Microsoft Cloud: MFA obbligatoria per i portali Azure, Intune, Entra a partire dalla seconda metà del 2024

MFA obbligatoria per i portali Microsoft Cloud

La sicurezza è una priorità fondamentale per Microsoft e per i suoi clienti. Con l’aumento delle minacce informatiche e dei tentativi di violazione, è essenziale proteggere gli account e le risorse cloud con metodi di autenticazione robusti e affidabili. L’autenticazione a più fattori (MFA) è una delle misure di sicurezza più efficaci per prevenire gli accessi non autorizzati e le perdite di dati. MFA richiede agli utenti di fornire due o più fattori di autenticazione, come una password, un codice, un’impronta digitale o un dispositivo, per verificare la propria identità e accedere ai servizi cloud.

In questo articolo, viene illustrato il requisito di Microsoft di introdurre l’autenticazione multifattoriale obbligatoria per tutti gli accessi ad Azure a partire dal 2024. Vengono spiegati quali applicazioni e account saranno soggetti a questo requisito, come prepararsi all’autenticazione multifactor obbligatoria e come richiedere più tempo per l’adeguamento, se necessario. Sono inoltre fornite risorse e collegamenti utili per approfondire il tema della MFA e della sicurezza in Azure.

Ambito di Applicazione

Questo requisito si applica a tutte le applicazioni e gli account che accedono ai portali di amministrazione e ai client di Azure, come il portale di Azure, l’interfaccia di amministrazione di Microsoft Entra, l’interfaccia di amministrazione di Microsoft Intune, l’interfaccia command line di Azure, Azure PowerShell, l’app per dispositivi mobili di Azure e gli strumenti IaC (Infrastructure as Code). Tutti gli utenti che eseguono qualsiasi operazione di creazione, lettura, aggiornamento o eliminazione (CRUD), tramite queste applicazioni, dovranno usare l’autenticazione a più fattori. Gli utenti finali che accedono ad applicazioni, siti web o servizi ospitati in Azure, ma non accedono alle applicazioni elencate, non devono usare l’autenticazione a più fattori, a meno che non sia richiesto dall’applicazione, dal sito web o dal proprietario del servizio.

Nota: si consiglia di aggiornare gli account Break Glass (o emergency access) per usare passkey (FIDO2) o configurare l’autenticazione basata su certificati.

Fasi di Implementazione

L’applicazione dell’autenticazione a più fattori verrà implementata in due fasi:

  • Fase 1: a partire dalla seconda metà del 2024, l’autenticazione a più fattori sarà necessaria per accedere al portale di Azure, all’interfaccia di amministrazione di Microsoft Entra e all’interfaccia di amministrazione di Microsoft Intune. L’applicazione verrà distribuita gradualmente in tutti i tenant, in tutto il mondo.
  • Fase 2: a partire dall’inizio del 2025, l’applicazione dell’autenticazione a più fattori inizierà gradualmente per l’accesso alla CLI di Azure, Ad Azure PowerShell, all’app per dispositivi mobili di Azure e agli strumenti IaC.

Nota: si consiglia di eseguire la migrazione degli account utente di servizio.

Canali di Notifica

Microsoft informerà tutti gli amministratori globali di Microsoft Entra tramite i canali seguenti:

  • Posta elettronica: gli amministratori globali, che hanno configurato un indirizzo di posta elettronica, verranno informati tramite posta elettronica dell’applicazione dell’autenticazione a più fattori imminente e le azioni necessarie per essere preparati.
  • Integrità del servizio: gli amministratori globali riceveranno una notifica sull’integrità del servizio tramite il portale di Azure, con l’ID 4V20-VX0. Questa notifica contiene le stesse informazioni del messaggio di posta elettronica. Gli amministratori globali possono anche registrarsi per ricevere le notifiche sull’integrità del servizio tramite posta elettronica.
  • Notifica del portale: una notifica verrà visualizzata nel portale di Azure, nell’interfaccia di amministrazione di Microsoft Entra e nell’interfaccia di amministrazione di Microsoft Intune quando accedono.
  • Centro messaggi di Microsoft 365: verrà visualizzato un messaggio nel Centro messaggi di Microsoft 365, con le stesse informazioni della notifica sull’integrità del servizio e della posta elettronica.

Preparare l’autenticazione a Più Fattori

Tutti gli utenti che accedono ai portali di amministrazione, e ai client di Azure, devono essere configurati per l’uso dell’autenticazione a più fattori. Si possono usare diversi metodi di autenticazione, come il codice di verifica, l’app Microsoft Authenticator, il token hardware o la chiave di sicurezza.

Nota: si consiglia di preferire i metodi MFA più sicuri resistenti al phishing, come l’app Microsoft Authenticator o la passkey (FIDO2).

Si possono usare le risorse seguenti per configurare l’autenticazione a più fattori per gli utenti:

Metodi di Autenticazione Esterni e Provider di Identità

Se si usa una soluzione MFA esterna o un provider di identità federato (IdP), sarà necessario assicurarsi che il provider MFA o IdP sia integrato con Microsoft Entra e che invii un claim MFA. Il supporto per le soluzioni MFA esterne, alla data della stesura di questo articolo, è disponibile in preview.

Posticipare l’applicazione della Policy

Alcuni clienti potrebbero avere bisogno di più tempo per prepararsi a questo requisito di autenticazione a più fattori. Microsoft consente periodi di tolleranza (grace period) per i clienti con ambienti complessi o barriere tecniche. Tra il 15/08/2024 e il 15/10/2024, gli amministratori globali potranno accedere al portale di Azure per posticipare la data di inizio dell’imposizione della policy per il tenant al 15/03/2025.
Gli amministratori globali dovranno eseguire questa azione per ogni tenant per cui desiderano posticipare la data di inizio dell’imposizione.

Naturalmente, posticipando la data di inizio dell’imposizione, ci si assume un rischio aggiuntivo perché gli account che accedono ai servizi Microsoft come il portale di Azure sono obiettivi estremamente importanti per gli hacker, bad actor, cracker ecc. È consigliabile configurare da subito l’autenticazione a più fattori per proteggere le proprie risorse cloud.