← Indice pacchetto onboarding

Entra Conditional Access Map — Gonzato Group / Ind.i.a SpA

Pacchetto onboarding IT Gonzato · Fase P1 · Sys Admin · v1 03/07/2026 · bozza da compilare in azienda

Scopo

Mappare le policy di Conditional Access, lo stato dell'MFA e la presenza di autenticazione legacy nei tenant M365 di Gruppo. Documenta le condizioni sotto cui gli utenti accedono ai servizi cloud: base per uniformare le regole allo split e per il requisito NIS 2 di autenticazione forte. Rilevamento READ-ONLY.

Metodo — export policy (Microsoft.Graph, sola lettura)

Connect-MgGraph -Scopes 'Policy.Read.All','Directory.Read.All','AuditLog.Read.All'

# Policy di Conditional Access
Get-MgIdentityConditionalAccessPolicy -All |
  Select-Object DisplayName,State,
    @{N='Utenti';E={$_.Conditions.Users.IncludeUsers -join ';'}},
    @{N='App';E={$_.Conditions.Applications.IncludeApplications -join ';'}},
    @{N='Piattaforme';E={$_.Conditions.Platforms.IncludePlatforms -join ';'}},
    @{N='Controlli';E={$_.GrantControls.BuiltInControls -join ';'}} |
  Export-Csv .\ca-policies.csv -NoTypeInformation -Encoding UTF8

# Default di sicurezza (security defaults) attivi?
Get-MgPolicyIdentitySecurityDefaultEnforcementPolicy | Select-Object IsEnabled

Per l'autenticazione legacy: verificare i sign-in con clientAppUsed di tipo legacy nei log di accesso (Entra > Monitoraggio > Accessi, filtro "Client app: legacy authentication clients") oppure via Graph Get-MgAuditLogSignIn filtrando i protocolli legacy.

1. Inventario policy Conditional Access

PolicyStato (On/Report/Off)Utenti/gruppi targetApp targetCondizioni (piattaforma/rete/rischio)Controlli (MFA/device compliant/blocca)Note
[da compilare]

2. Stato MFA di baseline

VoceStato
Security Defaults attivi[da compilare: Sì/No]
MFA imposto via CA[da compilare]
Admin coperti da MFA[da compilare]
Utenti standard coperti da MFA[da compilare]
Eccezioni MFA (account esclusi)[da compilare: quali e perché]

3. Autenticazione legacy

Protocollo legacyIn uso (S/N)Chi/cosa lo usaBloccabile?Note
POP3/IMAP/SMTP basic[da compilare]
ActiveSync basic auth[da compilare]
Altri (EWS/Autodiscover legacy)[da compilare]

4. Gap e osservazioni

GapImpattoPrioritàAzione proposta (fase)
[da compilare: es. nessuna CA, solo security defaults]
[da compilare: legacy auth aperta]
[da compilare: admin senza MFA]

Sintesi da compilare

Le modifiche alle policy (nuove CA, blocco legacy) non si applicano in fase di mappatura: si documenta lo stato e si propone il piano in P2/P3, condiviso col team.