• Cloud, Guide, Microsoft 365, Sicurezza
• 25 Giugno 2026

Sappiamo quanto sia importante poter utilizzare le policy DLP e le policy Endpoint DLP per preservare i dati aziendali e salvaguardarli da una possibile esfiltrazione.

Ho parlato all’interno della community di come poter implementare queste funzionalità di Microsoft Purview e di come poterle implementare secondo best practies di casa Redmond, proprio per questo vi lascio il link alle guide qual ora vogliate approfondire questi argomenti:

• Microsoft Purview: Endpoint Data Loss Prevention (DLP) – ICT Power
• Microsoft Purview: Data Loss Prevention (DLP) – ICT Power

Per prendere visione di tutte le guide inerenti a Microsoft Purview, vi rimando al link diretto della community relativo a questo workload Microsoft Purview – ICT Power

La componente di Data Loss Prevention all’interno di un’organizzazione è fondamentale, in quanto gli utenti, anche in modo inconsapevole potrebbero caricare dati sensibili all’interno di motori di AI generativa o condividere questi dati verso utenti che non devono averne accesso, un dato sensibile in “mani” sbagliate potrebbe portare la vostra organizzazione a seri problemi oltre ad un danno d’immagine con conseguenza veramente “catastrofiche”.

Proprio per questo strumenti come Microsoft Purview offrono questi servizi di DLP, che permettono le organizzazioni di proteggersi da questi fenomeni senza bloccare il Business.

In questo articolo vi porto una nuova funzionalità introdotta da Microsoft che permette di basare le Policy DLP utilizzando il “Device Scoping” per l’assegnazione.

Nello scenario che vi mostrerò all’interno di questo articolo, simulerò come è possibile applicare una policy DLP solo quando gli utenti appartenenti ad un determinato gruppo accedono a dati sensibili da un dispositivo Windows. I gruppi di dispositivi verranno definiti in modo dinamico attraverso Microsoft Entra.

Policy Intent e Mapping

Vi riporto una tabella riassuntiva messa a disposizione direttamente da Microsoft con questo esempio pratico per farvi capire meglio l’utilità di questa funzionalità:

“Un’organizzazione vuole applicare criteri di prevenzione della perdita dei dati che bloccano la copia di elementi sensibili con dati della carta di credito nei dispositivi USB quando gli utenti finance accedono ai dati dai dispositivi Windows e non si applicano quando gli stessi utenti lavorano da dispositivi macOS.”

Io invece procederò a darvi evidenza di questa demo pratica spiegandovi nei dettagli come implementare la funzionalità:

• Utente: Mario Rossi
• Gruppo di Appartenenza: ictpower_demo_user
• Device: PCMARIOROSSI01 à Device Windows
• Dati: File contenenti dati di carte di credito
• Gruppo Endpoint: ictpower_demo_endpoint à Solo dispositivo Windows e non macOS

Figura 1: Utente di demo con relative licenze assegnate

Figura 2: Gruppo dinamico per categorizzare gli Endpoint e gruppi statico che al suo interno ha l’utente di demo

Figura 3: Membri del gruppo Endpoint di demo

Figura 4: Contenuto gruppo utenti di demo

I nomi e numeri presenti all’interno di questo file sono stati generati dall’AI in modo casuale, eventuali riferimenti reali sono puramente casuali, l’autore non si presente responsabilità per dati realmente esistenti

Figura 5: File che contiene dati di carte di credito

Figura 6: Caratteristiche pc di demo PCMARIOROSSI01

Ora procederemo a creare la policy DLP, rechiamoci quindi all’interno del portale di Microsoft Purview

Figura 7: Selezioniamo Data Loss Prevention

Figura 8: Procediamo a creare la Policy DLP

Figura 9: Selezioniamo Custom e proseguiamo con la configurazione

Figura 10: Scegliete nome e descrizione della policy che siano parlanti e proseguite con la configurazione

Figura 11: Selezioniamo Devices e poi Edit

Figura 12: Inseriamo l’utente demo ed il gruppo dinamico creato in precedenza

Figura 13: Proseguiamo con la configurazione

Figura 14: Diamo un nome alla regola DLP e indichiamo la condizione e cosa fare, nel mio caso bloccare attività quando la regola “scatta”

Figura 15: Azioni non permesse dalla policy DLP

Figura 16: Decido di attivare subito la Policy, se invece volete testarla potete metterla in Simulation Mode

Figura 17: Creazione effettiva della regola

Figura 18: Policy creata correttamente dovremmo attendere solo la propagazione della stessa

Ora procediamo ad apire il file contenente i dati sensibili sul dispositivo PCMARIOROSSI01 e proviamo a stamparlo

Figura 19: File contenente i dati delle carte di credito sul dispositivo PCMARIOROSSI01

Figura 20: Simuliamo la stampa del documento contenente dati sensibili sul dispositivo PCMARIOROSSI01

Figura 21: Avviso che l’attività non è consentita come da policy

Ora ripeteremo gli stessi passaggi, ma da un dispositivo differente che non è incluso nella policy

Figura 22: Login con stesso utente ma su un dispositivo differente che non è incluso nella policy

Figura 23: Procediamo a stampare il file contenente dati sensibili

Figura 24: Scegliamo dove stampare il file

Figura 25: File correttamente stampato in PDF senza essere bloccato perché il device non è incluso nella policy

Conclusioni

Il Device Scoping segna un cambio di paradigma nelle Policy DLP: non basta più definire chi deve essere protetto, ma anche da quale dispositivo sta accedendo al dato. Grazie ai gruppi dinamici di Microsoft Entra, questa logica diventa automatica e scalabile, riducendo l’effort amministrativo e il rischio di errore in fase di configurazione.

Il mio consiglio resta sempre lo stesso: prima di passare al blocco reale, testate in Simulation Mode per capire l’impatto sugli utenti finali, evitando così di bloccare attività legittime.

Una novità che può fin da subito essere testa all’interno delle vostre organizzazioni per capire se può aiutarvi in modo dinamico a proteggere i vostri dati.