Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce un piano di distribuzione per la creazione di Zero Trust sicurezza con Microsoft 365. Zero Trust è un modello di sicurezza che presuppone la violazione e verifica ogni richiesta come se abbia avuto origine da una rete non controllata. Indipendentemente dall'origine della richiesta o dalla risorsa a cui accede, il modello Zero Trust ci insegna a "mai fidarsi, verificare sempre".
Usare questo articolo insieme a questo poster.
| Elemento | Descrizione |
|---|---|
PDF | Visio Aggiornato aprile 2025 |
Guide alle soluzioni correlate
|
Principi e architettura Zero Trust
Zero Trust è una strategia di sicurezza. Non è un prodotto o un servizio, ma un approccio nella progettazione e nell'implementazione del set di principi di sicurezza seguente.
| Principio | Descrizione |
|---|---|
| Verificare esplicitamente | Autenticare e autorizzare sempre in base a tutti i dati disponibili. |
| Uso dell'accesso con privilegi minimi | Limitare l'accesso degli utenti con just-In-Time e just-Enough-Access (JIT/JEA), criteri adattivi basati sui rischi e protezione dei dati. |
| Presunzione di violazione | Ridurre al minimo il raggio di esplosione e segmentare gli accessi. Verificare la crittografia end-to-end e usare l'analisi per ottenere visibilità, favorire il rilevamento delle minacce e migliorare le difese. |
Le linee guida contenute in questo articolo consentono di applicare questi principi implementando le funzionalità con Microsoft 365.
Un approccio Zero Trust si estende a tutto l'ecosistema digitale e funge da filosofia di sicurezza integrata e strategia completa.
Questa illustrazione fornisce una rappresentazione degli elementi principali che contribuiscono a Zero Trust.
Nell'illustrazione:
- L'applicazione dei criteri di sicurezza è al centro di un'architettura Zero Trust. Ciò include l'autenticazione a più fattori con accesso condizionale che tiene conto del rischio dell'account utente, dello stato del dispositivo e di altri criteri e criteri impostati.
- Identità, dispositivi, dati, app, rete e altri componenti dell'infrastruttura sono tutti configurati con la sicurezza appropriata. I criteri configurati per ognuno di questi componenti sono coordinati con la strategia complessiva Zero Trust. Ad esempio, i criteri dei dispositivi determinano i criteri per i dispositivi integri e i criteri di accesso condizionale richiedono dispositivi integri per l'accesso ad app e dati specifici.
- La protezione dalle minacce e l'intelligence monitorano l'ambiente, evidenziano i rischi correnti ed eseguano azioni automatizzate per correggere gli attacchi.
Per altre informazioni sul modello Zero Trust, vedere il Centro di Guida Zero Trust di Microsoft Zero Trust Guidance Center.
Distribuzione di Zero Trust per Microsoft 365
Microsoft 365 viene creato intenzionalmente con molte funzionalità di sicurezza e protezione delle informazioni che consentono di creare Zero Trust nell'ambiente in uso. Molte delle funzionalità possono essere estese per proteggere l'accesso ad altre app SaaS usate dall'organizzazione e i dati all'interno di queste app.
Questa illustrazione rappresenta il lavoro di distribuzione delle funzionalità di Zero Trust. Questo lavoro è allineato agli scenari aziendali nel framework di adozione Zero Trust.
In questa illustrazione il lavoro di distribuzione è suddiviso in cinque corsie di nuoto:
- Proteggere il lavoro remoto e ibrido : questo lavoro costituisce una base per la protezione delle identità e dei dispositivi.
- Prevenire o ridurre i danni aziendali causati da una violazione : la protezione dalle minacce offre monitoraggio e correzione in tempo reale delle minacce alla sicurezza. Defender for Cloud Apps fornisce l'individuazione di app SaaS, incluse le app per intelligenza artificiale, e consente di estendere la protezione dei dati a queste app.
- Identificare e proteggere i dati aziendali sensibili : le funzionalità di protezione dei dati forniscono controlli sofisticati destinati a tipi specifici di dati per proteggere le informazioni più preziose.
- Proteggere i dati e le app per l'intelligenza artificiale : proteggere rapidamente l'uso delle app per intelligenza artificiale da parte dell'organizzazione e i dati con cui interagiscono.
- Soddisfare i requisiti normativi e di conformità : comprendere e tenere traccia dei progressi verso il rispetto delle normative che interessano l'organizzazione.
Questo articolo presuppone l'uso dell'identità cloud. Per ulteriore guida su questo obiettivo, vedere Distribuire l'infrastruttura di identità per Microsoft 365.
Suggerimento
Quando si conoscono i passaggi e il processo di distribuzione end-to-end, è possibile usare il Impostare il modello di sicurezza di Microsoft Zero Trust guida alla distribuzione avanzata quando si accede all'interfaccia di amministrazione di Microsoft 365. Questa guida illustra come applicare i principi di Zero Trust per i pilastri della tecnologia standard e avanzata.
Corsia di nuoto 1 — Proteggere il lavoro remoto e ibrido
La protezione del lavoro remoto e ibrido comporta la configurazione della protezione dell'identità e dell'accesso ai dispositivi. Queste protezioni contribuiscono al principio Zero Trust verificare esplicitamente.
Eseguire il lavoro di protezione del lavoro remoto e ibrido in tre fasi.
Fase 1: implementare criteri di identità e accesso ai dispositivi del punto di partenza
Microsoft consiglia un set completo di criteri di accesso alle identità e ai dispositivi per Zero Trust in questa guida: Zero Trust configurazioni di identità e accesso ai dispositivi.
Nella fase 1, iniziare implementando il livello del punto iniziale. Questi criteri non richiedono la registrazione dei dispositivi nella gestione.
Passare a protezione di Zero Trust per identità e accesso ai dispositivi per indicazioni dettagliate. Questa serie di articoli descrive un set di configurazioni dei prerequisiti di identità e accesso ai dispositivi e un insieme di criteri di accesso condizionale di Microsoft Entra, Microsoft Intune e altre politiche per proteggere l'accesso alle app e ai servizi cloud di Microsoft 365 per le aziende, ad altri servizi SaaS e alle applicazioni in sede pubblicate con il proxy dell'applicazione Microsoft Entra.
| Include | Prerequisiti | Non include |
|---|---|---|
Criteri di identità e accesso ai dispositivi consigliati per tre livelli di protezione:
Indicazioni aggiuntive per:
|
Microsoft E3 o E5 Microsoft Entra ID in una di queste modalità:
|
Registrazione del dispositivo per policy che richiedono dispositivi sotto gestione. Vedere Gestire i dispositivi con Intune per registrare i dispositivi. |
Fase 2: registrare i dispositivi nella gestione con Intune
Registrare quindi i dispositivi nella gestione e iniziare a proteggerli con controlli più sofisticati.
Per indicazioni dettagliate sulla registrazione dei dispositivi nella gestione, vedere Gestire i dispositivi con Intune.
| Include | Prerequisiti | Non includeva |
|---|---|---|
Registrare i dispositivi con Intune:
Configurare le politiche
|
Registrare gli endpoint con Microsoft Entra ID | Configurazione delle funzionalità di protezione delle informazioni, tra cui:
Per queste funzionalità, vedere Corsia di nuoto 3 - Identificare e proteggere i dati aziendali sensibili (più avanti in questo articolo). |
Per altre informazioni, vedere Zero Trust per Microsoft Intune.
Fase 3 - Aggiungere la protezione Zero Trust dell'identità e dell'accesso ai dispositivi: Politiche aziendali
Con i dispositivi registrati nella gestione, è ora possibile implementare il set completo di criteri di identità e accesso ai dispositivi consigliati Zero Trust, che richiedono dispositivi conformi.
Tornare a Criteri comuni di identità e accesso ai dispositivi e aggiungere i criteri nel livello Enterprise.
Altre informazioni su come proteggere il lavoro remoto e ibrido nel framework di adozione Zero Trust - Secure remote and hybrid work.
Corsia di nuoto 2 — Prevenire o ridurre i danni aziendali causati da una violazione
Microsoft Defender XDR è una soluzione XDR (Extended Detection and Response) che raccoglie, correla e analizza automaticamente i dati di segnale, minaccia e avviso dall'ambiente Microsoft 365, inclusi endpoint, posta elettronica, applicazioni e identità. Inoltre, Microsoft Defender for Cloud Apps consente alle organizzazioni di identificare e gestire l'accesso alle app SaaS, incluse le app GenAI.
Evitare o ridurre i danni aziendali da una violazione pilotando e distribuendo Microsoft Defender XDR.
Passare a Pilot e distribuire Microsoft Defender XDR per una guida metodica alla distribuzione pilota e implementazione dei componenti di Microsoft Defender XDR.
| Include | Prerequisiti | Non comprende |
|---|---|---|
Configurare l'ambiente di valutazione e pilota per tutti i componenti:
Protezione dalle minacce Analizzare le minacce e rispondere |
Vedere le indicazioni per informazioni sui requisiti di architettura per ogni componente di Microsoft Defender XDR. | Microsoft Entra ID Protection non è incluso in questa guida alla soluzione. È incluso in Swim lane 1 — Secure remote and hybrid work (Corsia di nuoto 1 - Lavoro ibrido e remoto sicuro). |
Altre informazioni su come prevenire o ridurre i danni per l'azienda da una violazione nel framework di adozione Zero Trust - Previeni o riduci i danni per l'azienda da una violazione.
Corsia di nuoto 3 - Identificare e proteggere i dati aziendali sensibili
Implementare Microsoft Purview Information Protection per individuare, classificare e proteggere le informazioni sensibili ovunque si trovino o viaggi.
Microsoft Purview Information Protection funzionalità sono incluse in Microsoft Purview e offrono gli strumenti per conoscere i dati, proteggere i dati e prevenire la perdita di dati. È possibile iniziare questo lavoro in qualsiasi momento.
Microsoft Purview Information Protection fornisce un framework, un processo e funzionalità che è possibile usare per raggiungere gli obiettivi aziendali specifici.
Per ulteriori informazioni su come pianificare e distribuire la protezione delle informazioni, vedere Distribuire una soluzione Microsoft Purview per la Protezione delle Informazioni.
Altre informazioni su come identificare e proteggere i dati aziendali sensibili nel framework di adozione Zero Trust, Identificare e proteggere i dati aziendali sensibili.
Corsia di nuoto 4 - Proteggere i dati e le app per intelligenza artificiale
Microsoft 365 include funzionalità che consentono alle organizzazioni di proteggere rapidamente le app di intelligenza artificiale e i dati usati.
Per iniziare, utilizzare Purview Data Security Posture Management (DSPM) per l'intelligenza artificiale. Questo strumento è incentrato sul modo in cui viene usata l'intelligenza artificiale nell'organizzazione, in particolare i dati sensibili che interagiscono con gli strumenti di intelligenza artificiale. DSPM per intelligenza artificiale offre informazioni più approfondite per Microsoft Copilots e applicazioni SaaS di terze parti come ChatGPT Enterprise e Google Gemini.
Il diagramma seguente mostra una delle visualizzazioni aggregate sull'impatto dell'uso dell'intelligenza artificiale sui dati: interazioni sensibili per ogni app di intelligenza artificiale generativa.
Diagramma che mostra le interazioni sensibili per ogni app di intelligenza artificiale generativa.
Utilizzare DSPM per l'IA per:
- Ottenere visibilità sull'utilizzo dell'IA, inclusi i dati sensibili.
- Esaminare le valutazioni dei dati per comprendere le lacune nella condivisione eccessiva che possono essere attenuate con i controlli di condivisione eccessiva di SharePoint.
- Individuare le lacune nella copertura dei criteri per le etichette di riservatezza e i criteri di prevenzione della perdita dei dati.
Defender for Cloud Apps è un altro potente strumento per individuare e gestire le app e l'utilizzo di SaaS GenAI. Defender for Cloud Apps include più di un migliaio di app generative correlate all'intelligenza artificiale nel catalogo, offrendo visibilità sul modo in cui le app di intelligenza artificiale generative vengono usate nell'organizzazione e consentendo di gestirle in modo sicuro.
Oltre a questi strumenti, Microsoft 365 offre un set completo di funzionalità per la protezione e la governance dell'IA. Per informazioni su come iniziare a usare queste funzionalità , vedere Individuare, proteggere e gestire app e dati di intelligenza artificiale .
La tabella seguente elenca le funzionalità di Microsoft 365 con collegamenti ad altre informazioni nella libreria Security for AI.
| Capacità | Maggiori informazioni |
|---|---|
| SharePoint controlli di condivisione eccessiva, tra cui la gestione avanzata di SharePoint | Controlli della condivisione eccessiva su SharePoint |
| DSPM per l'intelligenza artificiale | Ottenere visibilità sull'utilizzo dell'intelligenza artificiale con (DSPM) per l'intelligenza artificiale Proteggere i dati tramite DSPM per l'intelligenza artificiale |
| Etichette di riservatezza e criteri DLP | Continuare a identificare le lacune nelle etichette di riservatezza e nei criteri DLP |
| Insider Risk Management (IRM) - Modello di criteri di utilizzo dell'IA rischioso | Applicare il modello di intelligenza artificiale rischiosa |
| Protezione adattiva | Configurare la Protezione Adattiva per Insider Risk Management |
| Defender per le app cloud | Individuare, approvare e bloccare le app per intelligenza artificiale Valutare e proteggere l'uso delle app per intelligenza artificiale Gestire le app per intelligenza artificiale in base al rischio di conformità |
| Purview Gestore della conformità | Compilare e gestire le valutazioni per le normative correlate all'intelligenza artificiale |
| Conformità delle comunicazioni di Purview | Analizzare richieste e risposte immesse in applicazioni di intelligenza artificiale generative per rilevare interazioni inappropriate o rischiose o condividere informazioni riservate |
| Gestione del ciclo di vita dei dati di Purview | Eliminare in modo proattivo il contenuto che non è più necessario mantenere per ridurre il rischio di sovraesposizione dei dati negli strumenti di intelligenza artificiale |
| scoperta elettronica | Cercare parole chiave nelle richieste e nelle risposte, gestire i risultati nei casi di eDiscovery |
| Log di controllo per le attività di Copilot e intelligenza artificiale | identificare come, quando e dove si sono verificate interazioni Copilot e quali elementi sono stati accessibili, incluse eventuali etichette di riservatezza per tali elementi |
| Valutazioni della privacy priva | Avviare valutazioni dell'impatto sulla privacy per le app di intelligenza artificiale create |
Corsia di nuoto 5 : soddisfare i requisiti normativi e di conformità
Indipendentemente dalla complessità dell'ambiente IT dell'organizzazione o dalle dimensioni dell'organizzazione, i nuovi requisiti normativi che potrebbero influire sull'azienda vengono continuamente aggiunti. Un approccio Zero Trust spesso supera alcuni tipi di requisiti imposti dalle normative di conformità, ad esempio quelle che controllano l'accesso ai dati personali. Le organizzazioni che hanno implementato un approccio Zero Trust possono scoprire che soddisfano già alcune nuove condizioni o possono facilmente basarsi sull'architettura Zero Trust per essere conformi.
Microsoft 365 include funzionalità utili per la conformità alle normative, tra cui:
- Responsabile della Conformità
- Esplora contenuto
- Criteri di conservazione, etichette di riservatezza e criteri DLP
- Conformità delle comunicazioni
- Gestione del ciclo di vita dei dati
- Gestione dei rischi per la privacy in Priva
Usare le risorse seguenti per soddisfare i requisiti normativi e di conformità.
| Conto risorse | Maggiori informazioni |
|---|---|
| Framework di adozione Zero Trust: Soddisfa i requisiti normativi e di conformità | Descrive un approccio metodico che l'organizzazione può seguire, tra cui la definizione di strategia, pianificazione, adozione e governance. |
| Gestire app e dati di intelligenza artificiale per la conformità alle normative | Risolve la conformità alle normative per le normative emergenti correlate all'intelligenza artificiale, incluse funzionalità specifiche che aiutano. |
| Gestire la privacy e la protezione dei dati con Microsoft Priva e Microsoft Purview | Valutare i rischi e intervenire in modo appropriato per proteggere i dati personali nell'ambiente dell'organizzazione usando Microsoft Priva e Microsoft Purview. |
Passaggi successivi
Per altre informazioni sulle Zero Trust, visitare il centro indicazioni Zero Trust.