Passaggio 4: Configurare l'autenticazione utente sicuraStep 4: Configure secure user authentication

Configurare l'autenticazione a più fattoriSet up multi-factor authentication

Questo passaggio è facoltativo e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis is optional and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

Con questo passaggio è possibile configurare l'autenticazione a più fattori (MFA) per aggiungere un secondo livello di protezione per l'accesso e le transazioni utente. La MFA richiede una verifica aggiuntiva dopo l'immissione della password da parte dell'utente. Senza la MFA, la password rimane l'unico metodo di verifica. Molte password potrebbero essere indovinate facilmente da un utente malintenzionato o condivise inavvertitamente con parti non attendibili.In this step, you'll set up multi-factor authentication (MFA) to add a second layer of security to user sign-ins and transactions. MFA requires an additional verification method after users have correctly entered their password. Without MFA, the password is the only verification method. The problem with passwords is that many of them are easily guessed by an attacker or unknowingly shared with untrusted parties.

Con la MFA, il secondo livello di sicurezza può essere:With MFA, the second layer of security can be:

  • Un dispositivo personale e attendibile che non può essere oggetto di spoofing o duplicazioni, come per esempio uno smartphone.A personal and trusted device that isn’t easily spoofed or duplicated, such as a smart phone.
  • Un attributo biometrico, come per esempio un'impronta digitale.A biometric attribute, such as a fingerprint.

Abilitando la MFA si configura il metodo secondario di autenticazione per ogni account utente. È necessario comunicare agli utenti che la MFA è abilitata, in modo che comprendano i requisiti, come l'utilizzo obbligatorio di uno smartphone per effettuare l'accesso, e possano effettuare l'accesso con esito positivo.You'll enable MFA and configure the secondary authentication method on a per-user account basis. Make sure to let users know that MFA is being enabled so they understand the requirements, such as mandatory use of a smart phone to sign in, and can sign in successfully.

Per altre informazioni, vedere Pianificare l'autenticazione a più fattori.For more information, see Plan for multi-factor authentication.

Nota

In alcune applicazioni, come per esempio Microsoft Office 2010 o le applicazioni più vecchie di Apple Mail, non è possibile utilizzare la MFA. Per utilizzare queste app, sarà necessario utilizzare le "password dell'app" al posto della password tradizionale. La password dell'app consente di bypassare la MFA e continuare a lavorare. Per ulteriori informazioni sulle password dell'app, vedere Creare una password dell'app per Office 365.In some applications, such as Microsoft Office 2010 or older and Apple Mail, you can’t use MFA. To use these apps, you’ll need to use “app passwords” in place of your traditional password. The app password allows the app to bypass MFA and continue working. To learn more about app passwords, see Create an app password for Office 365.

Guide al lab di test per il cloud Microsoft Guida al lab di test: autenticazione a più fattoriTest Lab Guide: Multi-factor authentication

Come checkpoint provvisorio, è possibile vedere i criteri uscita per questa sezione.As an interim checkpoint, you can see the exit criteria for this section.

Proteggere dalla compromissione delle credenzialiProtect against credential compromise

Questo passaggio è facoltativo e si applica solo alla versione E5 di Microsoft 365 EnterpriseThis is optional and applies only to the E5 version of Microsoft 365 Enterprise

In questa sezione verrà illustrato come configurare i criteri di protezione dalla compromissione delle credenziali, per cui l'autore di un attacco scopre nome e password dell'account di un utente per ottenere l'accesso ai servizi e ai dati cloud di un'organizzazione.In this section, you'll learn how to configure policies that protect against credential compromise, where an attacker determines a user’s account name and password to gain access to an organization’s cloud services and data. Azure AD Identity Protection offre una serie di modi per impedire all'autore di un attacco di entrare in account e gruppi e, di conseguenza, alla maggior parte dei dati importanti.Azure AD Identity Protection provides a number of ways to help prevent an attacker from moving laterally through your accounts and groups, and subsequently, to your most valuable data.

Con Azure AD Identity Protection, è possibile:With Azure AD Identity Protection, you can:

Determinare e affrontare possibili vulnerabilità relative alle identità dell'organizzazioneDetermine and address potential vulnerabilities in your organization’s identities Azure AD usa l'apprendimento automatico per rilevare anomalie e attività sospette, come ad esempio attività di accesso e conseguenti all'accesso. Usando questi dati, Identity Protection genera report e avvisi che permettono di valutare i problemi e intervenire.Azure AD uses machine learning to detect anomalies and suspicious activity, such as sign-ins and post-sign-in activities. Using this data, Identity Protection generates reports and alerts that help you evaluate the issues and take action.
Rilevare azioni sospette correlate alle identità dell'organizzazione e intervenire automaticamenteDetect suspicious actions that are related to your organization’s identities and respond to them automatically È possibile configurare criteri basati sul rischio che rispondono automaticamente a problemi rilevati quando un livello di rischio specificato è stato raggiunto. Tali criteri, in aggiunta ad altri controlli sull'accesso condizionale forniti da Azure Active Directory ed Enterprise Mobility + Security (EMS), possono bloccare l'accesso o attuare azioni correttive, come le reimpostazioni della password e richiedere l'autenticazione a più fattori per gli accessi successivi.You can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. These policies, in addition to other conditional access controls provided by Azure Active Directory and Enterprise Mobility + Security (EMS), can either automatically block access or take corrective actions, including password resets and requiring multi-factor authentication for subsequent sign-ins.
Esaminare gli incidenti sospetti e risolverli con azioni amministrativeInvestigate suspicious incidents and resolve them with administrative actions È possibile esaminare gli eventi di rischio usando le informazioni sugli incidenti di sicurezza. I flussi di lavoro di base sono disponibili per tenere traccia delle analisi e per attuare azioni correttive, come le reimpostazioni delle password.You can investigate risk events using information about the security incident. Basic workflows are available to track investigations and initiate remediation actions, such as password resets.

Vedere altre informazioni su Azure AD Identity Protection.See more information about Azure AD Identity Protection.

Vedere i passaggi per abilitare Azure AD Identity Protection.See the steps to enable Azure AD Identity Protection.

Al termine della procedura Azure AD Identity Protection è stato abilitato e può essere usato per:The results of this step are that you've enabled Azure AD Identity protection and you are using it to:

  • Far fronte a potenziali vulnerabilità relative alle identità.Address potential identity vulnerabilities.
  • Rilevare possibili tentativi di violazione delle credenziali.Detect possible credential compromise attempts.
  • Ricercare le cause e risolvere attività sospette relative alle identità.Investigate and address ongoing suspicious identity incidents.
Guide al lab di test per il cloud Microsoft Guida al lab di test: Azure AD Identity ProtectionTest Lab Guide: Azure AD Identity Protection

Come checkpoint provvisorio, è possibile vedere i criteri uscita per questa sezione.As an interim checkpoint, you can see the exit criteria for this section.

Monitorare l'attività di tenant e di accessoMonitor tenant and sign-in activity

Questo passaggio è facoltativo e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis is optional and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

In questo passaggio, è possibile rivedere le attività dei log di controllo e le attività di accesso utilizzando la creazione di report di Azure AD. Sono disponibili due tipi di report.In this step, you'll review audit logs and sign-in activity using Azure AD reporting. Two types of reports are available.

Il Report delle attività di log di controllo registra la storia di ogni attività eseguita nel tenant di Azure AD. Questo report può fornire risposte a domande come:The Audit logs activity report records the history of every task performed in your Azure AD tenant. This report answers questions like:

  • Chi ha aggiunto un membro al gruppo amministratore?Who added someone to an admin group?
  • Quali utenti hanno effettuato l'accesso in una determinata app?Which users are signing into a specific app?
  • Quante reimpostazioni della password sono state eseguite?How many password resets are happening?

Il Report delle attività di accesso registra gli utenti che hanno eseguito le attività riportate nei report dei log di controllo. Questo report può fornire risposte a domande come:The Sign-ins activity report records who performed the tasks reported by the audit logs report. This report answers questions like:

  • Qual è il criterio di accesso per un utente specifico sotto esame?For a specific user under investigation, what is their sign-in pattern?
  • Qual'è il numero degli accessi durante un giorno, una settimana o un mese?What is my volume of sign-ins over a day, week, or month?
  • Quanti tentativi di accesso non hanno avuto esito positivo e per quali account si è verificata questa occorrenza?How many of these sign-in attempts were not successful, and for which accounts?

Per ulteriori informazioni sui report e su come accedere ad essi, vedere Creazione di report di Azure Active Directory.For more information about the reports and how to access them, see Azure Active Directory reporting.

Il risultato di questo passaggio è acquisire consapevolezza riguardo tali report e comprendere come utilizzarli per comprendere gli eventi e le attività di Azure AD a scopo di pianificazione e sicurezza.As a result of this step, you'll gain awareness of these reports and an understanding of how you can use them to gain insights on Azure AD events and activities for planning and security purposes.

Passaggio successivoNext step

Semplificare l'accesso per gli utentiSimplify access for users