Implementazione dell'accesso condizionale in Azure AD per rafforzare la sicurezza

Implementazione dell'accesso condizionale in Azure AD per rafforzare la sicurezza

01/05/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'implementazione e nell'ottimizzazione dell'accesso condizionale in Microsoft Entra ID (in precedenza Azure Active Directory). L'accesso condizionato è il meccanismo di applicazione delle policy Zero Trust di punta di Microsoft, che consente alle organizzazioni di controllare l'accesso alle risorse in base a condizioni in tempo reale come identità dell'utente, posizione, integrità del dispositivo e rischio della sessione [1].

Introduzione

Nel panorama della sicurezza odierno, dove le minacce informatiche sono sofisticate e il lavoro remoto è prevalente, la tradizionale protezione perimetrale della rete non è più sufficiente. L'accesso condizionale di Azure AD consente alle organizzazioni di passare da un approccio statico alla sicurezza a un approccio dinamico e adattivo in cui ogni tentativo di accesso viene valutato prima di essere concesso. Ciò garantisce che l’accesso sia concesso solo a utenti e dispositivi fidati, a condizioni specifiche, proteggendo i dati e le applicazioni aziendali in modo più efficace [2].

Questa guida pratica riguarderà la creazione e la configurazione delle policy di accesso condizionale, inclusa la richiesta di autenticazione a più fattori (MFA), i dispositivi supportati, i percorsi attendibili e il blocco dell'autenticazione legacy. Verranno fornite istruzioni dettagliate, esempi di configurazione e metodi di convalida in modo che il lettore possa implementare e rafforzare il livello di sicurezza della propria organizzazione, garantendo che l'accesso alle risorse sia sicuro e conforme.

Perché l'accesso condizionato è fondamentale?

  • Zero Trust: È il motore delle policy per l'implementazione del modello Zero Trust, verificando esplicitamente ogni richiesta di accesso.
  • Controllo adattivo: consente alle policy di accesso di adattarsi dinamicamente in base a segnali di rischio in tempo reale.
  • Protezione completa: protegge identità, dispositivi, dati e applicazioni nel cloud e in locale.
  • MFA e conformità dei dispositivi: semplifica l'applicazione dell'MFA e richiede dispositivi conformi o aggiunti ad Azure AD per l'accesso.
  • Riduzione del rischio: aiuta a mitigare i rischi come il furto di credenziali, l'accesso da dispositivi non autorizzati e l'accesso da posizioni sospette.

Prerequisiti

Per implementare l'accesso condizionale in Azure AD, saranno necessari i seguenti elementi:

  1. Licenza: una licenza Microsoft Enroll ID Premium P1 o P2 (in precedenza Azure AD Premium P1 o P2). L'accesso condizionato è una caratteristica unica di queste licenze [3].
  2. Accesso amministrativo: un account con il ruolo di "Amministratore dell'accesso condizionale", "Amministratore della sicurezza" o "Amministratore globale" nell'interfaccia di amministrazione di Microsoft Entra (https://entra.microsoft.com).
  3. Utenti e gruppi: utenti e gruppi di sicurezza nell'ID Microsoft Entra per testare i criteri.
  4. Multi-Factor Authentication (MFA) configurata: per i criteri che richiedono MFA, gli utenti devono avere MFA configurata e registrata.
  5. Dispositivi gestiti (facoltativo): per i criteri che richiedono dispositivi supportati o aggiunti ad Azure AD/ibridi, i dispositivi devono essere gestiti da Microsoft Intune o aggiunti ad Azure AD.

Passo dopo passo: configurazione dei criteri di accesso condizionato

Creiamo alcuni criteri di accesso condizionale essenziali per rafforzare la sicurezza.

1. Accesso al portale Microsoft Accedere all'interfaccia di amministrazione

  1. Apri il browser e vai a "https://entra.microsoft.com".
  2. Accedi con un account che disponga delle autorizzazioni necessarie.
  3. Nel riquadro di navigazione a sinistra, seleziona Protezione > Accesso condizionale.

2. Creazione di una policy per richiedere l'AMF per tutti gli utenti (esclusi gli account di emergenza)

Questa è una policy fondamentale per la maggior parte delle organizzazioni, poiché garantisce che l'MFA sia necessaria per tutti i tentativi di accesso, ad eccezione degli account di accesso di emergenza/break-glass.

  1. Nella pagina Accesso condizionale, fare clic su Nuova policy > Crea nuova policy.
  2. Nome: "01 - Richiedi MFA per tutti gli utenti".

  3. Assegnazioni > Utenti o carichi di lavoro identità:

    • In Includi, seleziona Tutti gli utenti.
    • In Elimina, seleziona Utenti e gruppi e aggiungi i tuoi account di accesso emeragency/break-glass (account altamente protetti che possono essere utilizzati per accedere al tenant in caso di errore MFA o indisponibilità della directory).

  4. Risorse o azioni cloud:

    • In Includi, seleziona Tutte le app cloud.

  5. Concessione:

    • Seleziona Concedi accesso.
    • Seleziona Richiedi autenticazione a più fattori.
    • Fare clic su Seleziona.

  6. Abilita policy: seleziona "Solo report" (per testare l'impatto prima dell'applicazione) o "Abilitato".

    • Suggerimento: inizia sempre con Solo report per monitorare l'impatto della policy senza applicarla, controllando i log di input per possibili blocchi indesiderati.
  7. Fare clic su Crea.

3. Creazione di una policy per bloccare l'autenticazione legacy

L'autenticazione legacy (come POP, IMAP, SMTP, autenticazione di base) non supporta MFA ed è un vettore comune di attacchi. È fondamentale bloccarlo.

  1. Nella pagina Accesso condizionale, fare clic su Nuova policy > Crea nuova policy.
  2. Nome: "02 - Blocca autenticazione legacy".
  3. Assegnazioni > Utenti o carichi di lavoro identità: seleziona Tutti gli utenti (esclusi gli account di emergenza).
  4. Risorse o azioni cloud: seleziona Tutte le applicazioni cloud.

  5. Condizioni > Applicazioni cliente:

    • Impostare "Applicazioni client" su "Sì".
    • Seleziona "Client Exchange ActiveSync" e "Altri client".

  6. Controlli di accesso > Concedi:

    • Seleziona Blocca accesso.
    • Fare clic su Seleziona.

  7. Abilita criterio: seleziona "Solo report" o "Abilitato".

  8. Fare clic su Crea.

4. Creazione di una policy per richiedere un dispositivo compatibile per l'accesso alle applicazioni critiche

Questo criterio garantisce che solo i dispositivi che soddisfano gli standard di sicurezza (gestiti da Intune, ad esempio) possano accedere alle app sensibili.

  1. Nella pagina Accesso condizionale, fare clic su Nuova policy > Crea nuova policy.
  2. Nome: "03 - Richiede dispositivo compatibile per applicazioni critiche".
  3. Assegnazioni > Utenti o carichi di lavoro identità: seleziona Tutti gli utenti (o un gruppo specifico).

  4. Risorse o azioni cloud:

    • In Includi, seleziona Seleziona applicazioni e scegli le applicazioni critiche (ad esempio SharePoint Online, Dynamics 365, applicazioni line-of-business).

  5. Concessione:

    • Seleziona Concedi accesso.
    • Seleziona Richiedi che il dispositivo sia contrassegnato come supportato.
    • Fare clic su Seleziona.

  6. Abilita criterio: seleziona "Solo report" o "Abilitato".

  7. Fare clic su Crea.

5. Creazione di una policy per bloccare l'accesso da posizioni non attendibili

Questa policy aiuta a proteggere dall'accesso da regioni geografiche o indirizzi IP noti per essere fonti di attacchi.

  1. Innanzitutto, è necessario creare Posizioni denominate (Posizioni denominate) in Azure AD per definire posizioni attendibili (ad esempio uffici aziendali, VPN).

    • Nell'interfaccia di amministrazione di Microsoft Login, vai a Protezione > Accesso condizionale > Posizioni denominate.
    • Fai clic su Posizione nuovi paesi/regioni o Posizione nuovi intervalli IP per impostare le posizioni attendibili.

  2. Nella pagina Accesso condizionale, fare clic su Nuova policy > Crea nuova policy.

  3. Nome: "04 - Blocca l'accesso da posizioni non attendibili".
  4. Assegnazioni > Utenti o carichi di lavoro identità: seleziona Tutti gli utenti.
  5. Risorse o azioni cloud: seleziona Tutte le applicazioni cloud.

  6. Condizioni > Sedi:

    • Imposta "Posizioni" su "Sì".
    • In Includi, seleziona Qualsiasi posizione.
    • In Escludi, seleziona Posizioni selezionate e scegli le "Posizioni denominate" che hai definito come attendibili.

  7. Controlli di accesso > Concedi:

    • Seleziona Blocca accesso.
    • Fare clic su Seleziona.
  8. Abilita criterio: seleziona "Solo report" o "Abilitato".
  9. Fare clic su Crea.

Convalida e test

La convalida dei criteri di accesso condizionale è fondamentale per garantire che funzionino come previsto e non causino blocchi indesiderati.

1. Utilizzo dello strumento "What If".

Lo strumento "What If" consente di simulare l'impatto dei criteri di accesso condizionale su un utente o uno scenario specifico.

  1. Nella pagina Accesso condizionale fare clic suE se.
  2. Configurare lo scenario del test (utente, applicazione, indirizzo IP, dispositivo, ecc.).
  3. Fare clic su E se per vedere quali criteri verrebbero applicati e il risultato (concedere o bloccare l'accesso).

2. Controllo dei registri di input

I log in entrata forniscono informazioni dettagliate su ogni tentativo di accesso, inclusi i criteri di accesso condizionale valutati e il risultato.

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Monitoraggio e integrità > Registri in entrata.
  2. Filtra i log per utente, applicazione o stato (ad esempio "Non riuscito") per indagare sui tentativi di accesso.
  3. Fare clic su una voce del registro per visualizzare i dettagli, inclusa la scheda Accesso condizionale, che mostrerà le policy applicate e il risultato.

3. Test reali con utenti test

Condurre test con utenti di prova in diversi scenari (ad esempio, accesso da una posizione non attendibile, con un dispositivo non supportato, senza MFA) per confermare il comportamento previsto delle policy.

Suggerimenti e best practice per la sicurezza

  • Pianificazione attenta: pianifica le policy di accesso condizionale in base alle esigenze della tua organizzazione e ai principi Zero Trust. Inizia con un piccolo insieme di politiche ed espandile gradualmente.
  • **Modalità Solo report: distribuisci sempre prima le nuove policy in modalità Solo report per valutarne l'impatto e modificarle prima di applicarle in modalità Abilitata.
  • Account di emergenza: escludi sempre gli account di accesso di emergenza/break-glass da tutti i criteri di accesso condizionale per evitare blocchi accidentali.
  • Blocca l'autenticazione legacy: questa è una delle policy più efficaci per ridurre la superficie di attacco.
  • Richiedi MFA per tutti gli utenti: una policy essenziale per la protezione delle identità.
  • Dispositivi gestiti: richiedono che i dispositivi siano gestiti (uniti ad Azure AD o abilitati per Intune) per accedere alle risorse riservate.
  • Posizioni denominate: utilizza posizioni denominate per definire reti affidabili e bloccare l'accesso da posizioni non attendibili.
  • Revisione e aggiustamento continui: rivedi e adatta regolarmente i tuoi criteri di accesso condizionale per adattarli ai cambiamenti nell'ambiente delle minacce e ai requisiti aziendali.
  • Documentazione: conserva una documentazione chiara delle policy di accesso condizionale, inclusi lo scopo, l'ambito e le eventuali esclusioni.

Risoluzione dei problemi comuni

  • Utenti bloccati inaspettatamente: utilizza lo strumento "What If" e i registri di accesso per identificare quale criterio causa il blocco. Controlla le inclusioni e le esclusioni della polizza.
  • Criteri non applicati: verificare che il criterio sia in modalità "Abilitata" e che l'utente e l'applicazione rientrino nell'ambito del criterio. Controlla i log di input per vedere se la policy è stata valutata.
  • Problemi di MFA: assicurati che gli utenti abbiano registrato i metodi MFA. Verificare la presenza di problemi di connettività con i provider MFA.
  • Problemi relativi al dispositivo compatibile: controlla lo stato di conformità del tuo dispositivo in Intune. Assicurarsi che il dispositivo sia aggiunto ad Azure AD o registrato con Intune.
  • Conflitti di policy: l'accesso condizionale valuta tutte le policy e applica quella più restrittiva. Se sono presenti politiche contrastanti, modificarle per garantire il comportamento desiderato.

Conclusione

L'implementazione dell'accesso condizionato in Azure AD è un pilastro fondamentale per la creazione di un'architettura di sicurezza solida e adattiva basata sul modello Zero Trust. Consentendo alle organizzazioni di impostare policy di accesso granulare basate su una varietà di condizioni, l'accesso condizionato rafforza significativamente la protezione delle identità e delle risorse contro le minacce informatiche. La configurazione strategica delle policy, combinata con test rigorosi e un ciclo continuo di revisione e ottimizzazione, consente ai team di sicurezza di garantire che l'accesso sia sempre verificato, con privilegi minimi e adattato al contesto di rischio. Con l'accesso condizionato, le aziende possono proteggere le proprie risorse più preziose consentendo al tempo stesso agli utenti di lavorare in modo sicuro e produttivo da qualsiasi luogo e su qualsiasi dispositivo.

Riferimenti:

[1]Microsoft Learn. Che cos'è l'accesso condizionato?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2]Microsoft Learn. Pianificare l'implementazione dell'accesso condizionato. Disponibile su: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3]Microsoft Learn. Requisiti di licenza per l'accesso condizionato. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements