Microsoft sta implementando una rivoluzione silenziosa nel modo in cui gestiamo l’accesso ai nostri account aziendali. Da una parte, l’introduzione delle passkey Entra per Windows Hello promette di liberarci finalmente dalla tirannia delle password, sostituendole con sistemi biometrici più sicuri. Dall’altra, l’azienda di Redmond ha deciso di alzare drasticamente il livello di controllo sui dispositivi personali, con conseguenze che potrebbero sorprendere molti utenti. La novità principale riguarda l’integrazione nativa delle passkey Microsoft Entra su tutti i dispositivi Windows supportati. Attraverso Windows Hello, i dipendenti potranno accedere alle risorse aziendali protette utilizzando semplicemente la scansione facciale, l’impronta digitale o un PIN locale. Una mossa che si inserisce nel contesto delle politiche BYOD, quelle che permettono di usare dispositivi personali per il lavoro senza cedere il controllo completo della gestione del telefono all’azienda.
Il meccanismo è elegante nella sua semplicità: la chiave privata FIDO2 necessaria per accedere al proprio account viene archiviata in modo sicuro nel Trusted Platform Module o in un’enclave protetta del dispositivo. Questo significa che la chiave non può essere trasmessa attraverso la rete, rendendo di fatto impossibili gli attacchi di phishing tradizionali e il credential stuffing, quella tecnica con cui i cybercriminali provano automaticamente migliaia di combinazioni di username e password rubate. Il sistema entrerà in anteprima pubblica tra metà marzo e fine aprile 2026, ma sarà inizialmente opt-in. Gli amministratori IT dovranno abilitare manualmente il metodo di autenticazione Passkeys FIDO2 nelle policy di Microsoft Entra, creare un profilo passkey con gli AAGUID specifici di Windows Hello e assegnarlo ai gruppi appropriati. Insomma, niente di automatico, almeno per ora.
Ma c’è un rovescio della medaglia che sta facendo discutere. Microsoft Authenticator, l’app che molti usano per l’autenticazione a due fattori, ha iniziato a scansionare attivamente i dispositivi alla ricerca di telefoni con jailbreak o root. Per chi non mastica il gergo tecnico: si tratta di procedure che sbloccano i dispositivi iOS e Android rimuovendo le limitazioni imposte dai produttori, permettendo una personalizzazione più profonda del sistema operativo. Su Android la scansione è già attiva, mentre per iOS il rollout inizierà ad aprile 2026. Una volta che Microsoft Authenticator rileva un dispositivo modificato, parte un processo automatico scandito in tre fasi, ciascuna distanziata di circa un mese. Prima arriva un messaggio di avviso che informa l’utente della situazione e annuncia il blocco imminente. Poi l’applicazione impedisce l’accesso alle credenziali Microsoft Entra e blocca l’uso di Authenticator per il login. Infine, il dispositivo entra in modalità cancellazione e tutte le credenziali Entra vengono eliminate definitivamente.
Non esiste un’opzione per disattivare questo processo. Microsoft giustifica la scelta con motivazioni di sicurezza: i dispositivi con jailbreak o root possono aggirare controlli di sicurezza critici, esponendo dati aziendali sensibili a rischi inaccettabili. La posizione dell’azienda è chiara e monolitica: “Microsoft utilizza una serie di controlli locali di integrità e anti-manomissione per rilevare dispositivi con root o jailbreak. Man mano che emergono nuove minacce, queste protezioni vengono aggiornate continuamente. Per limitare l’aggiramento e mantenere l’efficacia, Microsoft non divulga pubblicamente i metodi di rilevamento specifici.” La questione però si complica quando si considerano alcuni sistemi operativi alternativi come GrapheneOS, una distribuzione Android focalizzata sulla privacy e la sicurezza. Un portavoce Microsoft ha confermato a TheRegister che Microsoft Authenticator non è ufficialmente supportato su GrapheneOS e che gli account Entra potrebbero essere compromessi sui dispositivi che eseguono questo sistema se rilevati come rootati.
Qui emerge un paradosso interessante: alcuni utenti scelgono il root o sistemi operativi alternativi proprio per aumentare la sicurezza e la privacy, non per aggirarle. GrapheneOS, per esempio, è considerato da molti esperti di sicurezza più sicuro del normale Android. Eppure, per Microsoft, rappresenta una minaccia da bloccare. Le ragioni legittime per cui qualcuno potrebbe voler sbloccare il proprio dispositivo sono molteplici. Alcune applicazioni non funzionano correttamente con certi sistemi operativi, specialmente quelli progettati per mantenere tutto organizzato e verificato all’interno del proprio ecososistema chiuso. Altri utenti cercano semplicemente un controllo più granulare sul dispositivo che hanno acquistato con i propri soldi.
La strategia di Microsoft riflette una tensione crescente nel mondo della sicurezza aziendale: fino a che punto un’organizzazione può spingersi nel controllare i dispositivi personali dei dipendenti? Le policy BYOD nascono proprio per evitare che le aziende debbano gestire completamente i telefoni privati, ma implementando controlli così invasivi, il confine si fa sempre più sfumato. Per chi usa dispositivi modificati in ambito lavorativo, il consiglio è semplice: preparatevi. Se fate affidamento su Microsoft Authenticator per accedere a risorse aziendali e il vostro telefono ha il jailbreak o il root, avete un paio di opzioni. Potete ripristinare il dispositivo alle condizioni di fabbrica, rinunciando alle personalizzazioni ma mantenendo l’accesso ai sistemi aziendali. Oppure potete procurarvi un dispositivo separato, dedicato esclusivamente al lavoro, mantenendo quello modificato per uso personale.
L’introduzione delle passkey rappresenta comunque un passo avanti significativo nella direzione di un’autenticazione più sicura e meno dipendente da password facilmente compromettibili. Il problema è che questa maggiore sicurezza viene accompagnata da un livello di controllo che molti potrebbero percepire come eccessivo, soprattutto quando colpisce scelte legittime fatte sui propri dispositivi personali. La questione solleva interrogativi più ampi sulla proprietà digitale e sul diritto degli utenti di controllare i dispositivi che possiedono. Quando acquistiamo uno smartphone, ne siamo davvero proprietari o siamo semplicemente licenziatari di un ecosistema controllato? E fino a che punto le esigenze di sicurezza aziendale possono giustificare limitazioni su dispositivi privati?
Microsoft non è l’unica azienda a muoversi in questa direzione. Molte organizzazioni stanno implementando controlli sempre più stringenti sui dispositivi mobili, anche quelli personali, quando vengono utilizzati per accedere a dati aziendali. La differenza è che Microsoft, con la sua diffusione capillare negli ambienti enterprise, ha il potere di rendere questi controlli uno standard de facto. Per gli amministratori IT, queste nuove funzionalità rappresentano strumenti preziosi per proteggere l’infrastruttura aziendale. Per gli utenti finali, potrebbero significare la fine della flessibilità nel personalizzare i propri dispositivi se vogliono mantenere l’accesso ai sistemi lavorativi. Come spesso accade con le innovazioni in ambito sicurezza, il bilanciamento tra protezione e libertà rimane una questione aperta, destinata a generare discussioni nei prossimi mesi.
