• Cloud, Guide, Microsoft 365, Sicurezza
• 12 Gennaio 2026

Communication Compliance in Microsoft Purview fornisce gli strumenti per aiutare le organizzazioni a rilevare la conformità delle normative e violazioni di comportamento aziendale come informazioni sensibili o riservate, linguaggio molesto o “minaccioso” e condivisione di contenuti per adulti.

La conformità alla comunicazione viene creata con la privacy in base alla progettazione.

Questa soluzione fa parte di “Insider Risk Management” e consente di ridurre al minimo i rischi di comunicazione consentendo di rilevare, acquisire e agire su messaggi potenzialmente inappropriati nell’organizzazione. Qual ora vogliate approfondire Insider Risk Management vi rimango all’articolo della community Microsoft Purview: Insider Risk Management – ICT Power.

I criteri predefiniti e personalizzati consentono di controllare le comunicazioni interne ed esterne per individuare le corrispondenze dei criteri in modo che i revisori designati possano poi esaminarle.

I revisori possono analizzare la posta elettronica, Microsoft Teams, Microsoft 365 Copilot e Microsoft 365 Copilot Chat, Viva Engage o comunicazioni di terze parti nell’organizzazione e intraprendere le azioni appropriate per assicurarsi che siano confermi agli standard dei messaggi dell’organizzazione.

I criteri di Conformità delle comunicazioni in Microsoft 365 consentono di superare molte sfide moderne associate alla conformità e alle comunicazioni interne ed esterne, tra cui:

• Controllo dei tipi crescenti di canali di comunicazione
• L’aumento del volume dei dati dei messaggi
• L’applicazione delle normative e il rischio di subire sanzioni

Inoltre, potrebbe esserci una separazione di compiti tra gli amministratori IT e il team Legal / Compliance.

Questa funzionalità supporta la separazione tra la configurazione dei criteri e l’analisi e la revisione dei messaggi. Ad esempio, il gruppo IT potrebbe essere responsabile della configurazione delle autorizzazioni, dei gruppi e dei criteri del ruolo, mentre i revisori potrebbero essere responsabili delle azioni di valutazione, revisione e mitigazione.

Questa funzionalità è disponibile per i Tenant che sono presenti all’interno della country presenti all’interno della documentazione ufficiale Azure dependency availability by country/region – Azure | Microsoft Learn

Scenari per Communication Compliance

La funzionalità di Communication Compliance consente di esaminare i messaggi nell’organizzazione per diverse aree di conformità:

Criteri Aziendali

Gli utenti devono rispettare l’uso accettabile, gli standard etici e altri criteri aziendali in tutte le comunicazioni aziendali. Questa funzionalità può rilevare le corrispondenze dei criteri e consentono di intraprendere azieoni correttive per attenuare questi tipi di eventi imprevisti.

Ad esempio, è possibile controllare le comunicazioni degli utenti nell’organizzazione per individuare problemi relativi alle risorse umane.

Gestione del Rischio

Le organizzazioni sono responsabili di tutte le comunicazioni distribuite nell’infrastruttura e nei sistemi di rete aziendali. Usando questa funzionalità per identificare e gestire potenziali rischi ad esposizione legale, è possibile ridurre al minimo i rischi prima che danneggino le operazioni aziendali. Ad esempio, è possibile controllare i messaggi nell’organizzazioni per le comunicazioni non autorizzate e i conflitti di interesse relativi a progetti riservati.

Conformità alle normative

La maggior parte delle organizzazioni deve rispettare alcuni tipi di standard di conformità alle normative come parte delle normali procedure operative. Queste normative spesso richiedono alle organizzazioni di implementare un tipo di processo di ambito o supervisione per la messagistica appropriato per il proprio settore. Ad esempio, la regola 3110 dell’autorità di regolamentazione del settore finanziario (FINRA) è un buon esempio di requisito per le organizzazioni di disporre di procedure per controllare le comunicazioni degli utenti e i tipi di attività in cui operano.

Un altro esempio potrebbe essere la necessità di esaminare le comunicazioni broker e dealer nell’organizzazione per proteggersi da potenziali attività di Insider Trading, complicità e/o corruzione.

Flusso di Lavoro

Figura 1: Flusso di lavoro di Microsoft Purview Communication Compliance

I flussi di correzione consentono di identificare e intervenire rapidamente sui messaggi con corrispondenze di criteri nell’organizzazione. Le nuove funzionalità aumentano l’efficienza per attività di indagine e correzione:

• Flusso di lavoro di correzione flessibile: il nuovo flusso di lavoro di correzione consente di intervenire rapidamente sulle corrispondenze dei criteri. Le nuove opzioni consentono di inoltrare i messaggi ad altri revisori e inviare notifiche tramite posta elettronica agli utenti con corrispondenze di criteri.
• Corrispondenza dei criteri di conversazione: i messaggi nelle conversazioni vengono raggruppati in base ai criteri per offrire maggiore visibilità sul modo in cui le conversazioni sono correlate ai criteri di comunicazione.
• Evidenziazione delle parole chiave: i termini che corrispondono alle condizioni dei criteri vengono evidenziati nella visualizzazione testo del messaggio per consentire ai revisori di analizzare e correggere rapidamente gli avvisi dei criteri.
• Riconoscimento ottico dei caratteri (OCR): è possibile controllare, rilevare e analizzare testo stampato e scritto a mano all’interno di immagini incorporate o collegate a messaggi di posta elettronica o chat di Microsoft Teams.
• Nuovi filtri: è possibile analizzare e correggere più rapidamente gli avvisi dei criteri con i filtri dei messaggi per diversi campi, tra cui mittente, destinatario, data, domini e molti altri.
• Visualizzazioni dei messaggi migliorate: le azioni di indagine e correzione sono ora più veloci con le nuove visualizzazioni origine messaggi e testo. È ora possibile visualizzare gli allegati dei messaggi per fornire un contesto completo durante l’esecuzione di azioni correttive.
• Cronologia utente: una visualizzazione cronologica di tutte le attività di correzione dei messaggi utente, ad esempio le notifiche precedenti e le escalation per le corrispondenze dei criteri, offre ora ai revisori un contesto più in più durante il processo del flusso di lavoro di correzione. Le istanze per la prima volta o ripetute delle corrispondenze dei criteri per gli utenti sono ora archiviate e facilmente visualizzabili.
• Notifica rilevata dal modello: molte azioni di molestia e bullismo avvengono nel tempo e coinvolgono istanze ricorrenti dello stesso comportamento da parte di un utente. La notifica rilevata dal modello visualizzata nei dettagli dell’avviso consente di prestare attenzione a questi avvisi e a questo tipo di comportamento.
• Traduzione: è possibile analizzare rapidamente i dettagli dei messaggi in otto lingue usando il supporto della traduzione nel flusso di lavoro di correzione. I messaggi in altre lingue vengono convertiti automaticamente nella lingua di visualizzazione del revisore.
• Rilevamento degli allegati: è possibile controllare, rilevare e analizzare il contenuto collegato da OneDrive e Microsoft Teams che corrispondono ai classificatori e alle condizioni dei criteri per i messaggi di Microsoft Teams. Il contenuto degli allegati viene estratto automaticamente in un file di testo per una revisione e un’azione dettagliate.
• Riepilogare il contenuto dei messaggi per le corrispondenze dei criteri: consente ai revisori di risparmiare tempo usando Microsoft Copilot in Microsoft Purview per riepilogare i lunghi messaggi di Teams, posta elettronica o Viva Engage.

I Pillar fondamentali per implementare questa funzionalità e definire il flusso sono:

• Configurazione
  
• Investigare
  
• Correggere
  
• Mantenere
  

Integrazione con i servizi di Microsoft 365

I criteri di conformità delle comunicazioni controllano, rilevano e acquisiscono messaggi in diversi canali di comunicazione per consentire di esaminare e correggere rapidamente i problemi di conformità:

• Intelligenza artificiale generativa: usare i criteri di conformità delle comunicazioni per analizzare le interazioni (richieste e risposte) immesse in applicazioni di intelligenza artificiale generative per rilevare interazioni inappropriate o rischiose o condividere informazioni riservate. La copertura è supportata per Microsoft 365 Copilot, copilot compilati con Microsoft Copilot Studio.
• Microsoft Teams: supporta le comunicazioni di chat per i canali pubblici e privati di Microsoft Teams e le singole chat. È anche possibile rilevare le comunicazioni incluse nelle trascrizioni delle riunioni (anteprima). È necessario aggiungere manualmente singoli utenti, gruppi di distribuzione o canali di Microsoft Teams specifici quando si selezionano utenti e gruppi a cui applicare i criteri di conformità delle comunicazioni. Gli utenti di Teams possono anche segnalare automaticamente messaggi potenzialmente inappropriati in canali e chat privati e di gruppo per la revisione e la correzione.
• Exchange Online: tutte le cassette postali ospitate in Exchange Online nell’organizzazione di Microsoft 365 sono idonee per le analisi. I messaggi di posta elettronica e gli allegati corrispondenti alle condizioni dei criteri di conformità delle comunicazioni sono immediatamente disponibili per l’analisi e nei report di conformità.
• Microsoft 365 Copilot e Microsoft 365 Copilot Chat: i criteri di conformità delle comunicazioni rilevano le interazioni (richieste e risposte) immesse dagli utenti in Copilot.
• Viva Engage: i criteri di conformità delle comunicazioni supportano i messaggi privati e le conversazioni pubbliche della community in Viva Engage.
• Origini di terze parti: è possibile controllare i messaggi provenienti da origini di terze parti per i dati importati nelle cassette postali nell’organizzazione di Microsoft 365.

Licenze

Per poter utilizzare questa funzionalità è necessario essere in possesso di una delle seguenti licenze:

• Microsoft Purview Suite
• Office 365 Enterprise E3 with Advanced Compliance add-on
• Office 365 Enterprise E5
• Microsoft 365 E5

Come sempre per le licenze vi rimando al sito Home | M365 Maps dove Aaron Dinnage ha fatto come sempre un ottimo lavoro.

Ruoli

Dobbiamo suddividere i ruoli in base alle persone che devono poter utilizzare la funzionalità, per quanto riguarda gli amministratori che devono poter creare le policy e vedere la funzionalità all’interno del portale di Microsoft Purview sono necessari uno dei seguenti ruoli:

• Microsoft Entra ID Global Administrator
• Microsoft Entra ID Compliance Administrator
• Microsoft Purview Portal Organization Management
• Microsoft Purview Portal Compliance Administrator
• Communication Compliance Role
• Communication Compliance Admins Role

Vi riporto anche la tabella ufficiale per la scelta dei ruoli in base a cosa gli utenti Admin devono poter fare

I Revisori invece devono avere una cassetta posta di Exchange Online ed uno dei seguenti ruoli:

• Communication Compliance Analyst
• Communication Compliance Investigators

Per darvi evidenza di questa funzionalità i miei utenti saranno tre:

• Guido: utente amministratore per abilitare la funzionalità con ruolo di Global Admin
• Revisore ICTPOWER: utente a cui assegneremo il ruolo per essere appunto revisore
• Utente ICTPOWER: utente di ambito oggetto della demo a cui applicheremo le policy

Figura 2: Utenti oggetto della Demo

Figura 3: Licenze utilizzate per la Demo, Microsoft 365 E5 che sono assegnate agli utenti

Prima di iniziare però l’implementazione di questa funzionalità è importante identificare gli Stakeholder dell’organizzazione per collaborare all’esecuzione di azioni sugli avvisi di conformità, di seguito vengono riportati i reparti aziendali “impattati” dall’implementazione:

• Reparto IT
• Conformità
• Privacy
• Sicurezza
• Risorse Umane
• Legal

Una volta che avete definito tutto potete procedere alla configurazione dell’ambiente, di seguito vi riporto lo scenario di demo che spiegherò come implementare:

“Gli amministratori IT e gli specialisti della conformità di ICTPOWER partecipano ai webinar online sulle soluzioni di conformità in Microsoft Purview e decidono che i criteri di conformità delle comunicazioni possono aiutarli a soddisfare i requisiti dei criteri aziendali aggiornati per ridurre le molestie sul posto di lavoro. Collaborando, sviluppano un piano per creare e abilitare criteri di conformità delle comunicazioni per rilevare messaggi potenzialmente inappropriati. Per la demo, questa configurazione include il rilevamento del testo per le chat e i messaggi privati inviati in Microsoft Teams e per i messaggi di posta elettronica inviati in Exchange Online.”

Identifichiamo i seguenti utenti in base al ruolo:

l piano include l’identificazione dei seguenti elementi:

• Amministratori IT che devono accedere alle funzionalità di conformità delle comunicazioni.
• Specialisti della conformità che devono creare e gestire i criteri di conformità delle comunicazioni.
• Specialisti della conformità e altri colleghi di altri reparti (risorse umane, legali e così via) che devono analizzare e correggere gli avvisi di conformità delle comunicazioni.
• Gli utenti che sono inclusi nell’ambito dei criteri di testo di Conformità delle comunicazioni potenzialmente inappropriati.

Ora accediamo al potale di Microsoft Purview con un amministratore IT nel mio caso con ruolo di Global Admin, con cui procederò ad assegnare il ruolo al revisore, che nel mio caso è l’utente REVISORE ICTPOWER visto in precedenza

Figura 4: Ruolo Communication Compliance Investigator da assegnare all’utente revisore

Figura 5: Edit del ruolo per inserire l’utente

Figura 6: Procediamo a scegliere l’utente da assegnare al ruolo

Figura 7: Utente assegnato al ruolo e proseguiamo con la configurazione

Figura 8: Review e salvataggio della configurazione

Ora dovrete procedere a creare un gruppo che includa gli utenti a cui applicare i criteri, recatevi quindi all’interno di Microsoft 365 Admin Center

Figura 9: Creazione gruppo che includa gli utenti, nel mio caso aggiungerò tutti quelli dell’organizzazione

Figura 10: Scegliamo nome e descrizione parlante e proseguiamo con la configurazione

Figura 11: Scegliamo un Owner del gruppo e proseguiamo con la configurazione

Figura 12: Scegliamo tutti i membri del gruppo

Figura 13: Assegniamo una mail al gruppo e proseguiamo con la configurazione

Figura 14: Creazione del gruppo in via definitiva

Ora con il Global Admin ritorno all’interno del portale di Microsoft Purview

Figura 15: Portale di Microsoft Purview sezione Communication Compliance

Figura 16: Creiamo una Policy per ricerca di testo inappropriato

Figura 17: Scegliamo un nome della policy, a chi applicarla nel mio caso agli utenti del gruppo creato, scegliamo revisore e procediamo a personalizzare la policy

Figura 18: Inseriamo una descrizione per la policy

Figura 19: Nel mio caso non modifico nulla di questa parte, ma potremmo escludere utenti dalla policy

Figura 20: Nel mio caso scelgo di applicare la policy solo a Teams e Exchange Online, ma ho la possibilità di applicare la policy anche a comunicazioni attraverso Software di AI generativa e Viva Engage

Figura 21: Scegliamo i Trainable Classifiers per la ricerca di contenuto, eventualmente è possibile abilitare OCR (previa configurazione), possiamo configurare la “Review Pecentage”, nel mio lascio configurazione Standard, modificabile in base all’esigenza

Figura 22: Con la percentuale al 100 % il sistema ci avvisa che potrebbero esserci molti alert, nel mio caso essendo una demo va bene, voi taratelo in base al numero di alert che vengono generati

Figura 23:Policy creata ed in attesa di attivazione

Nel mio caso la policy è passata dallo stato “Activating” allo stato “Active” in circa un paio di ore.

Figura 24: Policy che è passata in stato di active

Ora simuleremo l’invio di email e messaggi Teams contenenti termini di testo inappropriato e vi darò evidenza di come monitorare queste informazioni

Figura 25: Utente che scrive testo non consentito ad un altro utente interno via email

Figura 26: Inviamo anche un messaggio Microsoft Teams contenente frasi inappropriate

Intanto che attendiamo che vengano generati gli alert, vi do evidenza che se cerco di visualizzare gli alert di questa policy con un utente senza i necessari permessi, ma solo global Admin, mi viene detto dal sistema che non posso procedere

Figura 27: Il mio utente non ha i ruoli per vedere gli alert, dovrò accedere con il Revisore

È possibile inoltre configurare una Policy anche per contenuto sensibile ad esempio dati personali degli utenti, vi mostro come configurare anche questa policy

Figura 28: Creazione Policy Communication Compliance per rilevare Sensitive Information Types

Figura 29: Scegliamo nome a quali utenti applicarlo il revisore e le informazioni sensibili su cui eseguire il discover e creiamo la Policy

Ora anche qui simuliamo l’invio di documenti contenti questa tipologia di dati:

Figura 30: Email contenente i dati sensibili indicati all’interno della policy

Le informazioni all’interno del portale da documentazione si aggiornano circa in 24/48 ore nel mio caso in circa 12 ore le prime informazioni cominciavano a vedersi

Figura 31: Policy testo inappropriato che viene visto in Pending

Cosa succede quando il revisore si collega al portale di Microsoft Purview?

Ora accederò con l’utente Revisore Ictpower utente con permessi corretti per la visualizzazione degli avvisi relativi a Communication Compliance

Figura 32: Accesso al portale di Microsoft Purview con l’utente revisore

Figura 33: Sezione di Communication Compliance come Revisore

Figura 34: Click sulla policy che ha dei risultati in Pending

Figura 35: Dashboard che ci permette di gestire il messaggio inappropriato

Possiamo scegliere di eseguire una delle seguenti azioni:

• Resolve: possiamo configurare l’avviso come falso positivo e risolvere il caso
  
• Dismiss: classificare l’avviso come falso negativo e verrebbe inserito come risolto inserendo una motivazione
  
• Summarize: grazie a Copilot è possibile eseguire un “riasseunto” di quanto accaduto per questo avviso
  
• Notify: notifica l’utente che ha ricevuto il messaggio inappropriato con un template da parte dell’organizzazione
  
• Tag as: appore un tag all’avviso per un’identificazione coerente in futuro
  
• Escalate: viene inviata una notifica via email al revisore per analizzare l’avviso in questione
  
• Escalate for Investigation: Creare un caso di eDiscovery per l’investigazione dell’avviso in modo approfondito
  
• Remove Message in Teams: rimuove il messaggio da Microsoft Teams
  

Nel mio caso specifico procederò a rimuovere il messaggio da Microsoft Teams dopo avergli apposto un tag come “non-compliant”

Figura 36: Inseriamo il tag di non compliant all’avviso inserendo un commento per questa operazione

Figura 37: Tag inserito in modo corretto

Figura 38: Procediamo a Rimuovere il messaggio da Microsoft Teams

Figura 39: Confermiamo la volontà di rimuovere il Messaggio

Figura 40: Rimozione messaggio effettuata con successo

Figura 41: Messaggio rimosso da Microsoft Teams in modo corretto

Come integro Communication Compliance con Insider Risk Management?

Un altro punto di forza è l’integrazione di questa funzionalità con Insider Risk Management, per approfondimenti su questa funzionalità vi rimango all’apposito articolo della community Microsoft Purview: Insider Risk Management – ICT Power

Figura 42: Creazione Policy di Insider Risk Management

Figura 43: Proseguiamo con la configurazione

Figura 44: Scegliamo un nome ed una descrizione e proseguiamo con la configurazione

Figura 45: Scegliamo di applicare la policy a tutti gli utenti

Figura 46: Non escludiamo nessun utente e proseguiamo con la configurazione

Figura 47: Scegliamo quale contenuto prioritizzare

Figura 48: Scegliamo il sito di SharePoint in cui eseguire la ricerca

Figura 49: Per le altre componenti ci verrà richiesto su quali dati eseguire la ricerca label ecc, scegliamo inoltre di generare un alert e proseguiamo

Figura 50: Scegliamo il Trigger, in questo caso la policy di Communication Compliance per linguaggi inappropriato

Figura 51: Scelgo di non modificare gli Indicators

Figura 52: Scelgo di selezionare tutte le opzioni di Detect

Figura 53: Lasciamo quando indicato da Microsoft

Figura 54: Review e configurazione della Policy

Figura 55: Policy Configurata nel modo corretto e salvata

Questo genererà un alert ogni volta che la policy di Insider Risk Management trova un risultato, espandendo di fatto la visibilità in ottica Compliance dell’organizzazione.

Conclusioni

La protezione delle comunicazioni aziendali è ormai parte integrante della strategia di sicurezza complessiva. L’unione tra Communication Compliance e Insider Risk Management dimostra come la tecnologia possa supportare non solo il rispetto delle normative, ma anche la creazione di una cultura aziendale basata su responsabilità, prevenzione e trasparenza. La sinergia sempre più accentuata tra i vari workload di Microsoft Purview fornisce degli strumenti all’avanguardia per le organizzazioni moderne, volti sempre di più a migliorare la compliance e ridurre al minimo eventuali problemi “legali” che potrebbero potare a rischi di Brand Reputation delle organizzazioni.