Guide

Usare cloud-init per personalizzare una macchina virtuale Linux in Azure al primo avvio

Quando create una macchina virtuale Linux in Azure, spesso è necessario eseguire attività ripetitive come installare pacchetti, creare utenti oppure configurare servizi. Fare tutto manualmente richiede tempo e aumenta il rischio di errori. Per automatizzare queste operazioni Microsoft supporta cloud-init, uno standard open source utilizzato per configurare automaticamente le VM Linux durante il primo avvio. Con cloud-init potete definire in un file YAML tutte le attività che la macchina dovrà eseguire automaticamente, ad esempio: installazione di software; configurazione degli utenti; aggiunta delle chiavi SSH; esecuzione di script Bash. Questo approccio consente di ottenere deployment più rapidi, coerenti e ripetibili, soprattutto…

access_time visibility

Hardening delle azioni amministrative: cosa cambia per SID duplicati, imaging, Kerberos, NTLM e privilegi admin

Negli ultimi anni Microsoft sta seguendo una direzione abbastanza chiara: rendere Windows sempre meno tollerante verso configurazioni storicamente “funzionanti” ma non necessariamente sicure. Non parliamo solo di nuove funzionalità, nuove baseline o nuovi controlli opzionali. Parliamo di un cambio più profondo: Windows sta iniziando a trattare l’identità della macchina, il processo di autenticazione e l’elevazione amministrativa come superfici di sicurezza da proteggere in modo molto più rigoroso. Il recente articolo pubblicato sul Windows IT Pro Blog, “Hardening administrative actions: What IT pros need to know“, va esattamente in questa direzione. Microsoft segnala che alcune modifiche di hardening possono richiedere cambiamenti…

access_time visibility

Microsoft Intune App Inventory: il nuovo inventario applicazioni avanzato per Windows

L’inventario applicazioni di Microsoft Intune è sempre stato uno strumento utile per monitorare il software installato nei dispositivi gestiti, ma il vecchio sistema basato sulle Discovered Apps presentava diversi limiti, soprattutto nella frequenza di aggiornamento e nel dettaglio delle informazioni raccolte. Con il nuovo App Inventory, Microsoft introduce un sistema più moderno ed efficace, pensato per offrire una visibilità più completa sulle applicazioni installate nei device Windows gestiti con Intune. La nuova funzionalità permette di ottenere dati più dettagliati, aggiornati più volte al giorno, migliorando in modo significativo le attività di gestione, auditing e troubleshooting. Come funziona Il nuovo App…

access_time visibility

Disabilitare la Directory Synchronization in Microsoft Entra ID e migrare a un ambiente Cloud Only

L’obiettivo della disabilitazione della Directory Synchronization è completare la transizione verso un’infrastruttura Cloud Only, eliminando la dipendenza dall’Active Directory on-premises e centralizzando completamente la gestione delle identità su Microsoft 365 ed Entra ID. Disattivando la sincronizzazione tra ambiente locale e tenant Microsoft 365, gli account non saranno più gestiti tramite Active Directory on-premises ma direttamente dal cloud. Questo approccio consente di semplificare l’infrastruttura, ridurre i componenti da mantenere e rendere più immediata l’amministrazione degli utenti. Prima di procedere è necessario verificare che tutti gli account e gli oggetti richiesti siano già presenti e correttamente configurati nel tenant Microsoft 365, evitando…

access_time visibility

WinGet: governare l’uso della CLI con AppLocker

Quando si introduce WinGet in un modello di application lifecycle management, il vantaggio si vede subito: meno attività manuali nella gestione delle versioni, meno repackaging ripetitivo e una maggiore flessibilità nella distribuzione e nell’aggiornamento delle applicazioni. Questo approccio diventa particolarmente utile quando si lavora con Microsoft Intune e si vogliono costruire app Win32 evergreen, cioè pacchetti in grado di installare o aggiornare il software facendo riferimento a una logica più dinamica rispetto al classico installer statico. Fin qui tutto bene. Il tema arriva subito dopo, quando la stessa CLI che utilizziamo per i deployment gestiti resta disponibile anche all’utente finale.…

access_time visibility

Gestione degli utenti duplicati in Microsoft Entra ID con Entra Connect Sync: dal Soft Match all’Hard Match

Nel corso delle attività su ambienti Microsoft 365 vi sarà probabilmente capitato di incontrare tenant in cui gli utenti sono stati inizialmente creati direttamente nel cloud e solo in un secondo momento si è deciso di integrarli con l’infrastruttura locale tramite Microsoft Entra Connect Sync. Quando avviate la sincronizzazione con Microsoft Entra ID, il motore tenta automaticamente di associare ogni oggetto on-premises a un oggetto già esistente nel tenant. Questo processo si basa su attributi chiave come userPrincipalName, proxyAddresses (in particolare l’indirizzo primario SMTP:) e sourceAnchor (immutableId). Se la corrispondenza avviene sugli attributi UPN o proxyAddresses si parla di Soft…

access_time visibility

Migrazione di una Certification Authority (CA) a Windows Server 2025

La migrazione di una Certification Authority (CA) rappresenta un’attività critica all’interno di qualsiasi infrastruttura PKI. La CA è infatti il punto centrale di fiducia per l’emissione e la gestione dei certificati digitali, ed è progettata per operare per anni, spesso attraversando diversi cicli di vita hardware e software. Quando decidete di migrare una CA, non state semplicemente spostando un servizio, ma state garantendo la continuità operativa di tutti i sistemi che dipendono da essa: autenticazione, cifratura, firma digitale e identità dei servizi. Una migrazione eseguita correttamente consente di mantenere integrità, affidabilità e fiducia senza interruzioni percepibili dagli utenti o dai…

access_time visibility

Device Code Phishing: cos’è e come gestirlo con Conditional Access

Nel corso dei primi mesi del 2026 si è visto un importante aumento di attacchi legati al Device Code Phishing. Microsoft stessa, nel Digital Defense Report 2025, ne documenta l’ampio sfruttamento da parte di cybercriminali e gruppi organizzati. Si riporta che il 93% degli attacchi di tipo Device Code Phishing osservati da Microsoft nel 2025 sono concentrati nella seconda metà dell’anno. Con questa guida voglio aiutarti a capirne di più e a mitigare questo insidioso attacco nel modo più semplice ed efficace. Sfrutteremo uno degli strumenti di sicurezza più potenti messi a disposizione dalla suite Microsoft365: Conditional Access. Che cos’è…

access_time visibility

Upgrade a Windows Server 2025: da 2012 R2, 2016, 2019 e 2022 in un unico passaggio

Se state valutando il passaggio a Windows Server 2025, c’è una novità che incide davvero sul modo in cui gestite l’upgrade. Fino ad oggi, se partivate da versioni come Windows Server 2012 R2 o 2016, eravate costretti a passaggi intermedi, con più upgrade in sequenza, tempi lunghi e margine di errore più alto. Era una procedura che conosciamo bene: funzionava, ma era tutt’altro che efficiente. Con Windows Server 2025, questo limite viene superato. Potete eseguire un upgrade diretto partendo da quattro versioni precedenti, quindi 2012 R2, 2016, 2019 e 2022, senza passaggi intermedi. Non è solo una questione di comodità.…

access_time visibility

Configurare MTA-STS in Exchange Online e Azure DNS

La sicurezza del trasporto SMTP è un elemento fondamentale per proteggere le comunicazioni email da intercettazioni e attacchi di tipo man-in-the-middle. Sebbene il protocollo TLS sia ormai ampiamente utilizzato, di default non è obbligatorio e può essere soggetto a tentativi di downgrade. MTA-STS (Mail Transfer Agent Strict Transport Security) nasce proprio per risolvere questo limite: consente al vostro dominio di dichiarare esplicitamente che le email devono essere recapitate solo tramite connessioni TLS sicure, definendo anche quali server MX sono autorizzati a riceverle. Questo avviene attraverso una combinazione di record DNS e una policy HTTPS, che insieme permettono ai server mittenti…

access_time visibility