Microsoft 365 e sicurezza per Entra ID
I tenant di Microsoft 365 e il sistema di autenticazione su cui si basano, Entra ID (Azure AD), hanno varie opzioni di configurazione per permettere all’azienda di implementare livelli diversi di protezione. Molte di queste opzioni non sono attivate per impostazione predefinita. Sebbene questo documento non descriva tutte le opzioni di sicurezza disponibili e non includa altre tecnologie come la gestione dei dispositivi e la prevenzione della perdita dei dati (Data Loss Prevention, DLP), offre ai nostri clienti indicazioni sulle impostazioni consigliate che contribuiranno a migliorare la protezione dell’identità e a ridurre il rischio di attacchi di tipo Business Email Compromise (BEC).
Le indicazioni sono suddivise in due sezioni: impostazioni consigliate e impostazioni opzionali. Invitiamo tutti i clienti a implementare le impostazioni consigliate. Consigliamo inoltre di prendere in considerazione e valutare le impostazioni opzionali, applicandole in base alle esigenze del proprio ambiente.
Qualsiasi modifica del proprio ambiente che viene presa in considerazione deve essere valutata e testata all’interno dell’organizzazione dopo aver consultato la documentazione pertinente di Microsoft. Si consiglia di introdurre modifiche in più fasi, utilizzando account di prova, utenti pilota e reparti con pochi dipendenti, prima di coinvolgere l’intera organizzazione. Assicurarsi di avere un account di accesso di emergenza, come documentato di seguito, per non perdere l’accesso.
Indicazioni per le licenze
Alcuni degli elementi di configurazione indicati di seguito sono disponibili in tutti i tenant di M365, indipendentemente dalle licenze utilizzate. Tuttavia, nella maggior parte dei casi sarà richiesta come minimo la disponibilità di licenze “Entra ID P1” nel tenant, mentre in alcuni casi occorreranno licenze “Entra ID P2”. La licenza “Entra ID P1” è inclusa nei bundle M365 Business Premium E3/A3, mentre le licenze “Entra ID P2” sono disponibili nei bundle M365 E5/A5.
Se non si utilizza una licenza che include come minimo la licenza “Entra ID P1”, si consiglia vivamente di utilizzare le “Impostazioni predefinite per la sicurezza” di Microsoft. Si tratta di un insieme di criteri di protezione di base, controllati da Microsoft. Vedere Livello di protezione predefinito in Microsoft Entra ID - Microsoft Entra.
Quando si integrano gli avvisi di Microsoft nel servizio Sophos MDR, “Entra ID P1” è la licenza minima che si dovrebbe utilizzare; tuttavia, consigliamo di usare “Entra ID P2”, per via della maggiore quantità di avvisi generati da Microsoft. Leggere questi articoli per alcuni esempi di questi avvisi:
- Criteri di avviso di Microsoft 365
- Quali sono i rischi in Microsoft Entra ID Protection - Microsoft Entra ID Protection
Per maggiori informazioni sulle licenze, consigliamo di rivolgersi al proprio specialista di licensing Microsoft.
Elementi di configurazione consigliati
-
Applicare il principio dell’assegnazione di meno privilegi possibile
Utilizzare account amministratore e ruoli Controllo degli accessi in base al ruolo (RBAC) separati, per limitare i privilegi di amministrazione. Assegnare solo i ruoli necessari per svolgere le mansioni lavorative richieste. Microsoft consiglia un massimo di cinque account amministratore globali. Evitare di utilizzare le stesse credenziali di amministrazione per più domini o servizi.
Impatto: gli utenti devono avere accesso solo alle aree consentite per le loro mansioni lavorative. Gli amministratori devono utilizzare account separati.
Posizione: Entra ID > Roles & admins (Ruoli e amministratori)
Riferimenti:
-
Configurazione dei metodi di autenticazione
Questa impostazione consente di configurare i metodi di autenticazione disponibili agli utenti per accedere all’ambiente. Consigliamo di impostare come minimo Microsoft Authenticator, la One-Time Password basata su e-mail e il Pass di accesso temporaneo, disattivando l’opzione di chiamata sul telefono.
Posizione: Entra ID > Protect & secure (Protezione e sicurezza) > Authentication methods (Metodi di autenticazione) > Policies (Criteri)
Riferimenti:
- Funzionamento della corrispondenza dei numeri nelle notifiche push di autenticazione a più fattori per Microsoft Authenticator - Microsoft Entra ID
- Controllo della registrazione delle informazioni di sicurezza con accesso condizionale - Microsoft Entra ID
- Accesso senza password con Microsoft Authenticator - Microsoft Entra ID
-
Richiesta dell’MFA per la registrazione o l’aggiunta di un dispositivo
Questo garantisce che gli utenti che cercano di aggiungere nuovi dispositivi Windows a Entra ID effettuino l’autenticazione a più fattori.
Posizione: Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale)
- Nome: Require MFA to register or join devices (Richiesta di MFA per registrare o aggiungere dispositivi).
- Utenti: tutti gli utenti, assicurarsi di escludere qualsiasi account o gruppo di “Accesso di emergenza”.
- App o azioni cloud: User actions (Azioni utente) > Register or join devices (Registra o unisci dispositivi).
- Condizioni: nessuna.
- Access controls (Controlli degli accessi) > Grant (Concedi): Require multifactor authentication (Richiedi autenticazione a più fattori).
-
Autorizzazione di accesso solo da paesi autorizzati
Si consiglia di ridurre il rischio di compromissione degli account limitando il numero di paesi dai quali gli utenti possono accedere al proprio ambiente. Se non si ha personale che si reca all’estero, consigliamo di impedire a tutti gli utenti dell’organizzazione di accedere all’ambiente da luoghi che non si trovano nei confini del proprio paese. Se ci sono utenti che viaggiano all’estero, questi criteri possono essere implementati in base ai gruppi. Ad esempio, è possibile consentire l’accesso da tutti i paesi o da un sottoinsieme di paesi per un gruppo specifico di utenti che viaggiano all’estero, oppure suddividere gli utenti in regioni geografiche, limitando l’accesso in base alla regione.
Per farlo, occorre utilizzare Criteri di accesso condizionale. Creare un elenco di Località denominate, ad esempio “Paesi consentiti”, e aggiungere i paesi dai quali si desidera concedere l’accesso. Creare quindi un Criterio di accesso condizionale per bloccare l’accesso per Tutti gli utenti, per tutte le App cloud, escludendo i “Paesi consentiti” e tutti gli “Utenti o gruppi di emergenza”.
Avviso
Testare questo criterio con molta attenzione prima di applicarlo a tutti gli utenti.
Posizione: Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale)
-
Blocco degli utenti ad alto rischio
Il livello di rischio utente di M365 è una funzionalità che aiuta a determinare il rischio di un account utente in Entra ID. Fa parte di Entra ID Identity Protection e viene creato analizzando vari segnali provenienti dall’account utente, come indirizzi IP, stato del dispositivo, attività sospette e credenziali compromesse note.
Il livello di rischio utente è suddiviso in tre categorie:
- Rischio basso: gli account utente a rischio basso sono considerati legittimi.
- Rischio medio: gli account utente a rischio medio possono essere legittimi, ma hanno anche maggiori probabilità di essere compromessi o colpiti da un utente malintenzionato.
- Rischio elevato: gli account utente a rischio elevato sono considerati compromessi.
Consigliamo di bloccare gli account utente ritenuti a rischio elevato e di richiedere una modifica della password di protezione per gli utenti considerati a rischio medio.
Posizione: Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale)
Riferimento:
Elementi di configurazione opzionali
-
Account di accesso di emergenza
Per l’accesso di emergenza, Microsoft consiglia di utilizzare account amministratore che sono esclusi dai Criteri di accesso condizionale. Questi account devono avere il ruolo “amministratore globale” e devono essere protetti con password molto lunghe e complesse, memorizzate in un archivio protetto di password, e utilizzati solo in caso di emergenza.
Riferimento:
-
Gestione del consenso e delle autorizzazioni delle applicazioni
Per impostazione predefinita, tutti gli utenti possono concedere autorizzazioni ad applicazioni e add-in di terze parti. Questo può essere rischioso, in quanto gli utenti malintenzionati possono creare app dannose e inviare messaggi di phishing agli utenti, inducendoli a fornire involontariamente l’accesso alle proprie caselle di posta e ai loro file. Si consiglia di limitare questa opzione ad autori attendibili o di bloccarla, in modo che richieda il consenso dell’amministratore.
Posizione: Entra ID > Applications (Applicazioni) > Enterprise applications (Applicazioni aziendali) > Consent and permissions (Consenso e autorizzazioni)
Riferimento: