• Cloud, Guide, Microsoft 365, Sicurezza
• 23 Febbraio 2026

Ho parlato già, all’interno della community di Microsoft Purview Information Protection Microsoft Purview: Information Protection e Sensitivity Labels – ICT Power e di come questo strumento di Data Protection di casa Redmond aiuti le organizzazioni a proteggere dati e informazioni sensibili per evitare una possibile data Exfiltration.

La strategia di protezione delle informazioni si basa sulle esigenze Aziendali, infatti molte organizzazioni devono proteggere le informazioni proprietarie come, ad esempio, i dati di progetti specifici.

Microsoft Purview Information Protection offre un framework, un processo e funzionalità che è possibile usare per proteggere i dati sensibili tra Cloud, App e dispositivi.

Questa funzionalità di Microsoft Purview consente di Individuare, classificare, proteggere e gestire le informazioni riservate ovunque risiedano o vengano trasferite.

Figure 1: Framework di Information Protection

Ho parlato all’interno della Community di come poter applicare Label in Exchange Online e/o ai documenti che risiedono in Microsoft OneDrive, ma come facciamo ad applicare le etichette ad un sito di SharePoint Online?

Questo articolo vi aiuterà proprio a fare questo, applicare etichette per procedere a salvaguardare i dati in un sito di SharePoint Online.

Quali licenze sono necessari per Information Protection in SharePoint Online?

Quando parliamo di licenze Microsoft non possiamo non citare Aaron Dinnage ed il suo sito Home | M365 Maps

• Microsoft 365 E5 (With Autolabeling)
• Microsoft 365 E3 (Without Autolabeling)
• Office 365 E3 (Without Autolabeling)
• Microsoft 365 Business Premium (Without Autolabeling)
• Microsoft 365 E3 with the Purview Suite (With Autolabeling)
• Microsoft 365 E5 Information Protection and Governance (With Autolabeling)

Vi sono inoltre alcuni requisiti che vi riporto di seguito:

• Devono essere state create delle etichette che includano l’ambito File & Asset e queste etichette devono essere pubblicate agli utenti che selezioneranno un’etichetta di riservatezza predefinita per una document library
• Siano state abilitate le etichette di riservatezza per i file di office in un sito di SharePoint ((Get-SPOTenant).EnableAIPIntegration)
• Se si vogliono etichettare i file PDF è necessario abilitare la funzionalità ((Get-SPOTenant).EnableSensitivityLabelforPDF)
• Sono necessari i ruoli di amministratore del sito per poter applicare le Label di default in document library
• I file devono avere del contenuto, i file vuoti verranno etichettati quando vengono aggiornati con del contenuto

Al seguente link vengono indicate le estensione di file supportati Enable sensitivity labels for files in SharePoint and OneDrive | Microsoft Learn

Vi sono limitazioni?

Si sono presenti delle limitazioni che vi riporto di seguito:

• Non vengono applicate etichette ai file esistenti già all’interno della document library
• A meno che non sia stata abilitata la creazione condivisa per i file crittografati con etichette di riservatezza, si noterà un ritardo nell’applicazione dell’etichetta di riservatezza predefinita per una raccolta documenti quando gli utenti selezionano l’opzione Salva.
• Come per le etichette per office web, alcune non sono asatte per SharePoint e quindi non supportano un’etichetta di riservatezza predefinita per una raccolta documenti di SharePoint:
  • Consentire agli utenti di assegnare le autorizzazioni quando applicano l’etichetta e la casella di controllo in Word, PowerPoint ed Excel, chiedere agli utenti di specificare le autorizzazioni viene selezionata. Questa impostazione viene talvolta definita “autorizzazioni definite dall’utente”
  • L’accesso utenti al contenuto scade è impostato su un valore diverso da MAI
  • Viene selezionata una Crittografia a doppia chiave

Per darvi evidenza di questa funzionalità utilizzerò un utente il mio con diritti di Global Administrator, a cui ho associato una licenza Microsoft 365 E5 per l’uso della funzionalità ed un sito di SharePoint contenenti dati sensibili.

Figure 2: Utente di demo con assegnata la licenza Microsoft 365 E5 per l’uso della funzionalità

Prerequisiti

Come primo passaggio, dovremmo procedere ad abilitare la funzionalità di Etichettatura per questi Container, è bene inoltre specificare le impostazioni delle etichette da utilizzare per queste funzionalità:

Privacy (pubblica o privata) dei siti dei team e dei gruppi di Microsoft 365

• Accesso utenti esterni
• Condivisione esterna dai siti di SharePoint
• Accesso da dispositivi non gestiti
• Contesti di autenticazione
• Impedire l’individuazione di team privati per gli utenti che dispongono di questa funzionalità
• Controllo dei canali condivisi per gli inviti del team
• Collegamento di condivisione predefinito per uno SharePoint (configurazione solo PowerShell)
• Impostazioni di condivisione del sito (configurazione solo PowerShell)
• Etichetta predefinita per le riunioni del canale

Ora vediamo insieme le operazioni preliminari per abilitare questa funzionalità sui contenitori, nel nostro caso i siti di SharePoint.

Ora vedremo insieme tutti i passaggi necessari per attivare la funzionalità, come primo passaggio dobbiamo abilitare la possibilità di creare etichette per Gruppi e Siti SharePoint.

Figura 3: Apertura PowerShell come amministratore

Figure 4: Apertura PowerShell come amministratore ed installazione moduli necessari

Figure 5: Confermiamo l’operazione

Specifico che questa operazione potrebbe richiedere diversi minuti per il completamento, nel mio caso ci sono voluti 10 minuti, dipende molto dalla connettività che avete in quanto PowerShell scaricherà tutti i moduli da Internet dal repository di Microsoft

Figure 6: Installazione modulo completata correttamente

Ora procediamo ad installare anche il modulo che ci permetterà, nei passaggi successivi, a collegarci al portale di Compliance di Casa Redmond

Figure 7: Installazione Modulo per la componente di Compliance

Figure 8: Scegliamo “Yes to All” per proseguire con l’installazione

Ora procediamo ad importare in PowerShell i moduli precedentemente installati:

Figura 10: Import dei moduli Graph precedentemente installati

Ora procediamo al collegamento tramite Graph

Figure 11: Comando per collegamento tramite Graph

Figure 12: Collegamento avvenuto con successo tramite Graph

Se non avete mai abilitato l’impostazione, dovrete procedere con alcune azioni aggiuntive

Figure 3: Comando che permette di visualizzare tutti i Template presenti all’interno del Tenant Microsoft 365

Figure 14: Template disponibili all’interno del Tenant con il relativo ID

Ora dovrete eseguire questo comando

Figure 35: Recupero Dell’ID del Template da Modificare

Ora dovremmo creare un oggetto che contenga i valori da utilizzare per l’impostazione della Directory del Tenant, necessarie per l’abilitazione nell’uso delle etichette.

Figure 16: Setting dei Parametri, sostituire l’URL con quello relativo alla vostra organizzazione che potete modificare a vostro piacimento

Ora dovrete eseguire il comando seguente che configurerà la nuova impostazione in base ai parametri recuperati con i comandi precedenti

Figura 17: Esecuzione comando per impostare i nuovi parametri

Figura 18: Comando eseguito nel modo corretto

È possibile leggere i valori inseriti tramite il seguente comando

Figura 19: Comando per verificare l’inserimento corretto dei valori

Figura 20: Valori presenti all’interno del Tenant letti dal comando PowerShell

Ora dovremmo procedere a connetterci al portale di Security & Compliance tramite PowerShell per sincronizzare le “Etichette”

Figura 21: Comando per collegamento in PowerShell al portale di Purview, inserire UPN dell’utente con permessi

Figura 22: Sincronizzazione delle etichette con EntraID

Figura 23: Comando eseguito senza errori

Ora servirà collegarsi in PowerShell a SharePoint per poter abilitare l’integrazione con Microsoft Information Protection:

Figure 23: Collegamento a SharePoint Online

Figure 24: Funzionalità abilitata correttamente

Questo permetterà di verificare se la creazione delle sensitivity label è disabilitata all’interno del Tenant Microsoft 365. Per assicuravi di poter creare le etichette di Information Protection eseguire il presente script che permette di lasciare inalterata la configurazione se l’impostazione permette la creazione delle Label o la abilitata se fosse in stato di Disabled.

Ora potete recarvi all’interno del portale Microsoft Purview

Figura 24: Creazione nuova Label

Figura 25: Scegliete un nome, Display Name e descrizione per la Label, nel mio caso sarà una Label di Demo

Figura 26: Selezioniamo le Label e proseguiamo con la configurazione

Figura 27: Scegliamo di applicare Content Marking ai documenti e controllare l’accesso

Figura 28: Scegliamo di assegnare in questo momento i permessi, io li ho scelti in questo modo ma modificabili secondo l’esigenza dell’organizzazione

Figura 20: Permessi che ho deciso di assegnare, anche in questo caso da personalizzare secondo la vostra esigenza

Figura 29: Scegliamo la scritta per il WaterMark da applicare

Figura 30: Selezioniamo queste impostazioni

Ora selezioniamo privato, in questo modo solo i proprietari e i membri del team possono accedere al gruppo o al team. Nella sezione “Accesso utente esterno”, non selezionare l’opzione “Lascia che i proprietari del gruppo Microsoft 365 aggiungano persone esterne alla tua organizzazione come ospiti”, in questo modo, solo gli utenti interni all’organizzazione possono accedere al sito SharePoint

Figura 31: Selezioniamo privato

Seleziona le opzioni per controllare la condivisione esterna e usare Microsoft Entra Conditional Access per proteggere i siti SharePoint etichettati:

• Imposta la condivisione esterna su “Solo persone nella tua organizzazione”, così i siti saranno accessibili solo internamente.
• Imposta l’accesso condizionato su “Consentire accesso limitato solo web”, permettendo ai dispositivi non gestiti di accedere ai documenti solo tramite browser, senza possibilità di sincronizzazione, download o apertura nelle app desktop di Office

Figura 32: Selezione delle impostazioni e proseguiamo con la configurazione

Figura 33: Overview e creazione Label

Figura 34: Policy che risulta creata nel modo corretto

Ora possiamo procedere a pubblicare la policy

Figura 35: Procediamo alla pubblicazione della Policy

Figura 36: Selezioniamo la Label da Pubblicare

Figura 37: Lasciamo all user e Groups selezionati

Figura 38: Lasciamo così le impostazioni e proseguiamo

Figura 39: Diamo un nome alla policy di pubblicazione

Figura 40: Salvataggio della Policy relativa alla pubblicazione

Ora il mio account, con cui procedo ad eseguire l’attività successiva, ha il ruolo di Gloabl Administrator e site Owner del sito che vi mostrerò, quindi sarà possibile eseguire la modifica, e vi mostrerò inoltre come creare il sito di SharePoint, recatevi all’interno del pannello amministrativo di SharePoint Online

Figura 41: Pannello Amministrativo di SharePoint Online

Figura 41: Creazione nuovo sito di SharePoint Online

Figura 42: Scegliere Communication Site

Figura 43: Scegliamo un template e proseguiamo con la configurazione

Figura 44: Scegliere un nome per il sito ed un Owner, nel mio caso il mio utente e proseguiamo con la configurazione

Figura 45: Scegliere lingua a Time Zone

Figura 46 Sito correttamente creato

Ora procediamo ad aprire il sito per configurare l’etichetta predefinita

Figura 47: Apriamo il sito di SharePoint

Figura 48: Selezioniamo la Document Library e modifichiamo le sue impostazioni

Figura 49: Selezioniamo la Sensitivity Label da applicare e salviamo la configurazione

Si ha la possibilità di modificare la Label etichettata anche direttamente dallo SharePoint Admin Center

Figura 50: Cambio Label direttamente dall’interfaccia amministrativa di SharePoint Online

Ora proviamo a caricare dei documenti all’interno della document library e vediamo cosa succede ad essi

Figura 51: Caricamento file all’interno della document Library

Figura 52: Selezioniamo i file da voler caricare

Figura 53: Documento caricato correttamente all’interno della library

Ora proviamo ad aprire il file

Figura 54: Etichetta applicata correttamente

Figura 55: File etichettato anche visualizzando dalla app di Word con il watermark che indica la corretta applicazione della policy

Verifichiamo anche che alla creazione di un nuovo documento, l’etichetta venga applicata di Default

Figura 56: Creazione nuovo file Word

Figura 57: Nuovo documento a cui viene applicata correttamente l’etichetta

Inoltre, come da Policy, non è possibile condividere i dati al di fuori dell’organizzazione

Figura 58: Possibilità di condividere solo all’interno dell’organizzazione

Conclusioni

L’integrazione di Microsoft Purview Information Protection con le document library di SharePoint Online rappresenta un elemento fondamentale nella strategia moderna di data governance e protezione delle informazioni. I dati aziendali sono sempre più distribuiti tra piattaforme di collaboration, garantire che documenti sensibili siano classificati, protetti e gestiti in modo coerente diventa un requisito imprescindibile. L’utilizzo delle etichette di sensibilità direttamente nelle document library consente di automatizzare la classificazione dei contenuti, applicare criteri di protezione in modo uniforme e ridurre la dipendenza da processi manuali o dal comportamento dell’utente finale. Questo approccio non solo aumenta il livello di sicurezza delle informazioni, ma facilita anche il rispetto di normative e policy interne di compliance. Dal punto di vista operativo, la combinazione tra SharePoint e Purview permette alle organizzazioni di bilanciare collaborazione e sicurezza: i documenti rimangono facilmente accessibili agli utenti autorizzati, mentre le informazioni critiche sono protette tramite controlli come crittografia, restrizioni di accesso o tracciamento delle attività. In definitiva, l’adozione di Purview Information Protection nelle document library di SharePoint non rappresenta soltanto una funzionalità tecnica, ma diventa un abilitatore strategico per la gestione sicura del patrimonio informativo aziendale, contribuendo a ridurre i rischi di esposizione dei dati e a rafforzare la governance complessiva delle informazioni.