Le richieste di accesso all'autenticazione di base vengono bloccate per impostazione predefinita in Microsoft 365 Apps
Nota
Le informazioni contenute in questo articolo sono correlate ai post del Centro messaggi MC454810, MC499030 e MC649046, pubblicati nel interfaccia di amministrazione di Microsoft 365.
App come Word ed Excel consentono agli utenti di usare l'autenticazione di base per connettersi alle risorse nei server Web inviando nomi utente e password a ogni richiesta. Queste credenziali vengono spesso archiviate nei server, rendendo più semplice per gli utenti malintenzionati acquisirle e riutilizzarle in altri endpoint o servizi.
L'autenticazione di base è uno standard di settore obsoleto e non supporta funzionalità di sicurezza più affidabili, ad esempio l'autenticazione a più fattori. Le minacce poste da esso sono solo aumentate e ci sono alternative di autenticazione utente migliori e più efficaci. Ad esempio, l'autenticazione moderna, che supporta l'autenticazione a più fattori, le smart card e l'autenticazione basata su certificati.
Pertanto, per migliorare la sicurezza in Microsoft 365 Apps, il comportamento predefinito cambia in modo da bloccare le richieste di accesso dall'autenticazione di base.
Con questa modifica, se gli utenti tentano di aprire file in server che usano solo l'autenticazione di base, non visualizzano richieste di accesso di autenticazione di base. Viene invece visualizzato un messaggio che informa che il file è stato bloccato perché usa un metodo di accesso che potrebbe non essere sicuro. Il messaggio include un collegamento che porta gli utenti a un articolo che contiene informazioni sui rischi per la sicurezza dell'autenticazione di base.
Nota
- Le condivisioni file ospitate in Windows non sono interessate da questa modifica perché il metodo di autenticazione usato è NTLM.
- SharePoint Online, OneDrive e SharePoint Server locale (configurati per l'autenticazione moderna) non sono interessati da questa modifica.
- Questa modifica influisce su SharePoint Server locale configurato per l'autenticazione di base.
Le versioni di Microsoft 365 Apps interessate da questa modifica
Questa modifica influisce sulle app seguenti solo nei dispositivi che eseguono Windows:
- Access
- Excel
- OneNote
- Outlook
- PowerPoint
- Project
- Publisher
- Visio
- Word
Nota
- Questa modifica non influisce sulla connessione di Outlook ai Exchange Server locali tramite l'autenticazione di base.
- Questa modifica non influisce sulla connessione di Outlook a Exchange Online tramite l'autenticazione di base. L'autenticazione di base con Exchange Online è deprecata in modo separato. Per altre informazioni, vedere Deprecazione dell'autenticazione di base in Exchange Online.
Come parte dell'implementazione, gli utenti ricevono inizialmente un messaggio di avviso se tentano di accedere a un file usando l'autenticazione di base. Dopo tale periodo di avviso, all'utente verrà impedito di aprire il file e verrà visualizzato un messaggio che informa che l'origine usa un metodo di accesso che potrebbe non essere sicuro.
La tabella seguente illustra la versione, per ogni canale di aggiornamento, in cui vengono implementate le modifiche di avviso e blocco. Le informazioni in corsivo sono soggette a modifiche.
| Canale di aggiornamento | Versione di avviso | Versione di blocco |
|---|---|---|
| Canale corrente (anteprima) | Versione 2303 |
Versione 2311 (Novembre 2023) |
| Canale corrente | Versione 2304 |
Versione 2311 (Dicembre 2023) |
| Canale Enterprise mensile | Versione 2304 |
Versione 2311 (9 gennaio 2024) |
| Canale Enterprise semestrale (Anteprima) | Versione 2308 |
Versione 2402 (12 marzo 2024) |
| Canale Enterprise semestrale |
Versione 2308 (9 gennaio 2024) |
Versione 2402 (9 luglio 2024) |
Nota
- Questa modifica influirà anche sulle versioni al dettaglio di Office 2021, Office 2019 e Office 2016. Sono nella stessa pianificazione di Current Channel.
- Questa modifica non influirà sulle versioni di Office con contratti multi-contratto, ad esempio Office LTSC Professional Plus 2021 o Office Standard 2019.
Come Microsoft 365 Apps determina se visualizzare le richieste di autenticazione di base
L'immagine del diagramma di flusso seguente mostra come Microsoft 365 Apps determina se aprire un file se il server usa l'autenticazione di base.
I passaggi seguenti illustrano le informazioni nell'immagine del diagramma di flusso.
Un utente tenta di aprire un file archiviato in un server Web.
Se il server usa l'autenticazione proxy di autenticazione di base, Microsoft 365 Apps valuta lo stato dei criteri Consenti autenticazione di base dai criteri dei proxy di rete.
- Se il criterio è impostato su Abilitato, all'utente viene richiesto di specificare un nome utente e una password per aprire il file.
- In caso contrario, l'utente non visualizza una richiesta di accesso e il file non viene aperto. L'utente visualizza invece un messaggio che informa che il file è stato bloccato perché usa un metodo di accesso che potrebbe non essere sicuro.
Se il server non usa l'autenticazione di base, verrà aperto il file. Se il server usa l'autenticazione di base, Microsoft 365 Apps verifica se sono presenti criteri per consentire richieste di autenticazione di base.
Se il server esegue l'autenticazione direttamente con l'autenticazione di base, Microsoft 365 Apps valuta lo stato dei criteri Consenti agli host specificati di visualizzare le richieste di autenticazione di base ai criteri delle app di Office.
- Se il criterio è impostato su Abilitato e viene specificato il server, all'utente viene richiesto di specificare un nome utente e una password per aprire il file.
- In caso contrario, l'utente non visualizza una richiesta di accesso e il file non viene aperto. L'utente visualizza invece un messaggio che informa che il file è stato bloccato perché usa un metodo di accesso che potrebbe non essere sicuro.
Usare i criteri per gestire le richieste di autenticazione di base
Se è necessario fornire richieste di autenticazione di base per determinati host o da proxy di rete, è possibile configurare i criteri seguenti:
- Consenti agli host specificati di visualizzare le richieste di autenticazione di base alle app di Office
- Consenti richieste di autenticazione di base dai proxy di rete
Importante
- Non è consigliabile consentire richieste di autenticazione di base per determinati host o da proxy di rete, perché l'uso dell'autenticazione di base non è sicuro.
- È tuttavia possibile usare questi criteri se è necessario fornire temporaneamente queste richieste mentre si spostano tali server in metodi di autenticazione più sicuri.
Questi criteri sono disponibili nella console di gestione Criteri di gruppo in Configurazione utente\Criteri\Modelli amministrativi\Microsoft Office 2016\Impostazioni di sicurezza.
Nota
- Per usare questi criteri, scaricare almeno la versione 5359.1000 dei file del modello amministrativo Criteri di gruppo (ADMX/ADML) per Microsoft 365 Apps dall'Area download Microsoft. Questa versione è stata rilasciata l'11 agosto 2022.
- È anche possibile implementare questi criteri usando Criteri cloud. Per altre informazioni, vedere Panoramica del servizio Criteri cloud per Microsoft 365.
Consenti agli host specificati di visualizzare le richieste di autenticazione di base alle app di Office
Questo criterio consente di specificare quali host possono visualizzare richieste di accesso di autenticazione di base ad app come Word ed Excel.
La tabella seguente mostra il livello di protezione ottenuto con ogni stato dei criteri.
| Icona | Livello di protezione | Stato dei criteri | Descrizione |
|---|---|---|---|
|
Protetto | Abilitato (nessun host specificato) |
Agli utenti viene impedito di aprire file che si trovano nei server Web che usano l'autenticazione di base. |
|
Parzialmente protetto | Abilitato (host specificati) |
I prompt di autenticazione di base sono consentiti solo dagli host specificati.
Se si specificano più host, separarli da un punto e virgola. |
|
|
Protetto | Disabilitato | Agli utenti viene impedito di aprire file che si trovano nei server Web che usano l'autenticazione di base. |
|
|
Protetto [consigliato] |
Not Configured | Agli utenti viene impedito di aprire file che si trovano nei server Web che usano l'autenticazione di base. |
Consenti richieste di autenticazione di base dai proxy di rete
Questo criterio controlla se ai proxy di rete è consentito visualizzare i prompt di autenticazione di base.
La tabella seguente mostra il livello di protezione ottenuto con ogni stato dei criteri.
| Icona | Livello di protezione | Stato dei criteri | Descrizione |
|---|---|---|---|
|
|
Protetto | Disabilitato | I proxy di rete non visualizzano i prompt di autenticazione di base. |
|
Non protetto | Abilitato | I proxy di rete mostrano i prompt di autenticazione di base. |
|
|
Protetto [consigliato] | Not Configured | I proxy di rete non visualizzano i prompt di autenticazione di base. |