Condividi tramite


Criteri di sicurezza comuni per le organizzazioni di Microsoft 365

Le organizzazioni devono preoccuparsi di quando si distribuisce Microsoft 365 per l'organizzazione. I criteri di accesso condizionale, protezione delle app e conformità dei dispositivi a cui si fa riferimento in questo articolo sono basati sulle raccomandazioni di Microsoft e sui tre principi guida di Zero Trust:

  • Verificare esplicita
  • Usare privilegi minimi
  • Presunzione di violazione

Le organizzazioni possono adottare questi criteri così come sono o personalizzarli in base alle proprie esigenze. Se possibile, testare i criteri in un ambiente non di produzione prima di distribuirli agli utenti di produzione. Il test è fondamentale per identificare e comunicare eventuali effetti possibili agli utenti.

Questi criteri vengono raggruppati in tre livelli di protezione in base al percorso di distribuzione:

  • Punto di partenza: controlli di base che introducono l'autenticazione a più fattori, le modifiche protette delle password e i criteri di protezione delle app.
  • Enterprise : controlli avanzati che introducono la conformità dei dispositivi.
  • Sicurezza specializzata: criteri che richiedono l'autenticazione a più fattori ogni volta per set di dati o utenti specifici.

Il diagramma seguente mostra il livello di protezione a cui si applica ogni criterio e se i criteri si applicano a PC o telefoni e tablet o a entrambe le categorie di dispositivi.

Diagramma che mostra i criteri comuni di identità e dispositivi che supportano i principi Zero Trust.

È possibile scaricare questo diagramma come file PDF .

Suggerimento

È consigliabile richiedere l'uso dell'autenticazione a più fattori (MFA) prima di registrare i dispositivi in Intune per garantire che il dispositivo sia in possesso dell'utente previsto. Prima di poter applicare i criteri di conformità dei dispositivi, è necessario registrare i dispositivi in Intune.

Prerequisiti

Autorizzazioni

  • Gli amministratori che gestiscono i criteri di accesso condizionale devono poter accedere al portale di Azure almeno in qualità di amministratore dell'accesso condizionale.
  • Gli amministratori che gestiscono i criteri di protezione delle app e conformità dei dispositivi devono essere in grado di accedere a Intune come almeno un amministratore di Intune.
  • Agli utenti che devono solo visualizzare le configurazioni può essere assegnato il ruolo di Security Reader .

Per altre informazioni sui ruoli e le autorizzazioni, vedere l'articolo Ruoli predefiniti di Microsoft Entra.

Registrazione utente

Assicurati che i tuoi utenti si registrino per l'autenticazione multifattoriale prima di richiederne l'uso. Se si dispone di licenze che includono Microsoft Entra ID P2, è possibile usare i criteri di registrazione MFA all'interno di Microsoft Entra ID Protection per richiedere la registrazione degli utenti. Forniamo modelli di comunicazione che puoi scaricare e personalizzare per promuovere la registrazione.

Gruppi

Tutti i gruppi di Microsoft Entra usati come parte di queste raccomandazioni devono essere creati come gruppo di Microsoft 365 non come gruppo di sicurezza. Questo requisito è importante per la distribuzione delle etichette di riservatezza quando si proteggono i documenti in Microsoft Teams e SharePoint in un secondo momento. Per altre informazioni, vedere l'articolo Informazioni sui gruppi e sui diritti di accesso in Microsoft Entra ID

Assegnazione dei criteri

I criteri di accesso condizionale possono essere assegnati a utenti, gruppi e ruoli di amministratore. I criteri di protezione delle app e conformità dei dispositivi di Intune possono essere assegnati solo ai gruppi di . Prima di configurare i criteri, identificare chi deve essere incluso ed escluso. In genere, i criteri del livello di protezione dei punti di partenza si applicano a tutti gli utenti dell'organizzazione.

Di seguito è riportato un esempio di assegnazione di gruppo ed esclusioni per richiedere l'autenticazione a più fattori dopo che gli utenti hanno completato registrazione utente.

  Criteri di accesso condizionale di Microsoft Entra Includi Escludi
Punto di partenza Richiedere l'autenticazione a più fattori per rischi di accesso medio o elevato Tutti gli utenti
  • Account di accesso di emergenza
  • Gruppo di esclusione dell'accesso condizionale
Funzionalità per le aziende Richiedere l'autenticazione a più fattori per rischi di accesso basso, medio o elevato Gruppo del personale esecutivo
  • Account di accesso di emergenza
  • Gruppo di esclusione dell'accesso condizionale
Sicurezza specializzata Richiedere sempre l'autenticazione a più fattori Gruppo Top Secret Project Buckeye
  • Account di accesso di emergenza
  • Gruppo di esclusione dell'accesso condizionale

Prestare attenzione quando si applicano livelli di protezione più elevati a gruppi e utenti. L'obiettivo della sicurezza non è quello di aggiungere attriti non necessari all'esperienza utente. Ad esempio, i membri del gruppo Top Secret Project Buckeye devono usare l'autenticazione a più fattori ogni volta che accedono, anche se non lavorano sul contenuto di sicurezza specializzato per il progetto. Un eccessivo attrito di sicurezza può portare alla fatica.

Dovresti prendere in considerazione l'abilitazione di metodi di autenticazione resistenti al phishing, come Windows Hello for Business o le chiavi di sicurezza FIDO2, per ridurre alcuni attriti creati da determinati controlli di sicurezza.

Account di accesso di emergenza

Tutte le organizzazioni devono avere almeno un account di accesso di emergenza monitorato per l'uso e escluso dai criteri. Questi account vengono usati solo nel caso in cui tutti gli altri account amministratore e metodi di autenticazione diventino bloccati o altrimenti non disponibili. Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.

Esclusioni

Una procedura consigliata consiste nel creare un gruppo Entra di Microsoft per le esclusioni di accesso condizionale. Questo gruppo consente di fornire l'accesso a un utente durante la risoluzione dei problemi di accesso.

Avviso

Questo gruppo è consigliato solo per l'uso come soluzione temporanea. Monitorare e controllare continuamente questo gruppo per le modifiche e assicurarsi che il gruppo di esclusione venga usato solo come previsto.

Per aggiungere questo gruppo di esclusione a tutti i criteri esistenti:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>Accesso condizionale.
  3. Selezionare un criterio esistente.
  4. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza dell'organizzazione o gli account break-glass e il gruppo di esclusione dell'accesso condizionale.

Distribuzione

È consigliabile implementare i criteri del punto di partenza nell'ordine elencato in questa tabella. Tuttavia, i criteri di autenticazione a più fattori per i livelli di sicurezza aziendali e specializzati di protezione possono essere implementati in qualsiasi momento.

Punto di partenza

Criteri Ulteriori informazioni Licenze
Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto Usare i dati di rischio di Microsoft Entra ID Protection per richiedere l'autenticazione a più fattori solo quando viene rilevato il rischio Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Bloccare i client che non supportano l'autenticazione moderna I client che non usano l'autenticazione moderna possono ignorare i criteri di accesso condizionale, quindi è importante bloccarli. Microsoft 365 E3 o E5
Gli utenti ad alto rischio devono modificare la password Forza gli utenti a modificare la password durante l'accesso se viene rilevata un'attività ad alto rischio per il proprio account. Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Applicare i criteri di protezione delle applicazioni per la protezione dei dati Un criterio di protezione delle app di Intune per ogni piattaforma (Windows, iOS/iPadOS, Android). Microsoft 365 E3 o E5
Richiedere app approvate e criteri di protezione delle app Applica i criteri di protezione delle app per dispositivi mobili per telefoni e tablet usando iOS, iPadOS o Android. Microsoft 365 E3 o E5

Enterprise

Criteri Ulteriori informazioni Licenze
Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto Usare i dati di rischio di Microsoft Entra ID Protection per richiedere l'autenticazione a più fattori solo quando viene rilevato il rischio Microsoft 365 E5 o Microsoft 365 E3 con il componente aggiuntivo E5 Security
Definire i criteri di conformità dei dispositivi Impostare i requisiti minimi di configurazione. Un criterio per ogni piattaforma. Microsoft 365 E3 o E5
Richiedere PC e dispositivi mobili conformi Applica i requisiti di configurazione per i dispositivi che accedono all'organizzazione Microsoft 365 E3 o E5

Sicurezza specializzata

Criteri Ulteriori informazioni Licenze
Richiedere sempre l'autenticazione a più fattori Gli utenti devono eseguire l'autenticazione a più fattori ogni volta che accedono ai servizi dell'organizzazione Microsoft 365 E3 o E5

criteri di Protezione di app

Protezione di app criteri definiscono le app consentite e le azioni che possono eseguire con i dati dell'organizzazione. Ci sono molte scelte disponibili e potrebbe essere confusione per alcuni. Le linee di base seguenti sono le configurazioni consigliate di Microsoft che possono essere personalizzate in base alle proprie esigenze. Sono disponibili tre modelli da seguire, ma la maggior parte delle organizzazioni sceglie i livelli 2 e 3.

Il livello 2 è mappato a ciò che consideriamo il punto di partenza o la sicurezza a livello aziendale, il livello 3 è mappato alla sicurezza specializzata.

  • Protezione dei dati di base di livello 1: Microsoft consiglia questa configurazione come configurazione minima per la protezione dei dati per un dispositivo aziendale.

  • Protezione dei dati avanzata di livello 2: Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Tale configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Alcuni controlli potrebbero influire sull'esperienza utente.

  • Protezione elevata dei dati di livello 3: Microsoft consiglia questa configurazione per i dispositivi eseguiti da un'organizzazione con un team di sicurezza più grande o più sofisticato o per utenti o gruppi specifici a rischio univoco (gli utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Le organizzazioni probabilmente mirate da avversari ben finanziati e sofisticati dovrebbero aspirare a questa configurazione.

Creare criteri di protezione delle app

Creare un nuovo criterio di protezione delle app per ogni piattaforma (iOS e Android) in Microsoft Intune usando le impostazioni del framework di protezione dei dati in base a:

Criteri di conformità del dispositivo

I criteri di conformità dei dispositivi di Intune definiscono i requisiti che i dispositivi devono soddisfare per essere determinati come conformi.

È necessario creare un criterio per ogni PC, telefono o piattaforma tablet. Questo articolo illustra le raccomandazioni per le piattaforme seguenti:

Creare criteri di conformità dei dispositivi

Per creare criteri di conformità dei dispositivi, accedere all'interfaccia di amministrazione di Microsoft Intune e passare a >. Selezionare Crea criterio.

Per indicazioni dettagliate sulla creazione di criteri di conformità in Intune, vedere Creare criteri di conformità in Microsoft Intune.

Impostazioni di registrazione e conformità per iOS/iPadOS

iOS/iPadOS supporta diversi scenari di registrazione, due dei quali sono trattati come parte di questo framework:

Usando i principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi:

Impostazioni di conformità per i dispositivi registrati personalmente
  • Sicurezza di base personale (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
  • Sicurezza avanzata personale (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica i controlli di condivisione dei dati. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
  • Sicurezza elevata personale (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita materiale all'organizzazione). Questa configurazione applica criteri password più sicuri, disabilita determinate funzioni del dispositivo e applica restrizioni aggiuntive per il trasferimento dei dati.
Impostazioni di conformità per la registrazione automatica dei dispositivi
  • Sicurezza di base con supervisione (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi con supervisione in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione viene eseguita applicando criteri password, caratteristiche di blocco del dispositivo e disabilitando determinate funzioni del dispositivo, ad esempio i certificati non attendibili.
  • Sicurezza avanzata con supervisione (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica controlli di condivisione dei dati e blocca l'accesso ai dispositivi USB. Questa configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione in un dispositivo.
  • Sicurezza elevata con supervisione (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato in modo univoco (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione applica criteri password più sicuri, disabilita determinate funzioni del dispositivo, applica restrizioni aggiuntive per il trasferimento dei dati e richiede l'installazione delle app tramite il programma volume purchase program di Apple.

Impostazioni di registrazione e conformità per Android

Android Enterprise supporta diversi scenari di registrazione, due dei quali sono trattati come parte di questo framework:

  • Profilo di lavoro Android Enterprise: questo modello di registrazione viene in genere usato per i dispositivi di proprietà personale, in cui l'IT vuole fornire un chiaro limite di separazione tra dati aziendali e personali. I criteri controllati dall'IT assicurano che i dati di lavoro non possano essere trasferiti nel profilo personale.
  • Dispositivi Android Enterprise completamente gestiti : questi dispositivi sono di proprietà dell'azienda, associati a un singolo utente e usati esclusivamente per lavoro e non per uso personale.

Il framework di configurazione della sicurezza Android Enterprise è organizzato in diversi scenari di configurazione distinti, fornendo indicazioni per il profilo di lavoro e scenari completamente gestiti.

Usando i principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi:

Impostazioni di conformità per i dispositivi con profilo di lavoro Android Enterprise
  • A causa delle impostazioni disponibili per i dispositivi con profilo di lavoro di proprietà personale, non è disponibile alcuna offerta di sicurezza di base (livello 1). Le impostazioni disponibili non giustificano una differenza tra il livello 1 e il livello 2.
  • Sicurezza avanzata del profilo di lavoro (livello 2): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per i dispositivi personali in cui gli utenti accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, separa i dati di lavoro e personali e convalida l'attestazione del dispositivo Android.
  • Sicurezza elevata del profilo di lavoro (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato (utenti che gestiscono dati altamente sensibili in cui la divulgazione non autorizzata causa una notevole perdita di materiale per l'organizzazione). Questa configurazione introduce mobile threat defense o Microsoft Defender per endpoint, imposta la versione minima di Android, applica criteri password più efficaci e limita ulteriormente la separazione tra lavoro e personale.
Impostazioni di conformità per i dispositivi Android Enterprise completamente gestiti
  • Sicurezza di base completamente gestita (livello 1): Microsoft consiglia questa configurazione come configurazione di sicurezza minima per un dispositivo aziendale. Tale configurazione è applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione. Questa configurazione introduce i requisiti delle password, imposta la versione minima di Android e applica determinate restrizioni del dispositivo.
  • Sicurezza avanzata completamente gestita (livello 2): Microsoft consiglia questa configurazione per i dispositivi in cui gli utenti accedono a informazioni riservate o riservate. Questa configurazione applica criteri password più efficaci e disabilita le funzionalità utente/account.
  • Sicurezza elevata completamente gestita (livello 3): Microsoft consiglia questa configurazione per i dispositivi usati da utenti o gruppi specifici che sono a rischio elevato in modo univoco. Questi utenti potrebbero gestire dati estremamente sensibili in cui la divulgazione non autorizzata potrebbe causare una notevole perdita di materiale per l'organizzazione. Questa configurazione aumenta la versione minima di Android, introduce mobile threat defense o Microsoft Defender per endpoint e applica restrizioni aggiuntive per i dispositivi.

Le impostazioni seguenti sono configurate nel passaggio 2: Impostazioni di conformità del processo di creazione dei criteri di conformità per i dispositivi Windows 10 e versioni successive. Queste impostazioni sono allineate ai principi descritti in Configurazioni di identità Zero Trust e accesso ai dispositivi.

Per > di valutazione del servizio di attestazione dell'integrità del dispositivo Windows Health Attestation Service, vedere questa tabella.

Proprietà valore
Richiedi BitLocker Require (Richiedi)
Richiedere l'abilitazione dell'avvio protetto nel dispositivo Require (Richiedi)
Richiedi integrità del codice Require (Richiedi)

Per Proprietà dispositivo specificare i valori appropriati per le versioni del sistema operativo in base ai criteri IT e di sicurezza.

Per Conformità di Configuration Manager, se si è in un ambiente co-gestito con Configuration Manager selezionare Richiedi altrimenti selezionare Non configurato.

Per sicurezza del sistema, vedere questa tabella.

Proprietà valore
Richiedi una password per sbloccare i dispositivi mobili Require (Richiedi)
Password semplici Blocco
Tipo di password Impostazione predefinita del dispositivo
Lunghezza minima password 6
Numero massimo di minuti di inattività prima che venga richiesta una password 15 minuti
Scadenza password (giorni) 41
Numero di password precedenti per impedire il riutilizzo 5
Richiedi password quando il dispositivo torna dallo stato di inattività (Mobile e Holographic) Require (Richiedi)
Richiedere la crittografia dell'archiviazione dei dati nel dispositivo Require (Richiedi)
Firewall Require (Richiedi)
Antivirus Require (Richiedi)
Antispyware Require (Richiedi)
Microsoft Defender Antimalware Require (Richiedi)
Versione minima di Microsoft Defender Antimalware Microsoft consiglia versioni non più di cinque dietro rispetto alla versione più recente.
Firma di Microsoft Defender Antimalware aggiornata Require (Richiedi)
Protezione in tempo reale Require (Richiedi)

Per Microsoft Defender per endpoint

Proprietà valore
Richiedere che il dispositivo sia in corrispondenza o al di sotto del punteggio di rischio del computer Medio

Criteri di accesso condizionale

Dopo aver creato i criteri di protezione delle app e conformità dei dispositivi in Intune, è possibile abilitare l'imposizione con i criteri di accesso condizionale.

Richiedere l'autenticazione a più fattori in base al rischio di accesso

Seguire le indicazioni riportate nell'articolo Richiedere l'autenticazione a più fattori per il rischio di accesso con privilegi elevati per creare un criterio per richiedere l'autenticazione a più fattori in base al rischio di accesso.

Quando si configurano i criteri, usare i livelli di rischio seguenti.

Livello di protezione Valori del livello di rischio necessari Azione
Punto di partenza Alto, medio Controllare entrambi.
Enterprise Alto, medio, basso Controlla tutte e tre.

Bloccare i client che non supportano l'autenticazione a più fattori

Seguire le indicazioni riportate nell'articolo Bloccare l'autenticazione legacy con l'accesso condizionale per bloccare l'autenticazione legacy.

Gli utenti ad alto rischio devono modificare la password

Seguire le indicazioni riportate nell'articolo Richiedere una modifica della password sicura per il rischio utente elevato richiedere agli utenti con credenziali compromesse di modificare la password.

Usare questo criterio insieme alla protezione password di Microsoft Entra, che rileva e blocca le password vulnerabili note e le relative varianti oltre ai termini specifici dell'organizzazione. L'uso della protezione password di Microsoft Entra garantisce che le password modificate siano più avanzate.

Richiedere app approvate o criteri di protezione delle app

È necessario creare criteri di accesso condizionale per applicare i criteri di protezione delle app creati in Intune. L'applicazione dei criteri di protezione delle app richiede criteri di accesso condizionale e criteri di protezione delle app corrispondenti.

Per creare una politica di accesso condizionale che richieda app approvate o una protezione delle app, seguire i passaggi descritti in Richiedi app client approvate o criteri di protezione delle app. Questo criterio consente solo agli account all'interno delle app per dispositivi mobili protetti dai criteri di protezione delle app di accedere agli endpoint di Microsoft 365.

Il blocco dell'autenticazione legacy per altre app client nei dispositivi iOS e Android garantisce che questi client non possano ignorare i criteri di accesso condizionale. Se si seguono le indicazioni fornite in questo articolo, è già stato configurato Blocca client che non supportano l'autenticazione moderna.

Richiedere PC e dispositivi mobili conformi

Segui le indicazioni riportate nell'articolo Richiedi la conformità dei dispositivi con Controllo dell'accesso condizionale per richiedere che i dispositivi che accedono alle risorse siano contrassegnati come conformi alle politiche di conformità di Intune della tua organizzazione.

Attenzione

Assicurarsi che il dispositivo sia conforme prima di abilitare questo criterio. In caso contrario, è possibile bloccare e richiedere un titolare dell'account di accesso di emergenza per ripristinare l'accesso.

Nota

È possibile registrare i nuovi dispositivi in Intune anche se si seleziona Richiedi che il dispositivo sia contrassegnato come conforme per Tutti gli utenti e Tutte le app cloud nei criteri. Richiedere che il dispositivo sia contrassegnato come controllo conforme non blocchi la registrazione di Intune e l'accesso all'applicazione Microsoft Intune Web Portale aziendale.

Attivazione della sottoscrizione

Le organizzazioni che utilizzano la funzionalità di attivazione della sottoscrizione per consentire agli utenti di passare da una versione di Windows a un'altra devono escludere le API del Servizio Store Universale e l'applicazione Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f, dai criteri di conformità dei dispositivi.

Richiedere sempre l'autenticazione a più fattori

Seguire le indicazioni riportate nell'articolo Richiedere l'autenticazione a più fattori per tutti gli utenti per richiedere agli utenti di eseguire l'autenticazione a più fattori.

Passaggi successivi

Passaggio 3: Criteri per utenti guest ed esterni.

Informazioni sulle raccomandazioni sui criteri per utenti guest ed esterni