Excel: avviso di sicurezza da OneDrive/SharePoint e errore OLE (SP843810) – cause, workaround, guida completa

Excel mostra un avviso di sicurezza aprendo file da OneDrive o SharePoint? Qui trovi cause, contromisure e una guida operativa completa (incluso SP843810), con particolare attenzione a impatti e best practice Zero Trust.

Indice

Contesto e sintomi

Negli ambienti Microsoft 365 può accadere che, all’apertura di file Excel archiviati su SharePoint Online o OneDrive for Business, compaia il messaggio:

“This content presents a potential security issue. Do you trust this content?”

In scenari specifici lo stesso flusso è seguito dall’errore:

“Microsoft Excel is waiting for another application to complete an OLE action”

Quest’ultimo non è la causa originaria ma un effetto collaterale: la schermata di sicurezza blocca il caricamento di componenti “attivi” (ad es. collegamenti OLE, controlli ActiveX, query dati, componenti COM), provocando attese o ritardi sensibili.

Ambiente interessato

Applicazione: Excel versione 2406 (Build 16.0.17726.20078, 64 bit).
Piattaforma: Client Windows con archiviazione su SharePoint Online o OneDrive for Business.
Modalità di accesso ai file: apertura da percorso cloud (interfaccia Office, OneDrive sync client, collegamento network/URL), non dal disco locale.

Perché succede: cause tecniche

Bug lato servizio (Incident ID: SP843810)

Dalla fine di luglio 2024 un aggiornamento dei controlli di sicurezza lato SharePoint/OneDrive ha innescato falsi positivi nei controlli del “contenuto attivo” di Excel. Il risultato visibile agli utenti è l’avviso di sicurezza riportato sopra, anche per file aziendali legittimi. Microsoft ha riconosciuto l’anomalia (SP843810) e ne ha avviato la mitigazione lato servizio.

Zone di sicurezza e classificazione dell’origine

Excel eredita le zone di sicurezza del motore Internet Explorer/Edge WebView2 per stabilire il livello di fiducia delle risorse remote. Quando i domini del proprio tenant non rientrano nei Siti attendibili, i file vengono trattati come provenienti da Internet, con controlli più restrittivi su contenuti attivi, collegamenti esterni, OLE/ActiveX e query. In presenza del bug, questa classificazione severa fa scattare l’avviso anche su contenuti perfettamente leciti.

Effetti collaterali tipici

Lentezza all’apertura per handshake aggiuntivi richiesti dal controllo di sicurezza.
Interazione anomala con OLE/COM: l’applicazione attesa da Excel non completa in tempo le operazioni, generando il messaggio OLE.
Esperienza utente disomogenea: alcuni file si aprono senza avvisi, altri identici mostrano blocchi sporadici.

Workaround disponibili e impatti

Di seguito i rimedi provvisori suggeriti finché il fix lato servizio non è pienamente completato nel tuo tenant. Valuta attentamente il compromesso tra produttività e rischio.

Soluzione	Descrizione	Impatto sicurezza	Modalità di distribuzione
Aggiungere il tenant ai Siti attendibili	Inserire `https://<tenant>.sharepoint.com` e `https://<tenant>-my.sharepoint.com` in Pannello di controllo → Opzioni Internet → Sicurezza → Siti attendibili.	Riduce la verifica su quelle URL; va ponderato rispetto ai principi Zero Trust.	Manuale su singolo PC oppure via criterio GPO / Site‑to‑Zone Assignment List per una gestione centralizzata.
Scaricare i file in locale	Salvare il file sul disco locale prima di aprirlo in Excel.	Nessuna modifica permanente: evita l’avviso perché il file non è più remoto.	Manuale, utile case by case, poco scalabile a livello aziendale.
Attendere l’hotfix Microsoft	Monitorare Service Health nel Microsoft 365 Admin Center cercando l’ID incidente (SP843810 o eventuali successivi associati).	Nessun rischio aggiuntivo: soluzione definitiva non invasiva.	Nessuna azione lato client; aggiornamento lato servizio e/o Office.

Nota di sicurezza: molti amministratori criticano l’uso indiscriminato dei Siti attendibili perché potenzialmente in contrasto con l’approccio Zero Trust. Se decidi di adottare questa mitigazione, applicala solo ai domini del tuo tenant e sempre tramite policy centralizzate (GPO) per garantire coerenza, tracciabilità e rollback.

Guida operativa: aggiungere SharePoint/OneDrive ai Siti attendibili

Procedura manuale (singolo PC)

Apri il Pannello di controllo di Windows.
Vai su Opzioni Internet (puoi avviare rapidamente digitando inetcpl.cpl nella ricerca).
Seleziona la scheda Sicurezza → Siti attendibili → Siti.
Aggiungi:
- https://<tenant>.sharepoint.com
- https://<tenant>-my.sharepoint.com
Dove <tenant> è il nome del tuo tenant Microsoft 365.
Deseleziona “Richiede verifica server (https:)” solo se strettamente necessario e dopo valutazione del rischio.
Conferma con Chiudi → OK.

Distribuzione centralizzata con GPO (consigliata)

Per applicare la modifica in modo coerente su tutti i client:

Apri Group Policy Management sul Domain Controller.
Crea o modifica una GPO assegnata alle OU di interesse.
Vai su:
- User Configuration (o Computer Configuration) → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page → Site to Zone Assignment List.
Imposta la policy su Enabled e aggiungi le voci:
- Valore: https://<tenant>.sharepoint.com | Dato: 2 (Trusted Sites)
- Valore: https://<tenant>-my.sharepoint.com | Dato: 2 (Trusted Sites)
Forza l’aggiornamento delle policy con gpupdate /force sui client o attendi il normale refresh.

Nota: nella “Site to Zone Assignment List” i codici significano 1=Intranet, 2=Trusted, 3=Internet, 4=Restricted. Limita l’assegnazione esclusivamente ai domini del tenant.

Alternative di distribuzione: Registro e script

Se preferisci automatizzare senza GPO (o per test pilota), puoi intervenire sul Registro. Esempio (per utente corrente):

Windows Registry Editor Version 5.00

; \.sharepoint.com in Trusted Sites (https)
\[HKEY\CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com<tenant>]
"https"=dword:00000002

; \-my.sharepoint.com in Trusted Sites (https)
\[HKEY\CURRENT\USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com<tenant>-my]
"https"=dword:00000002

Script PowerShell equivalente (utente corrente):

$base = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com"
$tenant = "&lt;tenant&gt;"
New-Item -Path "$base\$tenant" -Force | Out-Null
New-ItemProperty -Path "$base\$tenant" -Name "https" -PropertyType DWord -Value 2 -Force | Out-Null
New-Item -Path "$base\$tenant-my" -Force | Out-Null
New-ItemProperty -Path "$base\$tenant-my" -Name "https" -PropertyType DWord -Value 2 -Force | Out-Null

Avviso: preferisci sempre la GPO, perché offre controllo centralizzato, visibilità sul perimetro d’applicazione e rollback controllato.

Timeline e stato dell’azione correttiva di Microsoft

31 luglio 2024: anomalia riconosciuta da Microsoft (SP843810).
13 agosto 2024: patch dichiarata in fase di distribuzione; vari tenant riportano persistenza del problema fino a settembre 2024.
Esito atteso: a distribuzione completata, l’avviso scompare senza interventi lato client.

Poiché la propagazione può variare tra tenant e aree geografiche, considera possibile una finestra di overlap in cui coesistono utenti corretti e utenti ancora impattati.

Raccomandazioni operative per i tenant

Verificare lo stato dell’incidente

Gli amministratori dovrebbero consultare regolarmente la sezione Health → Service Health dell’Admin Center per cercare SP843810 (o eventuali codici successivi correlati) e leggere aggiornamenti, tempistiche, eventuali mitigazioni suggerite.

Applicare un criterio organizzativo coerente

Se si adotta il workaround dei Siti attendibili, distribuirlo solo via GPO (User o Computer Configuration). Il percorso classico:

Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page → Site to Zone Assignment List

Questa scelta consente:

Uniformità dell’esperienza utente.
Tracciabilità (audit delle impostazioni applicate).
Rollback rapido non appena il fix è confermato.

Mantenere Excel/Office aggiornati

Invita gli utenti a eseguire File → Account → Opzioni di aggiornamento → Aggiorna adesso per ricevere correzioni lato client. Anche se la radice del problema è lato servizio, build più recenti possono migliorare compatibilità e diagnostica.

Aprire un ticket a Microsoft se il problema persiste

Se, dopo la data di completamento comunicata, l’alert continua a presentarsi in modo sistematico, apri una nuova richiesta di supporto dall’Admin Center (sezione Support), includendo log e dettagli dell’ambiente.

Diagnosticare in modo efficace

Abilitare i log dal Trust Center

In Excel vai su File → Opzioni → Centro protezione → Impostazioni Centro protezione e, nella sezione Privacy, abilita le opzioni di logging (quando disponibili). Questi tracciati possono aiutare Microsoft a riconoscere pattern e riprodurre il problema in escalation.

Escludere conflitti con componenti di terze parti

Se compare l’errore OLE, verifica eventuali COM Add‑in o componenti OLE che si attivano all’apertura dei file:

In Excel: File → Opzioni → Componenti aggiuntivi.
Nel menu “Gestisci”, scegli Componenti aggiuntivi COM e clicca Vai….
Disabilita temporaneamente i componenti non Microsoft e testa l’apertura del file.

Puoi anche avviare Excel in Modalità provvisoria con excel /safe per capire se il comportamento è legato a plug‑in.

Capire cosa viene bloccato

Contenuto attivo: macro VBA, query esterne (Power Query), collegamenti DDE, controlli ActiveX, OLE/embedded objects.
Origine del file: file “remoti” o con Mark‑of‑the‑Web ricevono trattamenti più severi.
Zone di sicurezza: i file serviti da domini non attendibili innescano prompt o blocchi.

Decisione informata: quando usare i Siti attendibili

Il bilanciamento giusto dipende dal tuo profilo di rischio:

Alto rischio / Zero Trust rigoroso: privilegia l’attesa del fix, consenti aperture locali solo per file indispensabili, usa whitelisting minimo e tracciato.
Produttività prioritaria: applica Trusted Sites ai soli domini tenant (.sharepoint.com del tuo tenant e -my.sharepoint.com) e rimuovi l’eccezione appena verificato il ripristino lato servizio.

Piano di rollback

Monitora lo stato dell’incidente e annota la finestra in cui non si osservano più avvisi.
Revoca la GPO o aggiorna la “Site to Zone Assignment List” rimuovendo le voci del tenant.
Conferma con test campionari su gruppi pilota (utenti, sedi, profili diversi).
Documenta la modifica e comunica la rimozione dell’eccezione ai team interessati.

Comunicazione tipo verso gli utenti

Oggetto: Apertura file Excel da OneDrive/SharePoint – avviso di sicurezza

A partire da \[data], alcuni file Excel mostrano un avviso di sicurezza all’apertura.
La causa è un problema lato servizio in via di risoluzione (SP843810).

Se visualizzi il messaggio, conferma solo per file aziendali attesi.
In caso di errore OLE, chiudi e riapri il file; se persiste, segnala al Service Desk.

Stiamo applicando misure temporanee per ridurre l’impatto e rimuoveremo le eccezioni
non appena Microsoft avrà completato il fix.

FAQ essenziali

Questo problema riguarda solo Excel?
È stato osservato primariamente in Excel, perché i suoi meccanismi di contenuto attivo (macro, OLE, query) sono più sensibili ai controlli d’origine. Altri prodotti Office possono mostrare avvisi simili, ma con frequenza minore.

Mettere i domini del tenant tra i Siti attendibili è sicuro?
È una misura “a tempo” da valutare rispetto alla tua strategia Zero Trust. Limitati ai soli domini del tenant e predisponi un rollback pianificato.

Perché il prompt compare a intermittenza?
Perché intervengono caching lato client, percorsi d’apertura diversi (browser, sync client, link), differenze di versione e tempistiche di propagazione del fix.

Scaricare il file in locale risolve sempre?
Nella maggior parte dei casi sì, perché rimuove l’elemento “remoto”. Tuttavia la soluzione è manuale e non scalabile. Usala come ultima risorsa per casi critici.

Checklist rapida per l’amministratore

Conferma la versione di Excel (2406 16.0.17726.20078 a 64 bit nel caso riportato) e lo scenario di apertura.
Verifica lo stato di SP843810 nell’Admin Center.
Decidi se applicare Siti attendibili via GPO per i soli domini del tenant.
Abilita logging nel Trust Center per supportare eventuali escalation.
Controlla COM Add‑in se compare l’errore OLE dopo l’avviso.
Pianifica e documenta il rollback della mitigazione appena il fix è confermato.

Dettagli pratici aggiuntivi

Impostazioni consigliate nella GPO

Site to Zone Assignment List: limita l’ambito a:
- https://<tenant>.sharepoint.com → 2
- https://<tenant>-my.sharepoint.com → 2
Non aggiungere wildcard generici come https://*.sharepoint.com a meno di un’espressa necessità: espande inutilmente la superficie di fiducia.
Se la tua organizzazione usa domini vanity o host personalizzati, considera un inserimento mirato aggiuntivo, sempre limitato al perimetro aziendale.

Interazione con “Trusted Locations” di Excel

Le “Posizioni attendibili” (Trust Center → Posizioni attendibili) non sostituiscono la logica di origine/zone per i file remoti. In altre parole, marcare una cartella locale come “attendibile” non elimina l’avviso se il file viene comunque aperto da un percorso remoto classificato come Internet.

Perché compare l’errore “Excel is waiting for another application to complete an OLE action”

Quando Excel attende la risposta di un componente esterno (ad esempio un controllo OLE, un componente COM o un’applicazione integrata), il blocco introdotto dal prompt di sicurezza allunga i tempi di risposta oltre la soglia, generando il messaggio OLE. Mitigando l’avviso e/o riducendo i componenti che si attivano all’apertura, l’errore tende a scomparire.

Integrazioni utili per l’escalation

Abilita la registrazione dal Trust Center (opzioni privacy) per raccogliere log.
Allega ai ticket l’elenco dei COM Add‑in attivi, lo stack dei processi, e le versioni precise di Office e OneDrive sync client.

Conclusioni

L’avviso di sicurezza che compare in Excel aprendo file da OneDrive/SharePoint è riconducibile a un malfunzionamento lato servizio (SP843810) e alla conseguente interazione con le zone di sicurezza ereditate dal sistema. In attesa del completamento della correzione da parte di Microsoft, il workaround più efficace e governabile è classificare i domini del tenant come Siti attendibili tramite GPO, mantenendo una rigorosa disciplina di Zero Trust: ambito minimo, audit, e rollback appena il fix è verificato. Per i casi urgenti e isolati, il salvataggio locale del file rappresenta una soluzione pratica che non modifica in modo permanente la postura di sicurezza.

Sintesi operativa

Problema: avviso “This content presents a potential security issue…” e, talvolta, “Excel is waiting for another application to complete an OLE action”.
Cause: bug lato servizio (SP843810) + classificazione dei domini in zone non attendibili.
Workaround: Siti attendibili via GPO per https://<tenant>.sharepoint.com e https://<tenant>-my.sharepoint.com; in alternativa, salvataggio locale.
Azione correttiva: fix Microsoft in distribuzione; monitorare Service Health.
Raccomandazioni: applicare policy unificate, mantenere Office aggiornato, raccogliere log, aprire ticket se il problema persiste.

Nota finale: fino al completamento della patch per il tuo tenant, considera operativo il compromesso “produttività vs rischio”. Documenta le eccezioni, limita l’ambito, e rimuovi le impostazioni di fiducia appena verificato il rientro dell’incidente.

In una frase: il prompt è causato da un malfunzionamento lato server (SP843810); in attesa del fix, l’unico workaround affidabile e gestibile su larga scala è inserire i domini del tenant tra i Siti attendibili via GPO, con piena consapevolezza dell’impatto sulla postura di sicurezza.