Configurazioni di identità e accesso dei dispositiviIdentity and device access configurations

IntroduzioneIntroduction

Sebbene non esista un'unica indicazione ottimale per tutti gli ambienti dei clienti, le procedure consigliate nel documento descrivono le indicazioni generali di Microsoft su come applicare le impostazioni di configurazione e i criteri nel cloud Microsoft per garantire la sicurezza e la produttività dei dipendenti.While there is no single best recommendation for all customer environments, the best practices and recommendations in this document describe general Microsoft recommendations about how to apply policy and configuration within the Microsoft cloud to ensure that your employees are both secure and productive.

Destinatari I consigli illustrati qui sono concepiti per architetti dell'infrastruttura aziendale e professionisti dell'IT che hanno familiarità con Office 365 e Microsoft Enterprise Mobility + Security che include Azure Active Directory (identità), Microsoft Intune (gestione dei dispositivi) e Azure Information Protection (protezione dei dati).Intended audience These recommendations are intended for enterprise infrastructure architects and IT Pros familiar with Office 365 and Microsoft Enterprise Mobility + Security which includes, among others, Azure Active Directory (identity), Microsoft Intune (device management), and Azure Information Protection (data protection).

Ambiente del cliente I criteri consigliati sono applicabili a organizzazioni aziendali che operano interamente nell'ambito del cloud Microsoft e per clienti con un'infrastruttura distribuita in locale e nel cloud Microsoft.Customer environment The recommended policies are applicable to enterprise organizations operating both entirely within the Microsoft cloud and for customers with infrastructure deployed across on-premises and the Microsoft cloud.

Presupposti Molti dei consigli offerti si basano su servizi disponibili solo con sottoscrizioni di Enterprise Mobility + Security (EMS) E5 sottoscrizioni. I consigli illustrati presuppongono funzionalità complete della sottoscrizione a EMS E5.Assumptions Many of the provided recommendations rely on services available only with Enterprise Mobility + Security (EMS) E5 subscriptions. Recommendations presented assume full EMS E5 subscription capabilities.

Se non disponi di sottoscrizioni E5, si consiglia di che si implementano funzionalità di protezione di previsione Azure Active Directory inclusi in tutti i piani. Vedere che cos'è previsto protezione nella libreria di Azure Active Directory.If you don’t have E5 subscriptions, Microsoft recommends you implement Azure AD baseline protection capabilities that are included with all plans. See What is baseline protection in the Azure AD library.

Avvertenze importanti È possibile che l'organizzazione sia soggetta a requisiti normativi o altri requisiti di conformità, incluse indicazioni specifiche per le quali potrebbe essere necessario applicare criteri diversi dalle configurazioni consigliate in questo articolo. Tali configurazioni consigliano controlli dell'utilizzo non disponibili in precedenza. Tali controlli sono consigliabili perché rappresentano una soluzione equilibrata tra sicurezza e produttività.Caveats Your organization may be subject to regulatory or other compliance requirements, including specific recommendations that may require you to apply policies that diverge from these recommended configurations. These configurations recommend usage controls that have not historically been available. We recommend these controls, because we believe they represent a balance between security and productivity.

Nonostante il massimo impegno profuso per tenere in considerazione una vasta gamma di requisiti di protezione aziendale, non è possibile prendere in considerazione tutti i requisiti possibili o tutti gli aspetti unici di ogni organizzazione. Usare i consigli offerti nel documento come guida sul modo considerato corretto da Microsoft e dal team aziendale della produttività e della sicurezza di applicare i criteri.While we’ve done our best to account for a wide variety of organizational protection requirements, we’re not able to account for all possible requirements or for all the unique aspects of your organization. Use these recommendations as a guide for how Microsoft and the secure productive enterprise team is thinking about how to correctly apply policy.

Tre livelli di protezioneThree tiers of protection

La maggior parte delle organizzazioni hanno requisiti specifici relativi a sicurezza e protezione dei dati. Tali requisiti variano in base al settore e alle mansioni lavorative all'interno delle organizzazioni. Ad esempio, l'ufficio legale e gli amministratori di Office 365 potrebbero richiedere maggiore sicurezza e controlli di protezione sulle informazioni della corrispondenza tramite posta elettronica che non sono richiesti per gli utenti di altre business unit.Most organizations have specific requirements regarding security and data protection. These requirements vary by industry segment and by job functions within organizations. For example, your legal department and Office 365 administrators might require additional security and information protection controls around their email correspondence that are not required for other business unit users.

Ogni settore include anche i propri set di specializzate normative. Invece di fornire un elenco di tutte le opzioni di protezione o di un suggerimento per funzione di processo o segmento di settore, sono stati forniti consigli per tre diversi livelli di sicurezza e protezione che può essere applicata in base la granularità delle proprie esigenze .Each industry also has their own set of specialized regulations. Rather than providing a list of all possible security options or a recommendation per industry segment or job function, recommendations have been provided for three different tiers of security and protection that can be applied based on the granularity of your needs.

  • N protectio previsto, è consigliabile definire uno standard minimo per la protezione dei dati, nonché le identità e i dispositivi che accedono ai dati. È possibile seguire i suggerimenti di base per fornire la protezione predefinita complessa che soddisfi le esigenze di molte organizzazioni.Baseline protection — We recommend you establish a minimum standard for protecting data, as well as the identities and devices that access your data. You can follow these baseline recommendations to provide strong default protection that meets the needs of many organizations.
  • Protezione dati riservati , alcuni clienti sono un sottoinsieme di dati che devono essere protetti livelli superiori richiedano da tutti i dati da proteggere un livello superiore. È possibile applicare protezione superiori a tutti o set di dati specifici dell'ambiente Office 365. È consigliabile proteggere le identità e i dispositivi che accedono ai dati riservati con paragonabili livelli di protezione.Sensitive protection — Some customers have a subset of data that must be protected at higher levels or require all data to be protected at a higher level. You can apply increased protection to all or specific data sets in your Office 365 environment. We recommend protecting identities and devices that access sensitive data with comparable levels of security.
  • Altamente regolamentato , alcune organizzazioni possono essere una molto piccola quantità di dati altamente classificati, segreti commerciali o dati regolamentati. Microsoft offre funzionalità che consentono alle organizzazioni di soddisfare questi requisiti, inclusa la protezione sono state aggiunta le identità e dei dispositivi.Highly regulated — Some organizations may have a very small amount of data that is highly classified, trade secret, or regulated data. Microsoft provides capabilities to help organizations meet these requirements, including added protection for identities and devices.

m365-idquality -

Questa guida viene illustrato come implementare la protezione per le identità e dispositivi per ognuno di questi livelli di protezione. Utilizzare questa guida come punto di partenza per l'organizzazione e modificare i criteri in base alle esigenze specifiche dell'organizzazione.This guidance shows you how to implement protection for identities and devices for each of these tiers of protection. Use this guidance as a starting point for your organization and adjust the policies to meet your specific organization requirements.

È importante utilizzare i livelli di protezione coerenti tra i dati, le identità e dispositivi. Ad esempio, se si implementa questa Guida, assicurarsi di proteggere i dati a livelli paragonabili. Questi modelli di architettura mostrano le funzionalità che sono paragonabili.It’s important to use consistent levels of protection across your data, identities, and devices. For example, if you implement this guidance, be sure to protect your data at comparable levels. These architecture models show you which capabilities are comparable.

Identità e dispositivo di protezione per Office 365Identity and device protection for Office 365
Anteprima poster "identità e dispositivo di protezione per Office 365"Thumbnail for poster "Identity and device protection for Office 365"
PDF | Visio | Altre linguePDF | Visio | More languages

Soluzioni per la protezione dei file in Office 365File Protection Solutions in Office 365
Anteprima per poster "Soluzioni di protezione dei File in Office 365"Thumnail for poster "File protection solutions in Office 365"
PDF | VisioPDF | Visio

Compromesso tra sicurezza e produttivitàSecurity and productivity trade-offs

L'implementazione di qualsiasi strategia di protezione, è necessario un compromesso tra protezione e produttività. È utile valutare l'effetto dell'equilibrio tra protezione, le funzionalità e facilità di utilizzo ogni decisione.Implementing any security strategy requires trade-offs between security and productivity. It's helpful to evaluate how each decision affects the balance of security, functionality, and ease of use.

Triad sicurezza bilanciamento del carico di sicurezza, le funzionalità e facilità di utilizzo.

I suggerimenti forniti si basano sui seguenti principi:The recommendations provided are based on the following principles:

  • Verificare se il gruppo di destinatari: flessibilità dalla barra funzione/sicurezza del processo.Know the audience - Be flexible by job function/security bar.
  • Applicare criteri di sicurezza appena nel tempo e assicurarsi che sia significativa.Apply security policy just in time and ensure it is meaningful.

Servizi e i concetti relativi all'identità e dei dispositivi la protezione dell'accessoServices and concepts for identity and device access protection

Microsoft 365 Enterprise è progettato per organizzazioni di grandi dimensioni e sull'integrazione di Office 365 Enterprise, Windows 10 Enterprise e mobilità aziendale + sicurezza (EMS) per consentire a chiunque di essere creative e lavoro contemporaneamente, in modo protetto.Microsoft 365 Enterprise is designed for large organizations and integrates Office 365 Enterprise, Windows 10 Enterprise, and Enterprise Mobility + Security (EMS) to empower everyone to be creative and work together, securely.

In questa sezione viene fornita una panoramica di servizi Microsoft 365 e funzionalità importanti per l'accesso di dispositivi e identità.This section provides an overview of the Microsoft 365 services and capabilities that are important for identity and device access.

Microsoft Azure Active DirectoryMicrosoft Azure Active Directory

Azure Active Directory fornisce una suite completa dell'identità funzionalità di gestione. I suggerimenti per la protezione dell'accesso, utilizzare le funzionalità seguenti:Azure AD provides a full suite of identity management capabilities. Our recommendations for securing access use the following capabilities:

  • Autenticazione a più fattori (MFA) , ovvero MFA richiede agli utenti di utilizzare due forme di verifica, ad esempio un'autenticazione utente, password e telefono con un pin. MFA riduce il rischio che un'identità rubata può essere utilizzato per l'accesso dell'ambiente Office 365.Multi-factor authentication (MFA) — MFA requires users to provide two forms of verification, such as a user password plus phone authentication with a pin. MFA greatly reduces the risk that a stolen identity can be used to access your Office 365 environment.
  • Accesso condizionato , ovvero Azure Active Directory valuta le condizioni di accesso utente e utilizza le regole di accesso condizionale creati per consentire l'accesso. Ad esempio, in questa guida viene indicato è illustrato come creare una regola di accesso condizionato per richiesta la conformità con dispositivi per l'accesso ai dati riservati. Si riduce il rischio che un utente malintenzionato con un'identità rubato può accedere ai dati riservati. Protegge inoltre i dati riservati sui dispositivi dal momento che i dispositivi di soddisfano specifici requisiti di sicurezza e integrità.Conditional access — Azure AD evaluates the conditions of the user login and uses conditional access rules you create to allow access. For example, in this guidance we show you how to create a conditional access rule to require device compliance for access to sensitive data. This greatly reduces the risk that a hacker with a stolen identity can access your sensitive data. It also protects sensitive data on the devices because the devices meet specific requirements for health and security.
  • Gruppi di Azure Active Directory , ovvero le regole di accesso condizionato, la gestione dei dispositivi con Intune, e anche le autorizzazioni per i file e i siti all'interno dell'organizzazione si basano su assegnati agli utenti e/o gruppi di Azure Active Directory. È consigliabile che è creare gruppi di Azure Active Directory che corrispondono ai livelli di protezione che si stanno implementando. Ad esempio, staff executive sono probabilmente maggiore valore gli obiettivi per utenti malintenzionati. Di conseguenza, è opportuno assegnare i dipendenti a un gruppo di Azure Active Directory e assegnare questo gruppo agli altri criteri che applicano un livello maggiore di protezione per l'accesso e le regole di accesso condizionale.Azure AD groups — Conditional access rules, device management with Intune, and even permissions to files and sites in your organization rely on assignment to users and/or Azure AD groups. We recommend you create Azure AD groups that correspond to the levels of protection you are implementing. For example, your executive staff are likely higher value targets for hackers. Therefore, it makes sense to assign these employees to an Azure AD group and assign this group to conditional access rules and other policies that enforce a higher level of protection for access.
  • Registrazione periferica , ovvero un dispositivo di registrazione in Azure Active Directory per fornire un'identità (identity) del dispositivo. Questo parametro identity viene utilizzata per autenticare il dispositivo, quando un utente accede e per applicare le regole di accesso condizionale che richiedono PC compatibile o dominio. Per questa guida viene utilizzata la registrazione di dispositivo per registrare automaticamente computer aggiunto al dominio di Windows. Registrazione periferica è un prerequisito per la gestione dei dispositivi con Intune.Device registration — You register a device into Azure AD to provide an identity to the device. This identity is used to authenticate the device when a user signs in and to apply conditional access rules that require domain-joined or compliant PCs. For this guidance, we use device registration to automatically register domain-joined Windows computers. Device registration is a prerequisite for managing devices with Intune.
  • Protezione dell'identità di Azure Active Directory , ovvero la protezione dell'identità di Azure Active Directory consente di rilevare potenziale vulnerabilità che interessano le identità dell'organizzazione e configurare le risposte automatiche tramite criteri di accesso condizionale a bassa, Media e alta utente rischi e dei rischi di accesso. Questa guida si basa sulla valutazione dei rischi per applicare le regole di accesso condizionale per l'autenticazione a più fattori. Questa guida include anche una regola di accesso condizionale che richiede che gli utenti di modificare la password se viene rilevata qualche attività ad alto rischio per il proprio account.Azure AD Identity ProtectionAzure AD Identity Protection enables you to detect potential vulnerabilities affecting your organization’s identities and configure automated responses via conditional access policies to low, medium and high sign-in risk and user risk.This guidance relies on this risk evaluation to apply conditional access rules for multi-factor authentication. This guidance also includes a conditional access rule that requires users to change their password if high risk activity is detected for their account.

Protezione app IntuneIntune app protection

Criteri di protezione app Intune è utilizzabile per proteggere i dati dell'azienda di App per dispositivi mobili con o senza dispositivi registrazione in Gestione. In realtà, anche i dispositivi mobili degli utenti possono essere gestiti da un'altra soluzione MDM non Microsoft mentre Intune consente di proteggere le informazioni di Office 365. Durante la verifica i dipendenti possono ancora essere produttivo, è inoltre possibile impedire la perdita di dati, ovvero e non. Per implementare criteri a livello di applicazione, è possibile limitare l'accesso alle risorse aziendali e mantenere i dati all'interno del controllo del reparto IT.Intune app protection policies can be used to protect your company’s data in mobile apps with or without enrolling devices into management. In fact, your users' mobile devices can even be managed by another non-Microsoft MDM solution while Intune helps protect Office 365 information. While making sure your employees can still be productive, you can also prevent data loss—intentional and unintentional. By implementing app-level policies, you can restrict access to company resources and keep data within the control of your IT department.

Questa guida viene illustrato come creare criteri consigliati per imporre l'utilizzo di applicazioni approvate e determinare come è possibile utilizzare queste applicazioni con i dati business.This guidance shows you how to create recommended policies to enforce the use of approved apps and to determine how these apps can be used with your business data.

Microsoft IntuneMicrosoft Intune

Intune è servizio di gestione di Microsoft basata su cloud dispositivo mobile. Questa guida viene consigliato di gestione dei dispositivi di PC di Windows con Intune e viene consigliato di configurazioni dei criteri di conformità di dispositivi. Intune determina se i dispositivi sono conformi e invia i dati di Azure Active Directory da utilizzare quando si applica la regola di accesso condizionale.Intune is Microsoft’s cloud-based mobile device management service. This guidance recommends device management of Windows PCs with Intune and recommends device compliance policy configurations. Intune determines whether devices are compliant and sends this data to Azure AD to use when applying conditional access rule.

Office 365Office 365

Questa guida viene illustrato come implementare un set di criteri per proteggere l'accesso a Office 365, inclusi Exchange Online, SharePoint Online e OneDrive for Business. Oltre a implementare questi criteri, è consigliabile che inoltre si aumenta il livello di protezione per Office 365 tenant utilizza queste risorse:This guidance shows you how to implement a set of policies to protect access to Office 365, including Exchange Online, SharePoint Online, and OneDrive for Business. In addition to implementing these policies, we recommend you also raise the level of protection for your Office 365 tenant using these resources:

Windows 10 e Office 365 ProPlusWindows 10 and Office 365 ProPlus

Windows 10 e Office 365 ProPlus sono l'ambiente client consigliato per PC. È consigliabile Windows 10 come Azure è progettato per garantire un'esperienza SSO possibile ai fini di locali e di Azure Active Directory. Windows 10 include anche funzionalità di protezione avanzata che possono essere gestite tramite Intune. Office 365 ProPlus sono incluse le versioni più recenti di applicazioni di Office. Queste utilizzare l'autenticazione moderno, offre maggiore protezione e un requisito per l'accesso condizionale. Queste applicazioni includano anche gli strumenti di conformità e sicurezza avanzati.Windows 10 and Office 365 ProPlus are the recommended client environment for PCs. We recommend Windows 10, as Azure is designed to provide the smoothest SSO experience possible for both on-premises and Azure AD. Windows 10 also includes advanced security capabilities that can be managed through Intune. Office 365 ProPlus includes the latest versions of Office applications. These use modern authentication, which is more secure and a requirement for conditional access. These apps also include enhanced security and compliance tools.

L'applicazione di queste funzionalità tra tre livelli di protezioneApplying these capabilities across the three tiers of protection

Nella tabella seguente sono riepilogati i consigli per l'utilizzo di queste funzionalità tra tre livelli di protezione.The following table summarizes our recommendations for using these capabilities across the three tiers of protection.

Meccanismo di protezioneProtection mechanism Versione di baseBaseline Dati sensibiliSensitive Protezione per ambienti altamente regolamentatiHighly regulated
Applicare l'autenticazione a più fattoriEnforce MFA A partire da rischio di accesso medioOn medium or above sign-in risk A partire da rischio di accesso bassoOn low or above sign-in risk Per tutte le nuove sessioniOn all new sessions
Applicare modifica passwordEnforce Password Change Per gli utenti ad alto rischioFor high risk users Per gli utenti ad alto rischioFor high risk users Per gli utenti ad alto rischioFor high risk users
Applicare la protezione delle applicazioni di IntuneEnforce Intune Application Protection Yes Yes Yes
Applicare la registrazione di IntuneEnforce Intune Enrollment (COD) Richiede un conforme o dominio aggiunto al PC, ma Consenti BYOD telefoni/TabletRequire a compliant or domain joined PC, but allow BYOD phones/tablets Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device Richiedi un dispositivo conforme o aggiunto a un dominioRequire a compliant or domain joined device

Proprietà del dispositivoDevice ownership

La tabella sopra riportata riflette la tendenza di molte organizzazioni a supportare una combinazione di dispositivi aziendali e dispositivi personali o BYOD per abilitare la produttività mobile tra i dipendenti. I criteri di Protezione app di Intune garantiscono che la posta elettronica sia protetta da divulgazioni non consentite al di fuori dell'app Outlook Mobile e di altre app di Office Mobile, sia aziendali che BYOD.The above table reflects the trend for many organizations to support a mix of corporate-owned devices (COD) as well as personal or bring-your-own devices (BYOD) to enable mobile productivity across their workforces. Intune App Protection Policies ensure that email is protected from exfiltrating out of the Outlook mobile app and other Office mobile apps, on both COD and BYOD.

È consigliabile aziendale e di proprietà dispositivi essere gestiti da Intune o dominio per applicare altri tipi di protezione e controllo. A seconda di riservatezza dei dati, l'organizzazione può scegliere di consentire non BYOD per utenti specifici o App specifiche.We recommend corporate-owned devices be managed by Intune or domain-joined to apply additional protections and control. Depending on data sensitivity, your organization may choose to not allow BYOD for specific user populations or specific apps.

Passaggi successiviNext steps

Lavoro prerequisito per l'implementazione di criteri di accesso di identità e dei dispositiviPrerequisite work for implementing identity and device access policies