Prima di cominciare a lavorare in Purview è necessario capire i ruoli e la logica che c’è dietro. La prima cosa da sapere è che se il Vostro utente è un Global Admin, in Purview questo ruolo vi permette “solo” di poter assegnare gli altri ruoli presenti.
Per una corretta sicurezza e messa in protezione dell’ambiente Purview è importantissimo adottare il concetto “Least Privileges” , avere i permessi minimi per poter operare, meglio se protetti da PIM.
Purview usa in generale la modalità “three tier”
Tier 1 -> Entra Roles a livello tenant, sono i ruoli che già conosciamo, Global Admin, Security Admin , il problema è che sono un po’ troppo generici per l’operatività in Purview e come detto all’inizio, non bastano!
Tier 2 -> Azure RBAC a livello di Subscription, se lavorate in Azure vi sarete sicuramente imbattuti in assegnazioni a livello di resource group, oppure Reader, ect qui stiamo lavorando a livello di sottoscrizione. Per il momento qui vi risparmio un po’ di fatica.
Tier 3 -> Purview Roles e qui ci divertiamo! Ad oggi, Novembre 2025, si contano 68 GRUPPI, qui dovremo dedicare tutto il tempo necessario per capire come mettere in campo correttamente la nostra squadra (rileggete il precedente articolo, non potete fare tutto da soli)
Per verificare, dalla consolle andate su:
SETTINGS –> ROLE AND SCOPES -> ROLE GROUPS
In generale, una prima idea di assegnazione potrebbe essere
TIER 1 : CISO con permessi permanenti di Security Reader, potrebbe anche non servire il PIM ma non fidiamoci lo stesso!
TIER 2: ARCHITECT , non solo Security Reader a livello globale, ma anche permessi di lettura in Purview, tipo Information Protection Analyst o più stringenti tipo Information Protection Reader, anche in questo caso potrebbe non servire il PIM.
TIER 3: ADMIN / OPERATOR (Insomma chi si sporca le mani in Purview), qui il PIM è mandatorio!
Facciamo un esempio pratico, prendiamo il ruolo e-Discovery Manager
Figura 2 – eDiscovery Manager
Una volta aperto vedrete:
I “ruoli” che il gruppo contiene e in alcuni casi anche due sottogruppi, qui vedete eDiscovery Manager e eDiscovery Administrator.
Quindi , eDiscovery Manager permette di fare un totale di 10 attività divise nei due gruppi descritti che differiscono a livello di permessi:
- eDiscovery Manager crea “casi” ma non può aprire gli altri presenti, fa ricerche nelle location, preview and export , etc
- eDiscovery Administrator, fa le stesse cose del “Manager” ma in aggiunta legge tutti i “casi” può aggiungere e rimuovere membri ai casi etc
Non tutti i ruoli si comportano così, guardiamo Insider Risk, sono 8 e non sono raggruppati come eDiscovery.
Figura 3 – Insider Risk Management Group
Insider Risk Management li comprende tutti, ci aspetteremmo di trovare la possibilità di assegnare dei sottogruppi anche qui e invece no, Insider Risk Management group comprende 15 ruoli che possono essere assegnati, alcuni direttamente dal portale altri come il “custodian” possono essere solo assegnati tramite gruppo.
Vi vedo, state pensando che la gestione è complessa e la maratona non si concluderà, ma proviamo invece a mantenere il ritmo.
Prima di tutto, chi dovrà mettere le mani sulla compliance? Questa è la cosa più difficile, molto dipende dal tipo di azienda, non tutte hanno le singole figure e qualcuna ha sicuramente più ruoli se guardiamo l’Italia in cui la fanno da padrona aziende PMI fatte di poche persone, il povero IT fa tutto anche il gestore dei dati!
Una volta capito chi deve fare cosa, gli assegniamo previa verifica i “role groups”
Quindi , un ruolo definisce un insieme specifico di autorizzazioni che consentono agli utenti di eseguire azioni all’interno di Purview, è legato a un insieme predefinito di funzionalità.
Nei nostri esempi, eDiscovery Manager abbiamo visto comprendere (Case management, Communication, Compliance Search, etc)
Un gruppo di ruoli è un insieme di uno o più ruoli che semplifica l’assegnazione di più autorizzazioni agli utenti in modo strutturato.
Anziché assegnare più ruoli individuali separatamente a un utente, gli amministratori possono assegnare un gruppo di ruoli che include più ruoli, semplificando la gestione delle autorizzazioni (ma incasinandoci la nostra testa)
Le figure sotto rappresentano un esempio pratico
Il Data Connector Admin è presente nell’Insider Risk Management che a sua volta comprende anche Insider Risk Admin che contiene meno funzionalità, ma anche Data Connector Admin
Figura 4 – Insider Risk Management
Altro consiglio è di non impazzire sull’assegnazione, tenete a mente sempre il “Least Privileges”, qualche volta un utente potrebbe comunque avere più ruoli del necessario, voi potete anche creare ruoli custom, ma non fate questo errore a meno che non abbiate necessità di compliance molto spinte, rischiate di aumentare il carico amministrativo se le cose cambiano, verificate prima tutti i ruoli che avete a disposizione e vedrete che soddisferanno sicuramente le vostre esigenze di compliance, Microsoft investe molto su queste fronte, ne ha messi a disposizione 68 è un motivo c’è!
Di seguito trovate uno schema semplificato da cui partire, lo uso durante le discussioni con i clienti, ovviamente può differire a seconda delle situazioni!
| Area | Figura aziendale | Ruolo/Role group Purview (principali) | Figura aziendale | Figura aziendale |
| Data Governance | CDO / Data Office | Data Governance Administrator; Data Catalog Curators | CIO, Data Owners | CISO |
| Data Governance | Data Steward | Data curator / Data reader | CDO | CIO |
| Data Governance | IT Platform | Data Source Administrator; Collection Administrator | CDO | CISO |
| Risk & Compliance | CISO | Compliance Administrator/Data Administrator; Audit Manager/Reader | CIO, Legal, DPO | Board/Risk |
| Risk & Compliance | DPO/Privacy | Privacy/Priva role group; Content Explorer (List/Viewer) | CISO, Legal | CIO |
| Risk & Compliance | Legal | eDiscovery Manager/Administrator | DPO, CISO | CIO |
| Risk & Compliance | Records Manager | Records/Retention Management role groups | CISO | CIO |
| Risk & Compliance | SOC/SecOps | DLP / Data Security Investigations; Audit Reader | CISO | CIO |
Confrontiamoci pure sul tema se vi fa piacere!
One More Thing…. se non lo conoscete, seguite Jacob Sheridan su Linkedin, qui il link al suo profilo, ha creato una mappa incredibile completamente gratuita per capire i permessi in Purview!
il link al sito è: https://www.purviewmap.xx.kg/
Conclusioni
_ Avete iniziato la maratona PurView, primo passo è capire i permessi per ruoli e gruppi di ruoli
_ Definite bene chi fa cosa, è tutto modificabile, ma definite con il team i perimetri, se siete gli unici a dover fare tutto, non vi preoccupate non è impossibile, del resto i maratoneti corrono da soli…
La prossima volta vedremo da dove partire e quali sono le console che abbiamo a disposizione