Microsoft ha rilasciato l’autenticazione per app nidificate, che consente un’autenticazione più semplice e offre maggiore sicurezza e flessibilità architetturale rispetto ai tradizionali modelli di autenticazione “full-trust” e “on-behalf-of”. Per questo motivo, a partire dal 17 febbraio 2025 Microsoft ha iniziato a disattivare i token Exchange Online legacy. Ciò significa che tutti i Phish Alert Button (PAB) ibridi e per barra multifunzione Microsoft connessi ai domini Microsoft 365 non funzioneranno, a meno che NAA-SSO non sia autorizzato. I token Exchange Online legacy possono essere riabilitati token Exchange Online legacy possono essere riabilitati (il link si aprirà in un’altra finestra) fino a giugno 2025.

A causa di queste modifiche, è consigliabile autorizzare le API Graph e NAA-SSO nelle impostazioni account Phish Alert. Per ulteriori informazioni, consulta la pagina di Microsoft Nested app authentication and Outlook legacy tokens deprecation FAQ (Domande frequenti sull’autenticazione delle app nidificate e sulla disattivazione dei token legacy di Outlook) (il link si aprirà in un’altra finestra).

Prerequisiti per NAA-SSO

• Microsoft 365, che richiede il ruolo di amministratore globale per accettare le autorizzazioni.
• Exchange Online, che richiede il ruolo di amministratore globale per accettare le autorizzazioni.
• Canale Enterprise mensile versione 2409 o successiva. Le versioni precedenti causeranno il timeout del PAB per barra multifunzione Microsoft.
• Canale semestrale versione 2408 o successiva. Le versioni precedenti causeranno il timeout del PAB per barra multifunzione Microsoft.
• Canale attuale versione 2410 o successiva.

Prerequisiti aggiuntivi

La disponibilità di NAA-SSO varia a seconda della versione di Microsoft Office e Microsoft Outlook in uso. Per determinare se l’ambiente supporta NAA-SSO, fai riferimento all’articolo di Microsoft Nested app auth requirement set (Set di requisiti di autorizzazione per app nidificate) (il link si aprirà in un’altra finestra). Le versioni compatibili includono:

• Microsoft Outlook su Windows (contratto multiplo perpetuo) versione 2408 (build 17932.20222) o successiva.
• Microsoft Outlook su Windows (retail perpetua) versione 2501 (build 18429.20132) o successiva.

Note importanti sulla versione:

• Microsoft Office 2024 (contratto multiplo perpetuo) supporterà NAA-SSO.
• Microsoft Office 2021 (contratto multiplo perpetuo) continuerà a supportare SSO-OBO per l’autenticazione, ma non NAA-SSO.
• Microsoft Office 2016 e 2019 (contratto multiplo perpetuo) non supporteranno l’autenticazione NAA-SSO o SSO-OBO. Per ulteriori informazioni su Microsoft Office 2016 e 2019, fai riferimento alla documentazione di Microsoft documentazione di Microsoft (il link si aprirà in un’altra finestra).
• Microsoft Outlook su Windows (retail perpetua) versione 2008 (Build 13127.20000) o successiva supporterà l’autenticazione SSO-OBO.

Accettazione delle autorizzazioni per NAA-SSO

Per accettare le autorizzazioni per NAA-SSO con Microsoft, effettua le seguenti operazioni.

1. Accedi all’account KSAT e fai clic sul tuo indirizzo e‑mail nell’angolo in alto a destra della pagina.
2. Seleziona Impostazioni account, quindi vai a Integrazioni account > Phish Alert.
3. Fai clic sul menu a discesa per espandere le impostazioni PAB.

4. Scorri verso il basso e fai clic su Autorizza NAA-SSO per API GRAPH. Si aprirà la pagina di accesso di Microsoft 365.

   Nota: dovrai fare clic anche su Accetta le autorizzazioni Microsoft per autorizzare le API GRAPH per PAB se tali autorizzazioni non sono state accettate in precedenza.

   

5. Accedi al tuo account Microsoft 365 utilizzando le tue credenziali di admin.

6. Una volta effettuato l’accesso, sarà visualizzata la finestra pop-up Autorizzazioni richieste. Leggi le autorizzazioni, quindi fai clic su Accetta.

   Nota: se più istanze PAB sono distribuite su diversi tenant Microsoft 365, è necessario accettare le autorizzazioni per autorizzare le API Graph e NAA-SSO per ogni istanza PAB su ciascun tenant.

   

7. Una volta accettate le autorizzazioni, sarà visualizzata la finestra Autorizzazione GRAPH eseguita correttamente. Per l’applicazione di NAA-SSO ai profili Microsoft Outlook dell’utente possono essere necessarie fino a 48 ore dopo l’accettazione delle autorizzazioni.

   

NAA-SSO per Internet Explorer

Se la tua organizzazione utilizza Outlook su Microsoft Edge in modalità Internet Explorer o Internet Explorer con Microsoft 365, devi autorizzare i permessi per le API Graph e NAA-SSO per il PAB prima di giugno 2025 per evitare l’interruzione del servizio. Una volta autorizzati i permessi, puoi disabilitare i token Exchange Online legacy disabilitare i token Exchange Online legacy (il link si aprirà in un’altra finestra) e segnalare un’e-mail utilizzando il PAB per garantire che funzioni correttamente.

Esperienza utente

Di seguito viene descritta l’esperienza utente con NAA-SSO per Internet Explorer:

1. Fai clic sul PAB nella barra multifunzione.

   

2. In questo modo sarà caricato nel riquadro attività e si aprirà una finestra pop-up.

3. La prima volta che gli utenti effettuano una segnalazione utilizzando il PAB, dovranno accedere al proprio account Microsoft.

   

   Nota: se gli utenti non possono eseguire l’autenticazione con NAA-SSO o SSO-OBO, il PAB tornerà al meccanismo di autenticazione interattiva e l’utente dovrà accedere a Microsoft la prima volta che utilizza il PAB.

4. Fai clic sul pulsante Phish Alert per segnalare l’e‑mail.

   

Risoluzione dei problemi

Domanda: questa operazione richiede la ridistribuzione del manifesto XML del Phish Alert Button (PAB) dopo l’autorizzazione NAA-SSO?

Risposta: no, sarà sufficiente accettare le autorizzazioni.

Domanda: viene visualizzato il seguente errore: “Il tuo server di posta necessita di un token di autenticazione valido per il Phish Alert Button. Se hai bisogno di assistenza per le impostazioni del tuo server di posta, contatta l’amministratore.” Come posso risolverlo?

Risposta: ciò indica che il PAB utilizzato sta tentando di eseguire l’autenticazione con il token legacy di Exchange Online disattivato. Per risolvere l’errore prova i seguenti passaggi:

1. Consigliamo di ripetere i passaggi da 1 a 7 descritti nella sezione Accettazione delle autorizzazioni per NAA-SSO descritta in precedenza. Se ciò non risolve il problema, prova a distribuire nuovamente il PAB seguendo i passaggi da 2 a 5 descritti in precedenza.
2. Disinstalla il PAB attuale nell’interfaccia di amministrazione di Microsoft 365 Disinstalla il PAB attuale nell’interfaccia di amministrazione di Microsoft 365 (il link si aprirà in un’altra finestra) da Settings > Integrated Apps > Add-ins.
3. Trova il componente aggiuntivo PAB nell’elenco.
4. Seleziona il componente aggiuntivo e fai clic su Rimuovi app.

5. Reinstalla il file manifesto PAB. Per maggiori informazioni consulta le nostre Guide all’installazione del PAB.

   Nota: se usi il PAB ibrido, ti consigliamo di aggiornare il manifesto XML per PAB prima di rimuoverlo e distribuirlo nuovamente. Per ulteriori informazioni, consulta la documentazione su Aggiornare e disinstallare il PAB ibrido.

Domanda: viene visualizzato il seguente errore: “Impossibile elaborare questo elemento. Riprova più tardi.” Come posso risolverlo?

Risposta: l’attivazione del nuovo Outlook dovrebbe risolvere questo problema.

Domanda: quali ambiti di autorizzazione utilizza il PAB abilitato per Graph?

Risposta: di seguito sono riportati gli ambiti di autorizzazione utilizzati dal PAB abilitato per Graph:

• Mail.Read: questa autorizzazione consente al PAB di leggere l’e-mail dell’utente e viene utilizzata per ottenere le intestazioni delle e-mail, gli allegati e il contenuto del corpo dell’e-mail.
• Mail.Read.Shared: questa autorizzazione consente al PAB di leggere le e-mail degli utenti dalle caselle di posta condivise e viene utilizzata per ottenere le intestazioni delle e-mail, gli allegati e il contenuto del corpo dell’e-mail.
• Mail.ReadWrite: questa autorizzazione consente al PAB di leggere e scrivere le e-mail degli utenti.
• Mail.ReadWrite.Shared: questa autorizzazione consente al PAB di leggere e scrivere e-mail nelle caselle di posta condivise.
• Mail.Send: questa autorizzazione consente al PAB di inviare le e-mail degli utenti.
• Mail.Send.Shared: questa autorizzazione consente al PAB di inviare e-mail da caselle di posta condivise, a condizione che l’utente disponga dell’autorizzazione “invia come” abilitata per la casella di posta condivisa.
• OpenID: questa autorizzazione consente al PAB di ottenere informazioni di base sull’utente.
• Profilo: questa autorizzazione consente al PAB di accedere alle informazioni del profilo dell’utente.

Domanda: devo autorizzare l’autenticazione Single Sign-On per app nidificate (NAA-SSO) o Single Sign-On On-Behalf-Of (SSO-OBO) per ogni tipo di PAB utilizzato?

Risposta: le autorizzazioni NAA-SSO e SSO-OBO sono basate sul tenant Microsoft 365. Ciò significa che, se NAA-SSO è abilitato per il PAB ibrido nel tenant, non è necessario autorizzarlo per il PAB per barra multifunzione Microsoft o altri tipi di PAB. Ciò vale anche per SSO-OBO.

Domanda: come è possibile verificare le autorizzazioni API Graph di Microsoft utilizzate dal PAB?

Risposta: utilizzando il portale Microsoft Entra, è possibile verificare le autorizzazioni API Graph di Microsoft del PAB:

1. Accedi all’interfaccia di amministrazione di Microsoft Entra e vai in Applicazioni > Applicazioni aziendali.
2. Filtra il PAB digitando “phish alert” nella casella di inserimento del filtro.
3. Quindi fai clic sulla voce del Phish Alert Button e verifica i dettagli relativi al Phish Alert Button.

Domanda: cosa devo fare se ho abilitato NAA-SSO, ma il PAB ibrido non funziona per il mio ambiente?

Risposta: verifica se le autorizzazioni PAB sono state accettate per NAA-SSO e le API Graph per PAB. La tabella delle autorizzazioni sarà simile alla seguente:

Se hai confermato che le autorizzazioni sono state accettate e il problema persiste, contatta il nostro team di supporto team di supporto (il link si aprirà in un’altra finestra).

Domanda: quanto tempo occorre per l’aggiornamento delle autorizzazioni una volta accettate?

Risposta: le autorizzazioni vengono aggiornate quasi istantaneamente per i browser e i nuovi client Outlook. Tuttavia, per i client Windows Outlook, l’aggiornamento potrebbe richiedere un po’ di tempo. Se stai utilizzando un client Windows Outlook e l’aggiornamento delle autorizzazioni richiede un po’ di tempo, ti consigliamo di eliminare il WEF o la cartella cache di Windows Outlook eliminare il WEF o la cartella cache di Windows Outlook (il link si aprirà in un’altra finestra).

Domanda: una volta concessa l’autorizzazione NAA-SSO gli utenti noteranno qualche differenza?

Risposta: l’unica differenza che gli utenti vedranno è che potrebbe essere scritto Graph nell’angolo in alto a destra dopo aver fatto clic sul PAB per segnalare un’e-mail.