Microsoft 365 è diventato lo standard per la produttività aziendale. Email, documenti, collaborazione: tutto in cloud, accessibile ovunque. Ma c'è un problema che molti non conoscono: Microsoft 365 non è sicuro "out of the box".
La configurazione predefinita lascia attive funzionalità obsolete, non abilita protezioni fondamentali, e soprattutto non include il backup dei dati. Sì, hai letto bene: Microsoft non fa backup delle tue email e dei tuoi file.
In questo articolo ti guiderò attraverso le 5 configurazioni di sicurezza essenziali che ogni azienda dovrebbe attivare su Microsoft 365.
Attenzione: Se usi Microsoft 365 con le impostazioni predefinite, i tuoi dati sono a rischio. Il 60% delle violazioni di account Microsoft avviene su tenant senza MFA attivo.
PERCHÉ M365 NON È SICURO "OUT OF THE BOX"
Quando attivi un tenant Microsoft 365, queste sono le impostazioni di default:
- MFA disabilitato — Gli utenti possono accedere solo con password
- Protocolli legacy attivi — SMTP, IMAP, POP3 espongono gli account a attacchi brute force
- Nessun accesso condizionale — Chiunque da qualsiasi parte del mondo può tentare l'accesso
- Anti-phishing base — Protezioni minime, molte email malevole passano
- Nessun backup — Microsoft garantisce uptime, non protezione dei dati
"I miei dati sono in cloud, quindi sono al sicuro. Microsoft li protegge."
Microsoft protegge l'infrastruttura, non i tuoi dati. Se un utente cancella file o viene compromesso, perdi tutto.
LE 5 CONFIGURAZIONI ESSENZIALI
Ecco le impostazioni che devi attivare subito. Le descrivo in ordine di priorità.
Attiva MFA per Tutti gli Utenti
L'autenticazione a più fattori (MFA) blocca il 99.9% degli attacchi basati su credenziali rubate. Non è un'opzione, è una necessità.
Come attivarlo:
Microsoft offre i "Security Defaults" che abilitano MFA gratuitamente, ma per un controllo maggiore conviene usare Conditional Access (richiede licenza Premium).
App consigliate per MFA: Microsoft Authenticator (gratuita), o hardware token per utenti ad alto rischio.
Disabilita i Protocolli Legacy
SMTP, IMAP, POP3 e altri protocolli "vecchi" non supportano MFA. Gli attaccanti li usano per bypassare le protezioni moderne.
Come disabilitarli:
Oppure, se usi Security Defaults, vengono bloccati automaticamente. Verifica che nessuna app aziendale dipenda da questi protocolli prima di bloccarli.
Eccezioni: Alcune stampanti multifunzione o scanner potrebbero usare SMTP per inviare scan via email. Valuta alternative moderne o crea eccezioni specifiche.
Configura Accesso Condizionale
L'Accesso Condizionale ti permette di definire chi può accedere, da dove, e a cosa. Esempi pratici:
- Blocca accessi da paesi in cui non hai dipendenti
- Richiedi MFA sempre quando si accede fuori dalla rete aziendale
- Impedisci accesso da dispositivi non conformi
- Blocca accesso amministrativo se non da IP specifici
Nota: Richiede licenza Azure AD Premium P1 o Microsoft 365 Business Premium.
Abilita Anti-Phishing Avanzato
Le protezioni email di base non bastano. Microsoft Defender for Office 365 (incluso in Business Premium) offre:
- Safe Links: Verifica i link in tempo reale al momento del clic
- Safe Attachments: Apre gli allegati in una sandbox prima di consegnarli
- Impersonation Protection: Rileva email che imitano dirigenti o partner
- Anti-Spoofing: Blocca email che fingono di provenire dal tuo dominio
Configura anche SPF, DKIM e DMARC sul tuo dominio per proteggere la tua reputazione email e impedire lo spoofing.
Implementa Backup di Terze Parti
Questo è il punto più importante e meno compreso. Microsoft non effettua backup dei tuoi dati.
Cosa significa? Se un utente cancella un file, un ransomware cifra le caselle email, o un amministratore commette un errore... i dati sono persi. Microsoft garantisce che il servizio funzioni (SLA 99.9%), non che i tuoi dati siano recuperabili.
Dalla documentazione Microsoft: "Microsoft consiglia di utilizzare una soluzione di backup di terze parti per proteggere i propri dati."
Soluzioni di backup consigliate:
- Veeam Backup for Microsoft 365
- Acronis Cyber Backup
- AvePoint
- Datto SaaS Protection
Con il nostro servizio Digital Combines M365 includiamo backup automatico giornaliero di email, OneDrive, SharePoint e Teams.
CHECKLIST: IL TUO M365 È SICURO?
Verifica queste impostazioni nel tuo tenant:
- ☐ MFA attivo per tutti gli utenti, compresi gli amministratori
- ☐ Protocolli legacy (IMAP, POP3, SMTP Auth) bloccati
- ☐ Almeno una policy di Accesso Condizionale attiva
- ☐ Anti-phishing configurato con Safe Links e Safe Attachments
- ☐ SPF, DKIM e DMARC configurati sul dominio email
- ☐ Backup di terze parti attivo per email e file
- ☐ Audit log abilitati per tracciare le attività
- ☐ Nessun utente con ruolo Global Admin usato per attività quotidiane
Se hai risposto "no" a 3 o più punti, il tuo Microsoft 365 è vulnerabile.
QUANTO COSTA SISTEMARE TUTTO?
Ecco una stima dei costi per una PMI con 20 utenti:
- Security Defaults (MFA base): Gratuito (incluso in tutti i piani)
- Azure AD Premium P1 (per Conditional Access): ~5€/utente/mese
- Microsoft 365 Business Premium (include Defender, AAD P1): ~20€/utente/mese
- Backup di terze parti: 3-5€/utente/mese
- Configurazione professionale: 500-1.500€ una tantum
In totale, per 20 utenti: circa 500-600€/mese per avere M365 completamente protetto. È il costo di un data breach? Circa 100 volte meno.
IL PROSSIMO PASSO
Se non hai le competenze interne per configurare tutto questo, non improvvisare. Una configurazione errata può bloccare l'accesso ai dipendenti o creare falle di sicurezza peggiori di prima.
Con Digital Combines offriamo:
- Audit di sicurezza M365: Verifichiamo lo stato attuale del tuo tenant
- Hardening completo: Configuriamo tutte le protezioni descritte in questo articolo
- Formazione utenti: Insegniamo ai tuoi dipendenti a usare MFA e riconoscere phishing
- Monitoraggio continuo: Alert in tempo reale su attività sospette
In sintesi: Microsoft 365 è uno strumento potente, ma richiede configurazione attenta per essere sicuro. MFA obbligatorio, protocolli legacy disabilitati, accesso condizionale, anti-phishing avanzato e backup di terze parti sono le 5 colonne portanti di un tenant protetto.
Copertura Territoriale: Digital Combines garantisce questo servizio in tutta la provincia di Verona, inclusi i comuni di Sant'Ambrogio di Valpolicella, Verona, San Pietro in Cariano, Torri del Benaco, Bussolengo e limitrofi, con intervento tecnico rapido on-site e assistenza remota immediata.