione.Enable modern authentication and protect legacy endpoints. Conditional access works both with mobile and desktop applications that use modern authentication. If the application uses legacy authentication protocols, it may gain access despite the conditions being applied. It is important to know which applications can use conditional access rules and the steps that you need to take to secure other application entry points.
  • Abilitare Azure Information Protection attivando Rights Management. Usare Azure Information Protection con la posta elettronica per avviare la classificazione dei messaggi di posta elettronica. Seguire l'esercitazione di avvio rapido per personalizzare e pubblicare i criteri.Enable Azure Information Protection by activating Rights Management. Use Azure Information Protection with email to start with classification of emails. Follow the quick start tutorial to customize and publish policy.

I seguenti client di posta elettronica supportano l'autenticazione moderna e l'accesso condizionale. Azure Information Protection non è ancora disponibile per tutti i client.The following email clients support Modern Authentication and Conditional Access. Azure Information Protection is not yet available for all clients.

PiattaformaPlatform ClientClient Versione/NoteVersion/Notes Azure Information ProtectionAzure Information Protection
WindowsWindows OutlookOutlook 2016, 2013 Abilitare l'autenticazione moderna, aggiornamenti obbligatori2016, 2013 Enable Modern Auth, Required updates Yes
iOSiOS OutlookOutlook Ultima versioneLatest NoNo
AndroidAndroid OutlookOutlook Ultima versioneLatest NoNo
macOSmacOS OutlookOutlook 20162016 NoNo
LinuxLinux Non supportatoNot supported NoNo

Per accedere ai documenti protetti di Azure Information Protection potrebbe essere necessario un software aggiuntivo. Assicurarsi di usare software e formati di documenti supportati per creare e visualizzare i documenti protetti con Azure Information Protection.In order to access Azure Information Protection protected documents additional software may be required. Be sure that you are using supported software and document formats to create and view protected documents with Azure Information Protection.

I client seguenti sono consigliati nei casi in cui è stato applicato un criterio di protezione dei documenti.The following clients are recommended when a Secure Documents policy has been applied.

PiattaformaPlatform Word/Excel/PowerPointWord/Excel/PowerPoint OneNoteOneNote App OneDriveOneDrive App App SharePointSharePoint App Client di sincronizzazione di OneDriveOneDrive Sync Client
Windows 7Windows 7 SupportatoSupported SupportatoSupported N/DN/A N/DN/A Anteprima*Preview*
Windows 8.1Windows 8.1 SupportatoSupported SupportatoSupported N/DN/A N/DN/A Anteprima*Preview*
Windows 10Windows 10 SupportatoSupported SupportatoSupported N/DN/A N/DN/A Anteprima*Preview*
Windows Phone 10Windows Phone 10 Non supportatoNot supported Non supportatoNot supported SupportatoSupported SupportatoSupported N/DN/A
AndroidAndroid SupportatoSupported SupportatoSupported SupportatoSupported SupportatoSupported N/DN/A
iOSiOS SupportatoSupported SupportatoSupported SupportatoSupported SupportatoSupported N/DN/A
macOSmacOS Anteprima pubblicaPublic Preview Anteprima pubblicaPublic Preview N/DN/A N/DN/A Non supportatoNot supported
LinuxLinux Non supportatoNot supported Non supportatoNot supported Non supportatoNot supported Non supportatoNot supported Non supportatoNot supported

*Altre informazioni sull'anteprima del client di sincronizzazione di OneDrive.* Learn more about the OneDrive Sync Client Preview.

Nota

Questi consigli si basano su tre diversi livelli di sicurezza e protezione per la posta elettronica e possono essere applicati in base al livello di granularità necessario: versione di base, sensibilee maggiore regolamentazione. Per altre informazioni su questi livelli di sicurezza e sui sistemi operativi client consigliati a cui fanno riferimento questi consigli, vedere Recommended security policies and configurations (Criteri di sicurezza e configurazioni consigliati).The following recommendations are based on three different tiers of security and protection for your email that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. You can learn more about these security tiers, and the recommended client operating systems, referenced by these recommendations in the recommended security policies and configurations introduction.

Versione di baseBaseline

Questa sezione descrive i consigli per il livello di base dei dati, l'identità e la protezione dei dispositivi. Questi consigli dovrebbero soddisfare le esigenze di protezione di base di molte organizzazioni.This section describes the recommendations for the baseline tier of data, identity, and device protection. These recommendations should meet the default protection needs of many organizations.

Nota

I criteri riportati di seguito sono additivi e si sviluppano in sequenza. Ogni sezione descrive unicamente le aggiunte applicate a ogni livello.The policies below are additive and build upon each other. Each section describes only the additions applied to each tier.

Impostazioni dei criteri di accesso condizionaleConditional access policy settings

Protezione dell'identitàIdentity protection

È possibile assegnare agli utenti l'accesso Single Sign-On (SSO), come descritto nelle sezioni precedenti. È necessario intervenire solo in caso di necessità in base agli eventi di rischio.You can give users single sign-on (SSO) experience as described in earlier sections. You only need to intervene when necessary based on risk events.

  • Richiedere l'autenticazione a più fattori in base a un rischio di accesso medio o più elevatoRequire MFA based on medium or above sign-in risk
  • Richiedere la modifica della password di protezione per utenti con rischio elevatoRequire secure password change for high risk users

Importante

Per questo consiglio sui criteri sono necessarie la sincronizzazione password e la reimpostazione della password self-service.Password synchronization and self-service password reset are required for this policy recommendation.

Prevenzione della perdita di datiData loss prevention

L'obiettivo per i criteri di gestione dei dispositivi e delle applicazioni è proteggere dalla perdita di dati in caso di perdita o furto di un dispositivo. Ciò può essere realizzato garantendo che l'accesso ai dati sia protetto da un PIN, che i dati siano crittografati nel dispositivo e che il dispositivo non sia danneggiato.The goal for your device and app management policies is to protect data loss in the event of a lost or stolen device. You can do this by ensuring that access to data is protected by a PIN, that the data is encrypted on the device, and that the device is not compromised.

Consiglio in relazione ai criteriPolicy recommendation DescrizioneDescription
Richiedere la gestione del PC utenteRequire user PC management Richiedere agli utenti di aggiungere i loro PC Windows a un dominio di Active Directory o di registrare i loro PC nella gestione con Microsoft Intune o System Center Configuration Manager.Require users to join their Windows PCs to an Active Directory Domain or enroll their PCs into management with Microsoft Intune or System Center Configuration Manager.
Applicare le impostazioni di sicurezza tramite oggetti Criteri di gruppo (GPO) o criteri di Configuration Manager per i computer aggiunti a un dominioApply security settings via group policy objects (GPO) or Configuration Manager policies for domain joined PCs Distribuire i criteri che configurano i computer gestiti in modo da abilitare BitLocker, l'anti-virus e il firewall.Deploy policies that configure managed PCs to enable BitLocker, enable anti-virus, and enable firewall.
Richiedere la gestione dei dispositivi mobiliRequire user mobile device management Richiedere che i dispositivi utente usati per accedere alla posta elettronica siano gestiti da Intune o che l'accesso alla posta elettronica aziendale venga eseguito unicamente mediante applicazioni mobili di posta elettronica protette dai criteri di protezione app di Intune, come Outlook per iOS o Android.Require that user devices used to access email are managed by Intune or company email is accessed only through mobile email apps protected by Intune App Protection policies such as Outlook for iOS or Android.
Applicare un criterio di conformità del dispositivo Intune ai dispositivi gestitiApply an Intune Device Compliance Policy on managed devices Applicare un criterio di conformità del dispositivo Intune per dispositivi mobili aziendali gestiti e computer gestiti da Intune che richieda: un PIN di lunghezza minima 6, la crittografia del dispositivo, l'integrità del dispositivo (che non sia jailbroken, rooted e sia munito di attestazione dell'integrità) e, se disponibile, che richieda dispositivi a basso rischio, secondo quanto stabilito da un MTP di terze parti come Lookout o SkyCure.Apply an Intune Device Compliance Policy for managed corporate mobile devices and Intune-managed PCs that requires: a PIN with minimum length 6, device encryption, a healthy device (is not jailbroken, rooted; passes health attestation), and, if available, require devices that are low risk as determined by a third-party MTP like Lookout or SkyCure.
Applicare un criterio di protezione app di Intune alle applicazioni gestite in esecuzione su dispositivi non gestitiApply an Intune App Protection Policy for managed apps running on unmanaged devices Applicare un criterio di protezione App di Intune per le applicazioni gestite in esecuzione su dispositivi mobili personali non gestiti in modo da richiedere: un PIN con lunghezza minima 6, la crittografia del dispositivo e l'integrità del dispositivo (che non sia jailbroken, rooted e sia munito di attestazione dell'integrità).Apply an Intune App Protection Policy for managed apps running on unmanaged, personal mobile devices to require: a PIN with minimum length 6, device encryption, and that the device is healthy (is not jailbroken, rooted; passes health attestation).

Impatto sugli utentiUser impact

Per la maggior parte delle organizzazioni, è importante poter impostare le esigenze degli utenti in relazione a quando e per quali condizioni dovranno usare Office 365 per accedere alla posta elettronica.For most organizations, it is important to be able to set user expectations around when and for which conditions they will be expected to sign into Office 365 to access their email.

Gli utenti hanno generalmente un beneficio nell'accesso Single Sign-On (SSO), tranne nelle situazioni seguenti:Users typically benefit from single sign-on (SSO) except during the following situations:

  • Per la richiesta di token di autenticazione per Exchange Online:When requesting authentication tokens for Exchange Online:
    • Agli utenti potrebbe essere richiesto di eseguire l'autenticazione a più fattori ogni volta che viene rilevato un rischio di accesso medio o più elevato e che non hanno ancora eseguito l'autenticazione a più fattori nella sessione corrente.Users may be asked to MFA whenever a medium or above sign-in risk is detected and users has not yet performed MFA in their current sessions.
    • Agli utenti verrà richiesto di usare le applicazioni di posta elettronica che supportano l'SDK della protezione app di Intune o di accedere alla posta elettronica da dispositivi conformi a Intune o appartenenti a un dominio AD.Users will be required to either use email apps that support the Intune App Protection SDK or access emails from Intune compliant or AD domain-joined devices.
  • Quando gli utenti a rischio eseguono l'accesso e completano correttamente l'autenticazione a più fattori, viene chiesto loro di cambiare la password.When users at risk sign-in, and successfully complete MFA, they will be asked to change their password.

Dati sensibiliSensitive

Questa sezione descrive i consigli per il livello di protezione avanzata dei dati, dell'identità e dei dispositivi. Questi consigli sono rivolti ai clienti che hanno un subset di dati che devono essere protetti a livelli più elevati o che richiedono che tutti i dati siano protetti a livelli più elevati.This section describes the recommendations for the sensitive tier of data, identity, and device protection. These recommendations are for customers who have a subset of data that must be protected at higher levels or require all data to be protected at these higher levels.

È possibile applicare una protezione maggiore per tutti i set di dati o solo per alcuni di essi nell'ambiente Office 365. Ad esempio, è possibile applicare i criteri per garantire che i dati sensibili siano condivisi solo tra app protette per impedire la perdita di dati. Si consiglia di proteggere le identità e i dispositivi che accedono ai dati sensibili con livelli di sicurezza analoghi.You can apply increased protection to all or specific data sets in your Office 365 environment. For example, you can apply policies to ensure sensitive data is only shared between protected apps to prevent data loss. We recommend protecting identities and devices that access sensitive data with comparable levels of security.

Impostazioni dei criteri di accesso condizionaleConditional access policy settings

Protezione dell'identitàIdentity protection

È possibile assegnare agli utenti l'accesso Single Sign-On (SSO), come descritto nelle sezioni precedenti. È necessario intervenire solo in caso di necessità in base agli eventi di rischio.You can give users single sign-on (SSO) experience as described in earlier sections. You only need to intervene when necessary based on risk events.

  • Richiedere l'autenticazione a più fattori in sessioni di rischio basso o più elevatoRequire MFA on low or above risk sessions
  • Richiedere la modifica della password di protezione per utenti con rischio elevatoRequire secure password change for high risk users

Importante

Per questo consiglio sui criteri sono necessarie la sincronizzazione password e la reimpostazione della password self-service.Password synchronization and self-service password reset are required for this policy recommendation.

Prevenzione della perdita di datiData loss prevention

L'obiettivo per questi criteri di gestione dei dispositivi e delle applicazioni è proteggere dalla perdita di dati in caso di perdita o furto di un dispositivo. Ciò può essere realizzato garantendo che l'accesso ai dati sia protetto da un PIN, che i dati siano crittografati nel dispositivo e che il dispositivo non sia danneggiato.The goal for these device and app management policies is to protect data loss in the event of a lost or stolen device. You can do this by ensuring that access to data is protected by a PIN, that the data is encrypted on the device, and that the device is not compromised.

Consiglio in relazione ai criteriPolicy recommendation DescrizioneDescription
Richiedere la gestione del PC utenteRequire user PC management Richiedere agli utenti di aggiungere i loro computer a un dominio di Active Directory o di registrare i computer nella gestione con Intune o Configuration Manager e di assicurarsi che tali dispositivi siano conformi ai criteri prima di consentire l'accesso alla posta elettronica.Require users to join their PCs to an Active Directory Domain or enroll their PCs into management with Intune or Configuration Manager and ensure those devices are compliant with policies before allowing email access.
Applicare le impostazioni di sicurezza tramite oggetti Criteri di gruppo (GPO) o criteri di Configuration Manager per i computer aggiunti a un dominioApply security settings via group policy objects (GPO) or Configuration Manager policies for domain joined PCs Distribuire i criteri che configurano i computer gestiti in modo da abilitare BitLocker, l'anti-virus e il firewall.Deploy policies that configure managed PCs to enable BitLocker, enable anti-virus, and enable firewall.
Richiedere la gestione dei dispositivi mobiliRequire user mobile device management Richiedere che i dispositivi utente usati per accedere alla posta elettronica siano gestiti da Intune o che l'accesso alla posta elettronica aziendale venga eseguito unicamente mediante applicazioni mobili di posta elettronica protette dai criteri di protezione app di Intune, come Outlook per iOS o Android.Require that user devices used to access email are managed by Intune or company email is accessed only through mobile email apps protected by Intune App Protection policies such as Outlook for iOS or Android.
Applicare un criterio di conformità del dispositivo Intune ai dispositivi gestitiApply an Intune Device Compliance Policy on managed devices Applicare un criterio di conformità del dispositivo Intune per dispositivi mobili aziendali gestiti e computer gestiti da Intune che richieda: un PIN di lunghezza minima 6, la crittografia del dispositivo, l'integrità del dispositivo (che non sia jailbroken, rooted e sia munito di attestazione dell'integrità) e, se disponibile, che richieda dispositivi a basso rischio, secondo quanto stabilito da un MTP di terze parti come Lookout o SkyCure.Apply an Intune Device Compliance Policy for managed corporate mobile devices and Intune-managed PCs that requires: a PIN with minimum length 6, device encryption, a healthy device (is not jailbroken, rooted; passes health attestation), and if available, require devices that are low risk as determined by a third-party MTP like Lookout or SkyCure.
Applicare un criterio di protezione app di Intune alle applicazioni gestite in esecuzione su dispositivi non gestitiApply an Intune App Protection Policy for managed apps running on unmanaged devices Applicare un criterio di protezione App di Intune per le applicazioni gestite in esecuzione su dispositivi mobili personali non gestiti in modo da richiedere: un PIN con lunghezza minima 6, la crittografia del dispositivo e l'integrità del dispositivo (che non sia jailbroken, rooted e sia munito di attestazione dell'integrità).Apply an Intune App Protection Policy for managed apps running on unmanaged, personal mobile devices to require: a PIN with minimum length 6, device encryption, and that the device is healthy (is not jailbroken, rooted; passes health attestation).

Impatto sugli utentiUser impact

Per la maggior parte delle organizzazioni è importante poter impostare le aspettative per gli utenti in relazione a quando e in quali condizioni dovranno accedere alla posta elettronica di Office 365.For most organizations, it is important to be able to set expectations for users specific to when and under what conditions they will be expected to sign into Office 365 email.

Gli utenti traggono generalmente vantaggio dell'accesso Single Sign-On (SSO), tranne nelle situazioni seguenti:Users typically benefit from single sign-on (SSO) except under the following situations:

  • Per la richiesta di token di autenticazione per Exchange Online:When requesting authentication tokens for Exchange Online:
    • Agli utenti verrà richiesto di eseguire l'autenticazione a più fattori ogni volta che viene rilevato un rischio di accesso basso o più elevato e qualora non abbiano ancora eseguito l'autenticazione a più fattori nella sessione corrente.Users will be asked to MFA whenever a low or above sign-in risk is detected and users has not yet performed MFA in their current sessions.
    • Agli utenti verrà richiesto di usare le applicazioni di posta elettronica che supportano l'SDK della protezione app di Intune o di accedere alla posta elettronica da dispositivi conformi a Intune o appartenenti a un dominio AD.Users will be required to either use email apps that support the Intune App Protection SDK or access emails from Intune compliant or AD domain-joined devices.
  • Quando gli utenti a rischio eseguono l'accesso e completano correttamente l'autenticazione a più fattori, viene chiesto loro di cambiare la password.When users at risk sign-in, and successfully complete MFA, they will be asked to change their password.

Riservatezza elevataHighly regulated

Questa sezione descrive i consigli per il livello di protezione altamente regolamentata dei dati, dell'identità e dei dispositivi. Questi consigli sono destinati ai clienti che potrebbero avere una piccola quantità di dati altamente classificati, segreti commerciali o dati soggetti a regolamentazione. Microsoft offre funzionalità che consentono alle organizzazioni di soddisfare questi requisiti, inclusa la protezione aggiuntiva per identità e dispositivi.This section describes the recommendations for the highly regulated tier of data, identity, and device protection. These recommendations are for customers who may have a very small amount of data that is highly classified, trade secret, or regulated data. Microsoft provides capabilities to help organizations meet these requirements, including added protection for identities and devices.

Impostazioni dei criteri di accesso condizionaleConditional access policy settings

Protezione dell'identitàIdentity protection

Per il livello altamente regolamentato Microsoft consiglia di applicare l'autenticazione a più fattori a tutte le nuove sessioni.For the highly regulated tier Microsoft recommends enforcing MFA for all new sessions.

  • Richiedere l'autenticazione a più fattori per tutte le nuove sessioniRequire MFA for all new sessions
  • Richiedere la modifica della password di protezione per utenti con rischio elevatoRequire secure password change for high risk users

Importante

Per questo consiglio sui criteri sono necessarie la sincronizzazione password e la reimpostazione della password self-service.Password synchronization and self-service password reset are required for this policy recommendation.

Prevenzione della perdita di datiData Loss Prevention

L'obiettivo per questi criteri di gestione dei dispositivi e delle applicazioni è prevenire la perdita di dati in caso di perdita o furto di un dispositivo. Ciò viene realizzato garantendo che l'accesso ai dati sia protetto da un PIN, che i dati siano crittografati nel dispositivo e che il dispositivo non sia danneggiato.The goal for these device and app management policies is to prevent data loss in the event of a lost or stolen device. This is done by ensuring that access to data is protected by a PIN, that the data is encrypted on the device, and that the device is not compromised.

Per il livello altamente regolamentato è consigliabile richiedere le applicazioni che supportano i criteri di protezione app di Intune in esecuzione solo su dispositivi conformi a Intune o aggiunti a un dominio.For the highly regulated tier, we recommend requiring apps that support Intune App Protection policy running only on Intune compliant or domain-joined devices.

Consiglio in relazione ai criteriPolicy recommendation DescrizioneDescription
Richiedere la gestione del PC utenteRequire user PC management Richiedere agli utenti di aggiungere i loro computer Windows a un dominio di Active Directory o di registrare i computer nella gestione con Intune o Configuration Manager e di assicurarsi che tali dispositivi siano conformi ai criteri prima di consentire l'accesso alla posta elettronica.Require users to join their Windows PCs to an Active Directory Domain, or enroll their PCs into management with Intune or Configuration Manager and ensure those devices are compliant with policies before allowing email access.
Applicare le impostazioni di sicurezza tramite oggetti Criteri di gruppo (GPO) o criteri di Configuration Manager per i computer aggiunti a un dominioApply security settings via group policy objects (GPO) or Configuration Manager policies for domain joined PCs Distribuire i criteri che configurano i computer gestiti in modo da abilitare BitLocker, l'anti-virus e il firewall.Deploy policies that configure managed PCs to enable BitLocker, enable anti-virus, and enable firewall.
Richiedere la gestione dei dispositivi mobiliRequire user mobile device management Richiedere che i dispositivi usati per accedere alla posta elettronica di Office 365 siano gestiti da Intune o che l'accesso alla posta elettronica aziendale sia eseguito unicamente mediante applicazioni mobili di posta elettronica protette dai criteri di protezione app di Intune, come Outlook per iOS o Android.Require that devices used to access Office 365 email and files are managed by Intune or company email is accessed only through mobile email apps protected by Intune App Protection policies such as Outlook for iOS or Android.
Applicare un criterio di conformità del dispositivo Intune ai dispositivi gestitiApply an Intune Device Compliance Policy on managed devices Applicare un criterio di conformità del dispositivo Intune per dispositivi mobili aziendali gestiti e computer gestiti da Intune che richieda: un PIN di lunghezza minima 6, la crittografia del dispositivo, l'integrità del dispositivo (che non sia jailbroken, rooted e sia munito di attestazione dell'integrità) e, se disponibile, che richieda dispositivi a basso rischio, secondo quanto stabilito da un MTP di terze parti come Lookout o SkyCure.Apply an Intune Device Compliance Policy for managed corporate mobile devices and Intune-managed PCs that requires: a PIN with minimum length 6, device encryption, a healthy device (is not jailbroken, rooted; passes health attestation), and, if available, require devices that are Low risk as determined by a third-party MTP like Lookout or SkyCure.

Impatto sugli utentiUser impact

Per la maggior parte delle organizzazioni è importante poter impostare le aspettative per gli utenti in relazione a quando e in quali condizioni dovranno accedere ai file di Office 365.For most organizations, it is important to be able to set expectations for users specific to when and under what conditions they will be expected to sign into Office 365 files.

  • Una volta scadute le sessioni, gli utenti per i quali è stata configurata la protezione per ambienti altamente regolamentati dovranno accedere nuovamente con l'autenticazione a più fattori.Users configured as highly regulated will be required to re-authenticate with MFA after their session expires.
  • Quando gli utenti a rischio eseguono l'accesso, viene chiesto loro di cambiare la password, dopo aver completato l'autenticazione a più fattori.When users at risk sign-in they will be asked to change their password after completing MFA.
  • Per la richiesta di token di autenticazione per Exchange Online:When requesting authentication tokens for Exchange Online:
    • Gli utenti dovranno eseguire l'autenticazione a più fattori ogni volta che avviano una nuova sessione.Users will be asked to perform MFA whenever they begin a new session.
    • Gli utenti dovranno usare le app di posta elettronica che supportano l'SDK di protezione app di IntuneUsers will be required to use email apps that support the Intune App Protection SDK
    • Gli utenti dovranno accedere a messaggi di posta elettronica da dispositivi conformi a Intune o aggiunti a un dominio AD.Users will be required to access emails from Intune compliant or AD domain-joined devices.

Passaggi successiviNext steps

Learn about policy recommendations for securing email (Informazioni sui criteri consigliati per la protezione della posta elettronica)Learn about policy recommendations for securing email