Microsoft Purview: Data Lifecycle Management

Microsoft Purview Data Lifecycle Management prima conosciuto come “Microsoft Information Protection Governance” offre strumenti e funzionalità per conservare il contenuto / dati strettamente necessari ed eliminare i dati non più necessari all’interno dell’organizzazzione.

La conservazione o l’eliminazione dei contenuti sono spesso necessari per la conformità e i requisiti normativi, ma l’eliminazione dei contenuti che non hanno più un valore aziendale consente anche di gestire i rischi e le responsabilità riducendo di fatto la superficie potenziali di attacco.

Il ciclo di vita dei dati comprende:

  • Policy di Conservazione: queste policy sono la pietra miliare per la gestione del ciclo di vita dei vostra dati, in quanto è possibile utilizzarli in Exchange Online, Sharepoint Online, OneDrive , Teams e Viva Engage. Impostare che determinate tipologie di dati devono essere conservati per tempo indeterminato o per un periodo specifico di tempo anche se gli utenti lo eliminano o ne modificano il contenuto è un plus veramente importante. Queste policy offrono molta granularità perché possono essere applicate a tutti gli utenti o solo a specifici utenti in base all’esigenza aziendale, oppure possono essere applicate solo a determinati siti di Sharepoint.
  • Archiviazione delle cassette postali: consente di fornire spazio aggiuntivi agli utenti che richiedono più di 100 GB di spazio di archiviazione, impostando in modo automatico dei criteri che permettono di archiviare e-mail più “vecchie” di un tempo definito dell’utente
  • Cassette Postali Inattive: consente di conservare il contenuto delle cassette postali anche quando il dipendente ha lasciato l’organizzazione
  • Servizio di Import di file PST: permette di eseguire il caricamento di file PST via rete o spedendo l’unita in cui essi risiedono, a tal proposito per l’import di file PST vi rimando al mio articolo Importare gratuitamente file PST in Office 365 e migrare la posta elettronica utilizzando lo strumento AzCopy – ICT Power

Microsoft offre quindi un unico portale in cui poter gestire tutte queste policy volte a salvaguardare i dati della vostra organizzazione. Inoltre è molto importante ricordarvi che Data Lifecycle Management è nativamente integrabile con il servizio di Insider Risk Management.

Prerequisiti

Iniziamo come sempre con il discordo licenze, per poter utilizzare questa funzionalità, e vi anticipo che per questo pillar il discorso licenze è molto articolato, e varia in base alle funzionalità di Retention che vorrete applicare, ma non preoccupatevi perché procederò a darvi evidenza di tutto il piano Licensing.

Come ho spiegato in ogni articolo per una visione completa di tutti i piani di Microsoft 365 vi invito a visionare il sito Home | M365 Maps dove Aaron Dinnage ha svolto un ottimo lavoro per la community.

Licenze per Retention Policies

  • Microsoft 365 E5/A5/G5/E3/A3/G3, Business Premium
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Information Protection and Governance
  • Office 365 E5/A5/G5/E3/A3/G3

Se la Retention Policy è applicata ad una Mailbox di Exchange Online anche le seguente licenze sono sufficienti:

  • Exchange Plan 2
  • Exchange Online Archiving

Se la Retention Policy è applicata a Sharepoint o Onedrive for Business anche le seguente licenze fornisce il servizio:

  • SharePoint Plan 2

Se la Retention Policy è applicata a Chat di Microsoft Teams, Canali o Canali privati, le seguenti licenze forniscono i diritti utente ed il periodo di conservazione o cancellazione deve essere superiore a 30 giorni per i piani sottolineati:

  • Microsoft 365 E5/G5/A5/E3/G3/A3/F3/F1, Business Basic, Business Standard, and Business Premium
  • Office 365 E5/G5/A5/E3/G3/A3/F3/E1/G1
  • Microsoft 365 F5 Compliance and Microsoft 365 F5 Security and Compliance add-on plans

Se le Retention Policy vengono utilizzate in “Adaptive Scope” sono necessarie le seguenti licenze per fornire i diritti agli utenti:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 Information Protection and Governance

Se le Retention Policy si applicano a Microsoft 365 Copilot sono necessarie le seguenti licenze:

  • Microsoft 365 E3/E5 + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 Compliance + Microsoft 365 Copilot
  • Microsoft 365 E3 + Microsoft E5 Information Protection and Governance + Microsoft 365 Copilot

License per Retention Labels

Per le Retention Labels sono necessarie le seguenti licenze:

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Information Protection and Governance
  • Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

Per le seguenti operazioni all’interno delle retention Labels:

  • Cominciare il periodo di Retention allo scaturire di un determinanto evento
  • Contrassegnare durante il Retention Period gli elementi secondo gli standard normativi

Sono necessarie una delle seguenti licenze:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Office 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 Information Protection and Governance

Licenze per Policy di Retention Labels

Le Retention Lable vegono applicate a file o messaggi di posta elettronica con i seguenti metodi:

  • Pubblicazione delle etichette in modo che siano disponibili per gli utenti finali per l’etichettatura manuale.
  • Applicazione automatica tramite la configurazione dei criteri di etichetta di conservazione.
  • Attraverso altri metodi di applicazione come le etichette predefinite.

Sono quindi necessarie le seguenti licenze:

  • Microsoft 365 E5/A5/G5/E3/A3/G3/F3/F1/Business Premium
  • Conformità a Microsoft 365 E5/A5/G5/F5 e sicurezza e conformità F5
  • Protezione delle informazioni e governance di Microsoft 365 E5/A5/F5/G5
  • Office 365 E5/A5/G5/E3/A3/G3/F3/E1/A1/G1

I metodi di distribuzione delle policy per le etichette sono I seguenti:

  • Applica automaticamente ai contenuti che contengono informazioni riservate
  • Applica automaticamente a contenuti che contengono parole, frasi o proprietà specifiche
  • Applicare un’etichetta di conservazione predefinita a una raccolta documenti, una cartella o un set di documenti di SharePoint
  • Uso di un ambito dei criteri adattivi nei criteri dell’etichetta di conservazione

E sono necessarie le seguenti licenze:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Information Protection and Governance
  • Office 365 E5/A5/G5

Se invece dovete eseguire l’applicazione tramite “Trainable Classifier” sono necessarie almeno una delle seguenti licenze:

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Information Protection and Governance

Licenze per Archiviazione Mail

Per eseguire l’import tramite PST con AZCopy è necessarie una delle seguenti licenze:

  • Exchange Online P2
  • Microsoft 365 E5/A5/G5/E3/A3/G3
  • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Information Protection and Governance
  • Office 365 E5/A5/G5/E3/A3/G3

Invece per abilitare l’archivio sulle mailbox in auto espansione sono necessarie le seguenti licenze:

  • Archive mailbox limited to 50 GB
    • Exchange Online Plan 1
    • Office 365 E1
  • Archive mailbox limited to 1.5 TB
    • Exchange Online Archiving
    • Exchange Online Plan 2
    • Microsoft 365 E5/A5/G5/E3/A3/G3
    • Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
    • Microsoft 365 E5/A5/F5/G5 Information Protection and Governance
    • Office 365 E5/A5/G5/E3/A3/G3
    • Microsoft 365 Business Premium

Ricapitolando con la funzionalità di Data Lifecycle Management è possibile eseguire le seguenti attività, che per comodità vi riepilogo nella tabella sottostante

Attività Documentazione
Configurare Retention Policy sui seguenti workload:
– Exchange
– SharePoint
– OneDrive
– Microsoft 365 Groups
– Teams
– Copilot and AI apps
– Viva Engage
– Skype for Business
Create and configure retention policies
Mantenimento di dati quando vengono rilevate attività Malevole Dynamically mitigate the risk of accidental or malicious deletes
Fornire maggiore spazio nella mailbox dell’utente Enable archive mailboxes in Microsoft 365
Mantenimento della Mailbox dopo dimissioni utenze Create and manage inactive mailboxes
Upload PST all’interno delle Mailbox Use network upload to import PST files

Nell’articolo andremo a vedere insieme come poter configurare Retention Policy per il Workload di Exchange online di un utente, dicendo di eliminare le email dopo 7 giorni dalla data di ricezione ed applicherò una policy anche ad un canale Teams per eliminare lo storico delle chat in modo del tutto automatizzato

Svolgimento

Figura 1: Licenze utilizzate per demo, Microsoft 365 E5 che mi permette di sfruttare appieno tutte le funzionalità

Figura 2: Utente Global Admin utilizzato per la startup del servizio

Come prima operazione dovete procedere ad eseguire l’onboarding del servizio Microsoft Purview: Data Lifecycle Management

Figura 3: Scegliete di Entrare all’interno del nuovo portale di Microsoft Purview

Figura 4: Scegliamo di rimanere all’interno del nuovo portale in quanto il portale Legacy andrà spesso in dismissione

Figura 5: Selezioniamo il servizio di Data Lifecycle Management

Figura 6: Creazione della retention policy dal portale di Microsoft Purview

Figura 7: Inserimento nome policy e descrizione, il consiglio è di avere entrambi parlanti per identificare in modo preciso e puntuale nel futuro la policy

Figura 8: Selezioniamo “Static” così da poter scegliere dove applicare la nostra policy

Figura 9: Scegliamo il Workload di Exchange e selezioniamo la nostra utenza

Figura 10: Selezioniamo l’utente a cui applicare la Policy nel mio caso Utente Demo

Figura 11: Continuiamo con la configurazione

Figura 12: Selezioniamo di voler eliminare gli elementi dopo 7 giorni dalla data di creazione (nel mio caso data di ricezione della email)

Figura 13: Review della configurazione fatta, il sistema ci avvisa che se attiviamo la policy le email vengono rimosse dopo 7 giorni

Figura 14: Policy di Retention applicata in modo corretto

Figura 15: Policy creata presente all’interno del portale di Microsoft Purview

Vi riporto in oltre la situazione della cassetta postale prima dell’applicazione della Label

Figura 16: Elementi presenti nella cassetta posta di Utente Demo datati 10/5/2024 prima dell’applicazione della policy

Ora attendiamo l’applicazione della policy, nel mio caso ci sono volute all’incirca 2 ore.

Se eventualmente volete “accelerare” il processo di applicazione della policy potete connettervi via Powershell ad Exchange Online e eseguire il comando

Figura 17: Esecuzione comando Start-ManagedFolderAssistant per forzare la Sync delle policy di Retention

Figura 18: Situazione casella di posta dopo che la Retention Policy è stata applicata con successo

Ora intanto che attendiamo l’applicazione della policy all’interno di Exchange Online, configuriamo anche la policy per Microsoft Teams così da darvi evidenza anche di questa casitica.

Figura 19: Creiamo la policy di Retention per la parte relativa a Microsoft Teams

Figura 20: Procediamo alla creazione della nuova Retention Policy

Figura 21: Inseriamo Nome della policy e descrizione, il consiglio è di creare nome e descrizione parlante in modo tale da identificare in modo rapido cosa fa la policy

Figura 22: Selezioniamo Statico in modo tale da essere il più granulari possibili nella scelta

Figura 23: Selezioniamo il Team a cui vogliamo applicare la policy

Figura 24: Selezioniamo il Team a cui voler applicare la policy

Figura 25: Continuiamo con la configurazione e clicchiamo su “next”

Figura 26: Cancelliamo le chat con la data di ultima modifica prima dell’ultimo giorno

Figura 27: Salviamo la configurazione

Figura 28: Policy salvata correttamente

Vi riporto le chat prima dell’applicazione della policy

Figura 29: Chat presente nel Teams prima dell’applicazione della policy

Dopo aver atteso il tempo necessario, la documentazione ufficiale Microsoft conferma che una volta creata la Policy sono necessari 7 giorni prima che si vedano i risultati, in questo caso di cancellazione delle chat Automatically retain or delete content by using retention policies | Microsoft Learn

Figura 30: Schema creazione delle Retention Policy con relativa tempistica di applicazione

Ho dovuto attendere 7 giorni da Calendario, ma la chat indicata del Team si è correttamente eliminata

Figura 31: Chat di Microsoft Teams del canale indicato nella policy dopo 7 giorni è stata correttamente cancellata

Conclusioni

Avere a disposizione uno strumento, che in modo del tutto automatizzato permette di procedere all’eliminazione di elementi per rispettare politiche di Privacy al giorno d’oggi per me è un Must.

In questo modo potete rispondere in modo esigente e puntuale a normative aziendali o dello stato in cui la vostra organizzazione risiede senza incorrere il rischio di pesanti sanzioni amministrative ed essere quindi pienamente compliance con i maggiori standard di sicurezza disponibili sul mercato.

Microsoft Purview è veramente un ottimo servizio offerto dalla casa di Redmond che racchiude diversi Workload che cercherò di spiegarvi in diversi articoli messi a disposizione della community.