Passare alla MFA per gli amministratori di Office 365, non vuol solo dire “attivare un codice e scegliere un device sul quale far arrivare le richieste di login“, ma adattare applicazioni utilizzate e porte di accesso al mondo Microsoft in cloud.
I programmi non ancora compatibili con la Modern Authentication o in generale con la MFA (Multi Factor Authentication), dovranno continuare a utilizzare una specifica password creata ad-hoc come già succede da tempo con Google, generalmente complessa (una serie di lettere e numeri randomici) e difficile da memorizzare, più adatta a essere salvata nel classico DB di KeePass e copiata / incollata all’occorrenza.
E se uso PowerShell?
È questo lo scopo dell’articolo di oggi. Un vademecum dedicato a chi utilizza PowerShell con autenticazione a password senza MFA e che intende rafforzare la sicurezza del proprio account (cosa più che necessaria per chi ha accesso a dati sensibili e può far potenzialmente dei danni).
Ciò che fino a oggi è stato utilizzato, va sostituito con moduli nuovi che sono in grado di autenticarci tramite MFA, tutto materiale recuperabile dai siti web di Microsoft, ovviamente. Vediamo insieme cosa andare a toccare.
Disinstallazione del vecchio
Per poterti collegare al tenant tramite MFA, dovrai prima fare pulizia dei moduli precedentemente installati sulla tua macchina. Spostati nella schermata di gestione delle applicazioni nel Pannello di Controllo, quindi cerca e disinstalla:
- Assistente per l’accesso ai Microsoft Online Services
- Modulo di Windows Azure Active Directory per Windows PowerShell
Uno dei due potrebbe chiederti di riavviare la macchina al termine della sua disinstallazione, non serve, puoi attendere il termine della giornata o un successivo momento.
Connect-EXOPSSession
Modificato circa una settimana fa, un articolo su Technet riporta i dettagli per il download di un modulo ClickOnce che permette di configurare un ambiente in grado di accettare la Multi Factor Authentication e collegarsi in seguito al tenant.
Per farla più semplice e veloce: collegati all’interfaccia di amministrazione del tuo Exchange in cloud (outlook.office365.com/ecp), quindi spostati in “hybrid” (menu di sinistra) e fai clic su “configure” in corrispondenza della voce:
The Exchange Online PowerShell Module supports multi-factor authentication. Download the module to manage Exchange Online more securely. Learn more
Una volta eseguito (utilizza un browser Microsoft, potrebbe non andare d’accordo con Chrome o Firefox, generandoti errore di installazione a video), questo creerà un’icona sul Desktop. Tienila da parte, ti servirà ogni volta che dovrai collegarti a Exchange via PowerShell (puoi aggiungere l’icona alla barra delle applicazioni magari, per rendere il tutto più veloce). Ti si aprirà una finestra di PowerShell, con il suggerimento riguardo un modo per connettersi diverso dal solito (quello del titolo del paragrafo: Connect-EXOPSSession):
Lancia il comando Connect-EXOPSSession -UserPrincipalName tuoutente@dominio.tld, ti si presenterà così a video il popup per l’autenticazione (quello che sei già abituato a vedere quando ti connetti all’interfaccia web di amministrazione dei servizi di Office 365, oppure quando registri una nuova licenza Office) e, una volta inserite e confermate le credenziali, potrai approvare la richiesta dal dispositivo associato al tuo account. La prima parte è così completa, ciò che cambia è che dovrai (da ora in poi) lanciare il prompt di PowerShell passando da una diversa icona.
e per l’Active Directory?
Si tratta sempre di “Microsoft Azure Active Directory for Windows PowerShell“, stavolta però cambia la versione, più precisamente la 1.1.166.0. La trovi su connect.microsoft.com/site1164/Downloads/DownloadDetails.aspx?DownloadID=59185, in alternativa ne ho caricato una copia sul mio spazio box, perché mi è capitato di non riuscire a scaricarla correttamente da Microsoft un paio di volte (app.box.com/s/ybzcbbak9g3xnvii5aupch7qmx6vbc6e).
Una volta installato il modulo, dovrai semplicemente andare a modificare il metodo di caricamento dello stesso. Questo non accetterà più il parametro -Credential, ti basterà quindi importarlo e connetterti:
Import-Module MSOnline Connect-MsolService
Ti comparirà a video un ulteriore popup in cui inserire nuovamente le tue credenziali.
Riepilogando
Se anche tu sei solito utilizzare uno script PS1 per connetterti al tenant evitando di dimenticare qualcosa per strada, oggi quello script dovrebbe assomigliare a qualcosa di simile a:
Connect-EXOPSSession -UserPrincipalName tuoutente@dominio.tld Import-Module MSOnline Connect-MsolService
Ricorda di tenere a portata di mano il tuo smartphone (o più in generale il device che hai associato alla Multi Factor Authentication) e una buona dose di pazienza, la sessione scade molto più in fretta adesso, dovrai quindi riautenticarti spesso nel corso della giornata, se sei solito lasciarti una PowerShell sempre aperta e connessa al tuo tenant.
Buon lavoro! :-)
Correzioni, suggerimenti? Lascia un commento nell'apposita area qui di seguito o contattami privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! ☕ :-)
L'articolo potrebbe non essere aggiornato
Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)
