Condividi tramite

Criteri consigliati per carichi di lavoro di Microsoft 365 specifici

  • Articolo

Dopo aver configurato i criteri di sicurezza comuni per Zero Trust nell'organizzazione di Microsoft 365, è necessario configurare criteri e impostazioni aggiuntivi per app e carichi di lavoro specifici in base ai tre principi guida di Zero Trust:

  • Verificare esplicitamente
  • Usare privilegi minimi
  • Presunzione di violazione

I criteri e le impostazioni aggiuntivi per app e carichi di lavoro specifici sono descritti in questo articolo.

Suggerimento

Se possibile, testare i criteri in un ambiente non di produzione prima di implementarli agli utenti di produzione. Il test è fondamentale per identificare e comunicare eventuali effetti possibili agli utenti.

Raccomandazioni di Microsoft Copilot per Zero Trust

Per ulteriori informazioni, vedere Usare la sicurezza Zero Trust per prepararsi agli assistenti di intelligenza artificiale, tra cui Microsoft Copilots.

Consigli di Exchange Online per Zero Trust

Questa sezione descrive le impostazioni consigliate per Zero Trust in Exchange Online.

Verificare che l'inoltro automatico della posta elettronica a destinatari esterni sia disabilitato

Per impostazione predefinita, i criteri di posta indesiderata in uscita in Exchange Online Protection (EOP) bloccano l'inoltro automatico della posta elettronica ai destinatari esterni eseguiti dalle regole posta in arrivo o dall'inoltro delle cassette postali (noto anche come inoltro SMTP). Per altre informazioni, vedere Controllare l'inoltro automatico della posta elettronica esterna in Microsoft 365.

In tutti i criteri di posta indesiderata in uscita verificare che il valore dell'impostazione Regole di inoltro automatico sia Automatico - Controllato dal sistema (valore predefinito) o Disattivato - Inoltro è disabilitato. Entrambi i valori bloccano l'inoltro automatico della posta elettronica a destinatari esterni da parte degli utenti interessati. Un criterio predefinito si applica a tutti gli utenti e gli amministratori possono creare criteri personalizzati applicabili a gruppi di utenti specifici. Per altre informazioni, vedere Configurare i criteri di posta indesiderata in uscita in EOP.

Bloccare i client Exchange ActiveSync

Exchange ActiveSync è un protocollo client che sincronizza i dati di posta elettronica e calendario nei dispositivi desktop e mobili. Bloccare l'accesso alla posta elettronica aziendale tramite client ActiveSync non sicuri, come descritto nelle procedure seguenti:

  • Dispositivi mobili: per bloccare l'accesso alla posta elettronica dai tipi di dispositivi mobili seguenti, creare i criteri di accesso condizionale descritti in Richiedi app approvate o criteri di protezione delle app:

    • Client ActiveSync che usano l'autenticazione di base.
    • Client ActiveSync che supportano l'autenticazione moderna, ma non i criteri di protezione delle app di Intune.
    • I dispositivi che supportano i criteri di protezione delle app di Intune, ma non sono definiti in un criterio di protezione delle app. Per altre informazioni, vedere Richiedere un criterio di protezione delle app.

    Suggerimento

    È consigliabile usare Microsoft Outlook per iOS e Android come app per accedere alla posta elettronica aziendale dai dispositivi iOS/iPadOS e Android.

  • PC e altri dispositivi: per bloccare tutti i client ActiveSync che usano l'autenticazione di base, creare i criteri di accesso condizionale descritti in Blocca Exchange ActiveSync in tutti i dispositivi.

Limitare l'accesso agli allegati di posta elettronica in Outlook sul Web e al nuovo Outlook per Windows

È possibile limitare il modo in cui gli utenti nei dispositivi non gestiti possono interagire con gli allegati di posta elettronica in Outlook sul Web (in precedenza noti come Outlook Web App o OWA) e nel nuovo Outlook per Windows:

  • Impedire agli utenti di scaricare allegati di posta elettronica. Possono visualizzare e modificare questi file usando Office Online senza perdere e archiviare i file nel dispositivo.
  • Impedisci agli utenti di visualizzare anche gli allegati.

Le restrizioni vengono applicate tramite i criteri di cassetta postale di Outlook sul Web. Le organizzazioni di Microsoft 365 con cassette postali di Exchange Online dispongono del criterio predefinito integrato di Outlook sul Web, denominato OwaMailboxPolicy-Default. Per impostazione predefinita, questo criterio viene applicato a tutti gli utenti. Gli amministratori possono anche creare criteri personalizzati applicabili a gruppi di utenti specifici.

Ecco i passaggi per limitare l'accesso agli allegati di posta elettronica nei dispositivi non gestiti:

  1. Connettersi a PowerShell di Exchange Online.

  2. Per visualizzare i criteri delle cassette postali disponibili in Outlook sul Web, eseguire il comando seguente:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Utilizzare la sintassi seguente per limitare l'accesso agli allegati di posta elettronica in Outlook sul Web e ai nuovi outlook per Windows nei dispositivi non gestiti:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    Questo esempio consente la visualizzazione ma non il download degli allegati nei criteri predefiniti.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    Questo esempio blocca la visualizzazione degli allegati nei criteri predefiniti.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. Nella pagina Accesso Condizionale | Panoramica nel centro di amministrazione di Microsoft Entra a https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, crea un nuovo criterio di accesso condizionale con le impostazioni seguenti:

    • Sezione Assegnazioni :
      • Users: selezionare gli utenti e i gruppi appropriati da includere ed escludere nelle schede Includi e Escludi.
      • Risorse di destinazione: Selezionare a cosa si applica questa politica>Risorse (precedentemente app cloud)>Inclusi nella scheda>Selezionare le risorse>Selezionare> trovare e selezionare Office 365 Exchange Online.
    • sezione Controlli di accesso: Sessione> seleziona Usa restrizioni applicate dall'app.
    • sezione Abilita criterio: selezionare In.

Configurare la crittografia dei messaggi

Con Microsoft Purview Message Encryption, che usa funzionalità di protezione in Azure Information Protection, l'organizzazione può condividere facilmente la posta elettronica protetta con chiunque su qualsiasi dispositivo. Gli utenti possono inviare e ricevere messaggi protetti con altre organizzazioni che usano Microsoft 365, Outlook.com, Gmail e altri servizi di posta elettronica.

Per altre informazioni, vedere Configurare la crittografia dei messaggi.

Consigli di SharePoint per Zero Trust

Questa sezione descrive le impostazioni consigliate per Zero Trust in SharePoint.

Configurare il controllo di accesso di SharePoint per limitare l'accesso da parte di dispositivi non gestiti

Suggerimento

Le impostazioni in questa sezione richiedono Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Piani e prezzi di Microsoft Entra.

Quando si configura il controllo di accesso per i dispositivi non gestiti in SharePoint, un criterio di accesso condizionale corrispondente per applicare il livello di accesso viene creato automaticamente in Microsoft Entra ID. Questa impostazione a livello di organizzazione si applica a tutti gli utenti, ma influisce solo sull'accesso ai siti inclusi in modo specifico nel controllo di accesso di SharePoint.

In particolare, è necessario includere siti nel controllo di accesso di SharePoint che usano la sicurezzaaziendale o specializzata per Zero Trust, come descritto nei passaggi seguenti:

  1. Configurare Consenti accesso limitato, solo Web o Blocca l'accesso per i dispositivi non gestiti nel controllo di accesso di SharePoint. Questa impostazione si applica a tutti gli utenti, ma non influisce sull'accesso ai siti in cui dispongono già delle autorizzazioni del sito, a meno che il sito non sia incluso nel controllo di accesso di SharePoint (il passaggio successivo).

    Suggerimento

    L'accesso a livello di sito non può essere più permissivo rispetto all'impostazione del controllo di accesso dell'organizzazione. Ad esempio, selezionare Consenti accesso limitato e solo Web per i dispositivi non gestiti nel controllo di accesso a livello di organizzazione in modo da poter usare AllowLimitedAccess o BlockAccess in siti specifici. Se si seleziona Blocca l'accesso per i dispositivi non gestiti nel controllo di accesso a livello di organizzazione, non è possibile usare AllowLimitedAccess in siti specifici (è disponibile solo BlockAccess ).

  2. Connettersi a PowerShell di SharePoint Online e usare il parametro ConditionalAccessPolicy nel cmdlet Set-SPOSite per includere il sito nel controllo di accesso di SharePoint per i dispositivi non gestiti:

    • Siti aziendali: usare il valore AllowLimitedAccess per impedire agli utenti su dispositivi non gestiti di scaricare, stampare o sincronizzare i file.
    • Siti di sicurezza specializzati: usare il valore BlockAccess per bloccare l'accesso da dispositivi non gestiti.

    Per istruzioni, vedere Bloccare o limitare l'accesso a un sito di SharePoint specifico o a OneDrive

Tradizionalmente, i proprietari del sito gestiscono le autorizzazioni del sito di SharePoint in base alla necessità aziendale di accedere al sito. La configurazione del controllo di accesso di SharePoint per i dispositivi non gestiti a livello di organizzazione e sito garantisce una protezione coerente per questi siti in base al livello di protezione Zero Trust.

Si considerino i siti di esempio seguenti nell'organizzazione Contoso. Il controllo di accesso di SharePoint per i dispositivi non gestiti è configurato a livello di accesso limitato e solo Web per l'organizzazione:

  • Il sito del team di Analisi configurato con enterprise protection: il sito è configurato con AllowLimitedAccess per i dispositivi non gestiti nel controllo di accesso di SharePoint. Gli utenti con autorizzazioni al sito ottengono l'accesso solo tramite browser al sito su dispositivi non gestiti. Possono accedere al sito usando altre app nei dispositivi gestiti.
  • Il sito Segreti commerciali è configurato con protezione specializzata per la sicurezza: il sito è configurato con Block per i dispositivi non gestiti nel controllo di accesso di SharePoint. Gli utenti con autorizzazioni del sito non sono autorizzati ad accedere al sito nei dispositivi non gestiti. Possono accedere al sito solo nei dispositivi gestiti.

Consigli di Microsoft Teams per Zero Trust

Questa sezione descrive le impostazioni consigliate per Zero Trust in Microsoft Teams.

Architettura dei servizi interdipendenti di Teams

Il diagramma in Microsoft Teams e i relativi servizi di produttività in Microsoft 365 per architetti IT illustra i servizi usati da Microsoft Teams.

Accesso ospite ed esterno per Teams

Microsoft Teams definisce i tipi di accesso seguenti per gli utenti esterni all'organizzazione:

  • Accesso Guest: utilizza un account Microsoft Entra B2B per ciascun utente che può essere aggiunto come membro di un team. L'accesso guest consente l'accesso alle risorse di Teams e all'interazione con gli utenti interni nelle conversazioni di gruppo, nelle chat e nelle riunioni.

    Per ulteriori informazioni sull'accesso ospite e su come implementarlo, vedere Accesso ospite in Microsoft Teams.

  • Accesso esterno: utenti esterni all'organizzazione che non dispongono di account Microsoft Entra B2B. L'accesso esterno può includere inviti e partecipazione a chiamate, chat e riunioni, ma non include l'appartenenza al team o l'accesso alle risorse del team. L'accesso esterno è un modo per consentire agli utenti di Teams in un dominio esterno di trovare, chiamare, chattare e configurare riunioni in Teams con gli utenti dell'organizzazione.

    Gli amministratori di Teams possono usare criteri personalizzati per configurare l'accesso esterno per l'organizzazione, i gruppi di utenti o i singoli utenti. Per altre informazioni, vedere amministratori IT - Gestire riunioni esterne e chattare con persone e organizzazioni usando identità Microsoft.

Gli utenti con accesso esterno hanno meno accesso e funzionalità rispetto agli utenti con accesso guest. Ad esempio, gli utenti con accesso esterno possono chattare con utenti interni usando Teams, ma non possono accedere a canali, file o altre risorse del team.

I criteri di accesso condizionale si applicano solo agli utenti con accesso guest in Teams perché sono presenti account Microsoft Entra B2B corrispondenti. L'accesso esterno non usa account Microsoft Entra B2B e pertanto non può usare i criteri di accesso condizionale.

Per i criteri consigliati per consentire l'accesso con un account Microsoft Entra B2B, vedere Criteri per consentire l'accesso degli account guest ed esterni B2B.

Raccomandazioni per le app SaaS per Zero Trust

Microsoft Defender for Cloud Apps si basa sui criteri di accesso condizionale di Microsoft Entra per abilitare il monitoraggio e il controllo in tempo reale delle azioni granulari con app SaaS (Software as a Service), ad esempio blocco di download, caricamenti, copia/incolla e stampa. Questa funzionalità aggiunge sicurezza alle sessioni che comportano rischi intrinseci, ad esempio quando si accede alle risorse aziendali da dispositivi non gestiti o da utenti guest.

Per altre informazioni, vedere Integrare app SaaS per Zero Trust con Microsoft 365.