Etichette e criteri predefiniti per la protezione dei dati
Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.
I clienti idonei possono attivare le etichette e i criteri predefiniti per Microsoft Information Protection:
- Etichette di riservatezza e criteri di etichetta di riservatezza
- Applicazione automatica di etichette sul lato client
- Applicazione automatica di etichette sul lato servizio
- Criteri di prevenzione della perdita dei dati (DLP) per Teams e dispositivi
Queste configurazioni predefinite consentono di diventare rapidamente operativi con Microsoft Information Protection per Microsoft 365. È possibile usarle così come sono, apportare solo alcune modifiche o personalizzarle completamente in base ai requisiti aziendali.
I clienti idonei includono quelli che usano Gestione della postura di sicurezza dei dati per l'intelligenza artificiale, i clienti che hanno una versione di valutazione gratuita per Microsoft Purview e alcuni clienti che hanno già un piano Microsoft 365 E5:
Nuovi clienti:se si usa Microsoft Purview da meno di 30 giorni, il tenant può attivare tutte le configurazioni predefinite elencate. È sempre possibile disabilitarli, rimuoverli o modificarli.
Clienti esistenti: se si ha Microsoft Purview da più di 30 giorni, è possibile attivare le configurazioni predefinite se non è ancora stato configurato un equivalente:
Configurazione predefinita Equivalente Etichette di riservatezza e criteri di etichetta di riservatezza Etichette di riservatezza pubblicate Applicazione automatica di etichette sul lato client Una o più etichette di riservatezza configurate per applicare automaticamente (o consigliare agli utenti) Office app Applicazione automatica di etichette sul lato servizio Almeno un criterio di applicazione automatica di etichette attivato Prevenzione della perdita dei dati per Teams Almeno un criterio di prevenzione della perdita dei dati per Teams Prevenzione della perdita dei dati per i dispositivi Almeno un criterio DLP per i dispositivi
Consiglio
Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.
Attiva le etichette e i criteri predefiniti
Per ottenere queste etichette e criteri preconfigurati, usare Gestione della postura di sicurezza dei dati per l'intelligenza artificiale e in Raccomandazioni selezionare Information Protection Criteri per le etichette di riservatezza.
In alternativa, potrebbe essere possibile attivarli dal Portale di conformità di Microsoft Purview:
Nota
Il Portale di conformità di Microsoft Purview è in fase di ritiro e la funzionalità equivalente non è ancora disponibile nel nuovo portale di Microsoft Purview.
Accedere al Portale di conformità di Microsoft Purview e passare alla pagina Panoramica per Information Protection.
Autorizzazioni necessarie per l'account:
- Per attivare le etichette predefinite e i criteri di etichettatura, sono necessarie le autorizzazioni per creare e gestire le etichette di riservatezza.
- Per attivare i criteri di prevenzione della perdita dei dati predefiniti, sono necessarie le autorizzazioni per creare e gestire i criteri DLP.
Se si è idonei per i criteri e le etichette predefinite Microsoft Purview Information Protection, verranno visualizzate le informazioni seguenti, in cui è possibile attivare le etichette e i criteri predefiniti. Ad esempio:
Se queste informazioni non vengono visualizzate con l'opzione di attivazione, non si è attualmente idonei per la creazione automatica di etichette e criteri di riservatezza da questa posizione. È possibile provare a eseguire il controllo in un secondo momento per verificare se lo stato è stato modificato. È anche possibile usare le informazioni sulle impostazioni seguenti per creare manualmente le stesse etichette e criteri.
Abilitare quindi le etichette di riservatezza per SharePoint e OneDrive. Questo ulteriore passaggio è un prerequisito per usare le etichette di riservatezza in Office per il web e i criteri di etichettatura automatica per SharePoint e OneDrive.
Usare il banner seguente nella parte superiore della pagina Information Protection>Panoramica e selezionare Attiva ora. Se non viene visualizzato questo banner, le etichette di riservatezza per SharePoint e OneDrive sono già state abilitate per il tenant.
Per altre informazioni su questa funzionalità, vedere Abilitare le etichette di riservatezza per i file in SharePoint e OneDrive.
Etichette di riservatezza predefinite
Quando non si hanno etichette di riservatezza pubblicate, verranno create automaticamente le etichette seguenti:
Nome etichetta | Descrizione dell'etichetta per gli utenti | Impostazioni |
---|---|---|
Personale | Dati non aziendali, solo per uso personale. |
Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Contrassegno contenuto: No Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Pubblico | Dati aziendali appositamente preparati e approvati per l'utilizzo pubblico. |
Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Contrassegno contenuto: No Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Generale | Dati business non destinati al consumo pubblico. Tuttavia, questo può essere condiviso con i partner esterni, in base alle esigenze. Alcuni esempi includono una rubrica telefonica interna dell'azienda, organigrammi, standard interni e la maggior parte delle comunicazioni interne. |
Ambito: file & altri asset di dati, messaggi di posta elettronica Contrassegno contenuto: No Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Generale \ Chiunque (senza restrizioni) |
Dati dell'organizzazione che non sono destinati al consumo pubblico, ma che possono essere condivisi con partner esterni, se appropriato. Tra gli esempi sono incluse le conversazioni dei clienti che non includono informazioni riservate o materiali di marketing rilasciati. |
Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Contrassegno contenuto: No Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Generale \ Tutti i dipendenti (senza restrizioni) |
Dati dell'organizzazione non destinati al consumo pubblico. Se devi condividere questo contenuto con partner esterni, verifica con altri proprietari di dati che sia possibile condividere e quindi modificare l'etichetta in Generale \ Chiunque (senza restrizioni). Alcuni esempi includono una rubrica telefonica interna dell'azienda, organigrammi, standard interni e la maggior parte delle comunicazioni interne. |
Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Contrassegno contenuto: No Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Riservato | Dati aziendali sensibili che potrebbero causare danni all'azienda se condivisi con persone non autorizzate. Ad esempio, contratti, report sulla sicurezza, riepiloghi delle previsioni e dati dell'account di vendita. |
Ambito: file & altri asset di dati, messaggi di posta elettronica Contrassegno contenuto: No Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Riservato \ Chiunque (senza restrizioni) |
Dati riservati che non devono essere crittografati. Usa questa opzione con attenzione e motivazione aziendale appropriata. | Questa etichetta è selezionata per l'etichettatura automatica sul lato client e l'etichettatura automatica sul lato servizio. Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Contenuto contrassegnato: Piè di pagina: classificato come riservato Etichettatura automatica:consiglia agli utenti di applicare l'etichetta Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Riservato \ Tutti i dipendenti |
Dati riservati che richiedono la protezione, consente a tutti i dipendenti di disporre delle autorizzazioni complete. I proprietari dei dati possono tenere traccia del contenuto e revocarlo. | Questa etichetta è selezionata per l'etichettatura automatica sul lato client e l'etichettatura automatica sul lato servizio. Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Crittografia:tutti gli utenti e i gruppi nell'organizzazione: Co-Author Contenuto contrassegnato: Piè di pagina: classificato come riservato Etichettatura automatica:consiglia agli utenti di applicare l'etichetta Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Riservato \ Persone attendibili |
Dati riservati che possono essere condivisi con persone attendibili all'interno e all'esterno dell'organizzazione. Queste persone possono anche ricondividere i dati in base alle esigenze. |
Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Crittografia:consenti agli utenti di assegnare le autorizzazioni: - Encrypt-Only per Outlook - Richiedi conferma agli utenti in Word, PowerPoint ed Excel Contenuto contrassegnato: Piè di pagina: classificato come riservato Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Highly Confidential (Riservatezza elevata) | Dati aziendali molto sensibili che potrebbero causare danni all'azienda se sono stati condivisi con persone non autorizzate. Ad esempio, informazioni su dipendenti e clienti, password, codice sorgente e report finanziari preannunciati. |
Ambito: file & altri asset di dati, messaggi di posta elettronica Contrassegno del contenuto: Filigrana: ESTREMAMENTE RISERVATO Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Highly Confidential (Riservatezza elevata) \ Tutti i dipendenti |
Dati estremamente riservati che consentono a tutti i dipendenti di visualizzare, modificare e rispondere alle autorizzazioni per questo contenuto. I proprietari dei dati possono tenere traccia del contenuto e revocarlo. |
Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Crittografia:tutti gli utenti e i gruppi nell'organizzazione: Co-Author Contrassegno del contenuto: Piè di pagina: classificato come estremamente riservato Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
Highly Confidential (Riservatezza elevata) \ Persone specifiche |
Dati estremamente riservati che richiedono protezione e possono essere visualizzati solo dalle persone specificate e con il livello di autorizzazione scelto. |
Ambito: file & altri asset di dati, messaggi di posta elettronica, riunioni* Crittografia:consenti agli utenti di assegnare le autorizzazioni: - Non inoltrare per Outlook - Richiedi conferma agli utenti in Word, PowerPoint ed Excel Contrassegno del contenuto: Piè di pagina: classificato come estremamente riservato Etichettatura automatica: No Impostazioni gruppo: No Impostazioni sito: No Etichettatura automatica per le colonne del database: Nessuna |
* In fase di implementazione, l'ambito Riunioni è incluso per i clienti a partire da ottobre 2024 se il tenant dispone di licenze per applicare manualmente un'etichetta per le riunioni pianificate. Inoltre:
- I criteri dell'etichetta di riservatezza includono un'etichetta di riunione predefinita di Teams.
- Se il tenant dispone di licenze per applicare manualmente l'etichetta alle riunioni di Teams, alcune etichette di riservatezza hanno anche le impostazioni configurate per proteggere queste riunioni.
Nota
I nomi e le descrizioni delle etichette sono automaticamente disponibili per le impostazioni locali seguenti: inglese degli Stati Uniti, cinese semplificato e tradizionale, francese, tedesco, italiano, giapponese, coreano, portoghese brasiliano, russo e spagnolo.
Se sono necessarie altre lingue, è possibile specificare le traduzioni utilizzando PowerShell.
Per altre informazioni su queste impostazioni di configurazione e sulle operazioni che le etichette di riservatezza possono eseguire, vedi Che cosa possono fare le etichette di riservatezza.
Se devi modificare queste etichette di riservatezza predefinite, vedi Creare e configurare le etichette di riservatezza.
Criterio di etichetta di riservatezza predefinito
Il criterio di etichetta di riservatezza predefinito rende le etichette disponibili per gli utenti per iniziare a etichettare i propri documenti e messaggi di posta elettronica con etichette di riservatezza. Ha la configurazione seguente:
- Pubblicare le etichette predefinite per tutti gli utenti nel tenant
- Etichetta predefinita General \ All Employees (senza restrizioni) per documenti, messaggi di posta elettronica e riunioni senza etichetta
- Gli utenti devono fornire una giustificazione per rimuovere un'etichetta o ridurne la classificazione
Per altre informazioni su queste impostazioni dei criteri e altre impostazioni dei criteri disponibili, vedere Quali criteri di etichetta possono eseguire.
Se devi modificare queste impostazioni predefinite dei criteri, vedi Pubblicare etichette di riservatezza creando un criterio di etichetta.
Quando si usano queste etichette nelle app di Office in Windows, macOS, iOS e Android, gli utenti visualizzano le nuove etichette entro quattro ore e entro un'ora per Word, Excel e PowerPoint sul Web quando si aggiorna il browser. Tuttavia, potrebbe essere necessario attendere fino a 24 ore per la replica delle modifiche in tutte le app e i servizi.
Applicazione automatica di etichette sul lato client
La configurazione predefinita dell'etichettatura automatica lato client consiglia automaticamente agli utenti di applicare un'etichetta di riservatezza quando vengono rilevati i numeri di carta di credito nei documenti o nei messaggi di posta elettronica con cui stanno lavorando. Come raccomandazione invece di essere applicata automaticamente, questa configurazione funge da buon primo passaggio per evidenziare il contenuto e introduce agli utenti la pratica di etichettare i propri documenti e messaggi di posta elettronica.
L'applicazione automatica di etichette sul lato client funziona solo per i documenti e i messaggi di posta elettronica usati dalle app di Office Word, Excel, PowerPoint e Outlook.
L'etichettatura automatica sul lato client predefinita presenta la configurazione seguente:
Se sono presenti 1-9 istanze di numeri di carta di credito in un documento o un messaggio di posta elettronica, consigliare all'utente di applicare l'etichetta di riservatezza Riservato \ Chiunque (senza restrizioni)
Se in un documento o in un messaggio di posta elettronica sono presenti 10 o più istanze di numeri di carta di credito, consigliare all'utente di applicare l'etichetta di riservatezza Riservato \ Tutti i dipendenti
Nota
Se sono state pubblicate etichette di riservatezza personalizzate, verrà richiesto di selezionare una delle proprie etichette per l'applicazione automatica di etichette e configurarla automaticamente.
Se si vuole modificare la configurazione dell'applicazione automatica di etichette sul lato client, vedere Come configurare l'applicazione automatica di etichette per le app di Office.
Applicazione automatica di etichette sul lato servizio
L'etichettatura automatica lato servizio consente di etichettare i documenti sensibili inattivi e i messaggi di posta elettronica in transito. Il criterio predefinito di applicazione automatica di etichette sul lato servizio crea criteri che vengono eseguiti in modalità di simulazione per i documenti archiviati in tutti i siti di SharePoint o OneDrive e tutti i messaggi di posta elettronica inviati tramite Exchange Online.
In modalità di simulazione, gli elementi non vengono etichettati fino a quando il criterio non viene attivato. È possibile attivare manualmente i criteri. In alternativa, se non si modifica l'impostazione predefinita, il criterio verrà attivato automaticamente se non sono state apportate modifiche ai criteri entro un determinato numero di giorni dal completamento della simulazione.
Nella maggior parte dei casi, il numero di giorni prima dell'attivazione automatica di un criterio non modificata è 7. Tuttavia, specificamente per i nuovi clienti dal 23 giugno 2022, il numero iniziale di giorni è 25 e quindi 7 dopo la modifica del criterio.
La modalità di simulazione consente di visualizzare in anteprima gli elementi etichettati quando i criteri sono attivati, in modo da avere fiducia nella funzionalità di etichettatura prima di distribuire i criteri nel tenant per l'etichettatura effettiva.
I criteri di etichettatura automatica predefiniti sul lato servizio hanno la configurazione seguente:
Per tutti i clienti:
Se in un documento o in un messaggio di posta elettronica sono presenti 1-9 istanze di numeri di carta di credito, applicare l'etichetta di riservatezza Riservato \ Chiunque (senza restrizioni)
Se in un documento o in un messaggio di posta elettronica sono presenti 10 o più istanze di numeri di carta di credito, consigliare all'utente di applicare l'etichetta di riservatezza Riservato \ Tutti i dipendenti
Nota
Se è stata rilevata la pubblicazione di etichette di riservatezza personalizzate, verrà richiesto di selezionare una delle proprie etichette per i criteri di etichettatura automatica.
Per i nuovi clienti a partire dal 23 giugno 2022, dove il tenant di Microsoft 365 si trova nell'area Stati Uniti:
Se sono presenti da 1 a 9 istanze di dati personali statunitensi e nomi completi trovati in un documento o un messaggio di posta elettronica, applicare l'etichetta di riservatezza Riservato \ Chiunque (senza restrizioni)
Se sono presenti 10 o più istanze di dati personali statunitensi e nomi completi trovati in un documento o un messaggio di posta elettronica, applicare l'etichetta di riservatezza Riservato \ Tutti i dipendenti
I nuovi clienti dal 23 giugno 2022 hanno due criteri di etichettatura automatica per ogni impostazione. Un criterio è per la posizione di Exchange e l'altro per le posizioni di SharePoint e OneDrive. Anche se i criteri vengono creati contemporaneamente, la simulazione non viene attivata immediatamente per SharePoint e OneDrive:
- Posizione di Exchange: il criterio di etichettatura automatica viene creato e avvia immediatamente la simulazione.
- Posizioni di SharePoint e OneDrive: il criterio di etichettatura automatica viene creato ma attende 25 giorni prima di avviare automaticamente la simulazione. Questo ritardo garantisce che i file vengano creati e salvati in questi percorsi.
Al termine della simulazione, esaminare i risultati. Se sono soddisfatti, attivare i criteri.
Per altre informazioni sulla modalità di simulazione, vedere Informazioni sulla modalità di simulazione.
Per modificare i criteri di applicazione automatica di etichette sul lato servizio, vedere Come configurare i criteri di etichettatura automatica per SharePoint, OneDrive ed Exchange.
Prevenzione della perdita dei dati per Teams
Il criterio DLP predefinito per Teams rileva la presenza di numeri di carta di credito in Teams chat e messaggi di canale. Quando vengono rilevate queste informazioni riservate, gli amministratori riceveranno una notifica di avviso di bassa gravità.
Questo criterio non è discreto per gli utenti senza suggerimento per i criteri visibile e nessun messaggio bloccato, ma gli amministratori avranno record delle informazioni riservate condivise in questi messaggi. Se necessario, è possibile modificare le impostazioni per modificare questa configurazione predefinita.
Per visualizzare i risultati di questo criterio, usare Esplora attività DLP.
Per modificare i criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.
Prevenzione della perdita dei dati per i dispositivi
I criteri DLP predefiniti per i dispositivi rilevano la presenza di numeri di carta di credito in Windows 10 dispositivi di cui è stato eseguito l'onboarding in Microsoft Purview. Controlla quindi (ma non blocca) le azioni seguenti:
Carica nei domini di servizi cloud o accedi da browser non consentiti
Copia negli Appunti, USB o condivisione di rete
Accesso da app non consentite
Stampa
Copiare o spostare usando un'app Bluetooth non consentita
Servizi Desktop remoto
Se il contenuto contiene 10 o più istanze di carte di credito e viene rilevata una o più attività elencate, agli amministratori viene inviata una notifica di avviso con gravità media.
Questo criterio non è discreto per gli utenti senza suggerimento per i criteri visibile e senza azioni bloccate, ma gli amministratori avranno record di tutte le attività sospette. Se necessario, è possibile modificare queste impostazioni per modificare questa configurazione predefinita.
Per visualizzare i risultati di questo criterio, usare Esplora attività DLP.
Per modificare i criteri di prevenzione della perdita dei dati, vedere Creare e distribuire criteri di prevenzione della perdita dei dati.
Risorse aggiuntive
Per altre informazioni sulle etichette di riservatezza, sulla prevenzione della perdita dei dati e su tutte le funzionalità disponibili con Microsoft Purview Information Protection, vedere le risorse seguenti: