Salta al contenuto
Tutorial

Sensitivity Labels in Microsoft Purview: tutorial setup per PMI italiane

Tutorial passo-passo per configurare Sensitivity Labels in Microsoft Purview: 4 label baseline (Pubblico, Interno, Confidenziale, Strettamente confidenziale), auto-labeling, encryption, deploy.

SynSphere Italia 11 min di lettura

Le Sensitivity Labels in Microsoft Purview sono il modo nativo Microsoft 365 di classificare e proteggere i documenti e le email aziendali. Sono il fondamento di una strategia di Information Protection moderna: senza di loro, non puoi fare DLP efficace, non puoi applicare encryption granulare, non puoi rispettare retention policy avanzate, e — punto critico — non puoi fare un rollout sicuro di Microsoft 365 Copilot (l’AI vede tutti i file via Graph rispettando i permessi, ma le etichette aggiungono il livello di protezione su classificazione).

Questo tutorial descrive il setup baseline a 4 label che configuriamo come standard per le PMI italiane: Pubblico, Interno, Confidenziale, Strettamente confidenziale. Coprono il 90% degli scenari PMI e si possono estendere successivamente con label custom per esigenze specifiche.

Pre-requisiti

Per usare Sensitivity Labels in modo completo serve:

  • Licenza Microsoft 365 Business Premium (Azure Information Protection P1 incluso) — minimo per la maggior parte delle PMI.
  • Per encryption automatica e auto-labeling: serve Microsoft 365 E5 o Microsoft 365 Compliance E5 add-on. Senza, le label sono solo “etichette visive” senza protezione attiva.
  • Ruolo amministrativo: Compliance Administrator o Compliance Data Administrator nel tenant.

Tipica PMI italiana sopra 50 dipendenti che vuole compliance NIS2/GDPR seria: deploy con E5 Compliance add-on (12 €/u/m extra) per i 5-10 utenti che gestiscono dati sensibili (HR, finance, legal). Gli altri utenti restano su Business Premium standard.

Architettura concettuale

Sensitivity Labels organizzate in gerarchia:

1. Pubblico (no encryption, condivisibile esternamente)
2. Interno (no encryption, solo utenti aziendali)
3. Confidenziale
   3a. Confidenziale - Generico
   3b. Confidenziale - Finance
   3c. Confidenziale - HR
4. Strettamente confidenziale (encryption + watermark + restrizioni)

Le label inferiori sono “default”, le superiori sono “elevate” e applicano protezione progressiva. Un utente può upgradare la label (es. da Interno a Confidenziale), non downgradare senza giustificazione (audit trail attivato).

Step 1 — Accesso a Microsoft Purview Compliance Center

  1. Naviga a https://compliance.microsoft.com (o compliance.cloud.microsoft versione nuova).
  2. Login con account Compliance Administrator.
  3. Sidebar sinistra → Information protectionLabels.
  4. Click Create a label per iniziare.

Step 2 — Configurazione label “Pubblico”

  1. Name: Pubblico. Display name: Pubblico.
  2. Description for users: “Documenti pubblicabili (siti, brochure, comunicati stampa). Nessun trattamento speciale.”
  3. Description for admins: “Default label per documenti destinati alla pubblicazione esterna. No encryption.”
  4. Define scope: Files & emails, Groups & sites, Schematized data assets (per Azure Purview integration).
  5. Choose protection settings:
    • Encryption: Off (no protezione attiva).
    • Content marking: Off (no watermark).
  6. Auto-labeling for files and emails: skip per ora (configureremo dopo).
  7. Define site and groups settings:
    • Privacy: Public.
    • External user access: Allowed.
    • Conditional Access: None.
  8. Save.

Step 3 — Configurazione label “Interno”

  1. Crea nuova label, name: Interno. Display name: Interno.
  2. Description for users: “Documenti per uso interno aziendale. Da non condividere con esterni senza autorizzazione.”
  3. Define scope: Files & emails.
  4. Protection settings:
    • Encryption: Off.
    • Content marking: Aggiungi footer: “Informazione interna {Org-Name}. Diffusione controllata.”
  5. Auto-labeling: skip.
  6. Site/Groups:
    • Privacy: Private.
    • External user access: Not allowed.
  7. Save.

Step 4 — Configurazione label “Confidenziale”

Questa è una parent label con sub-label. Configuriamo la parent.

  1. Crea nuova label, name: Confidenziale. Display name: Confidenziale.
  2. Description for users: “Documenti contenenti dati sensibili aziendali. Accesso ristretto a personale autorizzato.”
  3. Define scope: Files & emails, Groups & sites.
  4. Protection settings:
    • Encryption: On (Configure encryption settings).
    • Assign permissions now or let users decide?: “Now”. Configura:
      • Add: Security group All Employees (o gruppo equivalente che esclude esterni e ex-dipendenti).
      • Permission: Co-author (read, edit, copy, but not change permissions).
    • Watermark: “CONFIDENZIALE - Distribuzione ristretta”.
    • Header/Footer: “Confidenziale - Solo personale autorizzato”.
  5. Auto-labeling: skip per ora.
  6. Save.

Sub-label “Confidenziale - Finance”

  1. Sotto la parent ConfidenzialeAdd sub-label.
  2. Name: Confidenziale - Finance.
  3. Description for users: “Documenti finanziari sensibili (bilanci, contratti finanziari, dati bancari).”
  4. Encryption:
    • Add: Security group Finance Team (creato in advance, contenente CFO + 2-3 controller).
    • Permission: Co-author.
    • Add: Security group CdA Members (lettura per board reporting).
    • Permission: Reviewer (read, edit, copy ma no print, no copy text).
  5. Save.

Ripeti per Confidenziale - HR con security group HR Team (HR director + 2-3 HR specialist + DPO se applicabile).

Step 5 — Configurazione label “Strettamente confidenziale”

Per dati ultra-sensibili: M&A, brevetti, dati legali in procedimenti pendenti, dati biometrici/sanitari.

  1. Crea label Strettamente confidenziale.
  2. Encryption:
    • Add: specifici utenti by name (no security group — list di 3-5 persone autorizzate).
    • Permission: Co-author (per i 3-5 nominali) o Reviewer se serve solo lettura controllata.
    • Allow offline access: 7 days max (dopo l’utente deve riautenticarsi online per riaprire).
  3. Content marking:
    • Watermark dinamico con username: {User-Name} - Strettamente confidenziale - {DateTime}.
    • Header con classificazione + footer con riferimento policy.
  4. Restrictions (richiede AIP P2):
    • Block copy/paste.
    • Block print.
    • Block screenshot (Windows 11 + recent Office build).
  5. Save.

Step 6 — Pubblicazione delle label (Label Policy)

Le label create sopra non sono ancora disponibili agli utenti: serve una Label Policy che le pubblichi.

  1. Information protection → Label policiesPublish labels.
  2. Choose labels to publish: seleziona tutte le 4 label (e le sub-label).
  3. Users and groups: All users. (Per rollout pilot, seleziona prima un security group Pilot - Sensitivity Labels con 5-10 utenti volontari).
  4. Policy settings:
    • Default label for documents: Interno (raccomandato per la maggior parte delle PMI).
    • Require justification per cambi label downgrade: ✓ On.
    • Require labels for documents and emails: ✓ On (utenti devono labelare ogni nuovo doc/email).
    • Provide users with a link to a custom help page: aggiungi link a pagina interna SharePoint con guidance label.
  5. Name policy: Sensitivity Labels - Baseline Production.
  6. Submit.

Step 7 — Auto-labeling (avanzato — richiede E5)

Per detect automatico di dati sensibili italiani e auto-applicazione label appropriata:

  1. Information protection → Auto-labelingCreate auto-labeling policy.
  2. Choose label to auto-apply: Confidenziale - Finance.
  3. Choose locations: Exchange Online (email), SharePoint (siti specifici Finance), OneDrive (utenti finance).
  4. Define rules — content contains sensitive info types:
    • Italian Tax Identification Number (codice fiscale italiano).
    • Italian Value Added Tax Number (P.IVA).
    • EU Debit Card Number o Credit Card Number.
    • IBAN (con prefix IT).
    • Custom keyword dictionary (opzionale): aggiungi keyword aziendali (es. nome progetti M&A, codici cliente confidenziali).
  5. Match accuracy: 80+ confidence (riduce falsi positivi).
  6. Mode: start with Simulation (l’auto-labeling non applica realmente, ma logga cosa farebbe). 1-2 settimane di simulation, poi switch a On.
  7. Save.

Ripeti per Confidenziale - HR con sensitive types diversi (codice fiscale, dati salariali keyword, IBAN, dati medici keyword).

Step 8 — Test e rollout

Test su account pilot

  1. Login con account utente pilot.
  2. Outlook desktop: nuovo email → ribbon → Sensitivity dropdown → seleziona label.
  3. Word/Excel/PowerPoint desktop: ribbon Home → Sensitivity → seleziona label.
  4. OneDrive web: clic destro su file → Sensitivity → seleziona label.
  5. Verifica:
    • Email con label Confidenziale ricevuta da utente esterno: contenuto cifrato, link “View encrypted message”.
    • Documento con label Strettamente confidenziale: tentativo print bloccato, copy/paste disabilitato.

Rollout strategy

  • Settimana 1-2: pubblicazione label policy a 5-10 utenti pilot, training ad-hoc 1 ora.
  • Settimana 3-4: pubblicazione a tutti gli utenti, comunicazione interna che spiega cosa sono le label e come usarle.
  • Settimana 5-8: monitoring, fix delle policy in base a feedback (label sbagliate, troppe restrizioni, ecc.).
  • Settimana 9+: attivazione auto-labeling per i dati sensibili (modalità Simulation → On dopo validation).

Pitfall comuni

  • Troppe label create al day 1: 8-10 label invece di 4. Utenti confusi, adoption fallisce. Iniziare con 4, espandere se serve.
  • Encryption restrittiva su label “Confidenziale”: utenti che dovevano collaborare non possono. Bilanciare protezione vs usabilità.
  • Mancanza di default label: utenti non labelano nulla. Default Interno forza la labelizzazione.
  • Rollout senza training: utenti vedono nuovi menu che non capiscono → ignorano o disabilitano. Sempre training 1 ora prima del rollout.
  • Auto-labeling in modalità On al primo deploy: false positive enormi. Sempre Simulation prima, validation 1-2 settimane, poi On.
  • Niente policy aggiornamento label: 6 mesi dopo si scopre che CFO è cambiato ma security group Finance Team non è aggiornato. Review trimestrale.

Conclusioni

Sensitivity Labels sono una delle componenti più sottoutilizzate di Microsoft 365 Business Premium nelle PMI italiane: solo 20% dei clienti che hanno la licenza le usa effettivamente. Eppure offrono:

  • Compliance baseline GDPR, NIS2, settori regolati.
  • Pre-requisito Copilot rollout sicuro (vedi guida Copilot readiness).
  • DLP base per dati sensibili italiani (CF, IBAN, P.IVA, ecc.).
  • Encryption automatica su scenari critici.

Setup baseline 4 label richiede 1-2 giornate IT per configuration + 1 settimana rollout. Investimento minimo per un security improvement misurabile.

Per il deploy completo Sensitivity Labels nella tua azienda, contattaci: assessment dati sensibili, configurazione 4 label baseline + sub-label custom, formazione utenti, rollout monitoring.

Tag

Prodotti SynSphere correlati

I prodotti del catalogo SynSphere richiamati in questo articolo.

Confronti correlati

Approfondisci con confronti puntuali fra i prodotti citati nell'articolo.

Altri articoli Tutorial

Continua a esplorare contenuti della stessa categoria editoriale.

Hai bisogno di un consiglio sul tuo scenario?

L'articolo ti ha dato spunti utili ma vuoi confrontarti con un esperto sul tuo specifico contesto aziendale? Discovery iniziale gratuita, senza impegno.

Contattaci