• Cloud, Guide, Microsoft 365, Sicurezza
• 28 Marzo 2026

All’interno della community ho parlato in diversi articoli delle potenzialità di Microsoft Purview Information Protection sulle sue innumerevoli applicazioni, vi riporto gli articoli così eventualmente potete approfondire questa le funzionalità:

• Microsoft Purview: Information Protection Client – ICT Power
• Microsoft Purview: MIP (Microsoft Information Protection) Scanner – ICT Power
• Microsoft Purview: Information Protection e Sensitivity Labels – ICT Power
• Microsoft Purview: Information Protection on SQL Database – ICT Power

Questa volta vorrei parlarvi dell’applicazione delle Label in modo automatico per i file che gli utenti aziendali utilizzano, funzionalità a mio avviso molto importante in ottica compliance e Data Security in quanto permette in modo del tutto automatico di etichettare i file secondo determinati standard che l’organizzazione “impone”.

Quando si procede alla creazione di un’etichetta di riservatezza, è possibile assegnare automaticamente tale etichetta agli elementi di Microsoft 365, ad esempio file e messaggi di posta elettronica, quando i dati corrispondono alle condizioni che gli amministratori configurano.

La possibilità di applicare automaticamente etichette di riservatezza al contenuto è importante per tre motivi a mio avviso fondamentali:

• Non è necessario spiegare agli utenti quando usare le singole classificazioni
• Non è necessario affidarsi solo agli utenti per la classificazione corretta del contenuto
• Gli utenti non hanno più bisogno di conoscere i criteri e possono concentrarsi solo sulla loro operatività

Esistono due modi diversi per applicare automaticamente un’etichetta di riservatezza in Microsoft 365:

• Etichettatura lato client quando gli utenti modificano documenti o compongono (e rispondono o inoltrano) messaggi di posta elettronica: usare un’etichetta configurata per l’applicazione automatica di etichette per file e messaggi di posta elettronica (include Word, Excel, PowerPoint e Outlook). Questo modo supporta la raccomandazione di un’etichetta agli utenti, nonché l’applicazione automatica di un’etichetta. In entrambi i casi, comunque, l’utente decide se accettarla o rifiutarla, per garantire la corretta etichettatura del documento. Questa etichettatura lato client ha un “ritardo” minimo per i documenti perché la Label può essere applicata anche prima di salvare il documento. Inoltre è bene specificare che non tutte le app client supportano l’etichettatura automatica Manage sensitivity labels in Office apps | Microsoft Learn
• Etichettatura lato servizio quando il contenuto è già salvato (in SharePoint o OneDrive) o inviato tramite posta elettronica (elaborato da Exchange Online): usare un criterio di applicazione automatica di etichette. Questo metodo potrebbe essere indicato anche come applicazione automatica di etichette per i dati inattivi (documenti in SharePoint e OneDrive) e per i dati in transito (messaggi di posta elettronica inviati o ricevuti da Exchange). Per Exchange, non include i messaggi di posta elettronica inattivi (cassette postali)

Vi riporto inoltre le specifiche caratteristiche dell’etichettatura automatica relativa ai differenti Workload di Microsoft 365 per darvi un’ampia panoramica sullo strumento.

SharePoint e OneDrive

• Sono supportati documenti PDF e file di Office come Word (docx), PowerPoint (pptx), Excel (xlsx)
  • Questi file “inattivi” possono essere etichettati automaticamente prima o dopo la creazione dei criteri di etichettatura automatica.
  • Al momento gli allegati agli elementi dell’elenco non sono supportati e non verranno etichettati automaticamente
• Massimo 100.000 file etichettati automaticamente nel Tenant al giorno
• Massimo 100 criteri di etichettatura automatica per Tenant, ognuno destinato a un massimo di 100 posizioni (siti di SharePoint o singoli utenti o gruppi di OneDrive) quando si specificano posizioni usando le opzioni Incluse o Escluse. Se si configura l’impostazione su “tutto” questa configurazione è esente dalle massimo 100 posizioni
  
• I valori esistenti per “Modificato”, “Modificato da” e la data non vengono cambiati dai criteri di etichettatura automatica, sia per la modalità di simulazione che per l’applicazione delle etichette

Exchange Online

• Gli allegati PDF e gli allegati di Office vengono anallizzati per individuare le condizioni specifiche nei criteri di etichettatura automatica. Quando viene rilevata una corrispondenza, viene applicata un’etichetta al messaggio, ma non all’allegato.
  
  • Per quanto riguarda i PDF, se l’etichetta applica la crittografia i file vengono crittografati usando la funzionalità Message Encryption quando nel tenant è abilitata la funzionalità per i file PDF
    
  • Sono supportati tutti i file Word, PowerPoint ed Excel
    
• Se sono presenti regole di flusso di posta Exchange o criteri DLP che applicano crittografia IRM e il contenuto corrisponde anche a un criterio di etichettatura automatica, viene applicata l’etichetta. Se l’etichetta applica la crittografia, le impostazioni IRM delle regole vengono ignorate, se non la applica, le impostazioni IRM si aggiungono all’etichetta.
• Le email già protette con crittografia IRM ma senza etichetta possono essere sostituite da un’etichetta automatica con crittografia se viene rilevata una corrispondenza.
• La posta in arrivo viene etichettata automaticamente quando soddisfa le condizioni. Per includere mittenti esterni, il percorso Exchange deve essere impostato su “Tutti inclusi, Nessuno escluso”.
• Se l’etichetta applica la crittografia, questa viene sempre applicata per mittenti interni; per i mittenti esterni non è applicata per impostazione predefinita, ma può esserlo configurando impostazioni aggiuntive e un proprietario di Rights Management.
• Quando la crittografia è applicata, il proprietario di Rights Management coincide con il mittente interno; per i mittenti esterni può essere specificato. Se l’etichetta usa contrassegni di contenuto con variabili, nelle email in arrivo possono comparire nomi di persone esterne all’organizzazione.

Comparazione Auto-Labeling per Office Apps con Auto-Labeling Policy

Modalità di Valutazione di più condizioni quando si applicano a più etichette

Le etichette vengono ordinate per la valutazione in base alla posizione specificata nel portale di Microsoft Purview.

L’etichetta posizionata per prima ha la posizione più bassa (meno sensibile, quindi la priorità più bassa) e l’etichetta posizionata per ultima ha la posizione più alta (la più sensibile, quindi priorità più alta).

Questo comportamento è valido anche per l’etichettatura automatica, quando le etichette secondarie condividono la stessa etichetta padre: se dopo la valutazione e l’ordinamento più etichette secondarie della stessa etichetta padra soddisfano le condizioni di etichettatura automatica l’etichetta secondaria con il numero di ordine più alto viene selezionata e applicata.

Tuttavia, il comportamento è leggermente diverso per Auto-Labeling per il client, in quanto se più etichette secondarie della stessa etichetta padre corrispondo alle condizioni:

• Se un file non è già etichettato, viene sempre selezionata la label secondaria di ordine più alto configurata per l’etichettatura automatica anziché l’etichetta secondaria di ordine più alta
• Se un file è già etichettato con una sotto etichetta dello stesso elemento padre non viene eseguita alcuna azione e l’etichetta secondaria esistente rimane

Licenze Necessarie

La funzionalità di Auto-Labeling è compresa in queste licenze:

• Microsoft 365 E5 / A5 / G5
• Office 365 E5 / A5 / G5
• Microsoft 365 E5 Compliance
• Microsoft 365 E5 Information Protection & Governance
• Microsoft Purview Suite
• Microsoft Purview Suite for Business Premium

Come sempre vi lascio il link al sito di Aaron Dinnage Home | M365 Maps

Per darvi evidenza di questa funzionalità vi mostrerò come etichettare in modo automatico una mail in Exchange Online, un documento in OneDrive.

NB: tutti i dati presenti in questo articolo sono frutto di pura fantasia ed ogni riferimento a cose o persone è puramente casuale

Figura 1: File che contiene informazioni sensibili Italiani che utilizzeremo come Demo

Figura 2: File di Demo che risiede all’interno del mio account di OneDrive

Ora siamo pronti per creare una Label e successivamente applicare una policy di Auto-Labeling per far si che tutti i file che hanno al proprio interno dati sensibili vengano classificati in modo automatico.

Quali sono i vantaggi dell’ Auto-Labeling

Protezione automatica dei dati

I dati sensibili vengono classificati e protetti in modo automatico, riducendo difatti il rischio che le informazioni critiche delle organizzazioni rimangono senza protezione

Riduzione dell’errore umano

Gli utenti spesso dimenticano di applicare le etichette manualmente. L’auto-Labeling elimina questa dipendenza dal comportamento umano aumentando in modo considerevole la protezione dei dati.

Miglioramento conformità normativa

Aiuta a rispettare normative come GDPR o policy interne, perché i dati sensibili vengono identificati e gestiti in modo coerente

Scalabilità

Questa funzionalità può applicare etichette a grandi volumi di dati automaticamente, cosa molto difficile da fare manualmente da parte degli utenti

Automazione dei processi di Compliance

Questa funzionalità permette di applicare in modo automatico le seguenti azioni:

• Cifratura
• Restrizioni di accesso
• Watermark

Quali sono gli svantaggi dell’Auto Labeling

Possibili falsi positivi

Il sistema di etichettatura automatica può etichettare dati che non sono realmente sensibili, causando classificazioni eccessive

Possibili falsi negativi

Alcuni dati sensibili potrebbero non essere rilevati, soprattutto se non seguono pattern riconoscibili

Complessità di Configurazione

La definizione delle regole richiede:

• Analisi dei dati aziendali
• Tuning delle policy
• Test prima della distribuzione

Impatto sugli utenti

Se applicano etichette in modo troppo “aggressivo” questo può provocare:

• limitazione di accesso ai documenti
• creare “frustrazione” negli utenti

Costi e Licenze

Le funzionalità di Auto Label richiedono delle licenze specifiche non costi maggiori

Per tutti questi motivi la scelta dell’etichettatura automatica deve essere scelta in modo ponderato e quando l’azienda ha già la piena governance dei dati.

Ora che avete appreso i requisiti, insieme a Pro e Contro della funzionalità vi fornisco gli steps da seguire per implementare questa funzionalità di Microsoft Purview.

Figura 3: Licenze Microsoft 365 E5 presenti all’interno del Tenant demo per dare evidenza di questa funzionalità

Rechiamoci all’interno del portale di Microsoft Purview

Figura 4: Portale di Microsoft Purview, con sezione dedicata a Information Protection

Figura 5: Rechiamoci nella sezione relativa alle Label per procedere alla creazione di un’etichetta che andremo ad applicare in modo automatico

Figura 6: Procediamo a creare una nuova Label per etichettare il documento di demo di cui vi ho dato evidenza

Figura 7: Assegniamo un nome alla label ed una descrizione agli utenti e agli Admin selezionando un colore per l’etichetta, vi consiglio nomi e descrizione parlanti

Figura 8: Selezioniamo “File & Other Assets” e “Group & Sites” successivamente proseguiamo con la configurazione

Figura 9: Selezioniamo “Control Access” questo ci permetterà di definire chi ha accesso ed in che modo ai file

Figura 10: Come demo, permetterò che per gli account gmail.com il documento sarà in sola lettura, possiamo inserire per esempio il dominio di un competitor o assegnare permessi in base all’esigenza

Figura 11: Scelgo di assegnare i permessi di Editor al mio utente

Figura 12: Revisione dei permessi assegnati e proseguiamo con la configurazione

Figura 13: Assegneremo la Policy di Auto Label in un secondo momento

Figura 14: Proseguiamo con la configurazione

Figura 15: Review e salvataggio della Label

Figura 16: Scegliamo di pubblicare successivamente la Label appena creata

Figura 17: Label correttamente creata

Ora dovremmo procedere a creare la Policy di Auto Labeling, utile ad etichettare i documenti con quella specifica Label

Figura 18: Selezioniamo Policy e successivamente Auto-Labeling Policy

Figura 19: Procediamo a creare una policy di Automatically Labeling

Figura 20: Selezioniamo Automatically Apply Label Only

Figura 21: Selezioniamo Custom Policy, questo ci permetterà di inserire in modo personalizzato quando applicare l’etichetta

Figura 22: Forniamo un nome ed una descrizione che siano parlanti per una corretta identificazione da parte degli utenti

Figura 23: Scegliamo quali policy “pubblicare” nel mio caso quella creata in precedenza

Figura 24: Proseguiamo con la configurazione

Figura 25: Selezioniamo OneDrive Accounts e click su Edit

Figura 26: Selezioniamo quale OneDrive utilizzare e dove ricercare il contenuto, nel caso specifico OneDrive del mio utente

Figura 27: Selezioniamo Common Rule e proseguiamo con la configurazione

Figura 28: Procediamo a creare una nuova regola

Figura 29: Fornite un nome ed una descrizione alla regola e poi procedete a configurare le “condizioni” nel mio caso saranno Codici Fisali Italiani

Figura 30: Diamo un nome al gruppo e aggiungiamo le Sensitive Info Type nella regola

Figura 31: Nel mio caso ho scelto queste sensitive infotype e le aggiungo alla regola

Figura 32: Nel mio caso le instance count lascio 1, ma in caso di ambienti di produzione va eseguita una verifica per evitare eventuali falsi positivi

Figura 33: Proseguiamo con la configurazione

Figura 34: Proseguiamo nella configurazione, al momento non applico la funzionalità in Preview

Figura 35: Policy in simulazione la renderemo attiva una volta che è stata completata la verifica dalla parte del sistema

Figura 36: Creazione Policy

Figura 37: Policy in simulazione creata correttamente

Quando finirà la “Simulation Mode” sarà possibile attivare la policy, nel mio caso ci sono volute all’incirca un paio di ore

Figura 38: Simulazione completata procediamo ad attivare la policy

Figura 39: Confermiamo di volere configurare la policy in Enforce

Figura 40: Policy in modalità ON

Ora cosa succede al file con i codici fiscali che avevo nel repository di OneDrive? Scopriamolo insieme!

Figura 41: Label che risulta correttamente applicata al file in modo del tutto automatico

Figura 42: Permessi che sono stati applicati dalla Label

Lato amministrativo dal Activity Explorer abbiamo visibilità di quanto viene eseguito

Figura 43: Activity Explorer che tiene traccia delle attività di Auto-Labeling

Conclusioni

L’Auto-Labeling di Microsoft Purview rappresenta uno strumento estremamente “potente” per tutte quelle organizzazioni che vogliono fare un salto di qualità nella gestione e protezione dei dati. Come abbiamo visto, la possibilità di classificare automaticamente documenti consente di ridurre drasticamente la dipendenza dal comportamento degli utenti, migliorando al tempo stesso sicurezza e compliance. Tuttavia, questa funzionalità non deve essere considerata una “soluzione plug-and-play”: per ottenere risultati efficaci è fondamentale un’attenta fase di analisi, configurazione e testing. Solo comprendendo a fondo i propri dati e definendo correttamente le policy è possibile evitare problematiche come falsi positivi o impatti negativi sull’operatività degli utenti. L’adozione di strumenti come l’Auto-Labeling non è più un’opzione ma una necessità. Se implementata correttamente, questa funzionalità consente di coniugare automazione, sicurezza e conformità normativa, contribuendo in modo concreto alla governance delle informazioni aziendali. In definitiva, il vero valore dell’Auto-Labeling emerge quando viene inserito all’interno di una strategia più ampia di Data Protection: non si tratta solo di etichettare i dati, ma di costruire un ecosistema in cui le informazioni siano sempre protette, tracciabili e gestite in modo coerente