Guido ImperatoreMicrosoft Purview: Priority Cleanup (Preview)
Ho parlato all’interno della community della funzionalità di Microsoft Purview Data LifeCycle Management per darvi evidenza di come poter sfruttare questa funzionalità di casa Redmond, vi riporto anche il link dell’articolo qual ora vogliate approfondire Microsoft Purview: Data Lifecycle Management – ICT Power
In questo articolo invece vorrei parlavi della funzionalità di Priority Cleanup senza di Data Lifecycle Management che attualmente è ancora in Preview.
Utilizzare la funzionalità di Priority Cleanup vi permette di “accelerare” l’eliminazione permanente di contenuto sensibile dalle cassette postali di Exchange Online, eseguendo l’override di eventuali impostazioni di conservazione esistenti o blocchi di eDiscovery. Questo processo può essere implementato per la sicurezza o la privacy in risposta ad un Incident o per la conformità ad alcuni requisiti normativi.
Poiché l’eliminazione del contenuto mediante questa funzionalità è irreversibile e può sostituire i blocchi esistenti, il processo richiede più approvazioni e ruoli specifici. Sostanzialmente questa funzionalità utilizza della Label Automatizzate “Dietro le quinte”.
Vi sono però alcune importanti eccezioni in merito a questa funzionalità:
- Non è possibile utilizzare questa funzionalità quando gli elementi sono contrassegnati con la funzionalità di Record Management Records management for documents and emails in Microsoft 365 | Microsoft Learn
- Se ad un elemento identificato da Priority Cleanup è applicata un’etichetta di conservazione. È necessaria l’approvazione di un amministratore della gestione della conservazione oltre all’amministratore di Priority Cleanup
- Se gli elementi approvati per l’eliminazione permanente fanno parte di un set di revisione di eDiscovery, non verranno eliminati fino alla chiusura del caso di eDiscovery.
Prerequisiti
Prima di procedere ad implementare questa funzionalità, dovrete verificare di rispecchiare tutti i prerequisiti, che includono autorizzazioni e responsabili di approvazione.
A causa delle misure di sicurezza predefinite, la funzionalità stessa è abilitata per impostazione predefinita a livello di Tenant. Tuttavia, può essere disattivata nella pagina delle impostazioni di Data Lifecycle Management.
E’ inoltre fondamentale ricordarvi che la cassetta postale deve avere almeno 10MB di dati per supportare questa funzionalità.
Per quanto riguarda le licenze è necessario possedere almeno una di queste licenze o add-on che includano la funzionalità di Data Lifecycle Management:
- Office 365 E5 Office 365 E5 | M365 Maps
- Microsoft 365 E5 Microsoft 365 E5 | M365 Maps
Se volete approfondire le licenze per le funzionalità di Data Lifecycle Management vi fornisco il link dell’articolo scritto per la community che descrive in modo molto dettagliato i piani licenze di questa funzionalità di Microsoft Purview Microsoft Purview: Data Lifecycle Management – ICT Power
Ruoli
Per poter accedere e gestire correttamente Priority Cleanup dal portale di Microsoft Purview gli utenti devono avere il ruolo di “Priority Cleanup Admin”, questo specifico ruolo permette di gestire le policy e disabilitare o abilitare la funzionalità ed eventualmente approvare il processo iniziale. Questo ruolo è assegnato di Default a Organization Management.
In alternativa vi è anche il ruolo “Priority Cleanup Viewer” che permette di avere visibilità della policy e dei “settings” senza la possibilità di eseguire modifiche.
Esistono anche i ruoli “Content Explorer List Viewer” e “Content Explorer Content Viewer” che permettono di visualizzare il contenuto ed i dettagli nella modalità di simulazione e approvazione.
Approvatori dei Criteri
Per evitare eliminazioni accidentali o dannose, ogni elemento soggetto a questa funzionalità richiede sempre l’approvazione dell’eliminazione definitiva da parte di almeno un’altra persona, oltre alla persona che ha creato il criterio.
Gli approvatori devono essere singoli utenti, i gruppi di sicurezza abilitata alla posta elettronica al momento non risultano essere supportati.
- L’approvazione dell’amministratore per Priority Cleanup è necessario per tutti i criteri
- Se un elemento è soggetto anche alle impostazioi di conservazione da un’etichetta di conservazione o da criteri di conservazione, è necessaria anche l’approvazione del responsabile
- Se un elemento è soggetto anche a uno o più blocchi di eDiscovery, è necessaria anche l’approvazione dell’amministratore di eDiscovery
Requisiti del ruolo da approvatore
Prima di poter creare il criterio è necessario che al responsabile dell’approvazione vengano assegnati i ruoli corretti, che per comodità vi riporto nella tabella sottostante.
| Recensore | Ruoli richiesti |
| Priority cleanup admins | – Amministratore della pulizia prioritaria- Visualizzatore di contenuti di classificazione dei dati- Visualizzatore dell’elenco di classificazione dei dati- Gestione delle disposizioni |
| Retentions Manager | – Gestione della conservazione- Visualizzatore di contenuti per la classificazione dei dati- Visualizzatore dell’elenco di classificazione dei dati- Gestione della disposizione |
| eDiscovery Admin | – Ricerca ed eliminazione – Blocco – Revisione- Visualizzatore di contenuti di classificazione dei dati- Visualizzatore |
Limitazioni di Priority Cleanup
Di seguito vi riporto le limitazioni di questa funzionalità
- Applicabile solo agli elementi nella cassette postali di Exchange per utenti e gruppi
- Per le KQL, alcune propietà e condizioni supportato da eDiscovery non sono supportato, come “SenderAuthor”,”SubjectTitle”.
- In modalità simulazione i criteri di pulizia prioritaria potrebbero mostrare in modo errato gli elementi di posta elettronica contrassegnati come record e record normativi.
- Se un responsabile non accetta di eliminare definitivamente un elemento deve assegnare un’etichetta esistenza
- Sebbene sia possibile eliminare un criterio di Priority Cleanup, se il processo di approvazione è completo, gli elementi potrebbero comunque essere eliminati definitivamente
Svolgimento
Per darvi evidenza di questa funzionalità utilizzerò un tenant Microsoft 365 con delle licenze Microsoft 365 E5 ed una mailbox in cui eseguire Priority Cleanup dell’utente “Demo User”
Figura 1: Tenant Microsoft 365 con all’interno le licenze Microsoft 365 E5
Figura 2: Contenuto cassetta postale Demo User
Figura 3: Cassetta postale Demo User che rispecchia i requirements di dimensione minima di 10MB per attivare la funzionalità
Ora il primo passaggio che dovrete eseguire è quello di recarvi all’interno del portale di Microsoft Purview
Figura 4: Accesso al portale di Microsoft Purview per implementare la funzionalità
Figura 5: Accediamo alla funzionalità di Lifecycle Management per attivare la funzionalità descritta in precedenza
Figura 6: Sezione relativa a Priority Cleanup che ci permetterà di eseguire la configurazione della funzionalità
Figura 7: Eseguiamo la creazione della policy di Priority Cleanup
Figura 8: Scegliete un nome ed una descrizione della policy “parlante” per una corretta identificazione nel futuro di quella policy
Figura 9: Scegliamo di selezionare in modo manuale la mailbox e clicchiamo su Next per proseguire con la configurazione
Figura 10: Selezioniamo Edit per applicare la policy solo agli utenti interessati nel mio caso Demo User
Figura 11: Selezioniamo gli utenti a cui applicare la policy e proseguiamo con la configurazione
Figura 12: Scriviamo la KQL specifica per la ricerca del contenuto, nel mio caso tutte le email che provengono dal mio account gmail.com
Figura 13: Seleziono di cancellare gli Item appena possibile
Figura 14: Selezioniamo un Priority Cleanup Admin, un Retention Managers e un eDiscovery Admins
Figura 15: Io scelgo di attivare subito la Policy, ma il consiglio è quella di attivare in “Simulation” per verificare i risultati prima di renderla attiva
Figura 16: Review delle configurazione fatta e submit e attivazione della policy
Figura 17: Errore durante il salvataggio, mancano i ruoli a Soc TechCloud
Ora procediamo ad assegnare i ruoli di Data Classification Content Viewer e Data Classification List Viewer a Soc TechCloud
Figura 18: Creiamo il ruolo per il nostro utente come da Requirements
Figura 19: Scegliere un nome ed una descrizione per il ruolo
Figura 20: Selezioniamo i due ruoli che il sistema ci richiede e proseguiamo con la configurazione
Figura 21: Assegniamo questi ruoli all’utente che li necessita, nel mio caso Soc TechCloud ma potete aggiungere gli utenti su cui vi viene fornito l’errore
Figura 22: Review e Assegnazione dei ruoli
Ora attendete la propagazione dei ruoli, nel mio caso ci sono voluti all’incirca 15 minuti e successivamente provate a salvare la policy.
Figura 23: Dopo l’assegnazione dei permessi la policy è creata in modo corretto
Cosa accade lato utente a cui viene applicata la policy ?
Per darvi evidenza di ciò accederò all’utente Demo User attraverso l’interfaccia di Exchange Online, viene applicata una label in automatico con il nome della policy di Cleanup applicata con la “scadenza” dell’oggetto che verrà rimosso in via definitiva
Figura 24: Label applicata alla mail che verrà rimossa alla data indicata e come indicato all’interno della policy di Cleanup
Conclusioni
Come avete potuto notare questa funzionalità anche se attualmente in Preview potrebbe aiutarvi in modo considerevole in ottica Compliance dei vostri dati.
Pensate a determinati contenuti sensibili, distribuiti all’interno delle mailbox dei vostri utenti che potete eliminare per un discorso di compliance con una policy che esegue discovery del contenuto e cancellazione automatica, uno strumento veramente molto utile che però richiede un’attenzione particolare in quanto una volta eliminato il contenuto non è più recuperabile.
Non vedo l’ora che questa funzionalità esca della preview perché Microsoft stà facendo passi sempre più ampi per dare il meglio della Security e della compliance dei dati alle vostre organizzazioni.