Cinque passaggi per la protezione dell'infrastruttura di identità

Chi legge questo documento è consapevole dell'importanza della sicurezza È probabile che tu sia già responsabile della sicurezza della tua organizzazione. Se è necessario convincere altri utenti dell'importanza della sicurezza, inviarli per leggere l'ultimo Microsoft Digital Defense Report.

Questo documento consente di ottenere un comportamento più sicuro usando le funzionalità di Microsoft Entra ID usando un elenco di controllo in cinque passaggi per migliorare la protezione dell'organizzazione dagli attacchi informatici.

Questo elenco di controllo consente di distribuire rapidamente azioni critiche consigliate per proteggere immediatamente l'organizzazione, spiegando come:

• Rafforzare le credenziali
• Ridurre la superficie di attacco
• Automatizzare la risposta alle minacce
• Usare l'intelligenza del cloud
• Abilitare il self-service per gli utenti finali

Le raccomandazioni contenute in questo documento sono allineate alla Identity Secure Score, una valutazione automatizzata della configurazione di sicurezza delle identità del tenant Microsoft Entra. Le organizzazioni possono usare la pagina Identity Secure Score nel Microsoft Entra admin center per individuare le lacune nella configurazione di sicurezza corrente per assicurarsi di seguire le procedure consigliate correnti Microsoft per la sicurezza. L'implementazione di ogni consiglio nella pagina di punteggio della sicurezza aumenta il punteggio e consente di tenere traccia dello stato. Consente anche di confrontare la propria implementazione con altre organizzazioni di dimensioni simili.

finestra del portale

Prima di iniziare: proteggere gli account con privilegi mediante MFA

Prima di iniziare questo elenco di controllo, verificare che l'account non venga compromesso durante la lettura. In Microsoft Entra osserviamo 50 milioni di attacchi alle password ogni giorno, ma solo una frazione di utenti e amministratori usa autenticazioni avanzate, ad esempio l'autenticazione a più fattori (MFA). Queste statistiche si basano sui dati a partire da agosto 2021. In Microsoft Entra ID, gli utenti con ruoli con privilegi, ad esempio gli amministratori, sono la radice dell'attendibilità per compilare e gestire il resto dell'ambiente. Implementare le procedure seguenti per ridurre al minimo gli effetti di una compromissione.

Gli utenti malintenzionati che ottengono il controllo di account con privilegi possono causare enormi danni, per cui è fondamentale proteggere questi account prima di procedere. Abilitare e richiedere l'autenticazione a più fattori Microsoft Entra (MFA) per tutti gli amministratori dell'organizzazione utilizzando Microsoft Entra Security Defaults o Accesso Condizionale. È fondamentale.

Tutto pronto? Iniziamo con l'elenco di controllo.

Passaggio 1: rafforzare le credenziali

Anche se stanno emergendo altri tipi di attacchi, tra cui phishing di consenso e attacchi su identità non umane, gli attacchi basati su password sulle identità utente sono ancora il vettore più diffuso di compromissione delle identità. Le campagne di spear phishing e password spraying ben consolidate da parte dei nemici continuano ad avere successo contro le organizzazioni che non implementano l'autenticazione a più fattori (MFA) o altre protezioni contro questa tattica comune.

Un'organizzazione deve assicurarsi che le identità siano convalidate e protette con MFA ovunque. Nel 2020, il rapporto IC3 (Internet Crime Complaint Center) dell'FBI (Federal Bureau of Investigation) ha identificato il phishing come il tipo di crimine principale subito dalle vittime. Il numero dei report è raddoppiato rispetto all'anno precedente. Il phishing rappresenta una minaccia significativa sia per le aziende che per i singoli utenti, e il phishing delle credenziali l'anno scorso è stato usato in molti degli attacchi più dannosi. Microsoft Entra l'autenticazione a più fattori (MFA) consente di proteggere l'accesso ai dati e alle applicazioni, fornendo un altro livello di sicurezza usando una seconda forma di autenticazione. Le organizzazioni possono abilitare l'autenticazione a più fattori con l'accesso condizionale per adeguare la soluzione alle loro esigenze specifiche. Dai un'occhiata a questa guida alla distribuzione per vedere come pianificare, implementare e distribuire l'autenticazione multifattoriale di Microsoft Entra.

Assicurarsi che l'organizzazione usi l'autenticazione avanzata

Per abilitare facilmente il livello di sicurezza delle identità di base, è possibile usare l'abilitazione con una selezione con Microsoft Entra impostazioni predefinite di sicurezza. Le impostazioni predefinite per la sicurezza applicano Microsoft Entra l'autenticazione a più fattori per tutti gli utenti di un tenant e blocca gli accessi dai protocolli legacy a livello di tenant.

Se l'organizzazione dispone di licenze P1 o P2 Microsoft Entra ID, è anche possibile usare le Conditional Access insights and reporting workbook per individuare le lacune nella configurazione e nella copertura. In base a questi suggerimenti, è possibile colmare facilmente tali lacune creando una politica con i nuovi modelli di accesso condizionale. Conditional Access templates sono progettati per offrire un metodo semplice per distribuire nuovi criteri che si allineano alle migliori pratiche consigliate da Microsoft, semplificando la distribuzione di criteri comuni per proteggere le identità e i dispositivi.

Iniziare a vietare le password attaccate più spesso e disattivare le regole di complessità e scadenza tradizionali.

Molte organizzazioni usano regole tradizionali di complessità e di scadenza delle password. La ricerca di Microsoft mostra che, e le linee guida sulle identità digitali della Pubblicazione Speciale 800-63B dell'Istituto Nazionale di Standard e Tecnologia (NIST) affermano che questi criteri portano gli utenti a scegliere password più facili da indovinare. È consigliabile usare la protezione password di Microsoft Entra, una funzionalità dinamica che vieta le password basata sul comportamento attuale degli attaccanti per impedire agli utenti di impostare password facilmente indovinabili. Questa funzionalità è sempre attiva quando gli utenti vengono creati nel cloud, ma è ora disponibile anche per le organizzazioni ibride quando distribuiscono Microsoft Entra la protezione password per Windows Server Active Directory. È consigliabile anche rimuovere i criteri di scadenza. La modifica delle password non offre alcun vantaggio di contenimento perché i criminali informatici usano quasi sempre le credenziali non appena le compromettono. Fare riferimento all'articolo seguente per impostare criteri di scadenza delle password per l'organizzazione.

Proteggersi da credenziali compromesse e aggiungere resilienza contro le interruzioni

Il metodo più semplice e consigliato per abilitare l'autenticazione cloud per gli oggetti directory locali in Microsoft Entra ID consiste nell'abilitare la sincronizzazione hash password (PHS). Se l'organizzazione usa una soluzione di identità ibrida con la federazione o l'autenticazione pass-through, è consigliabile abilitare la sincronizzazione dell'hash delle password per i due motivi seguenti:

• Il report Utenti con credenziali trapelate in Microsoft Entra ID avvisa riguardo a coppie di nome utente e password esposte pubblicamente. Una quantità incredibile di password viene persa tramite phishing, malware e riuso delle password nei siti di terze parti che verranno sottoposti a violazioni in un secondo momento. Microsoft trova molte di queste credenziali perse e indica, in questo report, se corrispondono alle credenziali dell'organizzazione, ma solo se si abilita password hash sync o si hanno identità solo cloud.
• Se si verifica un'interruzione locale, ad esempio un attacco ransomware, è possibile passare all'autenticazione cloud mediante la sincronizzazione degli hash delle password. Questo metodo di autenticazione di backup consente di continuare ad accedere alle app configurate per l'autenticazione con Microsoft Entra ID, inclusa Microsoft 365. In questo caso, il personale IT non deve fare ricorso agli account e-mail o allo shadow IT per condividere i dati fino alla risoluzione dell'interruzione locale.

Le password non vengono mai archiviate in testo non crittografato o crittografate con un algoritmo reversibile in Microsoft Entra ID. Per altre informazioni sul processo effettivo di sincronizzazione dell'hash delle password, vedere Descrizione dettagliata del funzionamento della sincronizzazione dell'hash delle password.

Implementare il blocco intelligente della Extranet di AD FS

La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso. La funzione di blocco intelligente è in grado di riconoscere i tentativi di accesso eseguiti da utenti validi e di gestirli in modo diverso rispetto a quelli provenienti da attaccanti e altre fonti sconosciute. Gli aggressori vengono bloccati, mentre i tuoi utenti continuano ad accedere ai propri account e rimanere produttivi. Le organizzazioni che configurano le applicazioni per autenticarsi direttamente con Microsoft Entra ID traggono vantaggio dalla funzionalità di Smart Lockout di Microsoft Entra. Le distribuzioni federate che usano AD FS 2016 e AD FS 2019 possono offrire vantaggi simili usando il blocco Extranet AD FS e il blocco intelligente Extranet.

Passaggio 2: ridurre l'area della superficie di attacco

Poiché le password vengono frequentemente compromesse, è fondamentale per l'organizzazione ridurre al minimo la superficie di attacco. Disabilitare l'uso di protocolli meno recenti, meno sicuri, limitare i punti di ingresso di accesso, passare all'autenticazione cloud, esercitare un controllo più significativo dell'accesso amministrativo alle risorse e adottare Zero Trust principi di sicurezza.

Usare l'autenticazione cloud

Le credenziali sono un vettore di attacco primario. Le procedure descritte in questo blog possono ridurre la superficie di attacco usando l'autenticazione cloud, la distribuzione dell'autenticazione a più fattori (MFA) e metodi di autenticazione senza password. È possibile distribuire metodi senza password, ad esempio Windows Hello for Business, Accesso tramite telefono con l'app Microsoft Authenticator o FIDO.

Bloccare l'autenticazione legacy

Le app che usano i propri metodi legacy per eseguire l'autenticazione con Microsoft Entra ID e accedere ai dati aziendali rappresentano un altro rischio per le organizzazioni. Esempi di app che usano l'autenticazione legacy sono i client POP3, IMAP4 o SMTP. Le app di autenticazione legacy eseguono l'autenticazione per conto dell'utente e impediscono Microsoft Entra ID di eseguire valutazioni avanzate della sicurezza. L'alternativa, l’autenticazione moderna, riduce i rischi per la sicurezza perché supporta l'autenticazione a più fattori e l'accesso condizionale.

Sono consigliabili le azioni seguenti:

1. Scopri l'autenticazione legacy nell'organizzazione con i log di accesso di Microsoft Entra e le cartelle di lavoro di Log Analytics.
2. Configurare SharePoint Online e Exchange Online per usare l'autenticazione moderna.
3. Se disponi di licenze Microsoft Entra ID P1 o P2, usa i criteri di Accesso Condizionale per bloccare l’autenticazione legacy. Per Microsoft Entra ID piano gratuito, usare Microsoft Entra Impostazioni di Sicurezza Predefinite.
4. Bloccare l'autenticazione legacy se si usa AD FS.
5. Bloccare l'autenticazione legacy con Exchange Server 2019.
6. Disabilitare l'autenticazione vecchia in Exchange Online.

Per ulteriori informazioni, consultare l'articolo Blocco dei protocolli di autenticazione legacy sui Microsoft Entra ID.

Bloccare punti di ingresso di autenticazione non validi

Usando il principio di verifica esplicita, si dovrebbe ridurre l'impatto di credenziali utente compromesse quando si verifica questa condizione. Per ogni app nell'ambiente, considerare i casi d'uso validi: quali gruppi, quali reti, quali dispositivi e altri elementi sono autorizzati, quindi bloccare il resto. Con Microsoft Entra Conditional Access, è possibile controllare il modo in cui gli utenti autorizzati accedono alle app e alle risorse in base a condizioni specifiche definite.

Per altre informazioni su come usare l'accesso condizionale per le app cloud e le azioni utente, vedere App cloud per l'accesso condizionale, azioni e contesto di autenticazione.

Esaminare e gestire i ruoli di amministratore

Un altro pilastro Zero Trust è la necessità di ridurre al minimo la probabilità che un account compromesso possa operare con un ruolo con privilegi. Questo controllo può essere eseguito assegnando la quantità minima di privilegi a un'identità. Se non si ha familiarità con i ruoli di Microsoft Entra, questo articolo permette di comprenderli.

I ruoli con privilegi in Microsoft Entra ID devono essere account solo cloud per isolarli da qualsiasi ambiente locale e senza utilizzare archivi di password locali per archiviare le credenziali.

Implementare la gestione degli accessi con privilegi

Privileged Identity Management (PIM) fornisce un'attivazione dei ruoli basata sul tempo e basata sull'approvazione per ridurre i rischi di autorizzazioni di accesso eccessive, non necessarie o improprie alle risorse importanti. Queste risorse includono risorse in Microsoft Entra ID, Azure e altri servizi online di Microsoft, ad esempio Microsoft 365 o Microsoft Intune.

Microsoft Entra Privileged Identity Management (PIM) consente di ridurre al minimo i privilegi dell'account consentendo di:

• Identificare e gestire gli utenti assegnati a ruoli amministrativi.
• Capire quali ruoli con privilegi eccessivi o inutilizzati è opportuno rimuovere.
• Definire regole per assicurarsi che i ruoli con privilegi siano protetti tramite l'autenticazione a più fattori.
• Definire regole per verificare che i ruoli con privilegi vengano concessi solo per il tempo sufficiente a completare l'attività con privilegi.

Abilitare Microsoft Entra PIM, quindi visualizzare gli utenti a cui sono assegnati ruoli amministrativi e rimuovere gli account non necessari in tali ruoli. Per gli utenti con privilegi rimanenti, spostarli da permanenti a idonei. Infine, definire criteri appropriati per assicurare che possano ottenere accesso a questi ruoli con privilegi, in modo sicuro e con il controllo delle modifiche necessarie.

I ruoli predefiniti e personalizzati di Microsoft Entra si basano su concetti simili a quelli dei ruoli disponibili nel sistema di controllo degli accessi basato su ruoli per le risorse di Azure (ruoli di Azure). La differenza tra questi due sistemi di controllo degli accessi in base al ruolo è la seguente:

• Microsoft Entra ruoli controllano l'accesso alle risorse Microsoft Entra, ad esempio utenti, gruppi e applicazioni tramite Microsoft Graph API
• I ruoli di Azure controllano l'accesso alle risorse di Azure, come le macchine virtuali o le risorse di archiviazione, usando la Gestione delle risorse di Azure.

Entrambi i sistemi contengono definizioni e assegnazioni di ruoli usate in modo simile. Tuttavia, le autorizzazioni di ruolo di Microsoft Entra non possono essere usate nei ruoli personalizzati di Azure e viceversa. Nell'ambito dei processi relativi agli account privilegiati, seguire la migliore pratica per creare almeno due account di emergenza per assicurarsi di avere ancora accesso a Microsoft Entra ID nel caso in cui rimani bloccato fuori.

Per altre informazioni, vedere l'articolo Pianificare una distribuzione Privileged Identity Management e proteggere l'accesso con privilegi.

Limitare le operazioni di consenso utente

È importante comprendere le varie esperienze di consenso delle applicazioni Microsoft Entra, i tipi di autorizzazioni e il consenso e le relative implicazioni sul comportamento di sicurezza dell'organizzazione. Consentendo agli utenti di fornire il consenso da soli consente agli utenti di acquisire facilmente applicazioni utili che si integrano con Microsoft 365, Azure e altri servizi, può rappresentare un rischio se non usato e monitorato attentamente.

Microsoft consiglia di limitare il consenso dell'utente per consentire il consenso dell'utente finale solo per le app provenienti da autori verificati e solo per le autorizzazioni selezionate. Se il consenso dell'utente finale è limitato, le concessioni del consenso precedenti verranno comunque onorate, ma tutte le future operazioni di consenso dovranno essere eseguite da un amministratore. Per i casi limitati, gli utenti possono chiedere il consenso dell'amministratore tramite un flusso di lavoro di richiesta di consenso all'amministratore integrato o tramite i processi di supporto personali. Prima di limitare il consenso dell'utente finale, usare i consigli di Microsoft per pianificare questa modifica nell'organizzazione. Per le applicazioni a cui si desidera consentire l'accesso a tutti gli utenti, valutare la concessione del consenso per conto di tutti gli utenti, assicurandosi che gli utenti che non hanno ancora fornito il consenso individualmente possano accedere all'app. Se non si desidera che queste applicazioni siano disponibili a tutti gli utenti in tutti gli scenari, usare l’assegnazione dell'applicazione e l’accesso condizionale per limitare l’accesso degli utenti ad app specifiche.

Assicurarsi che gli utenti possano richiedere l'approvazione dell'amministratore per le nuove applicazioni per ridurre l'attrito dell'utente, ridurre al minimo il volume di supporto e impedire agli utenti di iscriversi alle applicazioni usando credenziali non Microsoft Entra. Dopo aver regolato le operazioni di consenso, gli amministratori devono controllare regolarmente l'app e le autorizzazioni al consenso.

Per ulteriori informazioni, consultare l'articolo Microsoft Entra framework di consenso.

Passaggio 3: automatizzare la risposta alle minacce

Microsoft Entra ID offre molte funzionalità che intercettano automaticamente gli attacchi, per rimuovere la latenza tra rilevamento e risposta. Riducendo il tempo usato dai criminali per insinuarsi nell'ambiente, è possibile ridurre anche costi e rischi. Ecco i passaggi concreti che è possibile attuare.

Per altre informazioni, vedere l'articolo Procedure: Configurare e abilitare criteri di rischio.

Implementare i criteri di rischio di accesso

Un rischio di accesso rappresenta la probabilità che il proprietario dell'identità non abbia autorizzato la richiesta di autenticazione. È possibile implementare un criterio basato sul rischio di accesso tramite l'aggiunta di una condizione di rischio di accesso ai criteri di accesso condizionale che valuti il livello di rischio per un utente o un gruppo specifico. In base al livello di rischio (alto/medio/basso), è possibile configurare un criterio per bloccare l'accesso o forzare l'autenticazione a più fattori. È consigliabile forzare l'autenticazione a più fattori in caso di accessi con rischio di livello medio o superiore.

Implementare criteri di sicurezza per il rischio utente

Il rischio utente indica la probabilità di compromissione dell'identità di un utente e viene calcolato in base ai rilevamenti di rischi utente associati all'identità di un utente. È possibile implementare un criterio basato sul rischio utente tramite l'aggiunta di una condizione di rischio utente ai criteri di accesso condizionale che valuti il livello di rischio per un utente specifico. È possibile configurare un criterio, basato su un livello di rischio basso, medio o elevato, per bloccare l'accesso o richiedere una modifica della password sicura mediante autenticazione a più fattori. Microsoft consiglia di richiedere una modifica sicura della password per gli utenti ad alto rischio.

Nel rilevamento dei rischi utente è incluso un controllo che indica se le credenziali dell'utente corrispondono alle credenziali perse dai criminali informatici. Per funzionare in modo ottimale, è importante implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connect Sync.

Integrare Microsoft Defender XDR con Microsoft Entra ID Protection

Affinché Identity Protection possa eseguire il miglior rilevamento dei rischi possibile, è necessario ottenere il maggior numero possibile di segnali. È quindi importante integrare la suite completa di servizi Microsoft Defender XDR:

• Microsoft Defender per i punti finali
• Microsoft Defender for Office 365
• Microsoft Defender for Identity
• Microsoft Defender for Cloud Apps per la sicurezza delle app cloud

Altre informazioni su Microsoft Threat Protection e sull'importanza dell'integrazione di domini diversi, vedere il breve video seguente.

Configurare il monitoraggio e gli avvisi

Il monitoraggio e il controllo dei log è importante per rilevare comportamenti sospetti. Il portale di Azure offre diversi modi per integrare i log di Microsoft Entra con altri strumenti, ad esempio Microsoft Sentinel, Azure Monitor e altri strumenti SIEM. Per altre informazioni, vedere la guida alle operazioni di sicurezza Microsoft Entra.

Passaggio 4: usare l'intelligenza del cloud

Il controllo e la registrazione di eventi relativi alla sicurezza e di avvisi correlati sono componenti essenziali di una strategia di protezione efficace. I report e i log di sicurezza offrono un record elettronico delle attività sospette e facilitano il rilevamento di modelli che potrebbero indicare una penetrazione esterna tentata o riuscita nella rete e attacchi interni. È possibile usare la funzione di controllo per monitorare l'attività dell'utente, documentare la conformità alle normative, eseguire analisi forensi e altro ancora. Gli avvisi forniscono notifiche di eventi di sicurezza. Assicurarsi di disporre di criteri di conservazione dei log sia per i log di accesso che per i log di controllo per Microsoft Entra ID esportando in Azure Monitor o in uno strumento SIEM.

Monitorare Microsoft Entra ID

Microsoft Azure servizi e funzionalità offrono opzioni di controllo e registrazione della sicurezza configurabili per identificare le lacune nei criteri e nei meccanismi di sicurezza e risolvere tali lacune per prevenire le violazioni. È possibile usare Azure Logging and Auditing e usare i report delle attività di audit nel centro amministrativo di Microsoft Entra. Per altre informazioni sul monitoraggio di account utente, account con privilegi, app e dispositivi, vedere la Guida alle operazioni di sicurezza <>Microsoft Entra.See the Microsoft Entra Security Operations Guide for more details on monitoring user accounts, Privileged accounts, apps, and devices.

Monitorare Microsoft Entra Connect Health in ambienti ibridi

Monitoraggio di AD FS con Microsoft Entra Connect Health offre maggiori informazioni sui potenziali problemi e sulla visibilità degli attacchi sull'infrastruttura AD FS. Ora è possibile visualizzare gli accessi ad AD FS per una maggiore profondità del monitoraggio. Microsoft Entra Connect Health fornisce avvisi con dettagli, passaggi di risoluzione e collegamenti alla documentazione correlata, analisi dell'utilizzo per diverse metriche correlate al traffico di autenticazione, monitoraggio delle prestazioni e report. Utilizzare Risky IP WorkBook per AD FS, che consente di identificare lo standard del proprio ambiente e ricevere una notifica al verificarsi di una modifica. Tutta l'infrastruttura ibrida deve essere monitorata come risorsa di Tier 0. Per indicazioni dettagliate sul monitoraggio per questi asset, vedere la Guida alle operazioni per la sicurezza per l'infrastruttura.

Monitorare gli eventi di Microsoft Entra ID Protection

Microsoft Entra ID Protection fornisce due report importanti da monitorare ogni giorno:

1. I report sugli accessi a rischio evidenziano le attività di accesso utente che è necessario analizzare per scoprire se l'accesso è stato eseguito dal legittimo proprietario.
2. I report sugli utenti a rischio evidenziano gli account utente che potrebbero essere stati compromessi, ad esempio una credenziale trapelata rilevata o l'accesso da posizioni diverse che provoca un evento di spostamento impossibile.

App di controllo e autorizzazioni per il consenso

Gli utenti possono essere indotti a navigare in app o siti Web compromessi che ottengono l'accesso ai loro dati e alle loro informazioni del profilo, ad esempio la loro e-mail. Un attore malintenzionato può usare le autorizzazioni per il consenso ricevute per crittografare il contenuto della cassetta postale e richiedere un riscatto per riottenere i dati della cassetta postale. Gli amministratori dovrebbero analizzare e controllare le autorizzazioni concesse dagli utenti. Oltre a controllare le autorizzazioni specificate dagli utenti, è possibile individuare applicazioni OAuth rischiose o indesiderate in ambienti Premium.

Passaggio 5: abilitare il self-service per gli utenti finali

Per quanto possibile è opportuno bilanciare sicurezza e produttività. Un approccio al percorso con l'idea di definire una base per la sicurezza può consentire di rimuovere conflitti dall'organizzazione responsabilizzando gli utenti e rimanendo al tempo stesso vigili e riducendo i costi operativi generali.

Implementare la reimpostazione self-service delle password

La reimpostazione della password self-service di Microsoft Entra ID offre agli amministratori IT un modo semplice per reimpostare o sbloccare password o account senza intervento dell'amministratore o dell'helpdesk. Il sistema include report dettagliati che tengono traccia del momento in cui gli utenti hanno reimpostato le password, nonché notifiche che segnalano usi impropri o non autorizzati.

Implementare l'accesso self-service ai gruppi e alle applicazioni

Microsoft Entra ID può consentire ai non amministratori di gestire l'accesso alle risorse usando gruppi di sicurezza, gruppi di Microsoft 365, ruoli delle applicazioni e cataloghi dei pacchetti di accesso. Gestione gruppi self-service consente a un proprietario di gruppi di gestire i propri gruppi senza che gli venga necessariamente assegnato un ruolo di amministratore. Gli utenti possono anche creare e gestire Microsoft 365 gruppi senza affidarsi agli amministratori per gestire le richieste e i gruppi inutilizzati scadono automaticamente. La gestione entitlement di Microsoft Entra offre un ulteriore livello di delega e di visibilità, con flussi di lavoro di richiesta di accesso completi e scadenza automatica. È possibile delegare a utenti non amministratori la possibilità di configurare i propri pacchetti di accesso per gruppi, Teams, applicazioni e SharePoint siti online di cui sono proprietari, con criteri personalizzati per chi è richiesto di approvare l'accesso, inclusa la configurazione dei responsabili dei dipendenti e degli sponsor partner commerciali come responsabili approvazione.

Implementare le revisioni degli accessi di Microsoft Entra

Con Microsoft Entra verifiche di accesso, è possibile gestire i pacchetti di accesso e le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo con privilegi per assicurarsi di mantenere uno standard di sicurezza. Una supervisione regolare da parte degli utenti stessi, dei proprietari delle risorse e di altri revisori garantisce che gli utenti non mantengano l'accesso per periodi di tempo prolungati quando non è più necessario.

Implementare il provisioning automatico degli utenti

Il provisioning e il deprovisioning sono i processi che assicurano la coerenza delle identità digitali tra più sistemi. Questi processi generalmente vengono applicati nell'ambito della gestione del ciclo di vita delle identità.

Il provisioning è il processo di creazione di un'identità in un sistema di destinazione in base a determinate condizioni. Il deprovisioning è il processo di rimozione dell'identità dal sistema di destinazione, quando le condizioni non vengono più soddisfatte. La sincronizzazione è il processo che consente di mantenere aggiornato l'oggetto di cui è stato effettuato il provisioning, in modo che l'oggetto di origine e quello di destinazione siano simili.

Microsoft Entra ID attualmente offre tre aree di provisioning automatizzato. Sono:

• Provisioning da un sistema di record autorevole esterno non basato su directory a Microsoft Entra ID tramite provisioning basato su risorse umane
• Provisioning da Microsoft Entra ID alle applicazioni tramite Provisioning delle app
• Provisioning tra servizi di dominio di Microsoft Entra ID e Active Directory, tramite provisioning tra directory

Scopri di più qui: Che cos'è il provisioning con Microsoft Entra ID?

Riepilogo

Sono molti gli aspetti che ruotano attorno a un'infrastruttura di identità sicura, ma questo elenco di controllo di cinque passaggi consente di realizzarne una più sicura e protetta:

• Rafforzare le credenziali
• Ridurre la superficie di attacco
• Automatizzare la risposta alle minacce
• Usare l'intelligenza del cloud
• Abilitare il self-service per gli utenti finali

Microsoft apprezza la serietà con cui gli utenti gestiscono la sicurezza e si augura che questo documento rappresenti un'utile roadmap finalizzata a una postura più sicura per la loro organizzazione.

Passaggi successivi

Se è necessaria assistenza per pianificare e distribuire le raccomandazioni, fare riferimento ai piani di distribuzione del progetto Microsoft Entra ID per assistenza.

Se si è certi che tutti questi passaggi siano stati completati, usare Microsoft Identity Secure Score, che consente di mantenere aggiornati le procedure consigliate latest e le minacce per la sicurezza.