Secondo un rapporto di Verizon, la maggior parte delle violazioni dei dati sono rese possibili da credenziali compromesse, in particolare sui server di posta elettronica. Ingegneria sociale, phishing delle credenziali e attacchi di forza bruta sono alcuni dei metodi utilizzati da attori malintenzionati per rubare le credenziali.
Per migliorare la sicurezza degli accessi a Office e contribuire a prevenire le violazioni dei dati, Microsoft ha introdotto il metodo di autenticazione moderna. Questo metodo richiede un’ulteriore autenticazione e autorizzazione dell’utente durante la connessione alle risorse online di Office 365.
A causa dei suoi significativi vantaggi, l’autenticazione moderna è stata abilitata per impostazione predefinita in tutti i tenant di Office 365 creati dal 2017. È l’unico metodo di accesso disponibile per le app e i servizi di Office 365. Tuttavia, nelle distribuzioni ibride in locale-cloud di Office, è necessario abilitare manualmente l’autenticazione moderna per le versioni più datate dei client di Office e disabilitare l’autenticazione di base quando possibile.
Questo blog offre una breve panoramica dei metodi di autenticazione di base e moderna per le distribuzioni ibride di Office e fornisce i passaggi per abilitare l’autenticazione moderna in Office 365.
Autenticazione Moderna vs. Autenticazione di Base
Fino alla deprecazione dell’autenticazione di base prevista per la fine del 2022, Microsoft fornirà due tipi di autenticazione per le distribuzioni ibride di Exchange e Skype for Business: autenticazione di base e autenticazione moderna. Si noti che per la connessione a SharePoint Online utilizzando un client, sono disponibili solo l’autenticazione moderna e l’Assistente di accesso online di Microsoft.
Questi due metodi di autenticazione differiscono ampiamente in termini di capacità di protezione. Anche se l’autenticazione di base sarà deprecata entro la fine di quest’anno, è importante comprendere le differenze tra le due opzioni.
Cos’è l’autenticazione di base?
L’autenticazione di base è il processo di connessione alle applicazioni di Office 365 utilizzando solo un nome utente e una password. Quando si inseriscono nome utente e password in un client di posta elettronica, questi vengono trasmessi a Exchange Online per la verifica e l’autenticazione prima di connetterti al servizio cloud.
Questo è un metodo obsoleto che non può più fornire una protezione adeguata contro le minacce alle credenziali. Una delle principali vulnerabilità dell’autenticazione di base è che le applicazioni memorizzano le credenziali dell’utente sul dispositivo, il che crea più opportunità per gli hacker che cercano di rubare le password. Inoltre, molte delle funzionalità di gestione dell’identità e dell’accesso di Microsoft, come l’Accesso condizionale e l’autenticazione multi-fattore (MFA), non sono disponibili con questa autenticazione legacy di Office 365.
Cos’è l’autenticazione moderna?
L’autenticazione moderna è una combinazione di diversi metodi di autenticazione e autorizzazione per accedere alle risorse cloud di Microsoft Office. L’autenticazione moderna si basa sulla Active Directory Authentication Library (ADAL) e su OAuth 2.0.
- La Libreria di Autenticazione della Directory Attiva è uno strumento di autenticazione per le app per accedere a risorse protette tramite token di sicurezza. Con ADAL, gli utenti ottengono anche l’accesso tramite single sign-on (SSO) per un accesso senza soluzione di continuità alle risorse di Office 365 disponibili per loro.
- OAuth 2.0 è un protocollo di autorizzazione che consente agli utenti di accedere alle risorse tramite un’app client usando token di accesso. Questo framework coinvolge la delega di accesso e, come tale, le credenziali dell’utente non vengono condivise con il server delle risorse.
Il framework di autenticazione moderna aggiunge uno strato di sicurezza aggiuntivo per gli utenti che accedono alle loro risorse Microsoft 365 da app client. Inoltre, questo framework consente l’attivazione dell’autenticazione multi-fattore (MFA) e l’uso delle politiche di Accesso Condizionale.
Come Abilitare l’Autenticazione Moderna in Office 365
Per i tenant Microsoft creati prima di agosto 2017, ci sono diversi metodi per abilitare l’autenticazione moderna in Office 365:
Usando il centro amministrativo di Microsoft 365
Per attivare l’autenticazione moderna in Office 365 tramite il centro amministrativo:
- Accedi al centro amministrativo di Microsoft 365.
Nel riquadro di navigazione a sinistra, espandi Impostazioni e poi fai clic suImpostazioni organizzazione . - Nel riquadro di navigazione a sinistra, espandi Impostazioni e quindi fare clic su Impostazioni organizzazione.
- Sotto Servizi, scegli Autenticazione moderna.
- Seleziona la casella di controllo Attiva autenticazione moderna per Outlook 2013 per Windows e versioni successive (consigliato).
- Fare clic su Salva.
Utilizzando Exchange Online PowerShell
Segui i passaggi seguenti per attivare l’autenticazione moderna utilizzando Exchange Online PowerShell:
- Connetti a Exchange Online PowerShell.
- Esegui il seguente comando per i client Outlook 2013 o successivi:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $true - Verifica che il cambiamento sia stato eseguito con successo e che l’autenticazione moderna sia stata abilitata con questo comando:
Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
È importante notare che questo non ti impedisce di utilizzare il metodo di autenticazione di base. Tuttavia, puoi forzare l’uso dell’autenticazione legacy di O365 in Outlook 2013 o successivo eseguendo il comando:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $false
Disabilitazione dell’autenticazione di base di Office 365
Dopo aver abilitato l’autenticazione moderna in Office 365, ora puoi disabilitare i protocolli di autenticazione di base. Tuttavia, devi assicurarti che nessun utente ne beneficchi. Segui questi passaggi per verificare se qualcuno sta utilizzando l’autenticazione di base:
- Apri il tuo account Microsoft Azure.
- Accedi al Azure Active Directory.
- Seleziona Registri di accesso nella barra di navigazione a sinistra.
- Modifica Intervallo di date in Ultimi 7 giorni o più.
- Fai clic su Aggiungi filtri.
- Seleziona App client quindi fai clic su Applica.
- Fai clic sul nuovo filtro appena creato App client.
- Metti una spunta su tutte le caselle sotto Client di autenticazione legacy
- Fai clic su Applica.
Questa lista include tutti gli eventi di accesso con i rispettivi utenti e applicazioni. Prima di disabilitare l’autenticazione di base, puoi migrare tutte queste applicazioni ai protocolli di autenticazione moderni in modo da non perderle.
Per disabilitare l’autenticazione legacy O365:
- Accedi al Centro di amministrazione Microsoft 365.
- Nella barra di navigazione a sinistra, espandi Impostazioni e fai clic su Impostazioni organizzazione.
- Scegli Autenticazione moderna sotto Servizi.
- Deseleziona tutte le caselle sotto Consenti l’accesso ai protocolli di autenticazione di base.
- Fai clic su Salva.
Outlook Autenticazione moderna
Mentre le ultime edizioni di Outlook supportano l’autenticazione moderna per impostazione predefinita, aggiungerla a client più vecchi richiede una configurazione manuale. Versioni diverse di Outlook hanno requisiti diversi per abilitare l’autenticazione moderna:
- Outlook 2010 o precedenti: L’autenticazione moderna non è supportata e è necessario aggiornare Outlook per beneficiare di questa funzionalità.
- Outlook 2013: L’autenticazione moderna è disponibile ma non è abilitata per impostazione predefinita, e si dovrebbe forzare Outlook ad usarla una volta abilitata.
- Outlook 2016 o successivo + Outlook 365: L’autenticazione moderna è disponibile ed è abilitata per impostazione predefinita.
La tabella seguente riassume i requisiti di ogni versione:
| Versione di Outlook | Autenticazione moderna | Chiave EnableADAL reg | Forza autenticazione moderna |
| Outlook 2010 | Non supportato | Non disponibile | Non disponibile |
| Outlook 2013 | Supportato | Obbligatorio | Obbligatorio |
| Outlook 2016 | Supportato | Non richiesto | Non richiesto |
| Outlook 2019 | Supportato | Non richiesto | Non richiesto |
| Outlook 365 | Supportato | Non richiesto | Non richiesto |
Autenticazione moderna in Outlook 2013
Come precedentemente menzionato, Outlook 2013 supporta l’autenticazione moderna ma utilizza l’autenticazione di base per impostazione predefinita. È possibile attivare manualmente l’autenticazione moderna.
Per fare ciò, è necessario aggiungere le seguenti chiavi nel registro di sistema di Windows:
| Chiave del Registro | Tipo | Valore |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\EnableADAL | REG_DWORD | 1 |
| HKCU\SOFTWARE\Microsoft\Office\15.0\Common\Identity\Version | REG_DWORD | 1 |
Dopo aver impostato queste chiavi, Microsoft consiglia di aggiungere un’altra chiave del registro per forzare Outlook 2013 ad utilizzare l’autenticazione moderna in modo che non torni all’autenticazione di base. La chiave che dovresti utilizzare è:
| Chiave del Registro | Tipo | Valore |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Autenticazione moderna in Outlook 2016 o versioni successive
Mentre l’autenticazione moderna è abilitata per impostazione predefinita in Outlook 2016, si consiglia di forzare l’autenticazione moderna con la chiave del registro riportata di seguito:
| Chiave del Registro | Tipo | Valore |
| HKEY_CURRENT_USER\Software\Microsoft\Exchange\AlwaysUseMSOAuthForAutoDiscover | REG_DWORD | 1 |
Autenticazione moderna di Skype for Business
Poiché l’autenticazione moderna è disattivata per impostazione predefinita per tutti i tenant Microsoft creati prima del 1 agosto 2017, è necessario attivarla manualmente. Proprio come in Outlook, è possibile abilitare l’autenticazione moderna in Skype for Business con le seguenti chiavi del registro:
| Chiave del Registro | Tipo | Valore |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync\ AllowAdalForNonLyncIndependentOfLync | REG_DWORD | 1 |
Conclusion
Microsoft sta gradualmente eliminando l’autenticazione legacy di O365 poiché un semplice set di credenziali non può più garantire la protezione di sicurezza necessaria. Fortunatamente, sono disponibili altre misure di sicurezza, e si consiglia di attivare l’autenticazione moderna in Office 365. Una volta abilitata, è possibile attivare l’autenticazione a più fattori (MFA), definire le autorizzazioni e limitare l’accesso a specifiche applicazioni per gli utenti.
Detto ciò, avere una soluzione di backup completa di terze parti assicura una protezione ottimale per gli ambienti Office 365. Una soluzione completa di protezione dati come NAKIVO Backup & Replication include tutti gli strumenti necessari per proteggere i dati di Microsoft 365 nella tua organizzazione.
Source:
https://www.nakivo.com/blog/enable-modern-authentication-office-365/