ARTIKKEL 2 av 4

Sjølv om KI-laget får all merksemda, er det noko mange organisasjonar gløymer: utan eit solid fundament fungerer ingenting av det nye.

Og fundamentet startar ikkje med labels eller policyar. Det startar med eit langt enklare spørsmål: kva data har vi eigentleg?

Microsoft seier det rett ut i den offisielle utrullingsguiden: å vite kor sensitiv data ligg, er ofte den største utfordringa for organisasjonar. Du kan ikkje beskytte det du ikkje veit du har. Difor må discovery kome før alt anna – det er ikkje eit forarbeid, det er steg 1.

Steg 1: Kjenn dine data

Før du i det heile teke tenkjer på beskyttelse, må du vite kva som finst, kvar det ligg, og kor sensitivt det er. Content Explorer

Purview gjev deg fleire verktøy til dette. Data classification i Information Protection skannar automatisk gjennom innhald og identifiserer kjente sensitive datatypar – personnummer, kredittkort, helseopplysningar, kjeldekode, ID-dokument. Trainable classifiers brukar maskinlæring til å gjenkjenne mønster som ikkje passar inn i regelbaserte søk – som forretningsplanar, kontraktar eller HR-dokument.

To verktøy er heilt sentrale her:

  • Content Explorer viser deg kva som faktisk er funne av sensitiv data, kvar det ligg, og kor mykje av det. Det er kartet over datalandskapet ditt.
  • Activity Explorer viser kva som skjer med dei dataene – kven les, deler, eksporterer.

I 2026 har DSPM gjort dette enda kraftigare. Vekentlege datarisiko-vurderingar køyrer automatisk på dei 100 mest brukte SharePoint-områda i tenanten din, utan at du må sette dei opp. Du får ein rapport som peikar på kvar oversharing-risikoen er størst, kvar sensitiv data ligg eksponert, og kvar du bør starte oppryddinga.

Mitt råd: bruk minimum to-tre veker på å berre observere før du tek neste steg. Skann, kartlegg, forstå mønstera. Diskuter funna med forretningssida – ofte ligg det data der du ikkje ante om, og data manglar der du trudde dei låg.

Microsoft er sjølve tydelege på at dette er ein iterativ prosess: jo meir du kjenner dine data, jo meir presist kan du klassifisere dei. Resultata flyt så tilbake inn i rapportane, som igjen gjer enda meir sensitiv data synleg. Det er ein loop, ikkje ein lineær sekvens.

Steg 2: Klassifisering og sensitivity labels

Med data discovery på plass har du grunnlaget for å begynne å merke. No veit du kva som faktisk treng beskyttelse – og du kan kalibrere labels deretter.

Microsoft tilrår å halde talet på labels minimalt – verkelege utrullingar viser at effekten blir merkbart redusert når brukarane har mange å velje mellom. Eit typisk norsk oppsett: Sensetivity labels

  • Open \ Alle tilsette: offentleg informasjon, fritt delbart utan kryptering
  • Intern \ Alle tilsette: standard for e-post og dokument, utan kryptering, men blokkerer overdeling
  • Konfidensiell \ Alle tilsette: sensitiv forretningsinformasjon, kan ha synleg merking
  • Strengt konfidensiell \ Utvalde grupper: for det mest sensitive, med kryptering og strenge tilgangsreglar

Du kan starte med manuell merking så snart labels er definert. Dei same klassifikatorane du brukar for DLP, kan brukast til auto-merking. Microsoft tilrår òg å bruke labels sjølve som klassifikator i DLP – til dømes blokkere deling av alt som er merka “Strengt konfidensiell”.

Ein viktig detalj for 2026: sensitivity labels er fundamentet for korleis Copilot oppfører seg. Når DSPM-policyen “Protect sensitive data from Copilot processing” er aktivert, blokkerer den Microsoft 365 Copilot og agentar frå å behandle innhald med dei labelane du har valt. Utan labels – ingen styring.

Steg 3: Data Loss Prevention

DLP i Purview er ikkje lenger berre regelbasert tekstskanning. Den brukar djup innhaldsanalyse og maskinlæring til å oppdage innhald som passar policyane dine, og kan handle på fleire stadar samstundes – Exchange, SharePoint, OneDrive, Teams, endepunkt, Edge, og no også nettverkstrafikk. DLP Deployment

Microsoft tilrår fasevis utrulling, der DLP og labels blir meir integrerte etter kvart:

  • Fase 1 – logging: Viss 1-2 forekomstar av kredittkort blir funne, blokker ekstern deling unntatt om innhaldet er merka som personleg eller fritt delbart. Bruk logging og rapportering for analyse.
  • Fase 2 – aktiv blokkering: Viss 3-9 forekomstar blir funne, blokker ekstern deling, sky-eksport og kopiering til USB unntatt med rett label.
  • Fase 3 – streng kontroll: Strammare kontroll med fleire datatypar og lågare tersklar.

Eit godt tips frå Microsoft: køyr alltid nye DLP-policyar i simuleringsmodus først. Då ser du kva ville skjedd utan at du faktisk blokkerer noko. Det reddar deg frå mange surprise-eskaleringar frå brukarsida.

Steg 4: Audit Premium og lengre lagring

Standard audit-lagring i Microsoft 365 er 90 dagar. Det er ikkje nok for regulerte bransjar – mange treng sju år eller meir av compliance-grunnar.

Audit Premium gjev deg forlenga lagring, fleire hendingstypar, og – kritisk for 2026 – fanging av Copilot- og KI-interaksjonar. Når den nye DSPM er aktivert, flyt prompts og responsar inn i audit-loggen og kan brukast i eDiscovery, Communication Compliance og Data Lifecycle Management.

Tenk på det slik: viss det ikkje er logga, har det aldri skjedd. Når regulatoren kjem, eller når noko går gale internt, er auditlogg det første du blir spurt om.

Kor lenge tek dette?

Ein realistisk fasevis Purview-utrulling tek typisk 12-20 veker for ein enterprise-organisasjon. Det høyrest mykje ut, men hugs at fundamentet du legg no, bestemmer kor trygt du kan rulle ut Copilot og agentar i fortsetjinga.

Ein vanleg feil eg ser: organisasjonar startar med Copilot og den nye DSPM før dei har labels og DLP på plass. Då skannar systemet kontinuerleg innhald som ikkje er klassifisert, oversharing-rapportar blir umoglege å handtere, og policyane har ingenting å bite i.

Kvar er du i fundamentet ditt?

Spør deg sjølv:

  • Har vi kartlagt kvar sensitiv data faktisk ligg – ikkje berre der vi trur den ligg?
  • Har vi sensitivity labels publisert til alle brukarar?
  • Køyrer vi DLP minst i logging-modus på alle viktige lokasjonar?
  • Har vi Audit Premium med forlenga lagring?

Viss svaret er nei på det første – då er det der reisa startar. Du kan ikkje merke det du ikkje veit du har, og du kan ikkje beskytte det du ikkje har merka.

I neste artikkel går vi opp eit nivå: den nye DSPM, Copilot-policyar og korleis du tek kontroll på shadow AI.


Kjelder for denne artikkelen: Microsoft Learn (Deploy an information protection solution with Microsoft Purview, Get started with sensitivity labels, Learn about data loss prevention, Data classification og Content Explorer/Activity Explorer), EPC Group (Purview Information Protection Guide 2026 og Implementation Guide).