Lavoro preRequisito per l'implementazione dei criteri di identità e accesso ai dispositiviPrerequisite work for implementing identity and device access policies

In questo articolo vengono descritti i prerequisiti che devono essere implementati prima di poter distribuire i criteri di identità e accesso ai dispositivi consigliati.This article describes prerequisites that need to be implemented before you can deploy the recommended identity and device access policies. In questo articolo vengono illustrate anche le configurazioni dei client di piattaforma predefinite che è consigliabile offrire agli utenti la migliore esperienza SSO, nonché i prerequisiti tecnici per l'accesso condizionale.This article also discusses the default platform client configurations we recommend to provide the best SSO experience to your users, as well as the technical prerequisites for conditional access.

PrerequisitiPrerequisites

Prima di implementare i criteri di identità e accesso ai dispositivi consigliati, esistono numerosi prerequisiti che l'organizzazione deve soddisfare.Before implementing the recommended identity and device access policies, there are several prerequisites that your organization must meet. Nella tabella seguente vengono illustrati i prerequisiti che si applicano all'ambiente.The following table details the prerequisites that apply to your environment.

ConfigurazioneConfiguration Solo cloudCloud only Active Directory con sincronizzazione hash delle passwordActive Directory with password hash sync Autenticazione pass-throughPass-through authentication Federazione con ADFSFederation with AD FS
Configurare la sincronizzazione hash delle password. Questo deve essere abilitato per rilevare le credenziali trapelate e per agire su di esse per l'accesso condizionale basato sui rischi.Configure Password Hash Sync. This must be enabled to detect leaked credentials and to act on them for risk-based conditional access. Nota: Ciò è necessario indipendentemente dal fatto che l'organizzazione utilizzi l'autenticazione gestita, ad esempio l'autenticazione pass-through (PTA) o l'autenticazione federata.Note: This is required regardless of whether your organization uses managed authentication, like pass-through authentication (PTA), or federated authentication. Yes Yes Yes
Abilitare l'accesso Single Sign-on senza problemi per la firma automatica degli utenti quando si trovano nei propri dispositivi aziendali connessi alla rete aziendale.Enable seamless single sign on to automatically sign users in when they are on their corporate devices connected to your corporate network. Yes Yes
Configurare le reti denominate.Configure named networks. Azure AD Identity Protection raccoglie e analizza tutti i dati di sessione disponibili per generare un punteggio di rischio.Azure AD Identity Protection collects and analyzes all available session data to generate a risk score. Si consiglia di specificare gli intervalli di indirizzi IP pubblici dell'organizzazione per la rete nella configurazione di Azure AD denominata Networks.We recommend you specify your organization's public IP ranges for your network in the Azure AD named networks configuration. Il traffico proveniente da queste gamme ha un punteggio di rischio ridotto e il traffico proveniente dall'esterno dell'ambiente aziendale riceve un punteggio di rischio maggiore.Traffic coming from these ranges is given a reduced risk score, and traffic from outside the corporate environment is given a higher risk score. Yes Yes Yes Yes
Registrare tutti gli utenti per la reimpostazione della password self-service (SSPR) e l'autenticazione a più fattori (AMF).Register all users for self-service password reset (SSPR) and multi-factor authentication (MFA). È consigliabile registrare gli utenti per Azure Mae prima del tempo.We recommend you register users for Azure MFA ahead of time. Azure AD Identity Protection usa Azure MFA per eseguire una verifica della sicurezza aggiuntiva.Azure AD Identity Protection makes use of Azure MFA to perform additional security verification. Inoltre, per la migliore esperienza di accesso, è consigliabile installare l' app Microsoft Authenticator e l'app portale Microsoft Company sui propri dispositivi.Additionally, for the best sign-in experience, we recommend users install the Microsoft Authenticator app and the Microsoft Company Portal app on their devices. Questi possono essere installati dall'App Store per ogni piattaforma.These can be installed from the app store for each platform. Yes Yes Yes Yes
Abilitare la registrazione automatica del dispositivo dei computer Windows collegati al dominio.Enable automatic device registration of domain-joined Windows computers. L'accesso condizionale assicurerà che i dispositivi che si connettono alle app siano Uniti o conformi al dominio.Conditional access will make sure devices connecting to apps are domain-joined or compliant. A tale scopo, nei computer Windows, il dispositivo deve essere registrato con Azure AD.To support this on Windows computers, the device must be registered with Azure AD. In questo articolo viene illustrato come configurare la registrazione automatica dei dispositivi.This article discusses how to configure automatic device registration. Yes Yes Yes
Preparare il team di supporto.Prepare your support team. Predisporre un piano per gli utenti che non riescono a portare a termine l'autenticazione a più fattori.Have a plan in place for users that cannot complete MFA. Questo potrebbe essere l'aggiunta a un gruppo di esclusione dei criteri o la registrazione di nuove informazioni sull'AMF.This could be adding them to a policy exclusion group, or registering new MFA information for them. Prima di eseguire una di queste modifiche sensibili alla sicurezza, è necessario verificare che l'utente effettivo stia effettuando la richiesta.Before making either of these security-sensitive changes, you need to ensure that the actual user is making the request. Un passaggio efficace consiste nel richiedere ai responsabili degli utenti di offrire assistenza nel processo di approvazione.Requiring users' managers to help with the approval is an effective step. Yes Yes Yes Yes
Configurare il writeback delle password nell'AD locale.Configure password writeback to on-premises AD. Il writeback delle password consente a Azure AD di richiedere che gli utenti modifichino le password locali quando viene rilevato un compromesso per gli account ad alto rischio.Password writeback allows Azure AD to require that users change their on-premises passwords when a high-risk account compromise is detected. È possibile abilitare questa funzionalità tramite Azure AD Connect in uno dei due modi seguenti: abilitare il writeback della password nella schermata funzionalità facoltative dell'installazione guidata di Azure ad Connect oppure abilitarla tramite Windows PowerShell.You can enable this feature using Azure AD Connect in one of two ways: either enable Password Writeback in the optional features screen of the Azure AD Connect setup wizard, or enable it via Windows PowerShell. Yes Yes Yes
Abilitare Azure Active Directory Identity Protection.Enable Azure Active Directory Identity Protection. Azure AD Identity Protection consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e configurare un criterio di correzione automatizzato per il rischio di accesso basso, medio e alto e rischi per gli utenti.Azure AD Identity Protection enables you to detect potential vulnerabilities affecting your organization’s identities and configure an automated remediation policy to low, medium, and high sign-in risk and user risk. Yes Yes Yes Yes
Abilitare l'autenticazione moderna per Exchange Online e per Skype for business online.Enable modern authentication for Exchange Online and for Skype for Business Online. L'autenticazione moderna è un prerequisito per l'utilizzo dell'autenticazione a più fattori (AMF).Modern authentication is a prerequisite for using multi-factor authentication (MFA). L'autenticazione moderna è abilitata per impostazione predefinita per i client di Office 2016, SharePoint Online e OneDrive for business.Modern authentication is enabled by default for Office 2016 clients, SharePoint Online, and OneDrive for Business. Yes Yes Yes Yes

In questa sezione vengono descritte le configurazioni dei client della piattaforma predefinite che è consigliabile offrire agli utenti la migliore esperienza SSO, nonché i prerequisiti tecnici per l'accesso condizionale.This section describes the default platform client configurations we recommend to provide the best SSO experience to your users, as well as the technical prerequisites for conditional access.

Dispositivi WindowsWindows devices

È consigliabile usare Windows 10, versione 1703 o successive, poiché Azure è progettato per offrire un'esperienza di uso ottimale di SSO sia in locale che in Azure AD.We recommend the Windows 10 (version 1703 or later), as Azure is designed to provide the smoothest SSO experience possible for both on-premises and Azure AD. Il lavoro o i dispositivi rilasciati dall'Istituto di istruzione devono essere configurati per partecipare direttamente a Azure AD o se l'organizzazione usa il dominio Active Directory locale, tali dispositivi devono essere configurati per la registrazione automatica e invisibile all'utente di Azure ad.Work or school-issued devices should be configured to join Azure AD directly or if the organization uses on-premises AD domain join, those devices should be configured to automatically and silently register with Azure AD.

Per i dispositivi Windows BYOD, gli utenti possono utilizzare l' account Aggiungi lavoro o dell'Istituto di istruzione.For BYOD Windows devices, users can use Add work or school account. Si noti che gli utenti di Chrome-browser su Windows 10 devono installare un'estensione per ottenere la stessa esperienza di accesso liscio come utenti di Edge/IE.Note that Chrome-browser users on Windows 10 need to install an extension to get the same smooth sign-in experience as Edge/IE users. Inoltre, se l'organizzazione dispone di dispositivi Windows 7 appartenenti al dominio, è possibile installare join di Microsoft posto di lavoro per i computer non Windows 10 scaricare il pacchetto per registrare i dispositivi con Azure ad.Also, if your organization has domain-joined Windows 7 devices, you can install Microsoft Workplace Join for non-Windows 10 computers Download the package to register the devices with Azure AD.

Dispositivi iOSiOS devices

È consigliabile installare l'app Microsoft Authenticator sui dispositivi degli utenti prima di distribuire i criteri MFA o dell'accesso condizionale.We recommend installing the Microsoft Authenticator app on user devices before deploying conditional access or MFA policies. È necessario che l'app sia installata almeno quando agli utenti viene richiesto di registrare il proprio dispositivo con Azure AD aggiungendo un account aziendale o dell'Istituto di istruzione o quando si installa l'app Portal Company di Intune per registrare il dispositivo in gestione.At a minimum, the app should be installed when users are asked to register their device with Azure AD by adding a work or school account, or when they install the Intune company portal app to enroll their device into management. Ciò dipende dai criteri di accesso condizionale configurati.This depends on the configured conditional access policy.

Dispositivi AndroidAndroid devices

È consigliabile che gli utenti installino l'app Portale aziendale Intune e l'app Microsoft Authenticator prima che vengano distribuiti i criteri di accesso condizionale o quando richiesto durante determinati tentativi di autenticazione. Dopo l'installazione delle app, è possibile che venga richiesto agli utenti di registrarsi con Azure AD o di registrare il dispositivo con Intune. Ciò dipende dai criteri di accesso condizionale configurati.We recommend users install the Intune Company Portal app and Microsoft Authenticator app before conditional access policies are deployed or when required during certain authentication attempts. After app installation, users may be asked to register with Azure AD or enroll their device with Intune. This depends on the configured conditional access policy.

È inoltre consigliabile che i dispositivi aziendali (COD) siano standardizzati nei modelli OEM e nelle versioni che supportano Android for Work o Samsung Knox per consentire gli account di posta elettronica, essere gestiti e protetti dal criterio MDM di Intune.We also recommend that corporate-owned devices (COD) are standardized on OEMs and versions that support Android for Work or Samsung Knox to allow mail accounts, be managed and protected by Intune MDM policy.

I client di posta elettronica seguenti supportano l'autenticazione moderna e l'accesso condizionale.The following email clients support modern authentication and conditional access.

PiattaformaPlatform ClientClient Versione/NoteVersion/Notes
WindowsWindows OutlookOutlook 2016, 2013 abilitare l'autenticazione moderna, gli aggiornamenti necessari2016, 2013 Enable modern authentication, Required updates
iOSiOS Outlook per iOSOutlook for iOS Ultima versioneLatest
AndroidAndroid Outlook per AndroidOutlook for Android Ultima versioneLatest
macOSmacOS OutlookOutlook 20162016
LinuxLinux Non supportatoNot supported

Quando è stato applicato un criterio di protezione dei documenti, è consigliabile utilizzare i client seguenti.The following clients are recommended when a secure documents policy has been applied.

PiattaformaPlatform Word/Excel/PowerPointWord/Excel/PowerPoint OneNoteOneNote App OneDriveOneDrive App App SharePointSharePoint App Client di sincronizzazione di OneDriveOneDrive Sync Client
Windows 7Windows 7 SupportatoSupported SupportatoSupported N/DN/A N/DN/A Anteprima*Preview*
Windows 8.1Windows 8.1 SupportatoSupported SupportatoSupported N/DN/A N/DN/A Anteprima*Preview*
Windows 10Windows 10 SupportatoSupported SupportatoSupported N/DN/A N/DN/A Anteprima*Preview*
Windows Phone 10Windows Phone 10 Non supportatoNot supported Non supportatoNot supported Non supportatoNot Supported Non supportatoNot Supported Non supportatoNot Supported
AndroidAndroid SupportatoSupported SupportatoSupported SupportatoSupported SupportatoSupported N/DN/A
iOSiOS SupportatoSupported SupportatoSupported SupportatoSupported SupportatoSupported N/DN/A
macOSmacOS Anteprima pubblicaPublic Preview Anteprima pubblicaPublic Preview N/DN/A N/DN/A Non supportatoNot supported
LinuxLinux Non supportatoNot supported Non supportatoNot supported Non supportatoNot supported Non supportatoNot supported Non supportatoNot supported

*Ulteriori informazioni sull'utilizzo dell'accesso condizionale con il client di sincronizzazione di OneDrive.* Learn more about using conditional access with the OneDrive sync client.

Supporto client di Office 365Office 365 client support

Per ulteriori informazioni sul supporto client di Office 365, vedere gli articoli seguenti:For more information about Office 365 client support, see the following articles:

Protezione degli account amministratoreProtecting administrator accounts

Azure AD offre un modo semplice per iniziare a proteggere l'accesso dell'amministratore con un criterio di accesso condizionale preconfigurato.Azure AD provides a simple way for you to begin protecting administrator access with a preconfigured conditional access policy. In Azure Active Directory, andare a accesso condizionale e cercare questo criterio, criterio di base: richiedere l'autenticazione di master per gli amministratori.In Azure AD, go to Conditional access and look for this policy — Baseline policy: Require MFA for admins. Selezionare questo criterio e quindi selezionare Usa criteri immediatamente.Select this policy and then select Use policy immediately.

Questo criterio richiede l'AMF per i ruoli seguenti:This policy requires MFA for the following roles:

  • Amministratori globaliGlobal administrators
  • Amministratori di SharePointSharePoint administrators
  • Amministratori di ExchangeExchange administrators
  • Amministratori degli accessi condizionaliConditional access administrators
  • Amministratori della sicurezzaSecurity administrators

Per ulteriori informazioni, vedere criteri di sicurezza di base per gli account di amministrazione di Azure ad.For more information, see Baseline security policy for Azure AD admin accounts.

Di seguito sono riportati alcuni suggerimenti:Additional recommendations include the following:

  • Usare Azure AD Privileged Identity Management per ridurre il numero di account amministrativi permanenti.Use Azure AD Privileged Identity Management to reduce the number of persistent administrative accounts. Vedere iniziare a usare PIM.See Start using PIM.
  • Utilizzare la gestione degli accessi con privilegi in Office 365 per proteggere l'organizzazione da violazioni che possono utilizzare account amministratore privilegiati esistenti con accesso permanente ai dati sensibili o accesso alle impostazioni di configurazione critiche.Use privileged access management in Office 365 to protect your organization from breaches that may use existing privileged admin accounts with standing access to sensitive data or access to critical configuration settings.
  • Utilizzare gli account Administrator solo per l'amministrazione.Use administrator accounts only for administration. Gli amministratori devono disporre di un account utente distinto per l'utilizzo regolare non amministrativo e utilizzare il proprio account amministrativo solo quando necessario per completare un'attività associata alla propria funzione processi.Admins should have a separate user account for regular non-administrative use and only use their administrative account when necessary to complete a task associated with their job function. I ruoli di amministratore di office 365 dispongono di privilegi sostanzialmente superiori rispetto ai servizi di Office 365.Office 365 administrator roles have substantially more privileges than Office 365 services.
  • Seguire le procedure consigliate per la protezione degli account con privilegi in Azure AD, come descritto in questo articolo.Follow best practices for securing privileged accounts in Azure AD as described in this article.

Passaggi successiviNext steps

Configurare i criteri di identità e accesso ai dispositivi comuniConfigure the common identity and device access policies