Dal giugno 2024 l’Esercito USA ha disattivato l’accesso diretto ad Army 365 dalle reti commerciali. Se vedi l’errore “Your sign‑in was successful…”, non è un guasto: servono AVD (PC), Hypori (mobile) o Intune MAM. Questa guida spiega opzioni, setup e soluzioni ai problemi più comuni.

Cosa è successo

A partire dall’inizio di giugno 2024 la Network Enterprise Technology Command (NETCOM) dell’Esercito USA ha avviato il blocco dell’accesso “diretto” (detto anche Flow 3) ai servizi Army 365 — Outlook, Teams, SharePoint Online e OneDrive — quando la connessione proviene da reti commerciali (domestiche, hotspot, Wi‑Fi pubblici). L’utente che tenta di collegarsi con un computer personale vede comparire il messaggio:

You cannot access this right now. Your sign‑in was successful but does not meet the criteria to access this resource.

Il blocco rientra nel percorso verso l’adozione del modello Zero Trust e di nuove regole di Conditional Access. In sintesi: i dispositivi non governativi possono accedere ai dati dell’Esercito soltanto se lo fanno attraverso soluzioni gestite e monitorate, dove i dati restano nel perimetro controllato e non vengono copiati sul device personale. Le due strade principali sono Azure Virtual Desktop (AVD) per PC/Mac e Hypori (BYOD) per mobile; dal 2025 si affianca anche Intune Mobile Application Management (MAM) per alcune esigenze d’uso su smartphone personali.

Sulle tempistiche: i comunicati e i memo NETCOM hanno indicato l’avvio del blocco nel periodo 1–10 giugno 2024 (con comunicazioni che riportavano il 1° o il 10 del mese in base al canale). In pratica, il passaggio è stato completato nel corso della prima metà di giugno e oggi l’accesso diretto da rete commerciale non è più supportato.

Vie d’accesso consentite (giugno 2024 → oggi)

Di seguito le opzioni ammesse per usare Army 365 in conformità con le regole Zero Trust; per ciascuna, una descrizione sintetica e le note operative più importanti.

Dispositivo	Metodo	Descrizione	Note operative
Computer governativo (GFE)	Rete .mil	Uso in sede su rete di reparto	Nessun cambiamento lato utente: Outlook, Teams, SharePoint, OneDrive funzionano come prima.
Computer governativo (GFE)	VPN GFE	Connessione remota tramite client ufficiale	Procedura tipica: avvio della VPN (es. Launch‑VPN) → accesso ad Army 365 come in sede.
Computer personale (Windows/macOS)	Azure Virtual Desktop (AVD)	Desktop virtuale Windows 11 ospitato nel cloud governativo; riproduce l’ambiente NIPR con Outlook/Teams/OneDrive.	Onboarding tramite portale AVD; installazione del client “Microsoft Remote Desktop”; import del workspace. I dati restano nel VDI, nessun drag‑and‑drop verso il PC locale (criterio Zero Trust).
Mobile personale (iOS/Android)	Hypori (BYOD)	Workspace virtuale isolato, accesso a e‑mail, Teams, siti NIPR e servizi CAC‑enabled.	Iscrizione al programma BYOD; autenticazione con MobileConnect/EAMS‑A. Firma e cifratura abilitabili dall’app.
Mobile personale (iOS/Android)	Intune Mobile Application Management (MAM)	Gestione applicativa (non del device) per usare le app Office con criteri di protezione (contenitori, cifratura, DLP).	In roll‑out progressivo: in molti scenari non è cumulabile con altre soluzioni gestite (es. DMUC/Hypori). Valuta col tuo S‑6 quale scegliere.

Perché l’accesso diretto è stato bloccato

Durante l’emergenza COVID l’Esercito aveva temporaneamente consentito l’uso “diretto” dei servizi Office/Microsoft 365 da rete commerciale per garantire continuità di lavoro. Con la maturazione degli strumenti di accesso sicuro (AVD e Hypori), NETCOM ha riportato servizi e dati dentro perimetri controllati, riducendo la superficie d’attacco esposta su Internet e impedendo che file/dati vengano salvati su dispositivi non gestiti. Questo spiega anche perché alcune funzioni che prima “sembravano funzionare” (es. webmail, Teams web) ora restituiscono errori di criteri o smettono di aprirsi da casa: non è un malfunzionamento, è una misura di sicurezza permanente.

Passaggi rapidi per AVD (procedura breve e collaudata)

1. Richiedi l’accesso. Apri il portale Army AVD e invia la richiesta (go.mil/ArmyAVD oppure aka.ms/GoArmyAVD). Autenticati con CAC+PIN e usa la casella @army.mil. Clicca Request Access.
2. Scarica il pacchetto di onboarding. Dalla pagina MyAccess → Army AVD scarica il file .avdprofile. Se il download non parte, riprova da Edge/Chrome in modalità InPrivate.
3. Installa Microsoft Remote Desktop. Windows/macOS: dal Microsoft Store o dal Mac App Store. Apri il file .avdprofile per importare il workspace.
4. Avvia la sessione. Seleziona il certificato corretto, digita il PIN della CAC e accedi. All’interno del VDI, apri l’app Outlook (più stabile di OWA).
5. Conosci i limiti. Nessun drag‑and‑drop o copy/paste file tra PC e VDI; per portare documenti nel VDI usa OneDrive o allegati e‑mail. Se OWA mostra “Something went wrong”, avvia l’app Outlook dal menu Start del VDI.

Procedura dettagliata AVD: setup consigliato per Windows e macOS

Prerequisiti

• Lettore CAC funzionante e PIN noto.
• Browser aggiornato (Edge/Chrome). È preferibile InPrivate/Incognito per evitare cache/certificati obsoleti.
• Permesso d’accesso AVD approvato dal portale (vedi sopra).

Download e installazione del client

• Windows: installa Microsoft Remote Desktop dal Microsoft Store. In alternativa, il pacchetto MSI ufficiale.
• macOS: installa Microsoft Remote Desktop dal Mac App Store.
• Apri il file .avdprofile scaricato per importare automaticamente il workspace, oppure aggiungilo manualmente:
  • Windows: Subscribe with URL e inserisci rdweb.wvd.azure.us.
  • macOS: Add workspace e inserisci rdweb.wvd.azure.us.

Primo accesso

• Inserisci l’indirizzo Army 365 (nome.cognome@army.mil), scegli Use smart card, seleziona il certificato giusto e digita il PIN.
• Quando richiesto, scegli la “regione” del VDI (di solito East o West) più vicina per migliori prestazioni.
• Una volta nel desktop virtuale, avvia Outlook, Teams e OneDrive come su un GFE.

Trasferimento file e alternative conformi

Per design Zero Trust, il VDI non consente il trasferimento diretto di file verso/da il tuo PC. Usa questi percorsi supportati:

• OneDrive nel VDI per caricare/scaricare file dal tuo spazio Army 365 (la copia avviene all’interno dell’ambiente governativo).
• Allegati e‑mail: invia documenti verso la tua casella Army solo se le policy lo consentono e se non contengono dati sensibili provenienti da domini non autorizzati.
• Riscansione da mobile: in assenza di alternative, usa Hypori/MAM per acquisire documenti in modo conforme direttamente nel perimetro gestito.

Alternative su mobile: Hypori (BYOD)

Hypori fornisce un ambiente Android virtualizzato, isolato dal telefono personale, che consente di usare posta Army 365, Teams e siti NIPR con autenticazione forte (MobileConnect/EAMS‑A). È una soluzione BYOD, senza gestione del telefono da parte dell’IT: l’IT controlla l’ambiente virtuale, non il dispositivo.

Onboarding in sintesi

1. Registra il tuo account sul portale BYOD (indirizzo comunemente diffuso via canali ufficiali).
2. Installa le app Hypori Halo e Mobile Connect sul telefono personale.
3. Completa la verifica d’identità e l’installazione delle credenziali nel tuo workspace virtuale.
4. Apri Outlook/Teams all’interno di Hypori e configura la posta Army 365.

Vantaggi: privacy del device personale preservata, niente dati governativi sul telefono; firma/cifratura e‑mail disponibili. Limiti: alcune app del telefono non interagiscono con l’ambiente Hypori (separazione netta dei contesti); prestazioni legate alla rete mobile/Wi‑Fi.

Alternative su mobile: Intune MAM

Mobile Application Management (MAM) applica criteri di sicurezza (app protection policies) alle sole app di lavoro (Outlook, Teams, OneDrive, Office), senza “prendere possesso” del dispositivo. I dati delle app di lavoro sono cifrati, protetti da PIN/biometria, con restrizioni su copia/incolla e salvataggi al di fuori dello spazio protetto.

Quando ha senso: per chi usa spesso e‑mail e Teams su smartphone personale e vuole un’esperienza nativa di app Office senza accedere a un VDI. Attenzioni: in molti contesti l’abilitazione a MAM può rendere incompatibile l’uso simultaneo di altre soluzioni mobili gestite (p.es. Hypori o DMUC) per le stesse app Microsoft. Verifica con il tuo S‑6 quale opzione sia autorizzata per il tuo reparto.

Problemi ricorrenti e soluzioni immediate

Sintomo	Causa probabile	Rimedio consigliato
Pagina milSuite “pages/setup” non raggiungibile	Risorsa migrata e link obsoleto	Usa il portale pubblico di onboarding AVD (go.mil/ArmyAVD o aka.ms/GoArmyAVD), poi segui gli step da MyAccess.
Errore “Your sign‑in was successful but does not meet the criteria…”	Regole di Conditional Access applicate alle reti commerciali	Non è un errore dell’account: accedi tramite AVD/Hypori/MAM o usa GFE su rete .mil/VPN.
Errore “qualifiche non valide” anche dopo l’approvazione	Workspace non importato / profilo scaduto	Elimina il workspace dal client RD e reimporta il file .avdprofile aggiornato; verifica di usare la casella @army.mil corretta.
OWA dentro AVD mostra “Something went wrong”	Timeout o sessione web instabile	Avvia l’app Outlook nel VDI e lascia OWA come piano B.
Guardia/Reservists senza GFE non riescono ad accedere	Onboarding non comunicato o licenze non assegnate	Contatta Brigade/S‑6 o Help Desk NETCOM e chiedi conferma dell’abilitazione AVD/Hypori per il tuo UIC/persona.
macOS in VM (Parallels/VMware) non passa i certificati	Smart card non condivisa con la VM	Abilita Smart Card sharing nella VM; se possibile usa il client RD nativo macOS invece della VM.
Loop di autenticazione, richiesta certificato “sbagliata”	Cache browser/certificati corrotta o certificato selezionato errato	Svuota cache e certificati (Windows: certmgr.msc profilo utente → rimuovi certificati temporanei), riavvia e ripeti l’accesso scegliendo il certificato firmato correttamente.
Il file .avdprofile non si apre	Associazione file mancante o client RD non aggiornato	Apri il client Remote Desktop e usa l’opzione Add Workspace; in alternativa reinstalla l’app dallo Store ufficiale.

Domande rapide (FAQ)

Posso usare Outlook sul mio PC personale senza VDI?
No. Dopo il blocco di giugno 2024 Outlook/Teams/SharePoint/OneDrive non sono accessibili direttamente da rete commerciale su computer non governativi. Usa AVD.

Con AVD posso copiare file tra PC e desktop virtuale?
No. Il modello Zero Trust impedisce drag‑and‑drop e copy/paste di file. Usa OneDrive o allegati e‑mail nel VDI.

Hypori richiede la CAC ogni volta?
L’autenticazione e la gestione delle credenziali avvengono durante l’onboarding; l’accesso quotidiano è semplificato, mantenendo le garanzie di sicurezza.

Intune MAM sostituisce Hypori?
Non necessariamente. Sono modelli diversi: MAM protegge le app Office native sul telefono; Hypori isola un intero workspace virtuale. In molte unità si sceglie l’uno o l’altro in base a ruolo e policy.

Esistono eccezioni per l’accesso diretto?
Sì, ma sono rare e devono essere richieste tramite il canale ufficiale (tipicamente go.mil/flow3exception) con approvazione fino a livello O6/GS‑15 e autorità finale NETCOM.

Linee guida operative per chi lavora da casa

• Stabilizza la connettività: preferisci rete cablata o Wi‑Fi stabile, limita altri download/streaming durante la sessione AVD.
• Usa l’app desktop: dentro AVD apri Outlook/Teams “full”; il browser OWA va bene solo per verifiche rapide.
• Gestisci la posta: attiva S/MIME nel VDI quando richiesto; ricorda che la firma digitale usa la tua CAC.
• Proteggi la privacy: in Hypori o MAM i dati di lavoro restano separati dal telefono; l’IT non accede ai tuoi contenuti personali.
• Rispetta le DLP: non esportare documenti da ambienti gestiti verso caselle/archivi non autorizzati.

Checklist per l’help desk/S‑6

Quando apri un ticket, fornisci informazioni che accelerano la diagnosi:

• Persona account (@army.mil primaria e, se presente, persona secondaria .civ/.ctr).
• Metodo in uso (AVD/Hypori/MAM) e versione del client.
• OS del device (Windows/macOS/iOS/Android) e aggiornamenti installati.
• Messaggio d’errore completo e fase in cui compare (prima/dopo scelta certificato, all’avvio del desktop, ecc.).
• Rete utilizzata (casa, hotspot, aziendale) e se hai provato in InPrivate/Incognito.

Riferimenti e materiali ufficiali

• NETCOM – Commercial Access to Army 365 (Command Message 2024‑05): memo sul blocco dell’accesso da reti commerciali, alternative approvate, processo di eccezione.
• Army.mil – Army implements enhanced security measures for data: annuncio istituzionale, obiettivi Zero Trust e alternative (AVD, Hypori, Intune MAM).
• MilitaryCAC – pagine dedicate ad AVD e Army 365: guide passo‑passo e troubleshooting.
• Stars and Stripes / Federal News Network – approfondimenti su tempistiche, motivazioni e impatti del rollout.

In sintesi

L’errore di accesso che appare da casa non è un problema temporaneo ma l’effetto di una policy di sicurezza stabile. Per continuare a usare posta, Teams e file @army.mil serve un canale approvato: AVD (consigliato per PC/Mac), Hypori (BYOD mobile) o Intune MAM (app Office protette). Una volta completato l’onboarding, l’esperienza nel VDI è quasi identica a quella su un GFE, con l’unica differenza chiave — voluta — del divieto di trasferimenti file fuori dall’ambiente governativo. Se incontri ostacoli, riparti dai passaggi rapidi qui sopra e dalla tabella di troubleshooting: nella maggior parte dei casi bastano reimport del workspace, uso dell’app Outlook nel VDI e una pulizia di cache/certificati per rimettersi al lavoro in sicurezza.

---

Appendice: suggerimenti pratici extra

• Outlook “inchiodato”: se l’app nel VDI resta su “Loading profile…”, chiudila, apri Task Manager del VDI e termina eventuali processi residui (Outlook.exe), poi riavvia.
• Teams nel VDI lento: limita i Background effects, disattiva la cattura automatica dello schermo e riduci la risoluzione del client RD.
• Client RD non vede la CAC su macOS: collega il lettore prima di aprire l’app RD; verifica in Keychain Access la presenza del certificato; prova un’altra porta USB/cavo.
• AVD su browser: possibile ma con limitazioni (es. firma CAC); preferisci sempre il client nativo.
• Eccezioni Flow 3: se la tua missione richiede accesso diretto temporaneo, confrontati col comando; l’eccezione è limitata e tracciata, con approvazioni elevate.

Nota: questa guida è pensata per utenti già autorizzati ad accedere ad Army 365. Per impostazioni specifiche del tuo reparto, attenersi sempre alle disposizioni di S‑6/NETCOM.