Configurare SharePoint con un'etichetta di riservatezza per estendere le autorizzazioni ai documenti scaricati
Linee guida sulle licenze di Microsoft 365 per la sicurezza & conformità
Nota
La funzionalità seguente per estendere le autorizzazioni di SharePoint viene distribuita gradualmente in anteprima e soggetta a modifiche.
Quando SharePoint è abilitato per le etichette di riservatezza, è possibile configurare le raccolte documenti per estendere le autorizzazioni del sito di SharePoint esistenti ai documenti quando vengono scaricate dalla raccolta. Quindi, tutti i file non etichettati in precedenza da tale raccolta continuano a essere protetti con le autorizzazioni di SharePoint correnti per l'utente, anche se i file hanno lasciato il limite di SharePoint originale.
Ad esempio, si seleziona l'etichetta Confidential \ Trusted Persone come etichetta di riservatezza per estendere le autorizzazioni per una raccolta documenti. In tale raccolta, un sito è configurato per consentire solo le autorizzazioni di lettura per un gruppo specifico di utenti. Un utente di quel gruppo scarica un file dal sito e tale file è ora etichettato come Riservato \Trusted Persone. Anche se il file non è più in SharePoint, l'utente può comunque visualizzare e non modificare il contenuto o rimuovere l'etichetta. Solo gli utenti con accesso al file in SharePoint hanno accesso al file scaricato. Gli utenti senza accesso al file in SharePoint non potranno aprire il file scaricato, indipendentemente dalla posizione in cui è archiviato.
Inoltre, il file ha un livello di protezione JIT perché l'utente che ha scaricato il file non sarà in grado di aprirlo nelle circostanze seguenti:
- Le autorizzazioni per l'utente vengono rimosse dal file
- Il file viene eliminato dal sito
- Il sito non è più attivo
- Il file viene spostato in un sito diverso
Se le autorizzazioni di SharePoint per l'utente vengono modificate, tali modifiche vengono riflesse per il file scaricato.
Quando questi file con etichetta si trovano nella raccolta documenti, vengono protetti anche dalle azioni di copia e spostamento:
- I file non possono essere copiati o spostati in un sito diverso.
- I file possono essere copiati o spostati in una raccolta documenti diversa all'interno dello stesso sito solo se l'utente dispone delle autorizzazioni di SharePoint per creare o eliminare elenchi.
L'etichetta di riservatezza specificata viene applicata a tutti i file senza etichetta e ai file etichettati, ma la configurazione dell'etichetta non applica la crittografia. Anche i file sincronizzati con OneDrive vengono etichettati.
Per i file esistenti etichettati ma non crittografati, viene sostituita anche un'etichetta applicata manualmente con l'etichetta specificata. Per un breve riepilogo dei possibili risultati, vedere Verrà eseguito l'override di un'etichetta esistente in questa pagina.
Attualmente, Microsoft 365 Copilot non può accedere ai file non aperti etichettati con questa configurazione.
Poiché i file non crittografati possono essere etichettati di nuovo, questa configurazione di etichettatura è adatta alle organizzazioni che sono nelle prime fasi della distribuzione di etichettatura e non hanno ancora etichettato i file nei siti di SharePoint usando altri metodi.
Un'etichetta esistente verrà sostituita?
Riepilogo dei risultati:
| Etichetta esistente | Eseguire l'override con l'etichetta della libreria per estendere le autorizzazioni |
|---|---|
| L'etichetta applicata usando qualsiasi metodo (manuale, automatico, etichetta predefinita dai criteri) e la configurazione dell'etichetta non applica la crittografia, nessuna priorità | Sì |
| L'etichetta applicata usando qualsiasi metodo (manuale, automatico, etichetta predefinita dai criteri) e la configurazione dell'etichetta applica la crittografia, qualsiasi priorità | No |
Requisiti
Sono state create e pubblicate etichette di riservatezza, pubblicate per gli utenti che selezioneranno l'etichetta di riservatezza per una raccolta documenti di SharePoint. Le etichette richiedono la configurazione seguente:
Ambito dell'etichetta dei file e di altri asset di dati
Il controllo di accesso è selezionato con l'impostazione di crittografia Consenti agli utenti di assegnare le autorizzazioni quando applicano l'etichetta e la casella di controllo In Word, PowerPoint ed Excel viene richiesto agli utenti di specificare le autorizzazioni. Questa impostazione viene talvolta definita "autorizzazioni definite dall'utente".
Nota
In questa applicazione dell'etichetta agli utenti non verranno richieste autorizzazioni, ma le autorizzazioni di SharePoint verranno applicate automaticamente quando un file viene scaricato, copiato o spostato dal sito.
Sono state abilitate le etichette di riservatezza per i file di Office in SharePoint e OneDrive. Per controllare questo stato, è possibile eseguire
(Get-SPOTenant).EnableAIPIntegrationda SharePoint Online Management Shell per verificare che il valore sia impostato su True.Il tenant è stato abilitato per la creazione condivisa di file crittografati con etichette di riservatezza.
Per supportare le etichette di riservatezza per i PDF, è stato aggiunto il supporto per i PDF in SharePoint. Per controllare questo stato, è possibile eseguire
(Get-SPOTenant).EnableSensitivityLabelforPDFda SharePoint Online Management Shell per verificare che il valore sia impostato su True.Le app di Windows da Microsoft 365 Apps for enterprise che scaricano file richiedono una versione minima di 2402 da Current Channel, Monthly Enterprise Channel o Semi-Annual Enterprise Channel.
SharePoint Information Rights Management (IRM) non è abilitato per la raccolta. Questa tecnologia precedente non è compatibile con l'uso di un'etichetta di riservatezza per una raccolta documenti di SharePoint. Se una libreria è abilitata per IRM, non sarà possibile selezionare un'etichetta di riservatezza.
Le autorizzazioni di amministratore del sito sono necessarie per applicare e modificare l'etichetta di riservatezza in SharePoint.
I file devono contenere contenuto da etichettare.
Se è necessario esaminare un elenco di tipi di file supportati dalle etichette di riservatezza in SharePoint, vedere Tipi di file supportati.
Mapping delle autorizzazioni di SharePoint ai diritti di utilizzo
Usare la tabella seguente per comprendere in che modo le autorizzazioni di SharePoint per un utente vengono estese ai diritti di utilizzo e ai livelli di autorizzazione di Rights Management quando un file viene scaricato o copiato e spostato all'esterno del sito.
| Autorizzazione di SharePoint | Diritti di utilizzo applicati | Livelli di autorizzazione |
|---|---|---|
| Proprietario | Controllo completo del contenuto, di tutte le autorizzazioni e dell'etichetta di riservatezza applicata: VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA, EDITRIGHTSDATA, OBJMODEL *, OWNER * |
Proprietario |
| Modifica | Controllo completo sul contenuto, ma non può modificare l'etichetta di riservatezza applicata: VIEW, EXTRACT, DOCEDIT, EDIT, EXPORT, COMMENT, PRINT, FORWARD, REPLY, REPLYALL, VIEWRIGHTSDATA |
Editor |
| Lettura | Può visualizzare il contenuto ma non può modificare il contenuto o l'etichetta di riservatezza applicata: VIEW, VIEWRIGHTSDATA |
Visualizzatore |
* Attualmente, questi diritti di utilizzo non vengono applicati e, di conseguenza, l'utente può modificare l'etichetta di riservatezza, ma non può rimuoverla.
Limitazioni
Quando si usa questa configurazione, si applicano le limitazioni seguenti:
Gli utenti non possono applicare manualmente etichette di riservatezza che non sono configurate per applicare la crittografia.
Gli utenti non saranno in grado di aprire i file scaricati offline; devono essere in grado di connettersi al sito originale.
Gli utenti non potranno aprire i file scaricati se il sito, la cartella o il file di SharePoint originale viene eliminato.
I file etichettati con questa configurazione non possono essere spostati o copiati in un altro sito.
I file etichettati con questa configurazione possono essere spostati o copiati in un'altra raccolta documenti all'interno dello stesso sito solo se gli utenti dispongono delle autorizzazioni di SharePoint per la creazione o l'eliminazione di elenchi. L'etichetta non viene mantenuta per il file copiato o spostato.
Questa configurazione può sostituire un'etichetta applicata in precedenza manualmente se l'etichetta non è configurata per applicare la crittografia.
I file etichettati con questa configurazione non vengono attualmente visualizzati come etichettati in Esplora contenuto.
Microsoft 365 Copilot può fare riferimento ai file etichettati se gli utenti hanno autorizzazioni di lettura di SharePoint, ma non riepilogano questi file. Poiché i file non possono essere riepilogati, non possono essere usati da Copilot per generare nuovi contenuti.
Nota
Come per tutti i file crittografati con Azure Rights Management, un utente con privilegi avanzati può aprire documenti crittografati, se necessario perché la posizione originale non è più accessibile.
Come configurare una raccolta documenti di SharePoint per un'etichetta di riservatezza che estende le autorizzazioni ai documenti scaricati
Questa configurazione richiede innanzitutto di abilitare la funzionalità per il tenant usando PowerShell con SharePoint Online Management Shell. Una nuova casella di controllo diventa quindi disponibile per le impostazioni della raccolta documenti.
Eseguire il comando di PowerShell per abilitare il supporto per estendere le autorizzazioni di SharePoint
Assicurarsi di eseguire SharePoint Online Management Shell versione 16.0.25430.12000 o successiva.
Per abilitare le nuove funzionalità, usare il cmdlet Set-SPOTenant con il parametro ExtendPermissionsToUnprotectedFiles :
Usando un account aziendale o dell'istituto di istruzione con privilegi di amministratore di SharePoint in Microsoft 365, connettersi a SharePoint. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.
Nota
Se disponi di Microsoft 365 Multi-Geo, utilizza il parametro -Url con Connect-SPOService e specifica l'URL del sito dell'interfaccia di amministrazione di SharePoint Online per una delle tue posizioni geografiche.
Eseguire il comando seguente e premere Y per confermare:
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $truePer Microsoft 365 Multi-Geo: ripetere i passaggi 1 e 2 per ognuna delle posizioni geografiche rimanenti.
Come per tutte le modifiche alla configurazione a livello di tenant per SharePoint, l'applicazione della modifica richiede circa 15 minuti.
Configurare le raccolte documenti di SharePoint con un'etichetta predefinita per estendere le autorizzazioni
Per ogni raccolta documenti di SharePoint che si vuole avere questa configurazione, seguire le istruzioni per Aggiungere un'etichetta di riservatezza alla raccolta documenti di SharePoint e selezionare la casella di controllo Estendi protezione al download, copia o spostamento:
Questa casella di controllo non verrà visualizzata fino al completamento del comando di PowerShell precedente.
Dopo aver selezionato un'etichetta di riservatezza che applica la crittografia con autorizzazioni definite dall'utente, salvare la configurazione.
Nota
Questa funzionalità si esclude a vicenda con l'opzione per selezionare un'etichetta di riservatezza predefinita per una raccolta documenti di SharePoint che supporta le etichette di riservatezza senza crittografia e le etichette di riservatezza configurate con l'opzione Assegna autorizzazioni ora (talvolta definite come "autorizzazioni definite dall'amministratore").
L'etichetta di riservatezza selezionata verrà applicata a tutti i file non etichettati e ai file etichettati ma la configurazione dell'etichetta non applica la crittografia. Nella colonna Riservatezza per la raccolta documenti viene visualizzata l'etichetta selezionata per i file esistenti, nuovi e modificati. Gli utenti visualizzano l'etichetta selezionata quando aprono il file per la modifica, ma non subiscono modifiche nelle autorizzazioni a causa dell'etichetta.
Dopo aver configurato la libreria con l'etichetta di riservatezza, tutti i file esistenti verranno risincronizzati se la libreria viene sincronizzata tramite il client sincronizzazione OneDrive. Il processo di risincronizzazione può richiedere del tempo e, fino al completamento, la protezione estesa non verrà applicata.
Importante
Nella raccolta documenti di SharePoint configurata per l'etichetta di riservatezza gli utenti non possono rimuovere l'etichetta di riservatezza applicata nelle proprie app di Office e modificarla solo se l'etichetta sostitutiva applica la crittografia.
Monitoraggio dell'applicazione dell'etichetta di riservatezza che estende le autorizzazioni di SharePoint
Poiché questa configurazione estende la funzionalità di un'etichetta di riservatezza predefinita per una raccolta documenti, è possibile monitorarne la configurazione nello stesso modo. Il GUID dell'etichetta di riservatezza identificherà la configurazione della crittografia per le autorizzazioni definite dall'utente. Non esiste un evento di controllo di etichettatura separato per quando un file viene scaricato, copiato o spostato.
Come disattivare questa funzionalità
Se si vuole che una raccolta documenti di SharePoint specifica non estenda più le autorizzazioni con un'etichetta di riservatezza, deselezionare la casella di controllo Estendi protezione al download, copia o sposta come raccolta documenti di SharePoint. In seguito:
I file nella raccolta documenti precedentemente etichettati con questa configurazione verranno ripristinati all'etichetta originale che non ha applicato la crittografia o non etichettati se lo stato originale era quello precedente alla selezione della casella di controllo.
I file sincronizzati con OneDrive verranno risincronizzati e verranno ripristinati allo stesso modo lo stato dell'etichetta precedente. Il processo di risincronizzazione può richiedere del tempo e, fino al completamento, la protezione estesa rimarrà.
I file etichettati che vengono scaricati conservano l'etichetta.
Se si vuole disattivare questa funzionalità a livello di tenant quando è stata abilitata e configurata in precedenza, deselezionare prima di tutto la casella di controllo Estendi protezione al momento del download, copia o sposta da tutte le raccolte documenti in cui è stata selezionata. Usare quindi lo stesso cmdlet Set-SPOTenant con il parametro ExtendPermissionsToUnprotectedFiles , ma impostare il valore su false. In seguito:
- La casella di controllo Estendi protezione durante il download, la copia o lo spostamento non è più visibile come impostazione della raccolta documenti di SharePoint.
Se si disattiva la funzionalità a livello di tenant senza prima deselezionare la casella di controllo per una raccolta documenti, la configurazione rimane ma senza la casella di controllo per disattivarla.
In questo scenario, per disattivare la configurazione, eseguire il comando PowerShell per abilitare il supporto per estendere le autorizzazioni di SharePoint per visualizzare nuovamente la casella di controllo, in modo da poterla deselezionare. Se non si vuole riabilitare il supporto a livello di tenant, contattare supporto tecnico Microsoft per comunicare tramite i comandi di PowerShell per rimuovere la configurazione per una raccolta documenti specifica.
Passaggi successivi
Anche se questa configurazione offre una protezione immediata su larga scala per i file archiviati in SharePoint, non tiene conto del contenuto dei file che potrebbe richiedere un livello di protezione superiore. È consigliabile integrare questo metodo di etichettatura con l'etichettatura automatica che usa l'ispezione del contenuto per applicare le etichette di riservatezza con la crittografia.