Cloud

Gestione degli utenti duplicati in Microsoft Entra ID con Entra Connect Sync: dal Soft Match all’Hard Match

Nel corso delle attività su ambienti Microsoft 365 vi sarà probabilmente capitato di incontrare tenant in cui gli utenti sono stati inizialmente creati direttamente nel cloud e solo in un secondo momento si è deciso di integrarli con l’infrastruttura locale tramite Microsoft Entra Connect Sync. Quando avviate la sincronizzazione con Microsoft Entra ID, il motore tenta automaticamente di associare ogni oggetto on-premises a un oggetto già esistente nel tenant. Questo processo si basa su attributi chiave come userPrincipalName, proxyAddresses (in particolare l’indirizzo primario SMTP:) e sourceAnchor (immutableId). Se la corrispondenza avviene sugli attributi UPN o proxyAddresses si parla di Soft…

access_time visibility

Device Code Phishing: cos’è e come gestirlo con Conditional Access

Nel corso dei primi mesi del 2026 si è visto un importante aumento di attacchi legati al Device Code Phishing. Microsoft stessa, nel Digital Defense Report 2025, ne documenta l’ampio sfruttamento da parte di cybercriminali e gruppi organizzati. Si riporta che il 93% degli attacchi di tipo Device Code Phishing osservati da Microsoft nel 2025 sono concentrati nella seconda metà dell’anno. Con questa guida voglio aiutarti a capirne di più e a mitigare questo insidioso attacco nel modo più semplice ed efficace. Sfrutteremo uno degli strumenti di sicurezza più potenti messi a disposizione dalla suite Microsoft365: Conditional Access. Che cos’è…

access_time visibility

Configurare MTA-STS in Exchange Online e Azure DNS

La sicurezza del trasporto SMTP è un elemento fondamentale per proteggere le comunicazioni email da intercettazioni e attacchi di tipo man-in-the-middle. Sebbene il protocollo TLS sia ormai ampiamente utilizzato, di default non è obbligatorio e può essere soggetto a tentativi di downgrade. MTA-STS (Mail Transfer Agent Strict Transport Security) nasce proprio per risolvere questo limite: consente al vostro dominio di dichiarare esplicitamente che le email devono essere recapitate solo tramite connessioni TLS sicure, definendo anche quali server MX sono autorizzati a riceverle. Questo avviene attraverso una combinazione di record DNS e una policy HTTPS, che insieme permettono ai server mittenti…

access_time visibility

Configurare SMTP DANE in Exchange Online con DNSSEC in Azure DNS

Dopo aver visto come implementare DNSSEC in Azure DNS, il passo successivo naturale è aumentare il livello di sicurezza della posta elettronica. In questo scenario entra in gioco SMTP DANE (DNS-based Authentication of Named Entities), una tecnologia che permette di associare i certificati TLS ai record DNS firmati, eliminando la dipendenza esclusiva dalle autorità di certificazione pubbliche. In questa guida ci concentreremo su come integrare SMTP DANE con Exchange Online, utilizzando Azure DNS con DNSSEC già attivo. L’obiettivo è consentirvi di garantire che le comunicazioni SMTP siano non solo cifrate, ma anche autenticate tramite DNS sicuro, riducendo drasticamente il rischio…

access_time visibility

SharePoint come area di scambio temporanea: Retention policy con Microsoft Purview

SharePoint è una piattaforma Cloud di Microsoft, inclusa nella suite, Microsoft 365, che permette alle organizzazioni di archiviare, gestire, condividere e accedere a documenti e informazioni in modo sicuro da qualsiasi dispositivo. Funge da Intranet Aziendale, sito di collaborazione per Team e sistema di gestione documentale, ottimizzando produttività e condivisione da parte delle organizzazioni. Di seguito vi riporto le caratteristiche principali: Gestione Documentale: Organizza file, crea raccolte documenti e permette il co-autorhing in tempo reale Collaborazione: Consente di creare siti per progetto e siti di comunicazione per intranet aziendali Accesso in Cloud: Essendo la piattaforma Cloud Based, non richiede infrastrutture…

access_time visibility

Implementare DNSSEC in una zona DNS Azure

Quando parlate di sicurezza nel DNS entrate in un ambito storicamente basato sulla fiducia implicita. Con DNSSEC (Domain Name System Security Extensions) introducete un livello di protezione fondamentale: la validazione crittografica delle risposte DNS. Non vi limitate più a ricevere una risposta, ma potete verificarne autenticità e integrità. Il meccanismo si basa sulla firma digitale dei record DNS e su una catena di fiducia che parte dalla root e arriva fino alla vostra zona. Questo vi consente di prevenire attacchi come DNS cache poisoning e man-in-the-middle, garantendo che le informazioni non vengano alterate durante la risoluzione. Adottando DNSSEC, aumentate in…

access_time visibility

Azure VM serie 6 e Azure Boost: meno overhead, più prestazioni

Negli ultimi mesi ho utilizzato parecchio le nuove VM serie 6 di Microsoft Azure nei miei corsi e nei lab, e devo dire che le ho trovate molto performanti. La sensazione, fin dai primi utilizzi, è quella di avere tra le mani macchine più reattive, che reggono meglio carichi anche contemporanei senza “sedersi”. Parliamo di scenari concreti: più macchine accese, deployment continui, test, magari qualche script di automazione. Situazioni normali per chi fa formazione o lavora su ambienti dinamici. Ecco, in questi contesti la differenza si nota. Non è solo una questione di CPU o RAM. Dietro c’è anche Azure…

access_time visibility

Elevate Access: gestire tutte le subscription e i management group Azure

Quando lavoriamo in Azure può capitare una situazione apparentemente strana: siamo Global Administrator, ma non abbiamo accesso alle subscription. Non è un errore, è una scelta precisa di Microsoft Entra ID, dove i ruoli di directory sono separati da quelli di Azure RBAC. Per colmare temporaneamente questo “gap” esiste Elevate Access. Attivandolo, ci assegniamo il ruolo di User Access Administrator a livello globale, ottenendo visibilità su tutte le risorse e la possibilità di gestire i permessi ovunque. In pratica, possiamo darci accesso a qualsiasi subscription. Qui però sta il punto: è una funzionalità molto potente e va usata solo quando…

access_time visibility

Azure Bastion: connessione tramite IP (IP-based connection)

Se lavorate con ambienti ibridi o multi-cloud vi sarete sicuramente scontrati con un problema molto concreto: come accedere in modo sicuro a macchine che non hanno (e non devono avere) un IP pubblico. Fino a poco tempo fa, con Azure Bastion eravate vincolati a connettervi solo a risorse Azure “note” (quindi VM registrate nel portale). Questo funzionava bene, ma diventava limitante appena uscivate dallo scenario classico: una VM on-premises, una macchina in un altro cloud oppure semplicemente un host raggiungibile via IP all’interno della vostra rete. Con la funzionalità IP-based connection Azure Bastion fa un passo in più: vi permette…

access_time visibility

Accesso RDP sicuro alle VM Azure tramite Azure Bastion e Microsoft Entra ID

Negli ultimi anni abbiamo smesso di esporre le VM su Internet tramite IP pubblici e porte aperte. RDP e SSH accessibili dall’esterno non sono più accettabili in un modello di sicurezza moderno, dove l’identità diventa il vero perimetro. Azure Bastion ha già risolto buona parte del problema, permettendovi di accedere alle macchine direttamente dal portale senza esporle. Tuttavia, fino a poco tempo fa, l’autenticazione continuava a basarsi su credenziali locali della VM. La novità è l’integrazione con Microsoft Entra ID, attualmente in preview. Questo vi permette di autenticarvi usando direttamente la vostra identità aziendale, applicando MFA e Conditional Access, senza…

access_time visibility