Condividi tramite


Creare e configurare etichette di riservatezza e i relativi criteri

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Tutte le soluzioni di Microsoft Purview Information Protection sono implementate utilizzando le etichette di riservatezza. Per creare e pubblicare queste etichette, è possibile usare il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview.

Prima di tutto, creare e configurare le etichette di riservatezza che si vogliono rendere disponibili per le app e gli altri servizi. Ad esempio, le etichette che gli utenti possono vedere e applicare dalle app di Office.

Quindi, creare uno o più criteri di etichetta contenenti le etichette e le impostazioni dei criteri configurate. Quando si pubblicano i criteri di etichetta per gli utenti scelti:

  • Le etichette diventano visibili a questi utenti nelle app che supportano le etichette di riservatezza
  • Le impostazioni dei criteri vengono applicate a questi utenti

Nota

Se non si dispone ancora di etichette di riservatezza, si potrebbe essere idonei per la creazione automatica di etichette predefinite e di un criterio di etichetta predefinito. Anche se si hanno alcune etichette, potrebbe essere utile esaminare la configurazione di queste etichette predefinite create per i nuovi clienti. Ad esempio, è possibile usare le stesse configurazioni manuali per accelerare la distribuzione di etichette personalizzate.

Per altre informazioni, vedere Etichette e criteri predefiniti per Microsoft Purview Information Protection.

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

Prima di iniziare

Per assicurarsi di avere le autorizzazioni per creare e gestire le etichette di riservatezza, vedere Autorizzazioni necessarie per creare e gestire le etichette di riservatezza.

Creare e configurare etichette di riservatezza

Per questa configurazione, è possibile usare il portale di Microsoft Purview oppure è comunque possibile usare il Portale di conformità di Microsoft Purview precedente.

  1. A seconda del portale in uso, passare a una delle posizioni seguenti:

    • Accedere al portale> di Microsoft PurviewSoluzioni>>etichette Information ProtectionSensitivity

    • Accedere alle etichette> di protezione Portale di conformità di Microsoft Purview Solutions>Information Protection>

  2. Nella pagina Etichette di riservatezza selezionare + Crea un'etichetta per avviare la nuova configurazione dell'etichetta di riservatezza. Ad esempio, dal portale di Microsoft Purview:

    Creare un'etichetta di riservatezza.

    Nota

    Per impostazione predefinita, i tenant non hanno etichette ed è necessario crearle. Se sono necessarie indicazioni per creare nuove etichette, vedere Introduzione alle etichette di riservatezza.

  3. Nella pagina Definire l'ambito per questa etichetta le opzioni selezionate determinano l'ambito dell'etichetta per le impostazioni che è possibile configurare e dove saranno visibili quando vengono pubblicate:

    Ambiti per le etichette di riservatezza.

    • Non è possibile selezionare Riunioni a meno che non siano selezionati anche File & altri asset di dati e messaggi di posta elettronica . Per altre informazioni su questa dipendenza e sull'estensione delle etichette per includere le riunioni, vedere Usare le etichette di riservatezza per proteggere elementi del calendario, riunioni di Teams e chat.

      Se le opzioni di ambito non sono selezionate, viene visualizzata la prima pagina per definire le impostazioni per l'ambito, ma non è possibile configurarle e le etichette non saranno disponibili per la selezione da parte degli utenti in queste app.

  4. Seguire le istruzioni di configurazione per le impostazioni dell'etichetta.

    Per altre informazioni sulle impostazioni delle etichette, vedere Operazioni eseguibili dalle etichette di riservatezza nelle informazioni di panoramica e usare la Guida nell’interfaccia utente per le singole impostazioni.

  5. Ripetere questi passaggi per creare altre etichette. Tuttavia, se si vuole creare un'etichetta secondaria, selezionare prima l'etichetta padre, selezionare ... per Azioni, quindi selezionare Crea etichetta secondaria.

  6. Dopo aver creato tutte le etichette desiderate, rivedere l'ordine e, se necessario, spostarle verso l'alto o verso il basso. Per modificare l'ordine di un'etichetta, selezionare ... per Azioni e quindi selezionare una delle opzioni di riordino, ad esempio Sposta su o Sposta giù. Per altre informazioni, vedere Priorità dell'etichetta (l'ordine è importante) nelle informazioni di panoramica.

Per modificare un'etichetta esistente, selezionarla e quindi selezionare l'icona Modifica etichetta :

Modificare un'etichetta di riservatezza.

Questa azione avvia la configurazione Modifica etichetta di riservatezza , che consente di modificare tutte le impostazioni dell'etichetta nel passaggio 4.

Non eliminare un'etichetta se non se ne comprende l'impatto sugli utenti. Per altre informazioni, vedere Rimozione ed eliminazione di etichette.

Nota

Se si modifica un'etichetta che è stata già pubblicata usando un criterio di etichetta, non saranno necessari ulteriori passaggi al termine della configurazione. Ad esempio, non è necessario aggiungerla a un nuovo criterio di etichetta in modo che le modifiche vengano rese disponibili agli stessi utenti. Tuttavia, saranno necessarie fino a 24 ore affinché le modifiche vengano replicate in tutte le app e i servizi.

Finché non verranno pubblicate, le etichette non saranno disponibili per la selezione nelle app o per i servizi. Per pubblicare le etichette è necessario aggiungerle a un criterio di etichetta.

Importante

In questa scheda Etichette non selezionare la scheda Pubblica etichette o il pulsante Pubblica etichetta quando si modifica un'etichetta, a meno che non sia necessario creare un nuovo criterio di etichetta. Sono necessari più criteri di etichetta solo se gli utenti hanno bisogno di etichette diverse o impostazioni di criteri diverse. L'obiettivo è avere il minor numero possibile di criteri di etichetta, non è raro averne uno solo per organizzazione.

Impostazioni aggiuntive per le etichette con Sicurezza e conformità PowerShell

Sono disponibili impostazioni aggiuntive per le etichette con il cmdlet Set-Label di Sicurezza e conformità PowerShell.

Ad esempio:

  • Usare il parametro LocaleSettings per le distribuzioni multinazionali, in modo che gli utenti possano visualizzare il nome e la descrizione comando dell'etichetta nella lingua locale. La sezione seguente include una configurazione di esempio che specifica il nome dell'etichetta e il testo della descrizione comando per la lingua francese, italiana e tedesca.

  • Le impostazioni avanzate supportate dall'etichettatura predefinita sono incluse nella documentazione di PowerShell. Per altre informazioni sulla specifica di queste impostazioni avanzate di PowerShell, vedere la sezione Suggerimenti di PowerShell per specificare le impostazioni avanzate. Per altre impostazioni avanzate supportate dal client Microsoft Purview Information Protection, vedere la documentazione separata per queste impostazioni.

Esempio di configurazione per configurare un'etichetta di riservatezza per lingue diverse

L'esempio seguente mostra la configurazione di PowerShell per un'etichetta denominata "Public" con testo segnaposto per la descrizione comando. In questo esempio il nome e il testo della descrizione comando dell'etichetta sono configurati per le lingue francese, italiana e tedesca.

Grazie a questa configurazione, gli utenti di app di Office che usano tali lingue visualizzano i nomi e le descrizioni comando delle etichette nella stessa lingua. Analogamente, se il client Microsoft Purview Information Protection è installato per etichettare i file da Esplora file, gli utenti che dispongono di tali versioni della lingua di Windows visualizzano i nomi delle etichette e le descrizioni comandi nella lingua locale quando usano le azioni di clic con il pulsante destro del mouse per l'etichettatura.

Per le lingue che è necessario supportare, usare gli identificatori di lingua di Office, noti anche come tag lingua, e specificare una traduzione personalizzata per il nome e la descrizione comando dell'etichetta.

Prima di eseguire i comandi in PowerShell, è necessario connettersi a Sicurezza e conformità PowerShell.

$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)

Suggerimenti di PowerShell per specificare le impostazioni avanzate

Sebbene sia possibile specificare un'etichetta di riservatezza in base al nome, è consigliabile usare il GUID dell'etichetta per evitare confusione sulla specifica del nome dell'etichetta o del nome visualizzato. Il nome dell'etichetta è univoco nel tenant, quindi si ha la certezza di configurare l'etichetta corretta. Il nome visualizzato non è univoco e questo potrebbe tradursi nella configurazione dell'etichetta errata. Per trovare il GUID e confermare l'ambito dell'etichetta:

Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType

Per rimuovere un'impostazione avanzaa da un'etichetta di riservatezza, usare la stessa sintassi del parametro AdvancedSettings, ma specificare un valore di stringa Null. Ad esempio:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope=""}

Per controllare la configurazione dell'etichetta, incluse le impostazioni avanzate, usare la sintassi seguente con il GUID dell'etichetta personalizzata:

(Get-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e).settings

Pubblicare etichette di riservatezza creando un criterio di etichetta

Come parte dei criteri di etichetta, si selezionano utenti e gruppi per avere etichette di riservatezza e impostazioni dei criteri di etichetta. Per una manutenzione amministrativa inferiore, i gruppi sono consigliati anziché singoli utenti. Tuttavia, se un utente viene rimosso da un gruppo specificato, i criteri di etichetta vengono rimossi automaticamente per tale utente.

Gruppi supportati: gruppi di sicurezza abilitati per Email, gruppi di distribuzione, gruppi di Microsoft 365 (che possono avere l'appartenenza dinamica) in Microsoft Entra ID.

Per questa configurazione, è possibile usare il portale di Microsoft Purview oppure è comunque possibile usare il Portale di conformità di Microsoft Purview precedente.

  1. A seconda del portale in uso, passare a una delle posizioni seguenti:

  2. Nella pagina Criteri etichetta selezionare Pubblica etichetta per avviare la configurazione crea criteri . Ad esempio, dal portale di Microsoft Purview:

    Pubblica etichette.

    Nota

    Per impostazione predefinita, i tenant non hanno criteri di etichetta ed è necessario crearli.

  3. Nella pagina Scegliere le etichette di riservatezza da pubblicare fare clic sul link Scegliere le etichette di riservatezza da pubblicare. Selezionare le etichette che si vogliono rendere disponibili nelle app e per i servizi e quindi selezionare Aggiungi.

    Importante

    Se si seleziona una etichetta secondaria, accertarsi di selezionare anche l'etichetta padre.

  4. Per Assegnare unità amministrative: se l'organizzazione usa unità amministrative in Microsoft Entra ID, i criteri di etichetta possono essere limitati automaticamente a utenti specifici selezionando unità amministrative. Se all'account sono state assegnate unità amministrative, è necessario selezionare una o più unità amministrative.

    Se non si vuole limitare i criteri usando le unità amministrative o se l'organizzazione non ha configurato le unità amministrative, mantenere il valore predefinito Directory completa.

  5. Seguire le istruzioni per completare la configurazione.

    Le impostazioni del criterio che viene visualizzato corrispondono all'ambito delle etichette selezionate. Ad esempio, se sono state selezionate etichette che hanno solo l'ambito File & altri asset di dati , non vengono visualizzate le impostazioni dei criteri Applica questa etichetta per impostazione predefinita a gruppi e siti e Richiedi agli utenti di applicare un'etichetta ai gruppi e ai siti.

    Per altre informazioni su queste impostazioni, vedere Operazioni eseguibili dai criteri di etichetta nelle informazioni di panoramica e usare la Guida nell’interfaccia utente per le singole impostazioni.

    Per le etichette configurate per gli asset di Microsoft Purview Data Map (anteprima): queste etichette non sono associate ad alcuna impostazione di criteri.

  6. Ripetere questi passaggi se sono necessarie impostazioni del criterio diverse per utenti o ambiti differenti. Ad esempio, possono essere necessarie altre etichette per un gruppo di utenti oppure un'etichetta predefinita diversa per un sottoinsieme di utenti. In alternativa, se sono state configurate etichette con diversi ambiti.

  7. Se si creano più criteri di etichetta che potrebbero comportare un conflitto per un utente, rivedere l'ordine dei criteri e, se necessario, spostarli verso l'alto o verso il basso. Per modificare l'ordine di un criterio di etichetta, selezionare ... per Azioni e quindi selezionare una delle opzioni di riordino. Per altre informazioni, vedere Priorità dei criteri di etichetta (l'ordine è importante) nelle informazioni generali.

Il completamento della configurazione Creazione criterio consente di pubblicare automaticamente i criteri di etichetta. Per apportare modifiche a un criterio pubblicato, basta modificarlo. Non è necessario selezionare una specifica azione di pubblicazione o ripubblicazione.

Per modificare un criterio di etichetta esistente, selezionarlo e quindi selezionare il pulsante Modifica criteri nel riquadro a comparsa:

Modificare un'etichetta di riservatezza.

Questa azione avvia la configurazione Crea criteri , che consente di modificare le etichette incluse e le impostazioni delle etichette. Una volta completata la configurazione, le modifiche vengono replicate automaticamente agli utenti e ai servizi selezionati.

Impostazioni aggiuntive dei criteri di etichetta con Sicurezza e conformità PowerShell

Altre impostazioni dei criteri di etichetta sono disponibili con il cmdlet Set-LabelPolicy di Sicurezza e conformità PowerShell.

La documentazione del cmdlet include le impostazioni avanzate supportate dall'etichettatura predefinita. Per altre impostazioni avanzate supportate dal client Microsoft Purview Information Protection, vedere la documentazione separata per queste impostazioni.

Creare e configurare criteri di protezione

I criteri di protezione sono attualmente in anteprima e si applicano agli elementi archiviati all'esterno di Microsoft 365. Ad esempio, in Microsoft Fabric, Microsoft Azure e Amazon Web Services (AWS).

Per altre informazioni, vedere Creazione e pubblicazione di criteri di protezione.

Quando aspettarsi che le nuove etichette e le modifiche diventino effettive

Per le etichette e le impostazioni dei criteri di etichetta, attendere 24 ore per la propagazione delle modifiche attraverso i servizi. Esistono molte dipendenze esterne ognuna con cicli di tempo specifici, quindi è consigliabile attendere questo periodo di tempo di 24 ore prima di dedicare tempo alla risoluzione dei problemi relativi alle etichette e ai criteri delle etichette per le modifiche recenti.

Esistono tuttavia alcuni scenari in cui le modifiche ai criteri di etichetta e di etichetta possono essere applicate molto più velocemente o essere più lunghe di 24 ore. Ad esempio, per le etichette di riservatezza nuove ed eliminate per Word, Excel e PowerPoint sul Web, è possibile che gli aggiornamenti vengano replicati entro un'ora. Tuttavia, per le configurazioni che dipendono dal popolamento di un nuovo gruppo e dalle modifiche di appartenenza ai gruppi o dalle restrizioni di latenza e larghezza di banda della replica di rete, queste modifiche potrebbero richiedere 24-48 ore.

Usare PowerShell per le etichette di riservatezza e i relativi criteri

È ora possibile usare Sicurezza e conformità PowerShell per creare e configurare tutte le impostazioni visualizzate nel centro di amministrazione delle etichette. Questo significa che, oltre a usare PowerShell per le impostazioni che non sono disponibili nelle interfacce di amministrazione per l'etichettatura, ora è possibile gestire completamente tramite la creazione e la manutenzione di etichette di riservatezza e criteri per le etichette di riservatezza.

Per i parametri e i valori supportati, vedere la documentazione seguente:

Consiglio

Quando si configurano le impostazioni avanzate per un'etichetta di riservatezza, può essere utile fare riferimento alla sezione Suggerimenti di PowerShell per specificare le impostazioni avanzate in questa pagina.

È anche possibile usare Remove-Label e Remove-LabelPolicy se è necessario creare script per l'eliminazione di etichette di riservatezza o criteri per le etichette di riservatezza. Tuttavia, prima di eliminare etichette di riservatezza, assicurarsi di leggere la prossima sezione.

Rimozione ed eliminazione di etichette

In un ambiente di produzione è improbabile che sia necessario rimuovere le etichette di riservatezza da un criterio di etichetta o eliminare le etichette di riservatezza. È più probabile che sia necessario eseguire una di queste azioni nel corso di una fase di test iniziale. Assicurarsi di comprendere le conseguenze di una di queste azioni.

La rimozione di un'etichetta da un criterio di etichetta è meno rischiosa dell'eliminazione e, se necessario, è sempre possibile riaggiungere l'etichetta in un secondo momento. Non puoi eliminare un'etichetta se è ancora in un criterio di etichetta.

Quando si rimuove un'etichetta da un criterio di etichetta in modo che l'etichetta non venga più pubblicata per gli utenti specificati in origine, la volta successiva che i criteri di etichetta vengono aggiornati, gli utenti non vedranno più tale etichetta e non potranno selezionarla nell'app di Office. Se è già applicata, l'etichetta non viene rimossa dal contenuto o dal contenitore. Ad esempio, gli utenti che usano l'etichettatura predefinita nelle app desktop per Word, Excel e PowerPoint, continueranno a vedere il nome dell'etichetta applicata sulla barra di stato. Un'etichetta del contenitore applicata continua a proteggere il sito Teams o SharePoint.

Quando invece si elimina un'etichetta:

  • Se l'etichetta ha comportato l'applicazione della crittografia, il modello di protezione sottostante viene archiviato in modo che sia ancora possibile aprire il contenuto protetto in precedenza. A causa di questo modello di protezione archiviato, non puoi creare una nuova etichetta con lo stesso nome. Anche se è possibile eliminare un modello di protezione con PowerShell, non farlo, a meno che non si sia certi che non sia necessario aprire contenuto crittografato con il modello archiviato.

  • Per i documenti archiviati in SharePoint o OneDrive, e nel caso in cui sono state abilitate le etichette di riservatezza per i file di Office: quando si apre il documento in Office per il web, l'etichetta viene applicata nell'app e il nome dell'etichetta non viene più visualizzato nella colonna Riservatezza in SharePoint. Se l'etichetta eliminata ha comportato l'applicazione della crittografia e i servizi possono elaborare il contenuto crittografato, la crittografia viene rimossa. Le azioni in uscita da questi servizi generano lo stesso risultato. Ad esempio, scaricare, copiare, passare a e aprire con un'app desktop o per dispositivi mobili Office. Anche se le informazioni sull'etichetta rimangono nei metadati del file, le app non possono più eseguire il mapping dell'ID etichetta su un nome visualizzato, quindi gli utenti presuppongono che un file non sia etichettato.

  • Per i documenti archiviati all'esterno di SharePoint e OneDrive, o se non sono state abilitate etichette di riservatezza per i file Office e per i messaggi di posta elettronica: quando si apre il contenuto, le informazioni sull'etichetta nei metadati rimangono ma, senza il mapping dell'ID etichetta sul nome, gli utenti non visualizzano il nome dell'etichetta applicata (ad esempio, sulla barra di stato per le app desktop). Se l'etichetta eliminata ha comportato l'applicazione della crittografia, la crittografia non viene rimossa e gli utenti potranno ancora visualizzare il nome e la descrizione del modello di protezione ora archiviato.

  • Per i contenitori, ad esempio i siti in SharePoint e Teams: l'etichetta viene rimossa e le impostazioni configurate con tale etichetta non vengono più applicate. Questa azione richiede in genere da 48 a 72 ore per i siti SharePoint e può essere più veloce per Teams e Gruppi di Microsoft 365.

  • Tenere presente che senza un mapping da GUID a nome disponibile dopo l'eliminazione di un'etichetta, le etichette eliminate possono essere visualizzate come GUID anziché come nomi di etichetta in applicazioni come Esplora contenuto ed Esplora attività.

Come per tutte le modifiche alle etichette, la rimozione di un'etichetta di riservatezza da un criterio di etichetta o l'eliminazione di un'etichetta di riservatezza richiede tempo per la replica a tutti gli utenti e i servizi.

Passaggi successivi

Per configurare e usare le etichette di riservatezza per scenari specifici, potrebbero essere utili gli articoli seguenti:

Per monitorare il modo in cui vengono usate le etichette, vedere Come usare il dashboard di classificazione dei dati Microsoft.