L'estate del 2025 si preannuncia particolarmente intensa per gli amministratori di sistema di tutto il mondo, con Microsoft che ha annunciato una serie di modifiche radicali alle impostazioni predefinite di Microsoft 365. A partire da metà luglio e fino ad agosto, il colosso di Redmond implementerà automaticamente nuove misure di sicurezza che bloccheranno i protocolli di autenticazione legacy e richiederanno il consenso amministrativo per l'accesso delle applicazioni di terze parti. Si tratta di cambiamenti che, pur essendo motivati da ragioni di sicurezza, potrebbero creare non pochi grattacapi a chi gestisce sistemi ancora basati su tecnologie datate.
Il peso del passato nelle scelte di design Microsoft
La decisione fa parte della Secure Future Initiative di Microsoft e dei principi "Secure by Default", un'ammissione implicita che le impostazioni predefinite del passato si sono rivelate un regalo per gli attori malintenzionati. Quello che oggi appare come un inevitabile passo avanti nella sicurezza informatica, rappresenta in realtà il conto che Microsoft deve pagare per decisioni di design prese decenni fa, quando la sicurezza non aveva la priorità che ha oggi.
L'avviso diffuso tramite il Centro messaggi di Microsoft 365 – identificato con il codice MC1097272 – non lascia spazio a interpretazioni: tutti i tenant Microsoft 365 saranno interessati da questi cambiamenti, che saranno attivi per impostazione predefinita.
Tre fronti di intervento per blindare la piattaforma
Il primo bersaglio delle nuove misure sarà l'autenticazione browser legacy per SharePoint e OneDrive che utilizza il protocollo Remote PowerShell (RPS). Microsoft giustifica questa scelta sottolineando come i protocolli di autenticazione legacy siano "vulnerabili ad attacchi brute-force e di phishing a causa dell'autenticazione non moderna".
Ancora più anacronistico è il secondo protocollo nel mirino: il FrontPage Remote Procedure Call (RPC). Nonostante Microsoft FrontPage sia stato dismesso quasi vent'anni fa, il protocollo per la creazione remota di contenuti web è sopravvissuto fino ad oggi. La sua eliminazione segna definitivamente la fine di un'era tecnologica.
Il terzo pilastro delle nuove misure riguarda il controllo delle applicazioni di terze parti, che dovranno ottenere il consenso amministrativo per accedere a file e siti. Come spiega Microsoft, "gli utenti che consentono alle app di terze parti di accedere ai contenuti di file e siti possono portare a una sovraesposizione dei contenuti dell'organizzazione".
Quando la sicurezza incontra la produttività
Sebbene l'obiettivo di ridurre l'esposizione ai rischi sia encomiabile, il trasferimento del consenso agli amministratori potrebbe creare interruzioni in alcuni flussi di lavoro consolidati. Le App Consent Policies gestite da Microsoft saranno abilitate automaticamente, impedendo agli utenti di autorizzare autonomamente l'accesso delle applicazioni di terze parti ai propri file e siti.
Questo significa che ogni richiesta di accesso dovrà passare attraverso un amministratore, creando potenzialmente un collo di bottiglia nelle operazioni quotidiane. Gli utenti che fino ad oggi potevano gestire autonomamente le proprie autorizzazioni dovranno ora fare affidamento sui propri amministratori di sistema per ogni nuova applicazione che desiderano utilizzare.
Per le organizzazioni che non hanno ancora implementato workflow di consenso amministrativo strutturati, il tempo per prepararsi si sta rapidamente esaurendo. La finestra temporale tra l'annuncio e l'implementazione effettiva delle modifiche lascia poco margine per adattamenti dell'ultimo minuto, rendendo essenziale una pianificazione immediata per evitare interruzioni operative significative.