Configurazioni di identità e accesso dei dispositiviIdentity and device access configurations

In questa serie di articoli viene descritto come configurare l'accesso sicuro ai servizi cloud tramite prodotti Enterprise Mobility + Security mediante l'implementazione di un ambiente e di una configurazione consigliati, tra cui un set prescritto di criteri di accesso condizionale e funzionalità correlate.This series of articles describes how to configure secure access to cloud services through Enterprise Mobility + Security products by implementing a recommended environment and configuration, including a prescribed set of conditional access policies and related capabilities. È possibile utilizzare queste linee guida per proteggere l'accesso a tutti i servizi integrati con Azure Active Directory, inclusi i servizi di Office 365, altri servizi SaaS e le applicazioni locali pubblicate con il proxy di applicazione Azure AD.You can use this guidance to protect access to all services that are integrated with Azure Active Directory, including Office 365 services, other SaaS services, and on-premises applications published with Azure AD Application Proxy.

Questi suggerimenti sono allineati con Microsoft Secure Score così come il Punteggio di identità in Azure ade aumentano questi punteggi per l'organizzazione.These recommendations are aligned with Microsoft Secure Score as well as identity score in Azure AD, and will increase these scores for your organization. Questi suggerimenti consentiranno inoltre di implementare questi cinque passaggi per garantire l'infrastruttura di identità.These recommendations will also help you implement these five steps to securing your identity infrastructure.

Microsoft riconosce che alcune organizzazioni presentano requisiti di ambiente o complessità univoci.Microsoft understands that some organizations have unique environment requirements or complexities. Se si è una di queste organizzazioni, utilizzare questi suggerimenti come punto di partenza.If you are one of these organizations, use these recommendations as a starting point. Tuttavia, la maggior parte delle organizzazioni può implementare questi suggerimenti come prescritto.However, most organizations can implement these recommendations as prescribed.

Pubblico previstoIntended audience

Tali raccomandazioni sono destinate a Enterprise Architects e ai professionisti IT che hanno familiarità con Office 365 e Microsoft Enterprise Mobility + Security, che include, tra gli altri, Azure Active Directory (Identity), Microsoft Intune (gestione dispositivi) e Azure Information Protection (protezione dei dati).These recommendations are intended for enterprise architects and IT professionals who are familiar with Office 365 and Microsoft Enterprise Mobility + Security, which includes, among others, Azure Active Directory (identity), Microsoft Intune (device management), and Azure Information Protection (data protection).

Ambiente del clienteCustomer environment

I criteri consigliati sono applicabili alle organizzazioni aziendali che operano sia interamente all'interno del cloud Microsoft sia per i clienti con infrastruttura ibrida (distribuiti sia in locale che Microsoft Cloud).The recommended policies are applicable to enterprise organizations operating both entirely within the Microsoft cloud and for customers with hybrid infrastructure (deployed both on-premises and the Microsoft cloud).

Molti dei consigli forniti si basano sui servizi disponibili solo con le licenze Enterprise Mobility + Security (EMS) E5.Many of the provided recommendations rely on services available only with Enterprise Mobility + Security (EMS) E5 licenses. I suggerimenti presentati presumono le funzionalità complete di licenza EMS E5.Recommendations presented assume full EMS E5 license capabilities.

Per le organizzazioni che non dispongono di licenze Enterprise Mobility + Security E5, Microsoft consiglia di implementare almeno le funzionalità di protezione di base di Azure AD incluse in tutti i piani.For those organizations who do not have Enterprise Mobility + Security E5 licenses, Microsoft recommends you at least implement Azure AD baseline protection capabilities that are included with all plans. Per ulteriori informazioni, vedere l'articolo, cosa è la protezione di base, nella libreria di Azure ad.More information can be found in the article, What is baseline protection, in the Azure AD library.

AvvertimentiCaveats

L'organizzazione può essere soggetta a requisiti normativi o di altro tipo, tra cui consigli specifici che potrebbero richiedere l'applicazione di criteri che divergono da queste configurazioni consigliate.Your organization may be subject to regulatory or other compliance requirements, including specific recommendations that may require you to apply policies that diverge from these recommended configurations. Tali configurazioni consigliano controlli dell'utilizzo non disponibili in precedenza.These configurations recommend usage controls that have not historically been available. Tali controlli sono consigliabili perché rappresentano una soluzione equilibrata tra sicurezza e produttività.We recommend these controls, because we believe they represent a balance between security and productivity.

Sono state eseguite le migliori condizioni per tenere conto di una vasta gamma di requisiti di protezione dell'organizzazione, ma non è possibile tenere conto di tutti i requisiti possibili o di tutti gli aspetti univoci della propria azienda.We have done our best to account for a wide variety of organizational protection requirements, but we’re not able to account for all possible requirements or for all the unique aspects of your organization.

Tre livelli di protezioneThree tiers of protection

La maggior parte delle organizzazioni hanno requisiti specifici relativi a sicurezza e protezione dei dati. Tali requisiti variano in base al settore e alle mansioni lavorative all'interno delle organizzazioni. Ad esempio, l'ufficio legale e gli amministratori di Office 365 potrebbero richiedere maggiore sicurezza e controlli di protezione sulle informazioni della corrispondenza tramite posta elettronica che non sono richiesti per gli utenti di altre business unit.Most organizations have specific requirements regarding security and data protection. These requirements vary by industry segment and by job functions within organizations. For example, your legal department and Office 365 administrators might require additional security and information protection controls around their email correspondence that are not required for other business unit users.

Ogni settore ha anche il proprio set di normative specializzate.Each industry also has their own set of specialized regulations. Invece di fornire un elenco di tutte le opzioni di sicurezza possibili o una raccomandazione per segmento di settore o funzione del processo, sono state fornite indicazioni per tre diversi livelli di sicurezza e protezione che possono essere applicati in base alla granularità delle proprie esigenze. .Rather than providing a list of all possible security options or a recommendation per industry segment or job function, recommendations have been provided for three different tiers of security and protection that can be applied based on the granularity of your needs.

  • Protezione di base: si consiglia di stabilire uno standard minimo per la protezione dei dati, nonché le identità e i dispositivi che accedono ai dati.Baseline protection: We recommend you establish a minimum standard for protecting data, as well as the identities and devices that access your data. È possibile seguire questi suggerimenti di base per fornire una protezione predefinita complessa che soddisfi le esigenze di molte organizzazioni.You can follow these baseline recommendations to provide strong default protection that meets the needs of many organizations.
  • Protezione sensibile: alcuni clienti dispongono di un sottoinsieme di dati che devono essere protetti a livelli superiori oppure possono richiedere che tutti i dati siano protetti a un livello superiore.Sensitive protection: Some customers have a subset of data that must be protected at higher levels, or they may require all data to be protected at a higher level. È possibile applicare una protezione maggiore per tutti i set di dati o solo per alcuni di essi nell'ambiente Office 365.You can apply increased protection to all or specific data sets in your Office 365 environment. È consigliabile proteggere le identità e i dispositivi che accedono ai dati sensibili con livelli di sicurezza analoghi.We recommend protecting identities and devices that access sensitive data with comparable levels of security.
  • Altamente regolamentato: alcune organizzazioni possono avere una piccola quantità di dati che sono altamente classificati, consititutes segreti commerciali o sono dati regolamentati.Highly regulated: Some organizations may have a small amount of data that is highly classified, consititutes trade secrets, or is regulated data. Microsoft offre funzionalità che consentono alle organizzazioni di soddisfare questi requisiti, inclusa la protezione aggiuntiva per identità e dispositivi.Microsoft provides capabilities to help organizations meet these requirements, including added protection for identities and devices.

Cono di sicurezza: tutti i clienti > alcuni clienti > clienti specifici.

In questa guida viene illustrato come implementare la protezione per identità e dispositivi per ognuno di questi livelli di protezione.This guidance shows you how to implement protection for identities and devices for each of these tiers of protection. Utilizzare queste linee guida come punto di partenza per l'organizzazione e regolare i criteri per soddisfare i requisiti specifici dell'organizzazione.Use this guidance as a starting point for your organization and adjust the policies to meet your organization's specific requirements.

È importante usare livelli coerenti di protezione tra i dispositivi, le identità e i dati.It’s important to use consistent levels of protection across your data, identities, and devices. Ad esempio, se si implementano queste linee guida, assicurarsi di proteggere i dati a livelli comparabili.For example, if you implement this guidance, be sure to protect your data at comparable levels. Questi modelli di architettura mostrano quali funzionalità sono confrontabili.These architecture models show you which capabilities are comparable.

Protezione di dispositivi e identità per Office 365Identity and device protection for Office 365
Anteprima del poster "identità e protezione del dispositivo per Office 365"Thumbnail for poster "Identity and device protection for Office 365"
PDF | Visio | Altre linguePDF | Visio | More languages

Soluzioni per la protezione dei file in Office 365File Protection Solutions in Office 365
Anteprima del poster "soluzioni di protezione dei file in Office 365"Thumbnail for poster "File protection solutions in Office 365"
PDF | VisioPDF | Visio

Compromesso tra sicurezza e produttivitàSecurity and productivity trade-offs

L'implementazione di qualsiasi strategia di sicurezza richiede compromessi tra la sicurezza e la produttività.Implementing any security strategy requires trade-offs between security and productivity. È utile valutare il modo in cui ogni decisione influisce sul saldo di sicurezza, funzionalità e facilità d'uso.It's helpful to evaluate how each decision affects the balance of security, functionality, and ease of use.

Sicurezza Triad bilanciamento, funzionalità e facilità di utilizzo.

Le raccomandazioni fornite si basano sui seguenti principi:The recommendations provided are based on the following principles:

  • Conoscere il gruppo di destinatari ed essere flessibili per la sicurezza e i requisiti funzionali.Know your audience and be flexible to their security and functional requirements.
  • Applicare un criterio di sicurezza appena in tempo e assicurarsi che sia significativo.Apply a security policy just in time and ensure it is meaningful.

Servizi e concetti relativi a identità e protezione dall'accesso ai dispositiviServices and concepts for identity and device access protection

Microsoft 365 Enterprise è progettata per organizzazioni di grandi dimensioni e integra Office 365 Enterprise, Windows 10 Enterprise e Enterprise Mobility + Security (EMS), per consentire a tutti di essere creativi e di collaborare in modo sicuro.Microsoft 365 Enterprise is designed for large organizations and integrates Office 365 Enterprise, Windows 10 Enterprise, and Enterprise Mobility + Security (EMS), to empower everyone to be creative and work together securely.

In questa sezione viene fornita una panoramica dei servizi e delle funzionalità di Microsoft 365 che sono importanti per l'accesso a identità e dispositivi.This section provides an overview of the Microsoft 365 services and capabilities that are important for identity and device access.

Microsoft Azure Active DirectoryMicrosoft Azure Active Directory

Azure AD offre una serie completa di funzionalità di gestione delle identità.Azure AD provides a full suite of identity management capabilities. Per proteggere l'accesso, si consiglia di utilizzare le seguenti funzionalità:For securing access we recommend using the following capabilities:

  • Reimpostazione della password self-service (SSPR): consentire agli utenti di reimpostare le proprie password in modo sicuro e senza l'intervento dell'helpdesk, fornendo la verifica di più metodi di autenticazione che l'amministratore può controllare.Self-service password reset (SSPR): Allow your users to reset their passwords securely and without helpdesk intervention, by providing verification of multiple authentication methods that the administrator can control.

  • Autenticazione a più fattori: AMF richiede agli utenti di fornire due forme di verifica, ad esempio una password utente e una notifica dall'app Microsoft Authenticator o da una telefonata.Multi-factor authentication (MFA): MFA requires users to provide two forms of verification, such as a user password plus a notification from the Microsoft Authenticator app or a phone call. L'AMF riduce notevolmente il rischio che l'identità rubata possa essere utilizzata per accedere all'ambiente Office 365.MFA greatly reduces the risk that a stolen identity can be used to access your Office 365 environment.

  • Accesso condizionale: Azure ad valuta le condizioni dell'accesso utente e utilizza i criteri di accesso condizionale creati per consentire l'accesso.Conditional access: Azure AD evaluates the conditions of the user login and uses conditional access policies you create to allow access. Ad esempio, in questa guida viene illustrato come creare un criterio di accesso condizionale per richiedere la conformità del dispositivo all'accesso ai dati riservati.For example, in this guidance we show you how to create a conditional access policy to require device compliance for access to sensitive data. Questo riduce notevolmente il rischio che un hacker con un'identità rubata possa accedere ai dati riservati.This greatly reduces the risk that a hacker with a stolen identity can access your sensitive data. Protegge anche i dati sensibili nei dispositivi, perché i dispositivi soddisfano i requisiti specifici per la sicurezza e l'integrità.It also protects sensitive data on the devices, because the devices meet specific requirements for health and security.

  • Gruppi di Azure ad: le regole di accesso condizionale, la gestione dei dispositivi con Intune e persino le autorizzazioni per i file e i siti dell'organizzazione si basano sull'assegnazione ai gruppi di utenti e/o Azure ad.Azure AD groups: Conditional access rules, device management with Intune, and even permissions to files and sites in your organization, rely on assignment to user and/or Azure AD groups. Si consiglia di creare gruppi di Azure AD che corrispondono ai livelli di protezione che si stanno implementando.We recommend you create Azure AD groups that correspond to the levels of protection you are implementing. Ad esempio, il personale esecutivo è probabilmente un obiettivo di valore superiore per gli hacker.For example, your executive staff are likely higher value targets for hackers. Pertanto, è opportuno assegnare questi dipendenti a un gruppo di Azure AD e assegnare questo gruppo ai criteri di accesso condizionale e ad altri criteri che applicano un livello di protezione più elevato per l'accesso.Therefore, it makes sense to assign these employees to an Azure AD group and assign this group to conditional access policies and other policies that enforce a higher level of protection for access.

  • Registrazione dispositivo: registrare un dispositivo in Azure ad per fornire un'identità al dispositivo.Device registration: You register a device into Azure AD to provide an identity to the device. Questa identità viene utilizzata per autenticare il dispositivo quando un utente accede e applica regole di accesso condizionale che richiedono PC conformi a un dominio.This identity is used to authenticate the device when a user signs in and to apply conditional access rules that require domain-joined or compliant PCs. Per queste linee guida, viene utilizzata la registrazione dei dispositivi per registrare automaticamente i computer Windows aggiunti a un dominio.For this guidance, we use device registration to automatically register domain-joined Windows computers. La registrazione del dispositivo è un prerequisito per la gestione dei dispositivi con Intune.Device registration is a prerequisite for managing devices with Intune.

  • Azure ad Identity Protection: Azure ad Identity Protection consente di rilevare potenziali vulnerabilità che interessano le identità dell'organizzazione e configurare i criteri di correzione automatici per il rischio di accesso basso, medio e alto e per i rischi dell'utente.Azure AD Identity Protection: Azure AD Identity Protection enables you to detect potential vulnerabilities affecting your organization’s identities and configure automated remediation policy to low, medium, and high sign-in risk and user risk. Questa guida si basa su questa valutazione dei rischi per applicare criteri di accesso condizionale per l'autenticazione a più fattori.This guidance relies on this risk evaluation to apply conditional access policies for multi-factor authentication. Questa guida include anche un criterio di accesso condizionale che richiede agli utenti di modificare la propria password se viene rilevata un'attività ad alto rischio per il proprio account.This guidance also includes a conditional access policy that requires users to change their password if high-risk activity is detected for their account.

Microsoft IntuneMicrosoft Intune

Intune è il servizio di gestione dei dispositivi mobili basato sul cloud di Microsoft.Intune is Microsoft’s cloud-based mobile device management service. Le linee guida consigliate per la gestione dei dispositivi Windows PC con Intune e consigliate configurazioni di criteri di conformità del dispositivo.This guidance recommends device management of Windows PCs with Intune and recommends device compliance policy configurations. Intune determina se i dispositivi sono conformi e li invia a Azure ad per l'applicazione dei criteri di accesso condizionale.Intune determines whether devices are compliant and sends this data to Azure AD to use when applying conditional access policies.

Protezione delle app di IntuneIntune app protection

I criteri di protezione delle app di Intune possono essere utilizzati per proteggere i dati dell'organizzazione nelle app per dispositivi mobili, con o senza la registrazione di periferiche in gestione.Intune app protection policies can be used to protect your organization’s data in mobile apps, with or without enrolling devices into management. Intune consente di proteggere le informazioni di Office 365, assicurandosi che i dipendenti possano essere ancora produttivi e prevenire la perdita di dati.Intune helps protect Office 365 information, making sure your employees can still be productive, and preventing data loss. Se si implementano i criteri a livello di app, è possibile limitare l'accesso alle risorse aziendali e mantenere i dati all'interno del controllo del reparto IT.By implementing app-level policies, you can restrict access to company resources and keep data within the control of your IT department.

In questa guida viene illustrato come creare criteri consigliati per applicare l'utilizzo di app approvate e per determinare in che modo queste app possono essere utilizzate con i dati aziendali.This guidance shows you how to create recommended policies to enforce the use of approved apps and to determine how these apps can be used with your business data.

Office 365Office 365

In questa guida viene illustrato come implementare un insieme di criteri per proteggere l'accesso a Office 365, ad esempio Exchange Online, SharePoint Online e OneDrive for business.This guidance shows you how to implement a set of policies to protect access to Office 365, including Exchange Online, SharePoint Online, and OneDrive for Business. Oltre all'implementazione di questi criteri, è consigliabile aumentare anche il livello di protezione per il tenant di Office 365 utilizzando queste risorse:In addition to implementing these policies, we recommend you also raise the level of protection for your Office 365 tenant using these resources:

Windows 10 e Office 365 ProPlusWindows 10 and Office 365 ProPlus

Windows 10 e Office 365 ProPlus è l'ambiente client consigliato per i computer.Windows 10 and Office 365 ProPlus is the recommended client environment for PCs. È consigliabile utilizzare Windows 10, in quanto Azure è stato creato per offrire un'esperienza più agevole possibile sia per l'ambiente locale che per Azure AD.We recommend Windows 10, as Azure is designed to provide the smoothest experience possible for both on-premises and Azure AD. Windows 10 include anche funzionalità di sicurezza avanzate che possono essere gestite tramite Intune.Windows 10 also includes advanced security capabilities that can be managed through Intune. Office 365 ProPlus include le versioni più recenti delle applicazioni di Office.Office 365 ProPlus includes the latest versions of Office applications. Questi utilizzano l'autenticazione moderna, che è più sicura e un requisito per l'accesso condizionale.These use modern authentication, which is more secure and a requirement for conditional access. Queste app includono anche strumenti avanzati per la sicurezza e la conformità.These apps also include enhanced security and compliance tools.

Applicazione di queste funzionalità tra i tre livelli di protezioneApplying these capabilities across the three tiers of protection

Nella tabella seguente vengono riepilogati i suggerimenti per l'utilizzo di queste funzionalità tra i tre livelli di protezione.The following table summarizes our recommendations for using these capabilities across the three tiers of protection.

Meccanismo di protezioneProtection mechanism Versione di baseBaseline Dati sensibiliSensitive Protezione per ambienti altamente regolamentatiHighly regulated
Applicare l'autenticazione a più fattoriEnforce MFA A partire da rischio di accesso medioOn medium or above sign-in risk A partire da rischio di accesso bassoOn low or above sign-in risk Per tutte le nuove sessioniOn all new sessions
Applicare la modifica della passwordEnforce password change Per gli utenti con rischio elevatoFor high-risk users Per gli utenti con rischio elevatoFor high-risk users Per gli utenti con rischio elevatoFor high-risk users
Applicare la protezione delle applicazioni di IntuneEnforce Intune application protection Yes Yes Yes
Applicare la registrazione di Intune (COD)Enforce Intune enrollment (COD) Richiedere un PC compatibile o aggiunto a un dominio, ma consentire ai telefoni/tablet di BYODRequire a compliant or domain-joined PC, but allow BYOD phones/tablets Richiedere un dispositivo conforme o collegato a un dominioRequire a compliant or domain-joined device Richiedere un dispositivo conforme o collegato a un dominioRequire a compliant or domain-joined device

Proprietà del dispositivoDevice ownership

La tabella di cui sopra riflette la tendenza di molte organizzazioni a supportare una combinazione di dispositivi di proprietà aziendale, nonché dispositivi personali o Bring-Your-Own (BYODs) per abilitare la produttività mobile tra la forza lavoro.The above table reflects the trend for many organizations to support a mix of corporate-owned devices, as well as personal or bring-your-own devices (BYODs) to enable mobile productivity across the workforce. I criteri di protezione delle app di Intune assicurano che la posta elettronica sia protetta da exfiltrating all'esterno dell'app per dispositivi mobili di Outlook e di altre app di Office Mobile, sia a livello aziendale che di BYODs.Intune app protection policies ensure that email is protected from exfiltrating out of the Outlook mobile app and other Office mobile apps, on both corporate-owned devices and BYODs.

È consigliabile gestire i dispositivi aziendali gestiti da Intune o da un dominio aggiunto per applicare protezioni e controlli aggiuntivi.We recommend corporate-owned devices be managed by Intune or domain-joined to apply additional protections and control. A seconda della sensibilità dei dati, l'organizzazione può scegliere di non consentire l'utilizzo di BYODs per specifiche popolazioni di utenti o app specifiche.Depending on data sensitivity, your organization may choose to not allow BYODs for specific user populations or specific apps.

Passaggi successiviNext steps

Lavoro preRequisito per l'implementazione dei criteri di identità e accesso ai dispositiviPrerequisite work for implementing identity and device access policies