Se visualizzi “Your account is temporarily locked…” su Microsoft 365, niente panico: è un blocco di sicurezza dopo attività anomale o troppi tentativi d’accesso. Qui trovi cosa fare subito, procedure dettagliate per utenti e amministratori, e le migliori pratiche per prevenire nuovi blocchi.

Messaggio visualizzato
“Your account is temporarily locked to prevent unauthorized use. Try again later, and if you still have trouble, contact your admin.”

Perché compare il blocco temporaneo dell’account Microsoft 365

Microsoft applica meccanismi di protezione automatici per impedire l’uso non autorizzato delle identità cloud. Il messaggio di blocco temporaneo è la conseguenza di uno o più segnali di rischio, tra cui:

• Troppi tentativi di accesso non riusciti (password errata ripetuta), spesso generati da attacchi “password spray” o da client configurati con credenziali obsolete che continuano a riprovare.
• Attività anomala rispetto al profilo dell’utente (posizioni geografiche insolite, “impossible travel”, agenti/servizi inconsueti, orari fuori pattern).
• Uso di protocolli legacy (IMAP/POP/SMTP/ActiveSync in modalità basic) che non supportano MFA e sono più facili da abusare.
• Credenziali compromesse rilevate da sistemi di protezione dell’identità o da segnalazioni di rischio sull’utente o sul singolo accesso.

Il blocco è intenzionalmente temporaneo e, nella maggior parte dei casi, si risolve attendendo che il sistema rimuova la condizione di rischio. Provare ripetutamente le credenziali durante il blocco prolunga il timeout.

Soluzione in sintesi

1. Attendere lo sblocco automatico
   Il blocco dura in genere tra 30 e 60 minuti. Sospendi qualsiasi tentativo d’accesso (anche da app e dispositivi collegati) finché non passa.
2. Reimpostare la password
   Effettua il reset tramite i metodi di verifica (SMS, e‑mail di recupero, app Authenticator) e crea una password robusta e univoca.
3. Coinvolgere l’amministratore
   Per account aziendali/scuola, l’amministratore può verificare i log, rimuovere eventuali blocchi amministrativi e accompagnarti nel ripristino.
4. Verificare la sicurezza dell’account
   Controlla l’attività recente; se sospetti un abuso, cambia le password di servizi collegati e rimuovi dispositivi o sessioni sconosciute.
5. Abilitare l’autenticazione a più fattori (MFA)
   Aggiunge un secondo livello di difesa e riduce il rischio di compromissione.
6. Aprire una richiesta di supporto
   Se il blocco persiste, apri una richiesta al supporto Microsoft o tramite l’amministratore, includendo dettagli e orari del blocco.

Procedura dettagliata per utenti finali

Attendi e interrompi i tentativi

Interrompi immediatamente ogni tentativo d’accesso mentre l’account è bloccato. Ricorda di chiudere le app che provano a riconnettersi in background (Outlook, Teams, OneDrive, app di posta del telefono). Anche un singolo dispositivo configurato con la vecchia password può continuare a generare tentativi e tenere vivo il blocco.

Reimposta la password in modo sicuro

• Avvia la procedura di reset e verifica la tua identità con un metodo di recupero (SMS, e‑mail alternativa, app Authenticator).
• Crea una passphrase lunga (ad es. 14+ caratteri) formata da parole non correlate, spazi e segni di punteggiatura. Evita riutilizzi: la stessa password non deve esistere altrove.
• Dopo il reset, aggiorna la password su tutti i dispositivi (PC, smartphone, tablet) e nelle app che la memorizzano.

Controlla l’attività recente e i dispositivi

• Rivedi gli accessi recenti dal tuo pannello “Sicurezza”. Se trovi sessioni o posizioni sospette, esegui una disconnessione forzata da tutte le sessioni e cambia nuovamente la password.
• Rimuovi dal tuo account eventuali dispositivi non riconosciuti. Se usi il telefono per MFA, verifica che i metodi di verifica siano aggiornati.

Attiva e verifica l’MFA

• Registra almeno due metodi: app Authenticator (notifiche o codici), SMS/telefono come backup, codici di recupero stampabili.
• Se cambi telefono, aggiorna subito i metodi MFA per evitare futuri blocchi.

Quando contattare l’amministratore

Se il blocco non si risolve o l’accesso resta negato nonostante il reset, contatta l’IT. Fornisci informazioni utili:

• Orario preciso dell’errore e fuso orario.
• Messaggio visto a schermo e, se presenti, codici o Correlation ID.
• Dispositivo, sistema operativo, rete usata (casa, ufficio, hotspot).
• Eventuali cambi di password recenti o telefono perso/sostituito.

Procedura operativa per amministratori Microsoft 365 / Entra ID

La chiave è distinguere tra un lockout temporaneo di sicurezza e un blocco amministrativo o altre condizioni (MFA, Conditional Access, password scaduta). Ecco un playbook passo‑passo.

Verifica rapida dello stato utente

1. Stato di accesso: controlla che l’utente non sia bloccato dall’amministratore (sign‑in blocked). Se bloccato, rimuovi il blocco consapevolmente e annota la motivazione.
2. Reset password e richiesta cambio al prossimo accesso: se sospetti compromissione, forza il cambio password e richiedi la ri‑registrazione dei metodi MFA.
3. Revoca sessioni/refresh tokens: invalida le sessioni attive per forzare una nuova autenticazione con le credenziali aggiornate.

Analisi dei log di accesso

• Apri i Sign‑in logs filtrando per utente. Controlla esito, Client App (per individuare protocolli legacy), indirizzo IP, posizione e motivazione del rifiuto.
• Se compaiono codici tipici:
  • AADSTS50053 – troppi tentativi non riusciti/utente temporaneamente bloccato.
  • AADSTS50076 – MFA richiesta ma non soddisfatta.
  • AADSTS50055 – password scaduta o deve essere cambiata.
  • AADSTS53003 – blocco da Conditional Access (criteri non soddisfatti).
  Usa queste informazioni per discriminare la vera causa.
• Controlla Identity Protection: “Accessi rischiosi” e “Utenti a rischio”. Se necessario, conferma e risolvi i rischi o forza la password reset gestita.

Azioni correttive consigliate

• Blocca l’autenticazione legacy: se vedi IMAP/POP/SMTP/ActiveSync in chiaro, applica una Conditional Access policy per consentire solo modern auth e MFA.
• Applica MFA ovunque: abilita Security Defaults oppure criteri di MFA per tutte le app critiche; per utenti privilegiati usa metodi resistenti al phishing (FIDO2, passkey, Windows Hello for Business).
• Imposta “Require re‑register MFA” per utenti compromessi, in modo da rigenerare i fattori di verifica.
• Temporary Access Pass (TAP): se l’utente ha perso i fattori MFA, usa TAP a scadenza breve per ri‑onboarding sicuro.
• Valuta Named Locations e CA con geofencing, attendibilità IP, segnalazione dispositivo conforme/ibrido AAD Join.

Script e comandi utili (PowerShell/Graph)

Usa i moduli aggiornati in base agli standard della tua organizzazione.

# MSOnline (legacy, ancora comune in alcuni ambienti)
Set-MsolUser -UserPrincipalName utente@dominio -BlockCredential $false
Set-MsolUserPassword -UserPrincipalName utente@dominio -NewPassword <NuovaPasswordSicura> -ForceChangePassword $true

AzureAD (legacy) - abilitazione account

Set-AzureADUser -ObjectId \ -AccountEnabled \$true
Revoke-AzureADUserAllRefreshToken -ObjectId \

Microsoft Graph PowerShell (consigliato)

Update-MgUser -UserId utente\@dominio -AccountEnabled:\$true
Revoke-MgUserSignInSession -UserId utente\@dominio 

Nota: queste operazioni non “forzano” la fine del lockout di sicurezza in corso, ma garantiscono che al termine della finestra temporale l’utente possa autenticarsi con credenziali e fattori aggiornati.

Tabella di diagnosi rapida

Scenario	Segnale/Errore tipico	Dove intervenire	Azioni consigliate
Blocco temporaneo di sicurezza	Messaggio “temporarily locked”, AADSTS50053	Attendere finestra; Sign‑in logs	Smettere i tentativi, reset password, MFA, revoca sessioni
Blocco amministrativo	Accesso negato immediato; utente “Sign‑in blocked”	Entra admin center → Utente	Rimuovere blocco, motivare l’azione, MFA obbligatoria
MFA non soddisfatto	AADSTS50076 / richiesta di verifica aggiuntiva	Registrazione MFA / Metodi utente	Ri‑registrare fattori (o TAP) e riprovare
Password scaduta/da cambiare	AADSTS50055	Reset password	Forzare cambio al prossimo accesso
Conditional Access	AADSTS53003 / politica non soddisfatta	Policy CA	Correggere condizioni (compliance device, posizione, app)
Client legacy in loop	Tentativi continui da IMAP/POP/SMTP/ActiveSync	Client e configurazioni utente	Disabilitare protocolli legacy, aggiornare app/password

Checklist “primo soccorso” per l’helpdesk

1. Conferma l’identità del richiedente.
2. Verifica se lo stato di accesso è bloccato manualmente. Se sì, sblocca con criterio.
3. Indaga i Sign‑in logs (codici, IP, client, geografia). Identifica eventuali tentativi da protocolli legacy.
4. Esegui reset password e imposta force change al prossimo accesso. Valuta “Require re‑register MFA”.
5. Revoca refresh tokens/sessioni.
6. Comunica all’utente di attendere la finestra di sblocco e di non riprovare finché non lo contatti tu.
7. Dopo lo sblocco: verifica accesso, completa la configurazione MFA e chiudi il ticket con istruzioni di prevenzione.

Prevenzione: ridurre drasticamente i futuri blocchi

Buone pratiche per gli utenti

• Usa passphrase lunghe e un password manager affidabile.
• Non riutilizzare le password in altri servizi.
• Mantieni aggiornati i metodi di recupero (telefono ed e‑mail alternativa).
• Aggiorna regolarmente i dispositivi e gli antivirus; esegui scansioni nel dubbio.
• Diffida di e‑mail e pagine di login sospette; verifica sempre il dominio reale.

Controlli raccomandati per gli amministratori

• MFA ovunque, preferibilmente metodi resistenti al phishing (FIDO2, passkey, Windows Hello).
• Blocca l’autenticazione legacy con Conditional Access; consenti solo modern auth.
• Security Defaults o criteri CA equivalenti (registrazione MFA, protezione admin, blocco protocolli insicuri).
• Identity Protection: applica policy sign‑in risk e user risk con azioni automatiche (richiesta MFA o reset password).
• Continuous Access Evaluation per revocare più rapidamente le sessioni rischiose.
• Named locations e geoblocking dove appropriato.
• Intune/Endpoint Management: conformità dei dispositivi e accesso condizionale basato su stato del device.
• Monitoraggio e alerting su anomalie (aumenti di errori AADSTS50053, picchi di fallimenti da singoli IP, tentativi legacy).

Domande frequenti

Quanto dura il blocco?

Di solito tra 30 e 60 minuti, ma la durata può variare in base ai segnali di rischio e ai tentativi in corso. Ogni nuovo tentativo fallito può allungare la finestra. Il modo più efficace per sbloccare è interrompere i tentativi, attendere e poi accedere con credenziali aggiornate.

Posso forzare lo sblocco?

Non esiste un comando per “scavalcare” il lockout di sicurezza senza rimuoverne la causa. Gli amministratori possono però: (a) assicurarsi che non ci sia un blocco amministrativo, (b) reimpostare password e fattori, (c) revocare le sessioni, (d) chiudere le fonti di tentativi automatici (client legacy, dispositivi con credenziali vecchie).

Perché il browser funziona ma Outlook mobile no (o viceversa)?

Perché le app usano percorsi di autenticazione diversi. Un’app con credenziali memorizzate può continuare a fallire e prolungare il blocco anche se nel browser il login riuscirebbe. Aggiorna o rimuovi le credenziali salvate in ogni app.

Che differenza c’è tra account bloccato e account disabilitato?

Un blocco temporaneo è automatico e si risolve da sé; un account disabilitato (o sign‑in blocked) è una scelta amministrativa e richiede un’azione esplicita per essere ripristinato.

Come evitare che succeda di nuovo?

MFA attivo, blocco dei protocolli legacy, password univoche e monitoraggio costante riducono drasticamente la probabilità di compromissione e quindi di nuovi blocchi.

Procedure interne e comunicazione agli utenti

Template di risposta del service desk

Ciao <Nome>,
abbiamo rilevato un blocco temporaneo del tuo account Microsoft 365 dovuto a tentativi d’accesso anomali. 
Abbiamo reimpostato la tua password e avviato la ri-registrazione MFA. 
Per favore:
1) Non provare ad accedere finché non ti ricontattiamo (circa mezz’ora).
2) Al termine, accedi solo dal browser e aggiorna la password su tutti i dispositivi.
3) Conferma eventuali accessi che non riconosci.

Grazie,
IT Support 

Playbook riassuntivo per l’IT

• Identifica e interrompi la fonte dei tentativi (client/app legacy).
• Reset password, revoca sessioni, richiedi re‑registrazione MFA.
• Verifica Identity Protection e CA; risolvi eventuali rischi.
• Comunica istruzioni chiare all’utente e programma un check post‑sblocco.

Errori comuni da evitare

• Continuare i tentativi durante il blocco: prolunga il timeout.
• Ignorare i client legacy che restano in loop con la vecchia password.
• Reimpostare la password senza revocare le sessioni: le sessioni persistenti potrebbero restare valide.
• Non aggiornare i metodi MFA dopo un cambio dispositivo.
• Trascurare i log: senza analisi potresti non cogliere un attacco in corso.

Riepilogo operativo

Il messaggio “Your account is temporarily locked” indica che la protezione automatica sta facendo il suo lavoro. La risposta efficace combina attesa (per far scadere il lockout), ripristino credenziali (password e MFA), analisi dei log e misure preventive strutturate (CA, blocco legacy, Identity Protection). Seguendo le procedure di questa guida, gli utenti tornano operativi in sicurezza e l’organizzazione riduce al minimo i futuri incidenti.

---

Suggerimenti aggiuntivi

• Evita tentativi ripetuti: ogni nuovo errore prolunga il blocco.
• Aggiorna i dispositivi: malware o client obsoleti possono generare tentativi automatici non autorizzati.
• Mantieni metodi di recupero aggiornati per velocizzare i reset.
• Documenta procedure interne di sblocco per tempi di risposta rapidi.

Soluzione sintetica (ripasso)

1. Attendere lo sblocco automatico (in genere 30–60 minuti).
2. Reimpostare la password e aggiornare i dispositivi.
3. Coinvolgere l’amministratore per verifica e sblocco dal centro di amministrazione.
4. Verificare la sicurezza dell’account (attività, dispositivi, sessioni).
5. Abilitare e verificare l’MFA.
6. Aprire, se necessario, una richiesta di supporto con dettagli completi.