Nicola Ferrini

Migrazione verso politiche di autenticazione unificata per multi-factor authentication e self-service password reset in Microsoft Entra ID

Visualizzazioni: 706

Con l’imminente scadenza del 30 settembre 2025, si avvicina un cambiamento significativo nella gestione delle policy di autenticazione multi-fattore e di reimpostazione della password self-service. Le policy legacy verranno deprecate, lasciando spazio a un’unica gestione integrata di tutti i metodi di autenticazione tramite la nuova policy dei metodi di autenticazione di Microsoft Entra ID Security. Questa evoluzione rappresenta un passaggio cruciale per garantire una maggiore sicurezza e una gestione più fluida delle credenziali di accesso all’interno delle organizzazioni. In questo contesto, diventa essenziale per voi comprendere come gestire la migrazione dalle policy legacy alla nuova policy unificata, garantendo al contempo che i processi di autenticazione restino sia sicuri che efficienti. La transizione rappresenta non solo un obbligo normativo ma anche un’opportunità per migliorare le pratiche di sicurezza informatica aziendale.

Nel portale Microsoft Entra infatti è ben visibile nel nodo Authentication Methods il banner che vi avvisa della necessità di migrazione delle vecchie policy. Cliccando sul link Manage migration: Use policy for authentication only, respect legacy policies. Questa opzione rappresenta una fase intermedia cruciale nel processo di transizione, consentendovi di adottare la nuova politica per la gestione dei metodi di autenticazione, mantenendo al contempo il rispetto delle politiche legacy esistenti. Questo approccio graduale è ideale per coloro che cercano di minimizzare l’impatto sulle operazioni quotidiane e garantire una transizione fluida per gli utenti finali. La scelta di questa modalità vi permetterà di testare l’efficacia e la compatibilità della nuova politica in un ambiente di produzione, senza compromettere le procedure di sicurezza stabilite, facilitando così una migrazione senza intoppi verso le politiche più moderne e sicure.

Figura 1: Manage migration: Use policy for authentication only, respect legacy policies

A titolo di esempio, vi mostro qual è l’attuale situazione nel tenant che sto utilizzando. Per il Self- Service password reset sono consentiti diversi metodi, come mostrato nella figura sotto:

Figura 2: Metodi consentiti per il self- service password reset

Mentre per la Multi-factor Authentication sono consentiti a metodi previsti nella policy legacy.

Figura 3: Multi-factor authentication settings

Come si può vedere dalla figura sotto, sono autorizzati diversi metodi di verifica per le Multi-factor Authentication.

Figura 4: Additional cloud-based multifactor authentication settings

Migrazione verso l’esperienza unificata di utilizzo dei metodi di autenticazione

Dal portale di Microsoft Entra, nel ramo Authentication methods – Policies, cliccando sul link Manage migration, troverete un’altra fase importante del processo di migrazione, definita Migration In Progress: Use policy for authentication and SSPR, respect legacy policies. Questa opzione segna un passo avanti significativo nel processo di transizione verso la nuova politica unificata di autenticazione, indicando che la migrazione è attivamente in corso. Attraverso questa modalità, viene data la possibilità di applicare la nuova politica sia per i metodi di autenticazione che per la reimpostazione della password self-service (SSPR), pur continuando a rispettare le politiche legacy durante il periodo di transizione.

Questo stadio della migrazione offre un perfetto bilanciamento tra innovazione e cautela, permettendovi di sperimentare i benefici della nuova politica di autenticazione, inclusa una gestione più integrata e sicura delle credenziali, mentre ancora vi appoggiate alle politiche esistenti per garantire che non ci siano interruzioni nei flussi di lavoro o nell’accesso degli utenti. È un passaggio strategico che mira a ridurre al minimo i rischi associati al cambio di politiche di sicurezza, assicurando che tutti gli stakeholder si adattino comodamente alle nuove procedure prima della completa deprecazione delle vecchie politiche.

Una volta selezionati i metodi che meglio rispondono alle esigenze della vostra organizzazione, è essenziale iniziare una fase di test approfonditi. Questi test vi permetteranno di valutare l’efficacia, la praticità e la sicurezza dei metodi di autenticazione scelti, garantendo che siano non solo compatibili con le vostre infrastrutture tecnologiche ma anche accettati dagli utenti finali.

Durante la fase di test, è importante concentrarsi su diversi aspetti chiave:

  • Verifica della compatibilità: Assicurarsi che i metodi di autenticazione selezionati funzionino senza intoppi con l’infrastruttura IT esistente e le applicazioni aziendali.
  • Valutazione dell’esperienza utente: Testare la facilità di uso e l’accessibilità dei metodi di autenticazione per garantire che gli utenti finali possano adottarli senza difficoltà.
  • Controllo della sicurezza: Verificare che i metodi di autenticazione offrano il livello di sicurezza desiderato, proteggendo le risorse aziendali da accessi non autorizzati.
  • Analisi della resilienza: Assicurarsi che i metodi di autenticazione selezionati rimangano affidabili in vari scenari, comprese le situazioni di alta domanda o in caso di tentativi di attacco.

Incoraggiare il feedback da parte degli utenti durante i test può fornire preziose informazioni su eventuali problemi o aree di miglioramento, consentendo di apportare le modifiche necessarie prima del lancio ufficiale. Una volta completata con successo la fase di test, la vostra organizzazione sarà pronta ad adottare completamente le nuove politiche di autenticazione, garantendo una transizione fluida e sicura dalle vecchie alle nuove procedure.

Figura 5: Migration In Progress: Use policy for authentication and SSPR, respect legacy policies

Figura 6: Migration In Progress: Use policy for authentication and SSPR, respect legacy policies

Una volta confermata l’efficacia e l’affidabilità dei nuovi metodi di autenticazione per tutti gli utenti, siete pronti per l’ultimo e più decisivo passo del processo di migrazione: la selezione dell’opzione Migration Complete: Use policy for authentication and SSPR, ignore legacy policies. Questa scelta segnala la conclusione della migrazione verso la nuova politica unificata, che da questo momento in poi gestirà tutte le funzionalità legate all’autenticazione e alla reimpostazione della password self-service (SSPR), cessando di considerare le precedenti politiche legacy.

Completare la migrazione comporta vari vantaggi significativi per la vostra organizzazione:

  • Semplificazione della gestione: Centralizzando la gestione dell’autenticazione e della SSPR in un’unica politica, semplificate notevolmente l’amministrazione delle credenziali utente, riducendo la complessità e migliorando l’efficienza operativa.
  • Maggiore sicurezza: La transizione a metodi di autenticazione moderni e sicuri aumenta la protezione contro accessi non autorizzati e minacce informatiche, rafforzando la sicurezza dei dati aziendali.
  • Miglioramento DELL’ESPERIENZA utente: l’adozione di una politica unificata facilita agli utenti l’accesso ai servizi e alle risorse necessarie, migliorando la loro esperienza complessiva e promuovendo l’adozione delle nuove pratiche di sicurezza.
  • Flessibilità e scalabilità: La nuova politica offre maggiore flessibilità nella scelta dei metodi di autenticazione e può essere facilmente adattata per supportare le esigenze in evoluzione dell’organizzazione e l’integrazione di future innovazioni tecnologiche.

Prima di dichiarare completa la migrazione, è fondamentale assicurarsi che tutti i sistemi, le applicazioni e i servizi siano pienamente compatibili con le nuove politiche e che non ci siano impedimenti per gli utenti nel loro quotidiano accesso e utilizzo delle risorse aziendali. Completata questa fase, potrete beneficiare pienamente delle nuove procedure di autenticazione e SSPR, marcando un importante passo avanti nella sicurezza e nell’efficienza della vostra organizzazione.

Figura 7: Migration Complete: Use policy for authentication and SSPR, ignore legacy policies

Come si può vedere dalla figura sotto, è però prima necessario disabilitare tutti i metodi legacy relativi alle policy di Multi-factor Authentication e Self-Service Password Reset.

Figura 8: Prima di completare la migrazione è necessario disabilitare tutti i metodi legacy relativi alle policy di Multi-factor Authentication e Self-Service Password Reset

Disabilitate quindi tutti i metodi di autenticazione previsti per il Self-Service Password Reset.

Figura 9: Disabilitazione dei metodi di autenticazione previsti per il Self-Service Password Reset

Figura 10: Disabilitazione dei metodi di autenticazione previsti per il Self-Service Password Reset completata

Disabilitate tutti i metodi di autenticazione previsti per lal Multi-factor Authentication.

Figura 11: Disabilitazione dei metodi di autenticazione previsti per la Multi-factor Authentication

Figura 12: Disabilitazione dei metodi di autenticazione previsti per la Multi-factor Authentication completata

Riprovando a dichiarare completata la migrazione, la procedura sarà completata con successo.

Figura 13: Migration Complete: Use policy for authentication and SSPR, ignore legacy policies

Figura 14: Conclusione della migrazione verso la nuova politica unificata

Verifica delle policy legacy

Ritornando nelle schermate relative alle modalità legacy previste per i metodi di autenticazione, noterete che adesso le opzioni non saranno più selezionabili.

Figura 15: I metodi legacy di autenticazione per il Self-Service Password Reset non sono più utilizzabili

Figura 16: I metodi di verifica della Multi-factor authentication non sono più utilizzabili

La migrazione verso le nuove politiche unificate è stata completata con successo. Come avete visto, è possibile migrare le impostazioni delle politiche legacy di Microsoft Entra ID, che controllano separatamente l’autenticazione multi fattore e la reimpostazione della password self-service (SSPR), verso una gestione unificata tramite la politica dei Metodi di Autenticazione.

Potete effettuare la migrazione delle impostazioni delle politiche secondo il vostro programma e il processo è completamente reversibile.

Figura 17: Il processo di migrazione verso le politiche unificate è completamente reversibile

Esperienza utente

L’esperienza utente (UX) nel contesto dei metodi di autenticazione scelti può variare notevolmente e gioca un ruolo cruciale nell’adozione e nell’efficacia complessiva delle politiche di sicurezza di un’organizzazione. Diversi metodi di autenticazione offrono un bilanciamento unico tra sicurezza e usabilità, influenzando direttamente come gli utenti percepiscono e interagiscono con i sistemi di sicurezza. Ecco come alcuni dei metodi più comuni possono influenzare l’UX:

Autenticazione a due fattori (2FA) o Multi fattore (MFA)

  • SMS o E-mail: L’invio di un codice di verifica via SMS o e-mail è intuitivo e facile da comprendere per la maggior parte degli utenti. Tuttavia, può essere percepito come meno sicuro a causa di potenziali intercettazioni o accessi non autorizzati al dispositivo o all’account di posta elettronica.
  • App di Autenticazione: App come Google Authenticator o Microsoft Authenticator forniscono un livello di sicurezza più elevato rispetto all’SMS. Possono tuttavia richiedere un passaggio aggiuntivo durante la configurazione e potrebbero essere visti come meno immediati da alcuni utenti.
  • Token Hardware: Forniscono un alto livello di sicurezza ma possono essere considerati scomodi da trasportare e facili da perdere, influenzando negativamente l’UX per alcuni utenti.

Biometria

  • Impronta digitale, riconoscimento facciale, scansione dell’iride: Questi metodi sono generalmente rapidi, convenienti e sicuri, migliorando significativamente l’UX grazie alla loro natura non intrusiva e alla facilità d’uso. La principale limitazione può essere la necessità di hardware specifico.

Passwordless

  • Passwordless authentication: L’autenticazione passwordless, che elimina l’uso delle tradizionali password, può utilizzare vari metodi di autenticazione, come la biometria, i token di sicurezza, i link di accesso via email o i codici di verifica inviati tramite SMS. L’obiettivo è ridurre la dipendenza da password facili da dimenticare, vulnerabili agli attacchi di forza bruta o al phishing, migliorando al contempo l’usabilità per l’utente finale.

Password e Passphrase (ma anche no! )

  • Password tradizionali: Sebbene siano il metodo più conosciuto, le password possono creare frustrazione a causa della necessità di ricordare combinazioni complesse e di cambiarle regolarmente.
  • Passphrase: Più lunghe e complesse delle password, possono offrire una maggiore sicurezza pur essendo più facili da ricordare. Tuttavia, la loro lunghezza potrebbe dissuadere alcuni utenti.

Considerazioni generali

I metodi di autenticazione sono un pilastro fondamentale della sicurezza informatica, mirati a garantire che solo gli utenti autorizzati possano accedere a sistemi, applicazioni e dati sensibili. La scelta del metodo di autenticazione giusto può avere un impatto significativo non solo sulla sicurezza ma anche sull’esperienza utente (UX). Ecco alcune considerazioni generali da tenere a mente quando si valutano i diversi metodi:

  • Usabilità vs. Sicurezza: Trovare il giusto equilibrio tra usabilità e sicurezza è fondamentale. Metodi troppo complessi o lenti possono ridurre l’adozione e l’efficacia complessiva delle politiche di sicurezza.
  • Educazione dell’Utente: Formare gli utenti sull’importanza e sul funzionamento dei metodi di autenticazione può migliorare significativamente l’UX e l’adozione.
  • Personalizzazione: Dare agli utenti la possibilità di scegliere tra diversi metodi di autenticazione può migliorare la percezione e l’accettazione delle politiche di sicurezza.

La scelta dei metodi di autenticazione dovrebbe considerare attentamente l’impatto sull’esperienza utente, cercando di bilanciare sicurezza, convenienza e facilità d’uso per garantire non solo una protezione efficace ma anche un’alta adesione e soddisfazione degli utenti.

Nelle figure sotto, è mostrata l’esperienza utente in base ai metodi di autenticazione scelti, sia in fase di primo accesso, sia quando si dimentica la password.

Figura 18: Al primo accesso dell’utente viene chiesto di fornire un metodo di autenticazione alternativo alla password

La registrazione unificata per il Self-Service Password Reset (SSPR) e per la Multi-Factor Authentication (MFA) rappresenta un approccio moderno alla gestione della sicurezza degli accessi utente. Questa strategia consente agli utenti di configurare simultaneamente sia le opzioni di recupero password che i metodi di autenticazione multifattore, semplificando il processo di registrazione e migliorando l’esperienza utente.

Figura 19: Metodi di registrazione consentiti dall’azienda

Figura 20: Registrazione del Microsoft Authenticator

Figura 21: Registrazione del Microsoft Authenticator completata

Figura 22: Configurazione delle informazioni di sicurezza completate

La registrazione unificata riduce la confusione tra gli utenti, che altrimenti potrebbero dover navigare in processi separati per SSPR e MFA, a volte con interfacce utente differenti. Durante l’implementazione, è importante considerare la varietà dei metodi di autenticazione offerti agli utenti, inclusi quelli basati su biometria, token hardware o app di autenticazione.

Se l’utente dimentica la password di accesso (anche se io preferisco la passwordless authentication ) potrà utilizzare i metodi di autenticazione registrati per resettarla, come mostrato nelle figure sotto:

Figura 23: L’Utente ha necessità di resettare la password

Figura 24: L’utente può utilizzare il metodo di autenticazione che ha registrato

Figura 25: Reset della password

Figura 26: Reset della password completato

Conclusioni

La migrazione verso politiche di autenticazione unificata rappresenta un passaggio fondamentale nella strategia di sicurezza di un’organizzazione moderna. Questo processo non solo semplifica la gestione delle identità e degli accessi ma introduce anche un livello di sicurezza rafforzato, fondamentale nell’era digitale attuale. Attraverso l’adozione di un approccio unificato, le organizzazioni possono garantire una maggiore protezione delle informazioni sensibili, migliorando nel contempo l’esperienza utente per dipendenti e clienti.

La registrazione unificata per il Self-Service Password Reset (SSPR) e la Multi-Factor Authentication (MFA) emerge come una pratica migliore all’interno di questo contesto. Questo metodo non solo incrementa l’efficienza operativa riducendo il numero di passaggi necessari per l’onboarding degli utenti ma promuove anche un’adozione più ampia di pratiche di sicurezza avanzate grazie alla sua semplicità.

Tuttavia, il percorso verso l’implementazione di una politica di autenticazione unificata richiede una pianificazione attenta e un impegno costante. Le organizzazioni devono considerare attentamente le proprie esigenze specifiche, la compatibilità dei sistemi esistenti e le aspettative degli utenti. È fondamentale un approccio graduale che includa una comunicazione efficace, formazione per gli utenti e supporto continuo per garantire una transizione senza intoppi.

La migrazione verso politiche di autenticazione unificata non è solo una mossa strategica per migliorare la sicurezza. È anche un investimento nel futuro dell’organizzazione, facilitando l’adattamento a nuove tecnologie e minacce in evoluzione. Con il giusto approccio, le organizzazioni possono creare un ambiente digitale sicuro, efficiente e user-friendly, posizionandosi per il successo in un panorama digitale in continua evoluzione.