Prerequisiti tecnologici per l'uso di Microsoft Purview Information Protection per la conformità del governo australiano con PSPF
Questo articolo fornisce indicazioni per le organizzazioni governative australiane sui servizi e i componenti che devono essere distribuiti a un'organizzazione per usare al meglio l'etichettatura di riservatezza e altre funzionalità di Microsoft Purview. Il suo scopo è aiutare le organizzazioni a comprendere i prerequisiti per la distribuzione di Microsoft Purview Information Protection per soddisfare i requisiti descritti in Protective Security Policy Framework (PSPF) e Information Security Manual (ISM).
Per usare al meglio le configurazioni descritte in questa guida, le organizzazioni devono implementare il set di base di servizi Microsoft 365 seguente:
- Exchange Online
- Microsoft Office Online o Microsoft 365 Apps client office
- SharePoint Online
- Microsoft Teams
Le configurazioni descritte in questa guida fanno riferimento a contrassegni e classificazioni fino a PROTECTED incluso. Le organizzazioni devono anche usare i requisiti dell'ambiente PROTECTED oltre l'ambito di questa guida.
Nota
L'implementazione di un'etichetta PROTECTED non significa automaticamente che l'ambiente sia adatto per ospitare dati PROTETTI. Le organizzazioni governative devono disporre di controlli sottostanti in base al Manuale per la sicurezza delle informazioni (ISM) e al progetto per il cloud sicuro dell'ASD.
Supporto client di Microsoft Office
Il supporto client è fondamentale per un'implementazione corretta delle funzionalità di Microsoft Purview Information Protection. I client usati dagli utenti per interagire con i file di Office, la posta elettronica e altri servizi devono essere sensibili all'etichetta per facilitare l'applicazione di etichette. Questa sezione illustra le versioni client di Microsoft Office in grado di eseguire questa integrazione e cerca di identificare eventuali prerequisiti necessari prima della distribuzione di Purview.
Microsoft 365 Apps for Enterprise
Microsoft 365 Apps for Enterprise è una versione di Microsoft Office che consente l'integrazione con la suite di servizi Microsoft 365. Poiché Microsoft 365 è un servizio basato sul cloud in continua evoluzione, la versione Microsoft 365 Apps del client di Office riceve una frequenza elevata di aggiornamenti per rimanere al passo con la piattaforma cloud. Questa integrazione tra il client di Office e i servizi cloud di Microsoft 365 consente di rendere disponibile agli utenti un set di funzionalità più ampio di quello che è possibile ottenere tramite client Office autonomi. I client tradizionali offrono un set di funzionalità statici e ricevono aggiornamenti della sicurezza, ma in genere non ottengono l'accesso alle funzionalità appena rilasciate o alle funzionalità incentrate sul cloud.
Per altre informazioni sui canali di aggiornamento disponibili per le app di Microsoft 365, vedere Panoramica dei canali di aggiornamento per Microsoft 365 Apps.
client Microsoft Purview Information Protection
In precedenza, le organizzazioni che eseguono client di Office tradizionali usavano Il client di etichettatura unificata di Azure Information Protection (AIP) per abilitare la selezione delle etichette nei client non Microsoft 365 Apps. AIP è stato sostituito dalle funzionalità client in-build Microsoft 365 Apps.
Microsoft Purview Information Protection le funzionalità client ancora rilevanti da AIP continuano a essere supportate. Queste includono le estensioni della shell di Windows, lo scanner di protezione delle informazioni e l'etichettatore di file di Information Protection e il visualizzatore di Information Protection. Per altre informazioni su queste funzionalità, vedere Estendere l'etichettatura di riservatezza in Windows.
Supporto del client Mac, iOS e Android
Le nuove funzionalità di Purview vengono in genere rese disponibili per la versione Microsoft 365 Apps basata su Windows di Office prima e quindi per altre versioni di Office. Per lo stato delle funzionalità delle versioni client, vedere versioni minime per le etichette di riservatezza in client diversi. Le organizzazioni che distribuiscono Microsoft 365 devono valutare queste informazioni per garantire che tutte le funzionalità desiderate siano disponibili nelle versioni usate dall'organizzazione.
Client Web Microsoft 365
Nelle versioni minime per le etichette di riservatezza nelle tabelle Microsoft 365 Apps molte funzionalità di Purview sono elencate come "Sì – acconsentire esplicitamente" per la versione Web dei client di Office. Questa formulazione ha lo scopo di spiegare che le funzionalità sono disponibili, ma richiede l'abilitazione per determinati scenari. Ad esempio, la possibilità di applicare un'etichetta a un file o a un messaggio di posta elettronica è abilitata per impostazione predefinita per i client Di Office e Outlook basati sul Web, ma deve essere abilitata prima che le etichette possano essere applicate ai siti di SharePoint. Di conseguenza, Web è elencato come "opt-in" per questa funzionalità. Le funzionalità elencate come "in fase di revisione" sono in genere nuove e sono ancora in fase di sviluppo per la piattaforma basata sul Web.
Vale anche la pena notare che alcuni web browser, come Microsoft Edge Chromium, Chrome e Firefox, hanno funzionalità Prevenzione della perdita dei dati Microsoft Purview integrate nel prodotto o disponibili tramite componente aggiuntivo. Queste funzionalità di prevenzione della perdita dei dati impediscono la perdita di elementi classificati per la sicurezza o altrimenti sensibili, pertanto devono essere considerate per la distribuzione.
Consiglio
Come parte della configurazione DLP, le organizzazioni devono usare un client compatibile con DLP. Vedere l'accesso condizionale per informazioni su come implementare questa funzionalità inline con Essential 8.
Imposizione dei requisiti del client
La maggior parte dei requisiti del criterio 8 di Protective Security Policy Framework (PSPF), inclusi i tre requisiti principali, riguarda l'identificazione delle informazioni sensibili o dei controlli, che dipendono dall'identificazione delle informazioni sensibili. Le applicazioni client che hanno una conoscenza del requisito di un utente di applicare contrassegni agli elementi possono aiutarci a soddisfare i requisiti, forzando gli utenti ad applicare contrassegni al momento della creazione dell'elemento. Una volta contrassegnati, i controlli operativi per proteggere il contenuto racchiuso di un elemento possono quindi essere applicati. All'interno di questo articolo si fa riferimento a tale configurazione, ad esempio "Etichettatura obbligatoria". All'interno di Microsoft 365 questo risultato viene ottenuto principalmente tramite un'opzione di criteri di etichetta, illustrata nell'etichettatura obbligatoria.
Come esempio dell'importanza dell'etichettatura obbligatoria, si consideri un messaggio di posta elettronica, che è stato inviato ma senza che venga prima applicato un contrassegno protettivo. Ciò potrebbe verificarsi a causa della mancanza di supporto client. In tali situazioni, è necessario presupporre che l'utente non abbia avuto l'opportunità di valutare la riservatezza delle informazioni racchiuse (in base al criterio PSPF 8 Core Requisito 2). Poiché l'elemento è ad alto rischio in termini di violazione dei dati, devono essere applicati i controlli ISM come ISM-0565:
| Requisito | Dettagli |
|---|---|
| ISM-0565 (giugno 2024) | Email server sono configurati per bloccare, registrare e segnalare messaggi di posta elettronica con contrassegni di protezione inappropriati. |
L'applicazione di un contrassegno protettivo, o etichetta di riservatezza, garantisce che la riservatezza dell'elemento sia stata valutata dal proprietario o dall'autore del contenuto e consenta controlli appropriati per le informazioni contenute.
Le opzioni per applicare l'etichettatura obbligatoria possono essere applicate solo dai client che sono a conoscenza dei criteri di etichettatura di Microsoft Purview di un'organizzazione. Pertanto, è consigliabile verificare che gli utenti dispongano solo di servizi di accesso tramite client che supportano i criteri di etichettatura di Microsoft Purview. A tale scopo, è necessario implementare un criterio di accesso condizionale.
Per informazioni sull'applicazione dell'accesso condizionale in Essential 8, vedere Controllo delle applicazioni e accesso condizionale.
L'etichettatura obbligatoria garantisce che non sia possibile inviare messaggi di posta elettronica senza etichetta. Tuttavia, esistono ancora scenari in cui la posta elettronica non etichettata viene generata da un'organizzazione, inclusa quella generata da applicazioni o dispositivi multifunzione e scanner. Per applicare una configurazione che richiede l'etichettatura di tutti i messaggi di posta elettronica, le organizzazioni possono implementare controlli che bloccano la trasmissione della posta elettronica generata dall'utente, che non dispone di contrassegni appropriati. Per informazioni sull'implementazione di questi controlli, vedere Blocco della trasmissione di messaggi di posta elettronica senza etichetta.
Integrazione pdf
I client Microsoft 365 Apps basati su Windows includono la possibilità di mantenere le etichette applicate ai documenti di Office quando vengono esportati o salvati come file PDF. Questi PDF mantengono le impostazioni di protezione per i file di Office di origine, inclusa la crittografia.
I documenti PDF protetti possono essere letti in lettori PDF compatibili con le etichette, tra cui Microsoft Edge, Chrome, Foxit Reader e Adobe Reader (con il plug-in Information Protection per Acrobat e Acrobat Reader installato).
Le organizzazioni governative devono distribuire e usare client PDF o plug-in client compatibili con le etichette. Tali client consentono di mantenere una chiara identificazione delle informazioni sensibili e dell'applicazione dei controlli quando gli elementi vengono esportati in formato PDF.
Per altre informazioni su queste funzionalità, vedere i collegamenti seguenti:
- Applicare etichette di riservatezza ai PDF creati con le app di Office
- Disponibilità generale dell'integrazione di Adobe Acrobat Reader con Microsoft Purview Information Protection
Licenze necessarie
L'uso di base delle funzionalità di Information Protection di Purview richiede almeno una licenza E3. Tuttavia, la maggior parte delle organizzazioni governative deve usare Microsoft 365 E5 (o componenti aggiuntivi di conformità E5 equivalenti) per un uso maturo delle funzionalità di Purview.
La tabella seguente include un subset di casi d'uso comuni per enti pubblici e la relativa licenza minima necessaria per eseguire tale caso d'uso.
| Caso d'uso | License |
|---|---|
| Applicare manualmente un'etichetta di riservatezza agli elementi. | E3 |
| Impedire la distribuzione di elementi etichettati a utenti non autorizzati. | E3 |
| Applicare contrassegni di soggetto agli elementi etichettati per indicare la riservatezza degli elementi. | E3 |
| Applicare automaticamente le etichette di riservatezza in base ai contrassegni applicati da altre organizzazioni. | E5 |
| Monitorare e segnalare l'utilizzo delle etichette nell'ambiente. | E5 |
| Applicare etichette alle riunioni e agli elementi del calendario. | E5 |
| Consigliare l'applicazione di un'etichetta di riservatezza in base al rilevamento del contenuto sensibile. | E5 |
| Monitorare e controllare l'uso di elementi etichettati nei dispositivi. | E5 |
| Identificare gli utenti malintenzionati in base alle attività con elementi etichettati o altrimenti sensibili. | E5 |
| Rilevare i contenuti sensibili e controllarne la distribuzione tramite la chat di Teams. | E5 |
| Individuare la posizione in cui risiede il contenuto etichettato e altrimenti riservato in un ambiente. | E5 |
Come dovrebbe essere evidente dalla tabella precedente, le organizzazioni governative con licenza E3 possono implementare Purview a un livello di base e raggiungere livelli ad hoc o di sviluppo del modello di maturità PSPF. Tuttavia, per garantire che gli elementi siano protetti tramite controlli rilevanti per la riservatezza, sono necessarie funzionalità incluse in E5 o licenze equivalenti. Le organizzazioni possono raggiungere livelli di maturità PSPF gestiti o incorporati usando E5.
Un fattore importante per raggiungere livelli più elevati di maturità della conformità è l'uso dell'etichettatura automatica di riservatezza. L'etichettatura automatica consente alle organizzazioni governative di rispettare le classificazioni applicate esternamente. Se un messaggio di posta elettronica è classificato e contrassegnato da un'entità, quando viene inviato a una seconda entità, l'elemento è ancora contrassegnato ma, per impostazione predefinita, non è etichettato. Poiché non dispone di un'etichetta, non rientra nell'ambito di una gamma di controlli di sicurezza dei dati basati su etichette, ad esempio criteri di prevenzione della perdita dei dati (DLP). L'etichettatura automatica consente di interpretare i contrassegni protettivi (come definito in PSPF Policy 8 Annex F: Australian Government Email Protective Marking Standard) alla ricezione tramite posta elettronica. Una volta interpretata, durante la trasmissione viene applicata un'etichetta corrispondente, assicurando che tutti i controlli pertinenti si applichino alle informazioni racchiuse quando vengono ricevute dall'utente.