Il 15 ottobre 2024 rappresenta una data cruciale per tutte le aziende che utilizzano i servizi Microsoft Azure. A partire da questo giorno, Microsoft richiederà obbligatoriamente l’abilitazione della Multi-Factor Authentication (MFA) per tutti gli accessi ai principali portali amministrativi, tra cui Azure, Microsoft Entra e Intune. Questo obbligo, che ha l’obiettivo di rafforzare la sicurezza degli account aziendali, richiede una preparazione accurata per evitare disservizi e garantire la conformità. In questo articolo, esploreremo come le aziende possono prepararsi efficacemente a questa scadenza.
Comprendere l’ambito dell’enforcement
La prima fase di enforcement dell’MFA inizierà nella seconda metà del 2024 e riguarderà l’accesso ai seguenti portali e strumenti amministrativi:
- Azure portal
- Microsoft Entra admin center
- Microsoft Intune admin center
È importante notare che tutti gli utenti che effettuano operazioni di tipo Create, Read, Update, o Delete (CRUD) su questi portali saranno obbligati ad utilizzare l’MFA. Tuttavia, gli utenti finali che accedono ad applicazioni, siti web o servizi ospitati su Azure, ma non accedono direttamente ai portali amministrativi, non saranno soggetti a questo obbligo. L’abilitazione della MFA per questi utenti è controllata dal proprietario dell’applicazione o del servizio.
Valutare l’impatto dell’enforcement sull’organizzazione
È fondamentale che le aziende valutino l’impatto dell’enforcement MFA sui propri flussi di lavoro e sui propri utenti. In particolare, devono essere identificate tutte le identità utente che accedono ai portali amministrativi e verificare se l’MFA è già abilitata per questi account. Microsoft mette a disposizione strumenti come PowerShell e il “Multifactor Authentication Gaps workbook” per aiutare le organizzazioni a identificare gli utenti che ancora non utilizzano l’MFA.
Implementare l’MFA su tutti gli account amministrativi
Una volta identificati gli utenti coinvolti, è necessario abilitare l’MFA su tutti gli account amministrativi. Microsoft offre diverse opzioni per implementare l’MFA:
- Utilizzare le policy di Conditional Access: È consigliato iniziare con la modalità “report-only” per identificare eventuali problemi prima di applicare le policy in produzione.
- Abilitare i Security Defaults: Per le organizzazioni che non hanno esigenze di configurazione avanzate, i Security Defaults rappresentano un modo rapido per abilitare l’MFA in modo standardizzato.
- Preferire metodi di MFA resistenti al phishing: Microsoft raccomanda di utilizzare metodi come il passkey FIDO2 o l’autenticazione basata su certificati per massimizzare la sicurezza.
L’utente riceve un codice di verifica tramite un SMS sul proprio telefono, che deve essere inserito al momento dell’accesso.
Pianificare la comunicazione e la formazione per gli Utenti
Un altro aspetto cruciale della preparazione riguarda la comunicazione e la formazione degli utenti. Gli amministratori globali riceveranno notifiche via email, nel portale e nel Microsoft 365 message center. È importante che queste informazioni siano comunicate agli utenti coinvolti, accompagnate da istruzioni chiare su come configurare e utilizzare l’MFA.
Le aziende dovrebbero inoltre organizzare sessioni di formazione per assicurarsi che tutti gli utenti comprendano l’importanza dell’MFA e siano in grado di utilizzarla senza difficoltà.
Gestire le eccezioni e le identità di servizio
Per alcune identità particolari, come gli account di emergenza o gli account di servizio, l’abilitazione dell’MFA potrebbe richiedere una gestione differente. Microsoft raccomanda di migrare gli account di servizio basati su utenti a identità di workload sicure e di configurare metodi di MFA specifici, come FIDO2 o certificati, per gli account di emergenza.
Richiedere una proroga se necessario
Microsoft comprende che alcune organizzazioni potrebbero avere bisogno di più tempo per prepararsi a questa transizione. Tra il 15 agosto 2024 e il 15 ottobre 2024, gli amministratori globali avranno la possibilità di richiedere una proroga fino al 15 marzo 2025. Tuttavia, è importante essere consapevoli che richiedere una proroga comporta un rischio maggiore, poiché gli account amministrativi rimarranno esposti a potenziali attacchi fino all’abilitazione dell’MFA.
Conclusioni
La scadenza del 15 ottobre 2024 rappresenta un momento chiave per la sicurezza delle aziende che utilizzano i servizi Microsoft. Prepararsi adeguatamente è essenziale per garantire la continuità operativa e la protezione degli account aziendali. Seguire i passaggi descritti in questo articolo aiuterà le organizzazioni a conformarsi all’obbligo dell’MFA senza incorrere in problemi operativi. Nei prossimi articoli, continueremo a fornire consigli e strumenti per aiutare le aziende a gestire al meglio questa transizione critica. Assicuratevi di rimanere aggiornati per non perdere ulteriori informazioni essenziali.
Fonti:
https://learn.microsoft.com/en-us/entra/identity/monitoring-health/workbook-mfa-gaps