Le licenze Microsoft 365 non vengono quasi mai controllate seriamente. Dopo dieci anni di audit su tenant di ogni dimensione, la situazione tipica è sempre la stessa: utenti con Business Premium che non usano Defender, account attivi di dipendenti che hanno lasciato l'azienda sei mesi fa, e organizzazioni che pagano per SharePoint ma coordinano i file ancora via email. Questa guida mostra dove guardare e cosa fare.
Business vs Enterprise: cosa cambia davvero
Microsoft 365 ha due famiglie principali di piani per le aziende: Business (max 300 utenti) e Enterprise (illimitato). La differenza non è solo la dimensione: i piani Enterprise includono funzionalità di governance, compliance e sicurezza che nei Business non esistono o sono limitate.
All'interno della famiglia Business, i tre piani principali sono:
- Business Basic (6 €/utente/mese): app web + Teams + Exchange + SharePoint. Nessuna app desktop. Adeguato per chi usa solo il browser e Teams.
- Business Standard (12,50 €/utente/mese): aggiunge le app desktop di Office (Word, Excel, PowerPoint, Outlook installati localmente). Il piano di riferimento per la maggior parte delle PMI.
- Business Premium (22 €/utente/mese): aggiunge Microsoft Defender for Business, Entra ID P1, Intune, Azure Information Protection. Il piano per chi prende la sicurezza sul serio.
Business Premium è un piano eccellente — ma solo se le funzionalità di sicurezza vengono effettivamente configurate. Un tenant con Business Premium e Conditional Access non attivo, Defender non onboarded e Intune non configurato sta pagando circa il doppio di Business Standard senza ottenere quasi nulla in più. Questo è il caso più frequente che troviamo: il piano è corretto, la configurazione è assente.
I servizi che pagate ma non usate
Ogni piano Microsoft 365 include decine di servizi. La maggior parte dei tenant ne usa cinque o sei. Gli altri vengono pagati ogni mese senza generare valore. I candidati più frequenti:
- Microsoft Teams Phone: incluso o acquistato come add-on, mai attivato perché l'azienda usa ancora un centralino fisico
- Viva Insights: analytics sul comportamento lavorativo, disabilitata per default ma presente nella licenza
- Microsoft Forms, Sway, Planner: strumenti attivi nel tenant ma non adottati — nessuno li ha mai introdotti ai dipendenti
- Power Apps / Power Automate (inclusi nei piani premium): funzionalità di automazione che richiedono configurazione e competenze che l'azienda non ha
- Defender for Business: presente in Business Premium, richiede un processo di onboarding manuale per ogni dispositivo — senza onboarding, non protegge nulla
Non stiamo dicendo che dobbiate usare tutto. Stiamo dicendo che se pagate Business Premium per la sicurezza ma Defender non è configurato, state pagando per una protezione che non esiste.
Come fare un audit del licensing in 20 minuti
L'audit del licensing si fa dall'interfaccia di amministrazione di Microsoft 365 (admin.microsoft.com). I report rilevanti sono tutti in Fatturazione → Licenze e Report → Utilizzo.
Step 1 — Mappa acquistato vs assegnato
In Fatturazione → Licenze si vede per ogni piano quante licenze sono acquistate e quante assegnate. Qualsiasi differenza tra i due numeri è denaro sprecato.
Connect-MgGraph -Scopes "Organization.Read.All","User.Read.All"
# Licenze acquistate vs assegnate per SKU
Get-MgSubscribedSku | Select-Object SkuPartNumber,
@{N='Acquistate';E={$_.PrepaidUnits.Enabled}},
@{N='Assegnate';E={$_.ConsumedUnits}},
@{N='Non usate';E={$_.PrepaidUnits.Enabled - $_.ConsumedUnits}}
Step 2 — Utenti con ultimo accesso remoto
In Report → Utilizzo → Attività utente, Microsoft 365 mostra per ogni utente l'ultima data di attività su ogni servizio (Exchange, Teams, SharePoint, OneDrive). Un utente che non ha avuto attività negli ultimi 90 giorni è un candidato per la revisione della licenza.
Step 3 — Account non associati a persone reali
Controllare se esistono account attivi con licenza assegnata che non corrispondono a dipendenti attuali. La fonte primaria è HR — confrontare la lista degli utenti M365 con la lista del personale attivo.
Licenze orfane: il problema più silenzioso
Una licenza orfana è una licenza assegnata a un account che non appartiene più a nessuno: un dipendente che ha lasciato l'azienda, un collaboratore a progetto terminato, un account di servizio dismesso. Il problema non è solo economico — è anche di sicurezza.
Un account attivo con una licenza M365 valida e una password non più monitorata è un vettore di attacco. Se le credenziali erano state condivise o riutilizzate su altri servizi, l'account può essere compromesso senza che nessuno se ne accorga.
Il processo corretto per gestire la fine di un rapporto di lavoro in M365 ha quattro fasi:
- Blocco immediato: disabilitare l'accesso all'account il giorno della fine del rapporto
- Trasferimento dati: esportare o trasferire mailbox e OneDrive ai sostituti o all'archivio
- Rimozione accessi: rimuovere dalle aree SharePoint, dai gruppi Teams, dai ruoli Entra ID
- Eliminazione e riassegnazione della licenza: eliminare l'account o tenerlo come shared mailbox (che non richiede licenza) e riassegnare la licenza a chi ne ha bisogno
Cosa il rivenditore non ha interesse a dirvi
Il modello di business dei rivenditori CSP (Cloud Solution Provider) si basa sulla differenza tra il prezzo che pagano a Microsoft e quello che fatturano al cliente. Il margine è fisso per piano, ma il volume è illimitato. Non hanno incentivi economici a suggerire downgrade o a segnalare licenze orfane.
Questo non significa che ogni rivenditore agisca in malafede — significa che l'ottimizzazione del licensing non è nel loro interesse primario. Alcuni lo fanno proattivamente perché costruiscono relazioni di lungo periodo. La maggior parte aspetta che siate voi a chiedere.
Le domande che raramente vengono poste spontaneamente dal rivenditore:
- Avete davvero bisogno di Business Premium o Business Standard coprirebbe tutto quello che usate?
- Ci sono account attivi di persone che non lavorano più da voi?
- State usando le funzionalità di sicurezza incluse nel piano che pagate?
- I vostri utenti guest hanno licenze a pagamento invece di essere configurati correttamente come guest gratuiti?
Come ottimizzare senza perdere funzionalità
L'ottimizzazione del licensing non significa sempre spendere meno. Significa spendere nel modo giusto. In alcuni casi l'ottimizzazione porta a un risparmio; in altri porta a upgrade mirati su un sottoinsieme di utenti che hanno effettivamente bisogno di funzionalità premium.
Il framework che usiamo durante gli audit:
- Segmentare per ruolo: non tutti gli utenti hanno le stesse esigenze. I manager possono aver bisogno di Business Premium; la reception può andare benissimo con Business Basic
- Usare le shared mailbox: per caselle di posta condivise (info@, support@, contabilità@) non serve una licenza a pagamento — le shared mailbox sono gratuite fino a 50 GB
- Verificare i guest: gli utenti guest (collaboratori esterni, clienti) non dovrebbero avere licenze a pagamento assegnate se accedono solo a Teams e SharePoint — Entra ID gestisce l'accesso guest gratuitamente fino a un certo limite
- Non acquistare add-on inutili: Teams Phone, Project, Visio — se non vengono usati, non vengono rinnovati al ciclo successivo
Domande frequenti
Qual è la differenza tra Microsoft 365 Business Basic e Business Standard?
Business Basic (€6,50/utente/mese) include versioni web e mobile di Office, Exchange, Teams e SharePoint ma non le app desktop. Business Standard (€13,20/utente/mese) aggiunge le app desktop complete (Word, Excel, PowerPoint, Outlook installabili su PC e Mac). Per chi lavora offline, usa macro Excel avanzate o presenta in PowerPoint, Standard è necessario.
Si possono mescolare più piani di licenza nello stesso tenant M365?
Sì. È comune assegnare licenze diverse a utenti diversi nello stesso tenant: ad esempio Business Premium per gli amministratori (per le policy di sicurezza avanzate) e Business Standard per gli operativi. Le licenze si assegnano per singolo utente dall'interfaccia Microsoft 365 Admin Center.
Cosa succede ai dati se non rinnoviamo le licenze Microsoft 365?
Microsoft mantiene il tenant in stato 'disabilitato' per 30 giorni, durante i quali i dati sono accessibili solo per export. Dopo 30 giorni il tenant entra in 'deprovisioning' con altri 90 giorni per recuperare i dati. Superati 120 giorni totali, tutti i dati vengono eliminati definitivamente e senza possibilità di recupero.