Microsoft 365 Lighthouse è una soluzione progettata per semplificare e ottimizzare la gestione della sicurezza e della conformità per i fornitori di servizi gestiti (MSP) e le organizzazioni che utilizzano Microsoft 365. Questo strumento consente di centralizzare il monitoraggio, l'automazione e il controllo delle configurazioni di sicurezza in ambienti multi-tenant, offrendo una maggiore visibilità sulle risorse gestite. In questo articolo, andremo a vedere più da vicino che cos’è, quali sono le sue caratteristiche e i requisiti per il suo utilizzo.
I fornitori di servizi gestiti (Managed Service Providers) spesso raggiungono un punto in cui passare da un tenant all'altro per ogni cliente diventa poco pratico e dispendioso in termini di tempo. Inoltre, ci sono diverse impostazioni comuni a tutti i clienti, come le baseline di sicurezza e le configurazioni degli endpoint.
Diverse soluzioni possono assistere in questo compito, tra cui gli strumenti di monitoraggio e gestione remota (Remote Management and Monitoring, RMM). Tuttavia, se l'obiettivo è avere un ecosistema Microsoft altamente consolidato, esiste una soluzione lanciata da Microsoft che rappresenta un'alternativa all'uso di un altro fornitore per la gestione dell'infrastruttura, ovvero Microsoft 365 Lighthouse.
Lighthouse è un portale unificato che nasce con lo scopo di aggregare tutti i tenant che si gestiscono in una singola console e combinarli con i dati di telemetria che sono già stati raccolti e aiuta i fornitori di servizi gestiti a proteggere dispositivi, dati e utenti su larga scala per i clienti di piccole e medie imprese che utilizzano Microsoft 365 Business Premium.
Prima di cominciare a parlare delle caratteristiche di Lighthouse, prendiamoci un secondo per un breve ripasso.
Che cos’è un RMM? Acronimo di Remote Monitoring and Management, un RMM è una piattaforma o un software utilizzato principalmente dai fornitori di servizi IT (MSP, Managed Service Provider) per monitorare e gestire in modo remoto dispositivi e reti dei loro clienti. Con un RMM, i tecnici possono controllare computer, server e altri dispositivi connessi senza dover essere fisicamente presenti.
Microsoft 365 Lighthouse aiuta i fornitori di servizi gestiti (MSP) a far crescere il proprio business e a fornire servizi ai clienti su larga scala attraverso un unico portale RMM con cui è possibile standardizzare le configurazioni, gestire i rischi e interagire con i propri tenant in maniera rapida ed efficiente, permettendo di anticipare le loro esigenze e massimizzare l’investimento della propria clientela in Microsoft 365.
Il portale non solo semplifica l'on-boarding dei tenant ma aiuta gli MSP anche consigliando configurazioni di sicurezza ottimizzate per le PMI e fornendo panoramiche sulla gestione trasversali sugli ambienti dei propri clienti, oltre a consentire ai partner di identificare e agire rapidamente su minacce, accessi anomali e avvisi di conformità dei dispositivi.
È possibile configurare una serie di dashboard orientate all'azione nella homepage che consentono di identificare e concentrarsi sui clienti prioritari e inoltre fornisce collegamenti contestuali rapidi a pagine di configurazione, impostazioni e documentazione che altrimenti richiederebbero molto tempo per essere navigate.
Per gli MSP con accesso delegato (delegated administrative privileges o DAP), Lighthouse semplifica l'integrazione dei tenant dei clienti raccomandando configurazioni di sicurezza di base personalizzate per le piccole e medie imprese (PMI) e fornendo una visualizzazione multi-tenant di tutti gli ambienti dei clienti. Con Lighthouse, i service engineer possono scalare la gestione dei propri clienti, concentrarsi su ciò che è più importante, individuare rapidamente i rischi e agire per portare i clienti a uno stato di sicurezza e stabilità.
Lighthouse offre anche funzionalità per i responsabili degli account. Grazie alle informazioni generate dall'AI, Lighthouse fornisce raccomandazioni proattive, pratiche e personalizzate per aiutare a acquisire nuovi clienti, migliorare la fidelizzazione e ampliare il business con offerte premium.
Lighthouse aiuta gli MSP a crescere in modo sicuro e a gestire i servizi Microsoft 365 e gli endpoint collegati su larga scala attraverso:
Per implementare correttamente i processi aziendali all'interno dell'ecosistema Microsoft 365, è necessario un team con competenze trasversali:
Dev4Side Software ha le competenze tecniche verticali per fornirti un unico punto di contatto, trasversale per tutti gli elementi della tua sottoscrizione.
Ora che abbiamo un’idea più chiara di cos’è e quali sono le caratteristiche di Microsoft 365 Lighthouse, è arrivato il momento di discutere di requisiti.
Ci sono infatti alcune cose che devono essere sistemate per poterlo adottare e sfruttare al 100%.
Gli ultimi tre punti della lista di requisiti non impediranno l'uso di Microsoft 365 Lighthouse, ma potrebbero limitarne in maniera importante funzionalità come gestione utenti, monitoraggio dei dispositivi, gestione delle minacce, ecc.
Microsoft 365 Lighthouse è gratuito per i partner Microsoft che utilizzano Microsoft 365.
Non ha costi aggiuntivi diretti per l'utilizzo, poiché è incluso per i partner che hanno clienti con licenze Microsoft 365 Business Premium, Microsoft 365 E3 o superiori. Tuttavia, i partner devono essere iscritti al programma Cloud Solution Provider (CSP) per poter utilizzare Lighthouse, quindi i costi dipendono dal tipo di licenze Microsoft 365 utilizzate dai clienti.
L’utilizzo di Lighthouse è gratuito perché fa parte della strategia di Microsoft per supportare i partner che gestiscono ambienti multi-tenant per piccole e medie imprese. Essendo uno strumento destinato ai fornitori di servizi gestiti (MSP) che usano Microsoft 365, l'obiettivo di Microsoft è incentivare l'adozione delle licenze Microsoft 365 Business Premium e E3, creando valore per i partner senza costi aggiuntivi.
Microsoft offre Lighthouse gratuitamente per favorire l'adozione di Microsoft 365 tra le PMI, rendendo la gestione di sicurezza, policy e utenti più semplice per gli MSP. Questo permette a Microsoft di ampliare la propria base di clienti attraverso i partner, che traggono vantaggio da strumenti efficienti e integrati.
Dopo caratteristiche e requisiti, a questo punto è il caso di andare avanti nella nostra panoramica di Microsoft Lighthouse con una piccola esplorazione guidata del portale, al fine di poterne capire meglio la struttura e le funzionalità.
Dirigiamoci quindi su https://lighthouse.microsoft.com e accediamo con un account nel nostro tenant MSP con credenziali di Global Admin e MFA abilitato. Se l'account non ha MFA abilitato, si dovrà abilitarlo prima di poter finalmente accedere.
Nel caso si trovi tutto questo un po’ farraginoso, si deve comunque considerare che si sta effettivamente accedendo a tutti i propri tenant in un unico posto utilizzando Lighthouse, quindi l'applicazione della MFA è fondamentale. Il suggerimento in questo caso è anche quello di limitare l'accesso a Lighthouse a workstation amministrative approvate e bloccate, qualcosa che è possibile fare utilizzando le funzioni di Accesso Condizionale in AAD.
Secondo Microsoft, il processo di inserimento dei tenant potrebbe richiedere fino a 48 ore prima che i dati dei clienti inizino a comparire nel portale ma, generalmente, la tempistica media non supera di norma le due ore.
Nella pagina Home è presente una panoramica dei propri clienti, con riquadri per minacce (Defender Antivirus), dispositivi con Defender installato, utenti a rischio e conformità dei dispositivi. Si può filtrare questa panoramica con il pulsante Tenant in alto a sinistra.
La sezione Gestione Utenti permette agli amministratori di monitorare e gestire gli account utente nei vari tenant.
Quando si accede al riquadro degli utenti a rischio, si viene re-indirizzati alla sezione Users di Lighthouse, dove quattro schede mostrano gli account contrassegnati come rischiosi e il loro stato attuale (A rischio o risolto).
Cliccando su Visualizza rilevamenti di rischio per un account individuale, si viene re-indirizzati al portale AAD per quel tenant per investigare il rischio. La scheda Autenticazione Multi-Fattore mostra lo stato del tenant per l'abilitazione della MFA e gli utenti non registrati per la MFA.
Al contrario, la scheda Password Reset mostra lo stato dei tenant e degli account per il reset della password in autonomia (SSPR). Si possono anche cercare tra tutti i nomi utente e, quando si trova un utente specifico, reimpostare la sua password o bloccare l'accesso.
Il reset della password è un'azione molto comune per il personale del supporto MSP. Invece di accedere al tenant di un cliente, trovare l'utente e poi reimpostare la password, lo si può fare qui per qualsiasi utente.
Cliccando su uno dei riquadri Threat o Antivirus arriveremo all'area di gestione delle minacce, dove una scheda panoramica ci mostra le minacce (attive, mitigate o risolte), i dispositivi privi di Defender AV e i dispositivi scaduti per le scansioni.
La scheda Minacce mostra un elenco di minacce attive, mitigate, risolte e consentite, mentre la scheda Protezione Antivirus mi mostra un elenco di dispositivi, il loro stato, se l'AV è aggiornato, lo stato della protezione in tempo reale e se sono previste scansioni rapide o complete.
Se si vedono dei segnali di pericolo in arancione accanto agli elementi della lista vuol dire che quel particolare elemento richiede una scansione o è al momento minacciato da qualcosa.
Notare che è possibile anche selezionare più dispositivi contemporaneamente e avviare scansioni su tutti loro o addirittura riavviarli tutti in un colpo solo. È possibile anche filtrare la visualizzazione dei dispositivi in base allo stato del dispositivo, alla protezione dalle minacce, allo stato degli aggiornamenti e a eventuali scansioni scadute.
L'area Devices ha quattro schede: Overview mostra i dispositivi gestiti dalle politiche di conformità in MEM (Microsoft Endpoint Manager), mentre la scheda Devices mostra lo stato di conformità per ciascun dispositivo, con la possibilità di filtrare la visualizzazione in base al fatto che il dispositivo sia aziendale o personale, il sistema operativo utilizzato e il suo stato. La scheda Policies si sincronizza da MEM, mentre la scheda Settings mostra le impostazioni non conformi tra i tenant.
Puoi anche fare clic su un singolo dispositivo per visualizzare i dettagli e seguire un link per vederlo nella console completa di Endpoint Manager.
La sezione Tenant mostra, come è facilmente intuibile dal nome, i tenant, inclusi quelli non idonei per Lighthouse (ad esempio, perché privi della licenza per Microsoft 365 Business Premium) o quelli che non hanno ancora il privilegio di Amministratore Delegato. Puoi creare e assegnare tag ai vari tenant come metodo per organizzarli.
Ci sono due ruoli specifici basati su controllo degli accessi (RBAC) associati a Microsoft 365 Lighthouse: Administrator e Helpdesk Agent. Il primo ha il permesso di modificare la maggior parte delle impostazioni, mentre il secondo può visualizzare tutto, ma solo reimpostare password, bloccare accessi e aggiornare i dettagli di contatto/sito web dei clienti.
Microsoft consiglia di utilizzare il Privileged Identity Management (PIM), una funzionalità di Microsoft Entra ID, per applicare il principio del minimo privilegio. In questo modo, un Helpdesk Agent può essere idoneo a diventare Admin Agent, ma deve passare attraverso un flusso di lavoro PIM, che può includere l'inserimento di un ticket di servizio, l'approvazione da parte di un supervisore e l'esecuzione di MFA per ottenere temporaneamente quel permesso, per un periodo limitato di alcune ore.
Nell'area delle baseline, posso vedere la baseline predefinita e applicarla a gruppi di clienti.
Le baseline di sicurezza sono una funzionalità chiave in Lighthouse e si tratta, in soldoni, di raccomandazioni sviluppate da Microsoft per configurare le impostazioni di sicurezza, in modo da proteggere gli ambienti Microsoft 365. Ci sono sei baseline predefinite:
Ci sono altre due aree in Microsoft 365 Lighthouse: Windows 365 offre una panoramica dei Cloud PC nei tenant dei tuoi clienti e delle loro connessioni di rete con le infrastrutture on-premises.
L'area finale è Service Health, che mostra avvisi e incidenti relativi a Teams, Microsoft 365, Exchange Online e altri 20 servizi. È la stessa visualizzazione presente nel Centro Amministrativo di Microsoft 365, ma averla disponibile in questo portale è estremamente comodo e rientra perfettamente nell’ottica di un portale che accentra tutte le funzionalità necessarie allo svolgimento dell’attività di un MSP nello stesso portale.
Se si è un MSP, si comprende perfettamente come l’avere una soluzione centralizzata per la gestione dei propri tenant sia ormai molto più di una comodità, ma una vera e propria necessità se si desidera farli operare in ambienti sicuri e uniformati, senza perdere incredibili quantità di tempo e risorse per far quadrare tutto.
Microsoft 365 Lighthouse, dopo la sua controparte Azure Lighthouse (dedicata agli ambienti della piattaforma cloud del colosso di Redmond), si propone ai provider come la risposta ideale alle loro esigenze, fornendo mediante il suo portale tutte le funzioni di gestione e monitoraggio di cui un RMM dovrebbe disporre.
Con Lighthouse non sarà possibile soltanto standardizzare le configurazioni e gestire i rischi ma anche migliorare in maniera importante le interazioni e la gestione dei tenant dei propri clienti, permettendo di anticiparne le esigenze e far fruttare in maniera significativa il loro investimento in licenze Microsoft 365.
I costanti aggiornamenti del servizio da parte di Microsoft non faranno altro che espandere e migliorare le funzionalità della piattaforma nel prossimo futuro e il fatto che sia anche gratis non lascia più alcuna scusa per non provarlo e vedere se può soddisfare anche le vostre necessità e quelle dei vostri clienti. Che aspettare, dunque?
Microsoft 365 Lighthouse è una piattaforma gratuita offerta da Microsoft per i fornitori di servizi gestiti (MSP), pensata per semplificare la gestione della sicurezza e della conformità nei tenant Microsoft 365 dei clienti. Permette di monitorare, automatizzare e intervenire da un’unica interfaccia centralizzata, facilitando il lavoro degli MSP in ambienti multi-tenant.
È progettato specificamente per i Managed Service Provider che operano nel programma Cloud Solution Provider e che gestiscono clienti con licenze Microsoft 365 Business Premium o di livello superiore. La piattaforma è ideale per chi offre servizi a piccole e medie imprese e ha la necessità di monitorare più tenant contemporaneamente.
No, Microsoft 365 Lighthouse è gratuito per i partner Microsoft qualificati. Il suo utilizzo non comporta costi aggiuntivi, a condizione che i clienti finali utilizzino le licenze Microsoft 365 previste, come Business Premium, E3 o E5. L’accesso è incluso come parte della strategia di Microsoft per incentivare l’adozione delle proprie soluzioni tra le PMI.
Per utilizzare Lighthouse è necessario che l’MSP sia iscritto al programma CSP come rivenditore indiretto o partner con fatturazione diretta. I tenant dei clienti devono assegnare i privilegi di amministratore delegato (DAP o GDAP) e avere almeno una licenza compatibile. L’adozione di funzionalità avanzate come la gestione dei dispositivi, il monitoraggio delle minacce o l’analisi del rischio richiede anche Microsoft Defender Antivirus, Microsoft Endpoint Manager e Entra ID Premium P1. Se questi non sono presenti, Lighthouse funzionerà comunque ma con funzionalità limitate.
Non li sostituisce completamente, ma rappresenta una valida alternativa integrata nell’ecosistema Microsoft per chi preferisce non affidarsi a strumenti esterni. Consente un’esperienza simile a quella di un RMM per quanto riguarda la gestione di utenti, dispositivi e configurazioni di sicurezza.
Generalmente i dati iniziano ad apparire nel portale entro due ore dall’integrazione di un tenant, anche se Microsoft segnala che in alcuni casi potrebbero volerci fino a quarantotto ore.
Sì, per accedere a Lighthouse è richiesto che l’account Global Admin abbia abilitata la MFA. Questo requisito serve a garantire un accesso sicuro, considerando che la piattaforma consente la gestione diretta di più tenant.
Sì, è consigliabile configurare l’accesso condizionale in Azure AD per consentire l’uso della piattaforma solo da postazioni amministrative approvate, aumentando così la sicurezza delle operazioni effettuate dagli MSP.
Il portale include una homepage con riepilogo dei rischi, dispositivi, utenti e conformità; una sezione per la gestione utenti con strumenti per la MFA, la gestione licenze e il reset delle password; una dashboard per il monitoraggio delle minacce integrate con Microsoft Defender; un’area dispositivi sincronizzata con Endpoint Manager; una sezione per visualizzare e organizzare i tenant; strumenti per applicare baseline di sicurezza consigliate da Microsoft; e una vista centralizzata dello stato dei servizi Microsoft 365, come Teams o Exchange Online.
Il team Modern Work è specializzato nello sviluppo e nell'integrazione di soluzioni personalizzate all'interno dell'intero ecosistema Microsoft 365. Progettiamo applicazioni native per le piattaforme Microsoft e Azure e implementiamo processi aziendali pensati per massimizzare l'investimento in Microsoft 365.
