Configurazione dell’autenticazione a più fattori (MFA) di Microsoft 365: cosa devono sapere gli amministratori
Nel novembre 2024, Microsoft ha annunciato che l’autenticazione a più fattori (MFA) sarebbe diventata obbligatoria per tutti gli account amministratore su Microsoft 365 (precedentemente Office 365), Azure e Intune. A partire dal 2025, gli amministratori che non hanno abilitato l’autenticazione MFA non potranno più accedere ai portali di amministrazione di Microsoft.
Questa implementazione avverrà in più fasi a livello di tenant e gli amministratori che non hanno ancora configurato l’autenticazione MFA dovranno aggiornare le impostazioni per rimanere conformi. Questo post spiega come configurare l’autenticazione a più fattori (MFA) di Office 365 per soddisfare i nuovi requisiti di Microsoft 365 e mantenere l’accesso ai servizi critici.
Che cos’è l’autenticazione a più fattori (MFA) in Microsoft 365?
L’autenticazione a più fattori (MFA) è un processo di sicurezza che autentica gli utenti in un sistema utilizzando più fattori oltre alla semplice password. L’autenticazione MFA è obbligatoria e richiede l’uso di più forme di autenticazione, tra cui:
- Qualcosa che conosci (password).
- Qualcosa che possiedi (una chiave di sicurezza, un telefono con un codice di conferma SMS o uno smartphone con un’applicazione di autenticazione).
- Qualcosa che sei (impronta digitale o riconoscimento facciale).
Per l’autenticazione a più fattori (MFA) di Microsoft 365 sono obbligatori una password e un’applicazione di autenticazione per smartphone. I codici SMS sono deprecati. Una volta che un amministratore ha inserito una password, è necessario scansionare un codice QR nell’app di autenticazione. Per terminare l’autenticazione, è necessario inserire un codice numerico monouso sullo smartphone.
Perché Microsoft impone l’autenticazione a più fattori (MFA) per gli account amministrativi
Microsoft ritiene che l’autenticazione a più fattori possa ridurre il numero di account compromessi. Un account amministratore è il più importante ed è una destinazione primaria per gli attacchi informatici poiché ha accesso a tutti gli utenti e alle impostazioni all’interno di un’organizzazione (tenant). Se un account amministrativo viene hackerato, i dati di tutti gli utenti vengono compromessi. L’autenticazione a più fattori di Microsoft 365 riduce significativamente questo rischio.
L’autenticazione a due fattori (2FA) di Office 365 può aiutare a bloccare quasi il 99,9% degli attacchi. Le tecniche di forza bruta, credential stuffing, phishing e social engineering sono molto meno efficaci quando l’autenticazione a più fattori è abilitata. Anche se un aggressore ottiene le credenziali dell’amministratore, è impossibile accedere senza la conferma del secondo fattore che richiede il dispositivo dell’amministratore.
Oltre al centro di amministrazione di Microsoft 365, le applicazioni cloud interessate da questo criterio includono:
- Portale Azure
- Centro di amministrazione Microsoft Entra
- Centro di amministrazione Microsoft Intune
- Interfaccia della riga di comando di Azure (Azure CLI)
- Azure PowerShell
- App mobile Azure
- Strumenti Infrastructure as Code (IaC)
- API REST (Control Plane)
- Azure SDK
Per accedere a queste risorse, gli amministratori devono abilitare l’autenticazione a più fattori e terminare la configurazione dell’autenticazione a più fattori (MFA) di Microsoft 365.
Come configurare e conformarsi all’autenticazione a più fattori obbligatoria di Microsoft 365
Gli amministratori devono abilitare l’autenticazione a più fattori di Microsoft 365 per tutti gli account dell’organizzazione (tenant) creati prima del 2019. Per i tenant che hanno iniziato l’abbonamento a Microsoft 365 dopo il 2019, l’autenticazione a più fattori dovrebbe essere abilitata nelle impostazioni di sicurezza predefinite (se non disabilitata manualmente). È importante notare che, dopo aver implementato l’autenticazione a più fattori (MFA) obbligatoria di Microsoft 365 per tutti i tenant, gli amministratori non potranno più accedere senza MFA. Gli utenti regolari possono utilizzare le loro password come metodo di autenticazione convenzionale quando accedono ai servizi Microsoft 365.
Le impostazioni di sicurezza predefinite sono criteri di base applicati da Microsoft per proteggere tutti gli utenti e includono l’autenticazione a più fattori (MFA) per gli amministratori. Queste impostazioni sono abilitate per impostazione predefinita nei nuovi tenant.
Quando la fase di implementazione dell’autenticazione a più fattori (MFA) obbligatoria di Microsoft 365 raggiunge la vostra organizzazione, l’amministratore riceverà l’avvertenza quando tenterà di accedere al centro di amministrazione utilizzando l’interfaccia web:
Per migliorare la sicurezza, l’autenticazione a più fattori (MFA) è obbligatoria quando si accede a Portale Azure, Centro di amministrazione Microsoft Entrae Centro di amministrazione Microsoft Intune. Verrai reindirizzato per completare la procedura di accesso MFA.
Se non sei pronto a soddisfare i requisiti MFA, puoi posticiparne l’applicazione per Organization_name (ID univoco dell’organizzazione) tenant.
Sono disponibili due opzioni:
- Accedi con MFA
- Posticipa MFA
Se si fa clic su Postpone MFA, la data di applicazione dell’autenticazione a più fattori (MFA) di Microsoft 365 sarà tra un mese o il 30 settembre 2025 (a seconda di quale delle due date sia precedente).
Il messaggio di avvertenza viene inviato anche tramite e-mail a un amministratore di Microsoft 365 dell’organizzazione.
Per abilitare le impostazioni di sicurezza predefinite per tutti gli Utenti Microsoft 365 dell’organizzazione:
- Accedere al portale di Azure come amministratore globale, amministratore della sicurezza o amministratore dell’accesso condizionale.
- Vai a Microsoft Entra ID e premi Proprietà.
- Fai clic su Gestisci impostazioni predefinite di sicurezza.
- Imposta Impostazioni predefinite di sicurezza su Abilitato.
- Fare clic su Salva.
Per abilitare l’autenticazione a più fattori (MFA) di Microsoft 365 solo per utenti specifici, ad esempio gli amministratori, è possibile utilizzare il metodo MFA per utente nella directory.
- Accedere al Centro di amministrazione di Microsoft Entra come amministratore (almeno come amministratore dell’autenticazione).
- Vai a Identità > Utenti > Tutti gli utenti.
- Fai clic su MFA per utente.
- Attendere fino all’apertura della pagina che mostra lo stato dell’utente, quindi modificare lo stato MFA per utenti specifici.
Per abilitare Microsoft 365 solo per Utenti Microsoft 365 specifici, e non per tutti i servizi cloud Microsoft, è possibile seguire questi passaggi:
- Accedere al centro di amministrazione di Microsoft 365 come amministratore.
- Passare alle impostazioni di autenticazione a più fattori. Fare clic su Utenti e premere Utenti attivi.
- Fare clic su Autenticazione a più fattori nella parte superiore della pagina Utenti attivi per aprire le impostazioni MFA di Microsoft 365.
- Selezionare gli utenti per i quali si desidera abilitare l’autenticazione a più fattori (in questo contesto, gli utenti con privilegi di amministrazione) selezionando le caselle di controllo appropriate.
- Una volta fatto, fare clic su Abilitare l’autenticazione a più fattori (<) > nell’area Quick Steps. Confermare l’azione quando viene visualizzato un messaggio di conferma per abilitare l’autenticazione a più fattori per gli amministratori di Microsoft 365 e gli utenti selezionati.
Se l’autenticazione a più fattori è già stata abilitata per gli account amministrativi, non sono obbligatorie ulteriori azioni.
Se hai abilitato l’autenticazione a più fattori per utenti specifici, non è necessario consentire le impostazioni di sicurezza predefinite per abilitare l’autenticazione a più fattori per gli amministratori (non è necessario utilizzare entrambi i metodi contemporaneamente).
Una volta che Microsoft terminerà la registrazione dell’autenticazione a più fattori obbligatoria per gli account amministrativi di tutti i tenant e il periodo di transizione sarà scaduto (alla fine del 2025), sarà impossibile accedere ai portali amministrativi senza l’autenticazione a più fattori per gli amministratori di Microsoft 365.
Vantaggi dell’autenticazione a più fattori obbligatoria in Microsoft 365
Gli amministratori e gli utenti possono incontrare degli svantaggi quando utilizzano l’autenticazione a più fattori di Microsoft 365, ma i vantaggi sono di gran lunga superiori. È importante ricordare che la configurazione dell’autenticazione a più fattori in Microsoft 365 non è obbligatoria e non richiede costi aggiuntivi.
Microsoft 365 MFA consente alle organizzazioni e ai loro amministratori di evitare le seguenti conseguenze negative:
- Violazioni dei dati. Il furto dei dati di un’organizzazione può avere conseguenze devastanti per l’azienda. Se malintenzionati accedono a e-mail, informazioni finanziarie o dati di singoli utenti, possono utilizzarli per attacchi più personalizzati.
- Perdita di accesso. Dopo aver ottenuto l’accesso amministrativo a un account Microsoft, un aggressore può modificare le credenziali, rendendo impossibile al vero proprietario dell’account effettuare il login e recuperare i propri dati.
- Perdita finanziaria. Un account compromesso può causare tempi di inattività (interruzione operativa), perdita di dati, pagamenti di riscatto e problemi legali (conformità). La perdita di reputazione è un fattore significativo che influisce sulle relazioni con i clienti e riduce i ricavi.
L’autenticazione a più fattori (MFA) obbligatoria di Microsoft 365 garantisce che le organizzazioni che utilizzano i servizi cloud Microsoft possano soddisfare i requisiti normativi e di conformità (tra cui GDPR, HIPAA, ISO 27001, NIST SP 800-63, ecc.). La maggior parte delle normative richiede solitamente l’autenticazione a più fattori.
Come NAKIVO supporta la protezione dei dati di Microsoft 365
NAKIVO Backup & Replication è una soluzione dedicata alla protezione dei dati che supporta il backup di Microsoft 365. Consente di eseguire il backup dei dati, ripristinarli facilmente e riprendere rapidamente le operazioni in caso di interruzioni, disastri o attacchi ransomware.
NAKIVO Backup & Replication & Replication include le seguenti funzioni per il backup e il ripristino di Microsoft 365:
- Backup di Exchange Online, OneDrive for Business, SharePoint Online e Microsoft Teams.
- Ripristini completi e granulari (oggetti specifici, come account utente, e-mail, file OneDrive, siti SharePoint o chat Microsoft Teams). È possibile selezionare il metodo necessario per il proprio scenario di ripristino specifico.
- Crittografia dei dati utilizzata durante il trasferimento dei dati di backup di Microsoft 365 sulla rete e durante l’archiviazione in un repository di backup.
- È possibile archiviare le copie di backup di Microsoft 365 in locale o nel cloud.
- NAKIVO Backup & Replication & Supporta l’autenticazione a due fattori (2FA) quando si accede all’interfaccia web della soluzione. Insieme a Microsoft 365 MFA, aumenta la sicurezza complessiva.
- I backup immutabili garantiscono che il ransomware non possa modificare o eliminare i dati di Microsoft 365.
- Le impostazioni di conservazione flessibili della soluzione NAKIVO consentono di utilizzare in modo ottimale lo spazio di storage dei backup e di conservare i punti di ripristino necessari per periodi di tempo specificati.
Conclusione
L’abilitazione dell’autenticazione a due fattori (2FA) di Office 365 non è più facoltativa per gli amministratori, ma è un requisito obbligatorio per mantenere l’accesso e proteggere i servizi cloud critici. Configurando l’autenticazione a più fattori (MFA), gli amministratori possono conformarsi ai nuovi criteri di sicurezza di Microsoft e ridurre il rischio di accessi non autorizzati. Agire ora garantisce una transizione fluida prima che l’applicazione sia completamente implementata. Per rafforzare ulteriormente la vostra posizione di sicurezza, prendete in considerazione l’implementazione di una soluzione di backup per Microsoft 365 insieme all’autenticazione a più fattori (MFA).
