Microsoft Purview: Information Protection e Sensitivity Labels

All’interno della community ho parlato di Sicurezza, spiegando quando sia importante eseguire una log collection da tutte le fonti presenti nella vostra organizzazione per creare sempre più una correlazione di eventi, inoltre ho spiegato quando sia altrettanto fondamentale proteggere i vostri Endpoint con le soluzioni che Microsoft offre con gli strumenti di Defender (Identity & Endpoint).

Oggi cambieremo un attimo focus, ma rimanendo sempre in ottica Security, parlerò di Microsoft Purview e di come questo servizio offerto dalla casa di Redmond possa aiutarvi a proteggere i dati e mail aziendali e di gestirne la Governance.

Prima di procedere con la guida inerente alla startup del servizio in oggetto vorrei spiegarvi nel dettaglio di cosa è Microsoft Purview, eseguendo una spiegazione puntuale dei singoli workload che compongono il servizio.

Cosa è Microsoft Purview?

Microsoft Purview è un set completo di soluzioni che aiuta le organizzazioni a gestire, proteggere e aggiornare i dati ovunque essi si trovino.

Questo servizio Microsoft offre una copertura integrata e contribuisce a risolvere la mancanza di visibilità che ostacola la protezione e la governance dei dati.

Purview unisce soluzioni di Governance e di Conformità in una piattaforma unificata e aiuta le aziende a:

  • Ottenere visibilità dei dati dell’organizzazione
  • Proteggere e gestire i dati sensibili per tutto il ciclo di vita
  • Gestire facilmente i dati in modo innovativo e completo
  • Gestire i rischi ai dati critici e i requisiti normativi

Figura 1: Schema Microsoft Purview

Sicurezza dei dati, Governance e Conformità

Purview offre alle organizzazioni una piattaforma Cloud per gestire la protezione dei dati nella sua totalità.

Sicurezza dei dati

Il servizio di Purview offre un “basket” di soluzione per la sicurezza dei dati che consente alle organizzazioni di proteggere le informazioni estremamente sensibili, vi riporto le documentazioni ufficiale delle soluzioni che lo compongono:

Governance dei dati

Microsoft Purview al proprio interno ha soluzione di Governance di dati unificate e questo consente di gestire i dati di un ambiente local, multi-cloud o Software as a Service (SaaS). All’interno di queste soluzioni sono inclusi i servizi di archiviazione di Azure, PowerBI, SQL e Hive, servizi di File server come ad esempio Amazon S3.

Le soluzioni descritte includono:

  • Microsoft Purview Data Map che consente di registrare e analizzare le origini dei dati per permettervi di eseguire il mapping dei vostri dati ed identificare quelli sensibili
  • Microsoft Purview Data Catalog che vi consente di gestire le origini dei dati per garantirne integrità e di conseguenza proteggerli da potenziali malintenzionati

L’unione quindi di questi due strumenti vi aiuta a:

  • Creare uno schema aggiornato di tutti i vostri dati includendone la classificazione
  • Identificare “la posizione” dei vostri dati sensibili
  • Creare un’ambiente sicuro per consentire agli utenti di utilizzare i dati sensibili
  • Generare informazioni dettagliate su come vengono archiviati i dati
  • Gestire in modo preciso e puntuale l’accesso a questi dati

Rischio e Conformità

Purview al proprio interno include anche servizi di conformità dei dati aziendali, questo aiuta le organizzazioni a rispettare i requisititi normativi come ad esempio il GDPR.

Vi riporto i servizi con relativi documentazioni inclusi in questo Workload:

Licensing

Per il calcolo dei costi del servizio di Microsoft Purview che è a consumo potete utilizzare il calcolatore messo a disposizione dalla casa di Redmond che per comodità vi riproto al seguente link Pricing Calculator | Microsoft Azure

Per l’articolo di oggi io utilizzare il servizio di Information Protection (uno dei tanti servizi di Microsoft Purview) che è incluso nella licenza Microsoft 365 E5

Figura 2: Licenza Information Protection inclusa nella suite Microsoft 365 E5

Svolgimento

All’interno di questa guida vi dimostrerò come poter utilizzare Information Protection per:

  • Rendere Modificale un file Excel inviato per email ad un utente e in sola lettura per un altro
  • Non permettere il forward di una e-mail

Figura 3: Licenze Microsoft 365 E5 utilizzate per la dimostrazione di Information Protection

A questo punto recatevi all’interno del portale di Compliance dove vi verrà richiesto se restare nel classico portale o passare a quello nuovo unificato io sceglierò quello nuovo ed unificato visto che da Novembre 2024 cominciare il rollout per permettere alle organizzazioni di utilizzare solo ed esclusivamente il nuovo portale

Figura 4: Richiesta del portale se restare nel portale Classico o passare a quello nuovo

Figura 5: Scelgo di passare al nuovo portale di gestione

Figura 6: Rechiamoci nella parte di Information Protection

Figura 7: Il portale segnala la mancanza di permessi necessari per la visualizzione delle informazioni evidenziate

Ora procederemo ad assegnare i permessi necessari per visualizzare le informazioni, a tal proposito i permessi devono essere i seguenti:

  • Information Protection
  • Information Protection Admins
  • Information Protection Analysts
  • Information Protection Investigators
  • Information Protection Readers

Nel mio caso assegnerò il permesso di Information Protection Admins

Figura 8: Inserimento utente nel ruolo di Information Protection Admin

Figura 9: Inserimento utente nel ruolo nel mio caso il mio utente con cui accedo al portale di Purview

Figura 10: Procediamo con la configurazione andando al passaggio successivo

Figura 11: Salvaggio della configurazione

Figura 12: Configurazione completata correttamente

Vi consiglio, dopo aver eseguito il setting dei permessi, di abilitare la funzionalità che vi permette di creare le Label anche all’interno degli storage cloud di OneDrive e SharePoint online

Figura 13: Abilitazione Etichettatura all’interno degli storage Online

Successivamente sarà necessario eseguire dei comandi Powershell per abilitare appieno questa funzionalità per Sharepoint Online e OneDrive

Figura 14: Apertura Powershell come amministratore

Figura 15: Installazione Modulo PowerShell per il collegamento a Sharepoint

Figura 16: Installazione modulo di Sharepoint

Figura 17: Connessione a Sharepoint Online con credenziali di Global Admin

Figura 18: Inserimento di credenziali di Global Admin per l’accesso in Powershell a Sharepoint Online

Figura 19: Esecuzione comando per abilitare Information Protection all’interno di Sharepoint Online

Figura 20: Andiamo avanti cliccando su “Yes”

Perfetto, in questo momento avrete “smarcato” tutti i requisiti necessari, procediamo pertanto alla configurazione delle Label vi riporto anche il link ufficiale che spiega la funzionalità Learn about sensitivity labels | Microsoft Learn

Figura 21: Procediamo alla creazione della Label dal portale di Purview

Figura 22: Scegliamo un nome, display name e descrizione della label

Figura 23: Selezioniamo il workload Mail e andiamo avanti nella configurazione

Figura 24: Configuriamo control Access e proseguiamo con la configurazione

Figura 25: Configurazione delle impostazioni per non permettere il Forward della mail a cui viene applicata l’etichetta

Figura 26: Non attiviamo Auto-Labeling

Figura 27: Proseguiamo con la configurazione

Figura 28: Funzionalità in Preview che al momento non attiviamo

Figura 29: Review della configurazione e salvataggio

Figura 30: Non pubblichiamo subito la policy

Ora potete procedere a pubblicare la Policy

Figura 31: Procediamo a Pubblicare la Label creata in precedenza

Figura 32: Selezioniamo la Label da pubblicare e proseguiamo con la configurazione

Figura 33: Andiamo avanti

Figura 34: Applicheremo la policy a tutti gli utenti

Figura 35: Proseguiamo con la configurazione

Figura 36: Scegliamo un nome per la pubblicazione e andiamo avanti

Figura 37: Salvataggio della configurazione

Figura 38: Prima che l’utente veda la policy potrebbero volerci fino a 24 ore

Ora dovrete attendere le 24 ore e successivamente verificare che l’utente abbia la Policy applicata, per la configurazione di una Label inerente ai file Excel è identico a quanto fatto, ma per comodità vi riporto gli step necessari

Figura 39: Creazione Lable per i file Office

Figura 40: Creazione nome, disaply name e description

Figura 41: Selezioniamo che la Label sarà per i File Office e proseguiamo con la configurazione

Figura 42: Selezioniamo “Control Access” e andiamo avanti

Figura 43: Selezioniamo la parrte relativa agli applicativi Office

Figura 44: Creazione Label relativa ad Office

Procediamo ora come fatto anche per la precedente Label a pubblicarla

Figura 45: Selezioniamo la Label creata relativa agli applicativi Office

Figura 46: Applichiamo la Policy a tutti gli utenti

Figura 47: Configurate un nome per la policy e proseguite con la configurazione

Figura 48: Eseguiamo il Submit della configurazione

Figura 49: Salvate e attendete 24 ore per la propagazione

Ora dopo aver atteso le 24 ore dichiarate dalla documentazione vi mostro come è la procedura per applicare le Label lato utenti finali, cominciamo con la parte E-Mail

Accedo con il mio utente all’interfaccia Web di Exchange Online e procedo ad inviare una nuova mail a [email protected] applicando l’etichetta relativa alla parte mail

Figura 50: Composizione Email con applicazione dell’etichetta che non permette il Forward

Figura 51: Etichetta applicata, procediamo con l’invio

Cosa succede lato destinatario?

Procedo ora ad accedere ad exchange Online con Utente Demo per darvi evidenza di questa cosa

Figura 52: Forward non permesso al destinatario della email come indicato all’interno della policy

Procedo ora a darvi evidenza dell’etichetta applicata ad un file Excel dove non daremo la possibilità di modifica al file

Figura 53: Applicazione Label al file Excel che procederemo a salvare ed inviare a Utente Demo

Figura 54: Errore, la Label non è utilizzabile da webapp di Excel è necessario aprirla da Excel App

Figura 55: Inserimento Label da applicazione di Microsoft Excel

Figura 56: Configuriamo l’indirizzo mail della persona che deve essere in sola lettura al file

Figura 57: Label applicata in modo corretto procediamo a salvare il file

Accedo a Microsoft Excel con Utente Demo per darvi evidenza di come si comporta

Figura 58: File Aperto con utente demo

Figura 59: L’utente in questione non ha i diritti di modificare il file

Conclusioni

Come avete potuto notare con veramente un effort a livello di amministratori molto basso potete fornire uno strumento utile ai vostri utenti per salvaguardare i dati aziendali.

La profondità a cui si “spinge” Information Protection è veramente ampia, avreste magari la necessità di impedire l’invio di una mail o l’apertura di una mail verso domini email di potenziali competitor questo in modo tale che non ci sia esfiltrazione di dati sensibili.

La formazione verso gli utenti finale per l’uso di questo servizio è comunque di fondamentale importanza in quanto cambia proprio il modo di lavorare per gli utenti, ma l’effort di formazione verso gli End Users non è mai tempo perso.