Latest news

5 errori comuni da evitare con l’Autenticazione Multi-Fattore (MFA) di ENTRA ID

Implementare l’Autenticazione Multi-Fattore (MFA) è fondamentale per migliorare la sicurezza in Microsoft Entra ID. Tuttavia, è importante evitare alcuni errori comuni che possono compromettere l’efficacia della configurazione MFA nelle organizzazioni.

Prima di procedere, è utile ricordare che le funzionalità disponibili dipendono dal tipo di licenza di Microsoft Entra ID.
Di seguito, alcuni esempi, vediamo in particolare i dettagli relativi alla sezione Protezione.

microsoft entra id free
microsoft entra id p1

Evitare questi cinque errori può migliorare significativamente la protezione del proprio ambiente e ridurre il rischio di attacchi.

ERRORE NUMERO 1

Metodi di Registrazione MFA

Uno degli errori più comuni riguarda la comprensione dei metodi di registrazione MFA. Esistono due metodi principali per forzare gli utenti a registrarsi per MFA in Entra ID. Il primo metodo richiede una licenza specifica (Entra P2 o Microsoft 365 E5) e forza tutti gli utenti a registrarsi entro 14 giorni. Questo metodo è applicabile a qualsiasi tipo di MFA supportato nel tenant.

prioritizzare i metodi di autenticazione

Il secondo metodo, che non richiede una licenza specifica, si concentra esclusivamente sull’app Microsoft Authenticator. La confusione tra questi due metodi può portare a configurazioni errate e a una protezione insufficiente. È essenziale comprendere le differenze e scegliere il metodo appropriato in base alle esigenze del proprio tenant.
In questa prospettiva, è possibile definire i giorni in cui consentire agli utenti di proporre l’attivazione o il numero di richieste di posticipo consentite. In questo modo, possiamo migliorare il livello di sicurezza promuovendo l’adozione di metodi di autenticazione più efficaci, come l’App Authenticator.

prioritizzare i metodi di autenticazione

ERRORE NUMERO 2

Gestire la transizione dei metodi MFA correttamente

A partire dal 30 settembre 2025, i metodi di autenticazione non potranno più essere gestiti tramite i criteri legacy di MFA e di reimpostazione della password self-service. Si raccomanda ai clienti di utilizzare il controllo di migrazione manuale per spostarsi ai criteri moderni dei metodi di autenticazione, in linea con la data di deprecazione.

Questa sezione offre l’opportunità di migliorare la sicurezza degli accessi configurando metodi di autenticazione più avanzati e aggiornati.

gestire la transizione dei metodi mfa correttamente

Questa invece, la configurazione legacy (raggiungibile da Admin.microsoft.com – Utenti – MFA )
che sarà sostituita a settembre 2025.
Come si vede, sono ancora disponibili le autenticazioni tramite SMS o Chiamata telefonica.

gestire la transizione dei metodi mfa correttamente

Tornando alla configurazione moderna possiamo avviare la guida automatizzata:

gestire la transizione dei metodi mfa correttamente

Ora possiamo gestire ed essere anche consapevoli del livello di sicurezza di  ciascun metodo.
Il suggerimento è preparare questa transizione ed evitare quindi l’errore che molti fanno non essendo consapevoli di questa data di scadenza.

gestire la transizione dei metodi mfa correttamente

Il criterio per la gestione dei metodi di autenticazione rappresenta il metodo consigliato per gestire in modo centralizzato i diversi metodi di autenticazione, inclusi quelli moderni come l’autenticazione senza password. Questa procedura guidata permette di convertire automaticamente, ed utilizzando dei gruppi, i metodi di autenticazione (criteri legacy di autenticazione e di reimpostazione della password self-service) nei rispettivi criteri dei metodi di autenticazione corrispondenti.

ERRORE NUMERO 3

Impostazioni di configurazione errate

Un altro errore comune è quello di lasciare disabilitate alcune impostazioni critiche, compromettendo così la sicurezza. Garantire che le configurazioni essenziali siano attivate è fondamentale per prevenire vulnerabilità.

Gli amministratori possono migliorare la sicurezza degli accessi abilitando l’autenticazione a più fattori preferita dal sistema, scoraggiando al contempo l’uso di metodi meno sicuri, come gli SMS.

Ad esempio, se un utente ha registrato sia le notifiche push tramite SMS sia Microsoft Authenticator come metodi per l’MFA, il sistema privilegerà l’accesso tramite notifiche push, considerato più sicuro. L’utente può comunque scegliere un metodo alternativo, ma viene prima richiesto di utilizzare il metodo più robusto disponibile.

impostazioni di configurazione errate

ERRORE NUMERO 4

Politiche combinate di Accesso Condizionale

Associare l’MFA alle politiche di Accesso Condizionale è fondamentale per rafforzare la sicurezza. Questa combinazione consente di applicare misure di protezione personalizzate, adattandole alle condizioni degli utenti e agli scenari di accesso specifici.

metodi-di-autenticazione-politiche-combinate-di-accesso-condizionale

L’associazione dei corretti livelli di autenticazione combinata con poiché di accesso condizionale garantisce configurazioni sicure. Ad esempio, è possibile configurare una policy che richiede l’uso di chiavi di sicurezza FIDO2 o passkey per gli amministratori o altri utenti ad alto rischio. Questo livello di controllo granulare è essenziale per proteggere le risorse critiche e ridurre il rischio di attacchi di phishing. Configurare correttamente le “authentication strengths” e associarle a policy di accesso condizionale permette di adattare la sicurezza alle esigenze specifiche del proprio ambiente.

politiche combinate di accesso condizionale

ERRORE NUMERO 5

Impostazioni di Trust per le Collaborazioni Esterne

Quando si collabora con organizzazioni esterne, è essenziale configurare correttamente le impostazioni di accesso tra tenant. Abilitando le opzioni appropriate, è possibile garantire che le politiche di Accesso Condizionale riconoscano come attendibili le attestazioni MFA provenienti da organizzazioni esterne. Questa configurazione consente di verificare se gli utenti hanno completato l’MFA; in caso contrario, viene avviata una richiesta MFA nel tenant di origine dell’utente.

impostazioni di trust per le collaborazioni esterne

Seleziona questa casella di controllo per consentire ai tuoi criteri di Accesso Condizionale di riconoscere come attendibili le attestazioni MFA provenienti da organizzazioni esterne. Durante l’autenticazione, Microsoft Entra ID verifica le credenziali dell’utente per assicurarsi che abbia completato l’MFA. In caso contrario, il sistema avvierà una richiesta MFA direttamente nel tenant di origine dell’utente.

impostazioni di trust per le collaborazioni esterne

L’implementazione corretta dell’autenticazione multifattore in Entra ID è fondamentale per garantire la sicurezza delle identità digitali.

Comprendere i metodi di registrazione MFA, prepararsi per i nuovi metodi di autenticazione, abilitare l’MFA preferito dal sistema, utilizzare le “authentication strengths” e configurare correttamente le impostazioni di accesso tra tenant sono passi essenziali per una gestione efficace della sicurezza in Entra ID. Investire tempo e risorse in queste configurazioni può fare la differenza tra un ambiente sicuro e uno vulnerabile.

In conclusione, una gestione adeguata dell’autenticazione multifattore in Entra ID è importante per mantenere al sicuro le identità digitali e proteggere l’infrastruttura IT. Per approfondire le competenze in questo ambito, è fondamentale seguire una formazione dedicata, come quella offerta nella Formazione Entra ID.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.