Vai al contenuto

Microsoft 365 e sicurezza per Entra ID

I tenant di Microsoft 365 e il sistema di autenticazione su cui si basano, Entra ID (Azure AD), hanno varie opzioni di configurazione per permettere all’azienda di implementare livelli diversi di protezione. Molte di queste opzioni non sono attivate per impostazione predefinita. Sebbene questo documento non descriva tutte le opzioni di sicurezza disponibili e non includa altre tecnologie come la gestione dei dispositivi e la prevenzione della perdita dei dati (Data Loss Prevention, DLP), offre ai nostri clienti indicazioni sulle impostazioni consigliate che contribuiranno a migliorare la protezione dell’identità e a ridurre il rischio di attacchi di tipo Business Email Compromise (BEC).

Le indicazioni sono suddivise in due sezioni: impostazioni consigliate e impostazioni opzionali. Invitiamo tutti i clienti a implementare le impostazioni consigliate. Consigliamo inoltre di prendere in considerazione e valutare le impostazioni opzionali, applicandole in base alle esigenze del proprio ambiente.

Qualsiasi modifica del proprio ambiente che viene presa in considerazione deve essere valutata e testata all’interno dell’organizzazione dopo aver consultato la documentazione pertinente di Microsoft. Si consiglia di introdurre modifiche in più fasi, utilizzando account di prova, utenti pilota e reparti con pochi dipendenti, prima di coinvolgere l’intera organizzazione. Assicurarsi di avere un account di accesso di emergenza, come documentato di seguito, per non perdere l’accesso.

Indicazioni per le licenze

Alcuni degli elementi di configurazione indicati di seguito sono disponibili in tutti i tenant di M365, indipendentemente dalle licenze utilizzate. Tuttavia, nella maggior parte dei casi sarà richiesta come minimo la disponibilità di licenze “Entra ID P1” nel tenant, mentre in alcuni casi occorreranno licenze “Entra ID P2”. La licenza “Entra ID P1” è inclusa nei bundle M365 Business Premium E3/A3, mentre le licenze “Entra ID P2” sono disponibili nei bundle M365 E5/A5.

Se non si utilizza una licenza che include come minimo la licenza “Entra ID P1”, si consiglia vivamente di utilizzare le “Impostazioni predefinite per la sicurezza” di Microsoft. Si tratta di un insieme di criteri di protezione di base, controllati da Microsoft. Vedere Livello di protezione predefinito in Microsoft Entra ID - Microsoft Entra.

Quando si integrano gli avvisi di Microsoft nel servizio Sophos MDR, “Entra ID P1” è la licenza minima che si dovrebbe utilizzare; tuttavia, consigliamo di usare “Entra ID P2”, per via della maggiore quantità di avvisi generati da Microsoft. Leggere questi articoli per alcuni esempi di questi avvisi:

Per maggiori informazioni sulle licenze, consigliamo di rivolgersi al proprio specialista di licensing Microsoft.

Elementi di configurazione consigliati

  • Applicare il principio dell’assegnazione di meno privilegi possibile


    Utilizzare account amministratore e ruoli Controllo degli accessi in base al ruolo (RBAC) separati, per limitare i privilegi di amministrazione. Assegnare solo i ruoli necessari per svolgere le mansioni lavorative richieste. Microsoft consiglia un massimo di cinque account amministratore globali. Evitare di utilizzare le stesse credenziali di amministrazione per più domini o servizi.

    Impatto: gli utenti devono avere accesso solo alle aree consentite per le loro mansioni lavorative. Gli amministratori devono utilizzare account separati.

    Posizione: Entra ID > Roles & admins (Ruoli e amministratori)

    Riferimenti:

- **Sostituzione delle “Impostazioni predefinite per la sicurezza” con criteri di accesso condizionale** --- Se si utilizzano licenze “Entra ID P1” e successive, è possibile creare criteri di Accesso condizionale personalizzati per potenziare la sicurezza. Per creare questi criteri, è necessario disattivare le “Impostazioni predefinite per la sicurezza” e creare Criteri di accesso condizionale dai modelli Microsoft, in modo da svolgere operazioni quali l’implementazione dell’MFA. Assicurarsi di escludere qualsiasi account o gruppo di “Accesso di emergenza” quando si creano questi criteri. **Posizione**: - Entra ID > Overview (Panoramica) > Properties (Proprietà) - Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale) **Riferimenti**: - Modelli di accesso condizionale: - [Bloccare l’autenticazione legacy: Bloccare l’autenticazione legacy con accesso condizionale - Microsoft Entra ID](https://docs.microsoft.com/it-it/azure/active-directory/conditional-access/howto-conditional-access-policy-block-legacy) - [Richiedere l’MFA per gli amministratori: Richiede l’MFA per gli amministratori con accesso condizionale - Microsoft Entra ID](https://docs.microsoft.com/it-it/azure/active-directory/conditional-access/howto-conditional-access-policy-admin-mfa) - [Richiedere l’MFA per la gestione di Azure: Richiedere l’MFA per la gestione di Azure con accesso condizionale - Microsoft Entra ID](https://docs.microsoft.com/it-it/azure/active-directory/conditional-access/howto-conditional-access-policy-azure-management) - [Richiedere l’MFA per tutti gli utenti: Richiedere l’MFA per tutti gli utenti con accesso condizionale - Microsoft Entra ID](https://docs.microsoft.com/it-it/azure/active-directory/conditional-access/howto-conditional-access-policy-all-users-mfa) - Indicazioni sui criteri di accesso condizionale: - [Pianificare una distribuzione dell’accesso condizionale per Microsoft Entra - Microsoft Entra ID](https://docs.microsoft.com/it-it/azure/active-directory/conditional-access/plan-conditional-access#follow-best-practices) - [Guida dell’account aziendale o dell’istituto di istruzione - Supporto Microsoft](https://support.microsoft.com/it-it/account-billing/work-or-school-account-help-718b3d92-a8a7-4656-8a05-c0228d346b7d) - [Come eseguire una campagna di registrazione per configurare Microsoft Authenticator - Microsoft Entra ID](https://docs.microsoft.com/it-it/azure/active-directory/authentication/how-to-mfa-registration-campaign)
  • Richiesta dell’MFA per la registrazione o l’aggiunta di un dispositivo


    Questo garantisce che gli utenti che cercano di aggiungere nuovi dispositivi Windows a Entra ID effettuino l’autenticazione a più fattori.

    Posizione: Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale)

    • Nome: Require MFA to register or join devices (Richiesta di MFA per registrare o aggiungere dispositivi).
    • Utenti: tutti gli utenti, assicurarsi di escludere qualsiasi account o gruppo di “Accesso di emergenza”.
    • App o azioni cloud: User actions (Azioni utente) > Register or join devices (Registra o unisci dispositivi).
    • Condizioni: nessuna.
    • Access controls (Controlli degli accessi) > Grant (Concedi): Require multifactor authentication (Richiedi autenticazione a più fattori).
  • Autorizzazione di accesso solo da paesi autorizzati


    Si consiglia di ridurre il rischio di compromissione degli account limitando il numero di paesi dai quali gli utenti possono accedere al proprio ambiente. Se non si ha personale che si reca all’estero, consigliamo di impedire a tutti gli utenti dell’organizzazione di accedere all’ambiente da luoghi che non si trovano nei confini del proprio paese. Se ci sono utenti che viaggiano all’estero, questi criteri possono essere implementati in base ai gruppi. Ad esempio, è possibile consentire l’accesso da tutti i paesi o da un sottoinsieme di paesi per un gruppo specifico di utenti che viaggiano all’estero, oppure suddividere gli utenti in regioni geografiche, limitando l’accesso in base alla regione.

    Per farlo, occorre utilizzare Criteri di accesso condizionale. Creare un elenco di Località denominate, ad esempio “Paesi consentiti”, e aggiungere i paesi dai quali si desidera concedere l’accesso. Creare quindi un Criterio di accesso condizionale per bloccare l’accesso per Tutti gli utenti, per tutte le App cloud, escludendo i “Paesi consentiti” e tutti gli “Utenti o gruppi di emergenza”.

    Avviso

    Testare questo criterio con molta attenzione prima di applicarlo a tutti gli utenti.

    Posizione: Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale)

  • Blocco degli utenti ad alto rischio


    Il livello di rischio utente di M365 è una funzionalità che aiuta a determinare il rischio di un account utente in Entra ID. Fa parte di Entra ID Identity Protection e viene creato analizzando vari segnali provenienti dall’account utente, come indirizzi IP, stato del dispositivo, attività sospette e credenziali compromesse note.

    Il livello di rischio utente è suddiviso in tre categorie:

    • Rischio basso: gli account utente a rischio basso sono considerati legittimi.
    • Rischio medio: gli account utente a rischio medio possono essere legittimi, ma hanno anche maggiori probabilità di essere compromessi o colpiti da un utente malintenzionato.
    • Rischio elevato: gli account utente a rischio elevato sono considerati compromessi.

    Consigliamo di bloccare gli account utente ritenuti a rischio elevato e di richiedere una modifica della password di protezione per gli utenti considerati a rischio medio.

    Posizione: Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale)

    Riferimento:

- **Blocco degli accessi ad alto rischio** --- Il livello di rischio di accesso di M365 è una funzionalità che aiuta a determinare il rischio di un tentativo di accesso individuale a Entra ID. Fa parte di Entra ID Identity Protection e analizza vari segnali come parte del processo di accesso, per determinare il livello di rischio. Il livello di rischio di accesso è suddiviso in tre categorie: - **Rischio basso**: i tentativi di accesso a rischio basso sono considerati legittimi. - **Rischio medio**: i tentativi di accesso a rischio medio possono essere legittimi, ma hanno anche maggiori probabilità di essere compromessi o utilizzati da un utente malintenzionato. - **Rischio elevato**: i tentativi di accesso a rischio elevato sono considerati compromessi. Consigliamo di bloccare i tentativi di accesso ritenuti a rischio elevato e di richiedere l’MFA per i tentativi di accesso a rischio medio. **Posizione**: Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale) **Riferimento**: - [Criteri di accesso basati sul rischio in Microsoft Entra ID Protection - Microsoft Entra ID Protection](https://learn.microsoft.com/it-it/azure/active-directory/identity-protection/concept-identity-protection-policies#sign-in-risk-based-conditional-access-policy)

Elementi di configurazione opzionali

  • Account di accesso di emergenza


    Per l’accesso di emergenza, Microsoft consiglia di utilizzare account amministratore che sono esclusi dai Criteri di accesso condizionale. Questi account devono avere il ruolo “amministratore globale” e devono essere protetti con password molto lunghe e complesse, memorizzate in un archivio protetto di password, e utilizzati solo in caso di emergenza.

    Riferimento:

- **Configurazione dei criteri di scadenza delle password** --- Assicurarsi che la scadenza delle password sia in linea con le policy e i requisiti di conformità aziendali. !!! note "Nota" Microsoft consiglia di impostare le password su “Nessuna scadenza” se l’MFA viene implementata nell’intera organizzazione. **Posizione**: Interfaccia di amministrazione di Microsoft 365 > Settings (Impostazioni) > Security & Privacy (Sicurezza e Privacy)
  • Gestione del consenso e delle autorizzazioni delle applicazioni


    Per impostazione predefinita, tutti gli utenti possono concedere autorizzazioni ad applicazioni e add-in di terze parti. Questo può essere rischioso, in quanto gli utenti malintenzionati possono creare app dannose e inviare messaggi di phishing agli utenti, inducendoli a fornire involontariamente l’accesso alle proprie caselle di posta e ai loro file. Si consiglia di limitare questa opzione ad autori attendibili o di bloccarla, in modo che richieda il consenso dell’amministratore.

    Posizione: Entra ID > Applications (Applicazioni) > Enterprise applications (Applicazioni aziendali) > Consent and permissions (Consenso e autorizzazioni)

    Riferimento:

- **Richiesta dell’MFA per gli utenti guest** --- Si consiglia di richiedere l’MFA per gli utenti guest che vengono invitati ad accedere alle risorse all’interno del proprio ambiente, al fine di ridurre le probabilità di accesso ai dati da parte di account di terze parti compromessi. Questa opzione può essere implementata utilizzando un modello per i Criteri di accesso condizionale. **Posizione**: Entra ID > Protect & secure (Protezione e sicurezza) > Conditional access (Accesso condizionale)