Configurare Microsoft Entra per una maggiore sicurezza (anteprima)

In Microsoft Entra le raccomandazioni sulla sicurezza vengono raggruppate in più temi basati su Secure Future Initiative (SFI). Questa struttura consente alle organizzazioni di suddividere logicamente i progetti in blocchi di consumo correlati.

Tip

Alcune organizzazioni potrebbero prendere queste raccomandazioni esattamente come scritte, mentre altre potrebbero scegliere di apportare modifiche in base alle proprie esigenze aziendali. Nella versione iniziale di queste linee guida ci concentriamo sui tenant tradizionali della forza lavoro. Questi tenant della forza lavoro sono destinati ai dipendenti, alle app aziendali interne e ad altre risorse aziendali.

È consigliabile implementare tutti i controlli seguenti in cui sono disponibili le licenze. Questi modelli e procedure consentono di fornire una base per altre risorse basate su questa soluzione. Più controlli verranno aggiunti a questo documento nel corso del tempo.

Valutazione automatizzata

Il controllo manuale di queste indicazioni sulla configurazione di un tenant può richiedere molto tempo e soggette a errori. La valutazione Zero Trust trasforma questo processo con l'automazione per testare questi elementi di configurazione della sicurezza e altro ancora. Per altre informazioni, vedere Che cos'è la valutazione Zero Trust?

Proteggere identità e segreti

Ridurre i rischi correlati alle credenziali implementando standard di identità moderni.

Controlla	Licenza minima richiesta
Le applicazioni non hanno segreti client configurati	Nessuno (incluso con Microsoft Entra ID)
Le entità servizio non dispongono di certificati o credenziali associate a tali entità servizio	Nessuno (incluso con Microsoft Entra ID)
Le applicazioni non hanno certificati con scadenza superiore a 180 giorni	Nessuno (incluso con Microsoft Entra ID)
I certificati dell'applicazione devono essere ruotati regolarmente	Nessuno (incluso con Microsoft Entra ID)
Applicare gli standard per i segreti e i certificati delle app	Nessuno (incluso con Microsoft Entra ID)
Le applicazioni di servizi Microsoft non dispongono di credenziali configurate	Nessuno (incluso con Microsoft Entra ID)
Le impostazioni di consenso utente sono limitate	Nessuno (incluso con Microsoft Entra ID)
Flusso di lavoro di consenso amministratore abilitato	Nessuno (incluso con Microsoft Entra ID)
Igh Global Administrator al rapporto utente con privilegi	Nessuno (incluso con Microsoft Entra ID)
I privilegi amministrativi sono strettamente limitati per impedire la compromissione	Microsoft Entra ID P1
I diritti di amministratore dell'applicazione sono vincolati a specifiche app Access private	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Gli account con privilegi sono identità native del cloud	Nessuno (incluso con Microsoft Entra ID)
Tutte le assegnazioni di ruolo con privilegi vengono attivate just-in-time e non sono attive in modo permanente	Microsoft Entra ID P2
Tutte le assegnazioni di ruolo con privilegi Microsoft Entra vengono gestite con PIM	Microsoft Entra ID P2
Metodo di autenticazione Passkey abilitato	Nessuno (incluso con Microsoft Entra ID)
Viene applicata l'attestazione della chiave di sicurezza	Nessuno (incluso con Microsoft Entra ID)
Gli account con privilegi hanno metodi resistenti al phishing registrati	Microsoft Entra ID P1
i ruoli predefiniti di Privileged Microsoft Entra sono destinati ai criteri di Access condizionale per applicare metodi resistenti al phishing	Microsoft Entra ID P1
Criteri di Access conditional applicano l'autenticazione avanzata per le app private	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
le applicazioni Application Proxy richiedono la preautenticazione per bloccare l'autenticazione anonima access	Microsoft Entra ID P1
Richiedi notifiche di reimpostazione della password per i ruoli di amministratore	Microsoft Entra ID P1
Blocca i criteri di autenticazione legacy configurati	Microsoft Entra ID P1
Temporary access pass è abilitato	Microsoft Entra ID P1
Limitare il passaggio di accesso temporaneo a uso singolo	Microsoft Entra ID P1
Eseguire la migrazione da criteri legacy di autenticazione a più fattori e reimpostazione della password self-service	Microsoft Entra ID P1
Impedire agli amministratori di usare la reimpostazione della password self-service	Microsoft Entra ID P1
La reimpostazione della password self-service non usa domande di sicurezza	Microsoft Entra ID P1
I metodi di autenticazione sms e chiamata vocale sono disabilitati	Microsoft Entra ID P1
Proteggere la pagina Registrazione MFA (Informazioni di sicurezza personali)	Microsoft Entra ID P1
Usare l'autenticazione cloud	Microsoft Entra ID P1
Tutti gli utenti devono registrarsi per l'autenticazione a più fattori	Microsoft Entra ID P2
Gli utenti hanno metodi di autenticazione avanzata configurati	Microsoft Entra ID P1
L'attività di accesso utente usa la protezione dei token	Microsoft Entra ID P1
Tutte le attività di accesso utente usano metodi di autenticazione resistenti al phishing	Microsoft Entra ID P1
Tutte le attività di accesso provengono da dispositivi gestiti	Microsoft Entra ID P1
Metodo di autenticazione della chiave di sicurezza abilitato	Nessuno (incluso con Microsoft Entra ID)
I ruoli con privilegi non vengono assegnati alle identità non aggiornati	Microsoft Entra ID P2
Microsoft Authenticator'app mostra il contesto di accesso	Microsoft Entra ID P1
Microsoft Authenticator l'impostazione dell'attività sospetta del report dell'app è abilitata	Microsoft Entra ID P1
La scadenza della password è disabilitata	Microsoft Entra ID P1
Soglia di blocco intelligente impostata su 10 o meno	Microsoft Entra ID P1
La durata del blocco intelligente è impostata su un minimo di 60	Microsoft Entra ID P1
Aggiungere le condizioni organizzative all'elenco delle password escluse	Microsoft Entra ID P1
Richiedere l'autenticazione a più fattori per l'aggiunta al dispositivo e la registrazione del dispositivo tramite l'azione dell'utente	Microsoft Entra ID P1
La soluzione password amministratore locale viene distribuita	Microsoft Entra ID P1
Entra Connect Sync è configurato con le credenziali dell'entità servizio	Nessuno (incluso con Microsoft Entra ID)
Nessun utilizzo di ADAL nel tenant	Nessuno (incluso con Microsoft Entra ID)
Block il modulo legacy Azure PowerShell di AD	Nessuno (incluso con Microsoft Entra ID)
Enable Microsoft Entra ID impostazioni predefinite per la sicurezza per i tenant gratuiti	Nessuno (incluso con Microsoft Entra ID)

Proteggere i tenant e isolare i sistemi di produzione

Controlla	Licenza minima richiesta
Le autorizzazioni per creare nuovi tenant sono limitate al ruolo Autore tenant	Nessuno (incluso con Microsoft Entra ID)
Abilita azioni protette per proteggere la creazione e le modifiche dei criteri di Access condizionale	Microsoft Entra ID P1
Guest access è limitato ai tenant approvati	Microsoft Entra ID gratuito
Ai guest non vengono assegnati ruoli di directory con privilegi elevati	Microsoft Entra ID gratuito Microsoft Entra ID P2 o Microsoft ID Governance per PIM
Gli utenti guest non possono invitare altri ospiti	Microsoft Entra ID gratuito
Guests hanno access limitato agli oggetti directory	Microsoft Entra ID gratuito
Il blocco delle proprietà dell'istanza dell'app è configurato per tutte le applicazioni multi-tenant	Microsoft Entra ID gratuito
Gli utenti guest non hanno sessioni di accesso di lunga durata	Microsoft Entra ID P1
Guest access è protetto da metodi di autenticazione avanzata	Microsoft Entra ID gratuito Microsoft Entra ID P1 consigliato per Access condizionale
L'iscrizione self-service guest tramite il flusso utente è disabilitata	Microsoft Entra ID gratuito
Le impostazioni di access tra tenant in uscita vengono configurate	Microsoft Entra ID gratuito Microsoft Entra ID P1 consigliato per Access condizionale
Gli utenti guest non possiedono app nel tenant	Nessuno (incluso con Microsoft Entra ID)
Tutti gli ospiti hanno uno sponsor	Microsoft Entra ID gratuito
Le identità guest inattive vengono disabilitate o rimosse dal tenant	Microsoft Entra ID gratuito
Tutti i criteri di gestione entitlement hanno una data di scadenza	Microsoft Entra ID P2 o Microsoft ID Governance per le revisioni gestite e access entitlement
Tutti i criteri di assegnazione di gestione entitlement applicabili agli utenti esterni richiedono organizzazioni connesse	Microsoft Entra ID P2 o Microsoft ID Governance per le revisioni gestite e access entitlement
Tutti i criteri di assegnazione di gestione entitlement applicabili agli utenti esterni richiedono l'approvazione	Microsoft Entra ID P2 o Microsoft ID Governance per le revisioni gestite e access entitlement
Tutti i pacchetti di gestione entitlement applicabili agli utenti guest hanno scadenze o access revisioni configurate nei criteri di assegnazione	Microsoft Entra ID P2 o Microsoft ID Governance per le revisioni gestite e access entitlement
Gestire gli amministratori locali nei dispositivi aggiunti a Microsoft Entra	Nessuno (incluso con Microsoft Entra ID)
Limitare gli utenti non amministratori a ripristinare le chiavi BitLocker per i dispositivi di proprietà	Nessuno (incluso con Microsoft Entra ID)

Proteggere le reti

Proteggere il perimetro di rete.

Controlla	Licenza minima richiesta
I percorsi denominati sono configurati	Microsoft Entra ID P1
I criteri di restrizione del tenant v2 sono configurati	Microsoft Entra ID P1
Internet Access il profilo di inoltro è abilitato	Microsoft Entra Internet Access
I criteri di filtro del contenuto Web sono configurati	Microsoft Entra Internet Access
Il filtro contenuto Web usa regole basate su categorie	Microsoft Entra ID P1
I criteri di filtro dei contenuti Web sono collegati ai profili di sicurezza	Microsoft Entra ID P1
Filtro contenutoWeb si integra con Access	Microsoft Entra Internet Access
Il filtro dei contenuti Web blocca le categorie ad alto rischio	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
L'ispezione TLS è abilitata e configurata correttamente per il traffico in uscita	Microsoft Entra ID P1
Le regole di bypass dell'ispezione TLS vengono esaminate regolarmente	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
I certificati di ispezione TLS hanno un periodo di validità sufficiente	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
La frequenza degli errori di ispezione TLS è inferiore a 1%	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Le regole di bypass personalizzate di ispezione TLS non duplicano le destinazioni di bypass del sistema	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Il filtro intelligence sulle minacce protegge il traffico Internet	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
I criteri di trasferimento dei file sono configurati per impedire l'esfiltrazione di dati	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Il gateway di intelligenza artificiale protegge le applicazioni di intelligenza artificiale generati dall'organizzazione da attacchi di tipo prompt injection	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Global Secure Access cloud firewall protegge il traffico Internet della succursale	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Il traffico Internet viene controllato in tutti i livelli di difesa del gateway Web sicuro	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
la convalida di Network viene configurata tramite la valutazione Access continua universale	Microsoft Entra ID componente aggiuntivo P1 o Microsoft Entra Suite per Microsoft Entra ID P2
Client Access Secure globale viene distribuito in tutti gli endpoint gestiti	Microsoft Entra ID componente aggiuntivo P1 o Microsoft Entra Suite per Microsoft Entra ID P2
Global Secure Access licenze sono disponibili nel tenant e assegnate agli utenti	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Microsoft 365 il traffico passa attivamente attraverso global secure Access	Microsoft Entra Suite
Le restrizioni del tenantuniversal bloccano i tenant esterni non autorizzati access	Microsoft Entra ID componente aggiuntivo P1 o Microsoft Entra Suite per Microsoft Entra ID P2
la collaborazione External è governata da criteri espliciti di access tra tenant	Microsoft Entra ID P1
Criteri di Access conditional usano controlli di rete conformi	Microsoft Entra ID P1
Sal Secure Access segnalazione per Access condizionale è abilitata	Microsoft Entra ID P1, componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Il trafficonetwork viene instradato tramite Access sicura globale per l'imposizione dei criteri di sicurezza	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
I profili di inoltro del traffico sono limitati a utenti e gruppi appropriati per la distribuzione controllata	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
i connettori di rete Private sono attivi e integri per mantenere Zero Trust access alle risorse interne	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
I connettori di rete privati eseguono la versione più recente	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Almeno due connettori di Access privati sono attivi e integri per gruppo di connettori	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Private DNS è configurato per la risoluzione dei nomi interna	Accesso privato Di Microsoft Entra
il traffico DNS per i domini interni viene instradato tramite Access	Microsoft Entra ID P1, componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Intelligent Local Access è abilitato e configurato	Accesso privato Di Microsoft Entra
Quick Access è abilitato e associato a un connettore	P1, componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Quick Access è associato a un criterio di Access condizionale	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
i segmenti Entra Private Access Application vengono definiti per applicare i privilegi minimi access	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Domain controller RDP access è protetto dall'autenticazione resistente al phishing tramite Global Secure Access	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
i sensori Private Access applicano criteri di autenticazione avanzata nei controller di dominio	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Quick Access dispone di assegnazioni di utenti o gruppi	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Tutte le app private Access dispongono di assegnazioni di utenti o gruppi	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2
Il traffico in uscita dai carichi di lavoro integrati della rete virtuale viene instradato tramite Azure Firewall	Base di Firewall di Azure
L'intelligenza intelligente è abilitata in modalità di negazione in Azure Firewall	Azure Firewall Premium
L'ispezione IDPS è abilitata in modalità di negazione in Azure Firewall	Azure Firewall Premium
Application Gateway WAF è abilitato in modalità di prevenzione	WAF_v2 del gateway applicazione di Azure
Azure Front Door WAF è abilitato in modalità di prevenzione	Frontdoor di Azure Standard

Proteggere i sistemi di progettazione

Proteggere gli asset software e migliorare la sicurezza del codice.

Controlla	Licenza minima richiesta
Emergency access account sono configurati in modo appropriato	Microsoft Entra ID P1
Global Administrator l'attivazione del ruolo attiva un flusso di lavoro di approvazione	Microsoft Entra ID P2
gli amministratori Global non dispongono di access per Azure sottoscrizioni	Nessuno (incluso con Microsoft Entra ID)
La creazione di nuove applicazioni e entità servizio è limitata agli utenti con privilegi	Microsoft Entra ID P1
le applicazioni Inactive non dispongono di autorizzazioni microsoft Graph API con privilegi elevati	Microsoft Entra ID P1
Le applicazioni inattive non hanno ruoli predefiniti con privilegi elevati	Microsoft Entra ID P1
App registrations usare URI di reindirizzamento sicuri	Microsoft Entra ID P1
Le entità servizio usano URI di reindirizzamento sicuri	Microsoft Entra ID P1
App registrations non deve disporre di URI di reindirizzamento del dominio indeboliti o abbandonati	Microsoft Entra ID P1
Il consenso specifico della risorsa è limitato	Microsoft Entra ID P1
Alle identità del carico di lavoro non vengono assegnati ruoli con privilegi	Microsoft Entra ID P1
Le applicazioni aziendali devono richiedere l'assegnazione esplicita o il provisioning con ambito	Microsoft Entra ID P1
Le applicazioni aziendali hanno proprietari	Nessuno (incluso con Microsoft Entra ID)
Limitare il numero massimo di dispositivi per utente a 10	Nessuno (incluso con Microsoft Entra ID)
Criteri di Access conditional per workstation con privilegi Access sono configurati	Microsoft Entra ID P1

Monitorare e rilevare minacce informatiche

Raccogliere e analizzare i log di sicurezza e gli avvisi di valutazione.

Controlla	Licenza minima richiesta
Impostazioni di diagnostica sono configurate per tutti i log di Microsoft Entra	Microsoft Entra ID P1
Le attivazioni dei ruoli con privilegi hanno il monitoraggio e l'invio di avvisi configurati	Microsoft Entra ID P2
Avviso Activation per le assegnazioni di ruolo Global Administrator	Microsoft Entra ID P2
Avviso di attivazione per tutte le assegnazioni di ruolo con privilegi	Microsoft Entra ID P2
Gli utenti con privilegi accedono con metodi resistenti al phishing	Microsoft Entra ID P1
Tutti gli utenti ad alto rischio vengono valutati	Microsoft Entra ID P2
Tutti gli accessi ad alto rischio vengono valutati	Microsoft Entra ID P2
Tutte le identità del carico di lavoro rischiose vengono valutate	Microsoft Entra ID P2
Gli eventi di creazione del tenant vengono distribuiti	Microsoft Entra ID P1
Tutte le attività di accesso utente usano metodi di autenticazione avanzata	Microsoft Entra ID P1
Raccomandazioni relative alla priorità Microsoft Entra sono risolte	Microsoft Entra ID P1
Le notifiche di protezione ID sono abilitate	Microsoft Entra ID P2
Nessuna attività di accesso all'autenticazione legacy	Microsoft Entra ID P1
Tutti i consigli Microsoft Entra vengono risolti	Microsoft Entra ID P1
l'attività Network access è visibile alle operazioni di sicurezza per il rilevamento e la risposta delle minacce	Microsoft Entra ID P1
i log di Network access vengono conservati per i requisiti di sicurezza	Microsoft Entra ID P1
Global Secure Access i log di distribuzione vengono popolati ed esaminati	Componente aggiuntivo Microsoft Entra Suite per Microsoft Entra ID P2

Accelerare la risposta e la correzione

Migliorare la risposta agli eventi imprevisti di sicurezza e le comunicazioni sugli eventi imprevisti.

Controlla	Licenza minima richiesta
Le identità del carico di lavoro sono configurate con criteri basati sul rischio	ID carico di lavoro Microsoft Entra
Limitare gli accessi ad alto rischio	Microsoft Entra ID P2
Restrict access agli utenti ad alto rischio	Microsoft Entra ID P2

Piani di distribuzione di Microsoft Entra
Guida di riferimento alle operazioni Microsoft Entra

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-03-12