I vantaggi di un livello MFA indipendente negli ambienti Microsoft
Il cambiamento silenzioso di cui nessuno parla: negli ultimi anni è successo qualcosa che la maggior parte degli MSP non aveva previsto. I loro clienti sono passati a Microsoft 365, hanno adottato Entra ID come provider di identità e hanno iniziato a utilizzare Microsoft Authenticator per l'MFA. All'epoca aveva senso: era semplice, era incluso nella licenza e funzionava.
A un certo punto, però, è stata presa una decisione strategica implicita. Microsoft è diventata il provider di identità, la directory, l'archivio delle credenziali e il provider di MFA. Tutto in una volta. Non perché qualcuno avesse valutato le opzioni e deciso che fosse l'architettura migliore. Ma perché era la via più facile.
Per gli MSP, questo scenario crea un problema che va oltre la semplice tecnologia. Quando l'intero stack di identità di un cliente è gestito da un unico un fornitore, non sei tu a controllare l'esperienza di autenticazione. Non sei tu a definire le policy. E non sei tu a gestire il processo di ripristino. E se quel fornitore cambia qualcosa, aumenta i prezzi o subisce un'interruzione, sono i tuoi clienti a subirne le conseguenze e tu a trovarti senza alternative da offrire.
L'identità è infrastruttura. E va trattata come tale.
Non gestiremmo mai un'azienda senza la sicurezza di un backup dei nostri dati. Non lavoreremmo mai senza un piano di ripristino dei nostri sistemi. La maggior parte delle aziende, però, non ha niente di simile per le identità. Il loro intero sistema di autenticazione dipende da un singolo provider e, se qualcosa va storto o se la strategia di quel fornitore diverge dalle loro esigenze, non esiste un piano di riserva.
La portata di questa concentrazione non è trascurabile. Secondo Microsoft, Entra ID è una delle più grandi piattaforme di identità al mondo, che elabora miliardi di richieste di autenticazione ogni giorno. Si tratta di una straordinaria quantità di fiducia riposta in un'unica piattaforma. Per la stragrande maggioranza di queste aziende, soprattutto nell'ambito delle PMI, Microsoft non è solo una componente della loro infrastruttura di gestione delle identità: è la loro infrastruttura di gestione delle identità.
L'MFA nativa di Microsoft è affidabile. Funziona ed è inclusa nella licenza. Non è questo il punto. Il problema è che la configurazione di ciò che è già incluso non è un servizio gestito. È manutenzione. E quando i tuoi clienti possono ottenere una MFA di base senza il tuo intervento, il tuo valore come MSP deve derivare da qualcos'altro: policy migliori, copertura maggiore, più metodi, più controllo.
Un MSP che gestisce 30 clienti su Entra ID con l'MFA nativa di Microsoft non dispone di un livello di autenticazione indipendente.
Se una policy di accesso condizionale si comporta in modo anomalo, l'MSP deve risolvere il problema nella console di Microsoft con gli strumenti di Microsoft.
Se un cliente desidera un'esperienza MFA diversa per un gruppo specifico di utenti, le opzioni sono limitate a ciò che offre Microsoft.
E se l'MSP desidera applicare policy di autenticazione coerenti in ambienti Microsoft e non Microsoft (VPN, endpoint, app di terze parti), ciò non è semplicemente possibile con una soluzione di gestione delle identità basata su un unico fornitore.
La ragion d’essere dell'MFA esterna è proprio questa
Microsoft ha introdotto l'MFA esterna (precedentemente denominata External Authentication Methods o EAM) in Entra ID per consentire ai provider di MFA di terze parti di integrarsi direttamente con la piattaforma. Il concetto è semplice: Microsoft rimane il provider di gestione delle identità e gestisce il primo fattore. Quando è richiesta l'MFA, Entra ID reindirizza l'utente al provider esterno per il secondo fattore. Una volta verificato, l'accesso viene concesso.
Per gli MSP, questo cambia completamente il quadro. Puoi offrire un'esperienza MFA gestita che funziona all'interno degli ambienti Microsoft e si estende a tutto ciò che non ne fa parte: VPN, accesso a Windows, macOS, applicazioni di terze parti. Un insieme di criteri di autenticazione personalizzati e controllati da te, un'unica app con cui interagiscono gli utenti dei tuoi clienti e un’unica piattaforma che gestisci per tutti i tuoi account. Il livello di identità diventa qualcosa che possiedi come servizio, non qualcosa che configuri all'interno della piattaforma di qualcun altro.
La domanda è semplice: l'MFA che stai offrendo oggi è qualcosa per cui i tuoi clienti sarebbero disposti a pagare? O è solo un'opzione che potrebbero configurare da soli? Se vale la seconda ipotesi, è proprio un livello di autenticazione indipendente ciò che trasforma l'identità da un costo operativo in un servizio con un valore reale.
La protezione dal phishing che manca alla maggior parte delle PMI
Una volta implementato un livello di autenticazione indipendente, puoi estendere la tua offerta oltre i limiti imposti da una soluzione di gestione delle identità di un unico fornitore.
I metodi tradizionali di MFA (notifiche push, codici monouso) bloccano la stragrande maggioranza degli attacchi. Tuttavia, le tecniche di phishing avanzate che utilizzano attacchi proxy in tempo reale possono intercettare sia la password che l'approvazione dell'MFA nel momento stesso in cui avvengono. Secondo il Verizon 2025 Data Breach Investigations Report, le credenziali rubate sono state il principale vettore di accesso iniziale nel 22% di tutte le violazioni analizzate, mentre l'88% degli attacchi alle applicazioni web di base ha coinvolto credenziali rubate. Questi attacchi non sono teorici e mirano specificamente alle persone che contano di più: dirigenti, team finanziari e chiunque abbia accesso a dati sensibili.
I metodi di autenticazione resistenti al phishing come le passkey mitigano questo rischio. Le passkey utilizzano la biometria legata al sito web legittimo, impedendo così a un sito falso di attivare l'autenticazione. L'esperienza dell'utente è familiare (impronta digitale o volto, come per sbloccare un telefono) e la protezione è fondamentalmente più efficace contro gli attacchi sofisticati.
La questione pratica per gli MSP non è se offrire un'autenticazione resistente al phishing, bensì da dove iniziare. Non tutti gli utenti hanno bisogno dello stesso livello di protezione. Dirigenti e team finanziari? Certamente. Tutti i singoli dipendenti sin dal primo giorno? Probabilmente no. La possibilità di implementare le passkey insieme all'MFA tradizionale, scegliendo dove applicare ciascun metodo in base al rischio, è ciò che rende questa soluzione praticabile negli ambienti reali.
Cosa significa per la tua attività?
Se sei un MSP che gestisce ambienti Microsoft, l'opportunità è chiara. L'identità non deve essere qualcosa che configuri all'interno della piattaforma di qualcun altro. Deve essere qualcosa che possiedi, controlli e su cui costruisci un'attività. L’MFA esterna ti garantisce quel controllo. I metodi resistenti al phishing, come le passkey, offrono ai tuoi clienti una protezione che va oltre ciò che offre l'MFA di base. E la combinazione di entrambi ti garantisce qualcosa di concreto da offrire a ogni cliente che utilizza Microsoft 365. E poiché gli assicuratori informatici distinguono sempre più tra MFA di base e metodi resistenti al phishing, disporre di un livello di autenticazione indipendente e supportato dalle passkey pone te e i tuoi clienti in vantaggio rispetto a questi requisiti, evitando che dobbiate sforzarvi per soddisfarli.
Gli MSP che se ne renderanno conto per primi saranno quelli che trasformeranno l'identità da un costo operativo a una fonte di reddito. Aspettare significa competere sul prezzo per qualcosa che i tuoi clienti possono già ottenere senza di te.
In che modo AuthPoint porta l'MFA esterna negli ambienti Microsoft
WatchGuard AuthPoint si integra con Microsoft Entra ID come provider di MFA esterna, consentendo ai partner di offrire un'esperienza di autenticazione gestita che copre gli ambienti Microsoft e si estende a tutto il resto: VPN, accesso a Windows e macOS, applicazioni SAML e OIDC di terze parti e il portale AuthPoint SSO.
AuthPoint supporta le notifiche push, i codici di accesso monouso basati sul tempo (TOTP), la verifica tramite codice QR, i token hardware OTP e l’autenticazione con passkey FIDO2. Le policy Zero Trust in WatchGuard Cloud controllano quali metodi sono disponibili per ogni risorsa e gruppo di utenti, offrendo agli MSP un controllo granulare sull'esperienza di autenticazione dei propri clienti.
Il modello di distribuzione è appositamente progettato per gli MSP. La gestione multi-tenant in WatchGuard Cloud offre un'unica console per tutti i tuoi account, con ereditarietà delle policy e amministrazione delegata. Dal lato dell'utente finale, nel corso dell'ultimo anno WatchGuard ha completato un rinnovamento totale dell'esperienza utente su tutti i punti di contatto AuthPoint: un nuovo agente per Windows, un nuovo agente per macOS e un'app mobile completamente riprogettata con modalità scura, gestione unificata dei token e un flusso di attivazione semplificato. Il risultato è un'esperienza di autenticazione moderna e coerente che riduce le difficoltà di onboarding e le richieste di assistenza.
Il supporto delle passkey e l'MFA esterna per Entra ID sono entrambi inclusi nelle licenze AuthPoint MFA e AuthPoint Total Identity Security senza costi aggiuntivi. I partner che già collaborano con AuthPoint possono offrire queste funzionalità ai propri clienti semplicemente abilitandole, senza che siano necessarie modifiche alla licenza.
Per capire meglio la sicurezza delle identità e come proteggere gli accessi dalle minacce basate sulle credenziali, dai un'occhiata a questi post sul nostro blog:
- MFA resistente al phishing: ecco perché le passkey sono un passo avanti
- Nell'era digitale, la sicurezza inizia dall'identità
- Come estendere l’MFA ovunque