Come generare rapporti di conformità adatti agli MSP da Microsoft Secure Score

Microsoft Secure Score, uno strumento essenziale di analisi della sicurezza integrato in Microsoft 365, fornisce alle organizzazioni una misura quantificabile della loro attuale postura di sicurezza insieme a raccomandazioni specifiche e attuabili per il miglioramento. Per i fornitori di servizi gestiti (MSP), Secure Score è più di una semplice dashboard interna: diventa la base per avere rapporti di conformità trasparenti e guidati dai dati dei clienti e per avere un monitoraggio standardizzato della conformità su più tenant.

Presentare i dati di Secure Score in un formato chiaro, coerente con il brand e fruibile consente agli MSP di dimostrare in modo tangibile il valore che offrono. I clienti possono vedere i miglioramenti nel tempo, anticipare i rischi per la sicurezza molto prima degli eventi di audit o violazione e allineare con sicurezza la propria organizzazione a framework leader come CIS, NIST e ISO 27001. Un reporting efficiente e ripetibile di Secure Score aiuta inoltre gli MSP a semplificare i processi interni, a identificare in modo proattivo le priorità di correzione e a documentare la maturità della sicurezza.

Che cos’è il report Microsoft Secure Score?

Il report Microsoft Secure Score è una funzione di analisi della sicurezza all’interno di Microsoft 365 che analizza la posizione di sicurezza di un’organizzazione valutando le configurazioni attuali, i comportamenti degli utenti e i controlli adottati nell’ambiente cloud Microsoft. Il punteggio generato mostra quanto il tenant sia in linea con le pratiche di sicurezza raccomandate da Microsoft e fornisce azioni di miglioramento dettagliate per ridurre il rischio.

Qual è la differenza tra punteggio di conformità e punteggio di sicurezza?

La differenza tra “Compliance Score” e “Secure Score” in Microsoft 365 risiede in ciò che ciascuna metrica misura e riporta:

Microsoft Secure Score si concentra sulla posizione tecnica di sicurezza di un’organizzazione. Valuta le impostazioni di sicurezza, le configurazioni e i comportamenti attuali all’interno di Microsoft 365, offrendo un punteggio numerico e raccomandazioni attuabili per rafforzare le protezioni contro le minacce. Il suo obiettivo principale è aiutare i team IT e gli MSP a quantificare, confrontare e migliorare continuamente i controlli di sicurezza per ridurre i rischi.

Microsoft Compliance Score, invece, valuta l’allineamento dell’organizzazione ai requisiti di conformità normativa e di settore (come GDPR, HIPAA o ISO 27001). Il punteggio di conformità riflette sia le impostazioni tecniche che le azioni organizzative, compresi i criteri documentati, la formazione degli utenti e le procedure di audit, per fornire una prospettiva più ampia e incentrata sulla governance.

Prerequisiti per la segnalazione di MS Secure Score

Prima di estrarre i dati di Secure Score e di generare i relativi report, assicurati che siano presenti i seguenti prerequisiti:

• Licenze: Per l’accesso completo a Secure Score è necessario un abbonamento Microsoft 365 Business Premium o Enterprise.
• Accesso al portale: È necessario effettuare l’accesso tramite Microsoft Secure Score nel 365 Security Center.
• PowerShell e SDK: L’SDK Microsoft Graph PowerShell deve essere installato su qualsiasi workstation di automazione o di reporting.
• Autorizzazioni: Assegna i ruoli Microsoft Entra Global Reader o Security Reader all’account amministrativo utilizzato per la raccolta dei dati.
• Visualizzazioni: È possibile configurare Power BI per una trasformazione dei dati, un’analisi e una presentazione dei report più avanzate.
• RMM/Endpoint: Sfrutta NinjaOne o un’analoga piattaforma di monitoraggio e gestione remota (RMM) per arricchire i dati di Secure Score con un contesto specifico dell’endpoint per un report di conformità più approfondito.

Accesso a Secure Score tramite Microsoft 365 Security Center

Il modo più diretto per esaminare i dati di Secure Score è Microsoft 365 Security Center. Dopo esserti autenticato con i permessi appropriati, accedi alla dashboard Secure Score, dove avrai una visione completa del panorama della sicurezza del tuo tenant.

Qui puoi visualizzare:

• Punteggio complessivo di sicurezza: Presentato sia come valore grezzo di punti che come percentuale di realizzazione rispetto alla linea di base delle best practice di Microsoft.
• Disaggregazioni per categoria: Controlla il punteggio della tua organizzazione in Identità, Dispositivi, App, Dati e Infrastruttura, questo ti aiuterà ad identificare le lacune in aree specifiche.
• Funzionalità di esportazione: Usa la funzionalità di esportazione per scaricare un file CSV contenente il tuo punteggio attuale, l’elenco completo delle azioni di miglioramento e lo stato di ciascuna di esse (Implementata, Non valutata, Non implementata).

Una volta esportati, puoi filtrare e trasformare questi dati CSV con Excel o Power BI per la presentazione. Organizzali per importanza, miglioramenti recenti o aree di rischio per preparare riepiloghi di facile consultazione che rendano tangibile il lavoro proattivo del tuo MSP e tengano traccia dei progressi verso gli obiettivi di sicurezza.

Usa PowerShell e Microsoft Graph per esportare il Secure Score

Per garantire la ripetibilità, la scalabilità e l’automazione, gli MSP dovrebbero sfruttare PowerShell in combinazione con l’API Microsoft Graph. Questo approccio consente l’estrazione sicura e programmatica dei dati di Secure Score su più clienti e tenant.

Flusso di lavoro campione:

1. Collegati a Microsoft Graph:

Connect-MgGraph -Scope “SecurityEvents.Read.All”, “Reports.Read.All”

2. Crea una query per ottenere il secure score in questo momento:

Get-MgSecuritySecureScore

3. Crea una query per ottenere le azioni di miglioramento e i profili di controllo:

Get-MgSecuritySecureScoreControlProfile

4. Esporta il report completo:

Get-MgSecuritySecureScore | Export-Csv -Path “C:\Reports\SecureScore.csv” -NoTypeInformation

Utilizzando le credenziali memorizzate e la registrazione sicura delle app, puoi pianificare l’esecuzione di questi script su più tenant in modo ricorrente. L’automatizzazione della raccolta dei dati di Secure Score garantisce agli MSP di avere sempre accesso alle valutazioni del rischio più recenti per la creazione di report e la correzione.

Creare rapporti MSP coerenti con il brand per i clienti

I dati grezzi sulla sicurezza sono più efficaci quando vengono trasformati in rapporti chiari e attuabili, personalizzati per ogni cliente. Aggregare i risultati del Secure Score in:

• Riassunti esecutivi: Fornire una panoramica generale dell’attuale trend di sicurezza dell’organizzazione, con una narrazione concisa e immagini di facile lettura.
• Disaggregazioni per categoria: Evidenzia le prestazioni nelle aree chiave (Identità, Dispositivi, App, ecc.), identificando punti di forza e di debolezza.
• Prossime azioni: Presenta i principali controlli o raccomandazioni non attuati, insieme al loro potenziale impatto sul punteggio complessivo.
• Grafici storici: Visualizza la progressione di Secure Score nel tempo per convalidare il miglioramento continuo e il valore sostenuto dell’MSP.

Personalizza ogni report con il nome e il logo del cliente, oltre che quello del tuo MSP, anche le raccomandazioni devono essere personalizzate. Utilizza strumenti come modelli Excel personalizzabili, unioni di stampa Word o dashboard Power BI per mantenere i report visivamente accattivanti e coerenti. Archivia i singoli report in posizioni sicure e condivise come SharePoint o NinjaOne Documents per un accesso semplificato ai clienti e alla documentazione di conformità.

Arricchisci Secure Score con i valori di registro degli endpoint

Un limite di Secure Score è che non sempre riflette le configurazioni dei dispositivi in tempo reale, soprattutto per quanto riguarda le impostazioni gestite al di fuori di Microsoft 365. Per risolvere questo problema, è necessario incorporare il contesto dell’endpoint convalidando i controlli di sicurezza chiave tramite le voci di registro sui dispositivi client.

Per esempio:

Stato di BitLocker:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BitLockerStatus
• Valore: ProtectionStatus (DWORD) = 1 indica che BitLocker è attivo.

Stato del firewall:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
• Valore: EnableFirewall (DWORD) = 1 conferma che il firewall di Windows è attivato.

Raccogliendo da remoto e aggregando questi valori di registro con i report di Secure Score, gli MSP possono fornire una valutazione della conformità più completa, colmando il divario tra la telemetria di Microsoft 365 e la reale configurazione dei dispositivi.

Usare i Criteri di gruppo per applicare le impostazioni che influiscono sul punteggio

Secure Score premia i tenant che applicano i controlli di base attraverso i Group Policy Objects (GPO). Gestendo centralmente queste impostazioni, gli MSP possono massimizzare i punteggi e proteggere tutti gli endpoint:

• Criteri BitLocker:
  Vai a Configurazione del computer > Modelli amministrativi > Componenti di Windows > Crittografia unità BitLocker
  • Abilita “Richiedi BitLocker
  • Disabilita la disattivazione di BitLocker da parte degli utenti standard
• Criteri AV Antivirus e Defender:
  Configurazione del computer > Windows Defender Antivirus
  • Abilitazione della protezione in tempo reale
  • Richiedere una protezione basata sul cloud
  • Blocco dei criteri di esclusione degli utenti finali

L’applicazione di queste GPO garantisce la conformità di tutti i dispositivi ai criteri di Secure Score e fornisce miglioramenti convalidati e misurabili rispetto alla gestione decentralizzata. La revisione e l’aggiornamento periodico delle impostazioni dei criteri di gruppo standardizza ulteriormente la sicurezza tra le diverse basi di clienti SMB.

Utilizzare CMD per convalidare le impostazioni di sicurezza specifiche del dispositivo

Per corroborare i risultati di Microsoft Secure Score e confermare la configurazione a livello di endpoint, utilizza gli strumenti integrati del prompt dei comandi:

• Controllare lo stato di BitLocker: manage-bde -status
• Esaminare il servizio Windows Defender: sc query Windefend
• Verificare lo stato del firewall: netsh advfirewall show allprofiles

Documenta l’output di questi comandi o utilizza degli script per raccogliere i risultati dell’intero parco di dispositivi gestiti. L’inclusione di questa verifica degli endpoint nei rapporti di conformità contribuisce a corroborare i dati di Secure Score e a dimostrare che i controlli sono realmente applicati a livello locale, non solo segnalati nel cloud.

Ulteriori considerazioni

Quando utilizzi Secure Score per il reporting di conformità, presta attenzione a diversi punti:

• Secure Score vs. Compliance Score: Ricorda che Secure Score tiene conto delle configurazioni tecniche di sicurezza, mentre Compliance Score si occupa dell’aderenza alle normative e ai criteri.
• Lacune nel punteggio con soluzioni di terze parti: Se utilizzi strumenti di sicurezza non Microsoft, alcune mitigazioni potrebbero non essere riconosciute da Secure Score, con conseguenti punteggi inferiori nonostante una protezione adeguata. Documenta chiaramente questi casi ai clienti.
• Formazione dei clienti: Includi sempre un breve riepilogo nel tuo report che spieghi l’ambito e i limiti di Secure Score, in modo che i clienti sappiano cosa viene misurato e cosa no.
• Automazione dei processi: Programma le revisioni del Secure Score e utilizza i delta del punteggio (variazioni nel tempo) per avviare processi di correzione ricorrenti. Questo approccio proattivo soddisfa i clienti e semplifica la gestione della sicurezza.

Risoluzione dei problemi

Incappare in ostacoli è inevitabile; ecco come affrontare i più comuni intoppi nel reporting di Secure Score:

• Il punteggio non si aggiorna: Tieni presente che Secure Score può impiegare fino a 24 ore per riflettere le modifiche di configurazione recenti o le azioni di miglioramento completate.
• Query API vuote: Se l’API Microsoft Graph restituisce risultati vuoti, verifica che tutte le autorizzazioni richieste siano concesse e che il token di autenticazione sia valido.
• Esportazione dei controlli mancanti: Usa Get-MgSecuritySecureScoreControlProfile per assicurarti che venga interrogato ed esportato un elenco completo di azioni di miglioramento.
• GPO non applicato: Se le modifiche del GPO non si riflettono, esegui gpresult/h per diagnosticare i problemi relativi all’ambito, al filtraggio o al targeting delle OU, assicurando l’applicazione dei criteri su tutti i dispositivi richiesti.

Servizi NinjaOne

NinjaOne si integra perfettamente con Microsoft Secure Score, consentendo agli MSP di gestire la conformità in modo ancora più efficiente e scalabile:

• Esecuzione programmata di script: Estrazione automatica dei dati di Secure Score da Microsoft Graph, memorizzazione dei risultati per cliente per un monitoraggio continuo.
• Scansione del registro: Utilizza la gestione degli endpoint di NinjaOne per verificare automaticamente che le impostazioni critiche del registro (come BitLocker o lo stato del firewall) siano conformi ai requisiti di Secure Score.
• Automazione dei criteri: Attiva script di correzione ogni volta che i delta di Secure Score indicano potenziali regressioni, mantenendo i tenant in linea con le best practice raccomandate.
• Dashboard personalizzate: Visualizza i dati di Secure Score insieme ad altre metriche chiave (stato dei backup, patching, integrità degli endpoint) per presentare una visione olistica della sicurezza e della conformità.
• Aggregazione tra tenant: Roll up Secure Score su tutti i tenant gestiti, per facilitare il benchmark, l’esportazione e la comunicazione ai clienti di posizioni di rischio differenziate da un pannello unico centralizzato.

Abbinato a NinjaOne, Secure Score si trasforma da un numero statico a una metrica attivabile, alimentando un’automazione più intelligente, una reportistica fulminea e un valore continuo e dimostrabile per gli MSP.

In sintesi

Il report Microsoft Secure Score è una misura indispensabile per valutare e migliorare la postura di sicurezza dei tenant di Microsoft 365. Per gli MSP, l’estrazione di questi dati e la loro conversione in rapporti di conformità fruibili e incentrati sul cliente è fondamentale per dimostrare il proprio valore, promuovere il miglioramento continuo e mantenere la trasparenza operativa. Combinando esportazioni manuali, raccolta guidata da API, automazione PowerShell, convalida degli endpoint e applicazione di solidi criteri, ogni MSP può fornire informazioni chiare e di marca che ispirano fiducia ai clienti.

L’integrazione di queste pratiche con NinjaOne e l’utilizzo di strumenti avanzati per la scansione del registro, lo scripting e la creazione di dashboard trasformano Secure Score da strumento diagnostico di back-end a elemento centrale di un servizio di conformità ripetibile e basato su prove.