Creare una baseline di gestione delle identità e degli accessi (IAM)

  • 5 minuti

La gestione delle identità e degli accessi (IAM) è fondamentale per concedere l'accesso e per migliorare la sicurezza degli asset aziendali. Per proteggere e controllare gli asset basati sul cloud, è necessario gestire le identità e l'accesso per gli amministratori di Azure, gli sviluppatori di applicazioni e gli utenti delle applicazioni.

Raccomandazioni per la sicurezza per IAM

Le sezioni seguenti descrivono le raccomandazioni per IAM presenti in CIS Microsoft Azure Foundations Security Benchmark v. 1.3.0. In ogni raccomandazione sono inclusi i passaggi di base da seguire nel portale di Azure. È necessario completare questi passaggi per la propria sottoscrizione e usando le proprie risorse per convalidare ogni raccomandazione per la sicurezza. Tenere presente che le opzioni del livello 2 possono limitare alcune funzionalità o attività, quindi valutare con attenzione le opzioni di sicurezza che si decide di applicare.

Importante

Per eseguire alcuni di questi passaggi, è necessario essere un amministratore per l'istanza di Microsoft Entra.

Limitare l'accesso al portale di amministrazione di Microsoft Entra - Livello 1

Gli utenti non amministratori non devono accedere al portale di amministrazione di Microsoft Entra perché i dati sono sensibili e sottostanno alle regole dei privilegi minimi.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Utenti.

  3. Nel menu a sinistra selezionare Impostazioni utente.

  4. In Impostazioni utente, in Portale di amministrazione assicurarsi che l'opzione Limita l'accesso al portale di amministrazione di Microsoft Entra sia impostata su . L'impostazione di questo valore su impedisce a chiunque non sia amministratore di accedere ai dati nel portale di amministrazione di Microsoft Entra. L'impostazione non limita l'accesso all'uso di PowerShell o a un altro client, ad esempio Visual Studio.

  5. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Screenshot of the Azure portal that shows the Restrict access to Microsoft Entra administration portal option set to Yes.

Abilitare l'autenticazione a più fattori per gli utenti di Microsoft Entra

  • Abilitare l'autenticazione a più fattori per gli utenti con privilegi di Microsoft Entra - Livello 1
  • Abilitare l'autenticazione a più fattori per gli utenti senza privilegi di Microsoft Entra - Livello 2

Abilitare l'autenticazione a più fattori per tutti gli utenti di Microsoft Entra.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Utenti.

  3. Nella barra dei menu Tutti gli utenti selezionare MFA per utente.

    Screenshot that shows the multifactor authentication option in the Microsoft Entra pane of the Azure portal.

  4. Nella finestra Autenticazione a più fattori assicurarsi che l'opzione Stato di autenticazione a più fattori sia impostata su Abilitato per tutti gli utenti. Per abilitare l'autenticazione a più fattori, selezionare un utente. In Azioni rapide selezionare Abilita>Abilita l'autenticazione a più fattori.

    Screenshot that shows how to turn on multifactor authentication for a user by using the quick steps link.

Non memorizzare l'autenticazione a più fattori nei dispositivi attendibili - Livello 2

La funzionalità di memorizzazione dell'autenticazione a più fattori per dispositivi e browser considerati attendibili dall'utente è una funzionalità gratuita per tutti gli utenti dell'autenticazione a più fattori. Gli utenti possono ignorare le verifiche successive per un numero specificato di giorni, dopo aver effettuato correttamente l'accesso a un dispositivo tramite l'autenticazione a più fattori.

Se un dispositivo o un account viene compromesso, la memorizzazione dell'autenticazione a più fattori per i dispositivi attendibili può influire negativamente sulla sicurezza. La raccomandazione per la sicurezza prevede di disattivare la memorizzazione dell'autenticazione a più fattori per i dispositivi attendibili.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Utenti.

  3. Nella barra dei menu Tutti gli utenti selezionare MFA per utente.

  4. Nella finestra Autenticazione a più fattori selezionare un utente. In Azioni rapide selezionare Gestisci le impostazioni dell'utente.

    Screenshot that shows the Microsoft Entra multifactor authentication users window and the manage user settings link.

  5. Selezionare la casella di controllo Ripristina l'autenticazione a più fattori in tutti i dispositivi memorizzati e quindi selezionare Salva.

    Screenshot that shows the Restore multifactor authentication on all remembered devices option selected.

Utenti guest non consentiti o consentiti con accesso limitato - Livello 1

Assicurarsi che non esistano utenti guest o, in alternativa, se l'azienda richiede utenti guest, assicurarsi di limitarne le autorizzazioni.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Utenti.

  3. Selezionare il pulsante Aggiungi filtri.

  4. Per Filtri selezionare Tipo di utente. Per Valore selezionare Guest. Selezionare Applica per verificare che non esistano utenti guest.

    Screenshot of the Azure portal that shows Microsoft Entra ID filtering for guest users.

  5. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Opzioni password

  • Inviare notifiche agli utenti al momento della reimpostazione della password - Livello 1
  • Inviare una notifica a tutti gli amministratori quando altri amministratori reimpostano le password - Livello 2
  • Richiedere due metodi per reimpostare le password - Livello 1

Con l'autenticazione a più fattori impostata, un utente malintenzionato dovrebbe compromettere entrambe le forme di autenticazione dell'identità prima di poter reimpostare la password di un utente. Assicurarsi che la reimpostazione della password richieda due forme di autenticazione dell'identità.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Utenti.

  3. Nel menu a sinistra selezionare Reimpostazione password.

  4. Nel menu a sinistra, in Gestisci, selezionare Metodi di autenticazione.

  5. Impostare Numero di metodi da reimpostare su 2.

  6. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Screenshot of the Azure portal that shows the Microsoft Entra password reset authentication methods pane with number of methods required to reset set to 2.

Stabilire un intervallo per riconfermare i metodi di autenticazione degli utenti - Livello 1

Se la riconferma dell'autenticazione è disattivata, agli utenti registrati non viene chiesto di riconfermare le informazioni di autenticazione. L'opzione più sicura consiste nell'attivare la riconferma dell'autenticazione per un intervallo impostato.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Utenti.

  3. Nel riquadro del menu a sinistra selezionare Reimpostazione password.

  4. Nel menu a sinistra, in Gestisci selezionare Registrazione.

  5. Assicurarsi che Numero di giorni prima che agli utenti venga chiesto di riconfermare le informazioni di autenticazionenon sia impostato su 0. Il valore predefinito è 180 giorni.

  6. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Screenshot of the Azure portal that shows the form for number of days to reconfirm authentication information.

Impostazione per l'invito guest - Livello 2

Solo gli amministratori devono essere in grado di invitare utenti guest. La limitazione degli inviti agli amministratori assicura che solo gli account autorizzati abbiano accesso alle risorse di Azure.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Utenti.

  3. Nel menu a sinistra selezionare Impostazioni utente.

  4. Nel riquadro Impostazioni utente, in Utenti esterni selezionare Gestisci le impostazioni di collaborazione esterna.

  5. In Impostazioni di collaborazione esterna, in Impostazioni per l'invito di guest selezionare Solo gli utenti assegnati a un ruolo di tipo amministratore specifico possono invitare utenti guest.

    Screenshot that shows the Guest invite settings with Only users assigned to specific admin roles can invite guest users selected.

  6. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Gli utenti possono creare e gestire i gruppi di sicurezza - Livello 2

Quando questa funzionalità è abilitata, tutti gli utenti in Microsoft Entra ID possono creare nuovi gruppi di sicurezza. La creazione dei gruppi di sicurezza deve essere limitata agli amministratori.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Gruppi.

  3. Nel riquadro Tutti i gruppi, nel menu a sinistra in Impostazioni selezionare Generale.

  4. In Gruppi di sicurezza assicurarsi che l'opzione Gli utenti possono creare gruppi di sicurezza nei portali di Azure, nelle API o in PowerShell sia impostata su No.

    Screenshot that shows the Groups General settings pane, with the Users can create security groups option set to No.

  5. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Gestione gruppi self-service abilitata - Livello 2

A meno che l'azienda non richieda la delega della gestione del gruppo self-service a vari utenti, la raccomandazione per la sicurezza è di disabilitare questa funzionalità.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Gruppi.

  3. Nel riquadro Tutti i gruppi, nel menu a sinistra in Impostazioni selezionare Generale.

  4. In Gestione gruppi self-service assicurarsi che tutte le opzioni siano impostate su No.

  5. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Screenshot that shows Microsoft Entra self-service group options set to No.

Opzioni delle applicazioni: consentire agli utenti di registrare le app - Livello 2

Richiedere agli amministratori di registrare le applicazioni personalizzate.

  1. Accedi al portale di Azure. Cercare e selezionare Microsoft Entra ID.

  2. Nel menu a sinistra, in Gestisci selezionare Utenti.

  3. Nel menu a sinistra selezionare Impostazioni utente.

  4. Nel riquadro Impostazioni utente assicurarsi che Registrazioni app sia impostato su No.

  5. Se si modificano impostazioni, nella barra dei menu selezionare Salva.

Screenshot that shows Microsoft Entra users with app registrations set to No.