Integrazione con Microsoft Purview per la protezione delle informazioni

Microsoft Defender for Cloud Apps consente di applicare automaticamente le etichette di riservatezza da Microsoft Purview. Queste etichette vengono applicate ai file come azione di governance dei criteri di file e, a seconda della configurazione delle etichette, possono applicare la crittografia per una protezione aggiuntiva. È anche possibile analizzare i file filtrando l'etichetta di riservatezza applicata all'interno del portale di Defender for Cloud Apps. L'uso di etichette consente una maggiore visibilità e controllo dei dati sensibili nel cloud. L'integrazione di Microsoft Purview con Defender for Cloud Apps è semplice come selezionare una singola casella di controllo.

Integrando Microsoft Purview in Defender for Cloud Apps, è possibile usare tutta la potenza dei servizi e dei file sicuri nel cloud, tra cui:

• Possibilità di applicare etichette di riservatezza come azione di governance ai file che corrispondono a criteri specifici
• Possibilità di visualizzare tutti i file classificati in una posizione centrale
• Possibilità di analizzare in base al livello di classificazione e quantificare l'esposizione dei dati sensibili sulle applicazioni cloud
• Possibilità di creare criteri per assicurarsi che i file classificati vengano gestiti correttamente

Prerequisiti

Nota

Per abilitare questa funzionalità, sono necessarie sia una licenza Defender for Cloud Apps che una licenza per Microsoft Purview. Non appena vengono applicate entrambe le licenze, Defender for Cloud Apps sincronizza le etichette dell'organizzazione da Microsoft Purview.

• Per usare l'integrazione di Microsoft Purview, è necessario abilitare il connettore app per Microsoft 365.

Per Defender for Cloud Apps applicare le etichette di riservatezza, devono essere pubblicate come parte di un criterio di etichetta di riservatezza in Microsoft Purview.

Defender for Cloud Apps attualmente supporta l'applicazione di etichette di riservatezza da Microsoft Purview per i tipi di file seguenti:

• Word: docm, docx, dotm, dotx
• Excel: xlam, xlsm, xlsx, xltx
• PowerPoint: potm, potx, ppsx, ppsm, pptm, pptx
• PDF

  Nota

  Per pdf, è necessario usare etichette unificate.

Questa funzionalità è attualmente disponibile per i file archiviati in Box, Google Workspace, SharePoint Online e OneDrive. Altre app cloud saranno supportate nelle versioni future.

Come funziona

È possibile visualizzare le etichette di riservatezza di Microsoft Purview in Defender for Cloud Apps. Non appena si integra Defender for Cloud Apps con Microsoft Purview, Defender for Cloud Apps analizza i file nel modo seguente:

1. Defender for Cloud Apps recupera l'elenco di tutte le etichette di riservatezza usate nel tenant. Questa azione viene eseguita ogni ora per mantenere aggiornato l'elenco.

2. Defender for Cloud Apps quindi analizza i file alla ricerca di etichette di riservatezza, come indicato di seguito:

   • Se è stata abilitata l'analisi automatica, tutti i file nuovi o modificati vengono aggiunti alla coda di analisi e tutti i file e i repository esistenti verranno analizzati.
   • Se si imposta un criterio file per cercare le etichette di riservatezza, questi file vengono aggiunti alla coda di analisi per individuare le etichette di riservatezza.

3. Come indicato, queste analisi riguardano le etichette di riservatezza individuate nell'analisi iniziale Defender for Cloud Apps verifica quali etichette di riservatezza vengono usate nel tenant. Le etichette esterne, ovvero le etichette di classificazione impostate da un utente esterno al tenant, vengono aggiunte all'elenco delle etichette di classificazione. Se non si vuole eseguire l'analisi, selezionare la casella di controllo Solo i file di analisi per Microsoft Information Protection etichette di riservatezza e avvisi di ispezione del contenuto da questo tenant.

4. Dopo aver abilitato Microsoft Purview in Defender for Cloud Apps, tutti i nuovi file aggiunti alle app cloud connesse verranno analizzati per individuare le etichette di riservatezza.

5. È possibile creare nuovi criteri all'interno di Defender for Cloud Apps che applicano automaticamente le etichette di riservatezza.

Limiti di integrazione

Si noti i limiti seguenti quando si usano le etichette di Microsoft Purview con Defender for Cloud Apps.

Limite	Descrizione
File con etichette o protezione applicati all'esterno di Defender for Cloud Apps	Le etichette non protette applicate all'esterno di Defender for Cloud Apps possono essere sostituite da Defender for Cloud Apps ma non possono essere rimosse. Defender for Cloud Apps non è possibile rimuovere le etichette con protezione dai file etichettati all'esterno di Defender for Cloud Apps. Per analizzare i file con protezione applicata all'esterno delle app Defender per cloud, concedere le autorizzazioni per controllare il contenuto per i file protetti.
File etichettati da Defender for Cloud Apps	Defender for Cloud Apps non sostituisce le etichette nei file che sono già stati etichettati da Defender for Cloud Apps.
File protetti da password	Defender for Cloud Apps non è in grado di leggere le etichette nei file protetti da password.
File vuoti	I file vuoti non sono etichettati da Defender for Cloud Apps.
Librerie che richiedono il checkout	Defender for Cloud Apps non è possibile etichettare i file che si trovano nelle librerie configurate per richiedere l'estrazione.
Requisiti dell'ambito	Affinché Defender for Cloud Apps riconosca un'etichetta di riservatezza, è necessario configurare l'ambito dell'etichetta in Purview per almeno file e messaggi di posta elettronica.

Nota

Microsoft Purview è la soluzione principale di Microsoft per l'etichettatura dei servizi. Per altre informazioni, vedere la documentazione di Microsoft Purview.

Come integrare Microsoft Purview con Defender for Cloud Apps

Abilitare Microsoft Purview

Tutto quello che devi fare per integrare Microsoft Purview con Defender for Cloud Apps è selezionare una singola casella di controllo. Abilitando l'analisi automatica, si abilita la ricerca di etichette di riservatezza da Microsoft Purview nei file di Microsoft 365 senza la necessità di creare un criterio. Dopo averlo abilitato, se nell'ambiente cloud sono presenti file etichettati con etichette di riservatezza di Microsoft Purview, verranno visualizzati in Defender for Cloud Apps.

Per consentire Defender for Cloud Apps di analizzare i file con l'ispezione del contenuto abilitata per le etichette di riservatezza:

Nel portale Microsoft Defender selezionare Impostazioni. Scegliere quindi App cloud. Passare quindi a Information Protection ->Microsoft Information Protection.

1. In Impostazioni di Microsoft Information Protection selezionare Analizza automaticamente i nuovi file per individuare etichette di riservatezza da Microsoft Information Protection e avvisi di ispezione del contenuto.

   

Dopo aver abilitato Microsoft Purview, sarà possibile visualizzare i file con etichette di riservatezza e filtrarli per etichetta in Defender for Cloud Apps. Dopo aver connesso Defender for Cloud Apps all'app cloud, sarà possibile usare le funzionalità di integrazione di Microsoft Purview per applicare le etichette di riservatezza da Microsoft Purview (con o senza crittografia) nel Defender for Cloud Apps aggiungendoli direttamente ai file o configurando un criterio file per applicare automaticamente le etichette di riservatezza come azione di governance.

Nota

L'analisi automatica non analizza i file esistenti fino a quando non vengono modificati di nuovo. Per analizzare i file esistenti alla ricerca di etichette di riservatezza da Microsoft Purview, è necessario disporre di almeno un criterio File che includa l'ispezione del contenuto. Se non si dispone di nessuno, creare un nuovo criterio file, eliminare tutti i filtri predefiniti, in Metodo di ispezione selezionare DLP predefinito. Nel campo Controllo contenuto selezionare Includi file che corrispondono a un'espressione preimpostata , selezionare qualsiasi valore predefinito e salvare il criterio. Ciò consente l'ispezione del contenuto, che rileva automaticamente le etichette di riservatezza da Microsoft Purview.

Impostare etichette interne ed esterne

Per impostazione predefinita, Defender for Cloud Apps analizza le etichette di riservatezza definite nell'organizzazione e quelle esterne definite da altre organizzazioni.

Per ignorare le etichette di riservatezza impostate all'esterno dell'organizzazione, passare al portale di Microsoft Defender e selezionare Impostazioni. Scegliere quindi App cloud. In Information Protection selezionare Microsoft Information Protection. Selezionare quindi Solo i file di analisi per Microsoft Information Protection etichette di riservatezza e avvisi di ispezione del contenuto da questo tenant.

Applicare etichette direttamente ai file

1. Nel portale di Microsoft Defender scegliere File in App cloud. Selezionare quindi il file da proteggere. Selezionare i tre punti alla fine della riga del file e quindi scegliere Applica etichetta di riservatezza.

   

   Nota

   Defender for Cloud Apps possibile applicare Microsoft Purview a file fino a 30 MB.

2. Scegliere una delle etichette di riservatezza dell'organizzazione da applicare al file e selezionare Applica.

   

3. Dopo aver scelto un'etichetta di riservatezza e aver selezionato Applica, Defender for Cloud Apps applicherà l'etichetta di riservatezza al file originale.

4. È anche possibile rimuovere le etichette di riservatezza scegliendo l'opzione Rimuovi etichetta di riservatezza .

Per altre informazioni sul funzionamento di Defender for Cloud Apps e Microsoft Purview, vedere Applicare automaticamente le etichette di riservatezza da Microsoft Purview.

Etichettare automaticamente i file

È possibile applicare automaticamente le etichette di riservatezza ai file creando un criterio file e impostando Applica etichetta di riservatezza come azione di governance.

Seguire queste istruzioni per creare i criteri di file:

1. Creare un criterio file.

2. Impostare il criterio per includere il tipo di file che si vuole rilevare. Ad esempio, selezionare tutti i file in cui il livello di accesso non è uguale a Interno e dove l'unità organizzativa Proprietario è uguale al team finanziario.

3. In Azioni di governance per l'app pertinente selezionare Applica etichetta di riservatezza e quindi selezionare il tipo di etichetta.

   

Nota

• La possibilità di applicare un'etichetta di riservatezza è una funzionalità potente. Per proteggere i clienti dall'applicazione errata di un'etichetta a un numero elevato di file, come precauzione di sicurezza è previsto un limite giornaliero di 100 azioni Applica etichetta per app, per tenant. Dopo aver raggiunto il limite giornaliero, l'azione applica etichetta viene sospesa temporaneamente e continua automaticamente il giorno successivo (dopo le 12:00 UTC).
• Quando un criterio è disabilitato, tutte le attività di etichettatura in sospeso per tale criterio vengono sospese.
• Nella configurazione dell'etichetta, le autorizzazioni devono essere assegnate a qualsiasi utente autenticato o a tutti gli utenti dell'organizzazione per Defender for Cloud Apps leggere le informazioni sulle etichette.

Controllare l'esposizione dei file

1. Si supponga, ad esempio, di aver etichettato il documento seguente con un'etichetta di riservatezza di Microsoft Purview:

   

2. È possibile visualizzare questo documento in Defender for Cloud Apps filtrando l'etichetta di riservatezza per Microsoft Purview nella pagina File.

   

3. È possibile ottenere altre informazioni su questi file e sulle relative etichette di riservatezza nel pannello dei file. Basta selezionare il file pertinente nella pagina File e controllare se ha un'etichetta di riservatezza.

   

4. È quindi possibile creare criteri di file in Defender for Cloud Apps per controllare i file condivisi in modo inappropriato e trovare i file etichettati e modificati di recente.

• È possibile creare un criterio che applica automaticamente un'etichetta di riservatezza a file specifici.
• È anche possibile attivare avvisi sulle attività correlate alla classificazione dei file.

Nota

Quando le etichette di riservatezza sono disabilitate in un file, le etichette disabilitate vengono visualizzate come disabilitate in Defender for Cloud Apps. Le etichette eliminate non vengono visualizzate.

Criteri di esempio: dati riservati condivisi esternamente in Box:

1. Creare un criterio file.

2. Impostare il nome, la gravità e la categoria del criterio.

3. Aggiungere i filtri seguenti per trovare tutti i dati riservati condivisi esternamente in Box:

   

Criteri di esempio: dati con restrizioni modificati di recente all'esterno della cartella Customer Data in SharePoint:

1. Creare un criterio file.

2. Impostare il nome, la gravità e la categoria del criterio.

3. Aggiungere i filtri seguenti per trovare tutti i file con restrizioni modificati di recente escludendo la cartella Customer Data nell'opzione di selezione della cartella:

   

È anche possibile scegliere di impostare avvisi, notifiche utente o intervenire immediatamente per questi criteri. Altre informazioni sulle azioni di governance.

Altre informazioni su Microsoft Purview.

Passaggi successivi

Controllare le app cloud con i criteri

Se si verificano problemi, siamo qui per aiutarti. Per ottenere assistenza o supporto per il problema del prodotto, aprire un ticket di supporto.