A partire dal 15 ottobre 2024, Microsoft richiederà l’autenticazione multifattoriale (MFA) per tutti gli account amministrativi che accedono ai principali portali di amministrazione come il Microsoft Entra Admin Center, il portale Azure e il Microsoft Intune Admin Center.
In questo articolo ti spiegherò come posticipare l’obbligo della MFA oppure attivarla subito per i tuoi account admin.
Notifica di MFA sui portali Microsoft
Quando accedi al Microsoft Entra Admin Center o ad altri portali amministrativi con un account admin, potresti vedere un messaggio che ti chiede di gestire l’autenticazione multifattoriale.
Se non ti appare subito, puoi cliccare sul link qui sotto per andare direttamente alla pagina di configurazione:
https://portal.azure.com/#view/Microsoft_Azure_Resources/MfaSettings.ReactView
Se ti viene chiesto di accedere con un account dotato di permessi da Amministratore Globale, usa un account che abbia questi privilegi.
Come posticipare l’obbligo di MFA
Anche se la cosa migliore è abilitare subito la MFA, puoi comunque scegliere di posticiparla. Ecco come fare:
- Accedi al portale Azure con un account che abbia il ruolo di Amministratore Globale.
- Vai a Microsoft Entra ID -> Proprietà -> Gestione Accessi per le risorse di Azure e imposta su Sì, poi clicca su Salva.
Ora torna alla notifica sull’autenticazione multifattoriale e seleziona l’opzione per posticipare. Una volta fatto, l’obbligo della MFA sarà rinviato fino al 15 marzo 2025.
Abilitare subito la MFA per gli account admin
Se invece preferisci abilitare subito l’autenticazione multifattoriale per i tuoi account admin, ecco i passaggi da seguire:
- Accedi al Microsoft Entra Admin Center con il ruolo di Amministratore di Accesso Condizionale (o superiore).
- Vai a Protezione > Accesso Condizionale, clicca su + Nuova Policy, e crea una nuova policy.
Dai un nome, per esempio: MFA Microsoft Admin Portal, e assegna la policy a un gruppo dinamico (ad esempio: Cloud Admins).
Ora seleziona le risorse a cui vuoi applicare la MFA. In questo caso, stiamo abilitando la MFA per i portali di amministrazione Microsoft, come:
- Portale Azure
- Centro di amministrazione di Exchange
- Centro di amministrazione di Microsoft 365
- Portale di Microsoft 365 Defender
- Microsoft Entra Admin Center
- Microsoft Intune Admin Center
- Portale di conformità di Microsoft Purview
- Centro di amministrazione di Microsoft Teams
A questo punto, imposta il controllo di accesso su Concedi solo se viene usata l’autenticazione multifattoriale.
Infine, attiva la policy impostandola su On e clicca su Crea.
Cosa vedranno gli admin cloud
Una volta che la MFA è attivata, gli amministratori cloud che fanno parte del gruppo Cloud Admins vedranno una richiesta di MFA ogni volta che accedono ai portali indicati. Ad esempio, se un admin prova ad accedere al portale di Intune, gli verrà chiesto di completare il processo di autenticazione tramite MFA.
Infine, attiva la policy impostandola su On e clicca su Crea.
Attivazione dell’accesso condizionale con licenze appropriate
Oltre all’abilitazione dell’autenticazione multifattoriale (MFA) per gli account amministrativi, è possibile implementare l’accesso condizionale per migliorare ulteriormente la sicurezza delle risorse aziendali. L’accesso condizionale consente di applicare regole specifiche per l’accesso alle risorse in base a determinati criteri, come la posizione dell’utente, il dispositivo utilizzato e il livello di rischio associato all’accesso.
Licenze necessarie per l’accesso condizionale
Per utilizzare le funzionalità di accesso condizionale, è necessario disporre di una delle seguenti licenze Microsoft:
- Microsoft 365 E3 o E5: Queste licenze forniscono accesso completo alle funzionalità di accesso condizionale, consentendo di configurare politiche dettagliate per la MFA e altre misure di sicurezza.
- Microsoft Entra ID P1 o P2: Queste licenze offrono funzionalità avanzate di gestione delle identità e accesso, inclusa la possibilità di implementare politiche di accesso condizionale.
Implementazione dell’accesso condizionale
Ecco i passaggi per attivare l’accesso condizionale:
- Accesso al Microsoft Entra Admin Center: Accedi al portale con un account che ha il ruolo di Amministratore di Accesso Condizionale.
- Creazione di una nuova policy: Vai a “Protezione” > “Accesso Condizionale” e clicca su “+ Nuova Policy“.
- Definizione dei criteri: Dai un nome alla policy e seleziona i gruppi a cui applicarla (ad esempio, Cloud Admins).
- Configurazione delle condizioni: Imposta le condizioni che devono essere soddisfatte per consentire l’accesso. Puoi includere fattori come:
- Posizione geografica
- Tipo di dispositivo
- Stato del dispositivo (ad esempio, conforme o non conforme)
- Applicazione della MFA: Nella sezione “Controlli di accesso“, seleziona “Concedi solo se viene usata l’autenticazione multifattoriale”.
- Attivazione della policy: Imposta la policy su “On” e clicca su “Crea“.
Benefici dell’accesso condizionale
L’implementazione dell’accesso condizionale offre diversi vantaggi:
- Maggiore sicurezza: Riduce il rischio di accessi non autorizzati, richiedendo MFA in scenari ad alto rischio.
- Flessibilità: Consente di adattare le regole in base alle esigenze aziendali e ai cambiamenti nel panorama delle minacce.
- Controllo granulare: Permette una gestione più dettagliata degli accessi, migliorando l’esperienza utente senza compromettere la sicurezza.
Conclusione
L’autenticazione multifattoriale sarà presto obbligatoria per tutti gli amministratori che accedono ai portali Microsoft come Azure, Intune, Microsoft 365 e altri.
Se hai bisogno di più tempo per implementarla, puoi posticipare l’obbligo fino a marzo 2025, ma ti consiglio di attivarla subito per garantire la massima sicurezza.
È fondamentale anche considerare il licensing appropriato per implementare l’Accesso Condizionale e la MFA. Assicurati di avere le licenze necessarie, come Microsoft 365 Business Premium, E3, E5 o Azure Active Directory Premium, per attivare queste funzionalità. La mancanza della licenza adeguata potrebbe impedire l’attivazione di queste importanti misure di sicurezza. Per ulteriori dettagli su come implementare la MFA o su come funziona nei portali Microsoft, dai un’occhiata agli articoli ufficiali:
- https://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-conditional-access-cloud-apps#microsoft-admin-portals
- https://learn.microsoft.com/en-us/entra/identity/authentication/concept-mandatory-multifactor-authentication