Configurazioni di identità e accesso dei dispositiviIdentity and device access configurations

Non esiste alcuna soluzione ideale o un suggerimento per ogni cliente, questo documento viene fornita una Guida a cui viene consigliato sulle configurazioni Microsoft per assicurare una forza lavoro protetta e produttività.There is no perfect solution or recommendation for every customer, this document provides a guide to what Microsoft recommends regarding configurations to ensure a secure and productive workforce.

DestinatariIntended audience

Questi suggerimenti sono destinati ai professionisti dell'IT familiarità con Office 365 e Microsoft Enterprise mobilità + protezione che include, ad esempio, Azure Active Directory (identità), Microsoft e gli architetti di Enterprise Intune (gestione di dispositivi) e la protezione delle informazioni di Azure (la protezione dei dati).These recommendations are intended for Enterprise Architects and IT Professionals who are familiar with Office 365 and Microsoft Enterprise Mobility + Security which includes, among others, Azure Active Directory (identity), Microsoft Intune (device management), and Azure Information Protection (data protection).

Ambiente clienteCustomer environment

I criteri consigliati sono applicabili per le organizzazioni aziendali operativo entrambi completamente nel cloud Microsoft e per l'ambiente ibrido i clienti con l'infrastruttura distribuzione locale sia nel cloud Microsoft.The recommended policies are applicable to enterprise organizations operating both entirely within the Microsoft cloud and for hybrid customers with infrastructure deployed both on-premises and the Microsoft cloud.

Molti dei suggerimenti forniti si basano sui servizi disponibili solo con le licenze di sicurezza (EMS) E5 + mobilità aziendale. Consigli presentati presuppongono funzionalità complete di licenza EMS E5.Many of the provided recommendations rely on services available only with Enterprise Mobility + Security (EMS) E5 licenses. Recommendations presented assume full EMS E5 license capabilities.

Per le organizzazioni che non dispongono di licenze sicurezza E5 + mobilità aziendale, si consiglia di che almeno implementano funzionalità di protezione di base Azure Active Directory inclusi in tutti i piani. Ulteriori informazioni sono disponibili nell'articolo, che cos'è previsto protezione nella libreria di Azure Active Directory.For those organizations who do not have Enterprise Mobility + Security E5 licenses, Microsoft recommends you at least implement Azure AD baseline protection capabilities that are included with all plans. More information can be found in the article, What is baseline protection in the Azure AD library.

AvvertenzeCaveats

L'organizzazione può essere soggetto a requisiti di conformità alle normative o altri, incluse indicazioni specifiche che potrebbero essere necessario applicare i criteri che si discosta da queste configurazioni consigliate. Queste configurazioni consigliabile controllare l'utilizzo non è stato passato disponibili. Questi controlli, è consigliabile poiché si ritiene che rappresentano un equilibrio tra protezione e produttività.Your organization may be subject to regulatory or other compliance requirements, including specific recommendations that may require you to apply policies that diverge from these recommended configurations. These configurations recommend usage controls that have not historically been available. We recommend these controls, because we believe they represent a balance between security and productivity.

Svolto ottimali per tenere conto di un'ampia gamma di requisiti di protezione dell'organizzazione, non si è in grado di account per tutti i possibili requisiti o per tutti gli aspetti univoci dell'organizzazione.We have done our best to account for a wide variety of organizational protection requirements, we’re not able to account for all possible requirements or for all the unique aspects of your organization.

Tre livelli di protezioneThree tiers of protection

La maggior parte delle organizzazioni hanno requisiti specifici relativi a sicurezza e protezione dei dati. Tali requisiti variano in base al settore e alle mansioni lavorative all'interno delle organizzazioni. Ad esempio, l'ufficio legale e gli amministratori di Office 365 potrebbero richiedere maggiore sicurezza e controlli di protezione sulle informazioni della corrispondenza tramite posta elettronica che non sono richiesti per gli utenti di altre business unit.Most organizations have specific requirements regarding security and data protection. These requirements vary by industry segment and by job functions within organizations. For example, your legal department and Office 365 administrators might require additional security and information protection controls around their email correspondence that are not required for other business unit users.

Ogni settore include anche i propri set di specializzate normative. Invece di fornire un elenco di tutte le opzioni di protezione o di un suggerimento per funzione di processo o segmento di settore, sono stati forniti consigli per tre diversi livelli di sicurezza e protezione che può essere applicata in base la granularità delle proprie esigenze .Each industry also has their own set of specialized regulations. Rather than providing a list of all possible security options or a recommendation per industry segment or job function, recommendations have been provided for three different tiers of security and protection that can be applied based on the granularity of your needs.

  • Protezione di base , è consigliabile definire uno standard minimo per la protezione dei dati, nonché le identità e i dispositivi che accedono ai dati. È possibile seguire i suggerimenti di base per fornire la protezione predefinita complessa che soddisfi le esigenze di molte organizzazioni.Baseline protection — We recommend you establish a minimum standard for protecting data, as well as the identities and devices that access your data. You can follow these baseline recommendations to provide strong default protection that meets the needs of many organizations.
  • Protezione dati riservati , alcuni clienti sono un sottoinsieme di dati che devono essere protetti livelli superiori richiedano da tutti i dati da proteggere un livello superiore. È possibile applicare protezione superiori a tutti o set di dati specifici dell'ambiente Office 365. È consigliabile proteggere le identità e i dispositivi che accedono ai dati riservati con paragonabili livelli di protezione.Sensitive protection — Some customers have a subset of data that must be protected at higher levels or require all data to be protected at a higher level. You can apply increased protection to all or specific data sets in your Office 365 environment. We recommend protecting identities and devices that access sensitive data with comparable levels of security.
  • Altamente regolamentato , alcune organizzazioni possono disporre di una piccola quantità di dati altamente classificati, segreti commerciali o dati regolamentati. Microsoft offre funzionalità che consentono alle organizzazioni di soddisfare questi requisiti, inclusa la protezione sono state aggiunta le identità e dei dispositivi.Highly regulated — Some organizations may have a small amount of data that is highly classified, trade secret, or regulated data. Microsoft provides capabilities to help organizations meet these requirements, including added protection for identities and devices.

Cono sicurezza - tutti i clienti > alcuni clienti > clienti specifici. Vasta gamma di applicazioni per applicazione

Questa guida viene illustrato come implementare la protezione per le identità e dispositivi per ognuno di questi livelli di protezione. Utilizzare questa guida come punto di partenza per l'organizzazione e modificare i criteri in base alle esigenze specifiche dell'organizzazione.This guidance shows you how to implement protection for identities and devices for each of these tiers of protection. Use this guidance as a starting point for your organization and adjust the policies to meet your specific organization requirements.

È importante utilizzare i livelli di protezione coerenti tra i dati, le identità e dispositivi. Ad esempio, se si implementa questa Guida, assicurarsi di proteggere i dati a livelli paragonabili. Questi modelli di architettura mostrano le funzionalità che sono paragonabili.It’s important to use consistent levels of protection across your data, identities, and devices. For example, if you implement this guidance, be sure to protect your data at comparable levels. These architecture models show you which capabilities are comparable.

Identità e dispositivo di protezione per Office 365Identity and device protection for Office 365
Anteprima poster "identità e dispositivo di protezione per Office 365"Thumbnail for poster "Identity and device protection for Office 365"
PDF | Visio | Altre linguePDF | Visio | More languages

Soluzioni per la protezione dei file in Office 365File Protection Solutions in Office 365
Anteprima poster "Soluzioni di protezione dei File in Office 365"Thumbnail for poster "File protection solutions in Office 365"
PDF | VisioPDF | Visio

Compromesso tra sicurezza e produttivitàSecurity and productivity trade-offs

L'implementazione di qualsiasi strategia di protezione, è necessario un compromesso tra protezione e produttività. È utile valutare l'effetto dell'equilibrio tra protezione, le funzionalità e facilità di utilizzo ogni decisione.Implementing any security strategy requires trade-offs between security and productivity. It's helpful to evaluate how each decision affects the balance of security, functionality, and ease of use.

Triad sicurezza bilanciamento del carico di sicurezza, le funzionalità e facilità di utilizzo.

I suggerimenti forniti si basano sui seguenti principi:The recommendations provided are based on the following principles:

  • Conoscenza dei destinatari flessibilità per la loro protezione e ai requisiti funzionali.Know your audience be flexible to their security and functional requirements.
  • Applicare criteri di sicurezza appena nel tempo e assicurarsi che sia significativa.Apply security policy just in time and ensure it is meaningful.

Servizi e i concetti relativi all'identità e dei dispositivi la protezione dell'accessoServices and concepts for identity and device access protection

Microsoft 365 Enterprise è progettato per organizzazioni di grandi dimensioni e sull'integrazione di Office 365 Enterprise, Windows 10 Enterprise e mobilità aziendale + sicurezza (EMS) per consentire a chiunque di essere creative e lavoro contemporaneamente, in modo protetto.Microsoft 365 Enterprise is designed for large organizations and integrates Office 365 Enterprise, Windows 10 Enterprise, and Enterprise Mobility + Security (EMS) to empower everyone to be creative and work together, securely.

In questa sezione viene fornita una panoramica di servizi Microsoft 365 e funzionalità importanti per l'accesso di dispositivi e identità.This section provides an overview of the Microsoft 365 services and capabilities that are important for identity and device access.

Microsoft Azure Active DirectoryMicrosoft Azure Active Directory

Azure Active Directory fornisce una suite completa dell'identità funzionalità di gestione. I suggerimenti per la protezione dell'accesso, utilizzare le funzionalità seguenti:Azure AD provides a full suite of identity management capabilities. Our recommendations for securing access use the following capabilities:

  • Programma di reimpostazione password self-service (SSPR) : consentire agli utenti di reimpostare le password senza l'intervento dell'help desk in modo sicuro fornendo verifica più metodi di autenticazione che l'amministratore può controllare.Self-service password reset (SSPR) — Allow your users to reset their passwords without helpdesk intervention securely by providing verification of multiple authentication methods that the administrator can control.
  • Autenticazione a più fattori (MFA) , ovvero MFA richiede agli utenti di utilizzare due forme di verifica, ad esempio una password utente e una notifica da app Authenticator Microsoft o una chiamata telefonica. MFA riduce il rischio che un'identità rubata può essere utilizzato per l'accesso dell'ambiente Office 365.Multi-factor authentication (MFA) — MFA requires users to provide two forms of verification, such as a user password plus a notification from the Microsoft Authenticator app or a phone call. MFA greatly reduces the risk that a stolen identity can be used to access your Office 365 environment.
  • Accesso condizionato , ovvero Azure Active Directory valuta le condizioni di accesso utente e utilizza criteri di accesso condizionato creati per consentire l'accesso. Ad esempio, in questa guida viene indicato è illustrato come creare un criterio di accesso condizionale per richiesta la conformità con dispositivi per l'accesso ai dati riservati. Si riduce il rischio che un utente malintenzionato con un'identità rubato può accedere ai dati riservati. Protegge inoltre i dati riservati sui dispositivi dal momento che i dispositivi di soddisfano specifici requisiti di sicurezza e integrità.Conditional access — Azure AD evaluates the conditions of the user login and uses conditional access policies you create to allow access. For example, in this guidance we show you how to create a conditional access policy to require device compliance for access to sensitive data. This greatly reduces the risk that a hacker with a stolen identity can access your sensitive data. It also protects sensitive data on the devices because the devices meet specific requirements for health and security.
  • Gruppi di Azure Active Directory , ovvero le regole di accesso condizionato, la gestione dei dispositivi con Intune, e anche le autorizzazioni per i file e i siti all'interno dell'organizzazione si basano su assegnati agli utenti e/o gruppi di Azure Active Directory. È consigliabile che è creare gruppi di Azure Active Directory che corrispondono ai livelli di protezione che si stanno implementando. Ad esempio, staff executive sono probabilmente maggiore valore gli obiettivi per utenti malintenzionati. Di conseguenza, è opportuno assegnare i dipendenti a un gruppo di Azure Active Directory e assegnare il gruppo di criteri di accesso condizionale e altri criteri che applicano un livello maggiore di protezione per l'accesso.Azure AD groups — Conditional access rules, device management with Intune, and even permissions to files and sites in your organization rely on assignment to users and/or Azure AD groups. We recommend you create Azure AD groups that correspond to the levels of protection you are implementing. For example, your executive staff are likely higher value targets for hackers. Therefore, it makes sense to assign these employees to an Azure AD group and assign this group to conditional access policies and other policies that enforce a higher level of protection for access.
  • Registrazione periferica , ovvero un dispositivo di registrazione in Azure Active Directory per fornire un'identità (identity) del dispositivo. Questo parametro identity viene utilizzata per autenticare il dispositivo, quando un utente accede e per applicare le regole di accesso condizionale che richiedono PC compatibile o dominio. Per questa guida viene utilizzata la registrazione di dispositivo per registrare automaticamente computer aggiunto al dominio di Windows. Registrazione periferica è un prerequisito per la gestione dei dispositivi con Intune.Device registration — You register a device into Azure AD to provide an identity to the device. This identity is used to authenticate the device when a user signs in and to apply conditional access rules that require domain-joined or compliant PCs. For this guidance, we use device registration to automatically register domain-joined Windows computers. Device registration is a prerequisite for managing devices with Intune.
  • Protezione dell'identità di Azure Active Directory , ovvero la protezione dell'identità di Azure Active Directory consente di rilevare potenziale vulnerabilità che interessano le identità dell'organizzazione e configurare i criteri di correzione automatica per utente rischi e dei rischi bassa, medio e alta accesso. Questa guida si basa sulla valutazione dei rischi per applicare criteri di accesso condizionale per l'autenticazione a più fattori. Questa guida include inoltre un criterio di accesso condizionale che richiede agli utenti di modificare la password se viene rilevata qualche attività ad alto rischio per il proprio account.Azure AD Identity Protection — Azure AD Identity Protection enables you to detect potential vulnerabilities affecting your organization’s identities and configure automated remediation policy to low, medium, and high sign-in risk and user risk. This guidance relies on this risk evaluation to apply conditional access policies for multi-factor authentication. This guidance also includes a conditional access policy that requires users to change their password if high risk activity is detected for their account.

Microsoft IntuneMicrosoft Intune

Intune è servizio di gestione di Microsoft basata su cloud dispositivo mobile. Questa guida viene consigliato di gestione dei dispositivi di PC di Windows con Intune e viene consigliato di configurazioni dei criteri di conformità di dispositivi. Intune determina se i dispositivi sono conformi e invia i dati di Azure Active Directory da utilizzare per l'applicazione di criteri di accesso condizionale.Intune is Microsoft’s cloud-based mobile device management service. This guidance recommends device management of Windows PCs with Intune and recommends device compliance policy configurations. Intune determines whether devices are compliant and sends this data to Azure AD to use when applying conditional access policies.

Protezione app IntuneIntune app protection

Criteri di protezione app Intune è utilizzabile per proteggere i dati dell'azienda di App per dispositivi mobili con o senza dispositivi registrazione in Gestione. Intune contribuisce a proteggere le informazioni di Office 365, assicurandosi che dipendenti possono comunque essere perdita di dati che impedisce e produttivi. Per implementare criteri a livello di applicazione, è possibile limitare l'accesso alle risorse aziendali e mantenere i dati all'interno del controllo del reparto IT.Intune app protection policies can be used to protect your company’s data in mobile apps with or without enrolling devices into management. Intune helps protect Office 365 information, making sure your employees can still be productive, and preventing data loss. By implementing app-level policies, you can restrict access to company resources and keep data within the control of your IT department.

Questa guida viene illustrato come creare criteri consigliati per imporre l'utilizzo di applicazioni approvate e determinare come è possibile utilizzare queste applicazioni con i dati business.This guidance shows you how to create recommended policies to enforce the use of approved apps and to determine how these apps can be used with your business data.

Office 365Office 365

Questa guida viene illustrato come implementare un set di criteri per proteggere l'accesso a Office 365, inclusi Exchange Online, SharePoint Online e OneDrive for Business. Oltre a implementare questi criteri, è consigliabile che inoltre si aumenta il livello di protezione per Office 365 tenant utilizza queste risorse:This guidance shows you how to implement a set of policies to protect access to Office 365, including Exchange Online, SharePoint Online, and OneDrive for Business. In addition to implementing these policies, we recommend you also raise the level of protection for your Office 365 tenant using these resources:

Windows 10 e Office 365 ProPlusWindows 10 and Office 365 ProPlus

Windows 10 e Office 365 ProPlus sono l'ambiente client consigliato per PC. È consigliabile Windows 10 come Azure è progettato per garantire un'esperienza semplicità possibile per locali e di Azure Active Directory. Windows 10 include anche funzionalità di protezione avanzata che possono essere gestite tramite Intune. Office 365 ProPlus sono incluse le versioni più recenti di applicazioni di Office. Queste utilizzare l'autenticazione moderno, offre maggiore protezione e un requisito per l'accesso condizionale. Queste applicazioni includano anche gli strumenti di conformità e sicurezza avanzati.Windows 10 and Office 365 ProPlus are the recommended client environment for PCs. We recommend Windows 10, as Azure is designed to provide the smoothest experience possible for both on-premises and Azure AD. Windows 10 also includes advanced security capabilities that can be managed through Intune. Office 365 ProPlus includes the latest versions of Office applications. These use modern authentication, which is more secure and a requirement for conditional access. These apps also include enhanced security and compliance tools.

L'applicazione di queste funzionalità tra tre livelli di protezioneApplying these capabilities across the three tiers of protection

Nella tabella seguente sono riepilogati i consigli per l'utilizzo di queste funzionalità tra tre livelli di protezione.The following table summarizes our recommendations for using these capabilities across the three tiers of protection.

Meccanismo di protezioneProtection mechanism Versione di baseBaseline Dati sensibiliSensitive Protezione per ambienti altamente regolamentatiHighly regulated
Applicare l'autenticazione a più fattoriEnforce MFA A partire da rischio di accesso medioOn medium or above sign-in risk A partire da rischio di accesso bassoOn low or above sign-in risk Per tutte le nuove sessioniOn all new sessions
Applicare modifica passwordEnforce Password Change Per gli utenti ad alto rischioFor high risk users Per gli utenti ad alto rischioFor high risk users Per gli utenti ad alto rischioFor high risk users
Applicare la protezione delle applicazioni di IntuneEnforce Intune Application Protection Yes Yes Yes
Applicare la registrazione di IntuneEnforce Intune Enrollment (COD) Richiede un conforme o dominio aggiunto al PC, ma Consenti BYOD telefoni/TabletRequire a compliant or domain joined PC, but allow BYOD phones/tablets Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device

Proprietà del dispositivoDevice ownership

Nella tabella precedente riflette le tendenze per molte organizzazioni supportare una combinazione dei dispositivi di proprietà dell'azienda, nonché dispositivi personali o portare in primo piano-your-proprietario (BYOD) per abilitare la produttività mobile tra le risorse umane. Criteri di protezione App Intune assicurarsi di posta elettronica è protetto da exfiltrating da Outlook mobile app e altre applicazioni per dispositivi mobili di Office, in dispositivi di proprietà dell'azienda e BYOD.The above table reflects the trend for many organizations to support a mix of corporate-owned devices as well as personal or bring-your-own devices (BYOD) to enable mobile productivity across the workforce. Intune App Protection Policies ensure that email is protected from exfiltrating out of the Outlook mobile app and other Office mobile apps, on both corporate-owned devices and BYOD.

È consigliabile aziendale e di proprietà dispositivi essere gestiti da Intune o dominio per applicare altri tipi di protezione e controllo. A seconda di riservatezza dei dati, l'organizzazione può scegliere di consentire non BYOD per utenti specifici o App specifiche.We recommend corporate-owned devices be managed by Intune or domain-joined to apply additional protections and control. Depending on data sensitivity, your organization may choose to not allow BYOD for specific user populations or specific apps.

Passaggi successiviNext steps

Lavoro prerequisito per l'implementazione di criteri di accesso di identità e dei dispositiviPrerequisite work for implementing identity and device access policies