Creare e configurare etichette di riservatezza e i relativi criteri

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Tutte le soluzioni di Microsoft Purview Information Protection sono implementate utilizzando le etichette di riservatezza. Per creare e pubblicare le etichette, passare al Centro conformità Microsoft Purview.

Prima di tutto, creare e configurare le etichette di riservatezza che si vogliono rendere disponibili per le app e gli altri servizi. Ad esempio, le etichette che gli utenti possono vedere e applicare dalle app di Office.

Quindi, creare uno o più criteri di etichetta contenenti le etichette e le impostazioni dei criteri configurate. È il criterio di etichetta che pubblica le etichette e le impostazioni per gli utenti e i percorsi scelti.

Suggerimento

Se non si dispone ancora di etichette di riservatezza, si potrebbe essere idonei per la creazione automatica di etichette predefinite e di un criterio di etichetta predefinito. Anche se si hanno alcune etichette, potrebbe essere utile esaminare la configurazione di queste etichette predefinite create per i nuovi clienti. Ad esempio, è possibile usare le stesse configurazioni manuali per accelerare la distribuzione di etichette personalizzate.

Per altre informazioni, vedere Etichette e criteri predefiniti per Microsoft Purview Information Protection.

Prima di iniziare

L'amministratore globale dell'organizzazione dispone delle autorizzazioni complete per creare e gestire tutti gli aspetti delle etichette di riservatezza. Se non si esegue l'accesso come amministratore globale, vedere le autorizzazioni necessarie per creare e gestire etichette di riservatezza.

Creare e configurare etichette di riservatezza

  1. Nel Portale di conformità di Microsoft Purview, selezionare Soluzioni > Protezione delle informazioni > Etichette

  2. Nella pagina Etichette, selezionare + Creare un'etichetta per avviare la configurazione della nuova etichetta di riservatezza:

    Creare un'etichetta di riservatezza.

    Nota

    Per impostazione predefinita, i tenant non hanno etichette ed è necessario crearle. Le etichette nell'immagine di esempio sono quelle predefinite di cui è stata eseguita la migrazione da Azure Information Protection.

  3. Nella pagina Definire l'ambito per questa etichetta, le opzioni selezionate determinano l'ambito dell'etichetta per le impostazioni che è possibile configurare e dove saranno visibili quando vengono pubblicate:

    Ambiti per le etichette di riservatezza.

    • Se viene selezionata l'opzione Elementi, sarà possibile configurare le impostazioni che si applicano alle app che supportano le etichette di riservatezza, come Office Word e Outlook. Se questa opzione non è selezionata, viene visualizzata la prima pagina delle impostazioni delle etichette ma non sarà possibile configurarle e le etichette non potranno essere selezionate dagli utenti in queste app.

    • Se viene selezionata l'opzione Gruppi e siti, sarà possibile configurare le impostazioni che si applicano ai gruppi di Microsoft 365 e ai siti di Teams e di SharePoint. Se questa opzione non è selezionata, viene visualizzata la prima pagina delle impostazioni delle etichette ma non sarà possibile configurarle e le etichette non potranno essere selezionate dagli utenti per gruppi e siti.

    Per informazioni sull'ambito delle Risorse dei dati schematizzati, vedere Etichettare automaticamente i contenuti in Microsoft Purview Data Map.

  4. Seguire le istruzioni di configurazione per le impostazioni dell'etichetta.

    Per altre informazioni sulle impostazioni delle etichette, vedere Operazioni eseguibili dalle etichette di riservatezza nelle informazioni di panoramica e usare la Guida nell’interfaccia utente per le singole impostazioni.

  5. Ripetere la procedura per creare altre etichette. Se invece si vuole creare un'etichetta secondaria, selezionare innanzitutto l'etichetta principale, poi ... per Altre azioni, quindi selezionare Aggiungi etichetta secondaria.

  6. Dopo aver creato tutte le etichette desiderate, rivedere l'ordine e, se necessario, spostarle verso l'alto o verso il basso. Per modificare l'ordine di un'etichetta selezionare ... per Altre azioni, quindi selezionare Sposta su o Sposta giù. Per altre informazioni, vedere Priorità dell'etichetta (l'ordine è importante) nelle informazioni di panoramica.

Per modificare un'etichetta esistente, selezionarla e quindi selezionare il pulsante Modifica etichetta:

Pulsante Modifica etichetta per modificare un'etichetta di riservatezza.

Verrà avviata la procedura guidata Modificare etichetta di riservatezza che consente di modificare tutte le impostazioni dell'etichetta descritte al passaggio 4.

Non eliminare un'etichetta se non se ne comprende l'impatto sugli utenti. Per altre informazioni, vedere Rimozione ed eliminazione di etichette.

Nota

Se si modifica un'etichetta che è stata già pubblicata usando un criterio di etichetta, non saranno necessari ulteriori passaggi al termine della configurazione. Ad esempio, non è necessario aggiungerla a un nuovo criterio di etichetta in modo che le modifiche vengano rese disponibili agli stessi utenti. Tuttavia, saranno necessarie fino a 24 ore affinché le modifiche vengano replicate in tutte le app e i servizi.

Finché non verranno pubblicate, le etichette non saranno disponibili per la selezione nelle app o per i servizi. Per pubblicare le etichette è necessario aggiungerle a un criterio di etichetta.

Importante

In questa scheda Etichette non selezionare la scheda Pubblica etichette o il pulsante Pubblica etichetta quando si modifica un'etichetta, a meno che non sia necessario creare un nuovo criterio di etichetta. Sono necessari più criteri di etichetta solo se gli utenti hanno bisogno di etichette diverse o impostazioni di criteri diverse. L'obiettivo è avere il minor numero possibile di criteri di etichetta, non è raro averne uno solo per organizzazione.

Impostazioni aggiuntive per le etichette con Sicurezza e conformità PowerShell

Sono disponibili impostazioni aggiuntive per le etichette con il cmdlet Set-Label di Sicurezza e conformità PowerShell.

Ad esempio:

  • Usare il parametro LocaleSettings per le distribuzioni multinazionali, in modo che gli utenti possano visualizzare il nome e la descrizione comando dell'etichetta nella lingua locale. La sezione seguente include una configurazione di esempio che specifica il nome dell'etichetta e il testo della descrizione comando per la lingua francese, italiana e tedesca.

  • Le impostazioni avanzate supportate dall'etichettatura predefinita sono incluse nella documentazione di PowerShell. Per altre informazioni sulla specifica di queste impostazioni avanzate di PowerShell, vedere la sezione Suggerimenti di PowerShell per specificare le impostazioni avanzate. Per altre impostazioni avanzate supportate dal client di etichettatura unificata di Azure Information Protection, vedere la documentazione della guida di amministrazione di questo client.

Esempio di configurazione per configurare un'etichetta di riservatezza per lingue diverse

L'esempio seguente mostra la configurazione di PowerShell per un'etichetta denominata "Public" con testo segnaposto per la descrizione comando. In questo esempio il nome e il testo della descrizione comando dell'etichetta sono configurati per le lingue francese, italiana e tedesca.

Grazie a questa configurazione, gli utenti di app di Office che usano tali lingue visualizzano i nomi e le descrizioni comando delle etichette nella stessa lingua. Analogamente, se è installato il client di etichettatura unificata di Azure Information Protection per etichettare i file da Esplora file, gli utenti che eseguono tali versioni di Windows visualizzeranno i nomi e le descrizioni comando delle etichette nella propria lingua locale quando accedono alle azioni per l'etichettatura facendo clic con il pulsante destro del mouse.

Per le lingue che è necessario supportare, usare gli identificatori di lingua di Office, noti anche come tag lingua, e specificare una traduzione personalizzata per il nome e la descrizione comando dell'etichetta.

Prima di eseguire i comandi in PowerShell, è necessario connettersi a Sicurezza e conformità PowerShell.

$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)

Suggerimenti di PowerShell per specificare le impostazioni avanzate

Sebbene sia possibile specificare un'etichetta di riservatezza in base al nome, è consigliabile usare il GUID dell'etichetta per evitare confusione sulla specifica del nome dell'etichetta o del nome visualizzato. Il nome dell'etichetta è univoco nel tenant, quindi si ha la certezza di configurare l'etichetta corretta. Il nome visualizzato non è univoco e questo potrebbe tradursi nella configurazione dell'etichetta errata. Per trovare il GUID e confermare l'ambito dell'etichetta:

Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType

Per rimuovere un'impostazione avanzaa da un'etichetta di riservatezza, usare la stessa sintassi del parametro AdvancedSettings, ma specificare un valore di stringa Null. Ad esempio:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope=""}

Per controllare la configurazione dell'etichetta, incluse le impostazioni avanzate, usare la sintassi seguente con il GUID dell'etichetta personalizzata:

(Get-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e).settings

Pubblicare etichette di riservatezza creando un criterio di etichetta

  1. In Portale di conformità di Microsoft Purview, selezionare Soluzioni > Protezione delle informazioni > Criteri delle etichette

  2. Alla pagina Criteri delle etichette, selezionare Pubblica etichetta per avviare la configurazione Creazione criterio:

    Pubblica etichette.

    Nota

    Per impostazione predefinita, i tenant non hanno criteri di etichetta ed è necessario crearli.

  3. Nella pagina Scegliere le etichette di riservatezza da pubblicare fare clic sul link Scegliere le etichette di riservatezza da pubblicare. Selezionare le etichette che si vogliono rendere disponibili nelle app e per i servizi e quindi selezionare Aggiungi.

    Importante

    Se si seleziona una etichetta secondaria, accertarsi di selezionare anche l'etichetta padre.

  4. Rivedere le etichette selezionate e, per apportare modifiche, selezionare Modifica. In caso contrario, selezionare Avanti.

  5. Seguire le istruzioni visualizzate per configurare le impostazioni del criterio.

    Le impostazioni del criterio che viene visualizzato corrispondono all'ambito delle etichette selezionate. Ad esempio, se sono state selezionate etichette che dispongono unicamente dell'ambito Elementi, non vengono visualizzate le impostazioni dei criteri Applica questa etichetta per impostazione predefinita a gruppi e siti e Richiedi agli utenti di applicare un'etichetta a gruppi e siti.

    Per altre informazioni su queste impostazioni, vedere Operazioni eseguibili dai criteri di etichetta nelle informazioni di panoramica e usare la Guida nell’interfaccia utente per le singole impostazioni.

    Per le etichette configurate per gli asset di Microsoft Purview Data Map (anteprima): queste etichette non sono associate ad alcuna impostazione di criteri.

  6. Ripetere questi passaggi se sono necessarie impostazioni del criterio diverse per utenti o ambiti differenti. Ad esempio, possono essere necessarie altre etichette per un gruppo di utenti oppure un'etichetta predefinita diversa per un sottoinsieme di utenti. In alternativa, se sono state configurate etichette con diversi ambiti.

  7. Se si creano più criteri di etichetta che potrebbero comportare un conflitto per un utente, rivedere l'ordine dei criteri e, se necessario, spostarli verso l'alto o verso il basso. Per modificare l'ordine di un criterio di etichetta selezionare ... per Altre azioni, quindi selezionare Sposta su o Sposta giù. Per altre informazioni, vedere Priorità dei criteri di etichetta (l'ordine è importante) nelle informazioni generali.

Il completamento della configurazione Creazione criterio consente di pubblicare automaticamente i criteri di etichetta. Per apportare modifiche a un criterio pubblicato, basta modificarlo. Non è necessario selezionare una specifica azione di pubblicazione o ripubblicazione.

Per modificare un criterio di etichetta esistente, selezionarlo e quindi scegliere il pulsante Modifica criterio:

Modificare un'etichetta di riservatezza.

Verrà avviata la procedura guidata Creazione criterio che consente di modificare le etichette incluse e le impostazioni dell'etichetta. Una volta completata la configurazione, le modifiche vengono replicate automaticamente agli utenti e ai servizi selezionati.

Impostazioni aggiuntive dei criteri di etichetta con Sicurezza e conformità PowerShell

Altre impostazioni dei criteri di etichetta sono disponibili con il cmdlet Set-LabelPolicy di Sicurezza e conformità PowerShell.

Questa documentazione include le impostazioni avanzate supportate dall'etichettatura predefinita. Per altre impostazioni avanzate supportate dal client di etichettatura unificata di Azure Information Protection, vedere la documentazione della guida di amministrazione di questo client.

Quando aspettarsi che le nuove etichette e le modifiche diventino effettive

Per le etichette e le impostazioni dei criteri di etichetta, attendere 24 ore per la propagazione delle modifiche attraverso i servizi. Esistono molte dipendenze esterne ognuna con cicli di tempo specifici, quindi è consigliabile attendere questo periodo di tempo di 24 ore prima di dedicare tempo alla risoluzione dei problemi relativi alle etichette e ai criteri delle etichette per le modifiche recenti.

Esistono tuttavia alcuni scenari in cui le modifiche ai criteri di etichetta e di etichetta possono essere applicate molto più velocemente o essere più lunghe di 24 ore. Ad esempio, per le etichette di riservatezza nuove ed eliminate per Word, Excel e PowerPoint sul Web, è possibile che gli aggiornamenti vengano replicati entro un'ora. Tuttavia, per le configurazioni che dipendono dal popolamento di un nuovo gruppo e dalle modifiche di appartenenza ai gruppi o dalle restrizioni di latenza e larghezza di banda della replica di rete, queste modifiche potrebbero richiedere 24-48 ore.

Usare PowerShell per le etichette di riservatezza e i relativi criteri

È ora possibile usare Sicurezza e conformità PowerShell per creare e configurare tutte le impostazioni visualizzate nel centro di amministrazione delle etichette. Questo significa che, oltre a usare PowerShell per le impostazioni che non sono disponibili nelle interfacce di amministrazione per l'etichettatura, ora è possibile gestire completamente tramite la creazione e la manutenzione di etichette di riservatezza e criteri per le etichette di riservatezza.

Per i parametri e i valori supportati, vedere la documentazione seguente:

Suggerimento

Quando si configurano le impostazioni avanzate per un'etichetta di riservatezza, può essere utile fare riferimento alla sezione Suggerimenti di PowerShell per specificare le impostazioni avanzate in questa pagina.

È anche possibile usare Remove-Label e Remove-LabelPolicy se è necessario creare script per l'eliminazione di etichette di riservatezza o criteri per le etichette di riservatezza. Tuttavia, prima di eliminare etichette di riservatezza, assicurarsi di leggere la prossima sezione.

Rimozione ed eliminazione di etichette

In un ambiente di produzione è improbabile che sia necessario rimuovere le etichette di riservatezza dai criteri di etichetta o eliminare le etichette di riservatezza. È più probabile che sia necessario eseguire una di queste azioni nel corso di una fase di test iniziale. Assicurarsi di comprendere le conseguenze di una di queste azioni.

La rimozione di un'etichetta da un criterio di etichetta è meno rischiosa dell'eliminazione e, se necessario, è sempre possibile riaggiungere l'etichetta in un secondo momento. Non sarà possibile eliminare un'etichetta se è ancora in un criterio di etichetta.

Quando si rimuove un'etichetta da un criterio di etichetta in modo che l'etichetta non venga più pubblicata per gli utenti specificati in origine, la volta successiva che i criteri di etichetta vengono aggiornati, gli utenti non vedranno più tale etichetta e non potranno selezionarla nell'app di Office. Se è già applicata, l'etichetta non viene rimossa dal contenuto o dal contenitore. Ad esempio, gli utenti che usano l'etichettatura predefinita nelle app desktop per Word, Excel e PowerPoint, continueranno a vedere il nome dell'etichetta applicata sulla barra di stato. Un'etichetta del contenitore applicata continua a proteggere il sito Teams o SharePoint.

Quando invece si elimina un'etichetta:

  • Se l'etichetta ha comportato l'applicazione della crittografia, il modello di protezione sottostante viene archiviato in modo che sia ancora possibile aprire il contenuto protetto in precedenza. A causa di questo modello di protezione archiviato, non sarà possibile creare una nuova etichetta con lo stesso nome. Anche se è possibile eliminare un modello di protezione con PowerShell, non farlo, a meno che non si sia certi che non sia necessario aprire contenuto crittografato con il modello archiviato.

  • Per i documenti archiviati in SharePoint o OneDrive, e nel caso in cui sono state abilitate le etichette di riservatezza per i file di Office: quando si apre il documento in Office per il web, l'etichetta viene applicata nell'app e il nome dell'etichetta non viene più visualizzato nella colonna Riservatezza in SharePoint. Se l'etichetta eliminata ha comportato l'applicazione della crittografia e i servizi possono elaborare il contenuto crittografato, la crittografia viene rimossa. Le azioni in uscita da questi servizi generano lo stesso risultato. Ad esempio, scaricare, copiare, passare a e aprire con un'app desktop o per dispositivi mobili Office. Anche se le informazioni sull'etichetta rimangono nei metadati del file, le app non possono più eseguire il mapping dell'ID etichetta su un nome visualizzato, quindi gli utenti presuppongono che un file non sia etichettato.

  • Per i documenti archiviati all'esterno di SharePoint e OneDrive, oppure se non sono state abilitate etichette di riservatezza per i file Office e per i messaggi di posta elettronica: quando si apre il contenuto, le informazioni sull'etichetta nei metadati rimangono tuttavia, senza il mapping dell'ID etichetta sul nome, gli utenti non visualizzano il nome dell'etichetta applicata (ad esempio, sulla barra di stato per le app desktop). Se l'etichetta eliminata ha applicato la crittografia, questa rimane e gli utenti visualizzano ancora il nome e la descrizione del modello di protezione ora archiviato.

  • Per i contenitori, ad esempio i siti in SharePoint e Teams: l'etichetta viene rimossa e le impostazioni configurate con tale etichetta non vengono più applicate. Questa azione richiede in genere da 48 a 72 ore per i siti SharePoint e può essere più veloce per Teams e Gruppi di Microsoft 365.

Come per tutte le modifiche alle etichette, la rimozione di un'etichetta di riservatezza da un criterio di etichetta o l'eliminazione di un'etichetta di riservatezza richiede tempo per la replica a tutti gli utenti e i servizi.

Passaggi successivi

Per configurare e usare le etichette di riservatezza per scenari specifici, vedere gli articoli seguenti:

Per monitorare l'utilizzo delle etichette, vedere Introduzione alla classificazione dei dati.