Strengthen Your Data Security Posture

Publicerat den 6 november, 2025 av Anders

As organizations scale, data grows, spreads, and becomes harder to control. Add hybrid work, cross-cloud services, and intelligent collaboration (AI) tools, and suddenly the challenge isn’t just securing access, it’s gaining visibility, context, and control over sensitive data while detecting risky access and exposure.

Microsoft Purview Data Security Posture Management (DSPM) is built for exactly that purpose. It gives you a security lens over your data estate so you can answer:

What sensitive data do we have? Where is it? Who is accessing it? And are we protecting it consistently?

image

This article walks through what DSPM is, why it matters, and most importantly what you need to have in place to get full value from it.

If you’re looking for AI-specific coverage, I covered DSPM for AI previously, read that article here: Take Control of AI Services and Sensitive Data in Your Organization | IT-Säkerhetsguiden

What DSPM does — in practice

DSPM in Microsoft Purview helps you:

  • Identify sensitive data across your organization
  • Assess & score your data security posture
  • Highlight risky users, activities, and data flows
  • Recommend and validate controls such as DLP, sensitivity labels, and access management
  • Track improvement over time via trend insights and reports

It connects your data-classification work with real-world behavior, surfacing signals like:

  • Sensitive files downloaded –> then exfiltrated to personal cloud storage
  • Users with elevated risk indicators moving sensitive content out of controlled environments
  • Unprotected or unlabeled content in high-risk locations

This isn’t just visibility, it’s prioritized insight, tied to real risk.

Why groundwork matters
(your security posture only becomes as strong as your prep)

I’ve said it many times before around the new released Purview functions:

DSPM is not magic, it accelerates whatever foundation you already have.

So to get meaningful insights, make sure of the following:

1. Custom Sensitive Information Types (SITs)

Don’t rely solely on built-in detections like SITs and trainable classifiers. Your real-world crown jewels are often industry- and organization-specific. Build custom SITs for your R&D artifacts, internal product IDs, engineering documentation, contract structures, and sensitive personal data. Always validate any built-in SITs you plan to use to minimize irrelevant noise and false positives.

2. Labels Mapped to Business-Critical Data Categories

Sensitivity labels are more than a compliance tool, they’re the foundation for DSPM intelligence. Define labels that align with your organization’s most critical data domains.
For example, distinct labels for HR, R&D, and executive management data enable clear visibility into how sensitive information is handled and where potential misuse or data exposure occurs.

3. DLP Deployed Strategically

Begin by targeting the highest-risk data flows and user groups, then expand coverage gradually. Ensure Endpoint DLP is fully deployed to monitor data movement on endpoints and integrated across Microsoft 365 and other key services. Incorporate sensitive data handling into standard operating procedures and governance frameworks to strengthen protection across your digital estate.

With these three pillars, DSPM stops being a “dashboard” and becomes a risk-driven control engine.

DSPM + Insider Risk + Defender XDR: seeing the full picture

One of the most powerful DSPM outcomes is identifying High-risk users and Potential risky users.

One example is to find

High-risk users downloading Sensitive files → then exfiltrating them externally.

This is real value, but only because the necessary integrations were in place:

  • Insider Risk Management signals enabled
  • Entra ID Protection risk telemetry
  • Defender integration for endpoint events

Without these integrations, you simply won’t see the whole XDR chain.

Make sure you enable:

These give you critical insight like suspicious sign-ins, device tampering, abnormal file-movement behavior, and more.

From Default to Defined Detections

Let’s explore how the Data Security Posture Management (DSPM) Report can help identify the most critical risk-related activities.

  1. Default view, all available sensitive information types
    By default, the DSPM report aggregates all available sensitive information types detected across your environment.
    image
  2. Filtering for business-relevant sensitive data
    Next, we apply a filter to focus only on the sensitive data categories that matter most to our organization
    image
  3. Focusing on the most risky actions
    We then narrow down to the riskiest activities, such as sharing outside the organization, copying to unmanaged locations, or uploading to non-compliant SaaS services.
    image
  4. Correlating risky users, actions, and sensitive data
    The final view highlights the intersection between risky users, risky actions, and sensitive data — providing a clear, prioritized view of where potential data exposure or misuse is most likely to occur.
    image

From DSPM to Investigation: Using Copilot

Once DSPM surfaces High-risk users, Potential risky users, or exfiltration activity, Insider Risk Management is the built in tool for investigations but you can also accelerate investigation using Microsoft Security Copilot embedded in Purview.

With the correct roles assigned (for example the Purview Data Security Viewer + Copilot-enabled investigator role) you can ask natural-language queries such as:

image
Copilot can summarize and triage DSPM signals, correlating sensitive data detection, DLP events, and Insider Risk signals to quickly pinpoint the source of risk.

Recommended rollout approach

  1. Identify high-value data (Crown Jewels)
  2. Build and validate custom and built in SITs
  3. Align sensitivity labels & DLP policies
  4. Enable Insider Risk + Entra + Defender signals
  5. Turn on DSPM and evaluate high-risk insights
  6. Use Copilot to triage and investigate alerts
  7. Iterate based on behavior, not theory

DSPM is a journey, and when paired with IRM and Defender XDR signals and Copilot, it becomes a force multiplier for governance, security, and rapid risk investigation.

Final thought

Security isn’t just about blocking, it’s about understanding your data and behaviors well enough to protect innovation without friction.

DSPM gives visibility and intelligence.
Copilot gives investigative power.
Your groundwork unlocks the full value.

Publicerat i Microsoft Purview Information Protection, Threat Protection | Märkt , , | Lämna en kommentar

Vikten av kontinuerlig övervakning av Microsoft Purview

Publicerat den 25 augusti, 2025 av Anders

Under de senaste åren när jag besökt nya kunder har jag sett samma mönster: man har börjat införa delar av Microsoft Purview, ofta i form av några Sensitivity Labels och/eller ett fåtal DLP-regler. Initialt kan detta ha varit ett bra steg mot ökad dataskyddsnivå – men tyvärr ser jag nästan alltid att lösningarna inte har följts upp sedan införandet. I de flesta fall har det gått flera år utan att någon har granskat larm, loggar eller incidenter.

Detta är ett problem, för utan uppföljning riskerar skyddet att vara mer av en pappersprodukt än ett aktivt säkerhetsverktyg. Här blir trendanalys avgörande – både för att förstå hur information används i praktiken, men också för att upptäcka om organisationen riskerar att bryta mot sina egna riktlinjer eller mot regelverk som GDPR.

Samma situation gäller även Insider Risk Management. Hos de flesta organisationer är det inte ens konfigurerat trots att licens finns. I de fall det faktiskt är igång är det ofta ingen som fått ett tydligt ansvar för att ta emot och följa upp incidenterna. Resultatet blir att potentiellt kritiska händelser aldrig hanteras.

Ett fungerande dataskydd kräver mer än bara teknisk konfiguration – det kräver kontinuerlig övervakning, analys och åtgärd. Här spelar trendanalyser en central roll.

Varför trendanalyser är viktiga

Enstaka incidenter kan ibland avfärdas som undantag, men trender avslöjar mönster och beteenden som kan utgöra större risker. Genom att samla och jämföra data över tid kan man:

  • Identifiera avvikelser från det normala.
  • Upptäcka potentiell dataexfiltration.
  • Få tidiga varningar om risker att bryta mot både interna riktlinjer och lagstadgade krav (t.ex. GDPR).
  • Se hur nya arbetssätt, teknologier och hot påverkar organisationen.

Ett av de äldsta och mest användbara verktygen här är Activity Explorer, som funnits i Purview i många år. Så snart organisationen aktiverar en MIP-komponent börjar den visualisera trender, och ju fler funktioner (t.ex. DLP-regler) man lägger till desto rikare bild får man av informationsflödena.

Samtidigt utvecklas Purview kontinuerligt. Utöver Activity Explorer finns idag även Data Security Posture Management (DSPM), DSPM for AI och det nya Data Security Investigations (under utveckling). Dessa är mer inriktade på att identifiera avvikelser, riskmönster och att stötta själva incidentutredningen – men de kompletterar snarare än ersätter trendanalysen.

Exempel: Från trendanalys till åtgärd

Låt oss ta ett konkret exempel baserat på Activity Explorer (här enbart som metodillustration – samma arbetssätt kan appliceras på andra Purview-funktioner).

Steg 1 – Identifiera trender

Genom att jämföra fyra veckors data framträder följande mönster:

  • Information som flyttas till sanktionerade och icke sanktionerade molntjänster.
  • Tillväxt i mängden data som hanteras av AI-tjänster.
  • Större användning av otillåtna appar.
  • Data som flyttas via Remote Desktop, Terminal servrar
  • Händelser som label-ändringar och dekryptering.

image
image

Steg 2 – Djupanalys

När vi bryter ner informationen ser vi inte bara hur mycket data som går till molntjänster, utan även:

  • Vilken typ av data: exempelvis R&D-data och känsliga personuppgifter enligt GDPR.
  • Vilken extern molntjänst: t.ex. specifika filöverföringslösningar, icke-sanktionerade samarbetsplattformar eller AI-verktyg.

I det sista steget upptäcker vi att känsliga personuppgifter enligt GDPR har klistrats in direkt på ChatGPT.com – en tjänst som inte är godkänd för denna typ av data.

image
image

Steg 3 – Riskbedömning

Analysen visar på flera risker:

  • Möjlig GDPR-incident om personuppgifterna hanteras utanför godkända system.
  • Risk för informationsläckage av känslig R&D/verksamhetsinformation.
  • Indikationer på bristande användarkännedom kring dataskyddspolicy.

Steg 4 – Åtgärdsförslag

Baserat på insikterna kan vi föreslå:

  1. Utökad användarutbildning i hantering av känsliga personuppgifter och GDPR generellt.
  2. Stramare DLP-regler för att blockera Sensitive GDPR-klassad data mot AI-tjänster och andra icke-sanktionerade molntjänster.
  3. Regelbunden måluppföljning varje månad för att analysera specifika datakategorier (t.ex. R&D och GDPR-data) separat.

Slutsats

Traditionellt har IT-avdelningar byggts upp kring tydliga områden som nätverk och brandväggar, identiteter och access, eller enhetshantering. Däremot finns det sällan en motsvarande funktion med ansvar för informationen i sig – hur den hanteras, skyddas och övervakas. Med dagens hotbild och regulatoriska krav är det just detta fokus som blir avgörande.

Att införa Purview-komponenter är ett viktigt första steg, men det är bara början. Utan kontinuerlig trendanalys, strukturerad uppföljning och tydliga åtgärder riskerar organisationen att missa kritisk information och därmed inte agera i tid för att förebygga informationsläckage eller felaktig hantering av känsliga data.

Publicerat i Informationssäkerhet, Microsoft Purview Information Protection | Lämna en kommentar

When AI Leaves a Mark: How DLP Helps Protect Brand & Trust

Publicerat den 4 juli, 2025 av Anders

AI tools are now part of our daily workflows. Whether you’re writing an email, summarizing meeting notes, or drafting a company announcement—services like ChatGPT, Copilot and others make things easier and faster.

But with speed comes new risk.

In a moment of copy-paste, users can easily include things they didn’t mean to share—like the actual prompt they used to get the AI to generate the message in the first place.

And that can affect more than just the message itself—it can impact how your organization is perceived.

The Invisible Risk

Let’s say an employee is drafting a kind message to a sick colleague, and wants to include a summer greeting. They open ChatGPT and ask:

”Can you write a friendly and supportive email to a colleague who is out sick? End with a warm summer wish.”

The response is great. The user copies and pastes it into Outlook—but in the rush, they include more than just the actual message. At the end of the AI-generated response, there’s a follow-up suggestion added by the assistant:

”Would you like to personalize it more based on your relationship with the colleague or the type of work you do together?”

That follow-up, meant to guide further refinement, ends up in the email by mistake.

It’s a small slip, but the signal it sends is loud: this was written by AI, and the sender didn’t fully review it.

image

Why That Matters

These types of AI artefacts—leftover instructions, editing suggestions, or prompt fragments—can give the impression of carelessness or over-reliance on automation. In the wrong context, they can be:

  • Embarrassing
  • Confusing to the recipient
  • Damaging to brand perception

Especially in industries built on trust, credibility, and personal relationships, that’s not a risk you want to take lightly.

Helping the User Catch It – Before It’s Sent

This is where Data Loss Prevention (DLP) steps in—not just as a compliance tool, but as a guardian of tone and quality.

When a user pastes content that includes clear signs of leftover AI prompts, DLP can gently intervene. The user sees a clear message, like:

Your message contains content that appears to include leftover prompts or instructions from an AI service (e.g., ChatGPT, Copilot, Bard). Please review and remove any phrases such as follow-up questions or editing instructions (e.g., ”Would you like me to rewrite this more formally?”) before sending.

This short moment gives the sender a chance to stop, think, and fix the issue—before the email leaves their outbox.

image

A Realistic Example – and What It Prevents

In a short video I’ve included below, you’ll see exactly how this plays out.

An employee uses AI to draft a heartfelt message to a colleague who’s out sick. The message includes warm wishes and a summer greeting—but also includes a prompt leftover asking if the tone should be made more personal. DLP detects the issue and blocks the email before it’s sent externally.

The result? The user is made aware, they clean up the message, and the recipient receives a thoughtful note—without any trace of behind-the-scenes AI assistance.

DLPforAIPrompt
To view the video in its intended format and best quality, click to play.

It’s Not About Blocking AI – It’s About Guiding Its Use

AI is here to stay, and rightly so. It helps us move faster, communicate better, and work smarter.

But as organizations, we also have a responsibility to protect our tone, our professionalism, and our brand voice. DLP gives us a lightweight, invisible safety net—one that ensures what leaves our organization reflects the intent, not the tool behind it.

As you’ll see clearly in the video, the user is working with Microsoft Copilot—which is by far the best way to reduce this kind of risk. With Copilot, users don’t need to copy and paste between tools. Content flows directly into Outlook or Word with context, formatting, and tone built in.

Still, even with Copilot, a little guidance can go a long way. Some AI-generated suggestions or prompts can still sneak in depending on how users interact with the assistant.

That’s why a combination of smart AI and supportive DLP is key—not to block creativity, but to help your people communicate clearly, confidently, and on-brand.

Publicerat i Microsoft Purview Information Protection | Märkt | Lämna en kommentar

Take Control of AI Services and Sensitive Data in Your Organization

Publicerat den 18 april, 2025 av Anders

AI services are becoming increasingly common across organizations, and we see a clear trend where both sanctioned and unsanctioned AI tools are frequently used in various parts of the business.

As I’ve mentioned in previous posts, we have great tools for both monitoring which AI services are being used and what kind of data is being sent to them.

Organizations need to:
◾ Discover which AI services are in use
◾ Decide which ones are allowed
◾ Educate users around those decisions
◾ Block the ones that are not approved

Evaluating an AI service should include:
◾ Who owns the service
◾ Where the data is stored
◾ What security features and regulatory requirements it adheres to

Much of this can be managed via Defender for Cloud Apps, where we can both discover what’s currently in use and work proactively by exploring the Cloud App Catalog.

For example, we can easily see how many users are using Deepseek, read more about the service – and, if needed, restrict or block it.

image

We can also choose to simply alert the user that the use of the service is being monitored. This is what the end-user experience looks like on a managed device using the “Monitored” setting:

image

When it comes to what kind of data is being used in these AI tools, this is where Purview comes in.
As I’ve written before, the product was simply called AI Hub during its preview – but now it goes by the slightly more formal (and definitely not short) name:
Data Security Posture Management (DSPM) for AI.

image

If we’ve already done the work of creating detections for our critical/sensitive data, the system will list if that data appears in any of these AI services. If we haven’t started this work yet – now is definitely the time to do so!

By using Endpoint DLP, we gain the ability to control what data can be used in specific AI services – and block it entirely if needed.

By creating lists of our AI services, we can categorize them into:
◾ Services we want to audit
◾ Services we want to notify users about
◾ Services we want to completely block from receiving sensitive data

If we want to quickly see which domains belong to which Generative AI service, we can export this directly from Defender for Cloud Apps using Export domains.

image

To control which data can be used with which AI service, we first need to build Sensitive Service Domain Groups.
My recommendation is to divide these into two categories:

  1. Services not approved for use with sensitive data

  2. Services that are approved, but require heightened control

You can either import the CSV you exported from Defender for Cloud Apps or add domains manually when creating a domain group.
In my example: LMM Sites, LMM unsanction sites

image

Then we create Endpoint DLP policies that define what happens, with the following options:
◾ Audit – to monitor
◾ Block with override – to alert the user
◾ Block – to fully prevent use

image

The result is, for example, that we block the use of sensitive data in Deepseek, but alert the user if the same data is used in ChatGPT.

Click the images/videos below to view them in full resolution and high quality.
DLP-AI-block
DLP-AIBlockOveride

Personally, I would prefer to block Deepseek completely – but that’s a decision every organization must make on its own.
The important thing is to take control and make an active choice.

Good luck!

Publicerat i Microsoft Purview Information Protection | Märkt | 2 kommentarer

Ta kontroll över AI-tjänster och känslig data inom din organisation

Publicerat den 16 april, 2025 av Anders

AI-tjänster blir allt vanligare inom organisationer, och vi ser en tydlig trend där både sanktionerade och osanktionerade AI-verktyg används frekvent i olika delar av verksamheten.

Som jag nämnt i tidigare inlägg har vi bra verktyg för att både övervaka vilka AI-tjänster som används och vilken typ av data som skickas till dem.

Det handlar om att organisationen behöver:
◾ Inventera vilka AI-tjänster som används
◾ Ta beslut om vilka som ska vara tillåtna
◾ Utbilda användarna kring dessa beslut
◾ Blockera de som inte är godkända

Utvärderingen av en AI-tjänst bör inkludera:
◾ Vem som äger tjänsten
◾ Var datan lagras
◾ Vilka säkerhetsfunktioner och regulatoriska krav den följer

Mycket av detta kan vi hantera via Microsoft Defender for Cloud Apps, där vi både kan inventera aktuell användning och jobba proaktivt genom att gå igenom Cloud App Catalog.

Till exempel kan vi enkelt se hur många som använder Deepseek, läsa mer om tjänsten – och vid behov begränsa eller blockera den.
image

Vi kan också välja att endast uppmärksamma användaren om att användningen övervakas.
Här är ett exempel på hur slutanvändarupplevelsen ser ut för en managerad klient när vi använder alternativet ”Monitored”.

image

När det gäller vilken typ av data som används i dessa AI-lösningar, är det här Microsoft Purview kommer in i bilden.
Som jag skrivit om tidigare hette produkten helt enkelt AI Hub under preview – men har nu fått det lite mer formella (och inte alls särskilt korta) namnet: Data Security Posture Management (DSPM) for AI.

image
Har vi redan gjort jobbet att skapa detektioner av vår kritiska/känsliga data kommer den lista om den förekommer i någon av dessa AI-tjänster. Har vi inte påbörjat detta arbete – så är det hög tid att göra det nu!

Med hjälp av Endpoint DLP får vi möjligheten att styra vilken data som får användas i olika AI-tjänster – och vid behov blockera den helt.

Genom att skapa listor över våra AI-tjänster kan vi kategorisera dem:
◾ Vilka vi vill övervaka
◾ Vilka vi vill notifiera användaren om
◾ Vilka vi helt vill blockera från att ta emot känslig data

Vill vi enkelt se vilka domäner som tillhör respektive Generative AI-tjänst, kan vi exportera detta direkt från Defender for Cloud Apps med hjälp av funktionen Export domains.

image

För att styra vilken data får användas i vilken AI-tjänst, behöver vi först bygga upp listor med Sensitive Service Domain Groups i Purview.
Mitt förslag är att dela upp dessa i två kategorier:

  1. Tjänster som inte är godkända att användas med känslig data
  2. Tjänster som är godkända, men där vi vill ha förhöjd kontroll

Här kan vi antingen importera CSV filen vi exporterade från Defender for Cloud apps eller lägga in domänerna för hand när vi skapar upp en domain group. I mitt exempel, LMM unsanction sites och LMM sites
image

Därefter skapar vi Endpoint DLP policies som styr detta. Vi kan välja mellan följande alternativ:
◾ Audit – för att övervaka
◾ Block with override – för att uppmärksamma användaren
◾ Block – för att helt förhindra användning

image

Effekten blir till exempel att vi blockerar användaren från att använda känslig data i Deepseek, men tillåter att samma data används i ChatGPT – efter att användaren uppmärksammats.

Klicka på bilderna/filmerna nedan för att få dem i full upplösning och bra kvalité
DLP-AI-block
DLP-AIBlockOveride

Personligen hade jag helst blockerat Deepseek helt – men det är upp till varje organisation att fatta det beslutet.
Det viktigaste är att ta kontrollen och göra ett aktivt val.

Lycka till

Publicerat i Microsoft Purview Information Protection | Märkt | Lämna en kommentar

New feature within SharePoint/Teams extends protection of files

Publicerat den 27 december, 2024 av Anders

Did you know that the majority of data breaches occur due to improper access controls? In an age where data breaches are more frequent, managing sensitive information securely while ensuring its accessibility is more critical than ever. Organizations often struggle to strike this delicate balance. Microsoft is introducing a new feature in SharePoint that simplifies protecting files, ensuring that it is easy to protect files throughout their entire lifecycle, even after they have been downloaded.

When working with sensitive data, it is crucial to ensure:

  • Accessibility: Information must be available to authorized personnel.
  • Confidentiality: Only the right individuals should have access.
  • Integrity: Information must be reliable and accurate.

For nearly 30 years, Rights Management Services (RMS) has allowed encryption and rights control for Office files. This ensures only authorized individuals, groups, or domains can access and work on documents like Word files.

Examples of Rights Control:

  • The management team can create, modify, and share sensitive information.
  • An external advisor can edit the information but cannot copy, share, or print it.
  • The rest of the organization can only view the information.

This approach ensures both confidentiality and integrity of the data.

image_thumb14 image_thumb15
With RMS Custom Permission, users can define document permissions themselves. The image above shows the new modern interface available in M365 Enterprise starting with version 2412.

Modernizing Accessibility

Previously, these files required Microsoft Word to open, which limited accessibility. This can now be addressed by sharing files via SharePoint, OneDrive, or Teams. Files can then be opened in Teams or Word Online, which only require a browser to increase the accessibility.

Support includes both Office files and PDFs. Administrators can manually configure who can download files or open them in local applications for editing. Encryption and rights control always follow the files, ensuring confidentiality and integrity.

The biggest challenge lies in educating users about labeling, encryption, and SharePoint permissions to ensure proper tool usage. This places significant demands on users and requires manual effort.

New Feature: ”Extend protection on unencrypted files…image_thumb18

Microsoft is currently rolling out a feature in SharePoint that allows organizations to easily set up required permissions via SharePoint/Teams settings.

The SharePoint site or team owner can configure “Library settings” with the new “Extend protection on unencrypted files” feature and select which sensitivity label will apply to all files created or moved to that site skrivor team. This utilizes the same sensitivity label as in the example above with “user-defined permission.”


After this configuration, access and permissions for files in this library will inherit the rights from the respective SharePoint site.

  • Files created or saved to this library automatically receive the selected sensitivity label.
  • Existing or uploaded files already protected will retain their current sensitivity label and permissions.

image_thumb28

The owner can easily manage file access by inviting members or sharing existing files. The protection extends to files that is allowed to be downloaded.

image_thumb29
image_thumb33

Enhanced Protection Against Copying and Moving

Files with this sensitivity label are subject to additional restrictions regarding copying and moving:

  • Files cannot be copied or moved to another site.
  • Files can only be copied or moved within the same site if the user has permission to create or delete lists in SharePoint.

This ensures sensitive information remains in the correct context, minimizing accidental or unauthorized data exposure.image_thumb37
The above image shows that a user cannot move a file to another team.

Just-in-Time Protection for Downloaded Files

With dynamic access control and revoked protection, users cannot open previously downloaded copies of protected files if their permissions change or the file’s status in SharePoint is updated.

Dynamic Access Control: If a user’s access to a file is revoked in SharePoint, such as by a site owner or administrator, the user cannot open previously downloaded copies.

Revoked Protection: Downloaded file copies become inaccessible if:

  • The file is deleted from SharePoint by an authorized user, such as a site owner.
  • The file is moved to another site by an authorized user.
  • The site where the file is stored becomes inactive.

Automatic Synchronization of Permissions: Any changes to SharePoint permissions for a specific file, whether made by an administrator or a site owner, are immediately reflected on all previously downloaded copies.

This feature provides organizations with a robust way to protect their information using custom permissions that can be easily modified or removed.

Thanks to this technology, high accessibility is also ensured, as files can be opened and edited through any browser or locally installed M365 applications.extendProtection_thumb3

The requirement for locally installed applications is Microsoft 365 Apps for Enterprise, version 2402 or later.

Note: This is a new technology currently in preview. Always verify functionality before deploying it in production.

For more information on getting started and required prerequisites, please visit this learn-article.

Publicerat i Microsoft Purview Information Protection | Märkt | Lämna en kommentar

Ny effektiv hantering av känslig information via SharePoint

Publicerat den 26 december, 2024 av Anders

Visste du att majoriteten av alla informationsläckage sker på grund av felaktiga inställningar? I en tid där informationsläckage blir allt vanligare är det viktigare än någonsin att hantera känslig information säkert samtidigt som man säkerställer dess tillgänglighet.
Microsoft introducerar en ny funktion i SharePoint som förenklar att skydda filer med anpassade behörigheter, vilket gör det enkelt att skydda filer under hela dess livscykel, även efter att de har laddats ner.

När vi arbetar med känslig information är det viktigt att säkerställa:

  • Tillgänglighet: Informationen ska vara åtkomlig för behöriga.
  • Konfidentialitet: Endast rätt personer ska ha tillgång.
  • Riktighet: Informationen ska vara tillförlitlig och korrekt.

Med hjälp av Rights Management Services (RMS) har vi i snart 30 år kunnat kryptera och kontrollera rättigheter för Office-filer. Detta säkerställer att enbart behöriga personer, grupper eller domäner kan öppna och bearbeta exempelvis ett Word-dokument.

Exempel på rättighetskontroll:

  • Ledningsgruppen kan skapa, ändra och dela känslig information.
  • En extern rådgivare kan redigera information men inte kopiera, dela eller skriva ut den.
  • Övriga organisationen kan enbart läsa informationen.

På det här sättet säkerställer vi både Konfidentialitet och Riktighet av informationen.

image image
Med hjälp av Custom Permission kan användare själv definiera rättigheter för dokumentet. Ovan bild visar det nya moderna gränssnittet som gäller M365 Enterprise från version 2412.

Modernisering av tillgänglighet

En tidigare utmaning har varit att dessa filer krävt Microsoft Word för att öppnas. Detta krav gör att vi tummar på tillgängligheten. Vi kan numera lösa detta genom att vi kan dela filerna via SharePoint/OneDrive/Teams. Filerna kan då öppnas i Teams eller Word Online, vilket endast kräver en webbläsare.

Stödet omfattar både Office-filer och PDF-filer. Med manuell konfiguration kan administratörer styra vem som får ladda ner filer eller öppna dem i lokala applikationer för redigering. Kryptering och rättighetskontroll följer alltid med filerna, vilket säkerställer sekretess och integritet.

Största utmaningen handlar om att utbilda användare inom både labeling, kryptering och SharePoint-behörigheter för att säkerställa att de använder verktygen korrekt. Detta ställer stora krav på användarna själva och mycket manuellt arbete.

Ny funktion: ”Extend protection on unencrypted files…”image

I skrivande stund håller Microsoft på att införa en funktion i SharePoint som gör det enkelt för verksamheten att själva sätta upp de rättigheter som behövs enbart via SharePoint/Teams -inställningar.

Projektansvarig tillika ägaren av SharePoint Siten/Teamet kan ställa in ”Library settings” med den nya funktionen ”Extend protection on unencrypted files” och välja vilken Sensitivity label som ska märka upp alla filer som skapas eller flyttas till denna site/team. Här nyttjas motsvarande sensitivity label som i exemplet ovan med så kallade ”user-definied permission”

Efter att den här inställningen är gjord så kommer tillgång och rättigheter till filer i detta bibliotek att ärva rättigheterna från den aktuella SharePoint siten.
Filer som skapas, sparas till detta bibliotek får automatiskt vald sensitivity label.
Befintliga filer eller uppladdade filer som redan är skyddade kommer inte beröras utan behåller befintlig sensitivity label och rättigheter.
image

Ansvarig kan enkelt styra tillgång till dessa filer antingen genom att bjuda in medlemmar eller dela befintliga filer och skyddet kommer följa med även till de filer som kan laddas ner.

image
image

Förbättrat skydd mot kopiering och flyttning

Filer med denna sensitivity label omfattas av utökade restriktioner när det gäller kopiering och flyttning:

  • Filer kan inte kopieras till eller flyttas till en annan webbplats.
  • Filer kan endast kopieras eller flyttas inom samma webbplats om användaren har behörighet att skapa eller ta bort listor i SharePoint.

Det här säkerställer att känslig information stannar inom rätt kontext och att oavsiktlig eller otillåten spridning av data minimeras.
image
Exemplet ovan visar att användaren inte kan flytta en fil till ett annat team.

Just-in-time-skydd för nedladdade filer

Med dynamisk åtkomstkontroll och återkallat skydd säkerställs att användare inte kan öppna tidigare nedladdade kopior av skyddade filer om deras behörigheter ändras eller om filens status i SharePoint förändras.

  • Dynamisk åtkomstkontroll: Om en användares behörigheter till en fil tas bort i SharePoint, exempelvis av en site-ägare eller annan administratör, kan användaren inte längre öppna en tidigare nedladdad kopia.
  • Återkallat skydd: Nedladdade kopior av filer blir otillgängliga om:
    • Filen raderas från SharePoint av någon med tillräcklig behörighet, till exempel en site-ägare.
    • Filen flyttas till en annan webbplats av en behörig användare.
    • Webbplatsen där filen lagras inte längre är aktiv.
  • Automatisk synkronisering av behörigheter: Alla ändringar i SharePoint-behörigheter för en specifik fil, oavsett om de görs av en administratör eller en site-ägare, återspeglas omedelbart på alla tidigare nedladdade kopior av filen.

Med den här funktionen erbjuder vi verksamheten ett kraftfullt sätt att skydda sin egen information med anpassade behörigheter som enkelt kan ändras eller tas bort.

Tack vare den är tekniken tillåter vi också en hög tillgänglighet eftersom filer både kan öppnas och redigeras via valfri webbläsare men också i lokalt installerade M365 applikationer.

extendProtection

Kravet på lokalt installerade applikationer är Microsoft 365 apps for enterprise från version 2402 och senare.

Notera att detta är en ny teknik som just nu är i Preview, där man alltid bör verifiera funktionalitet innan den tas i produktion.
För mer information om hur man kommer igång och kraven som krävs läs mer på denna learn artikel.

Publicerat i Microsoft Purview Information Protection | Märkt | Lämna en kommentar

Förstärkt skydd och spårbarhet för känslig information med Edge och RMS

Publicerat den 23 augusti, 2024 av Anders

Under de 12 år jag har jobbat med Microsoft Rights Management Services (RMS) och förklarat funktionen som förhindrar skärmdumpar eller annan typ av informationsläckage genom att skärmen delas i möten, har jag lärt mig att förekomma dialogen med mina kunder. ”Självklart kan någon ta upp sin telefon eller kamera och fotografera skärmen eller på annat sätt kringgå detta skydd.”
PhotoOfScreenAI
Precis som alltid inom säkerhet handlar det om att förhindra de största och vanligaste riskerna, och det finns aldrig något 100% skydd. Det viktiga med RMS-funktionen som har möjlighet att blockera skärmdumpar eller delning i möten är att skydda användare från oavsiktligt läckage och utbilda dem i hur de ska hantera informationen. Om du tekniskt blockeras från något tänker de flesta att det inte är okej att försöka sprida informationen vare sig med teknik eller muntligen.

Efterfrågan har dock varit stor på att få reda på om det finns alternativ för att både förhindra och få ökad spårbarhet om någon kopierar eller fotograferar delad känslig information.

RMS-teknologin har förhindrat både kopiering och skärmdumpar i över 20 års tid tack vare att funktionen funnits inbyggd i de klassiska Office-produkterna. Baserat på mottagarens rättigheter till den delade informationen har vi kunnat stoppa användaren från att ta en bild av informationen med de inbyggda skärmdumpsverktygen samt tredjepartsverktyg tack vare att samma API i Windows används.

Utmaningarna blev dock större när vi fick ökad funktionalitet att dela information via Office Online. Den stora fördelen är att vi, oavsett vem vi delar informationen med, inte ställer några krav på att mottagaren behöver ha en Office-programvara för att ta del av informationen. Istället krävs bara en webbläsare och korrekt behörighet för att nå informationen. Här ökar såklart riskerna då vi inte kan förhindra att någon tar en skärmdump av sin webbläsare.

Nu börjar vi nå ett vägskäl där vi faktiskt får utökad funktionalitet för att dela vår känsligaste information. Microsoft har utlovat att vi kommer att kunna förhindra skärmdumpar om användaren ansluter via en hanterad Edge-webbläsare.
Här kan vi skapa magi med hjälp av Purview, Conditional Access och Intune MAM-policies.

Redan idag kan vi kontrollera exempelvis kopiering av information via webbläsaren via App Protection.
  
Är det ett känsligt projekt, kan vi kravställa att för att få tillgång till det känsliga teamet där vi har all information, behöver man ansluta från en hanterad Edge-webbläsare.

När användaren ansluter till teamet möts den av en dialog som säger att användaren måste använda Edge med en inloggad behörig användare för att komma vidare.
image
Om Edge redan används, uppmanas användaren att skapa en ny profil och logga in med samma konto.
image
Edge konfigureras då med de krav som är satta via Intune, och först när de tekniska kraven är uppfyllda får användaren tillgång till det känsliga projektet.

image

https://www.youtube.com/watch?v=PfvfDMEbQFs

Ovanstående video kommer från denna artikel som visar de kommande funktionerna som Microsoft håller på att införa.

Vi har då ännu ett tekniskt skydd som gör att vi förhindrar att användaren både tar en bild på vad de ser via sin webbläsare eller delar det vid ett möte med skärmdelning.
Det finns fortfarande flera sätt att kringgå detta, men precis som jag nämnde i inledningen handlar det om att förhindra vanliga sätt till informationsläckage och öka medvetenheten och förståelsen hos de som hanterar känslig information.

Utmaningen kvarstår dock när det gäller om användaren, eller någon annan, tar en bild med en extern kamera eller telefon, eller på annat sätt kringgår detta skydd. En stor efterfrågan har varit att kunna se vem eller vid vilket tillfälle information som har spridits.

Här har Microsoft precis lanserat en funktion som kallas Dynamic Watermark, vilket vi kan konfigurera för Sensitivity Labels som har kryptering redan idag.
image

Funktionen gör att alla dokument som är märkta och skyddade med denna label visualiserar vilken behörig användare som har öppnat filen. Därmed kan vi se på en bild vilken skärm som har fotograferats och få bättre spårbarhet.PhotoScreenOnevinn
photoofscreenMaria

Det här är en funktion som är avsedd att användas i specifika syften och för att skydda den mest känsliga informationen. Min rekommendation är att den görs tillgänglig som en möjlig lösning inom verksamheten och att den kan beställas när behovet uppstår. På så sätt kan vi säkerställa att den implementeras där den verkligen behövs och bidrar till att stärka säkerheten i vår informationshantering.

Publicerat i Conditional Access, Microsoft Purview Information Protection, RMS | Märkt , , | Lämna en kommentar

How to control generative AI usage

Publicerat den 5 juni, 2024 av Anders

Artificial Intelligence (AI) and Large Language Models (LLM) are now hot topics in every company and organization. How can we use them to increase our efficiency and become more competitive? The challenge is that the train has already left the station. Our users have already started utilizing these tools, and we as an organization need to understand how they are being used.

For instance, AI services offered by various cloud providers can contain sensitive or personal information that needs to be protected according to laws and regulations. If the organization is not aware of which AI services are being used, by whom, and for what purpose, it can lead to data breaches, fines, loss of trust, and damage to the brand.

How Can You Get an Overview of Your Organization’s AI Usage?

Microsoft Defender for Cloud Apps is a solution that gives you visibility and control over your cloud apps and services. With Defender for Cloud Apps, you can discover which cloud apps and services are being used in your organization. Over 31,000 applications have been security-reviewed and categorized to provide more insight into what the app is and the risks it might pose, such as where data is stored and who owns the service. One of these categories includes generative AI services like Microsoft Bing Chat, Google Bard, ChatGPT, or Amazon AI. You can also monitor and analyze user behavior, data flows, and security incidents in your cloud apps and services.

With the integration to Defender for Endpoint, you can even block access to services that should not be used.

The biggest advantage is gaining an understanding of what is currently being used. This can serve as a basis for developing guidelines on how AI should be used and in which services within the organization.

image

image

Purview AI Hub

When it comes to gaining insight into risky usage, such as sensitive information within generative AI, Microsoft recently launched AI Hub as a feature within Microsoft Purview.

example-aihub-analytics
You can read more about Microsoft’s AI Hub itself here: Microsoft Purview data security and compliance protections for Microsoft Copilot and other generative AI apps | Microsoft Learn

With this article, I aim to provide you with tips on how to streamline and leverage the tool effectively.

This adaptation builds on built-in DLP (Data Loss Prevention) functions specifically designed to monitor AI services. The services being monitored are categorized here: Supported AI sites by Microsoft Purview for data security and compliance protections | Microsoft Learn

When an organization initiates AI Hub, an endpoint DLP (Data Loss Prevention) rule is imageset up in the background. This rule is specifically tailored to monitor AI services and ensure that sensitive information is audited.

As a default, it monitors ALL predefined Sensitive Information Types (SITs) if they appear on any of the LLM sites listed:
image
This is a good starting point for inventorying the data used in these AI services. However, my advice is to undertake a review to determine which data is truly sensitive and critical within the organization. Customize this rule accordingly and include the data that is most relevant to monitor. If you haven’t already done this work, it involves initiating a Data Discovery process by engaging information owners and other stakeholders in the organization to:

  • Inventory the results of built-in Trainable Classifiers and SITs and ensure that they correctly identify critical data.
  • Create custom SITs based on input from stakeholders/information owners and ensure their functionality.

This approach allows us to tailor the DLP rule for generative AI according to the requirements from these information owners. The significant advantage here is also that we can leverage even more features within Purview, namely Communication Compliance and eDiscovery.

image

With these services, we can create policies with predefined incident flows to notify these information owners if their sensitive information appears in Copilot interactions or other connected services such as Slack, WhatsApp.

Furthermore, we can use eDiscovery to compile evidence in the event of an incident and assign this to the correct information owner or legal department.
image

I hope this article has provided you with greater insight into how to gain better control over the use of generative AI, as well as the importance of involving your business in this process to make the most of Purview’s solutions.

Publicerat i Microsoft Purview Information Protection | Märkt | 2 kommentarer

Enhancing Secure collaboration with new user-defined permission support

Publicerat den 27 februari, 2024 av Anders

Microsoft has recently implemented a significant architectural change in SharePoint Online and Microsoft Teams, allowing us to now consume and collaborate with User-defined RMS protected files. But what does this mean, and how can it simplify our organization’s ability to collaborate securely with sensitive information? Historically, files protected with custom permissions could only be opened using locally installed Office applications, and collaborative editing was not feasible. This limitation hindered collaboration on highly sensitive data and mandated that all parties have a local Office installation.

While we still rely on locally installed Microsoft 365 apps like Word, PowerPoint, and Excel for encryption, the introduction of Custom permissions empowers users to determine who has access and the level of access for specific documents or presentations. These permissions can be assigned to internal users, groups, as well as external users and entire organizations. Consider the following examples where sensitive information needs protection:

  • Read-only rights for everyone at an external law firm.
  • Full rights for the management team by assigning them to an existing group.
  • Editing rights for an external board member.

The user can now select the appropriate sensitivity level and define custom permissions.

image

The user can now select the appropriate sensitivity level and define custom permissions.

image

When selecting Custom Permission in the current M365 apps, users must navigate to More Options to precisely configure permissions for users, groups, or domains.

image

A glimpse into the future is provided by the M365 Beta channel design, offering a clearer and more intuitive interface for defining Custom Permission.

image

With these new capabilities, files can now be saved and shared via OneDrive/SharePoint/Teams, preventing unauthorized downloads and enabling simultaneous access and editing by multiple users.

For instance, an external user opening the file via Word Online will be restricted from downloading, copying, or printing it. Our system does not require any applications from counterparts, ensuring data security by blocking file downloads.

image

From an encryption/decryption standpoint, this marks a significant paradigm shift. Encryption using this feature is currently limited to locally installed M365 apps; thus, Teams and web apps cannot be used to protect these files, and are solely intended for consumption.

This is still significant news for several organizations that have been waiting to offer this capability to their business. We can now offer collaboration while still tightly controlling who accesses the information and with what rights. With this online support, we provide the ability to share and collaborate on this document without requiring software from our counterpart. Files can now be opened via any web browser for editing or consumption. We get protection that always follows the file wherever it is stored, with all access logged and controlled through Microsoft Enter ID.

As always, it’s imperative to have robust processes in place for managing encrypted data. User-defined permissions necessitate even higher standards, particularly during offboarding procedures. Therefore, it’s essential to review and refine these procedures before expanding encryption capabilities.

Publicerat i Microsoft Purview Information Protection | Märkt | Lämna en kommentar