Le nuove politiche di accesso condizionale di Microsoft Entra richiedono attenzione: ecco cosa fare prima dell’attuazione.
La gestione dell’accesso agli identificativi digitali sta diventando sempre più una componente critica nelle strategie di sicurezza delle aziende di ogni dimensione. Questo è particolarmente vero per coloro che si servono delle soluzioni offerte dalla suite Microsoft 365, sia a livello di aziende medio-piccole (M365 Business Premium), sia per quelli con piani enterprise (M365 E3/E5).
Microsoft, in una mossa strategica importante per la sicurezza, ha annunciato l’implementazione automatica delle politiche di Accesso Condizionale (Conditional Access) all’interno di Entra ID, integrato nelle soluzioni Microsoft. Questa novità promette di ottimizzare la protezione delle identità aziendali.
Il lancio automatico, avvenuto tra novembre e dicembre 2023, ha introdotto nuove politiche di Accesso Condizionale in modalità solo report per i clienti idonei, offrendo un periodo di 90 giorni per testare l’impatto di tali politiche prima di una loro attivazione ufficiale. Il termine di questa finestra di valutazione si sta avvicinando, con l’entrata in vigore delle nuove regole pianificata a partire da febbraio e marzo 2024.
Ciò implica che le organizzazioni interessate dovrebbero prendere misure adeguate per valutare le politiche proposte e assicurarsi che queste siano allineate con le esigenze aziendali. Tra gli interventi suggeriti:
- Approfondire l’annuncio originale e la logica alla base di queste politiche;
- Esaminare gli effetti e i vantaggi delle nuove politiche, con l’opzione di disattivarle, se non conformi alle proprie esigenze;
- Personalizzare tali politiche per adattarle in maniera specifica al contesto aziendale, escludendo account che non richiedono questa forma di protezione;
- Garantire che tutti gli utenti interessati dalle politiche abbiano abilitato e registrato almeno un metodo di autenticazione multifattore.
Con questi passaggi, Microsoft auspica di fornire uno strumento aggiuntivo per la sicurezza delle identità, agevolando la gestione di una delle parti più vulnerabili della sicurezza informatica aziendale.