Condividi tramite

DoD Zero Trust Strategy per il pilastro dell'utente

La strategia e la roadmap di DoD Zero Trust delineano un percorso per i componenti del Dipartimento della Difesa e i partner DIB (Defense Industrial Base) per adottare un nuovo framework di cybersecurity basato sui principi Zero Trust. Zero Trust elimina i tradizionali perimetri e presupposti di attendibilità, consentendo un'architettura più efficiente che migliora la sicurezza, le esperienze utente e le prestazioni di missione.

Questa guida contiene raccomandazioni per le 152 attività Zero Trust nella Roadmap di esecuzione delle capacità Zero Trust del DoD. Le sezioni corrispondono ai sette pilastri del modello DoD Zero Trust.

Usare i collegamenti seguenti per passare alle sezioni della guida.

1 Utente

Questa sezione include indicazioni e consigli Microsoft per le attività DoD Zero Trust nel pilastro dell'utente. Per altre informazioni, vedere Protezione dell'identità con Zero Trust.

1.1 Inventario utenti

Microsoft Entra ID è la piattaforma di gestione delle identità necessaria per i servizi cloud Microsoft. Microsoft Entra ID è un provider di identità (IdP) e una piattaforma di governance per supportare identità multicloud e ibride. È possibile usare Microsoft Entra ID per gestire l'accesso a cloud non Microsoft come Amazon Web Services (AWS), Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) e altro ancora. Microsoft Entra ID usa protocolli di identità standard, rendendolo un IdP adatto per software come servizio (SaaS), applicazioni Web moderne, app desktop e per dispositivi mobili, nonché applicazioni locali legacy.

Usare Microsoft Entra ID per verificare gli utenti e le entità nonpersone (NPE), autorizzare continuamente l'accesso alle app e ai dati, gestire le identità e i relativi diritti seguendo i principi dei privilegi minimi ed eseguire l'amministrazione JIT (Just-In-Time).

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.1.1 Utente dell'inventario
Le organizzazioni DoD stabiliscono e aggiornano manualmente un inventario degli utenti, se necessario, preparando un approccio automatizzato nelle fasi successive. Gli account gestiti centralmente da un IdP/ICAM e localmente nei sistemi verranno identificati e inclusi nell'inventario. Gli account con privilegi verranno identificati per il controllo futuro e gli account utente standard e con privilegi locali per le applicazioni e i sistemi verranno identificati per la migrazione futura e/o la rimozione delle autorizzazioni.

Risultati:
- Utenti regolari
gestiti identificati- Utenti con privilegi
gestiti identificati- Applicazioni identificate usando la gestione dei propri account utente per account non amministrativi e amministrativi		 Microsoft Entra ID
Identificare gli utenti regolari e con privilegi nell'organizzazione usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph. L'attività utente viene acquisita nei log di accesso e controllo di Microsoft Entra ID, che possono essere integrati con sistemi SIEM (Security Information Event Monitoring) come Microsoft Sentinel.Adottare Microsoft Entra IDMicrosoft Graph: Elencare gli utenti MicrosoftIntegrazione del registro attività di EntraMicrosoft Entra e i ruoli di AzureGli utenti con privilegi sono identità assegnate ai ruoli ID Microsoft Entra, ai ruoli di Azure o ai gruppi di sicurezza Microsoft Entra ID che concedono l'accesso con privilegi a Microsoft 365 o ad altre applicazioni. È consigliabile usare utenti solo cloud per l'accesso con privilegi.Ruoli predefinitiUsa Microsoft Defender per le app cloud per individuare le app non approvate usando il proprio archivio identità.Scopri e gestisci l'IT ombra.Distribuire e configurare i sensori di Microsoft Defender per Identità per creare un inventario degli asset di identità per ambienti locali di Active Directory Domain Services.Panoramica di Microsoft Defender per Identità.Distribuire Microsoft Defender per Identità.Indagare sugli asset.

1.2 Accesso utente condizionale

Microsoft Entra ID consente all'organizzazione di implementare l'accesso utente condizionale e dinamico. Le funzionalità che supportano questa funzionalità includono l'accesso condizionale Microsoft Entra, la governance degli ID di Microsoft Entra, i ruoli personalizzati, i gruppi di sicurezza dinamici, i ruoli dell'app e gli attributi di sicurezza personalizzati.

L'Accesso Condizionale è il motore in tempo reale dei criteri Zero Trust in Microsoft Entra ID. I criteri di accesso condizionale usano segnali di sicurezza provenienti da utente, dispositivo, applicazione, sessione, rischio e altro ancora per applicare l'autorizzazione dinamica adattiva per le risorse protette da Microsoft Entra ID.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.2.1 Implementare le autorizzazioni basate su app per ogni organizzazione
L'azienda DoD che collabora con le organizzazioni stabilisce un set di base di attributi utente per l'autenticazione e l'autorizzazione. Questi sono integrati con il processo di attività "Enterprise Identity Life Cycle Management Pt1" per uno standard aziendale completo. La soluzione Enterprise Identity, Credential e Access Management (ICAM) è abilitata per la funzionalità self-service per l'aggiunta/aggiornamento di attributi all'interno della soluzione. Le attività di Privileged Access Management (PAM) rimanenti vengono migrate completamente alla soluzione PAM.

Risultati:
i ruoli o gli attributi aziendali necessari per l'autorizzazione dell'utente per le funzioni dell'applicazione e/o i dati sono stati registrati con ICAM aziendale- DoD Enterprise ICAM
dispone di un servizio di registrazione di attributi/ruoli self-service che consente ai proprietari dell'applicazione di aggiungere attributi o usare attributi
aziendali esistenti: le attività con privilegi vengono migrate completamente a PAM		 Microsoft Entra Connect Stabilireun'identità ibrida con Microsoft Entra Connect per popolare i tenant di Microsoft Entra ID con i dati degli attributi utente dei sistemi directory correnti.

- Progettare modelli di autorizzazione e autorizzazioni dell'applicazione usando i gruppi di sicurezza e i ruoli dell'app. Per delegare la gestione delle app, assegnare i proprietari per gestire la configurazione delle app, nonché registrarle e assegnare i ruoli dell'app.
- Integrare le app con Microsoft Entra ID
- Gruppi di sicurezza dinamici
- Ruoli app per le applicazioni

Microsoft Entra ID Governance
Configurare i pacchetti di accesso nella gestione delle autorizzazioni in modo che gli utenti possano richiedere l'accesso ai ruoli o ai gruppi dell'applicazione.
- Governare l'accesso alle app
- Delegare la gestione dei pacchetti di accesso

Accesso Condizionale
Configurare i criteri di Accesso Condizionale per l'autorizzazione dinamica alle applicazioni e ai servizi protetti da Microsoft Entra ID. Nei criteri di accesso condizionale, usare attributi di sicurezza personalizzati e filtri per le applicazioni per definire l'ambito dell'autorizzazione degli attributi di sicurezza assegnati agli oggetti dell'applicazione, ad esempio la riservatezza.Attributi di sicurezza personalizzatiFiltri per le appPrivileged Identity ManagementUsare l'individuazione e l'analisi di PIM per identificare i ruoli e i gruppi con privilegi. Usare PIM per gestire i privilegi individuati e convertire le assegnazioni utente da permanente a idonee.
- Individuazione e approfondimenti di PIM
Target 1.2.2 Regola basata su accesso dinamico Pt1
Le organizzazioni DoD usano le regole dell'attività "Autenticazione periodica" per creare regole di base abilitando e disabilitando i privilegi in modo dinamico. Gli account utente ad alto rischio usano la soluzione PAM per passare all'accesso con privilegi dinamici usando l'accesso JUST-In-Time e i metodi Just Enough-Administration.

Risultati:
l'accesso alle funzioni e/o ai dati del servizio dell'applicazione è limitato agli utenti con attributi
aziendali appropriati: tutte le applicazioni possibili usano autorizzazioni JIT/JEA per gli utenti amministratori		 Microsoft Entra ID
Utilizzare le funzionalità di autorizzazione e governance di Microsoft Entra ID per limitare l'accesso alle applicazioni in base agli attributi dell'utente, alle assegnazioni di ruolo, al rischio e ai dettagli della sessione.

Vedere le linee guida di Microsoft nella versione 1.2.1.

Privileged Identity Management
Usare PIM per i ruoli di Microsoft Entra e Azure. Estendere PIM ad altre applicazioni Microsoft Entra ID con PIM per i gruppi.
- PIM per i ruoli di Microsoft Entra
- PIM per i ruoli di Azure
- PIM per i gruppi
Advanced 1.2.3 Accesso dinamico basato su regole Pt2
Le organizzazioni DoD espandono lo sviluppo di regole per il processo decisionale di accesso dinamico, tenendo conto dei rischi. Le soluzioni usate per l'accesso dinamico sono integrate con funzionalità di Machine Learning e intelligenza artificiale tra i pilastri che consentono la gestione automatica delle regole.

Risultati:
i componenti e i servizi usano completamente le regole per abilitare l'accesso dinamico alle applicazioni e ai servizi
- La tecnologia usata per l'accesso dinamico basato su regole supporta l'integrazione con gli strumenti di intelligenza artificiale/Machine Learning		 Microsoft Entra ID Protection
Microsoft Entra ID Protection usa algoritmi di Machine Learning (ML) per rilevare gli utenti e i rischi di accesso. Usare le condizioni di rischio nei criteri di accesso condizionale per l'accesso dinamico, in base al livello di rischio.
- Microsoft Entra ID Protection
- Risk detections
- Risk-based access policies

Microsoft Defender XDR Microsoft Defender XDR
è una soluzione di rilevamento e risposta estesa (XDR). Distribuire Microsoft Defender for Endpoint e Microsoft Defender for Cloud Apps e configurare le integrazioni.
- Integrare Defender for Endpoint con Defender for Cloud Apps
Advanced 1.2.4 Ruoli e autorizzazioni di governance aziendale Pt1
Le organizzazioni DoD federano, se appropriato, gli attributi rimanenti di utenti e gruppi alla soluzione di gestione delle identità, delle credenziali e dell'accesso enterprise (ICAM). Il set di attributi aggiornato viene usato per creare ruoli universali da usare per le organizzazioni. Le funzioni di base del Identity Provider (IdP) e delle soluzioni di Identity, Credential e Access Management (ICAM) vengono migrate ai servizi cloud e/o ad ambienti che consentono di migliorare la resilienza e le prestazioni.

Risultati:
- Repository dei dati di attributi e ruoli dei componenti federato con l'ICAM aziendale
- Il provider di identità aziendale basato su cloud può essere utilizzato dalle applicazioni cloud e locali
- Un set standardizzato di ruoli e autorizzazioni viene creato e allineato agli attributi		 Microsoft Entra ID
Microsoft Entra ID è una piattaforma multicloud di gestione centralizzata delle identità, delle credenziali e degli accessi (ICAM) e un provider di identità (IdP). Stabilire un'identità ibrida con Microsoft Entra Connect per popolare i dati utente nella directory. ID Microsoft Entra Identità ibrida Applicazioni Microsoft Entra Integra le applicazioni con ID Microsoft Entra e utilizza gruppi di sicurezza dinamici, ruoli delle applicazioni, e attributi di sicurezza personalizzati per gestire l'accesso alle applicazioni. Gestisci le app Regola l'accesso alle app Proxy applicativo Microsoft Entra Per usare l'ID Microsoft Entra per le app che usano protocolli di autenticazione legacy, distribuisci e configura il proxy dell'applicazione oppure integra soluzioni partner SHA (Secure Hybrid Access). SHA: Proteggi le app legacy
Advanced 1.2.5 Ruoli e autorizzazioni di governance aziendale Pt2
Le organizzazioni DoD spostano tutte le possibili funzioni delle soluzioni Identity Provider (IdP) e Identity, Credential and Access Management (ICAM) in ambienti cloud. Le capacità locali degli ambienti enclave/DDIL supportano le funzioni disconnesse ma, alla fine, sono gestite dalle soluzioni centralizzate di Gestione dell'Identità, delle Credenziali e Accessi (ICAM). I ruoli aggiornati vengono ora imposti per l'utilizzo e le eccezioni vengono esaminati seguendo un approccio basato sul rischio.

Risultati:
- La maggior parte dei componenti utilizza la funzionalità IdP cloud. Dove possibile, il provider di identità on-prem viene dismesso
. - Autorizzazioni e ruoli sono obbligatori per l'uso durante la valutazione degli attributi		 Applicazioni Microsoft EntraEseguire la migrazione di applicazioni moderne da Active Directory Federation Services (AD FS) a Microsoft Entra ID e quindi rimuovere l'infrastruttura AD FS.

- Eseguire la migrazione dell'autenticazione dell'app da AD FS a Microsoft Entra ID
Spostare i processi residui di provisioning ICAM e delle applicazioni dai sistemi di gestione delle identità locali a Microsoft Entra ID.


- Provisioning delle app in ingresso basato su API
-

1.3 Autenticazione a più fattori

Microsoft Entra ID supporta l'autenticazione basata su certificati (CBA), incluse le schede di accesso comuni DoD (CAC) e la verifica dell'identità personale (PIV) senza federazione con un altro IdP, per gli utenti cloud e ibridi (sincronizzati). Microsoft Entra ID supporta più metodi di autenticazione multifattoriale senza password resistenti al phishing standard del settore, tra cui CBA, Windows Hello for Business, chiavi di sicurezza FIDO2 e passkey.

È possibile creare criteri di accesso condizionale per applicare la forza di autenticazione e autorizzare dinamicamente l'accesso in base a condizioni utente, dispositivo e ambiente, incluso il livello di rischio.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.3.1 MFA/IDP dell'organizzazione
Le organizzazioni DoD acquistano e implementano una soluzione centralizzata di Identity Provider (IdP) e una soluzione di autenticazione multifattore (MFA). La soluzione IdP e MFA può essere combinata in una singola applicazione o separata in base alle esigenze presupponendo che l'integrazione automatizzata sia supportata da entrambe le soluzioni. Sia IdP che MFA supportano l'integrazione con la funzionalità PKI aziendale e consentono la firma delle coppie di chiavi dalle autorità di certificazione radice attendibili. Le applicazioni e i servizi mission-critical usano la soluzione IdP e MFA per la gestione di utenti e gruppi.

Risultati: -
Il componente usa IdP con MFA per applicazioni/servizi
critici: i componenti hanno implementato un provider di identità (IdP) che abilita l'autenticazione a più fattori PKI DoD - Infrastruttura a chiave pubblica (PKI) dell'organizzazione
standardizzata per i servizi critici		 I metodi di autenticazione di Microsoft Entra
Configura il CBA di Microsoft Entra usando il DoD PKI. Impostare il livello di protezione globale su Autenticazione a singolo fattore. Creare regole per ciascun CA emittente DoD o OID dei criteri per identificare l'infrastruttura a chiave pubblica DoD come livello di protezione per l'autenticazione a più fattori. Dopo la configurazione, gli utenti eseguono l'accesso a Microsoft Entra con una CAC del DoD.
- Autenticazione in Microsoft Entra ID
- Microsoft Entra CBA
- Configura CBA

Implementazione a fasi
Usare un'implementazione a fasi per migrare l'autenticazione degli utenti da un servizio di federazione locale a Microsoft Entra CBA.

Vedere le linee guida di Microsoft nel 1.2.4.

Livello di autenticazione di Microsoft Entra
Creare un nuovo livello di autenticazione chiamato DoD CAC. Scegliere l'autenticazione basata su certificato (multifattore). Configurare le opzioni avanzate e selezionare le autorità di certificazione per la PKI DoD.
- Livello di autenticazione
- Livelli di autenticazione personalizzati

Microsoft Intune
Microsoft Entra supporta due metodi per utilizzare i certificati su un dispositivo mobile: credenziali derivate (certificati sul dispositivo) e chiavi di sicurezza hardware. Per usare le credenziali derivate dall'infrastruttura a chiave pubblica doD nei dispositivi mobili gestiti, usare Intune per distribuire DISA Purebred.
- Credenziali derivate
- CBA nei dispositivi iOS
- CBA nei dispositivi Android
Advanced 1.3.2 MFA flessibile alternativa Pt1
Il provider di identità (IdP) dell'organizzazione DoD supporta metodi alternativi di autenticazione a più fattori conformi ai requisiti di sicurezza informatica (ad esempio, FIPS 140-2, FIPS 197 e così via). I token alternativi possono essere usati per l'autenticazione basata su applicazioni. Le opzioni a più fattori supportano la funzionalità biometrica e possono essere gestite usando un approccio self-service. Se possibile, i provider a più fattori verranno spostati nei servizi cloud invece di essere ospitati in locale.

Risultati:
IdP fornisce token alternativo self-service per l'utente
- IdP fornisce token alternativo per l'autenticazione a più fattori per le applicazioni approvate per politica		 Metodi di autenticazione di Microsoft Entra Configurare i metodi
di autenticazione di Microsoft Entra per consentire agli utenti di registrare passkey (chiavi di sicurezza FIDO2). Usare le impostazioni facoltative per configurare criteri di restrizione della chiave per le chiavi conformi a FIPS 140-2.
- Accesso tramite chiave di sicurezza senza password
- Metodi di autenticazione

Pass di accesso temporaneo
Configura un pass di accesso temporaneo (TAP) per consentire agli utenti di registrare autenticatori alternativi senza password, senza CAC.
- Configurare l'accesso condizionale TAP

Creare un criterio di accesso condizionale per richiedere il livello di attendibilità dell'autenticazione: DoD CAC per la registrazione delle informazioni di sicurezza.
La politica richiede che il Controllo di Accesso Condizionale registri altri autenticatori, come ad esempio le chiavi di sicurezza FIDO2.
- Registrazione delle informazioni

di sicurezza Vedere le linee guida Microsoft nella versione 1.3.1.

Windows Hello for Business
Usa Windows Hello for Business con un PIN o un movimento biometrico per l'accesso a Windows. Usare i criteri di gestione dei dispositivi per la registrazione di Windows Hello for Business per i dispositivi Windows forniti dall'azienda.
- Windows Hello for Business

(Configurare Windows Hello for Business)
1.3.3 Alternativa Flessibile MFA Pt2I token alternativi utilizzano modelli di attività degli utenti da attività trasversali, come "User Activity Monitoring (UAM) e User & Entity Behavior Analytics (UEBA)", per assistere nella decisione relativa all'accesso (ad esempio, non concedere l'accesso quando si verifica una deviazione del modello). Questa funzionalità viene ulteriormente estesa anche ai token alternativi abilitati per la biometria.

Risultato:
- Modelli di attività utente implementati		 Microsoft Entra ID Protection
Microsoft Entra ID Protection usa Machine Learning (ML) e intelligence sulle minacce per rilevare gli utenti rischiosi e gli eventi di accesso. Usare le condizioni di accesso e di rischio utente per definire i criteri di accesso condizionale ai livelli di rischio. Iniziare con la protezione di base che richiede l'autenticazione a più fattori per gli accessi a rischio.
- Microsoft Entra ID Protection
- Implementare Identity Protection

Accesso condizionale
Creare un set di criteri di accesso condizionale basati sul rischio che utilizzano controlli di concessione e di sessione per richiedere una protezione più rigorosa man mano che il rischio aumenta.
- Configurare e abilitare i criteri di rischio
- Accesso condizionale: sessione
- Accesso condizionale: concessione

Esempi di criteri di accesso condizionale basati sul rischio:

Rischio di accesso medio
- Richiedi livello di autenticazione: MFA resistente al phishing
- Richiedi dispositivo conforme
- Frequenza di accesso: 1 ora

Rischio elevato di accesso
- Richiedi livello di autenticazione: MFA resistente al phishing
- Richiedi dispositivo conforme
- Frequenza di accesso: ogni volta

Rischio utente elevato
- Richiedi livello di autenticazione: MFA resistente al phishing
- Richiedi dispositivo conforme
- Frequenza di accesso: ogni volta

Microsoft Sentinel
Configura una regola di analisi di Sentinel e un playbook per creare un incidente per gli avvisi di Entra ID Protection quando il rischio utente è elevato.
- Connettore Microsoft Entra ID Protection per Sentinel
- User:revokeSignInSessions

1.4 Gestione degli accessi con privilegi

Microsoft Entra ID Governance abilita le funzionalità PAM, tra cui l'amministrazione JIT (Just-In-Time), la gestione entitlement e le verifiche di accesso periodiche. Microsoft Entra Privileged Identity Management (PIM) consente di scoprire come vengono assegnati i ruoli nell'organizzazione. Usare PIM per convertire le assegnazioni di ruolo permanenti JIT, personalizzare i requisiti di assegnazione di ruolo e attivazione, pianificare anche le verifiche di accesso.

L'accesso condizionale applica il livello di robustezza dell'autenticazione, il livello di rischio e un dispositivo PAW (Privileged Access Workstation) conforme per garantire l'accesso privilegiato. Le azioni amministrative in Microsoft Entra ID vengono registrate nei log di controllo di Microsoft Entra.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.4.1 Implementare il sistema ed eseguire la migrazione di utenti con privilegi Pt1
Le organizzazioni DoD ottengono e implementano una soluzione PAM (Privileged Access Management) per supportare tutti i casi d'uso con privilegi critici. I punti di integrazione dell'applicazione/servizio vengono identificati per determinare lo stato del supporto per la soluzione PAM. Le applicazioni e i servizi che si integrano facilmente con la soluzione PAM vengono passati all'uso di soluzioni rispetto alle autorizzazioni con privilegi statici e diretti.

Risultati:
- Vengono implementati gli strumenti di gestione degli accessi con privilegi (PAM)
- Applicazioni e dispositivi che supportano e non supportano gli strumenti PAM identificati
- Applicazioni che supportano PAM, ora usano PAM per controllare gli account predefiniti/di emergenza		 Gestione delle Identità Privilegiate
Distribuire PIM per proteggere i ruoli di Microsoft Entra ID e Azure. Usare l'individuazione e le informazioni dettagliate di PIM per identificare i ruoli e i gruppi con privilegi. Usare PIM per gestire i privilegi individuati e convertire le assegnazioni utente da permanente a eleggibile.
- Panoramica di PIM
- Scoperta e approfondimenti per i ruoli
- Risorse di Azure

Microsoft Intune
Distribuire PAW gestito da Intune per l'amministrazione di Microsoft Entra, Microsoft 365 e Azure.
- Strategia di accesso con privilegi

Accesso condizionale
Usare i criteri di accesso condizionale per richiedere dispositivi conformi. Per applicare PAW, usare i filtri dei dispositivi nel controllo delle concessioni di dispositivi conformi all'accesso condizionale.
- Filtri per i dispositivi
Target 1.4.2 Implementare sistema ed eseguire la migrazione di utenti con privilegi Pt2
Le organizzazioni DoD usano l'inventario delle applicazioni/servizi supportate e non supportate per l'integrazione con la soluzione PAM (Privileged Access Management) per estendere le integrazioni. PAM è integrato con le applicazioni/servizi più complesse per ottimizzare la copertura della soluzione PAM. Le eccezioni vengono gestite seguendo un approccio metodico basato sul rischio con l'obiettivo di migrare e/o dismettere applicazioni/servizi che non supportano soluzioni PAM.

Risultato:
- Le attività con privilegi vengono migrate a PAM e l'accesso è completamente gestito		 Privileged Identity Management
Usare i gruppi di accesso con privilegi e PIM per i gruppi per estendere l'accesso JIT (Just-In-Time) oltre l'ID Microsoft Entra e Azure. Usa i gruppi di sicurezza in Microsoft 365, Microsoft Defender XDR o quelli mappati su attestazioni di ruoli privilegiati, per le applicazioni non Microsoft integrate con Microsoft Entra ID.
- Gruppi assegnabili a ruoli
- Inserire gruppi in PIM
- Assegnazioni di utenti e gruppi a un'app

Accesso Condizionale
Usare azioni protette per aggiungere un altro livello di protezione quando gli amministratori eseguono azioni che richiedono autorizzazioni con privilegi elevati in Microsoft Entra ID. Ad esempio, gestire i criteri di accesso condizionale e le impostazioni di accesso tra tenant.
- Azioni protette

Creare un criterio di accesso condizionale per gli utenti con ruolo attivo di Microsoft Entra. Richiedi livello di autenticazione: MFA resistente al phishing e dispositivo conforme. Utilizzare i filtri dei dispositivi per richiedere workstation con accesso privilegiato (PAW) conformi.
- Richiedere l'autenticazione a più fattori per gli amministratori
- Filtrare per dispositivi
Advanced 1.4.3 Approvazioni in tempo reale & JIT/JEA Analytics Pt1
L'identificazione degli attributi necessari (utenti, gruppi e così via) è automatizzata e integrata nella soluzione Privileged Access Management (PAM). Le richieste di accesso con privilegi vengono migrate alla soluzione PAM per approvazioni e negazioni automatizzate.

Risultati:
- Account identificati, applicazioni, dispositivi e dati di preoccupazione (di maggiore rischio per la missione DoD)
- Uso degli strumenti PAM, applicazione dell'accesso JIT/JEA agli account ad alto rischio
- Le richieste di accesso con privilegi sono automatizzate in base alle esigenze		 Privileged Identity Mangement
Identificare i ruoli ad alto rischio nell'ambiente, ad esempio ruoli di Microsoft Entra, ruoli di Azure come Proprietario e Amministratore accesso utenti, anche gruppi di sicurezza con privilegi.
- Procedure consigliate per i ruoli
- Ruoli con privilegi

Configurare le impostazioni del ruolo PIM per richiedere l'approvazione.
- Impostazioni del ruolo delle risorse di Azure
- Impostazioni del ruolo Microsoft Entra
- Impostazioni di PIM per i gruppi

Microsoft Entra ID Governance
Usare i pacchetti di accesso per gestire i gruppi di sicurezza per l'idoneità ai ruoli. Questo meccanismo gestisce gli amministratori idonei; aggiunge richieste self-service, approvazioni e verifiche di accesso per l'idoneità ai ruoli.
- Gestione dei diritti

Creare gruppi assegnabili a ruoli per i ruoli con privilegi per configurare le richieste di idoneità e le approvazioni. Creare un catalogo denominato Privileged Role Eligible Admins. Aggiungere gruppi assegnabili a ruoli come risorse.
- Gruppi assegnabili a ruoli
- Creare e gestire cataloghi di risorse

Creare pacchetti di accesso per i gruppi assegnabili a ruoli nel catalogo di amministratori idonei per il ruolo con privilegi. È possibile richiedere l'approvazione quando gli utenti richiedono l'idoneità nella gestione delle concessioni, richiedere l'approvazione all'attivazione in PIM, o di entrambi.
- pacchetti di accesso
Advanced 1.4.4 Approvazioni in tempo reale & JIT/JEA Analytics Pt2
Le organizzazioni DoD integrano soluzioni USER & Entity Behavior Analytics (UEBA) e User Activity Monitoring (UAM) con la soluzione Privileged Access Management (PAM) che fornisce analisi dei modelli utente per il processo decisionale.

Risultato:
- UEBA o un sistema di analisi simile integrato con gli strumenti PAM per le approvazioni dell'account JIT/JEA		 Accesso condizionale
Definire un contesto di autenticazione per l'accesso con privilegi. Creare uno o più criteri di accesso condizionale destinati al contesto di autenticazione con accesso con privilegi. Usare le condizioni di rischio nei criteri e applicare controlli di concessione e di sessione per l'accesso con privilegi. È consigliabile richiedere la forza di autenticazione: MFA resistente al phishing, workstation con accesso con privilegi conforme.
- Configurare il contesto di autenticazione

Vedere Le linee guida di Microsoft nella versione 1.4.1.

Per bloccare l'accesso con privilegi quando il rischio di accesso è elevato, creare ulteriori criteri di accesso condizionale che prendono di mira il contesto di autenticazione per l'accesso con privilegi con una condizione per un alto rischio di accesso. Ripetere questo passaggio con un criterio di elevato rischio utente.
- Distribuzione dei criteri

Gestione delle Identità Privilegiate
Configurare le impostazioni del ruolo PIM per richiedere il contesto di autenticazione. Questa impostazione applica i criteri di accesso condizionale per il contesto di autenticazione scelto all'attivazione del ruolo.
- Richiedi contesto di autenticazione

1.5 Federazione delle identità e credenziali utente

Microsoft Entra ID svolge un ruolo chiave nella gestione del ciclo di vita delle identità (ILM). Un tenant di Microsoft Entra è un servizio di directory su cloud hyperscale, una soluzione di gestione delle identità, delle credenziali e degli accessi (ICAM), e un provider di identità (IdP). Supporta il provisioning tra directory e il provisioning di app per gestire il ciclo di vita degli utenti interni in Microsoft Entra ID e altre app.

Le funzionalità di Microsoft Entra ID Governance consentono di gestire il ciclo di vita dell'accesso per autorizzazioni come applicazioni, Microsoft Teams e appartenenza a gruppi di sicurezza. La gestione dei diritti può essere usata anche per accedere e gestire ospiti esterni. È possibile bloccare l'accesso e rimuovere gli oggetti utente guest quando viene rimosso l'ultimo pacchetto di accesso. Per comprendere in che modo l'organizzazione può eseguire la migrazione delle funzioni ILM a Microsoft Entra ID, vedere Road to the cloud .To understand how your organization can migrate ILM functions to Microsoft Entra ID, see Road to the cloud.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.5.1 Gestione del ciclo di vita dell'identità dell'organizzazione
Le organizzazioni DoD stabiliscono un processo per la gestione del ciclo di vita degli utenti con privilegi e standard. Utilizzando il provider di identità dell'organizzazione (IdP), il processo viene implementato e seguito dal numero massimo di utenti. Tutti gli utenti che non rientrano nel processo standard vengono trattati tramite eccezioni basate sui rischi e sono regolarmente valutati per il decommissioning.

Risultato:
- Processo del ciclo di vita delle identità standardizzato		 Microsoft Entra IDStandardizzare il ciclo di vita dell'account per le identità, inclusi utenti, amministratori, utenti esterni e identità dell'applicazione (Principali di Servizio).Gestione del ciclo di vita delle identità
- Operazioni di gestione delle identità e degli accessi

Microsoft Entra ID Governance
Stabilire verifiche di accesso regolari per utenti e applicazioni con privilegi in un tenant.
-
Target 1.5.2 Enterprise Identity Life Cycle Management Pt1
DoD Enterprise collabora con le organizzazioni per esaminare e allineare i processi, i criteri e gli standard esistenti del ciclo di vita delle identità. Sono sviluppati e seguiti dalle organizzazioni DoD una politica finalizzata e concordata e un processo di supporto. Usando le soluzioni IdP (Centraled Identity Provider) e Identity & Access Management (IdAM) centralizzate o federate, le organizzazioni DoD implementano il processo di gestione del ciclo di vita aziendale per il numero massimo di identità, gruppi e autorizzazioni. Le eccezioni ai criteri vengono gestite in un approccio metodico basato sul rischio.

Risultati:
processi automatizzati del ciclo di vita delle identità
- Integrato con processi e strumenti ICAM aziendali		 Microsoft Entra ID
Se la vostra organizzazione utilizza Active Directory, sincronizzate gli utenti con Microsoft Entra ID tramite Microsoft Entra Connect Sync o Microsoft Entra Connect Cloud Sync. Nota: Non sincronizzate gli account privilegiati di Active Directory né assegnate ruoli cloud privilegiati agli account sincronizzati.
- Connect Sync
- Cloud Sync
- Proteggete Microsoft 365 da attacchi provenienti dagli ambienti locali
- Riducete la superficie di attacco

Gestione delle Identità Privilegiate
Gestire l'accesso amministrativo con PIM. Stabilire una cadenza di revisione dell'accesso per i ruoli con privilegi di Microsoft Entra e Azure.
- Account con privilegi

Metodi di autenticazione di Microsoft Entra
utilizzano metodi MFA resistenti al phishing basati sul cloud. Configurare l'autenticazione basata su certificati (CBA) di Microsoft Entra con le schede di accesso comuni DoD per registrare altre credenziali senza password.

Vedere Le linee guida di Microsoft nella versione 1.3.2.
Advanced 1.5.3 Enterprise Identity Life Cycle Management Pt2
Le organizzazioni DoD integrano ulteriormente le funzioni di automazione critiche delle soluzioni Identity Provider (IdP) e Identity, Credential and Access Management (ICAM) che seguono il processo di gestione del ciclo di vita aziendale per abilitare l'automazione e l'analisi aziendali. I processi primari di Identity Lifecycle Management sono integrati nella soluzione ICAM aziendale basata sul cloud.

Risultati:
- Integrazione con funzioni IDM/IDP
critiche- Le funzioni ILM primarie sono basate sul cloud		 Microsoft Entra ID Governance
Usare la gestione delle autorizzazioni e le revisioni degli accessi per gestire il ciclo di vita degli accessi degli utenti dell'organizzazione e il ciclo di vita delle identità degli ospiti esterni.
- Gestione delle autorizzazioni
- Governance dell'accesso degli utenti esterni

Identità gestite
Usa identità gestite per le risorse di Azure e la federazione degli ID dei carichi di lavoro per ridurre il rischio legato alla gestione delle credenziali delle applicazioni.
- Identità gestite
- Federazione dell'identità del carico di lavoro

Politica di gestione delle applicazioni
Configura le politiche di gestione delle applicazioni per controllare i tipi di credenziali aggiunti alle applicazioni nel tenant. Usare la restrizione aggiuntaPassword per richiedere le credenziali del certificato per le applicazioni.
- Credenziali del certificato di autenticazione delle app
- Metodi API delle app
Advanced 1.5.4 Enterprise Identity Life Cycle Management Pt3
Le organizzazioni DoD integrano i processi di Gestione del ciclo di vita delle identità rimanenti con la soluzione Enterprise Identity, Credential e Access Management. Gli ambienti enclave/DDIL, pur essendo ancora autorizzati a operare, si integrano con Enterprise ICAM utilizzando connettori locali per l'ambiente cloud.

Risultati:
tutte le funzioni ILM spostate nel cloud in base alle esigenze
- Integrazione con tutte le funzioni IDM/IDP

 Provisioning delle App di Microsoft Entra
Usare il provisioning delle app Microsoft Entra per sincronizzare le identità con applicazioni SCIM, SQL, LDAP, PowerShell e servizi Web. Utilizzare l'app basata su API per effettuare il provisioning degli utenti in istanze di Active Directory diverse.
- Effettuare il provisioning delle app
- Provisioning delle app in sede
- Configurare l'app di provisioning basata su API

1.6 Comportamento, ID contestuale e biometria

Microsoft Entra ID Protection consente di rilevare, correggere e prevenire le minacce alle identità usando Machine Learning (ML) e intelligence sulle minacce. Questa funzionalità rileva i rischi in tempo reale durante l'accesso degli utenti e i rischi offline calcolati nel tempo. I rischi includono anomalie dei token, proprietà di accesso insolite, spostamento impossibile, comportamento sospetto dell'utente e altro ancora.

Identity Protection è integrato con Microsoft Defender XDR per mostrare i rischi di identità rilevati da altri componenti della famiglia di prodotti Microsoft Defender.

Per altre informazioni, vedere Che cosa sono i rilevamenti dei rischi?

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.6.1 Implementare User & Entity Behavior Analytics
(UEBA) e User Activity Monitoring (UAM). Le organizzazioni DoD ottengono e implementano soluzioni di User & Entity Behavior Analytics (UEBA) e di User Activity Monitoring (UAM). Il punto di integrazione iniziale con Enterprise IdP viene completato abilitando l'utilizzo futuro nel processo decisionale.

Risultato:
la funzionalità UEBA e UAM è implementata per enterprise IDP		 Microsoft Entra ID Protection
Distribuisci Microsoft Entra ID Protection per ottenere analisi dei rischi sia in tempo reale che offline per gli utenti e gli eventi di accesso. Estendere i rilevamenti dei rischi di identità alle identità dell'applicazione (entità servizio) usando ID dei carichi di lavoro di Microsoft Entra, Workload Identities Premium Edition.
- Proteggere le identità dei carichi di lavoro
- Politica basata sui rischi per le identità dei carichi di lavoro

Consultare le linee guida di Microsoft nella sezione 1.3.3.

Microsoft Defender per le app di Cloud
Distribuire Defender per le app di Cloud e configurare le integrazioni con Microsoft Defender per endpoint e soluzioni esterne. Configurare i criteri di rilevamento anomalie in Defender per le app cloud.
- Integrare Defender per endpoint con Defender per le app cloud
- Integrazioni con soluzioni esterne
- Rilevare attività sospette degli utenti con UEBA

Microsoft Defender per endpoint
Aggiungere gli endpoint a Defender per endpoint. Configurare le integrazioni tra Defender Per Endpoint e Microsoft Intune.
- Defender Per Endpoint e altre soluzioni

Microsoft Intune
Configura le integrazioni con Defender Per Endpoint e usa il suo punteggio di rischio della macchina nei criteri di conformità del dispositivo.
- Regole di Defender Per Endpoint

Accesso Condizionale
Creare criteri di Accesso Condizionale per richiedere dispositivi conformi. Prima di concedere l'accesso, il controllo richiede un dispositivo contrassegnato come conforme in Microsoft Intune. L'integrazione tra Defender per Endpoint e Intune offre un quadro generale dell'integrità e del livello di rischio dei dispositivi in base allo stato di conformità.
- Criteri di conformità per impostare le regole per i dispositivi gestiti con Intune
Collegare le origini dati a Sentinel e abilitare UEBA per i log di controllo, i log di accesso, le attività di Azure e gli eventi di sicurezza.


- Abilitare UEBA
- Minacce avanzate con UEBA.
Advanced 1.6.2 Monitoraggio attività utente Pt1
Le organizzazioni DoD integrano soluzioni UEBA (User & Entity Behavior Analytics) e User Activity Monitoring (UAM) con i provider di identità dell'organizzazione (IdP) per una visibilità estesa in base alle esigenze. Analisi e dati generati da UEBA e UAM per applicazioni e servizi critici sono integrati con la soluzione Just-in-Time e Just-Enough-Access migliorando ulteriormente il processo decisionale.

Risultati:
- UEBA è integrato con gli IDP dell'organizzazione in base alle esigenze
: UEBA è integrato con JIT/JEA per i servizi critici		 Privileged Identity Management
Distribuire PIM ed eseguire l'onboarding dei ruoli con privilegi. Definire il contesto di autenticazione per l'accesso con privilegi. Usare le condizioni di rischio nel contesto di autenticazione e configurare le impostazioni del ruolo PIM per richiedere il contesto di autenticazione all'attivazione.

Vedere le linee guida di Microsoft in 1.4.4.

Microsoft SentinelConnettere le origini dati a Sentinel e abilitare UEBA per i log di controllo, i log di accesso, le attività di Azure e gli eventi di sicurezza.

- Abilitare UEBA per le minacce avanzate
- Monitorare e controllare le sessioni alle applicazioni cloud con Defender per le app cloud.
Advanced 1.6.3 Monitoraggio attività utente Pt2
Le organizzazioni DoD continuano l'utilizzo dell'analisi dalle soluzioni UEBA (User & Entity Behavior Analytics) e User Activity Monitoring (UAM) usando i dati generati per tutte le applicazioni e i servizi monitorati quando si verificano decisioni nella soluzione Just-in-Time e Just-Enough-Access.

Risultato:
UEBA/Entity Monitoring è integrato con JIT/JEA per tutti i servizi		 Privileged Identity Management
Usare PIM per i gruppi per estendere l'accesso JIT alle applicazioni tramite i ruoli delle app. Assegnare gruppi, gestiti da PIM, ai ruoli dell'app con privilegi.
- PIM per gruppi
- Aggiungere ruoli dell'app a un'app

1.7 Accesso con privilegi minimi

L'accesso alle applicazioni che usano Microsoft Entra ID è negato per impostazione predefinita. Le funzionalità di governance degli ID Microsoft Entra, ad esempio la gestione entitlement e le verifiche di accesso, garantiscono che l'accesso sia associato al tempo, sia allineato al principio dei privilegi minimi e applichi i controlli per la separazione dei compiti.

Usare i ruoli predefiniti di Microsoft Entra per assegnare autorizzazioni con privilegi minimi per attività. Le unità amministrative consentono di definire l'ambito delle autorizzazioni basate sulle risorse per utenti e dispositivi microsoft Entra ID.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.7.1 Nega utente per impostazione predefinita
Le organizzazioni DoD controllano l'utilizzo interno di utenti e gruppi per le autorizzazioni e revocano le autorizzazioni quando possibile. Questa attività include la revoca e/o la rimozione delle autorizzazioni in eccesso e l'accesso per identità e gruppi basati su applicazioni/servizi. Gli utenti con privilegi statici vengono dismessi o le autorizzazioni sono ridotte preparandole per l'accesso dinamico o basato su regole in futuro, se possibile.

Risultati:
le applicazioni aggiornate per rifiutare per impostazione predefinita funzioni/dati che richiedono ruoli/attributi specifici per l'accesso
- Vengono implementati
livelli di autorizzazioni predefiniti ridotti- Le applicazioni/i servizi hanno esaminato/controllato tutti gli utenti con privilegi e hanno rimosso gli utenti che non necessitano di tale livello di accesso		 Microsoft Entra ID
Review e limita le autorizzazioni predefinite utente e guest in Microsoft Entra ID. Limitare il consenso dell'utente alle applicazioni ed esaminare il consenso corrente nell'organizzazione.
- Autorizzazioni utente predefinite
- Limitare le autorizzazioni al consenso dell'utente

Applicazioni Microsoft Entra
L'accesso alle app di Microsoft Entra viene negato per impostazione predefinita. Microsoft Entra ID verifica i diritti e applica i criteri di accesso condizionale per autorizzare l'accesso alle risorse.
- Integrazione app
- Integrazione app

Governance di Microsoft Entra ID
Utilizzare la funzionalità di governance delle identità per la gestione delle autorizzazioni per gestire i cicli di vita delle identità e degli accessi. Trova flussi di lavoro automatizzati per le richieste di accesso, assegnazioni di accesso, verifiche e scadenza.
- Gestione delle autorizzazioni
- Verifiche degli accessi

Ruoli personalizzati
Usa i ruoli integrati di Microsoft Entra ID per la gestione delle risorse. Tuttavia, se i ruoli non soddisfano le esigenze dell'organizzazione o per ridurre al minimo i privilegi per gli utenti amministratori, creare un ruolo personalizzato. Concedere autorizzazioni granulari ai ruoli personalizzati per gestire utenti, gruppi, dispositivi, applicazioni e altro ancora.
- Ruoli personalizzati

Unità amministrative
Un'unità amministrativa è una risorsa di Microsoft Entra che contiene altre risorse di Microsoft Entra, ad esempio utenti, gruppi o dispositivi. Usare le unità amministrative per delegare le autorizzazioni a un subset di amministratori, in base alla struttura organizzativa.
- Unità amministrative
- Unità amministrative di gestione limitata
- Crea o elimina unità amministrative

Gestione delle identità privilegiate
Usare l'individuazione e le informazioni dettagliate di PIM per gestire i privilegi e ridurre il numero di amministratori. Configurare gli avvisi PIM quando i ruoli con privilegi vengono assegnati all'esterno di PIM.
- Accesso con privilegi per ibrido e cloud
- Avvisi di sicurezza per i ruoli di Microsoft Entra
- Avvisi di sicurezza per i ruoli di Azure

Microsoft Defender per le app Cloud
Rivedere le autorizzazioni concesse alle applicazioni. Esaminare le applicazioni OAuth rischiose in Defender per Cloud Apps.
- Esaminare le autorizzazioni concesse alle applicazioni
- Esaminare le applicazioni OAuth rischiose

Microsoft Sentinel
Usare PIM per assegnare i ruoli di Azure per l'accesso a Sentinel e revisionare periodicamente le query e le attività.
- Revisionare le query e le attività

1.8 Autenticazione continua

Microsoft Entra ID usa token brevi e di lunga durata per autenticare periodicamente gli utenti alle applicazioni e ai servizi protetti da Microsoft Entra. Microsoft Entra ID ha il meccanismo di valutazione dell'accesso continuo (CAE) per migliorare il protocollo standard. Il motore dei criteri risponde ai cambiamenti ambientali quasi in tempo reale e applica i criteri di accesso adattivo.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.8.1 Autenticazione Singola
Le organizzazioni DoD usano processi di autenticazione di base per autenticare utenti e entità non personali almeno una volta per sessione (ad esempio, accesso). In particolare, gli utenti autenticati vengono gestiti dall'attività parallela "Organizational MFA/IDP" con il provider di identità dell'organizzazione (IdP) rispetto all'uso di identità e gruppi basati su applicazioni/servizi.

Risultato:
autenticazione implementata tra applicazioni per sessione		 Microsoft Entra ID Microsoft Entra IDè un provider di identità centralizzato (IdP) che facilita l'accesso Single Sign-On (SSO) tra applicazioni cloud Microsoft e applicazioni usate dall'organizzazione.

- Microsoft Entra ID

Single Sign-On
Il metodo di autenticazione Single Sign-On (SSO) consente agli utenti di usare le credenziali dell'ID di Microsoft Entra per autenticare applicazioni e servizi. Le app possono essere SaaS, applicazioni line-of-business personalizzate o applicazioni locali. Usare l'autenticazione Di Microsoft Entra e le funzionalità Zero Trust per consentire l'accesso sicuro e semplice alle applicazioni.
- Che cos'è l'accesso SSO?
- Le integrazioni di Microsoft Entra con i

protocolli di autenticazione Microsoft Entra app provisioning
di app Microsoft Entra creano, aggiornano e rimuovono utenti, ruoli e gruppi in applicazioni SaaS e applicazioni personalizzate o locali. Usare Microsoft Entra ID come origine di identità centralizzata per le app. Ridurre al minimo le identità dell'applicazione o del servizio e gli utenti.Provisioning automaticodi Microsoft Entra ID WorkloadService Principals e identità gestite sono identità nonpersone (NPE) in Microsoft Entra. Usare i principali del servizio per l'accesso automatico (non interattivo) alle API protette da Microsoft Entra.
- Identità del carico di lavoro
- Principali del servizio in Microsoft Entra ID
Target 1.8.2 Autenticazione Periodica
Le organizzazioni del DoD abilitano i requisiti di autenticazione periodica per applicazioni e servizi. Tradizionalmente si basano sulla durata e/o sul timeout della durata, ma è possibile utilizzare altre analisi basate su periodi per imporre la reautenticazione delle sessioni utente.

Risultato:
l'autenticazione implementata più volte per sessione in base agli attributi di sicurezza		 Le applicazioni Microsoft Entra
gestiscono automaticamente l'aggiornamento della sessione senza interazione dell'utente.

vedere le linee guida di Microsoft nella sezione 1.8.1.

Accesso Condizionale
Configurare il controllo della sessione di frequenza di accesso nell'Accesso Condizionale per ri-autenticare le sessioni utente. Usare la funzionalità quando gli accessi sono rischiosi oppure un dispositivo utente non è gestito o non conforme.
- Configurare i criteri di accesso per la gestione
- delle sessioni di autenticazione nelle app di Defender per il cloud
Advanced 1.8.3 Autenticazione continua Pt1
Le applicazioni o i servizi delle organizzazioni DoD usano più autenticazioni di sessione in base agli attributi di sicurezza e agli accessi richiesti. Le modifiche ai privilegi e le richieste di transazioni associate richiedono livelli aggiuntivi di autenticazione, ad esempio il push MFA (Multi-Factor Authentication) agli utenti.

Risultato:
autenticazione delle transazioni implementata per sessione in base agli attributi di sicurezza		 La valutazione
dell'accesso continuo CAE si basa su uno standard OpenID che migliora i meccanismi di scadenza e aggiornamento dei token basati sul tempo per ottenere una risposta più timelier alle violazioni dei criteri. CAE richiede un nuovo token di accesso dopo eventi critici, come quando un utente si sposta da una sede di rete attendibile a una sede di rete non attendibile. Implementare CAE con le applicazioni client e le API del servizio back-end.
- Valutazione continua dell'accesso
- Valutazioni di eventi critici

le applicazioni di Microsoft Office che usano l'API Microsoft Graph, l'API Outlook Online e l'API SharePoint Online supportano CAE. Sviluppare applicazioni con le ultime librerie di autenticazione Microsoft (MSAL) per accedere alle API abilitate per CAE.
- CAE per Microsoft 365
- API abilitato nelle app CAE

Accesso condizionale
Definire e utilizzare il contesto di autenticazione dell'accesso condizionale per proteggere siti SharePoint sensibili, Microsoft Teams, applicazioni protette con Microsoft Defender for Cloud Apps, attivazione dei ruoli PIM e applicazioni personalizzate.
- Contesto di autenticazione
- Criteri per i siti SharePoint e OneDrive
- Politiche di sessione in Defender for Cloud Apps
- Richiedere il contesto di autenticazione per i ruoli PIM
- Guida al contesto di autenticazione

Usare azioni protette per aggiungere un altro livello di protezione quando gli amministratori eseguono azioni che richiedono autorizzazioni con privilegi elevati in Microsoft Entra ID, come gestire i criteri di accesso condizionale e le impostazioni di accesso tra tenant. Proteggere azioni degli utenti come la registrazione delle informazioni di sicurezza e la connessione dei dispositivi.
- Azioni protette
- Risorsa di destinazione

Gestione delle identità privilegiate
Richiedere il contesto di autenticazione per l'attivazione del ruolo PIM.

Consultare le linee guida di Microsoft nella sezione 1.4.4.
Advanced 1.8.4 Autenticazione continua Pt2
Le organizzazioni del Dipartimento della Difesa continuano a utilizzare l'autenticazione basata su transazione comprendente l'integrazione, come i modelli utente.

Risultato:
autenticazione delle transazioni implementata per sessione in base agli attributi di sicurezza, inclusi i modelli utente		 Microsoft Entra ID Protection
quando Microsoft Entra ID Protection rileva comportamenti anomali, sospetti o rischiosi, aumenta il livello di rischio dell'utente. Creare criteri di accesso condizionale usando condizioni di rischio, aumentando le protezioni con livello di rischio.Rilevamenti di rischioConsultare le linee guida di Microsoft nella versione 1.3.3.Valutazione continua dell'accessoL'aumento del livello di rischio nella valutazione continua dell'accesso è un evento critico di Accesso Condizionale. I servizi che implementano CAE, ad esempio l'API Exchange Online, richiedono che il client (Outlook) esegua nuovamente l'autenticazione per la transazione successiva. I criteri di accesso condizionale per il livello di rischio aumentato vengono soddisfatti prima che Microsoft Entra ID rilascia un nuovo token di accesso per l'accesso a Exchange Online.
- Valutazione degli eventi critici

1.9 Piattaforma ICAM integrata

Microsoft Entra ID supporta l'autenticazione del certificato con certificati rilasciati da un'infrastruttura a chiave pubblica esterna (PKI) per le entità utente e nonpersone (NPE). Nel contesto di Microsoft Entra ID, le Entità non-persona (NPEs) sono identità di applicazioni e dispositivi. Microsoft Entra Impostazioni di accesso tra tenant per ID esterno aiutano le organizzazioni multi-tenant, come il DoD, a collaborare senza problemi tra tenant.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft
Target 1.9.1 Enterprise PKI/IDP Pt1
DoD Enterprise collabora con le organizzazioni per implementare soluzioni PKI (Enterprise Public Key Infrastructure) e Identity Provider (IdP) in modo centralizzato e/o federato. La soluzione PKI aziendale utilizza una o un insieme di autorità di certificazione radice (CA) di livello enterprise, che possono quindi essere considerate attendibili dalle organizzazioni per creare CA intermedie. La soluzione del Fornitore di identità può essere una soluzione singola o un insieme federato di fornitori di identità organizzativi con un livello di accesso standardizzato attraverso le organizzazioni e un insieme standardizzato di attributi. Gli IDP e le autorità di certificazione PKI dell'organizzazione sono integrati con le soluzioni Enterprise IdP e PKI.

Risultati:
i componenti usano IdP con MFA per tutte le applicazioni/servizi
- MFA/PKI aziendale integrato con Enterprise MFA/PKI
- Infrastruttura a chiave pubblica standardizzata per tutti i servizi		 Metodi di autenticazione di Microsoft Entra ID
Usare i criteri dei metodi di autenticazione in Microsoft Entra ID per controllare i metodi di autenticazione utente.
- Microsoft Entra CBA

Consultare le indicazioni di Microsoft nella versione 1.3.1.

Livello di autenticazione
Usare il livello di autenticazione per controllare l'accesso utente alle risorse.
- Livello di autenticazione

Microsoft Entra ID esterno
Configurare l'accesso cross-tenant per i tenant DoD Microsoft Entra ID. Usare le impostazioni di attendibilità per accettare attestazioni di dispositivi conformi e MFA per identità esterne da tenant DoD attendibili.
- Accesso tra tenant

Politica di gestione delle applicazioni
La politica di gestione delle applicazioni del tenant è un quadro di riferimento per implementare le migliori pratiche di sicurezza per le applicazioni nel tenant. Usare i criteri per limitare le credenziali delle applicazioni ai certificati emessi da un'infrastruttura a chiave pubblica (PKI) attendibile.

Per creare una catena di attendibilità, aggiungere una nuova raccolta di autorità di certificazione (CA) ai certificati CA intermedi e radice per la PKI aziendale.
- tipo di risorsa certificateBasedApplicationConfiguration

Per creare un criterio di gestione delle applicazioni che richieda certificati emessi da CA attendibili, configurare restrizioni per impedire passwordAddition e richiedere trustedCertificateauthority. Specificare l'ID raccolta CA attendibile creato.
- API di metodi di autenticazione delle app

Microsoft Intune
Intune supporta certificati PKCS (Public Key Cryptography Standards) a chiave privata e pubblica.
- Certificati PKCS
Advanced 1.9.2 Enterprise PKI/IDP Pt2
Le organizzazioni DoD abilitano il supporto biometrico nel provider di identità (IdP) per applicazioni e servizi mission-critical in base alle esigenze. La funzionalità biometrica viene spostata dalle soluzioni organizzative all'azienda. L'infrastruttura a più fattori dell'organizzazione e l'infrastruttura a chiave pubblica (PKI) vengono dismesse e migrate all'Impresa ove opportuno.

Risultati:
- Servizi Organizzativi Critici Integrati con le Biometrie
- Decommissionamento di MFA/PKI organizzativo al posto di MFA/PKI aziendale
- Funzioni Biometriche Aziendali Implementate		 Microsoft Entra IDMicrosoft supporta la biometria in diversi componenti compatibili con l'autenticazione Microsoft Entra ID.I metodi di autenticazione di Microsoft Entra ID supportano passkey hardware (chiavi di sicurezza FIDO2) che utilizzano la presenza o l'impronta digitale.Le chiavi di FIDO usano dati biometrici come impronte digitali e riconoscimento facciale.I dispositivi MacOS sono dotati di funzionalità biometriche, come Touch ID, per accedere con credenziali associate al dispositivo.Dispositivi mobili e l'Authenticator utilizzano il tocco e il riconoscimento facciale per l'autenticazione senza password. Il supporto passkey è un altro metodo di autenticazione resistente al phishing in Authenticator.
- Authenticator
- Accesso senza password
- Autenticazione potenziata resistente al phishing
Advanced 1.9.3 PKI/IDP Aziendale Pt3
Le organizzazioni DoD integrano le applicazioni/servizi rimanenti con le funzionalità biometriche. È possibile usare token multi-factor alternativi (MFA).

Risultato:
tutti i servizi organizzativi integrano w/ Biometrics

 Microsoft Entra Verified ID
Gli scenari di identità decentralizzati che utilizzano Microsoft Entra Verified ID possono richiedere la verifica del volto al momento della presentazione delle credenziali.
- ID Verificato
- Controllo del viso

Passaggi successivi

Configurare i servizi cloud Microsoft per la strategia DoD Zero Trust:

  • Last updated on