← Indice pacchetto onboarding
Entra Conditional Access Map — Gonzato Group / Ind.i.a SpA
Pacchetto onboarding IT Gonzato · Fase P1 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda
Scopo
Mappare le policy di Conditional Access, lo stato dell'MFA e la presenza di autenticazione legacy nei tenant M365 di Gruppo. Documenta le condizioni sotto cui gli utenti accedono ai servizi cloud: base per uniformare le regole allo split e per il requisito NIS 2 di autenticazione forte. Rilevamento READ-ONLY.
Metodo — export policy (Microsoft.Graph, sola lettura)
Connect-MgGraph -Scopes 'Policy.Read.All','Directory.Read.All','AuditLog.Read.All'
# Policy di Conditional Access
Get-MgIdentityConditionalAccessPolicy -All |
Select-Object DisplayName,State,
@{N='Utenti';E={$_.Conditions.Users.IncludeUsers -join ';'}},
@{N='App';E={$_.Conditions.Applications.IncludeApplications -join ';'}},
@{N='Piattaforme';E={$_.Conditions.Platforms.IncludePlatforms -join ';'}},
@{N='Controlli';E={$_.GrantControls.BuiltInControls -join ';'}} |
Export-Csv .\ca-policies.csv -NoTypeInformation -Encoding UTF8
# Default di sicurezza (security defaults) attivi?
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | Select-Object IsEnabled
Per l'autenticazione legacy: verificare i sign-in con clientAppUsed di tipo legacy nei log di accesso (Entra > Monitoraggio > Accessi, filtro "Client app: legacy authentication clients") oppure via Graph Get-MgAuditLogSignIn filtrando i protocolli legacy.
1. Inventario policy Conditional Access
| Policy | Stato (On/Report/Off) | Utenti/gruppi target | App target | Condizioni (piattaforma/rete/rischio) | Controlli (MFA/device compliant/blocca) | Note |
|---|
| [da compilare] | | | | | | |
2. Stato MFA di baseline
| Voce | Stato |
|---|
| Security Defaults attivi | [da compilare: Sì/No] |
| MFA imposto via CA | [da compilare] |
| Admin coperti da MFA | [da compilare] |
| Utenti standard coperti da MFA | [da compilare] |
| Eccezioni MFA (account esclusi) | [da compilare: quali e perché] |
3. Autenticazione legacy
| Protocollo legacy | In uso (S/N) | Chi/cosa lo usa | Bloccabile? | Note |
|---|
| POP3/IMAP/SMTP basic | [da compilare] | | | |
| ActiveSync basic auth | [da compilare] | | | |
| Altri (EWS/Autodiscover legacy) | [da compilare] | | | |
4. Gap e osservazioni
| Gap | Impatto | Priorità | Azione proposta (fase) |
|---|
| [da compilare: es. nessuna CA, solo security defaults] | | | |
| [da compilare: legacy auth aperta] | | | |
| [da compilare: admin senza MFA] | | | |
Sintesi da compilare
- Numero policy CA attive:
[da compilare] - Utenti coperti da MFA (%):
[da compilare] - Legacy auth ancora abilitata (S/N):
[da compilare] - Eccezioni MFA da rivedere:
[da compilare]
Le modifiche alle policy (nuove CA, blocco legacy) non si applicano in fase di mappatura: si documenta lo stato e si propone il piano in P2/P3, condiviso col team.