Aprendo file Excel — e talvolta Word o PowerPoint — direttamente da OneDrive o SharePoint Online, può apparire ogni volta l’avviso “This content presents a potential security issue”. In questa guida trovi cause, soluzioni immediate e procedure amministrative per eliminarlo in modo sicuro.

Il problema in breve

L’avviso “This content presents a potential security issue. Do you trust this content?” compare all’apertura dei file Office nel browser partendo da OneDrive o SharePoint Online. Non blocca la visualizzazione, ma introduce un passaggio extra che rallenta il lavoro, soprattutto se si apre spesso lo stesso file o si lavora su cartelle condivise.

• Il prompt si ripete a ogni apertura dello stesso file o di file differenti nella stessa raccolta documenti.
• Molti utenti segnalano che il messaggio non appare se il file viene aperto dall’app desktop (Excel/Word/PowerPoint) avviata in anticipo, scegliendo Apri → OneDrive.
• Alcuni tenant hanno collegato il fenomeno a un cambio di URL di SharePoint o a una non perfetta mappatura dei domini fidati.

Perché appare l’avviso

Il messaggio nasce dal meccanismo di protezione dei contenuti web di Office per il Web: quando il file o l’ambiente in cui è reso (WOPI/Office per il Web) non rientra chiaramente in un perimetro “fidato”, viene chiesto all’utente di confermare la fiducia. Le situazioni più frequenti sono:

• Cambio di dominio o percorso SharePoint: per esempio migrazioni o rinominazioni del tenant che portano i file a essere serviti da un nuovo host (es. contoso.sharepoint.com → contoso-my.sharepoint.com). Se il nuovo host non è presente nell’elenco “Siti attendibili”, Office per il Web lo tratta come contenuto potenzialmente esterno.
• Degrado di servizio lato Microsoft (indicatore interno SP843810): in determinate finestre temporali, un sottoinsieme di utenti ha visto l’avviso in modo “errato”, cioè indipendentemente dal contenuto effettivo del file.
• Versioni di OneDrive client eterogenee: alcuni hanno notato correlazioni deboli con build specifiche (come 24.141.0714.002 o successive). Non è un fattore deterministico, ma può contribuire al contesto.
• Solo apertura web: aprendo lo stesso file dall’app desktop, il prompt non compare perché la fiducia è gestita dal Client Office locale, con profili e trust center separati.

Verifiche rapide prima di intervenire

1. Controllo stato servizio: se sei amministratore, verifica lo stato del servizio da Microsoft 365 Admin Center (casi come SP843810 e simili). In presenza di un incidente attivo, le azioni locali possono mitigare ma non eliminare completamente l’effetto su tutti gli utenti.
2. Test in finestra InPrivate: apri il file in modalità InPrivate/Incognito per escludere l’influenza di estensioni o cookie corrotti.
3. Confronta gli URL: annota l’host esatto visualizzato nella barra degli indirizzi durante l’apertura (es. contoso-my.sharepoint.com). Se è diverso da quello “storico” del tenant, probabilmente non è nei Siti attendibili.
4. Prova da app desktop: aprendo Excel, poi Apri → OneDrive, verifica se l’avviso scompare; se sì, è un indizio che il problema è circoscritto alla superficie web.
5. Confronta tra dispositivi: se su un PC compare e su un altro no, verifica differenze nelle impostazioni dei Siti attendibili o nelle policy aziendali.

Soluzioni e workaround a impatto immediato

Soluzione	Dettagli operativi	Efficacia riportata	Pro	Contro
Aggiungere URL a “Siti attendibili”	Inserisci l’URL aggiornato di SharePoint/OneDrive in Opzioni Internet → Sicurezza → Siti attendibili (impatta WebView/zone di sicurezza Windows).	Risolutivo per alcuni tenant, soprattutto dopo rinomina o cambio host.	Intervento semplice, effetto immediato.	Va mantenuto allineato ai domini reali; wildcard troppo ampie sono sconsigliate.
Aprire da app desktop	Avvia prima Excel/Word/PowerPoint, poi Apri → OneDrive, seleziona il file.	Rimuove l’avviso per il singolo utente/dispositivo.	Zero impatto su security web.	È un aggiramento locale, non risolve la causa a monte.
Aggiornare OneDrive/Office	Imposta il canale “Current” o “Monthly Enterprise” e forza l’ultima build (≥ 24.151.xxx).	Risultati variabili secondo ambiente e tempistiche dei fix.	Benefici collaterali di sicurezza e stabilità.	Non garantisce la scomparsa del prompt in tutti i casi.
Attendere fix Microsoft	Per incidenti come SP843810, la correzione è lato servizio e si propaga a scaglioni.	Di solito risolutivo una volta completata la distribuzione.	Nessun intervento locale richiesto.	Tempistiche non sempre prevedibili; serve monitoraggio.

Procedura dettagliata: aggiungere SharePoint e OneDrive ai Siti attendibili

Questa è la misura più efficace quando il fenomeno è legato a un cambio di host o a una mappatura di zona incompleta.

Passaggi manuali per l’utente

1. Apri Opzioni Internet (cerca “Opzioni Internet” nel menu Start oppure esegui inetcpl.cpl).
2. Vai alla scheda Sicurezza e seleziona Siti attendibili, poi clicca su Siti.
3. Nel campo “Aggiungi il sito Web all’area”, inserisci l’host esatto che vedi durante l’apertura dei file. In genere, per i tenant Microsoft 365 sono rilevanti:
   • https://<tenant>.sharepoint.com (raccolte siti e team site)
   • https://<tenant>-my.sharepoint.com (OneDrive personale degli utenti)
   • Eventuali host aggiuntivi usati dall’organizzazione (es. siti hub o domini “-files” se presenti).
4. Conferma con Aggiungi e poi Chiudi. Torna su OK per salvare.
5. Chiudi e riapri il browser, quindi riprova ad aprire il file da OneDrive/SharePoint.

Nota importante: evita wildcard eccessive (es. *.sharepoint.com) che ampliano troppo la superficie “fidata”. Limita la fiducia ai soli host del tuo tenant.

Distribuzione centralizzata per amministratori (GPO/Intune)

Per ambienti aziendali è preferibile gestire i domini fidati via policy, così da garantire coerenza e auditabilità.

• Group Policy (GPO) — Imposta la policy Site to Zone Assignment List, assegnando valore 2 (Siti attendibili) a:
  • https://<tenant>.sharepoint.com
  • https://<tenant>-my.sharepoint.com
  • Altri host realmente utilizzati dal tenant.
  Percorso tipico: Configurazione computer/utente → Modelli amministrativi → Componenti di Windows → Internet Explorer → Pannello di controllo Internet → Pagina Sicurezza → Site to Zone Assignment List.
• Microsoft Intune — Crea un profilo di configurazione Administrative Templates con la stessa policy Site to Zone Assignment List e assegna il valore 2 agli host del tenant. Distribuisci ai gruppi di dispositivi/utenti interessati.

Script PowerShell per aggiunta rapida lato utente

Se non disponi ancora di GPO/Intune, puoi automatizzare l’inserimento nei Siti attendibili con PowerShell (contesto utente):

# Imposta i domini SharePoint/OneDrive del tenant come "Siti attendibili" (zona 2)
$tenant = "contoso"  # ← sostituisci con il tuo tenant
$basePath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"

$paths = @(
"sharepoint.com$tenant",
"sharepoint.com$($tenant)-my"
)

foreach ($p in $paths) {
$full = Join-Path $basePath $p
if (-not (Test-Path $full)) { New-Item -Path $full -Force | Out-Null }
New-ItemProperty -Path $full -Name "https" -Value 2 -PropertyType DWord -Force | Out-Null
}
Write-Host "Dominî aggiunti ai Siti attendibili per l'utente corrente." 

Avvertenza: usa solo host effettivi del tuo tenant. Non impostare domini generici o non necessari.

Soluzione temporanea: aprire i file dall’app desktop

In attesa di un fix lato servizio o di completare la distribuzione policy, l’apertura dai client desktop evita il prompt.

1. Avvia Excel (o l’app Office rilevante).
2. Vai su Apri → OneDrive e seleziona la posizione del tenant.
3. Apri il file desiderato: l’avviso non dovrebbe comparire.

Questa strategia è utile per i ruoli operativi (contabilità, produzione, segreteria) che necessitano di continuità immediata. Tuttavia, non corregge la causa e richiede l’app Office installata.

Aggiornare OneDrive e Office

OneDrive

1. Clic sull’icona a forma di nuvola nell’area di notifica.
2. Impostazioni → Informazioni e verifica la Versione.
3. Se disponibile, abilita gli aggiornamenti automatici; in alternativa, forza l’aggiornamento.

Alcuni ambienti hanno registrato miglioramenti passando a build pari o superiori a 24.151.x, ma la correlazione non è uniforme.

Office

1. Apri una qualsiasi app Office (es. Excel) → File → Account.
2. In Informazioni sui prodotti verifica il Canale di aggiornamento e la Versione.
3. Se possibile, utilizza Aggiorna ora ed eventualmente passa a un canale più rapido (es. Current o Monthly Enterprise).

Gli aggiornamenti riducono le probabilità di incompatibilità, ma il prompt può persistere se la causa è nella fiducia del dominio o in un incidente lato servizio.

Checklist operativa per IT

1. Conferma stato del servizio (incidente come SP843810 o successivi).
2. Raccogli gli host reali usati dal tenant durante l’apertura dei file (es. <tenant>.sharepoint.com, <tenant>-my.sharepoint.com).
3. Distribuisci “Siti attendibili” via GPO/Intune (Site to Zone Assignment List, valore 2).
4. Valuta cache/estensioni: prova InPrivate, svuota i dati del sito per gli host *.sharepoint.com su Edge/Chrome.
5. Aggiorna Office/OneDrive ai canali supportati.
6. Comunica workaround: apertura da app desktop fino alla completa risoluzione.
7. Monitora feedback post-distribuzione e segnala eventuali persistenze al supporto Microsoft con dettagli (tenant, host, orari, utenti colpiti).

Domande frequenti

È sicuro aggiungere i domini del tenant ai Siti attendibili?

Sì, se limiti la fiducia ai soli host del tuo tenant (es. https://<tenant>.sharepoint.com e https://<tenant>-my.sharepoint.com). Evita wildcard globali (es. *.sharepoint.com) per non ampliare eccessivamente la superficie di fiducia.

Perché alcuni utenti vedono il prompt e altri no?

Le cause tipiche sono: differenze di configurazione locali (Siti attendibili diversi, estensioni browser), propagazione non uniforme di un fix lato servizio, o versioni differenti di OneDrive/Office.

Perché il messaggio colpisce spesso Excel?

Excel è più spesso associato a contenuti “esterni” (collegamenti a dati, query, origini web) e questo aumenta le probabilità che la superficie web attivi controlli aggiuntivi. Tuttavia, lo stesso avviso può apparire anche per Word e PowerPoint nelle stesse condizioni.

Aggiungere i Siti attendibili è sufficiente?

Spesso sì, se la causa è un cambio di host o una mappatura mancante. Se il prompt persiste, verifica anche le impostazioni del Centro protezione di Office (Protezione in Visualizzazione, contenuti esterni) e l’eventuale applicazione di policy aziendali più restrittive (GPO/Intune).

Come capisco se la causa è un incidente lato servizio?

In presenza di un ticket riconosciuto (come SP843810 del 31 luglio 2024), vedrai comunicazioni nell’Admin Center di Microsoft 365. In tali casi, molti utenti del tenant possono essere impattati in modo intermittente e la soluzione definitiva richiede la correzione lato servizio.

Raccomandazioni pratiche

1. Verifica lo stato del servizio in Microsoft 365 Admin Center (incidente SP843810 o successivi).
2. Inserisci il nuovo dominio di SharePoint/OneDrive in Siti attendibili e riavvia il browser.
3. Prova l’apertura dai client Office locali come soluzione temporanea.
4. Mantieni OneDrive e Office aggiornati; i canali Current/Monthly Enterprise tendono a ricevere i fix prima.
5. Se il problema persiste dopo annuncio di risoluzione, invia segnalazioni al supporto Microsoft o tramite Feedback Hub: la telemetria accelera la propagazione dei fix.

Nota supplementare sulla sicurezza

Se i file non contengono macro, controlli ActiveX o connessioni dati, l’avviso non dovrebbe presentarsi. Qualora persista:

• Controlla che nel Centro protezione non siano attive opzioni che bloccano in modo generalizzato contenuti web sicuri.
• Verifica l’assenza di policy aziendali che impongono livelli di protezione aggiuntivi (GPO o Intune).
• Evita di utilizzare Siti attendibili come “scorciatoia” per contenuti di terze parti non controllati dall’organizzazione.

Strategia consigliata per i team IT

Per accelerare la chiusura dell’incidente e minimizzare il rischio, adotta un approccio a più livelli:

1. Stato del servizio e comunicazione: allineati alle comunicazioni ufficiali del tenant; aggiorna regolarmente gli utenti con un messaggio breve sullo stato (es. “impatto noto, workaround attivo, correzione in distribuzione”).
2. Remediation tecnica: distribuisci la mappatura dei domini fidati (GPO/Intune) e verifica su un campione pilota prima del roll-out completo.
3. Contenimento del rischio: limita la fiducia ai soli domini dell’organizzazione, continua a bloccare macro da Internet e mantieni attiva la Protezione in Visualizzazione per fonti non attendibili.
4. Misurazione: raccogli metriche (numero utenti impattati, tempo medio per apertura file, ricorrenza del prompt) per valutare l’efficacia degli interventi.

Esempio di comunicazione interna pronta all’uso

Oggetto: Avviso “This content presents a potential security issue” aprendo file da OneDrive/SharePoint

Stiamo riscontrando un avviso di sicurezza durante l’apertura dei file Office nel browser da OneDrive/SharePoint. Il messaggio non impedisce il lavoro ma rallenta l’operatività.

Cosa fare subito: se l’avviso compare, aprite il file dall’app desktop (Excel/Word/PowerPoint → Apri → OneDrive). Nel frattempo, IT sta configurando il dominio come “Sito attendibile” e monitorando lo stato del servizio.

Grazie per la collaborazione.

Risultati attesi dopo l’applicazione delle misure

• Riduzione/eliminazione del prompt all’apertura web dei file Office del tenant.
• Esperienza coerente tra utenti e dispositivi, grazie a GPO/Intune.
• Miglioramento della produttività senza compromessi di sicurezza, mantenendo regole restrittive su macro e contenuti da Internet non fidati.

Riepilogo

Il prompt “This content presents a potential security issue” è in genere un effetto della fiducia non esplicitamente riconosciuta per gli host di SharePoint/OneDrive o, in periodi circoscritti, di un degrado lato servizio. La combinazione di mappatura dei domini del tenant nei Siti attendibili, apertura temporanea da client desktop e aggiornamento di OneDrive/Office risolve o mitiga il problema nella maggior parte dei casi. Per ambienti gestiti, la distribuzione tramite GPO/Intune garantisce stabilità e controllo, mentre il monitoraggio dello stato del servizio consente di sapere quando la correzione lato Microsoft è stata completata.

---

Appendice tecnica: come funzionano le “zone di sicurezza”

Windows classifica l’origine dei contenuti web in zone (Intranet, Internet, Siti attendibili, Siti con restrizioni). Office per il Web e i componenti di sistema ereditano questa classificazione: un host noto del tenant in “Siti attendibili” riduce gli avvisi rumorosi e mantiene controlli per contenuti effettivamente rischiosi. Il valore di zona usato dalle policy è numerico: 1 Intranet locale, 2 Siti attendibili, 3 Internet, 4 Siti con restrizioni. L’obiettivo è ridurre la frizione solo per le risorse aziendali, senza concedere fiducia indiscriminata all’intero dominio sharepoint.com.

Appendice operativa: pulizia cache mirata

Se dopo le modifiche la situazione resta invariata su alcuni PC, può aiutare cancellare i dati del sito relativi agli host del tenant (ad esempio da impostazioni del browser, cercando i dati per sharepoint.com) e riavviare il browser. Ripeti l’apertura in modalità InPrivate per confermare che non intervengano estensioni.

Appendice governance: criteri di accettazione

• I domini fidati in produzione corrispondono esattamente agli host del tenant (senza wildcard generiche).
• Gli utenti non vedono più l’avviso su file aziendali aperti dal web; restano in vigore i blocchi per fonti Internet esterne.
• Documentazione aggiornata su GPO/Intune, con versioning e gruppi assegnatari.

---

In sintesi, affronta il problema con una sequenza chiara: verifica stato servizio → mappa i domini del tenant come fidati → distribuisci via policy → mantieni aggiornati OneDrive/Office → usa l’apertura da desktop come soluzione ponte. In questo modo, elimini il prompt ripetuto senza indebolire i controlli di sicurezza reali.