DLP in Microsoft 365: come proteggere i dati sensibili con Microsoft Purview

La quantità di dati riservati che le aziende gestiscono oggi È aumentato vertiginosamente: informazioni finanziarie, dati personali, proprietà intellettuale... e tutto questo è distribuito su e-mail, Teams, SharePoint, dispositivi, applicazioni nel cloud e ora anche Strumenti di intelligenza artificiale come CopilotIn questo contesto, perdere il controllo su dove circolano queste informazioni è solo questione di tempo se non si prendono misure serie.

Ecco dove il Prevenzione della perdita di dati (DLP) in Microsoft 365 utilizzando Competenza MicrosoftNon si tratta solo di bloccare i file di tanto in tanto, ma di avere un sistema centralizzato in grado di rilevare contenuti sensibili, monitorare come vengono utilizzati e mettere freni intelligenti quando qualcuno cerca di condividerli in modo inappropriato, senza compromettere la produttività quotidiana.

Cos'è la DLP in Microsoft 365 e perché è così importante?

Quando parliamo di DLP in Microsoft 365, ci riferiamo a un insieme di direttive che aiutano a impedire che le informazioni sensibili escano dal posto sbagliatoÈ integrato in Microsoft Purview, la piattaforma di governance e conformità dei dati di Microsoft, e agisce su quasi tutto ciò che i tuoi utenti utilizzano quotidianamente.

Le organizzazioni gestiscono dati particolarmente sensibili come numeri di carte di credito, dettagli di conti bancari, cartelle cliniche, numeri di previdenza sociale, dati dei dipendenti, segreti commerciali o documentazione protetta da contratti e normative (GDPR, HIPAA, PCI-DSS, ecc.). Una trasmissione accidentale in un'e-mail, un file condiviso con terze parti o un copia-incolla sul sito sbagliato possono portare a una violazione con enormi ripercussioni legali e reputazionali.

Con Microsoft Purview DLP puoi definire politiche centralizzate che identificano i contenuti sensibili, li monitorano ovunque si trovino e applicano azioni di protezione automatiche: dalla notifica all'utente al blocco completo di un'azione o all'invio del file in quarantena.

La chiave è che DLP in Microsoft 365 non cerca solo singole parole, ma esegue un analisi approfondita dei contenuti combinando tipi di informazioni sensibili (SIT), espressioni regolari, parole chiave, convalide interne e, in molti casi, algoritmi di apprendimento automatico per ridurre i falsi positivi.

Aree di protezione: applicazioni aziendali, dispositivi e traffico web

Uno dei grandi punti di forza di Microsoft Purview DLP è che copre entrambi dati a riposo, in uso e in movimento in diverse sedi. Non si limita a Exchange o SharePoint, ma si estende a dispositivi, applicazioni Office, applicazioni cloud di terze parti, traffico web, Copilot e molto altro.

DLP nelle applicazioni e nei dispositivi aziendali

Nel campo delle applicazioni e dei dispositivi, DLP può Monitorare e proteggere le informazioni nei carichi di lavoro chiave di Microsoft 365 e in altre fonti aggiuntive configurate dal portale Purview.

Tra i posizioni supportate Tra gli altri troviamo quanto segue:

• Scambio online (email aziendale).
• SharePoint Online (siti di collaborazione e repository di documenti).
• OneDrive for Business (cartelle personali degli utenti).
• Microsoft Squadre (messaggi di chat, canali standard, condivisi e privati).
• applicazioni per ufficio (Word, Excel, PowerPoint, sia desktop che web).
• Dispositivi Windows 10, Windows 11 e macOS (ultime tre versioni), tra cui Portátiles, desktop compatibili e sistemi VDI.
• Applicazioni cloud non Microsoft, integrato tramite Defender for Cloud Apps.
• Repository locali come risorse di file condivise e SharePoint in locale, utilizzando analizzatori di protezione delle informazioni.
• Aree di lavoro Fabric e Power BI, che comprende report e set di dati.
• Microsoft 365 Copilot (versione di anteprima in alcuni scenari) e chat del copilota.

Per queste origini tu crei Direttive DLP mirate ad “applicazioni e dispositivi aziendali”Ciò consente un controllo coerente delle regole in tutte queste sedi da un unico pannello.

DLP sul traffico web non gestito e sulle applicazioni cloud

Oltre ai servizi "interni", Purview DLP può anche controlla i dati che lasciano la tua rete verso applicazioni cloud non gestitesoprattutto quando gli utenti accedono con Microsoft Edge per le aziende o tramite controlli di rete.

È qui che le direttive mirano a “traffico web inserito” e “attività di rete” (funzionalità in anteprima in alcuni ambienti), che consentono, ad esempio, di controllare cosa viene incollato in:

• OpenAI ChatGPT.
• Google Gemelli.
• DeepSeek.
• Copilota Microsoft sul web
• E oltre 34.000 applicazioni cloud catalogate in Defender for Cloud Apps.

Pertanto, anche se un utente tenta di copiare informazioni sensibili da un documento interno a un'app esterna, La direttiva DLP può rilevare il contenuto e bloccare o controllare l'azione in base alla configurazione definita.

Caratteristiche principali di Microsoft Purview DLP

Purview DLP non è solo un filtro di contenuto: è un elemento centrale della strategia di protezione e governance dei dati di Microsoft. È progettato per integrarsi con altre funzionalità di Purview e fornire un approccio coerente, dalla classificazione alla risposta agli incidenti.

Tra i suoi caratteristiche principali comprendono:

• Centro di amministrazione delle polizze unico dal portale Microsoft Purview, per creare, modificare e distribuire criteri DLP su scala globale.
• Integrazione con Purview Information Protection, riutilizzando etichette di riservatezza pronte all'uso, personalizzate o avanzate e tipologie di informazioni sensibili (inclusi classificatori addestrabili).
• Avvisi e correzioni unificati che può essere visualizzato sia nel pannello Purview DLP che in Microsoft Defender XDR o Microsoft Sentinel per scenari SIEM/SOAR.
• Avviare veloce Grazie ai modelli di direttiva, non è necessario configurare complesse infrastrutture cloud.
• Protezione adattiva, con politiche il cui rigore varia a seconda del livello di rischio (alto, moderato o basso) e del contesto.
• Riduzione dei falsi positivi attraverso l'analisi dei contenuti contestuali e l'apprendimento automatico.

Tutto ciò rende Purview DLP una soluzione particolarmente interessante per i settori regolamentati (sanità, banche, pubblica amministrazione, istruzione, tecnologia) e per qualsiasi organizzazione che debba rispettare requisiti rigorosi come il GDPR o l'HIPAA.

Ciclo di vita dell'implementazione DLP: dall'idea alla produzione

L'impostazione casuale del DLP è solitamente una ricetta perfetta per bloccare i processi critici e far arrabbiare tuttiMicrosoft delinea un ciclo di vita chiaro che dovrebbe essere rispettato per garantire un'implementazione di successo ed evitare grattacapi.

Fase di pianificazione

Durante la fase di pianificazione, dovresti pensare a entrambi tecnologia, così come processi aziendali e cultura organizzativaAlcune tappe importanti:

• Identificare il parti interessate: responsabili della sicurezza, legali, aziendali, IT, delle risorse umane, ecc.
• Definire il categorie di informazioni riservate che devi proteggere (dati personali, dati finanziari, IP, ecc.).
• Determinare obiettivi e strategia: cosa vuoi evitare esattamente (invio esterno, copia a USBcaricamento su determinate app, ecc.).
• Valutare il luoghi in cui applicherai DLPServizi Microsoft 365, dispositivi, repository locali, applicazioni cloud esterne…

Inoltre, dobbiamo considerare il impatto sui processi aziendaliDLP può bloccare azioni comuni (ad esempio, l'invio di determinati report via e-mail a un fornitore) e ciò comporta la negoziazione di eccezioni, la creazione di flussi di lavoro alternativi o l'adattamento delle abitudini.

Infine, non dimenticare la parte su cambiamento culturale e formazioneGli utenti devono comprendere perché determinate azioni vengono bloccate e come operare in sicurezza. I suggerimenti sulle policy in-app sono uno strumento molto utile per istruire gli utenti senza essere eccessivamente restrittivi.

Preparare l'ambiente e i prerequisiti

Prima di attivare policy che bloccano le cose, devi assicurarti che Tutte le sedi sono adeguatamente preparate e collegato a Purview:

• Exchange Online, SharePoint, OneDrive e Teams richiedono solo la definizione di policy che li includano.
• I repository di file locali e SharePoint locale devono distribuire Analizzatore della protezione delle informazioni.
• I dispositivi Windows, macOS e gli ambienti virtualizzati vengono integrati tramite specifiche procedure di onboarding.
• Le applicazioni cloud di terze parti sono gestite tramite Microsoft Defender per app cloud.

Una volta preparate le posizioni, il passo successivo consigliato è Configurare le bozze delle policy e testarle ampiamente prima di iniziare a bloccare.

Implementazione incrementale: simulazione, aggiustamenti e attivazione

L'implementazione di una direttiva DLP dovrebbe seguire un approccio graduale, utilizzando tre assi di controllo: stato, ambito e azioni.

I stati principali Gli elementi di una direttiva sono:

• Tienilo spento: progettazione e revisione, senza impatto reale.
• Eseguire la direttiva in modalità simulazioneGli eventi vengono registrati, ma non vengono applicate azioni di blocco.
• Simulazione con suggerimenti politiciNon è ancora bloccato, ma gli utenti ricevono notifiche ed e-mail (a seconda dei casi) che li informano.
• Attivalo subito: modalità di piena conformità, vengono applicate tutte le azioni configurate.

Durante le fasi di simulazione è possibile regolare il ambito di applicazione della direttiva: inizia con un piccolo gruppo di utenti o posizioni (gruppo pilota) ed espandilo man mano che perfezioni le condizioni, le eccezioni e i messaggi degli utenti.

Come l' azioniÈ meglio iniziare con opzioni non invasive come "Consenti" o "Solo controllo", introdurre gradualmente le notifiche e infine passare a blocco con possibilità di invalidazione e, nei casi più critici, al blocco permanente.

Componenti di un criterio DLP in Microsoft 365

Tutte le direttive DLP di Microsoft Purview condividono una struttura logica: cosa viene monitorato, dove, in quali condizioni e cosa viene fatto quando viene rilevatoQuando lo crei (da zero o da un modello) dovrai prendere decisioni in ciascuna di queste aree.

Cosa monitorare: modelli e policy personalizzati

Offerte di Purview modelli di policy DLP già pronti per scenari comuni (per paese, regolamento, settore, ecc.) che includono tipi di informazioni riservate tipiche di ogni regolamento, tra cui metadati nei PDFSe preferisci, puoi anche creare la tua polizza personalizzata e scegliere i SIT o le condizioni che desideri.

Ambito amministrativo e unità amministrative

In ambienti di grandi dimensioni, è comune delegare la gestione a diverse aree. Per questo, è possibile utilizzare unità amministrative In Purview: un amministratore assegnato a un'unità può creare e gestire policy solo per utenti, gruppi, siti e dispositivi nel suo ambito.

Questa soluzione è utile quando, ad esempio, si desidera che il team di sicurezza di una regione gestisca le proprie policy DLP senza influire sul resto del tenant.

Posizioni direttive

Il prossimo passo è selezionare dove il consiglio monitoreràAlcune delle opzioni più comuni sono:

Posizione	Criteri di inclusione/esclusione
Scambio di posta	Gruppi di distribuzione
Siti di SharePoint	Siti specifici
Account OneDrive	Conti o gruppi di distribuzione
Chat e canali di Teams	Conti o gruppi di distribuzione
Dispositivi Windows e macOS	Utenti, gruppi, dispositivi e gruppi di dispositivi
Applicazioni cloud (Defender per app cloud)	Istanze
Repository locali	Percorsi delle cartelle
Fabric e Power BI	Aree di lavoro
Copilota Microsoft 365	Conti o gruppi di distribuzione

Condizioni di corrispondenza

Le condizioni Definiscono cosa deve essere soddisfatto affinché una regola DLP si "attivi". Alcuni esempi tipici:

• Il contenuto contiene uno o più tipi di informazioni riservate (ad esempio, 95 numeri di previdenza sociale in un'e-mail a destinatari esterni).
• L'elemento ha un etichetta di riservatezza specifico (ad esempio "Estremamente riservato").
• Il contenuto è condivisione al di fuori dell'organizzazione da Microsoft 365.
• Un file sensibile viene copiato su un Condivisione USB o di rete.
• Il contenuto riservato viene incollato in un Chat di Teams o un'app cloud non gestita.

Azioni di protezione

Una volta soddisfatta la condizione, la direttiva può eseguire diverse azioni. azioni protettiveA seconda della posizione:

• En Exchange, SharePoint e OneDrive: impedisce l'accesso da parte di utenti esterni, blocca la condivisione, mostra un suggerimento di policy all'utente e inviagli una notifica.
• En Teams: impedisce che informazioni sensibili appaiano nei messaggi della chat o del canale; se condiviso, il messaggio potrebbe essere eliminato o non visualizzato.
• En Dispositivi Windows e macOS: controlla o limita azioni come la copia su USB, la stampa, la copia su appunti, caricare su Internet, sincronizzare con client esterni, ecc.
• En Ufficio (Word, Excel, PowerPoint): visualizza un avviso pop-up, blocca il salvataggio o l'invio, consente l'invalidazione con giustificazione.
• En repository locali: sposta i file in una cartella di quarantena sicura quando vengono rilevate informazioni sensibili.

Inoltre, tutte le attività supervisionate vengono registrate nel Registro di controllo di Microsoft 365 e possono essere visualizzati in DLP Activity Explorer.

DLP in Microsoft Teams: messaggi, documenti e ambiti

Microsoft Teams è diventato l'epicentro della collaborazione, il che significa che è anche un punto critico per potenziali perdite di datiDLP in Teams estende le policy di Purview ai messaggi e ai file condivisi all'interno della piattaforma.

Proteggere messaggi e documenti in Teams

Con Microsoft Purview DLP puoi impedire a un utente di condividere informazioni riservate in una chat o in un canalesoprattutto quando sono coinvolti ospiti o utenti esterni. Alcuni scenari comuni:

• Se qualcuno prova a postare un numero di Social Security o i dati della carta di credito, il messaggio potrebbe essere automaticamente bloccato o eliminato.
• Se condividi un documento con informazioni sensibili In un canale con ospiti, il criterio DLP può impedire a tali ospiti di aprire il file (grazie all'integrazione con SharePoint e OneDrive).
• En canali condivisiSi applicano le policy del team host, anche se il canale è condiviso con un altro team interno o con un'organizzazione diversa (tenant diverso).
• En chat con utenti esterni (accesso esterno), ogni persona è regolata dal DLP del proprio tenant, ma il risultato finale è che i contenuti sensibili della tua azienda sono protetti dalle tue policy, anche se l'altra parte ne ha di diverse.

Aree di protezione DLP in Teams

La copertura DLP in Teams dipende da tipo di entità e ambito di applicazione della direttiva. Ad esempio:

• Se miri a account utente individuali Per i gruppi di sicurezza, è possibile proteggere le chat 1:1 o di gruppo, ma non necessariamente i messaggi nei canali standard o privati.
• Se miri a Gruppi di Microsoft 365La protezione può riguardare sia le chat che i messaggi provenienti da canali standard, condivisi e privati ​​associati a tali gruppi.

Per proteggere "tutto ciò che si muove" in Teams, spesso si consiglia di configurare l'ambito su tutte le località o assicurarsi che gli utenti di Teams siano inseriti in gruppi ben allineati con i criteri.

Suggerimenti sulle politiche dei team

Invece di limitarsi a bloccare, DLP in Teams può mostrare suggerimenti direttivi Quando qualcuno compie un'azione potenzialmente pericolosa, come l'invio di dati regolamentati, questi suggerimenti ne spiegano il motivo e offrono all'utente delle opzioni: correggere il contenuto, richiedere una revisione o, se la policy lo consente, ignorare la regola con una giustificazione.

Questi suggerimenti sono altamente personalizzabili dal portale Purview: puoi adattare il testo, decidere su quali servizi verranno mostrati e se verranno mostrati anche in modalità simulazione.

Endpoint DLP: controllo in Windows, macOS e ambienti virtuali

Il componente di Punto di connessione DLP Estende la protezione ai dispositivi utilizzati dai dipendenti, sia fisici che virtuali. Permette di sapere cosa accade quando un file sensibile viene copiato, stampato, caricato sul cloud o trasferito tramite canali "invisibili" dal lato server.

Endpoint DLP supporta Windows 10 e 11, così come macOS (le tre versioni più recenti). Funziona anche su ambienti virtualizzati come Azure Virtual Desktop, Windows 365, Citrix Virtual Apps and Desktops, Amazon Workspaces o macchine virtuali Hyper-V, con alcune funzionalità specifiche. Può anche essere integrato con tecnologie come Protezione delle credenziali in Windows per rafforzare la protezione degli endpoint.

Negli ambienti VDI, il I dispositivi USB sono in genere trattati come risorse di rete condivisePertanto, la policy dovrebbe includere l'attività "Copia su condivisione di rete" per coprire la copia su USB. Nei log, queste operazioni vengono riportate come copie su risorse condivise, anche se in pratica si tratta di un'unità USB.

Esistono anche alcune limitazioni note, come l'impossibilità di monitorare determinate attività di copia degli appunti tramite browser in Azure Virtual Desktop, sebbene la stessa azione sia visibile se eseguita tramite una sessione RDP.

DLP e Microsoft 365 Copilot / Copilot Chat

Con l'arrivo di Copilot, le organizzazioni hanno capito che dati sensibili possono anche finire nelle richieste e nelle interazioni con il IAMicrosoft ha incorporato controlli DLP specifici di Copilot in Purview, in modo da poter limitare le informazioni da inserire nelle richieste e i dati da utilizzare per formulare le risposte.

Blocca i tipi di informazioni sensibili nei messaggi a Copilot

In anteprima, è possibile creare direttive DLP destinate a posizione "Microsoft 365 Copilot e Copilot Chat" che bloccano l'uso di determinati tipi di informazioni sensibili (SIT) nelle applicazioni. Ad esempio:

• Impedire che vengano inclusi numeri di carta di creditodocumenti di identità del passaporto o numeri di previdenza sociale quando richiesto.
• Impedire l'invio di indirizzi postali da un paese specifico o di identificatori finanziari regolamentati.

Quando si verifica una corrispondenza, la regola può impedire a Copilot di elaborare il contenutoquindi l'utente riceve un messaggio che lo avvisa che la sua richiesta contiene dati bloccati dall'organizzazione e non viene eseguita né utilizzata per ricerche interne o sul web.

Impedisci che i file e le email taggati vengano utilizzati nei riepiloghi

Un'altra capacità è quella di impedire che file o e-mail con determinate etichette di riservatezza vengono utilizzati per generare il riepilogo della risposta del Copilota, anche se potrebbero comunque apparire come citazioni o riferimenti.

La direttiva, ancora una volta incentrata sulla posizione di Copilot, utilizza la condizione "Il contenuto contiene > Etichette di riservatezza" per rilevare elementi etichettati, ad esempio, come "Personale" o "Altamente riservato" e applica l'azione "Impedisci a Copilot di elaborare il contenuto". In pratica, Copilot non legge il contenuto di questi elementi per costruire la risposta, anche se ne indica l'esistenza.

Report, avvisi e analisi delle attività DLP

L'impostazione delle politiche è solo metà della storia: l'altra metà è vedere cosa sta succedendo e reagire in tempoPurview DLP invia tutti i dati di telemetria al registro di controllo di Microsoft 365 e da lì vengono distribuiti a diversi strumenti.

Pannello informativo generale

La pagina di panoramica DLP sul portale Purview offre una Visualizzazione rapida dello stato delle tue polizzeSincronizzazione, stato del dispositivo, principali attività rilevate e situazione generale. Da qui è possibile passare a visualizzazioni più dettagliate.

Avvisi DLP

Quando una regola DLP è configurata per generare incidenti, le attività che soddisfano i criteri li attivano. avvisi che vengono visualizzati nel pannello degli avvisi Purview DLP e anche nel portale Microsoft Defender.

Questi avvisi possono raggruppa per utente, intervallo di tempo o tipo di regolaA seconda dell'abbonamento, questo aiuta a rilevare modelli di comportamento rischiosi. Purview in genere offre 30 giorni di dati, mentre Defender consente di conservare i dati fino a sei mesi.

Esploratore di attività DLP

DLP Activity Explorer consente di filtrare e analizzare eventi dettagliati degli ultimi 30 giorniInclude viste preconfigurate come:

• Attività DLP nei punti di connessione.
• File che contengono tipi di informazioni riservate.
• Attività di uscita.
• Norme e regole che hanno rilevato attività.

È anche possibile vedere invalidazioni degli utenti (quando qualcuno ha deciso di infrangere una regola consentita) o corrispondenze di regole specifiche. Nel caso di eventi DLPRuleMatch, è anche possibile visualizzare un riepilogo contestuale del testo che circonda il contenuto corrispondente, nel rispetto delle policy sulla privacy e dei requisiti minimi di sistema.

Con questo intero ecosistema di policy, avvisi, esploratori di attività e controlli su applicazioni, dispositivi, Teams, Copilot e traffico web, Microsoft Purview DLP diventa un componente chiave per Mantieni sotto controllo i dati sensibili in Microsoft 365, ridurre il rischio di fuga, rispettare le normative e, allo stesso tempo, consentire alle persone di lavorare con relativa libertà senza vivere in uno stato di lockdown costante.