Cambio password utenti di dominio Office 365 (GDPR)10 min read

PREMESSA

In seguito all’entrata in vigore della nuova legge sulla Privacy, il GDPR, anche le aziende che preferivano avere password senza scadenza o impedendo agli utenti finali di cambiare in modo autonomo le password, si sono dovuto adeguare.

COME PROCEDERE

In Office 365 all’interno di un dominio possiamo iniziare a modificare i criteri di sicurezza attraverso il nostro pannello di amministrazione. Per quanto riguarda le impostazioni dei criteri di password si possono modificare all’interno del menu IMPOSTAZIONI -> SICUREZZA E PRIVACY. Le opzioni disponibili in CRITERI DELLA PASSWORD sono i giorni rimanenti alla scadenza delle password per gli utenti (si consiglia dai 90 ai 180 giorni) e a quanti giorni dalla scadenza si vuole mandare una notifica all’utente ricordandogli di cambiare la password (si sa che tanto aspetterà l’ultimo minuto per farlo).

Sembra tutto facile e semplice, ma ricordiamoci che gli utenti devono essere in grado di cambiarsi la password autonomamente senza dover contattare il povero amministratore di sistema. Quindi controlliamo se questa impostazione è attiva o meno. Sempre sotto IMPOSTAZIONI -> SICUREZZA E PRIVACY, al fondo possiamo trovare CONSENTIRE ALLE PERSONE DI REIMPOSTARE LA PROPRIA PASSWORD.

Cliccando sul link interfaccia di amministrazione di Azure AD si aprirà l’admin center di Azure Active Directory.

Sotto USERS -> PASSWORD RESET possiamo trovare numerose impostazioni interessanti:

  • Properties: dobbiamo assolutamente impostare All, in questo modo permettiamo a tutti gli utenti del dominio di resettarsi la password da soli.
  • Authentication methods: si possono settari vari metodi che permettono di verificare l’account dell’utente
  • Registration: il numero di giorni prima che venga richiesta una nuova conferma dei metodi di autenticazione
  • Notifications: definire se l’utente e/o l’amministratore debba ricevere una notifica quando viene cambiata una password
  • Customization: si può inserire un link di helpdesk
  • On-premises integration: si possono abilitare le password writeback. Si consiglia di leggere questa GUIDA
  • ACTIVITY -> Audit logs: si possono monitorare tutti i movimenti effettuati dagli utenti (come per esempio il cambio password) differenziati a seconda della categoria che si vuole vedere.
  • Troubleshoot: si possono vedere delle guide per cercare di risolvere i problemi più comuni
  • New support request: si richiede assistenza diretta a Microsoft

CONCLUSIONE

L’ultimo passaggio da fare, obbligatorio ormai per essere a norma con il GDPR consiste nel forzare il cambio password di tutti gli utenti e possiamo farlo in due modi:

  1. Nella Home del pannello di amministratore, sotto UTENTI -> UTENTI ATTIVI, selezioniamo tutti gli utenti (deselezioniamo l’utente amministratore), e cambiamo password. Possiamo scegliere se fare generare la password automaticamente dal sistema o crearla noi (Ricordiamoci di rispettare almeno i criteri di password anche se in linea teorica l’utente la cambierà subito). Questo è sicuramente il metodo più lungo perché dovremmo comunicare le password a tutti gli utenti, il che è impensabile su dominio con centinaia di utenti.
  2. Forzare il cambio password da Powershell. Per prima cosa connettiamo la Powershell di Office 365. In seguito possiamo forza tutti gli utenti dando il comando:
Copy to Clipboard

O singoli utenti:

Copy to Clipboard

O di determinati gruppi:

s

Copy to Clipboard

E’importante sottolineare che si debba scrivere sia ForceChangePassword and ForceChangePasswordOnly come parametri perché nel caso in cui si omettesse ForceChangePasswordOnly verrà generata un password automatica e tanto valeva che non utilizzavamo la Powershell e facevamo tutto dalla console Admin.

Per reimpostare le password nel formato di office 365 (8 caratteri, lettera iniziale maiuscola, 3 lettere minuscole e 4 numeri) si può impiegare questo script:

Copy to Clipboard

Ricordiamo di escludere sempre l’account amministratore, aggiungere i filtri desiderati. Questo script esporta il file csv con le password e gli account. Anche in questo caso però si può utilizzare tranquillamente il pannello amministratore.

Si ringrazia Vasil Michev per aver scritto gli script reperibili anche nel suo BLOG 

IMMAGINE: MICROSOFT

Recent Tweets

For privacy reasons Twitter needs your permission to be loaded.
I Accept
2018-06-24T12:58:43+00:00

About the Author:

Dottore in Informatica, mi hanno sempre appassionato i computer e il loro funzionamento. In questi ultimi anni ho deciso di specializzarmi nell'ambito sistemistico focalizzando i miei studi sul network e i server. Insieme a Daniele, ho deciso di creare questo blog per aiutare, attraverso delle guide, più persone possibili cercando di trasmettergli la nostra passione.

Leave A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.