Microsoft e IAMCP: Secure Partner Initiative
Nell’ambito di Microsoft Secure Future Initiative (SFI), un'iniziativa pluriennale per migliorare la sicurezza dei prodotti e servizi Microsoft, desideriamo pubblicare il progetto realizzato in collaborazione tra Microsoft e IAMCP Secure Partner Initiative (SPI), che ha come obiettivo quello di migliorare la postura di sicurezza dei partner e dei loro clienti, al fine di affrontare le potenziali minacce informatiche e garantire una protezione efficace e tempestiva dei dati aziendali. La Secure Partner Initiative ha visto la distribuzione di brevi pillole informative via email, tra marzo e giugno 2025, con azioni puntuali da mettere subito in atto, facili da seguire e immediatamente applicabili. L'importanza di queste linee guida è per tutti i partner, in particolare i partner CSP dal 1o ottobre 2025 dovranno soddisfare questi requisiti per continuare a transare: Security requirements dashboard for Partner Center - Partner Center | Microsoft Learn Di seguito trovi tutte le informazioni utili per iniziare: non aspettate oltre, leggete tutte le pillole e iniziate subito a mettere in pratica le linee guida! 👉 Lasciaci un like o un commento per farci sapere se trovi utile o hai dei feedback su questo contenuto! Pillola #1 - RESPONSABILITA' E LINEE GUIDA PER I CONTATTI DI SICUREZZA ➡ Obiettivo: Stabilire un punto di contatto unico per le informazioni relative alla sicurezza ➡Tempo richiesto: 5’ ➡ Ruolo minimo: Security Admnistrator ➡ Azioni da intraprendere: Identifica un punto di contatto nella tua organizzazione per le informazioni relative alla sicurezza. Aggiorna il contatto di sicurezza per il tuo tenant tramite il Partner Center seguendo i passaggi che puoi trovare nell'articolo: Cloud Solution Provider security contact - Partner Center | Microsoft Learn. ➡ Vantaggi: proteggere i Partner e i loro clienti dal furto di identità e dall'accesso non autorizzato. Il contatto di sicurezza è il punto di contatto unico per Microsoft nel momento in cui viene rilevata una minaccia. Il contatto deve avere una casella di posta che possa essere monitorata costantemente - si consiglia di utilizzare una lista di distribuzione - e rispondere con urgenza per investigare e risolvere le segnalazioni ricevute. ➡ Impatto del mancato intervento: L'assenza di un Contatto di Sicurezza nella configurazione del Microsoft Partner Center può esporre le aziende e i clienti al furto di identità e all'accesso non autorizzato, poiché non ci sarebbe un individuo o un gruppo designato per rispondere prontamente alle minacce di sicurezza rilevate da Microsoft. ➡ Risorse aggiuntive: Cloud Solution Provider security contact - Partner Center | Microsoft Learn Pillola #2: Misure di protezione contro attacchi frequenti che garantiscono la sicurezza delle vostre identità, nel Partner Tenant ➡ Obiettivo: Gli utenti con ruoli amministrativi devono avere la multifactor authentication (MFA) attiva ➡Tempo richiesto: 15’ ➡ Ruolo minimo: Security Admnistrator ➡ Azioni da intraprendere: Microsoft fornisce una guida passo-passo per selezionare e abilitare il metodo MFA giusto per la tua organizzazione nel centro di amministrazione di Microsoft 365: consulta il Microsoft 365 MFA wizard. In particolare: Se desideri eseguire l'implementazione autonomamente e stai utilizzando Microsoft Entra ID Free, attiva i criteri di sicurezza predefiniti in Microsoft Entra ID. Tieni presente che i criteri di sicurezza predefiniti e il Conditional Access non possono essere utilizzati contemporaneamente. Se invece possiedi licenze Microsoft Entra ID P1 o P2, puoi creare una politica di Conditional Access da zero o utilizzando un template. Tieni traccia dei progressi nella registrazione dei metodi di autenticazione andando su Microsoft Entra ID > Sicurezza > Metodi di autenticazione > Dettagli di registrazione dell'utente ➡ Vantaggi: Richiedere l'MFA per i ruoli amministrativi rende più difficile per gli attaccanti accedere agli account. I ruoli amministrativi hanno permessi più elevati rispetto agli utenti tipici: se uno di questi account venisse compromesso, l'intera organizzazione sarebbe esposta. Proteggi almeno i seguenti ruoli: Global administrator Authentication administrator Billing administrator Conditional Access administrator Exchange administrator Helpdesk administrator Security administrator SharePoint administrator User administrator ➡ Impatto del mancato intervento: L'assenza di un Contatto di Sicurezza nella configurazione del Microsoft Partner Center può esporre le aziende e i clienti al furto di identità e all'accesso non autorizzato, poiché non ci sarebbe un individuo o un gruppo designato per rispondere prontamente alle minacce di sicurezza rilevate da Microsoft. ➡ Risorse aggiuntive: How MFA works Plan a Microsoft Entra multifactor authentication deployment Security defaults in Microsoft Entra ID Manage emergency access accounts in Microsoft Entra ID Pillola #3: Misure di protezione contro attacchi frequenti che garantiscono la sicurezza delle vostre identità, nel Customer Tenant NOTA: Non sei un partner CSP? Questa pillola non è per te, ma ricordati di verificare la pillola precedente #2, per verificare l'attivazione della MFA! ➡ Obiettivo: Gli utenti con ruoli amministrativi nel tenant del cliente devono avere la multifactor authentication (MFA) attiva ➡Tempo richiesto: 15’ ➡ Ruolo minimo: Security Admnistrator ➡ Azioni da intraprendere: Vai alle statistiche MFA del cliente: questa pagina evidenzia le informazioni chiave sulla postura di sicurezza di ciascun cliente relativamente alla MFA. In particolare puoi vedere: Cliente: Il nome del cliente. Amministratori con MFA abilitato: Il numero di amministratori nel tenant del cliente che hanno abilitato MFA. Non-amministratori con MFA abilitato: Il numero di utenti non amministratori nel tenant del cliente che hanno abilitato MFA. Utenti totali: Il numero totale di utenti nel tenant del cliente. Puoi cercare le statistiche di un cliente specifico sulla stessa pagina utilizzando la casella di ricerca. Per i passaggi dettagliati, vedi Gestire la postura di sicurezza MFA di un cliente. ➡ Vantaggi: Richiedere l'MFA per i ruoli amministrativi rende più difficile per gli attaccanti accedere agli account. I ruoli amministrativi hanno permessi più elevati rispetto agli utenti tipici: se uno di questi account venisse compromesso, l'intera organizzazione sarebbe esposta. Proteggi almeno i seguenti ruoli: Global administrator Authentication administrator Billing administrator Conditional Access administrator Exchange administrator Helpdesk administrator Security administrator SharePoint administrator User administrator ➡ Impatto del mancato intervento: L'assenza di un Contatto di Sicurezza nella configurazione del Microsoft Partner Center può esporre le aziende e i clienti al furto di identità e all'accesso non autorizzato, poiché non ci sarebbe un individuo o un gruppo designato per rispondere prontamente alle minacce di sicurezza rilevate da Microsoft. ➡ Risorse aggiuntive: Manage a customer's MFA security posture. Pillola #4: Introduzione a GDAP e guida di configurazione ➡ Obiettivo: Il privilegio di Granular Delegated Admin Privileges (GDAP) è una funzionalità di sicurezza che consente ai partner di configurare l'accesso granulare e limitato nel tempo alle poprie risorse e alle risorse di eventuali clienti. ➡Tempo richiesto: 30’ ➡ Ruolo minimo: Admin Agent ➡ Azioni da intraprendere: Approfondisci i concetti legati ai privilegi GDAP: come acquisirli, gestirli, riportarne le azioni e molto altro leggendo l'articolo Granular delegated admin privileges (GDAP) introduction - Partner Center | Microsoft Learn e GDAP frequently asked questions - Partner Center | Microsoft Learn Richiedi i permessi granulari di amministrazione per gestire un servizio del cliente, seguendo i passaggi nell'articolo Obtain granular admin permissions to manage a customer's service - Partner Center | Microsoft Learn. Ottieni l'approvazione della tua richiesta GDAP: il cliente deve seguire i passaggi che può trovare nell'articolo Customer approval of partner GDAP request - Partner Center | Microsoft Learn. Concedere permessi granulari ai gruppi di sicurezza: i passaggi sono descritti nell'articolo Grant granular permissions to security groups - Partner Center | Microsoft Learn. ➡ Vantaggi: GDAP è un modello più sicuro per l'amministrazione dei tenant, rispetto al privilegio di amministratore delegato (DAP) e aderisce al principio di accesso con privilegi minimi di Microsoft Zero Trust. ➡ Impatto del mancato intervento: I partner potrebbero perdere i privilegi di amministratore sui tenant dei loro clienti, se non trasferiscono i loro clienti a GDAP prima della rimozione di DAP. DAP può essere ripristinato tramite una richiesta GDAP con il cliente. ➡ Risorse aggiuntive: Granular delegated admin privileges (GDAP) introduction - Partner Center | Microsoft Learn GDAP frequently asked questions - Partner Center | Microsoft Learn Obtain granular admin permissions to manage a customer's service - Partner Center | Microsoft Learn Customer approval of partner GDAP Grant granular permissions to security groups - Partner Center | Microsoft Learn. request - Partner Center | Microsoft Learn Pillola #5: Impostare lo spending budget su tutte le sottoscrizioni per evitare sorprese! NOTA: Non sei un partner CSP? Puoi comunque creare un budget spending sul portale Azure per le tue sottoscrizioni! Vuoi saperne di più? Vai a questo link: Tutorial - Create and manage budgets - Microsoft Cost Management | Microsoft Learn ➡ Obiettivo: Con l'aumento delle minacce informatiche e degli attacchi alle infrastrutture, i malintenzionati stanno sfruttando sempre più questi sistemi per scopi illeciti, come il data mining. È fondamentale che i partner utilizzino metodi aggiuntivi di monitoraggio per aiutare a rilevare comportamenti anomali, sia sul loro tenant che eventualmente sui tenant dei loro clienti. ➡Tempo richiesto: 20’ ➡ Ruolo minimo: Admin Agent o Cost Management Contributor ➡ Azioni da intraprendere: Il Partner Center offre modi efficaci per gestire e monitorare la spesa attraverso la definizione dei budget per le sottoscrizioni del piano Azure, spesso conosciuti come New Commerce Experience (NCE). Questi strumenti permettono di impostare limiti di spesa, monitorare l'uso e ottimizzare l'investimento nel cloud. Per tracciare le spese e prevenire addebiti imprevisti, puoi creare budget personalizzati relativamente ad Azure direttamente nel Partner Center: Accedi al Partner Center e seleziona Billing. Seleziona Azure Spending (NCE) dal menu delle attività sul lato sinistro. Vai alla sezione Clienti e seleziona Nuovo budget. Imposta nuovi budget cercando i nomi dei clienti nel pannello laterale. Seleziona Salva. Puoi configurare notifiche da inviare quando un cliente utilizza l'80% o più del budget di spesa configurato. Per configurare questi avvisi: Accedi al Partner Center e seleziona l'icona delle Notifiche (campanella). Seleziona Le mie preferenze. Configura un indirizzo email preferito. Configura la lingua preferita per la notifica. Seleziona tutte le caselle nella sezione Preferenze di notifica nell'area di lavoro Fatturazione. ➡ Vantaggi: Monitorare l'utilizzo delle sottoscrizioni Azure dei tuoi clienti ti consente di assisterli nella gestione del loro consumo di Azure, prevenire addebiti imprevisti e identificare potenziali attività fraudolente. è buona norma discutere con i clienti le loro aspettative di spesa mensile e impostare di conseguenza un budget di spesa sulle loro sottoscrizioni. ➡ Impatto del mancato intervento: Il budget di spesa non pone un limite massimo alla spesa. È importante notificare ai tuoi clienti quando raggiungono l'80% dell'utilizzo, in modo che possano pianificare la chiusura delle risorse o aspettarsi una fattura più alta! ➡ Risorse aggiuntive: Set an Azure spending budget for customers - Partner Center | Microsoft Learn Monitor usage and spending with cost alerts in Cost Management - Microsoft Cost Management | Microsoft Learn Tutorial - Create and manage budgets - Microsoft Cost Management | Microsoft Learn Pillola #6: Abilitare fraud detection e notifiche NOTA: Non sei un partner CSP? Questa pillola non è per te, ma ricordati di verificare la pillola precedente #5, per limitare i rischi di frode! ➡ Obiettivo: Con l'aumento delle minacce informatiche e degli attacchi alle infrastrutture, i malintenzionati stanno sfruttando sempre più questi sistemi per scopi illeciti, come il data mining. È fondamentale che i partner utilizzino metodi aggiuntivi di monitoraggio per aiutare a rilevare comportamenti anomali nell'ambiente del cliente. ➡Tempo richiesto: 20’ ➡ Ruolo minimo: Admin Agent ➡ Azioni da intraprendere: È fondamentale che i partner utilizzino ulteriori metodi di monitoraggio per aiutare a rilevare comportamenti anomali nell'ambiente del cliente. Assicurati che l'indirizzo email preferito per i tuoi Partner Admin Agents sia aggiornato, in modo che vengano notificati insieme ai contatti di sicurezza. Per implementare la rilevazione delle frodi e le notifiche nelle sottoscrizioni Azure dei tuoi clienti, segui i passaggi descritti nell'articolo Detect and Respond to Security Alerts - Partner Center | Microsoft Learn. Con il monitoraggio e la conoscenza dei segnali puoi agire immediatamente per determinare se il comportamento è legittimo o fraudolento. Se necessario, puoi sospendere le risorse o le sottoscrizioni Azure interessate per mitigare il problema. Le notifiche di sicurezza di Microsoft Azure non rilevano tutti i tipi di attività fraudolente o di uso improprio, quindi è fondamentale utilizzare metodi aggiuntivi di monitoraggio per aiutare a rilevare un uso anomalo nelle sottoscrizioni Azure del cliente. ➡ Vantaggi: Implementare la rilevazione delle frodi e le notifiche nelle sottoscrizioni Azure non solo garantisce avvisi tempestivi di potenziali frodi e attività di mining di criptovalute nelle sottoscrizioni Azure dei tuoi clienti, consentendo un'azione rapida per mitigare e prevenire danni, ma migliora anche significativamente la postura di sicurezza complessiva della tua organizzazione. Adottando questo cambiamento, puoi proteggere proattivamente i dati sensibili e mantenere la fiducia dei clienti. ➡ Impatto del mancato intervento: Al contrario, non implementare queste misure lascia la tua organizzazione vulnerabile ad attività fraudolente non rilevate, che possono portare a gravi perdite finanziarie, danni reputazionali e compromissione dei dati dei clienti. Come partner nel programma Cloud Solution Provider (CSP), sei responsabile del consumo di Azure dei tuoi clienti, quindi è importante che tu sia consapevole di qualsiasi utilizzo anomalo nelle sottoscrizioni Azure dei tuoi clienti! ➡ Risorse aggiuntive: Detect and Respond to Security Alerts - Partner Center | Microsoft Learn. Azure fraud notification - Get fraud events - Partner app developer | Microsoft Learn Gain insights with customer activity logs - Partner Center | Microsoft Learn Grazie per aver seguito con attenzione questa iniziativa! Continuare a investire nella sicurezza non è solo una buona pratica, ma un dovere verso i vostri clienti e il vostro business!
