Microsoft 365 non è sicuro di default: le impostazioni che ogni PMI dovrebbe cambiare
Comprare Microsoft 365 non significa avere la sicurezza inclusa. Le impostazioni predefinite privilegiano la comodità sulla protezione. Cosa va configurato, e perché la configurazione predefinita lascia aperte porte che non dovrebbero essere aperte.
Redazione
Consulenza Digitale Italia
Un'azienda prende Microsoft 365 Business, crea gli account per i dipendenti, e pensa di aver risolto la sicurezza email. Non è così.
Le impostazioni predefinite di Microsoft 365 sono progettate per far funzionare le cose velocemente, non per massimizzare la sicurezza. Alcune delle impostazioni che ogni PMI dovrebbe cambiare non richiedono competenze avanzate: richiedono 30 minuti nel pannello di amministrazione.
Autenticazione a più fattori: il primo intervento
L'MFA non è attiva di default su tutti gli account. Va abilitata, e va resa obbligatoria, non opzionale.
Con MFA obbligatorio, anche se un attaccante ottiene le credenziali di un dipendente (attraverso phishing, data breach di un altro servizio, o password debole), non può accedere all'account senza il secondo fattore sul telefono del dipendente.
La configurazione base: nel portale Microsoft Entra ID (ex Azure AD), in Security > Authentication methods, abilitare Microsoft Authenticator per tutti gli utenti e impostare la policy di MFA come obbligatoria. Non lasciare nessun account escluso, nemmeno quelli degli amministratori — specialmente quelli degli amministratori.
Legacy Authentication: una porta aperta spesso dimenticata
I protocolli di autenticazione vecchi (POP3, IMAP, SMTP basic auth) non supportano l'MFA. Se sono abilitati, un attaccante che ottiene una password può connettersi all'account aggirando completamente l'autenticazione a due fattori.
Nella maggior parte delle PMI che hanno migrato da un vecchio sistema email, questi protocolli sono ancora abilitati anche se nessuno li usa più. Bloccarli è una delle operazioni con il miglior rapporto rischio/facilità.
Come farlo: in Microsoft Entra ID > Conditional Access, creare una policy che blocchi la legacy authentication per tutti gli utenti. Prima di farlo, verificare che nessun sistema aziendale usi ancora questi protocolli (certe stampanti o sistemi di fax digitale li usano per inviare email).
Forwarding automatico delle email verso esterno
Per default, gli utenti possono configurare il forwarding automatico delle email verso account esterni. È un vettore di perdita di dati molto comune: un account compromesso comincia a mandare copie di tutte le email in entrata a un indirizzo esterno, silenziosamente, per settimane.
Nel pannello di Exchange Online > Transport Rules, aggiungere una regola che blocchi il forwarding automatico verso domini esterni. La regola non impedisce ai dipendenti di fare forward manuale di singole email, ma blocca la configurazione di forwarding automatico su tutto il mailbox.
Accessi da paesi insoliti
Se la PMI opera solo in Italia, un login da Russia, Nigeria, o Cina è quasi certamente un accesso non autorizzato. Le policy di Conditional Access permettono di bloccare automaticamente gli accessi da paesi fuori da una whitelist.
Richiede Azure AD P1 (incluso in Microsoft 365 Business Premium) ma è una delle protezioni più efficaci contro gli account compromessi, specialmente per le PMI che non hanno personale che viaggia all'estero frequentemente.
Il backup che Microsoft non fa
Microsoft garantisce che il servizio sia disponibile. Non garantisce che i tuoi dati siano recuperabili se li cancelli per errore, se un account viene compromesso e qualcuno svuota le email, o dopo 90 giorni dal momento in cui un elemento va nel cestino.
Per le PMI che usano SharePoint o OneDrive come repository documentale principale, è importante avere un backup esterno con retention più lunga. Soluzioni come Veeam Backup for Microsoft 365 si configurano in poche ore e girano automaticamente senza intervento quotidiano.
Leggi anche:
Tag
Domande Frequenti
Microsoft 365 include la protezione contro il phishing?
Microsoft 365 ha filtri antispam e antiphishing di base in tutti i piani. I piani Business Premium e superiori includono Microsoft Defender for Office 365, che aggiunge protezione avanzata come Safe Links (verifica dei link al clic) e Safe Attachments (apertura degli allegati in sandbox prima della consegna). Questi strumenti riducono significativamente il rischio, ma richiedono di essere abilitati e configurati correttamente — non funzionano al massimo con le impostazioni predefinite.
Cosa è il Conditional Access in Microsoft 365 e serve alle PMI?
Il Conditional Access permette di definire regole su chi può accedere a Microsoft 365 in base a condizioni specifiche: solo da dispositivi gestiti dall'azienda, solo da certi paesi, solo se il login è conforme alle policy di sicurezza. Per una PMI, la configurazione base utile è bloccare gli accessi da paesi dove l'azienda non opera e richiedere l'autenticazione a più fattori per accessi da dispositivi non registrati. Richiede il piano Azure AD P1 o Microsoft 365 Business Premium.
Come si imposta il backup di Microsoft 365?
Microsoft 365 non include un backup vero e proprio. Microsoft mantiene la disponibilità del servizio, ma non garantisce il ripristino di email o documenti eliminati oltre i 30-90 giorni (a seconda del piano). Per un backup completo con retention più lunga, servono soluzioni di terze parti come Veeam Backup for Microsoft 365, Acronis, o Barracuda. Per le PMI che usano SharePoint e Teams come archivio documentale principale, avere un backup esterno è importante.
Approfondisci
Esplora tutti gli articoli dell'archivio su digitalizzazione e AI per le PMI.