Proteggere per impostazione predefinita con Microsoft Purview e proteggersi dall'oversharing - Fase 1
Questa guida è suddivisa in quattro fasi:
- Introduzione
- Fase 1: Foundational - Iniziare con le etichette consigliate (questa pagina)
- Fase 2: Gestito - File di indirizzi con la massima riservatezza
- Fase 3: Ottimizzata: espandere l'intero data estate di Microsoft 365
- Fase 4: Strategica: operare, espandere e retroattive azioni
Fase 1: Foundational - Iniziare con le etichette consigliate
Le etichette di riservatezza sono tag aziendali significativi e intuitivi per gli utenti finali. Sono integrati e coerenti tra soluzioni Microsoft e soluzioni non Microsoft, ad esempio Adobe Acrobat Reader.
I criteri di protezione per le etichette variano in base all'asset di dati. Ad esempio:
- Crittografia e filigrana dinamica nei tipi di file supportati
- Controlli di accesso condizionale e privacy per i siti di SharePoint e Teams
- Controllo delle autorizzazioni per database Azure SQL, Archiviazione di Azure e Amazon Web Services (AWS) S3
La strategia per l'applicazione delle etichette inizia spesso con l'etichettatura manuale, quindi con l'etichettatura automatica sul lato client con i tipi di informazioni sensibili (SIT), seguita dall'etichettatura automatica sul lato servizio (inattivi) con SIT e condizioni contestuali. SharePoint offre anche un'etichetta predefinita contestuale per ogni raccolta, che verrà illustrata in modo più dettagliato in questa guida.
Iniziare con le etichette predefinite e la protezione a livello di file e sito
È consigliabile iniziare con la definizione seguente per la maggior parte dei clienti. Queste etichette consigliate possono essere adattate se si dispone di una distribuzione esistente ed è possibile eseguire l'iterazione in un secondo momento con altri scenari.
Al livello superiore è consigliabile iniziare con le etichette seguenti:
- Pubblico : i dati pubblici sono dati senza restrizioni destinati al consumo pubblico, ad esempio codice sorgente rilasciato pubblicamente e dati finanziari annunciati. Condividilo liberamente.
- Generale : dati aziendali non destinati al consumo pubblico, ad esempio prodotti di lavoro giornalieri. Dati che possono essere condivisi internamente e con partner attendibili.
- Riservato : dati aziendali sensibili cruciali per raggiungere gli obiettivi dell'organizzazione. Distribuzione limitata.
- Estremamente riservato : i dati più critici. Condividerlo solo con destinatari denominati.
Nota
Per le organizzazioni che accettano contenuti personali nei dispositivi gestiti, è consigliabile definire un'etichetta non aziendale o personale con la priorità più bassa e senza protezione.
Per Riservato e Altamente riservato, vengono aggiunte le etichette secondarie seguenti:
- \Tutti i dipendenti : è possibile accedere ai dati da chiunque all'interno dell'organizzazione.
- \Specific Persone - I dati possono essere accessibili solo dalle persone specificate.
- \Eccezione interna : tutti i dati possono essere accessibili internamente, ma non possono essere condivisi esternamente. Usare questa etichetta nelle situazioni in cui la crittografia influisce sulle operazioni quotidiane.
Per un elenco completo delle etichette padre/figlio con le configurazioni consigliate, vedere questa tabella:
| Nome etichetta | Descrizione dell'etichetta per gli utenti | Impostazioni |
|---|---|---|
| Pubblico | Dati aziendali preparati e approvati per l'utilizzo pubblico. |
Ambito: elementi (file, posta elettronica) Contrassegno contenuto: No Etichettatura automatica: No Prevenzione della perdita dei dati: Nessuna |
| Generale | Dati aziendali non destinati all'utilizzo pubblico. Tuttavia, questo può essere condiviso con i partner esterni, in base alle esigenze. | Questa etichetta è selezionata come etichetta predefinita per i messaggi di posta elettronica. Questa etichetta è selezionata anche per i siti che consentono partner esterni. Ambito: elementi (file, Email, riunioni, siti) Contrassegno contenuto: No Etichettatura automatica: No Privacy del sito: privata o pubblica Prevenzione della perdita dei dati: blocca chiunque abbia il collegamento |
| Riservato \ Tutti i dipendenti |
Dati riservati che richiedono la protezione, consente a tutti i dipendenti di disporre delle autorizzazioni complete. I proprietari dei dati possono tenere traccia del contenuto e revocarlo. | Questa etichetta è selezionata come etichetta predefinita per documenti e siti. Ambito: elementi (file, Email, riunioni, siti) Crittografia:tutti gli utenti e i gruppi nell'organizzazione: Co-Author Contenuto contrassegnato: Piè di pagina: classificato come riservato Etichettatura automatica: No Privacy del sito: privata o pubblica Prevenzione della perdita di dati: blocca chiunque abbia il collegamento, Blocca esterno |
| Riservato \ Persone specifiche |
Dati riservati che possono essere condivisi con persone attendibili all'interno e all'esterno dell'organizzazione. Queste persone possono anche ricondividere i dati in base alle esigenze. |
Ambito: elementi (file, Email, riunioni, siti) Crittografia:consenti agli utenti di assegnare le autorizzazioni: - Encrypt-Only per Outlook - Richiedi conferma agli utenti in Word, PowerPoint ed Excel Contenuto contrassegnato: Piè di pagina: classificato come riservato Etichettatura automatica: No Privacy del sito: privata o pubblica Prevenzione della perdita dei dati: blocca chiunque abbia il collegamento |
| Riservato \ Eccezione interna |
Dati riservati che non devono essere crittografati. Usa questa opzione con attenzione e motivazione aziendale appropriata. | Questa etichetta è selezionata per le informazioni riservate che non devono essere crittografate. Può essere usata come eccezione interna quando la crittografia non è supportata con un processo o un'applicazione che usa queste informazioni. Usare Prevenzione della perdita dei dati e Gestione dei rischi Insider per gestire i rischi e le deviazioni degli utenti. Ambito: elementi (file, Email, riunioni, siti) Contenuto contrassegnato: Piè di pagina: classificato come riservato Etichettatura automatica:No Privacy del sito: privata o pubblica Prevenzione della perdita di dati: blocca chiunque abbia il collegamento, Blocca esterno |
| Highly Confidential (Riservatezza elevata) \ Tutti i dipendenti |
Dati estremamente riservati che consentono a tutti i dipendenti di visualizzare, modificare e rispondere alle autorizzazioni per questo contenuto. I proprietari dei dati possono tenere traccia del contenuto e revocarlo. | Questa etichetta è selezionata per l'etichettatura automatica sul lato client e l'etichettatura automatica sul lato servizio. Ambito: elementi (file, Email, riunioni, siti) Crittografia:tutti gli utenti e i gruppi nell'organizzazione: Co-Author Contrassegno del contenuto: Piè di pagina: classificato come estremamente riservato Etichettatura automatica: applicare automaticamente l'etichetta. Prendere in considerazione l'applicazione automatica per i tipi di informazioni sensibili Tutte le credenziali altamente sensibili. Privacy del sito: privata o pubblica Prevenzione della perdita di dati: blocca chiunque abbia il collegamento, Blocca esterno |
| Highly Confidential (Riservatezza elevata) \ Persone specifiche |
Dati estremamente riservati che richiedono protezione e possono essere visualizzati solo dalle persone specificate e con il livello di autorizzazione scelto. |
Ambito: elementi (file, Email, riunioni, siti) Crittografia:consenti agli utenti di assegnare le autorizzazioni: - Non inoltrare per Outlook - Richiedi conferma agli utenti in Word, PowerPoint ed Excel Contrassegno del contenuto: Piè di pagina: classificato come estremamente riservato Etichettatura automatica: No Privacy del sito: privata o pubblica Prevenzione della perdita di dati: blocca chiunque abbia il collegamento, Blocca esterno |
| Estremamente riservato \ Eccezione interna |
Dati altamente riservati che non devono essere crittografati. Usa questa opzione con attenzione e motivazione aziendale appropriata. | Questa etichetta è selezionata per informazioni altamente riservate che non devono essere crittografate. Può essere usata come eccezione interna quando la crittografia non è supportata con un processo o un'applicazione che usa queste informazioni. Usare Prevenzione della perdita dei dati e Gestione dei rischi Insider per gestire i rischi e le deviazioni degli utenti. Ambito: elementi (file, Email, riunioni, siti) Contenuto contrassegnato: Piè di pagina: classificato come riservato Etichettatura automatica: No Privacy del sito: privata o pubblica Prevenzione della perdita di dati: blocca chiunque abbia il collegamento, Blocca esterno |
Sicuro per impostazione predefinita
Le etichette consigliate in questo modello di distribuzione presentano alcune differenze rispetto all'approccio tradizionale di ricerca per indicizzazione/esecuzione o all'articolo Etichette e criteri predefiniti per proteggere i dati :
- Impostare l'etichetta predefinita su Riservato\Tutti i dipendenti per i file. Per i file esistenti, sfruttare l'etichettatura automatica sul lato servizio con l'estensione del file di condizione contestuale è per tutti i file PPTX/DOCX/XLSX/PDF per tutti i siti di SharePoint pertinenti.
- Impostare l'etichetta predefinita su Generale per i messaggi di posta elettronica. Ciò riduce l'attrito della distribuzione con gli utenti in grado di funzionare normalmente, con l'eccezione che i file riservati allegati a un messaggio di posta elettronica ereditano l'etichetta del file.
- Controlli per i limiti predefiniti di condivisione e prevenzione della perdita dei dati
- Casi d'uso di etichettatura automatica incentrati su Estremamente riservato
- Etichetta Persone specifica, con nome intuitivo e autoesplicativa
- L'eccezione interna risolve i casi perimetrali in cui la crittografia impedisce agli utenti finali di lavorare quotidianamente.
Evidenziazioni e consigli
- Le etichette devono essere denominate in modo intuitivo.
- Evitare di combinare termini come Riservato, Riservato o Interno : comprendere i diversi significati dei termini può essere difficile per gli utenti.
- È consigliabile mantenere l'elenco delle etichette a 5x5 quando possibile, ovvero fino a cinque etichette padre e fino a cinque etichette figlio sotto un elemento padre.
- Se applicabile, le etichette vengono usate sia per i file che per i siti di SharePoint.
- La riservatezza elevata viene spesso eseguita con l'etichettatura automatica e le impostazioni predefinite contestuali e offre più controlli e restrizioni.
- Usare le etichette per impostare i siti di SharePoint e la privacy di Teams su Privato per impostazione predefinita.
- Per le organizzazioni che usano ampiamente le impostazioni sulla privacy pubblica in SharePoint/Teams, è consigliabile eseguire l'aggiornamento a Private e usare invece i collegamenti condivisibili dall'azienda.
- I siti di SharePoint privati con collegamenti condivisibili dall'azienda offrono la stessa flessibilità di collaborazione, ma riducono i rischi di individuazione imprevista nella ricerca e in Copilot.
- Per una maggiore protezione, impostare la condivisione predefinita su Utenti specifici.
- Creare una catena di responsabilità con i proprietari del sito. Usare la creazione di report e API Graph per identificare le deviazioni di utilizzo e i comportamenti.
- Attivare la prevenzione della perdita dei dati sul contenuto etichettato, bloccando chiunque abbia un collegamento ed esterno , se applicabile. Contenuto condiviso esistente corrispondente a tali blocchi di condizioni, vengono generati avvisi DLP e suggerimenti per i criteri visibili agli utenti finali.
- Attivare l'ereditarietà delle etichette di posta elettronica. Per altre informazioni, vedere Configurare l'ereditarietà delle etichette dagli allegati di posta elettronica.
Attivare i prerequisiti di sicurezza dei dati e l'analisi avanzata
Microsoft Purview offre molte funzionalità. Per ridurre l'impatto sugli utenti, alcune funzionalità non vengono attivate per impostazione predefinita. È consigliabile esaminare le impostazioni seguenti:
- Attivare la possibilità di elaborare il contenuto in Office Online: abilitare le etichette di riservatezza per i file in SharePoint e OneDrive
- Attivare l'etichettatura per Siti di Microsoft Teams e SharePoint: usare le etichette di riservatezza con i siti di Microsoft Teams, Gruppi di Microsoft 365 e SharePoint
- È consigliabile mantenere l'etichetta di posta elettronica non corrispondente all'etichetta. Questa funzionalità invia un messaggio di posta elettronica al proprietario del documento e al proprietario del sito su un documento con una sensibilità maggiore rispetto all'etichetta di riservatezza del sito. È possibile verificare che non sia disabilitato verificando che '-BlockSendLabelMismatchEmail' sia impostato su $False
- Includere un collegamento alla Guida con '-LabelMismatchEmailHelpLink'
- Abilitare il supporto per i file PDF in OneDrive e SharePoint: abilitare le etichette di riservatezza per i file in SharePoint e OneDrive
- Contrassegnare i file come sensibili per impostazione predefinita: impedire l'accesso guest ai file mentre vengono applicate regole DLP - SharePoint in Microsoft 365
- Analisi DLP: introduzione all'analisi della prevenzione della perdita dei dati
- Attivare la creazione condivisa per i file con etichette di riservatezza: abilitare la creazione condivisa per i documenti crittografati
- Attivare gli indicatori di gestione dei rischi Insider: configurare gli indicatori dei criteri nella gestione dei rischi Insider
- Attivare i controlli Purview: introduzione alle soluzioni di controllo
- Abilitare l'integrazione con Microsoft Entra B2B: integrazione di SharePoint e OneDrive con Microsoft Entra B2B
Collegamenti condivisibili dall'azienda o collegamenti per persone specifiche
La condivisione di OneDrive e SharePoint viene configurata tramite collegamenti condivisibili. Altre informazioni qui: Funzionamento dei collegamenti condivisibili in OneDrive e SharePoint in Microsoft 365
Per le organizzazioni che usano siti di SharePoint con impostazioni di privacy impostate su pubblico, è consigliabile passare a privato con collegamenti condivisibili predefiniti impostati su Persone nell'organizzazione. La collaborazione aperta è disponibile per gli utenti, ma riduce l'individuazione automatica dei contenuti nella ricerca aziendale e in Copilot.
Consiglio
Per ridurre ulteriormente i rischi, è consigliabile configurare utenti specifici come impostazione predefinita.
Le etichette di riservatezza di Microsoft Purview consentono di configurare i collegamenti condivisibili in base all'etichetta di riservatezza del sito di SharePoint. Ad esempio, questa impostazione facilita notevolmente le configurazioni granulari tra siti generali e riservati . Altre informazioni qui: Usare le etichette di riservatezza per configurare il tipo di collegamento di condivisione predefinito
Eseguire il training degli utenti sulla gestione delle eccezioni
Con l'approccio sicuro per impostazione predefinita, il training è incentrato su:
- Rendere l'organizzazione consapevole dell'importanza di proteggere le informazioni per impostazione predefinita.
- L'importanza dell'etichettatura nei siti di SharePoint e il modo in cui le etichette influiscono sulla protezione dei file e della condivisione.
- Come gli utenti possono modificare le etichette quando lavorano con partner esterni attendibili.
- Come gli utenti possono modificare le etichette quando un'applicazione line-of-business o un componente aggiuntivo non funziona correttamente con la crittografia.
- Se condividere da OneDrive o SharePoint con partner esterni attendibili e come selezionare l'etichetta del sito appropriata.
- Giustificazione necessaria per il downgrade delle etichette.
La derivazione dell'etichettatura dei file dall'etichettatura del sito di SharePoint riduce il numero di volte in cui gli utenti devono modificare l'etichetta. Ad esempio:
- John condivide un file esternamente tramite OneDrive. Esamina quindi il contenuto e determina che non è riservato e modifica l'etichetta in Generale. John condivide quindi esternamente.
- Jane collabora con un partner e condivide più file. Jane usa SharePoint ed etichetta il sito su Generale. Tutti i file all'interno del sito possono essere condivisi. Ma se un file riservato viene caricato nel sito, tale file è protetto, viene inviata una notifica a Jane sul file con maggiore sensibilità e può spostare il file o modificare l'etichetta.
- Jack lavora in Excel con un partner usando un componente aggiuntivo importante per le operazioni aziendali. Se questo componente aggiuntivo non è compatibile con la crittografia, Jack deve modificare l'etichetta in Riservato\Eccezione interna.
Importante
Esiste un importante compromesso da considerare tra priorità dell'etichetta, downgrade e giustificazione e impostazioni predefinite. Ad esempio, supponendo che La priorità generale sia inferiore a Riservato\Tutti i dipendenti e se per impostazione predefinita il client di Office è Riservato\Tutti i dipendenti, non verrà applicata un'etichetta di raccolta predefinita di SharePoint impostata su Generale . Analogamente, confidential\internal exception set at a higher priority will not require justification. È importante esaminare le priorità delle etichette e i requisiti di giustificazione.
Attivare la prevenzione della perdita dei dati per il contenuto etichettato
Prevenzione della perdita dei dati Microsoft Purview (DLP) fornisce l'integrazione con le etichette di riservatezza, risolvendo rapidamente i requisiti di prevenzione della perdita dei dati con configurazioni limitate.
Ad esempio, con le etichette consigliate e l'impostazione predefinita impostata su Riservato\Tutti i dipendenti, è consigliabile includere una regola DLP per bloccare la condivisione all'esterno e bloccare Chiunque abbia il collegamento. Per informazioni dettagliate su ogni etichetta, vedere la tabella delle etichette consigliata e la colonna limiti DLP.
Per altre informazioni su questa funzionalità:
- Usare le etichette di riservatezza come condizioni per i criteri di prevenzione della perdita dei dati
- Informazioni di riferimento per i criteri di prevenzione della perdita dei dati
- Informazioni di riferimento sulle condizioni e sulle azioni di Exchange per la prevenzione della perdita dei dati
Fase 1 - Riepilogo
Al termine di questa fase, l'organizzazione ha:
- Etichette disponibili per l'uso manuale da parte degli utenti finali.
- Etichettatura predefinita per tutti i documenti e i messaggi di posta elettronica nuovi/aggiornati.
- Comunicazioni utente e formazione su come gestire le eccezioni, durante la condivisione o se la crittografia causa problemi con i file aziendali.
- Prevenzione della perdita dei dati che impedisce la condivisione di file riservati.
Vedere anche
- Applicare la crittografia usando le etichette di riservatezza
- Gestire le etichette di riservatezza nelle app di Office
- Training dell'utente finale per le etichette di riservatezza
- Informazioni sulle etichette e i criteri predefiniti per proteggere i dati
Passaggio successivo: Fase 2: Gestito - File di indirizzi con la massima riservatezza