Microsoft Authenticator ha iniziato a bloccare l’accesso sui telefoni modificati, e la novità sta facendo storcere il naso a parecchi utenti. Il meccanismo è semplice nella sua durezza: se il sistema rileva un dispositivo Android con permessi di root oppure un iPhone con jailbreak, l’app smette di funzionare per certi tipi di account. Nulla di casuale, la mossa è pensata per proteggere gli ambienti aziendali da possibili falle di sicurezza.
La misura tocca soltanto gli account gestiti tramite Microsoft Entra ID, la piattaforma di identità digitale collegata a Microsoft 365, Teams e Azure. Dopo qualche richiesta di chiarimento arrivata dagli utenti, l’azienda ha messo le cose in chiaro: gli account personali e i codici TOTP dei servizi esterni non subiranno alcuna limitazione. L’idea di fondo è ridurre il pericolo che un telefono manomesso possa esporre credenziali di lavoro o scolastiche, alzando l’asticella della protezione negli ambienti enterprise.
Quali account finiscono davvero sotto blocco
La protezione riguarda gli account di lavoro o di studio autenticati tramite Entra, quelli che servono per usare Outlook, SharePoint, OneDrive for Business e una lunga lista di piattaforme aziendali. Quando l’app individua root o jailbreak, l’utente non potrà più approvare gli accessi né registrare nuove credenziali legate a questi profili. Fine dei giochi, insomma, per chi tiene il telefono sbloccato.
Discorso diverso per gli account Microsoft personali e per i codici di autenticazione generati per servizi di terze parti, come GitHub, a patto che non siano agganciati direttamente all’infrastruttura Entra. Questi restano perfettamente funzionanti. È una distinzione furba, che consente all’azienda di intervenire solo dove il rischio per la sicurezza aziendale è concreto, senza mettere i bastoni tra le ruote a chi usa l’app per faccende private.
Un rilascio a tappe, in tre fasi
Niente blocchi improvvisi. Microsoft ha scelto la strada graduale, per dare tempo a utenti e reparti IT di mettersi in regola. Nella prima fase compare un semplice avviso che segnala la presenza di un dispositivo modificato, avvertendo che prima o poi l’uso dell’app verrà ristretto. Un cartellino giallo, per intenderci.
Poi si passa alle cose serie. Nella seconda fase scatta il blocco vero e proprio: Authenticator impedisce di aggiungere nuovi account di lavoro e non permette più di approvare le richieste di autenticazione. Nell’ultima fase l’app cancella in automatico gli account aziendali dal dispositivo, costringendo chi lo usa a passare a uno smartphone conforme oppure a ripristinare il sistema operativo originale. Un dettaglio non da poco: la funzione è attiva di default e nemmeno gli amministratori IT possono spegnerla. Una misura, insomma, che non si tratta.
Perché root e jailbreak fanno paura
I permessi di root su Android e il jailbreak su iOS tolgono di mezzo alcune barriere imposte dal sistema operativo, spalancando la porta a possibili accessi non autorizzati da parte di app malevole. Le credenziali usate per l’autenticazione multifattore sono tra gli elementi più delicati nella difesa degli ambienti aziendali, perché un telefono compromesso potrebbe permettere l’intercettazione delle notifiche di approvazione o dei token di accesso.
Chi usa Authenticator solo per scopi personali non noterà nulla di diverso. Chi invece accede a risorse aziendali o universitarie tramite Entra dovrà rimettere il firmware originale prima che il blocco diventi definitivo. Una scelta che si allinea a una tendenza ormai diffusa nel settore, dove sempre più piattaforme di identità digitale controllano l’integrità del dispositivo prima di dare il via libera all’accesso, affiancando strumenti come passkey e moduli di sicurezza hardware.