Guido ImperatoreTroubleshooting Endpoint DLP e Policy Sync
All’interno della Community ho parlato di Endpoint DLP, uno dei servizi di Microsoft Purview, di cui vi riporto il link qual ora vogliate approfondire la soluzione Microsoft Purview: Endpoint Data Loss Prevention (DLP) – ICT Power.
Questa soluzione consente di monitorare i dispositivi Windows 10, Windows 11 e macOS. Una volta che viene eseguito l’Onboarding di un dispositivo, DLP rileva quando gli elementi sensibili vengono rilevati, utilizzati e condivisi ed in questo modo si ottiene la totale visibilità e il controllo per garantire che questi dati vengano utilizzati e protetti correttamente per prevenire comportamenti rischiosi.
In questo articolo vorrei invece darvi evidenza di come poter determinare lo stato di configurazione e sincronizzazione delle Policy DLP per i dispositivi Windows e MacOS di cui è stato eseguito Onboarding in Microsoft Purview DLP.
Con questa funzionalità, rilasciata a Giugno 2026 da Microsoft, è inoltre possibile identificare e risolvere eventuali problemi relativi proprio alla configurazione e alla sincronizzazione delle Policy.
Troppe volte abbiamo creato Policy e atteso diverso tempo, senza sapere se la policy è stata correttamente applicata, con questa funzionalità possiamo verificare lo stato di propagazione direttamente con la funzionalità di Advanced Hunting, questo dimostra ancora una volta di come i diversi servizi Microsoft “collaborano” con estrema sinergia per andare incontro alle esigenze delle organizzazioni.
Quali sono i valori dello stato di sincronizzazione dei criteri DLP?
Lo stato di configurazione e lo stato di sincronizzazione dei criteri di tutti i dispositivi caricati in Endpoint DLP hanno tre possibili valori.
Il valore “Stato di Configurazione” indica se il dispositivo è configurato correttamente, se invia un segnale di heartbeat a Purview e l’ultima volta che la configurazione è stata convalidata.
Vi ricordo che per tutti i dispositivi Windows, la configurazione include anche il controllo relativo allo stato della componente Always-on Antivrus Enable and configure Microsoft Defender Antivirus always-on protection – Microsoft Defender for Endpoint | Microsoft Learn
Il valore “Stato di Sincronizzazione” indica se il dispositivo ha ricevuto la versione più recente delle policy o se esse sono state sincronizzate correttamente con il dispositivo.
Vi riporto inoltre anche una tabella che riassume il valore del campo con la descrizione specifica per Configurazione e Sincronizzazione:
| Valore del campo | Stato della configurazione | Stato di sincronizzazione dei criteri |
| Aggiornato | I parametri di integrità del dispositivo sono abilitati e impostati correttamente. Questo stato indica che la configurazione del dispositivo è aggiornata con le impostazioni consigliate. | Il dispositivo è aggiornato con le versioni correnti dei criteri. |
| Non aggiornato | Alcune impostazioni richiedono attenzione. Seguire i passaggi nel diagramma del flusso di lavoro per risolvere i problemi. Potrebbe essere necessario abilitare le impostazioni di configurazione per questo dispositivo. Seguire le procedure in Microsoft Defender protezione antivirus always-on | Questo dispositivo non è sincronizzato con gli aggiornamenti dei criteri più recenti. L’aggiornamento dello stato nell’elenco dei dispositivi potrebbe richiedere fino a 2 ore. Seguire i passaggi nel diagramma del flusso di lavoro per risolvere i problemi. |
| Non disponibile | Le proprietà del dispositivo non sono disponibili nell’elenco dei dispositivi. Questa condizione potrebbe essere dovuta al fatto che il dispositivo non soddisfa la versione minima del sistema operativo per fornire visibilità sulle proprietà o sulla configurazione o se il dispositivo è stato appena caricato. Seguire i passaggi nel flusso di lavoro per risolvere i problemi. | Le proprietà del dispositivo non sono disponibili nell’elenco dei dispositivi. Questa condizione potrebbe essere dovuta al fatto che il dispositivo non soddisfa la versione minima del sistema operativo per fornire visibilità sulle proprietà o sulla configurazione o se il dispositivo è stato appena caricato. Seguire i passaggi nel flusso di lavoro per risolvere i problemi.
Il sistema mostra Non disponibile se non sono presenti criteri di prevenzione della perdita dei dati degli endpoint. |
Una nota importante che Microsoft stessa dichiara: I dispositivi devono essere online per consentire l’aggiornamento dei criteri. Se lo stato non viene aggiornato, controllare l’ultima volta che il dispositivo è stato visualizzato online.
Dettaglio Attributi Device
Per mantenere l’integrità complessiva dei dispostivi in ottica DLP, determinare lo stato di configurazione e sincronizzazione delle policy e risolvere eventuali problemi rilevati.
Per comprenderli è necessario verificare gli attributi di un dispositivo di cui è stato eseguito l’onboarding, questo perché queste informazioni possono contenere dati utili a tenere traccia dell’integrità del dispositivo, a tal proposito vi riporto una tabella riassuntiva:
| Device attribute | Note |
| Last seen | L’ora più recente in cui il dispositivo è stato determinato come online. |
| Last policy sync time | Timestamp dell’istanza precedente quando il dispositivo ha scaricato le versioni più recenti dei criteri. |
| OS | Sistema operativo corrente. |
| Defender engine version | Versione del motore antivirus nel dispositivo. |
| Defender Mocamp version | Versione del motore antivirus nel dispositivo. |
| MDATP device ID | Versione del motore antivirus nel dispositivo. |
| Valid user | Indica se l’utente attualmente connesso ha un account ID Entra corrispondente e si trova nell’ambito di un criterio DLP destinato ai dispositivi. |
| Sensitive Data Activity | In questo modo viene visualizzata tutta l’attività dei dati sensibili per questo dispositivo negli ultimi 30 giorni. |
| Advanced classification bandwidth usage exceeded | Questo attributo indica se il limite di utilizzo della larghezza di banda per la classificazione avanzata è stato superato nelle ultime 24 ore. |
| Endpoint DLP status | Indica se la prevenzione della perdita dei dati dell’endpoint è abilitata o disabilitata per il dispositivo. |
Come accedere ai dati degli attributi del dispositivo con Advanced Hunting?
Oltre a visualizzare gli attributi all’interno del portale di Microsoft Purview, è possibile accedere agli stessi dati del dispositivo Endpoint DLP su larga scala, quindi quando gli Endpoint all’interno dell’organizzazione sono diversi centinaia o migliaia, usando la componente di Advanced Hunting.
In precedenza, era possibile ottenere i dati relativi agli attributi del dispositivo, solo ed esclusivamente tramite Export all’interno della pagina di Onboarding nel portale di Microsoft Purview.
Questo metodo però richiedeva l’esportazione manuale ogni volta che erano necessari dati aggiornati.
Usando ora Advanced Hunting è possibile:
- Eseguire query dei dati degli attributi degli endpoint usando KQL
- Recuperare informazioni aggiornate senza export manuali
- Analizzare lo stato del dispositivo all’interno dell’infrastruttura
- Integrare i dati dei dispositivi in delle dashboard personalizzate e/o piattaforma di terze parti
Vi spiegherò cosa è possibile fare nel dettaglio, e successivamente vi darò evidenza pratia di queste KQL all’interno del portale.
Nella colonna DlpInfo i campi corrispondono direttamente agli attributi del dispositivo descritti in precedenza. Questa corrispondenza consente di analizzare i problemi di configurazione e sincronizzazione dei criteri tra più dispositivi senza basarsi sugli export.
Usare quindi questi dati per:
- Identificare i dispositivi con configurazione non valide
- Rilevare i dispositivi non pronti per l’imposizione della prevenzione della perdita dei dati degli Endpoint
- Eseguire analisi su larga scala oltre a quelle offerte dall’interfaccia utente del portale
Flusso di lavoro per la risoluzione dei problemi di configurazione e sincronizzazione dei criteri
Vi riporto il diagramma che spiega il flusso per la verifica e la risoluzione dei problemi di configurazioni relativi al workload di Purview Endpoint DLP
Figura 1: Grafico per la risoluzione dei problemi legati ad Endpoint DLP
Per darvi evidenza di questa nuova funzionalità io utilizzerò un Tenant Microsoft 365 con delle Licenze Microsoft 365 E5, in cui risulterà configurata una policy di Endpoint DLP su un dispositivo Windows 11 chiamato aadj-guido
Figura 2: Licenze disponibili all’interno del tenant di Demo
Figura 3: Device di demo correttamente presente all’interno della console di Microsoft Purview
Figura 4: Policy DLP di test applicata al device di demo
Ora accediamo al portale di Microsoft Defender e andiamo nella sezione relativa ad Advanced Hunting ed eseguiamo questa KQL:
|
1 2 3 |
DeviceInfo | project DeviceName,DlpInfo |
Figura 5: Esecuzione della KQL per recepire i dati relativa a DlpInfo
Figura 6: Visibilità delle configurazioni e Sync di Endpoint DLP
Come possiamo verificare la policy creata non è ancora propagata infatti l’ultima Sync risale a diversi mesi fà, intanto che si propaga e per darvi evidenza della differenza vi spiego i singoli campi:
- IsDlpConfigurationValid: Indica se la configurazione dell’Endpoint DLP sul dispositivo è valida e correttamente applicata
- DlpPolicyLastModifiedTimeUTC: Timestamp (UTC) dell’ultima modifica della policy DLP sincronizzata sul dispositivo
- IsDlpEnabled: Indica se Endpoint Data Loss Prevention è abilitato sul dispositivo
- IsDefenderRealTimeProtectionEnabled: Indica se Microsoft Defender Antivirus Real-time Protection è abilitata
- IsDefenderBehaviorMonitoringEnabled: Indica se la funzionalità Behavior Monitoring di Microsoft Defender Antivirus è abilitata
- HasDlpACBandwidthExceeded: Indica il superamente della banda per la funzionalità DLP
- HasDlpValidUpn: Indica se l’utente autenticato dispone di un User Principal Name (UPN) valido ed è idoneo all’applicazione delle policy DLP
- DlpUpn: User Principal Name (UPN) associato all’utente utilizzato da Endpoint DLP per la valutazione delle policy
Ora ripeto l’esecuzione della KQL
Figura 7: KQL Eseguita dopo un’ora e vediamo che la data di Sync è cambiata
Questo significa che ora la policy DLP è propagato correttamente sull’Endpoint e non sono state riscontrati altri problemi in quanto tutti gli altri parametri sono configurati nel modo opportuno, la Policy Endpoint DLP configurata non permetta la stampa di documenti che contengono dati sensibili, specifico che tutti i dati presenti nel documento sono puramente di fantasia ed ogni riferimento a persone è puramente casuale
Figura 8: File che contiene dati sensibili in questo caso numeri di passaporto, codici fiscali ecc.
Ora proviamo a stampare il documento
Figura 9: Stampiamo il documento, che presenta già anche una Label identificativa
Figura 10: Stampiamo il documento in formato PDF
Figura 11: Endpoint DLP che ha eseguito correttamente il proprio lavoro
Conclusioni
Questa funzionalità secondo me ha un vantaggio non indifferente per la verifica di problemi di propagazione delle policy senza dover necessariamente esportare logs puntuali sugli Endpoint.
Soprattutto all’interno di organizzazioni che hanno diversi Endpoint da gestire una semplice KQL può permettervi in modo semplice di individuare il problema del perché la Policy non funziona, quando è stata sincronizzata l’ultima volta, riducendo di fatto il tempo di analisi delle problematiche.
Uno step in avanti per massimizzare il tempo a disposizione dei reparti IT, per identificare, correggere ed analizzare i problemi sulla propagazione delle policy Endpoint DLP.