Microsoft Purview: Information Protection e Sensitivity Labels
All’interno della community ho parlato di Sicurezza, spiegando quando sia importante eseguire una log collection da tutte le fonti presenti nella vostra organizzazione per creare sempre più una correlazione di eventi, inoltre ho spiegato quando sia altrettanto fondamentale proteggere i vostri Endpoint con le soluzioni che Microsoft offre con gli strumenti di Defender (Identity & Endpoint).
Oggi cambieremo un attimo focus, ma rimanendo sempre in ottica Security, parlerò di Microsoft Purview e di come questo servizio offerto dalla casa di Redmond possa aiutarvi a proteggere i dati e mail aziendali e di gestirne la Governance.
Prima di procedere con la guida inerente alla startup del servizio in oggetto vorrei spiegarvi nel dettaglio di cosa è Microsoft Purview, eseguendo una spiegazione puntuale dei singoli workload che compongono il servizio.
Cosa è Microsoft Purview?
Microsoft Purview è un set completo di soluzioni che aiuta le organizzazioni a gestire, proteggere e aggiornare i dati ovunque essi si trovino.
Questo servizio Microsoft offre una copertura integrata e contribuisce a risolvere la mancanza di visibilità che ostacola la protezione e la governance dei dati.
Purview unisce soluzioni di Governance e di Conformità in una piattaforma unificata e aiuta le aziende a:
- Ottenere visibilità dei dati dell’organizzazione
- Proteggere e gestire i dati sensibili per tutto il ciclo di vita
- Gestire facilmente i dati in modo innovativo e completo
- Gestire i rischi ai dati critici e i requisiti normativi
Figura 1: Schema Microsoft Purview
Sicurezza dei dati, Governance e Conformità
Purview offre alle organizzazioni una piattaforma Cloud per gestire la protezione dei dati nella sua totalità.
Sicurezza dei dati
Il servizio di Purview offre un “basket” di soluzione per la sicurezza dei dati che consente alle organizzazioni di proteggere le informazioni estremamente sensibili, vi riporto le documentazioni ufficiale delle soluzioni che lo compongono:
- Learn about data loss prevention | Microsoft Learn
- Information barriers | Microsoft Learn
- Microsoft Purview Information Protection | Microsoft Learn
- Insider risk management | Microsoft Learn
- Privileged access management | Microsoft Learn
Governance dei dati
Microsoft Purview al proprio interno ha soluzione di Governance di dati unificate e questo consente di gestire i dati di un ambiente local, multi-cloud o Software as a Service (SaaS). All’interno di queste soluzioni sono inclusi i servizi di archiviazione di Azure, PowerBI, SQL e Hive, servizi di File server come ad esempio Amazon S3.
Le soluzioni descritte includono:
- Microsoft Purview Data Map che consente di registrare e analizzare le origini dei dati per permettervi di eseguire il mapping dei vostri dati ed identificare quelli sensibili
- Microsoft Purview Data Catalog che vi consente di gestire le origini dei dati per garantirne integrità e di conseguenza proteggerli da potenziali malintenzionati
L’unione quindi di questi due strumenti vi aiuta a:
- Creare uno schema aggiornato di tutti i vostri dati includendone la classificazione
- Identificare “la posizione” dei vostri dati sensibili
- Creare un’ambiente sicuro per consentire agli utenti di utilizzare i dati sensibili
- Generare informazioni dettagliate su come vengono archiviati i dati
- Gestire in modo preciso e puntuale l’accesso a questi dati
Rischio e Conformità
Purview al proprio interno include anche servizi di conformità dei dati aziendali, questo aiuta le organizzazioni a rispettare i requisititi normativi come ad esempio il GDPR.
Vi riporto i servizi con relativi documentazioni inclusi in questo Workload:
- Learn about auditing solutions in Microsoft Purview | Microsoft Learn
- Communication compliance | Microsoft Learn
- Microsoft Purview Compliance Manager | Microsoft Learn
- Learn about Microsoft Purview Data Lifecycle Management | Microsoft Learn
- Microsoft Purview eDiscovery solutions | Microsoft Learn
Licensing
Per il calcolo dei costi del servizio di Microsoft Purview che è a consumo potete utilizzare il calcolatore messo a disposizione dalla casa di Redmond che per comodità vi riproto al seguente link Pricing Calculator | Microsoft Azure
Per l’articolo di oggi io utilizzare il servizio di Information Protection (uno dei tanti servizi di Microsoft Purview) che è incluso nella licenza Microsoft 365 E5
Figura 2: Licenza Information Protection inclusa nella suite Microsoft 365 E5
Svolgimento
All’interno di questa guida vi dimostrerò come poter utilizzare Information Protection per:
- Rendere Modificale un file Excel inviato per email ad un utente e in sola lettura per un altro
- Non permettere il forward di una e-mail
Figura 3: Licenze Microsoft 365 E5 utilizzate per la dimostrazione di Information Protection
A questo punto recatevi all’interno del portale di Compliance dove vi verrà richiesto se restare nel classico portale o passare a quello nuovo unificato io sceglierò quello nuovo ed unificato visto che da Novembre 2024 cominciare il rollout per permettere alle organizzazioni di utilizzare solo ed esclusivamente il nuovo portale
Figura 4: Richiesta del portale se restare nel portale Classico o passare a quello nuovo
Figura 5: Scelgo di passare al nuovo portale di gestione
Figura 6: Rechiamoci nella parte di Information Protection
Figura 7: Il portale segnala la mancanza di permessi necessari per la visualizzione delle informazioni evidenziate
Ora procederemo ad assegnare i permessi necessari per visualizzare le informazioni, a tal proposito i permessi devono essere i seguenti:
- Information Protection
- Information Protection Admins
- Information Protection Analysts
- Information Protection Investigators
- Information Protection Readers
Nel mio caso assegnerò il permesso di Information Protection Admins
Figura 8: Inserimento utente nel ruolo di Information Protection Admin
Figura 9: Inserimento utente nel ruolo nel mio caso il mio utente con cui accedo al portale di Purview
Figura 10: Procediamo con la configurazione andando al passaggio successivo
Figura 11: Salvaggio della configurazione
Figura 12: Configurazione completata correttamente
Vi consiglio, dopo aver eseguito il setting dei permessi, di abilitare la funzionalità che vi permette di creare le Label anche all’interno degli storage cloud di OneDrive e SharePoint online
Figura 13: Abilitazione Etichettatura all’interno degli storage Online
Successivamente sarà necessario eseguire dei comandi Powershell per abilitare appieno questa funzionalità per Sharepoint Online e OneDrive
Figura 14: Apertura Powershell come amministratore
Figura 15: Installazione Modulo PowerShell per il collegamento a Sharepoint
Figura 16: Installazione modulo di Sharepoint
Figura 17: Connessione a Sharepoint Online con credenziali di Global Admin
Figura 18: Inserimento di credenziali di Global Admin per l’accesso in Powershell a Sharepoint Online
Figura 19: Esecuzione comando per abilitare Information Protection all’interno di Sharepoint Online
Figura 20: Andiamo avanti cliccando su “Yes”
Perfetto, in questo momento avrete “smarcato” tutti i requisiti necessari, procediamo pertanto alla configurazione delle Label vi riporto anche il link ufficiale che spiega la funzionalità Learn about sensitivity labels | Microsoft Learn
Figura 21: Procediamo alla creazione della Label dal portale di Purview
Figura 22: Scegliamo un nome, display name e descrizione della label
Figura 23: Selezioniamo il workload Mail e andiamo avanti nella configurazione
Figura 24: Configuriamo control Access e proseguiamo con la configurazione
Figura 25: Configurazione delle impostazioni per non permettere il Forward della mail a cui viene applicata l’etichetta
Figura 26: Non attiviamo Auto-Labeling
Figura 27: Proseguiamo con la configurazione
Figura 28: Funzionalità in Preview che al momento non attiviamo
Figura 29: Review della configurazione e salvataggio
Figura 30: Non pubblichiamo subito la policy
Ora potete procedere a pubblicare la Policy
Figura 31: Procediamo a Pubblicare la Label creata in precedenza
Figura 32: Selezioniamo la Label da pubblicare e proseguiamo con la configurazione
Figura 33: Andiamo avanti
Figura 34: Applicheremo la policy a tutti gli utenti
Figura 35: Proseguiamo con la configurazione
Figura 36: Scegliamo un nome per la pubblicazione e andiamo avanti
Figura 37: Salvataggio della configurazione
Figura 38: Prima che l’utente veda la policy potrebbero volerci fino a 24 ore
Ora dovrete attendere le 24 ore e successivamente verificare che l’utente abbia la Policy applicata, per la configurazione di una Label inerente ai file Excel è identico a quanto fatto, ma per comodità vi riporto gli step necessari
Figura 39: Creazione Lable per i file Office
Figura 40: Creazione nome, disaply name e description
Figura 41: Selezioniamo che la Label sarà per i File Office e proseguiamo con la configurazione
Figura 42: Selezioniamo “Control Access” e andiamo avanti
Figura 43: Selezioniamo la parrte relativa agli applicativi Office
Figura 44: Creazione Label relativa ad Office
Procediamo ora come fatto anche per la precedente Label a pubblicarla
Figura 45: Selezioniamo la Label creata relativa agli applicativi Office
Figura 46: Applichiamo la Policy a tutti gli utenti
Figura 47: Configurate un nome per la policy e proseguite con la configurazione
Figura 48: Eseguiamo il Submit della configurazione
Figura 49: Salvate e attendete 24 ore per la propagazione
Ora dopo aver atteso le 24 ore dichiarate dalla documentazione vi mostro come è la procedura per applicare le Label lato utenti finali, cominciamo con la parte E-Mail
Accedo con il mio utente all’interfaccia Web di Exchange Online e procedo ad inviare una nuova mail a [email protected] applicando l’etichetta relativa alla parte mail
Figura 50: Composizione Email con applicazione dell’etichetta che non permette il Forward
Figura 51: Etichetta applicata, procediamo con l’invio
Cosa succede lato destinatario?
Procedo ora ad accedere ad exchange Online con Utente Demo per darvi evidenza di questa cosa
Figura 52: Forward non permesso al destinatario della email come indicato all’interno della policy
Procedo ora a darvi evidenza dell’etichetta applicata ad un file Excel dove non daremo la possibilità di modifica al file
Figura 53: Applicazione Label al file Excel che procederemo a salvare ed inviare a Utente Demo
Figura 54: Errore, la Label non è utilizzabile da webapp di Excel è necessario aprirla da Excel App
Figura 55: Inserimento Label da applicazione di Microsoft Excel
Figura 56: Configuriamo l’indirizzo mail della persona che deve essere in sola lettura al file
Figura 57: Label applicata in modo corretto procediamo a salvare il file
Accedo a Microsoft Excel con Utente Demo per darvi evidenza di come si comporta
Figura 58: File Aperto con utente demo
Figura 59: L’utente in questione non ha i diritti di modificare il file
Conclusioni
Come avete potuto notare con veramente un effort a livello di amministratori molto basso potete fornire uno strumento utile ai vostri utenti per salvaguardare i dati aziendali.
La profondità a cui si “spinge” Information Protection è veramente ampia, avreste magari la necessità di impedire l’invio di una mail o l’apertura di una mail verso domini email di potenziali competitor questo in modo tale che non ci sia esfiltrazione di dati sensibili.
La formazione verso gli utenti finale per l’uso di questo servizio è comunque di fondamentale importanza in quanto cambia proprio il modo di lavorare per gli utenti, ma l’effort di formazione verso gli End Users non è mai tempo perso.