In questa guida andremo a vedere come creare una policy di Data Loss Prevention (DLP) all’interno del portale di Microsoft 365, utilizzando Microsoft Purview.
Per procedere alla creazione di una policy di Data Loss Prevention nel portale di Microsoft 365, è necessario seguire questi passaggi:
-
Andare nel portale https://purview.microsoft.com con un’utenza avente i permessi amministrativi.
-
Andare sulla voce Soluzioni.

-
Selezionare il menu Data Loss Prevention o Prevenzione della perdita dei dati.

Nota Importante
Se hai già utilizzato questa funzionalità, vedrai già sulla sinistra della home page del portale di Purview il servizio disponibile, come mostrato nell’immagine di seguito.
- Selezionare la voce Policy o Criteri.

- Qui selezionare + Crea criterio.

-
A questo punto scegliere che tipo di policy si vuole creare:
-
Applicazioni e dispositivi aziendali (Soluzione quasi sempre consigliata per l’implementazione) Questa impostazione permette di applicare la policy a tutti i servizi gestiti all’interno del mondo di Microsoft 365
-
Traffico Web inline questa impostazione permette di analizzare e controllare il traffico web dei nostri device verso applicazioni e servizi cloud supportati.

-
-
Verrà quindi richiesto di selezionare un template di dati sensibili al quale la policy scatterà in caso di match. Microsoft ha infatti messo a disposizione differenti modelli per l’analisi e il blocco della condivisione di dati sensibili riconosciuti a livello globale, come ad esempio quelli relativi al GDPR.

Qualora nessun modello facesse al caso nostro, è possibile partire da un modello personalizzato, che sarà vuoto e totalmente configurabile.

-
Una volta selezionato il template, verrà richiesto di scegliere il nome della nostra policy e di inserire una descrizione, che sarà visibile solo all’amministratore.

Nota Importante
Attenzione, perché in alcuni casi e su alcuni tenant la modifica del nome non sarà più possibile. In altri casi, non meglio identificati, sarà invece consentito effettuare il cambio.
-
A questo punto verrà richiesto di selezionare un Admin Unit.
Questa è una funzionalità coperta dalla licenza Microsoft Entra ID P1; qualora non conosciate questa tecnologia ho preparato un articolo che spiega in dettaglio il suo funzionamento.Guarda l’articolo qui

-
Dopodiché bisognerà scegliere a quale servizio applicare la nostra policy.
Di seguito è riportata la lista dei servizi coperti (La disponibilità di alcune destinazioni dipende dalle licenze attive nel tenant):
- Exchange Online
- OneDrive
- SharePoint
- Teams (chat e messaggi nei canali)
- Dispositivi
- Istanze
- Contenitori on-prem
- Fabric e Power BI
- Microsoft 365 Copilot e Copilot Chat
- Applicazioni cloud gestite
Nota Importante
Consiglio sempre la creazione di una policy per servizio. A seconda dei servizi che si vogliono proteggere sono infatti disponibili differenti configurazioni. Una policy applicata a più servizi potrebbe non permettere alcune configurazioni che sarebbero invece possibili se applicata a un singolo servizio.

- Una volta selezionati i servizi a cui applicare la policy, sarà possibile scegliere gruppi o utenti specifici cliccando sulla voce “Edit” sulla destra del servizio selezionato. Questo approccio consente una configurazione completamente granulare, permettendo di applicare la policy inizialmente a un ambiente ristretto, senza coinvolgere l’intero tenant.

-
A questo punto bisognerà procedere alla creazione o modifica del criterio della policy.
Se si fosse partiti da un modello predefinito, sarà possibile svolgere la modifica delle regole di default presenti nel modello; altrimenti, se si volesse utilizzare un modello personalizzato e quindi vuoto, vi sarebbe la necessità di creare il criterio.

Questo criterio rappresenta il cuore della DLP, in quanto definisce quali dati sensibili controllare e quali condizioni devono essere soddisfatte per far scattare una specifica azione.
In questa fase andremo a configurare:
- Le informazioni da proteggere, identificando la quantità nella quale vengono rilevate in maniera univoca
- Altre condizioni relative ai dati sensibili, ad esempio:
- condivisi con
- presenza o meno di un’etichetta
- peso del file
- dominio di destinazione dell’email
- Le azioni da applicare qualora venga rilevata la regola
- L’invio delle notifiche in fase di rilevamento:
- all’utenza
- all’admin
- La possibilità di applicare l’override da parte dell’utente (funzionalità opzionale), inserendo una giustificazione
- La creazione di un incidente all’interno del tenant

Nota Importante
Dato che questo passaggio è fondamentale per la configurazione di una policy DLP utile e ben strutturata, in questa guida affronto nel dettaglio la creazione di un criterio all’interno di una policy DLP.
Guarda la guida qui
- All’interno di una policy di Data Loss Prevention è possibile creare più regole per ottenere differenti livelli di protezione, ad esempio distinguendo tra basse e grandi quantità di dati condivisi verso l’esterno. Pertanto una volta creata la prima regola possiamo sbizzarrirci a creare le altre che sono necessarie per il nostro ambiente

-
A questo punto sarà possibile scegliere in che modalità eseguire la policy:
- Policy spenta, che non esegue alcuna azione
- Policy attiva
- Policy in simulazione: questa funziona come se fosse attiva, ma senza applicare blocchi. Con questa configurazione la nostra policy genera log che l’amministratore potrà analizzare per verificare che la configurazione sia corretta
Durante la simulazione, se lo si desidera, è possibile notificare le utenze, senza ovviamente applicare alcun blocco, per fornire un primo livello di training.
È inoltre possibile attivare automaticamente la policy dopo 15 giorni di simulazione: questa è una pratica che sconsiglio fortemente.

- Proseguendo, si arriverà alla schermata di riepilogo della creazione della policy.

- Cliccando su Invia, la policy verrà creata e dopo circa 15–30 minuti risulterà attiva per i servizi cloud come Exchange Online, OneDrive, SharePoint e Teams.
Per gli altri servizi, la propagazione richiede tempi più lunghi.

Per approfondire quanto spiegato in questa guida, puoi guardare il mio video su YouTube, dove illustro e racconto tutti i concetti sopra descritti.
Guarda il video qui
