NOMAD e Oltre

Per questo mio primo articolo sul blog di NOMAD CYBER, ho deciso di affrontare un tema molto attuale: la necessità per le piccole e medie imprese di adottare un approccio strutturato alla sicurezza, reso oggi possibile grazie alla suite Microsoft 365 Business Premium e ai nuovi add-on di sicurezza e compliance.

In questo articolo esploreremo come implementare una vera architettura Zero Trust utilizzando Microsoft 365 Business Premium (insieme alle nuove Security & Compliance Suites).

Per anni, Zero Trust è stato percepito come una strategia riservata alle grandi aziende: complessa, costosa e fuori dalla portata delle PMI. Questo non è più vero.

Con Microsoft 365 Business Premium e i nuovi componenti aggiuntivi delle suite Defender e Purview, Microsoft ha reso il modello Zero Trust di livello enterprise accessibile alle organizzazioni fino a 300 utenti, senza la necessità di passare a una licenza E5.

Cercherò inoltre di dimostrare che, se il tuo tenant non è pronto per Zero Trust, non è pronto nemmeno per Copilot. Non perché Copilot crei nuovi problemi di sicurezza, ma perché li rende immediatamente evidenti.

Questo articolo approfondisce i 4 pilastri di Zero Trust, mappando i principi architetturali sulle funzionalità reali di Microsoft 365 già disponibili per le PMI, più un 5° pilastro dedicato a Copilot:

• Pilastro 1 — L’identità è il nuovo perimetro

• Pilastro 2 — Affidabilità del dispositivo e sicurezza degli endpoint

• Pilastro 3 — Email, collaborazione e SaaS sono la superficie di attacco

• Pilastro 4 — La protezione dei dati non è opzionale (Purview)

• Pilastro 5 — Zero Trust nell’era di Microsoft Copilot

  
  

Zero Trust non è un prodotto

Microsoft definisce Zero Trust come un modello di sicurezza, non come un insieme di strumenti.

Si basa su tre principi non negoziabili:

• Verificare esplicitamente

• Applicare il principio del minimo privilegio

• Presumere la compromissione

Microsoft 365 Business Premium è particolarmente efficace perché tutti i controlli di sicurezza sono identity-centric, cloud-native e integrati by design.

Pilastro 1 — L’identità è il nuovo perimetro

Se un attaccante compromette l’identità, tutto il resto diventa irrilevante.

Cosa offre Business Premium “out of the box”?

Microsoft 365 Business Premium include Microsoft Entra ID Plan P1, che abilita una solida base Zero Trust sull’identità:

• Autenticazione Multi-Fattore (MFA) obbligatoria

• Criteri di Conditional Access basati su:

  • Utente

  • Posizione

  • Stato del dispositivo

  • Applicazione

• Blocco dei protocolli di autenticazione legacy

• Single Sign-On (SSO) centralizzato per applicazioni SaaS

Questo elimina la maggior parte degli attacchi basati su password e impone una verifica esplicita a ogni tentativo di accesso.

Impatto Zero TrustL’accesso non è mai implicitamente affidabile: ogni accesso viene valutato in tempo reale.

La Microsoft Defender Suite per Business Premium eleva la protezione dell’identità a Entra ID P2, sbloccando:

• Conditional Access basato sul rischio

• Valutazione del rischio utente (credenziali compromesse)

• Valutazione del rischio di accesso

• Blocco automatico delle sessioni rischiose

• Identity Governance

• Access review

Si tratta di un’evoluzione critica: da policy statiche a una valutazione continua della fiducia, requisito fondamentale di Zero Trust.

Pilastro 2 — Affidabilità del dispositivo e sicurezza degli endpoint

Zero Trust presume che i dispositivi possano essere compromessi, anche se l’utente è legittimo.

Conformità dei dispositivi con Microsoft Intune

Business Premium include Microsoft Intune, che consente di:

• Gestire Windows, macOS, iOS e Android

• Applicare criteri di conformità:

  • Crittografia del disco

  • Versione del sistema operativo

  • Secure Boot

  • Antivirus attivo

• Usare Conditional Access per:

  • Consentire l’accesso solo da dispositivi conformi

  • Proteggere il BYOD con App Protection Policies (MAM)

    
    

Impatto Zero Trust

Le decisioni di accesso si basano su identità + stato di salute del dispositivo, non sulla posizione di rete.

Endpoint Detection & Response (EDR)

Business Premium include Microsoft Defender for Business, che offre:

• Antivirus di nuova generazione

• Rilevamento comportamentale

• Protezione da ransomware

• Investigazione e remediation automatizzate

Questo supporta direttamente il principio “assume breach”, individuando le minacce anche dopo che l’accesso è stato concesso.

Sicurezza avanzata degli endpoint con Defender Suite

L’aggiunta della Defender Suite aggiorna gli endpoint a Defender for Endpoint Plan 2, introducendo:

• Advanced Threat Hunting

• Live Response

• Retention estesa della telemetria

• Conditional Access basato sull’endpoint

A questo punto, il livello di protezione endpoint è funzionalmente equivalente a quello delle architetture Zero Trust enterprise.

Pilastro 3 — Email, collaborazione e SaaS sono la superficie di attacco

Phishing e abuso di OAuth rimangono i principali vettori di accesso iniziale.

Business Premium

Include nativamente:

• Defender for Office 365 Plan 1

• Protezione antiphishing e antimalware

• Safe Links e Safe Attachments

  
  

Defender Suite: quando Zero Trust diventa proattivo

La Defender Suite aggiunge:

• Defender for Office 365 Plan 2

• Automated Investigation & Response (AIR)

• Attack simulation training

• Defender for Cloud Apps:

  • Scoperta di Shadow IT

  • Valutazione del rischio SaaS

  • Controllo sull’uso dell’AI generativa

    
    

Impatto Zero Trust

La fiducia viene valutata non solo per utenti e dispositivi, ma anche per applicazioni e comportamenti.

Pilastro 4 — La protezione dei dati non è opzionale (Purview)

Zero Trust non si ferma all’accesso: i dati devono rimanere protetti anche dopo che l’accesso è stato concesso.

Cosa include Business Premium

• Sensitivity labels

• Crittografia di email e file

• Policy DLP di base

Questo abilita già una protezione persistente dei dati, concetto chiave di Zero Trust.

Andare oltre con la Purview Suite

La Microsoft Purview Suite per Business Premium abilita:

• DLP avanzato su endpoint e SaaS

• Insider Risk Management

• Communication Compliance

• eDiscovery (Premium) e Audit (Premium)

• Governance dei dati AI e Copilot

Aspetti critici soprattutto nei settori regolamentati e nell’era dell’AI generativa.

Mappatura delle capacità Zero Trust

• Verifica dell’identità → Entra ID P1 / P2

• Affidabilità del dispositivo → Intune + Defender

• Rilevamento delle minacce → Defender XDR

• Controllo delle applicazioni SaaS → Defender for Cloud Apps

• Protezione dei dati → Purview

  
  

Pilastro 5 — Zero Trust nell’era di Microsoft Copilot

Perché Copilot cambia completamente il discorso sulla sicurezza

Microsoft 365 Copilot non introduce nuovi dati nel tenant, ma introduce un modo radicalmente nuovo di accedere a quelli esistenti.

Copilot opera secondo il principio dell’accesso semantico:

• Interroga Microsoft Graph

• Rispetta identità e permessi dell’utente

• Espone contenuti tra email, file, chat, meeting e documenti

Qualsiasi over-permission, debolezza sull’identità o mancanza di governance dei dati diventa immediatamente visibile — e vulnerabile.

Copilot non può essere trattato come “una funzionalità in più”:è un amplificatore. Zero Trust diventa un prerequisito, non una best practice.

Copilot e Zero Trust: cosa cambia davvero

Copilot si basa completamente su:

• Fiducia sull’identità (Entra ID)

• Confini di autorizzazione (SharePoint, Teams, OneDrive)

• Affidabilità del dispositivo (Conditional Access)

• Classificazione e protezione dei dati (Purview)

Se uno di questi pilastri è debole, Copilot lo esporrà immediatamente.

La domanda Zero Trust cambia da:

a:

Zero Trust sull’identità diventa Zero Trust per Copilot

Con Copilot:

• MFA non è più opzionale

• Conditional Access non è più “nice to have”

• Le policy basate sul rischio diventano fondamentali

Un’identità compromessa con Copilot non è più solo una mailbox violata, ma:

• Una inbox riassunta

• Una knowledge base SharePoint sintetizzata

• Una vista contestuale delle conversazioni interne

Con Entra ID P1 hai già un’autenticazione forte. Con Entra ID P2 (tramite Defender Suite) abiliti la valutazione del rischio in tempo reale per:

• Bloccare Copilot durante accessi rischiosi

• Richiedere dispositivi conformi

• Limitare automaticamente l’accesso quando il rischio aumenta

  
  

Principio Zero Trust rafforzato: Verificare esplicitamente ogni prompt di Copilot.

Affidabilità del dispositivo: Copilot non deve girare ovunque

Copilot può essere utilizzato da:

• App desktop

• Web

• Mobile

• Dispositivi personali

Senza Conditional Access basato sul dispositivo, Copilot può essere usato da endpoint non gestiti, aumentando enormemente il rischio di esfiltrazione dei dati.

Con Intune + Conditional Access puoi:

• Consentire Copilot solo da dispositivi conformi o gestiti

• Applicare regole più restrittive in scenari BYOD

• Combinare conformità del dispositivo e rischio utente

  
  

Principio Zero Trust rafforzato: Non fidarti mai del dispositivo, validalo sempre.

La governance dei dati è il vero piano di controllo di Copilot

Molti progetti Copilot falliscono qui.

Copilot non bypassa i permessi, ma espone immediatamente quelli sbagliati:

• Siti SharePoint sovra-condivisi

• Permessi Teams troppo piatti

• Strutture legacy

• Mancanza di etichette di sensibilità

Business Premium consente già:

• Sensitivity labels

• Crittografia

• DLP di base

La Purview Suite diventa invece strategica perché introduce:

• DLP avanzato su endpoint, SaaS e interazioni AI

• Insider Risk Management per accessi anomali guidati da Copilot

• Audit (Premium) per tracciare l’uso dei dati

• Communication Compliance

• Controlli di sicurezza per l’AI

Purview passa così da strumento di compliance a layer di enforcement Zero Trust per l’AI.

Principio Zero Trust rafforzato: Presumere la compromissione, soprattutto con l’assistenza dell’AI.

Copilot, Defender e il principio “Assume Breach”

Con Copilot, la velocità è tutto.

Un utente compromesso può:

• Scoprire più rapidamente progetti sensibili

• Riassumere conversazioni confidenziali

• Identificare documenti critici in pochi secondi

La Defender Suite mitiga questo rischio aggiungendo:

• Identity Threat Detection

• Endpoint Detection & Response avanzato

• Analisi comportamentale SaaS

Consentendo ai team di sicurezza di individuare e bloccare gli abusi rapidamente, anche dopo che l’accesso è stato concesso.

Considerazione finale

Zero Trust non è più solo per le grandi aziende.

Con Microsoft 365 Business Premium e le suite Defender + Purview, anche le PMI possono:

• Passare dalla sicurezza perimetrale a quella centrata sull’identità

• Applicare la verifica continua

• Proteggere i dati in un mondo guidato da Copilot

• Ottenere risultati di sicurezza quasi equivalenti a E5, senza il costo E5

A cura di Denis Sacchi, una delle penne di NOMAD CYBER.

NOMAD Tips: Se desiderate approfondire il modello Zero Trust, qui trovate la documentazione ufficiale Microsoft.

Microsoft 365 E7 spiegato

Per molte aziende, l’adozione dell’AI o dell' IA - come preferite chiamarla -rappresenta ancora una sfida. Gli strumenti vengono testati, i progetti pilota avviati, ma poche iniziative riescono a entrare nelle operazioni quotidiane su larga scala. Microsoft 365 E7 è la risposta di Microsoft a questo problema, affrontando ciò che finora è mancato: integrazione, governance e sicurezza.

Posizionato come The Frontier Worker Suite, Microsoft 365 E7 riunisce produttività, sicurezza, AI e gestione degli agenti in un’unica offerta enterprise. Questo significa che l’AI non è più qualcosa di esterno all’azienda: deve essere integrata all'interno di ogni organizzazione.

Microsoft 365 E7 sarà disponibile a livello generale dal 1° maggio 2026.

Funzionalità principali

A livello pratico, Microsoft 365 E7 combina quattro pilastri esistenti in un modello coerente:

• Microsoft 365 E5 per una produttività enterprise sicura

• Microsoft Entra Suite per la gestione delle identità e degli accessi

• Microsoft 365 Copilot con AI integrata nel lavoro quotidiano

• Microsoft Agent 365 per governare e gestire gli agenti AI

Ciò che rende E7 diverso non sono i singoli componenti, ma la scelta di considerarli inseparabili. La produttività senza sicurezza è un rischio. L’AI senza governance è una responsabilità. E7 parte dal presupposto che le organizzazioni siano pronte a riconoscere entrambe le cose.

Capacità di AI

Con Microsoft 365 Copilot incluso come funzionalità core, l’AI non è più proposta come un’esperienza separata. Opera all’interno degli strumenti già utilizzati dagli utenti — Word, Excel, Outlook, Teams, OneDrive e SharePoint — supportando la creazione dei contenuti, l’analisi, la sintesi e il processo decisionale, il tutto sfruttando il contesto aziendale.

Questo è importante perché l’adozione dell’AI raramente fallisce per limiti tecnologici. Fallisce quando gli strumenti risultano scollegati dal lavoro reale. E7 elimina questa frizione integrando l’AI direttamente nei flussi di lavoro quotidiani.

Agent 365

La scelta più netta e significativa che Microsoft compie con E7 è l’introduzione di Agent 365 come componente di primo livello. Man mano che l’AI passa dal rispondere alle domande all’eseguire attività, le aziende hanno bisogno di visibilità e controllo.

Agent 365 offre un modo per individuare, governare, monitorare e proteggere gli agenti AI in tutta l’organizzazione. In altre parole, tratta gli agenti AI come veri e propri collaboratori digitali: osservabili, responsabili e governati lungo tutto il loro ciclo di vita. Senza questo livello di controllo, scalare l’AI in modo sicuro non è realistico.

Ottimizzazione dei costi

Esiste anche un vantaggio pratico. Acquistati separatamente, i componenti inclusi in Microsoft 365 E7 avrebbero un costo di 117 dollari per utente al mese. Come suite unica, E7 è proposto a 99 dollari, con un risparmio del 15%, semplificando al contempo licenze e processi di acquisto*.

Ancora più importante, il modello unificato riflette il modo in cui le aziende vogliono realmente consumare l’AI: come parte di una piattaforma, non come un insieme di licenze scollegate.

Perché è importante

Microsoft 365 E7 si rivolge a chi si pone una domanda più complessa: come possiamo scalare l’AI senza perdere il controllo?

Combinando produttività, AI, identità, sicurezza e governance degli agenti in un’unica suite, Microsoft lancia un messaggio chiaro. Il futuro del lavoro sarà guidato dall’uomo e operato dagli agenti, ma solo se l’AI verrà implementata in modo responsabile, trasparente e sicuro fin dall’inizio.

*Per una breve panoramica di Microsoft 365 E7, dei prezzi in Euro e delle sue funzionalità principali, contattaci all’indirizzo info@nomadcyber.ai.

Leggi la notizia in inglese sul Blog di Microsoft

NOMAD CYBER