Sicurezza e Microsoft Teams

Importante

Il modello di servizio di Teams è soggetto a modifiche per migliorare le esperienze degli utenti. Ad esempio, le scadenze del token di accesso o di aggiornamento predefinito potrebbero essere soggette a modifica per migliorare le prestazioni e la resilienza di autenticazione per gli utenti che usano Teams. Le modifiche apportate verranno applicate con l'obiettivo di garantire la protezione e l’affidabilità da progettazione di Teams.

Microsoft Teams, come parte dei servizi Microsoft 365 e Office 365, segue tutte le migliori pratiche e procedure di sicurezza, come la protezione a livello di servizio attraverso misure di difesa avanzate, controlli utente nell'ambito del servizio, potenziamento delle misure di sicurezza e Procedure operative consigliate. Per i dettagli completi, consultare il Centro protezione Microsoft.

Progettato per l'affidabilità

Teams è progettato e sviluppato in conformità con Microsoft Trustworthy Computing Security Development Lifecycle (SDL) descritto in Microsoft Security Development Lifecycle (SDL). Il primo passo verso la creazione di un sistema di comunicazioni unificato più sicuro è stato quello di progettare modelli di minacce e testare ciascuna funzionalità così come era stata progettata. Ulteriori miglioramenti relativi alla protezione venivano apportati durante il processo e le procedure di codifica. Gli strumenti della fase di compilazione rilevano sovraccarichi del buffer e altre potenziali minacce alla sicurezza prima che il codice venga archiviato nel prodotto finale. È impossibile progettare un prodotto che sia al sicuro da tutte le possibili minacce alla protezione. Nessun sistema è in grado di garantire una sicurezza totale. Tuttavia, poiché lo sviluppo del prodotto ha accolto principi di progettazione sicuri fin dall'inizio, Teams incorpora tecnologie di protezione standard del settore come parte fondamentale della sua architettura.

Affidabilità per impostazione predefinita

In Teams le comunicazioni di rete sono crittografate per impostazione predefinita. Con l’utilizzo dei certificati in tutti i server, OAuth, TLS (Transport Layer Security),e SRTP (Secure Real-Time Transport Protocol), tutti i dati di Teams sono protetti sulla rete.

In che modo Teams tratta le minacce alla sicurezza comuni

Questa sezione identifica le più comuni minacce alla sicurezza del servizio Teams e come Microsoft riduce ciascun pericolo.

Attacco basato su chiave compromessa

Teams utilizza le funzionalità PKI nel sistema operativo del Server Windows per proteggere i dati della chiave utilizzati per la crittografia nelle connessioni TLS. Le chiavi utilizzate per la crittografia dei file multimediali vengono scambiate tramite le connessioni TLS.

Attacco Denial-of-Service di rete

Un attacco Distributed Denial of Service (DDOS) si verifica quando l'utente malintenzionato impedisce il normale utilizzo e funzionamento della rete da parte degli utenti legittimi. Utilizzando un attacco Denial-of-Service, l'utente malintenzionato può:

  • Inviare dati non validi alle applicazioni e ai servizi in esecuzione nella rete attaccata per interromperne la normale funzione.
  • Inviare una grande quantità di traffico, sovraccaricando il sistema fino a quando non smette di rispondere o risponde lentamente alle richieste legittime.
  • Nascondere l'evidenza degli attacchi.
  • Impedire agli utenti di accedere alle risorse di rete.

Teams attenua questi attacchi eseguendo la protezione di rete DDOS di Azure e limitando le richieste dei client dagli stessi endpoint, subnet e entità federate.

Intercettazione

L'intercettazione si verifica quando un utente malintenzionato accede al percorso dei dati in una rete e ha la capacità di monitorare e leggere il traffico. L'intercettazione è detta anche sniffing o snooping. Se il traffico è in testo normale, l'utente malintenzionato può leggerlo quando accede al percorso. Un esempio è un attacco eseguito controllando un router sul percorso dei dati.

Teams usa TLS (MTLS) reciproca e OAuth da server a server (S2S) (tra gli altri protocolli) per le comunicazioni server all'interno di Microsoft 365 e Office 365 e usa anche TLS dai client al servizio. Tutto il traffico sulla rete è crittografato.

Questi metodi di comunicazione rendono difficile o impossibile eseguire l'intercettazione entro il periodo di tempo di una singola conversazione. TLS autentica tutte le parti ed esegue la crittografia di tutto il traffico. Anche se TLS non impedisce le intercettazioni, l'utente malintenzionato non può leggere il traffico a meno che la crittografia non venga interrotta.

Il protocollo Traversal Using Relays around NAT (TURN) viene utilizzato per scopi multimediali in tempo reale. Il protocollo TURN non impone la crittografia del traffico e le informazioni che invia sono protette dall'integrità del messaggio. Sebbene sia aperto alle intercettazioni, le informazioni che invia (cioè gli indirizzi IP e la porta) possono essere estratte direttamente, guardando gli indirizzi di origine e destinazione dei pacchetti. Il servizio Teams garantisce che i dati siano validi controllando l'Integrità del Messaggio tramite la chiave derivata da alcune voci, inclusa una password TURN, che non viene mai inviata non crittografata. SRTP viene utilizzato per il traffico multimediale ed è inoltre crittografato.

Spoofing d'identità (spoofing dell'indirizzo IP)

Lo spoofing si verifica quando l'utente malintenzionato identifica e utilizza un indirizzo IP di una rete, un computer o un componente di rete senza essere autorizzato a farlo. La riuscita dell'attacco consente all'utente malintenzionato di operare come se tale utente malintenzionato fosse l'entità normalmente identificata dall'indirizzo IP.

TLS autentica tutte le parti ed esegue la crittografia di tutto il traffico. L'uso di TLS impedisce all'autore di un attacco di effettuare lo spoofing dell'indirizzo IP su una connessione specifica (ad esempio, connessioni Mutual TLS). Un utente malintenzionato potrebbe comunque effettuare lo spoofing dell'indirizzo del server DNS (Domain Name System). Tuttavia, poiché l'autenticazione in Teams viene eseguita con certificati, un utente malintenzionato non dispone di informazioni valide necessarie per eseguire lo spoofing di una delle parti nella comunicazione.

Attacco man-in-the-middle

Un attacco man-in-the-middle si verifica quando un utente malintenzionato dirige la comunicazione tra due utenti attraverso il proprio computer senza che i due utenti comunicanti lo sappiano. L'utente malintenzionato può monitorare e leggere il traffico prima di inviarlo al destinatario previsto. Ogni utente della comunicazione, inconsapevolmente, invia e riceve traffico dall'utente malintenzionato, il tutto pensando di comunicare solo con l'utente previsto. Questo scenario può verificarsi se un utente malintenzionato può modificare Active Directory Domain Services per aggiungere il server come server attendibile o modificare la configurazione DNS o usare altri mezzi per fare in modo che i client si connettano tramite l'utente malintenzionato nel loro percorso verso il server.

Gli attacchi man-in-the-middle al traffico multimediale tra due endpoint che partecipano alla condivisione di applicazioni, video e audio di Teams vengono impediti usando Secure Real-Time Transport Protocol (SRTP) per crittografare il flusso multimediale. Le chiavi crittografiche vengono negoziate tra i due endpoint tramite un protocollo di segnalazione proprietario (protocollo Teams Call Signaling) che usa TLS 1.2 e il canale UDP o TCP crittografato AES-256 (in modalità GCM).

Attacco replay RTP (Real-Time Transport Protocol)

Un attacco di riproduzione si verifica quando una trasmissione di file multimediali valida tra due parti viene intercettata e ritrasmessa per scopi illeciti. Teams utilizza SRTP con un protocollo di segnalazione sicuro che protegge le trasmissioni dagli attacchi di ripetizione, abilitando il destinatario a mantenere un indice dei pacchetti RTP già ricevuti e confrontare ogni nuovo pacchetto con quelli già elencati nell'indice.

Messaggi istantanei indesiderati

Gli spim sono messaggi istantanei commerciali non desiderati o richieste di sottoscrizione di presenza, come spam, ma sotto forma di messaggio istantaneo. Sebbene non sia di per sé una compromissione della rete, è quanto meno fastidioso, può ridurre la disponibilità e la produzione delle risorse e può comportare una compromissione della rete. Un esempio è lo spimming reciproco degli utenti che si inviano richieste. Gli utenti possono bloccarsi l'un l'altro per evitare lo spimming, ma con la federazione, se un attore malintenzionato stabilisce un attacco spim coordinato, può essere difficile da superare a meno che non si disattivi la federazione dal partner.

Virus e worm

Un virus è un'unità di codice il cui scopo è riprodurre unità di codice aggiuntive e simili. Per funzionare, un virus ha bisogno di un host, come un file, un'e-mail o un programma. Come un virus, un worm è un'unità di codice che riproduce più unità di codice simili, ma che a differenza di un virus non ha bisogno di un host. Virus e worm si manifestano principalmente durante i trasferimenti di file tra client, quando gli URL vengono inviati da altri utenti. Se un virus si trova sul computer, può, ad esempio, utilizzare l'identità dell'utente e inviare messaggi istantanei per suo conto. Le migliori pratiche standard di protezione del client, come la scansione periodica alla ricerca di virus, possono mitigare questo problema.

Tentativi di phishing

Gli attacchi di phishing in Teams sono costosi a livello monetario e in tranquillità. Questi attacchi operano con l'inganno gli utenti a rivelare informazioni come password, codici, numeri di carta di credito, e altre informazioni critiche, attraverso falsi link al sito Web, e allegati che appaiono innocui ma possono scaricare software pericoloso al clic del mouse. Perché molti di questi attacchi si rivolgono agli utenti, anche bersagli di alto valore con un sacco di accesso, possono essere pervasivi. Esistono tuttavia strategie anti-phishing sia per gli amministratori di Teams che per gli utenti.

Framework di sicurezza di Teams

Teams approva idee per la sicurezza come Zero Trust e principi di accesso con privilegi minimi. Questa sezione offre una panoramica degli elementi fondamentali che formano il framework di sicurezza di Microsoft Teams.

Gli elementi principali sono:

  • Microsoft Entra ID, che fornisce un unico archivio back-end attendibile per gli account utente. Le informazioni del profilo utente vengono archiviate in Microsoft Entra ID tramite le azioni di Microsoft Graph.
    • Potrebbero essere presenti più token emessi, visibili se si esegue il monitoraggio del traffico di rete. Sono inclusi i token Skype, di cui potrebbero essere visibili tracce mentre si osserva il traffico audio e chat.
  • Transport Layer Security (TLS) crittografa il canale in movimento. L'autenticazione viene eseguita con MTLS (Mutual TLS), in base ai certificati, o usando l'autenticazione Service-to-Service basata su ID Microsoft Entra.
  • I flussi audio, video e di condivisione di applicazioni da punto a punto sono crittografati e la relativa integrità è verificata utilizzando il protocollo SRTP (Secure Real-Time Transport Protocol).
  • Il traffico OAuth verrà visualizzato nella traccia, in particolare per quanto riguarda gli scambi di token e la negoziazione delle autorizzazioni durante il passaggio da una scheda all'altra in Teams, ad esempio per passare da post a file. Per un esempio del flusso OAuth per le schede, vedere il documento.
  • Teams usa protocolli standard del settore per l'autenticazione degli utenti, ove possibile.

Nelle sezioni successive vengono illustrate alcune di queste tecnologie principali.

ID Microsoft Entra

Microsoft Entra ID funge da servizio directory per Microsoft 365 e Office 365. Archivia tutte le informazioni sulla directory utente e dell'applicazione e le assegnazioni dei criteri.

Crittografia traffico in Teams

Questa tabella mostra i tipi di traffico principali e il protocollo usato per la crittografia.

Tipo di traffico Crittografato da
Da server a server TLS (con MTLS o OAuth Service-to-Service)
Da client a server, ad esempio messaggistica istantanea e presenza TLS
Flussi multimediali, ad esempio, condivisione audio e video di elementi multimediali TLS
Condivisione audio e video di contenuti multimediali SRTP/TLS
Segnalazione TLS
Crittografia avanzata da client a client (ad esempio, chiamate di crittografia end-to-end) SRTP/DTLS

Punti di distribuzione dell'elenco di revoche di certificati (CRL)

Il traffico di Microsoft 365 e Office 365 avviene su canali crittografati TLS/HTTPS, ossia vengono usati certificati per la crittografia di tutto il traffico. Teams tutti i certificati server devono contenere uno o più punti di distribuzione CRL. I punti di distribuzione CRL (CDP) sono posizioni da cui è possibile scaricare i CRL per verificare che il certificato non sia stato revocato dal momento in cui è stato rilasciato e che rientri ancora nel periodo di validità. Un punto di distribuzione CRL è indicato nelle proprietà del certificato come URL ed è HTTP protetto. Il servizio Teams controlla il CRL con ogni autenticazione del certificato.

Utilizzo delle chiavi avanzato

Tutti i componenti del servizio Teams richiedono che tutti i certificati del server supportino l'utilizzo chiavi avanzato (EKU, Enhanced Key Usage) per l'autenticazione del server. La configurazione del campo EKU per l'autenticazione del server indica che il certificato è valido per ll'autenticazione dei server. Tale EKU è essenziale per MTLS.

TLS per Teams

I dati di Teams vengono crittografati in transito e inattivi in dispositivi Microsoft, tra servizi e tra client e servizi. Microsoft usa tecnologie standard di settore come TLS e SRTP per crittografare tutti i dati in transito. I dati in movimento comprendono i messaggi, i file, le riunioni e altri contenuti. I dati aziendali vengono crittografati anche inattivi nei servizi Microsoft in modo che le organizzazioni possano decrittografare il contenuto, se necessario, per soddisfare gli obblighi di sicurezza e conformità tramite metodi come eDiscovery. Per altre informazioni sulla crittografia in Microsoft 365, vedere Crittografia in Microsoft 365

I flussi di dati TCP vengono crittografati tramite TLS e i protocolli OAuth da servizio a servizio e MTLS forniscono comunicazioni autenticate tramite endpoint tra servizi, sistemi e client. Teams usa questi protocolli per creare una rete di sistemi attendibili e per garantire che tutte le comunicazioni su tale rete siano crittografate.

In una connessione TLS, il client richiede un certificato valido dal server. Per essere valido, il certificato deve essere stato emesso da una CA che sia considerata affidabile anche dal client e il nome DNS del server deve corrispondere al nome DNS sul certificato. Se il certificato è valido, il client utilizza la chiave pubblica nel certificato per crittografare le chiavi di crittografia simmetriche da utilizzare per la comunicazione, quindi solo il proprietario originale del certificato può utilizzare la propria chiave privata per decrittografare il contenuto della comunicazione. La connessione risultante è affidabile e da quel momento non viene contestata da altri server o client affidabili.

L'uso di TLS consente di evitare attacchi di intercettazione e man-in-the-middle. In un attacco man-in-the-middle, l'utente malintenzionato dirige le comunicazioni tra due entità di rete attraverso il computer dell'utente malintenzionato all'insaputa delle due parti. Le specifiche di TLS e Teams di server attendibili attenuano il rischio di un attacco man-in-the-middle parzialmente sul livello dell'applicazione, utilizzando la crittografia coordinata, tramite la crittografia a chiave pubblica tra i due endpoint. Un utente malintenzionato dovrebbe avere un certificato valido e affidabile con la chiave privata corrispondente ed emesso a nome del servizio con cui il client sta comunicando per decrittografare la comunicazione.

Crittografia in Teams e Microsoft 365

Esistono più livelli di crittografia in Microsoft 365. La crittografia in Teams funziona con il resto della crittografia Microsoft 365 per proteggere il contenuto dell'organizzazione. Questo articolo descrive le tecnologie di crittografia specifiche per Teams. Per una panoramica della crittografia in Microsoft 365, vedere Crittografia in Microsoft 365.

Crittografia file multimediali

I flussi delle chiamate Teams basati sul modello di offerta e risposta SDP (Session Description Protocol) RFC 8866 su HTTPS. Una volta che il chiamato accetta una chiamata in arrivo, il chiamante e il chiamato concordano sui parametri di sessione.

Il traffico di file multimediali viene crittografato dal chiamante e passa dal chiamante al chiamato tramite Secure RTP (SRTP), un profilo di Real-Time Transport Protocol (RTP) che offre riservatezza, autenticazione e protezione dagli attacchi di riproduzione al traffico RTP. SRTP utilizza una chiave della sessione generata da un generatore di numeri casuali sicuro e scambiata utilizzando il canale di segnalazione TLS. Nella maggior pare dei casi il traffico dei contenuti multimediali tra client viene negoziato attraverso una connessione tra client e server, ed è crittografato con SRTP quando passa direttamente da client a client.

Nei normali flussi di chiamata, la negoziazione della chiave di crittografia avviene sul canale di segnalazione delle chiamate. In una chiamata crittografata end-to-end, il flusso di segnalazione è lo stesso di una normale chiamata di Teams uno-a-uno. Tuttavia, Teams DTLS per derivare una chiave di crittografia in base ai certificati per chiamata generati in entrambi gli endpoint client. Dato che DTLS deriva la chiave in base ai certificati client, la chiave è opaca per Microsoft. Quando entrambi i client concordano sulla chiave, i supporti multimediali iniziano a fluire usando questa chiave di crittografia negoziata da DTLS su SRTP.

Per proteggersi da un attacco man-in-the-middle tra il chiamante e il chiamato, Teams deriva un codice di sicurezza di 20 cifre dalle impronte digitali SHA-256 dei certificati di chiamata dell'endpoint del chiamante e del chiamato. Il chiamante e il chiamato possono convalidare i codici di sicurezza di 20 cifre leggendoli tra loro per vedere se corrispondono. Se i codici non corrispondono, la connessione tra chiamante e chiamato è stata intercettata da un attacco man-in-the-middle. Se la chiamata è stata compromessa, gli utenti possono terminare la chiamata manualmente.

Teams utilizza un token basato su credenziali per proteggere l'accesso ai contenuti multimediali inoltrati tramite TURN. I contenuti multimediali inoltrano lo scambio del token a un canale protetto tramite TLS.

Federal Information Processing Standard (FIPS)

Teams algoritmi uTilizza algoritmi FIPS compatibili per gli scambi di chiavi di crittografia. Per altre informazioni sull'implementazione di FIPS, vedere Pubblicazione Federal Information Processing Standard (FIPS) 140-2.

Autenticazione utente e client

Un utente attendibile è un utente le cui credenziali sono state autenticate dall'ID Microsoft Entra in Microsoft 365 o Office 365.

L'autenticazione è il provisioning delle credenziali utente a un server o servizio attendibile. Teams utilizza i seguenti protocolli di autenticazione, a seconda dello stato e della posizione dell'utente.

  • Autenticazione moderna (MA) è l'implementazione Microsoft di OAUTH 2.0 per le comunicazioni da client a server. Offre funzionalità di sicurezza come l'autenticazione a più fattori e l'accesso condizionale. Per usare MA, sia il tenant online sia i client devono essere abilitati per MA. Tutti i client di Teams su PC e dispositivi mobili, oltre al client Web, supportano MA.

Nota

Per altre informazioni sui metodi di autenticazione e autorizzazione Microsoft Entra, vedere le sezioni Introduzione e nozioni di base sull'autenticazione in Microsoft Entra ID.

L'autenticazione di Teams viene eseguita tramite ID Microsoft Entra e OAuth. Il processo di autenticazione può essere semplificato per:

  • Il rilascio > del token di > accesso dell'utente successivo usa il token emesso.

Le richieste dal client al server vengono autenticate e autorizzate dall Microsoft Entra ID con l'uso di OAuth. Gli utenti con credenziali valide emesse da un partner federato sono considerati attendibili ed è possibile eseguire lo stesso processo come utenti nativi. Tuttavia, gli amministratori potrebbero applicare ulteriori limitazioni.

Per l'autenticazione dei contenuti multimediali, anche i protocolli ICE e TURN usano la challenge Digest come descritto nell'RFC su TURN di IETF.

Strumenti di gestione di Windows PowerShell e Teams

In Teams, gli amministratori IT possono gestire il proprio servizio tramite l'interfaccia di amministrazione di Microsoft 365 o usando TRPS (Tenant Remote PowerShell). Gli amministratori del tenant usano l'autenticazione moderna per eseguire l'autenticazione in TRPS.

Configurazione dell'accesso a Teams entro il limite Internet

Affinché Teams funzioni correttamente, per esempio, affinché gli utenti riescano a partecipare alle riunioni, i clienti devono configurare il proprio accesso Internet in modo tale che il traffico UDP e TCP in uscita verso i servizi nel cloud Teams sia consentito. Per ulteriori informazioni, vedere URL e intervalli di indirizzi IP per Office 365.

UDP 3478-3481 e TCP 443

Le porte UDP 3478-3481 e TCP 443 vengono utilizzate dai client per richiedere il servizio per i contenuti audiovisivi. Un client utilizza queste due porte per allocare rispettivamente le porte UDP e TCP e consentire questi flussi multimediali. I flussi multimediali su queste porte sono protetti con una chiave che viene scambiata su un canale di segnalazione protetto con TLS.

Protezioni federative di Teams

La federazione consente all'organizzazione di comunicare con altre organizzazioni per condividere messaggistica istantanea e presenza. In Teams, la federazione è attiva per impostazione predefinita. Tuttavia, gli amministratori del tenant hanno la possibilità di controllare ls federazione ttramite l'interfaccia di amministrazione di Microsoft 365.

Risposta alle minacce alle riunioni di Teams

Gli utenti aziendali possono creare e partecipare a riunioni in tempo reale e invitare a partecipare a queste riunioni utenti esterni che non hanno un ID Microsoft Entra, Microsoft 365 o un account Office 365.

Può essere utile consentire agli utenti esterni di partecipare alle riunioni di Teams, ma comporta anche alcuni rischi per la sicurezza. Per risolvere questi rischi, Teams usa queste misure di sicurezza:

Prima della riunione:

  1. Decidere quali tipi di partecipanti esterni potranno partecipare alle riunioni:

    • L'accesso anonimo consente l'accesso alla riunione di (1) utenti non autenticati che non hanno effettuato l'accesso al team (in genere tramite il collegamento alla riunione nel browser) e (2) utenti autenticati da tenant esterni che non hanno stabilito l'accesso esterno con l'organizzatore e l'organizzazione.

    • Con l'accesso esterno è possibile decidere quali organizzazioni e utenti esterni autenticati potranno partecipare alle riunioni con più privilegi. Questi utenti sono considerati appartenenti a organizzazioni attendibili.

    • L'accesso guest consente di creare account guest per consentire a persone esterne all'organizzazione di accedere a team, documenti in canali, risorse, chat e applicazioni, mantenendo al contempo il controllo sui dati aziendali.

Nota

Gli utenti e le organizzazioni che non hanno accesso esterno con la tua organizzazione saranno considerati anonimi. Nel caso in cui l'utente abbia bloccato l'accesso anonimo, non potrà partecipare alle riunioni.

L'accesso esterno deve essere abilitato bidirezionale, entrambe le organizzazioni devono consentire l'accesso esterno reciproco.

Nota

Per altre informazioni sull'accesso guest ed esterno in Teams, vedere questo articolo. Nell'articolo vengono descritte quali funzionalità gli utenti guest o esterni possono vedere usare quando accedono a Teams.

  1. Decidere chi può partecipare direttamente alla riunione e chi dovrà attendere nella sala d'attesa per essere ammesso dall'organizzatore, dal co-organizzatore o dagli utenti autenticati con ruolo di riunione Relatore:

  2. Decidi se gli utenti anonimi e i chiamanti connessi con accesso in ingresso possono avviare una riunione prima che gli utenti dell'organizzazione, gli utenti di un'organizzazione attendibile e gli utenti con accesso guest possano partecipare alla chiamata.

Nota

La pianificazione delle riunioni è limitata agli utenti autenticati dell'organizzazione o agli utenti con accesso guest all'organizzazione.

Durante la riunione:

  1. Assegnare ruoli di riunione specifici dei partecipanti per determinare i privilegi di controllo della riunione. I partecipanti alla riunione rientrano in gruppi, ognuno con i propri privilegi e restrizioni, descritti di seguito.

Nota

Se si stanno registrando delle riunioni e si vuole visualizzare una matrice di autorizzazioni per l'accesso al contenuto, consultare questo articolo e la relativa matrice.

Modificare durante l'esecuzione della riunione:

  • È possibile modificare le opzioni della riunione mentre una riunione è in corso. La modifica, quando viene salvata, sarà evidente nella riunione in corso entro pochi secondi. Interesserà anche le sessioni future della riunione. Per informazioni dettagliate su come assegnare questi ruoli, leggere questo articolo.

Nota

Le modifiche nelle impostazioni di amministrazione di Teams possono richiedere fino a 24 ore.

12 principali attività per i team di sicurezza per supportare il lavoro da casa

Centro protezione Microsoft

Ottimizzare la connettività di Microsoft 365 o Office 365 per gli utenti remoti tramite split tunneling per VPN