Salta al contenuto
Tutorial

Microsoft Authenticator: configurare l'MFA aziendale e abbandonare gli SMS

Microsoft Authenticator è il metodo MFA consigliato per Microsoft 365 aziendale: più sicuro degli SMS, integrato con Entra ID, supporta passwordless e number matching. Setup utente + policy tenant per le PMI italiane.

SynSphere Italia 9 min di lettura

Microsoft Authenticator è l’app di autenticazione multifattore (MFA) ufficiale di Microsoft, disponibile gratuita per Android e iPhone. È il metodo MFA consigliato per qualsiasi PMI italiana che usa Microsoft 365, e quello con cui Microsoft sta progressivamente sostituendo gli SMS (deprecati come metodo “weak” da fine 2024).

Vediamo perché vale la pena migrare definitivamente da SMS ad Authenticator, come configurarlo lato utente e lato tenant, e quali sono i tre setup avanzati che riducono drasticamente il rischio phishing+MFA bypass visto nelle truffe del 2026 (vedi Phishing dall’account ufficiale Microsoft: bypass 2FA).

Perché abbandonare gli SMS come metodo MFA

L’SMS come secondo fattore funziona ma ha tre vulnerabilità note:

  1. SIM swap: l’attaccante convince il tuo operatore mobile a trasferire la SIM su un altro device. Da quel momento riceve i tuoi SMS al posto tuo.
  2. SS7 attacks: vulnerabilità del protocollo SS7 della rete mobile permettono intercettazione SMS a distanza (riservato a attori state-sponsored ma documentato).
  3. Phishing SMS-based: utente convinto via voice phishing a leggere il codice SMS al “supporto Microsoft” — codice intercettato.

Microsoft Authenticator risolve tutti e tre:

  • Cifratura end-to-end del flusso di autenticazione (TLS 1.3).
  • Approva/Rifiuta esplicito sulla push notification (impossibile “leggere” un codice via telefono).
  • Number matching (dal 2023): l’utente vede 2 cifre sullo schermo Microsoft + deve inserirle sull’Authenticator → impossibile approvare push senza vedere lo schermo del PC che sta facendo login.

Setup lato utente — singolo dipendente

Step 1 — Installare Microsoft Authenticator

  • Android: Google Play Store → cerca Microsoft Authenticator → installa (richiede Android 8+).
  • iPhone: App Store → cerca Microsoft Authenticator → installa (richiede iOS 14+).

Verifica che sia l’app ufficiale Microsoft: editor Microsoft Corporation, icona blu con lucchetto bianco. Esistono app clone con nomi simili — controlla sempre il publisher prima di installare.

Step 2 — Aggiungere l’account aziendale

  1. Da PC, accedi al portale mysignins.microsoft.com con il tuo account Microsoft 365.
  2. Tab Informazioni di sicurezzaAggiungi metodo di accesso.
  3. Scegli Microsoft AuthenticatorAggiungi.
  4. La procedura mostra un QR code sul PC.
  5. Apri l’app Authenticator sullo smartphone → tocca + in alto a destra → Account aziendale o dell’istituto di istruzioneScansiona codice QR.
  6. Inquadra il QR sul PC → l’account viene aggiunto all’app.
  7. Sullo schermo PC: clicca Avanti → l’app genera una notifica push di prova → approva sullo smartphone → setup completato.

Step 3 — Impostare Authenticator come metodo principale

  1. Sempre su mysignins.microsoft.comInformazioni di sicurezza.
  2. Scorri fino a Metodo di accesso predefinito.
  3. Modifica → seleziona Microsoft Authenticator — notifica.
  4. Da ora MFA prompt usa Authenticator (più rapido di SMS).

Step 4 — Backup del setup MFA

Importante: se perdi/cambi smartphone e non hai un metodo backup, sei bloccato fuori dall’account.

Setup metodi backup:

  • Aggiungi un secondo numero di telefono in Informazioni di sicurezza (es. fisso ufficio per le chiamate vocali backup).
  • Codici di backup: scarica e stampa i 10 codici di backup generabili in fondo alla pagina (validi una volta ciascuno, da conservare in luogo sicuro tipo cassaforte o password manager).

Setup lato tenant — IT che applica policy a tutta la PMI

Per le PMI con 20+ utenti vale la pena forzare Authenticator come metodo MFA standard via policy.

Policy “Microsoft Authenticator obbligatorio”

  1. Microsoft Entra admin center → ProtezioneMetodi di autenticazioneCriteri.
  2. Microsoft AuthenticatorModifica.
  3. Stato: Abilitato → Includi: Tutti gli utenti.
  4. Modalità di autenticazione: Qualsiasi (push + OTP). Per setup più aggressivo: Push solamente (più sicuro ma utenti senza connessione mobile bloccati).
  5. Number matching: imposta a Abilitato (default da 2023, verifica che sia attivo).
  6. Geolocalizzazione visualizzata nella notifica: abilita — l’utente vede “Login tentato da Milano, Italia” → identifica login da paesi sospetti.
  7. Applicazione contesto richiesta: abilita — l’utente vede “App: Outlook su Windows” → riconosce login legittimi.

Disattivare SMS e telefono vocale

  1. Metodi di autenticazioneSMSModificaStato: Disabilitato.
  2. Voce → idem.

⚠️ Prima di disabilitare SMS: verificare che TUTTI gli utenti abbiano configurato Authenticator. Altrimenti chi non l’ha lock-out. Procedura di migrazione consigliata:

  1. Fase 1 (2-4 settimane): comunicare a tutti gli utenti l’obbligo di migrare ad Authenticator.
  2. Fase 2: monitorare in Entra → Authentication methods activity quanti utenti hanno completato.
  3. Fase 3: quando 95%+ è migrato, disabilitare SMS.
  4. Fase 4: contattare individualmente il 5% residuo per supporto.

Conditional Access: MFA obbligatorio fuori sede

Setup tipico PMI:

  • Login da rete aziendale interna → MFA non richiesto (UX migliore).
  • Login da fuori rete aziendale (smart working, smartphone, trasferte) → MFA obbligatorio.

Setup completo in Conditional Access + MFA aziendale.

I 3 setup avanzati che fanno la differenza nel 2026

1. Passwordless con Authenticator

Da Microsoft 365 admin center → Entra IDAuthentication methodsPasswordless phone sign-in: gli utenti accedono senza password, solo confermando l’identità sull’Authenticator.

Setup:

  1. Su Entra: abilita Passwordless phone sign-in → assegna al gruppo Tutti gli utenti M365.
  2. L’utente apre Authenticator → tocca l’account aziendale → Abilita accesso senza password.
  3. Al prossimo login: digita solo lo username → Authenticator → conferma → login.

Effetto: zero password rubate via phishing (semplicemente non esistono più). Microsoft promuove passwordless come default 2026+.

2. FIDO2 hardware key per account critici

Per i 5-10 account critici dell’azienda (CEO, CFO, IT admin), considera l’aggiunta di una chiave hardware FIDO2 (es. YubiKey, Token2, Feitian).

Costo: ~50-80€/chiave. Setup:

  1. Entra → Authentication methodsFIDO2 security key → abilita per gruppo Account critici.
  2. L’utente registra la chiave: mysignins.microsoft.comInformazioni di sicurezzaAggiungiChiave di sicurezza → segui procedura.

Risultato: gli account critici sono immuni al phishing. Una chiave FIDO2 verifica crittograficamente che il sito è davvero login.microsoftonline.com, non login-microsoftonline-fake.com.

3. Risk-based Conditional Access

Disponibile con Microsoft Entra ID P2 (incluso in Microsoft 365 E5 o add-on separato ~9€/utente/mese). Conditional Access “intelligente” che usa AI per valutare il rischio del login in real-time:

  • Login da indirizzo IP usuale, device usuale, orario usuale → low risk → MFA classico.
  • Login da paese mai usato, device nuovo, orario notturno → high risk → richiesta autenticazione rafforzata + notifica admin.
  • Login durante “impossible travel” (Milano alle 10:00, Mosca alle 10:30) → block automatico.

Per le PMI italiane con utenti che fanno smart working o trasferte estere frequenti, vale la pena valutare il jump da Entra ID P1 a P2.

Quando ha senso un servizio gestito

Configurare Microsoft Authenticator obbligatorio + Conditional Access risk-based + Defender for Office 365 + passwordless rollout richiede coordinamento di 4-5 servizi Microsoft 365 + change management utenti. Per le PMI sotto i 50 utenti senza un IT dedicato, è il caso d’uso tipico di Assistenza Cybersecurity gestita: noi configuriamo le baseline di sicurezza, gestiamo il rollout utenti, monitoriamo gli alert.

Per discovery gratuita sul tuo setup MFA attuale, parla con un nostro consulente.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Potrebbe interessarti anche

Articoli correlati per argomento e categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci