Utenti

Implementare il piano di comunicazione utente

Nella fase di preparazione è stata creata una pianificazione delle comunicazioni e un set di messaggi di posta elettronica bozza che verranno ora usati per informare gli utenti delle prossime modifiche che possono prevedere di vedere durante la migrazione a Windows 11 e come possono contattare per assistenza, se necessario.

Ora è il momento di inviare tali comunicazioni e assicurarsi che gli utenti siano informati e preparati.

Esaminare i requisiti di identità utente

Nella fase di pianificazione, sono state identificate le modifiche all'identità utente che erano necessarie per soddisfare i requisiti di sicurezza e accesso alle risorse. Man mano che le fasi di distribuzione avanzano, è consigliabile esaminare e verificare regolarmente che i controlli identità siano configurati correttamente e applicati attivamente agli utenti.

Usare Microsoft Entra monitoraggio e integrità per esaminare le attività correlate all'identità, il comportamento di accesso e i segnali di integrità del tenant e per rilevare i problemi che potrebbero influire sull'accesso o sull'esperienza utente.

Esaminare il Identity Secure Score per valutare l'allineamento della configurazione delle identità con le procedure di sicurezza consigliate di Microsoft e tenere traccia dei miglioramenti nel tempo.

Verificare che il comportamento di autenticazione sia allineato alla progettazione esaminando la panoramica dell'autenticazione Microsoft Entra, inclusi i metodi di autenticazione configurati e i flussi di accesso.

È anche possibile esaminare i controlli chiave di identità e dispositivo, ad esempio:

Controlli di autenticazione/identità:

• Windows Hello for Business: l'autenticazione senza password sicura
• Chiavi di sicurezza FIDO2: autenticazione basata su hardware senza password
• Accesso condizionale di Microsoft Entra policies: applicano i requisiti di accesso ai dispositivi e alle identità
• Criteri di attendibilità dell'autenticazione: configurare e applicare l'autenticazione avanzata
• Gruppo di sicurezza utenti protetti: applicare protezioni avanzate per gli account ad alto rischio

Controlli di sicurezza del dispositivo/piattaforma:

• Protezione dell'autorità di sicurezza locale : protegge le credenziali in memoria
• Windows Defender Credential Guard: protezione delle credenziali isolate dall'hardware
• Remote Credential Guard: protegge le credenziali durante le sessioni di desktop remoto
• Trusted Platform Module (TPM) 2.0: radice hardware di fiducia
• Avvio protetto: garantisce solo carichi attendibili del sistema operativo
• Virtualization-Based Security (VBS): isola le parti sensibili del sistema operativo
• Integrità della memoria (HVCI): protegge la memoria del kernel da manomissioni

Implementare e documentare le modifiche necessarie. Controllare se è necessaria l'approvazione degli stakeholder prima di applicare le modifiche correlate all'identità.

Disconnettersi e aggiornare la documentazione procedurale

Durante le decisioni in questa fase, documentarle in un formato facilmente condivisibile per scopi di rilevamento, creazione di report e continuità. Ottenere le approvazioni di questi risultati finali da tutte le persone identificate nella matrice RACI connessa all'idoneità degli utenti. Cercare assistenza e risolvere eventuali lacune prima di passare alla fase di distribuzione successiva.