Vai al contenuto principale

Microsoft - Come configurare l'invio delle simulazioni tramite DMI (Direct Message Injection)

  • Aggiornato

Configuri l'invio delle simulazioni di SMARTFENSE tramite Direct Message Injection (DMI) in Microsoft Entra ID. Con questo metodo, le email vengono recapitate direttamente nella casella di posta degli utenti senza attraversare le regole di filtraggio del tenant, migliorando il tasso di consegna e la fedeltà delle simulazioni.

Quando conviene usare DMI? È l'opzione consigliata quando i filtri di sicurezza di Microsoft (ATP, Defender for Office 365) riscrivono i link, modificano il contenuto o bloccano le simulazioni, e quando si desidera evitare di mantenere whitelist complesse per IP o per header in produzione.

Può accedere a queste istruzioni dalla piattaforma di SMARTFENSE in Configurazione > Simulazioni > Mezzo di invio, selezionando: Iniezione di Messaggi Diretti tramite Microsoft.

Prerequisiti

Prima di iniziare la configurazione, verifichi di soddisfare i seguenti requisiti:

  • Disporre di un ruolo con permessi sufficienti in Microsoft Entra ID per registrare applicazioni e concedere il admin consent. I ruoli abituali sono Global Administrator o Cloud Application Administrator.
  • Avere accesso a Microsoft Graph nel tenant.
  • Le utenze di destinazione devono esistere nel tenant in cui si effettua la configurazione.
  • Disporre di accesso amministratore alla piattaforma di SMARTFENSE per completare i dati dell'integrazione.

Configurazione in Microsoft Entra ID

Registrare una nuova applicazione

  1. Acceda al portale di Microsoft Entra ID all'indirizzo https://portal.azure.com.
  2. Entri nella sezione Microsoft Entra ID.
  3. Nel menu laterale di sinistra, faccia clic su App registrations.
  4. Faccia clic su New registration.
  5. Compili il modulo per registrare la nuova applicazione:
    • In Name, inserisca un nome rappresentativo. Ad esempio: SMARTFENSE-DMI.
    • Selezioni Single Tenant Only - Organization.
    • Faccia clic su Register.

Ottenere gli identificatori dell'applicazione

  1. Nella vista generale dell'applicazione appena creata, copi i seguenti valori:
    • Application (client) ID.
    • Directory (tenant) ID.

Importante: questi valori saranno necessari più avanti per completare la configurazione in SMARTFENSE. Li conservi in un luogo sicuro.

Creare il Client secret

  1. All'interno dell'applicazione SMARTFENSE-DMI, nel menu Manage > Certificates & secrets, faccia clic su New client secret.
  2. Inserisca una descrizione rappresentativa e selezioni una data di scadenza (Consigliato 24 mesi).
  3. Una volta creato, copi il Value del Client secret.

Avviso: alla scadenza del Client secret, l'invio delle simulazioni tramite DMI smetterà di funzionare finché non verrà caricato un nuovo valore nella piattaforma. Pianifichi una notifica interna di rinnovo con il dovuto anticipo.

Nota: il Value viene mostrato una sola volta nel portale di Microsoft Entra ID. Se non lo copia in questo momento, dovrà generare un nuovo Client secret.

Assegnare i permessi di Microsoft Graph

  1. Nell'applicazione, entri nel menu API permissions e faccia clic su Add a permission.
  2. Selezioni Microsoft Graph.
  3. Scelga Application permissions.

  4. Selezioni i seguenti permessi e confermi:

    Mail.Read — necessario per validare il contesto dell'utente di destinazione.

    Mail.ReadWrite — necessario per iniettare l'email di simulazione direttamente nella casella dell'utente.

  5. Faccia clic su Grant admin consent for [name] per concedere il consenso amministrativo.

Importante: SMARTFENSE non utilizza i permessi concessi per finalità diverse da quelle descritte in queste istruzioni. L'iniezione viene effettuata esclusivamente sugli utenti inclusi nelle simulazioni configurate nella piattaforma.

Nota: senza il admin consent, i permessi risultano concessi all'applicazione ma non effettivi, e l'iniezione fallirà. Se in qualsiasi momento il consenso viene revocato da Entra ID, l'integrazione smetterà di funzionare.

Configurazione in SMARTFENSE

  1. Nella piattaforma di SMARTFENSE, entri in Configurazione > Simulazioni > Mezzo di invio e selezioni Iniezione di Messaggi Diretti tramite Microsoft.
  2. Compili i campi con i valori ottenuti da Microsoft Entra ID:
    • Application (client) ID.
    • Directory (tenant) ID.
    • Value del Client secret.
  3. Nel campo Destinatario per il test, inserisca un indirizzo email appartenente al dominio configurato nel tenant. Di default viene utilizzata la propria email.
  4. Faccia clic su Invia test. La piattaforma invierà un'email di validazione al destinatario indicato. Se viene rilevato un errore nella configurazione, verrà mostrata una notifica con i dettagli.
  5. Una volta che il test ha avuto esito positivo, faccia clic su Salva. Il pulsante rimane disabilitato finché la validazione non viene completata con successo.

Verificare la configurazione

Una volta salvata la configurazione, validi che l'integrazione funzioni correttamente:

  1. Crei una simulazione di prova rivolta a un'utenza del tenant configurato.
  2. Verifichi che l'email arrivi nella casella di posta dell'utente senza attraversare i filtri di Microsoft.
  3. Verifichi nella piattaforma di SMARTFENSE che le statistiche della campagna registrino l'invio e le interazioni dell'utente.

Nota: se l'email non arriva o vengono registrati errori nell'invio, consulti la sezione di troubleshooting alla fine di questo articolo.

Convivenza con la whitelist in Microsoft Defender (ATP)

Anche configurando DMI, in alcuni scenari è necessario integrare la configurazione con la whitelist di ATP per evitare che i link o gli allegati vengano riscritti o analizzati dopo la consegna. Per questi casi, consulti l'articolo Microsoft - Come evitare falsi positivi di ATP nelle simulazioni di phishing e ransomware (DMI).

Troubleshooting

Se incontra errori durante l'invio di simulazioni tramite DMI, consulti l'articolo Errores più comuni di invio con DMI - Direct Message Injection tramite Microsoft, dove sono documentate le cause più comuni (consenso revocato, Client secret scaduto, permessi insufficienti, utenti fuori dal tenant) e il modo per risolverle.

💡 Migliori pratiche

  • Imposti un promemoria di rinnovo del Client secret prima della sua scadenza per evitare interruzioni nell'invio delle simulazioni.
  • Conservi l'Application (client) ID, il Directory (tenant) ID e il Value del Client secret in un gestore di segreti approvato dalla sua organizzazione.
  • Verifichi che l'amministratore applichi correttamente Grant admin consent for [name], poiché senza questo passaggio i permessi rimangono inattivi.
  • Documenti internamente chi è responsabile del rinnovo del Client secret e del mantenimento del admin consent valido.
  • Esegua una simulazione di prova dopo ogni rinnovo delle credenziali per individuare eventuali problemi in tempo.
  • Se utilizza Microsoft Defender for Office 365, integri la configurazione di DMI con la whitelist di ATP per preservare i link e gli allegati originali.

Articoli correlati