Condividi tramite


Criteri di sovraesposizione dei dati in Gestione dei rischi per la privacy

L'organizzazione può archiviare contenuti a vari livelli di accesso, incluse le aree accessibili pubblicamente e quelle con restrizioni. I criteri di sovraesposizione dei dati in Gestione dei rischi per la privacy Microsoft Priva consentono di rilevare e gestire situazioni in cui i dati archiviati dall'organizzazione non sono adeguatamente sicuri. Ad esempio, se l'accesso a un sito interno è aperto a troppe persone o le impostazioni delle autorizzazioni non sono state mantenute, i dati personali archiviati in tale sito potrebbero essere vulnerabili a una violazione.

I criteri di sovraesposizione dei dati possono valutare i dati per i rischi di sovraesposizione e avvisare l'utente di potenziali problemi. Quando viene rilevata una corrispondenza dei criteri, è possibile inviare agli utenti notifiche tramite posta elettronica con opzioni di correzione che includono la conservazione o l'eliminazione dell'elemento o la definizione di un elemento come privato (vedere i dettagli al passaggio 10 del processo di creazione dei criteri).

Il processo di configurazione dei criteri semplifica l'impostazione delle condizioni dei criteri. È possibile controllare in modo completo i tempi di avviso e la frequenza dei messaggi di posta elettronica che richiamano l'attenzione degli utenti sulle procedure di gestione dei dati sicure.

Esistono due modi per creare un criterio: da un modello, che è la nostra rapida opzione "predefinita" usando le impostazioni predefinite; o l'opzione personalizzata , che è un processo guidato per l'impostazione di condizioni, avvisi e notifiche.

Configurazione rapida: usare un modello con le impostazioni predefinite

Il criterio di sovraesposizione dei dati predefinito valuta i dati personali a tutti e tre i livelli di accesso: pubblico, esterno e interno.

Seguire questa procedura per creare un criterio di trasferimento dati predefinito:

  1. Accedere a uno dei portali seguenti usando le credenziali per un account amministratore dell'organizzazione di Microsoft 365:

  2. Vai alla soluzione di gestione dei rischi per la privacy e seleziona la pagina Criteri .

  3. Selezionare Crea un criterio.

  4. Nella casella Sovraesposizione dati selezionare Crea.

  5. Un riquadro a comparsa contiene i dettagli dei criteri. Seleziona Visualizza impostazioni per visualizzare le impostazioni predefinite. È possibile modificare le impostazioni da qui, che consente di seguire il processo guidato descritto di seguito. Per continuare a creare il criterio usando le impostazioni predefinite, immettere un nome descrittivo e quindi selezionare Crea criterio.

I criteri vengono creati e sono elencati nella pagina Criteri . Inizia in modalità di test in modo da poter monitorare le prestazioni prima di attivarla.

Impostazioni dei criteri di sovraesposizione dei dati predefiniti

Un criterio di sovraesposizione dei dati creato dal modello rileverà:

  • Quando un utente fornisce un accesso troppo ampio agli elementi contenenti dati personali archiviati in OneDrive o SharePoint dell'organizzazione. Ad esempio, i criteri rilevano la condivisione dei dati personali nei modi seguenti:
    • Tramite un collegamento accessibile a chiunque nel pubblico
    • Tramite un collegamento o a causa delle autorizzazioni che consentono a tutti gli utenti dell'organizzazione di accedere
    • Concessione di diritti di accesso a utenti esterni o guest a file di OneDrive o SharePoint
  • Tipi di dati basati sui gruppi di classificazione seguenti:
    • Regolamento generale sulla protezione dei dati (GDPR) dell'UE
    • Informazioni personali degli Stati Uniti
    • US Patriot Act
    • Legge statunitense sulla notifica di violazione dello Stato
    • US Gramm-Leach-Bliley Act (GLBA)
    • HIPAA (Health Insurance Portability and Accountability Act)
    • Health Records Act (HRIP) Australia
    • Legge sulla privacy australiana
    • Informazioni personali Giappone
    • Protezione delle informazioni personali giappone

Configurazione personalizzata: processo guidato di creazione dei criteri

L'opzione per i criteri personalizzati è un processo guidato per creare un nuovo criterio impostando condizioni, designando la gravità e la frequenza degli avvisi e attivando le notifiche tramite posta elettronica degli utenti.

Importante

I criteri di sovraesposizione dei dati possono essere configurati per coprire le posizioni di Microsoft 365 e multicloud (anteprima). Tuttavia, alcune impostazioni dei criteri si applicano solo alle posizioni di Microsoft 365. Ottieni informazioni dettagliate su [selezione di posizioni multicloud](risk-management-policies.md#multicloud-data sources-preview) e sulle impostazioni dei criteri che dipendono dalla posizione.

Completare la procedura seguente per creare un nuovo criterio di sovraesposizione dei dati:

  1. Accedere a uno dei portali seguenti usando le credenziali per un account amministratore dell'organizzazione di Microsoft 365:

  2. Vai alla soluzione di gestione dei rischi per la privacy e seleziona la pagina Criteri .

  3. Selezionare Crea un criterio.

  4. Nella casella Personalizzato selezionare Crea.

  5. Nella pagina Nome e tipo selezionare il modello di criteri di sovraesposizione dati. Immettere un nome di criterio per identificarlo facilmente dall'elenco nella pagina Criteri e immettere una descrizione facoltativa, quindi selezionare Avanti.

  6. Nella pagina Origini dati selezionare tutte le origini dati di cui si vogliono trattare i criteri. Informazioni dettagliate sulla scelta delle origini dati.

    • Origini dati di Microsoft 365: le opzioni sono i siti di SharePoint e gli account di OneDrive. In SharePoint è possibile designare tutti i siti o siti specifici. Se si seleziona Siti di SharePoint specifici, è possibile immettere l'URL del sito nel campo URL. È anche possibile selezionare +Scegli siti, quindi nel riquadro a comparsa selezionare la casella a sinistra del nome del sito da selezionare.

    • Origini dati multicloud (anteprima):le opzioni sono Archiviazione di Azure, Azure SQL e Amazon S3. Informazioni dettagliate sulla selezione di origini dati multicloud durante la creazione di un criterio.

    Al termine, seleziona Avanti.

  7. Nella pagina Dati da monitorare scegliere il tipo di dati personali da monitorare. Sono disponibili due opzioni:

    • Gruppi di classificazione: raggruppamenti di tipi di informazioni riservate usati per rilevare contenuti correlati ai dati personali o a normative specifiche. Se si seleziona questa opzione, sarà necessario selezionare +Aggiungi gruppi di classificazione per scegliere uno o più gruppi nell'elenco fornito.

    • Tipi di informazioni riservate o classificatori addestrabili: seleziona questa opzione, quindi usa il menu a discesa Aggiungi per selezionare Tipi di informazioni sensibili o Classificatori addestrabili e scegli da un elenco disponibile per la ricerca. È possibile scegliere i tipi di dati in entrambe le categorie e usare il generatore di condizioni per definire una relazione AND o OR tra i tipi.

    Altri dettagli sulla scelta dei dati da monitorare. Dopo aver selezionato i dati da monitorare, seleziona Avanti.

  8. Nella pagina Utenti e gruppi scegliere gli utenti dell'organizzazione a cui applicare il criterio. È possibile selezionare tutti i singoli utenti e tutti i Office 365 gruppi di distribuzione oppure utenti e gruppi specifici. Altre informazioni sulla scelta di utenti e gruppi. Al termine, seleziona Avanti.

  9. Nella pagina Condizioni selezionare il tipo di condizione di sovraesposizione dei dati rilevata dal criterio:

    • Pubblico: chiunque abbia un collegamento può accedere al contenuto.
    • Esterno: persone specifiche all'esterno dell'organizzazione hanno accesso.
    • Interno: tutti gli utenti dell'organizzazione hanno accesso.

    La selezione di più livelli di accesso amplia l'ambito dei dati e potrebbe produrre quantità di avvisi e notifiche utente notevolmente maggiori.

    Inserisci un controllo nella casella accanto alle opzioni, quindi seleziona Avanti.

  10. Nella pagina Risultati selezionare la casella di controllo Invia un messaggio di notifica agli utenti quando si verifica una corrispondenza dei criteri se si vuole inviare una notifica agli utenti quando vengono soddisfatte le condizioni dei criteri. Quando la casella è selezionata, è possibile visualizzare in anteprima e modificare il messaggio, quindi impostare la frequenza e fornire un collegamento alla formazione sulla privacy. Le opzioni di correzione nei messaggi di posta elettronica sono Cestino o Mantieni gli elementi la cui origine dati è Teams e Imposta come privati o Mantieni gli elementi le cui origini dati sono SharePoint o OneDrive. Altre informazioni sulla configurazione e la modifica delle notifiche utente. Dopo aver definito i risultati, selezionare Avanti.

  11. Nella pagina Avvisi usare l'interruttore per attivare gli avvisi che un amministratore visualizzerà nella pagina Avvisi della sezione Criteri di Gestione dei rischi per la privacy. È possibile specificare la frequenza di generazione degli avvisi, le soglie per le corrispondenze prima della generazione degli avvisi e la gravità degli avvisi. Altre informazioni sull'impostazione di avvisi per le corrispondenze ai criteri. Al termine, seleziona Avanti.

  12. Nella pagina Modalità scegliere la modalità in cui inserire il criterio: Testalo per primo o Attivalo immediatamente. In modalità di test non vengono inviati avvisi o notifiche. Altre informazioni sui suggerimenti e su cosa analizzare durante il test di un criterio. Al termine, seleziona Avanti.

  13. Nella pagina Fine esaminare le opzioni disponibili. Selezionare Modifica sotto una delle sezioni per modificare le impostazioni. Quando sei soddisfatto delle impostazioni dei criteri, seleziona Invia per creare il criterio.

Dopo alcuni secondi verrà visualizzata una conferma della creazione del criterio. Selezionare Fine nella pagina di conferma per passare alla pagina Criteri in cui è visualizzato il nuovo criterio nella parte superiore della tabella.

Passaggi successivi

Per informazioni dettagliate su come modificare e gestire i criteri, vedere Criteri di gestione dei rischi per la privacy.

Microsoft Priva dichiarazione di non responsabilità legale