Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prima che chiunque possa usare Azure, ha bisogno di un'identità sicura e ben gestita. Microsoft Entra ID è la spina dorsale della gestione delle identità e degli accessi in Azure. Questo articolo illustra i passaggi essenziali per stabilire una solida base di identità. Sia che si stia configurando un nuovo tenant o si stia restringendo la sicurezza in uno esistente, queste procedure consigliate consentono di proteggere l'accesso alle risorse cloud da un giorno all'altro.
Prerequisito:Creare un account Azure. Le startup vedono se si è idonei per i crediti Azure.
Creare singoli account utente
Ogni persona che deve accedere ad Azure deve avere il proprio account utente in Microsoft Entra. Questa configurazione consente di garantire la responsabilità e semplifica il rilevamento delle modifiche e l'applicazione dei criteri di sicurezza.
Aggiungere un dominio personalizzato. Quando si crea un tenant di Microsoft Entra, viene fornito con un dominio predefinito (yourtenant.onmicrosoft.com). Quando si aggiunge un dominio personalizzato (ad esempio , contoso.com), gli utenti possono accedere con nomi familiari, ad [email protected]esempio . Se si creano account prima di aggiungere il dominio personalizzato, è necessario aggiornarli in un secondo momento. Per informazioni dettagliate, vedere Aggiungere il nome di dominio personalizzato al tenant in Microsoft Entra.
Creare un account univoco per ogni utente. Non consentire account condivisi. Gli account condivisi rendono difficile tenere traccia e assegnare la responsabilità delle modifiche. Per istruzioni, vedere Come creare, invitare ed eliminare utenti in Microsoft Entra.
Creare account di accesso di emergenza. Creare due account di accesso di emergenza per assicurarsi di poter accedere al tenant se i normali metodi di accesso hanno esito negativo.
Assegnare i ruoli di gestione delle identità
Microsoft Entra usa il controllo degli accessi in base al ruolo per assegnare ruoli a utenti, gruppi assegnabili a ruoli o entità servizio. Questi ruoli definiscono le azioni che possono eseguire all'interno di Microsoft Entra, Interfaccia di amministrazione di Microsoft 365, Microsoft Defender, Microsoft Purview e altro ancora. Include la creazione di account, la gestione dei gruppi e la configurazione dei criteri di sicurezza.
Usare i ruoli predefiniti. Microsoft fornisce ruoli predefiniti per le attività comuni. Ogni ruolo ha un set specifico di autorizzazioni. Ad esempio, il ruolo Amministratore utenti può creare e gestire gli account utente. Esaminare l'elenco dei ruoli predefiniti di Microsoft Entra e assegnare solo gli elementi necessari.
Assegnare ruoli in base ai privilegi minimi. Concedere agli utenti solo le autorizzazioni necessarie per svolgere il proprio lavoro. Se un utente non deve gestire Microsoft Entra, Interfaccia di amministrazione di Microsoft 365, Microsoft Defender o Microsoft Purview, lasciarli come utente normale senza assegnazioni di ruolo.
Usare l'accesso just-in-time. Se l'organizzazione dispone di una licenza per Microsoft Entra Privileged Identity Management (PIM), è possibile consentire agli utenti di attivare autorizzazioni elevate solo quando necessario e per un periodo di tempo limitato. Questa configurazione riduce il rischio di avere troppi utenti con accesso permanente di alto livello.
Limitare l'accesso al ruolo amministratore globale. Il ruolo Amministratore globale ha il controllo completo sul tenant di Microsoft Entra. Non usare questo ruolo per le attività quotidiane.
Esaminare regolarmente le assegnazioni di ruolo. Controllare chi ha ruoli assegnati e rimuovere quelli che non sono più necessari. È possibile usare report e avvisi predefiniti per monitorare le modifiche.
Per altre informazioni, vedere Procedure consigliate per i ruoli di Microsoft Entra.
Configurare l'autenticazione a più fattori
L'autenticazione a più fattori (MFA) consente di proteggere l'organizzazione dalle credenziali compromesse e dall'accesso non autorizzato.
Comprendere le impostazioni di sicurezza predefinite. I nuovi tenant di Microsoft Entra hanno impostazioni predefinite per la sicurezza attivate automaticamente. Queste impostazioni richiedono a tutti gli utenti di registrarsi per l'autenticazione a più fattori, richiedere agli amministratori di eseguire l'autenticazione a più fattori ogni accesso e richiedere agli utenti finali di eseguire l'autenticazione a più fattori quando necessario.
Usare l'accesso condizionale per scenari avanzati. Se l'organizzazione necessita di maggiore flessibilità, è possibile creare criteri di accesso condizionale per applicare l'autenticazione a più fattori solo in situazioni specifiche, ad esempio quando gli utenti accedono da posizioni non note. Le impostazioni predefinite per la sicurezza e l'accesso condizionale non possono essere usati contemporaneamente. Per abilitare l'accesso condizionale, è prima necessario disabilitare le impostazioni predefinite per la sicurezza e acquisire una licenza Premium. Vedere Proteggere l'accesso utente con l'autenticazione a più fattori di Microsoft Entra.