Informazioni introduttive sulle impostazioni di gestione dei rischi InsiderGet started with insider risk management settings

Le impostazioni di gestione dei rischi Insider si applicano a tutti i criteri di gestione dei rischi Insider, indipendentemente dal modello scelto quando si crea un criterio.Insider risk management settings apply to all insider risk management policies, regardless of the template you chose when creating a policy. Le impostazioni vengono configurate utilizzando il controllo impostazioni di rischio Insider nella parte superiore di tutte le schede gestione rischi Insider.Settings are configured using the Insider risk settings control located at the top of all insider risk management tabs. Queste impostazioni controllano i componenti dei criteri per le aree seguenti:These settings control policy components for the following areas:

  • PrivacyPrivacy
  • IndicatoriIndicators
  • Sequenze temporali del criterioPolicy timelines
  • Rilevamenti intelligentiIntelligent detections
  • Avvisi di esportazione (anteprima)Export alerts (preview)
  • Gruppi di utenti prioritari (anteprima)Priority user groups (preview)
  • Risorse fisiche prioritarie (anteprima)Priority physical assets (preview)
  • Flussi automatizzati di alimentazione (anteprima)Power Automate flows (preview)
  • Microsoft Teams (anteprima)Microsoft Teams (preview)

Prima di iniziare e creare criteri di gestione dei rischi Insider, è importante comprendere queste impostazioni e scegliere l'opzione livelli migliori per le esigenze di conformità per l'organizzazione.Before you get started and create insider risk management policies, it's important to understand these settings and choose setting levels best for the compliance needs for your organization.

PrivacyPrivacy

La protezione della privacy degli utenti che dispongono di corrispondenze di criteri è importante e può contribuire a promuovere l'oggettività nelle analisi dei dati e nelle recensioni degli analizzatori dei rischi InsiderProtecting the privacy of users that have policy matches is important and can help promote objectivity in data investigation and analysis reviews for insider risk alerts. Per gli utenti con una corrispondenza dei criteri di rischio Insider, è possibile scegliere una delle seguenti impostazioni:For users with an insider risk policy match, you can choose one of the following settings:

  • Mostrare le versioni di anonimi dei nomi utente: i nominativi degli utenti sono anonimi per impedire agli amministratori, ai ricercatori dei dati e ai revisori di vedere chi è associato agli avvisi dei criteri.Show anonymized versions of usernames: Names of users are anonymized to prevent admins, data investigators, and reviewers from seeing who is associated with policy alerts. Ad esempio, un utente ' Grace Taylor ' verrebbe visualizzato con uno pseudonimo randomizzato come ' AnonIS8-988' in tutte le aree dell'esperienza di gestione dei rischi Insider.For example, a user 'Grace Taylor' would appear with a randomized pseudonym such as 'AnonIS8-988' in all areas of the insider risk management experience. Se si sceglie questa impostazione, anonimizza tutti gli utenti con le corrispondenze di criteri correnti e precedenti e si applica a tutti i criteri.Choosing this setting anonymizes all users with current and past policy matches and applies to all policies. Le informazioni sui profili utente nell'avviso del rischio Insider e nei dettagli del caso non saranno disponibili quando si sceglie questa opzione.User profile information in the insider risk alert and case details will not be available when this option is chosen. Tuttavia, i nomi utente vengono visualizzati quando si aggiungono nuovi utenti ai criteri esistenti o quando si assegnano gli utenti ai nuovi criteri.However, usernames are displayed when adding new users to existing policies or when assigning users to new policies. Se si sceglie di disattivare questa impostazione, i nomi utente verranno visualizzati per tutti gli utenti che hanno corrispondenze di criteri correnti o precedenti.If you choose to turn off this setting, usernames will be displayed for all users that have current or past policy matches.
  • Non vengono visualizzate le versioni di anonimi dei nomi utente: i nomi utente vengono visualizzati per tutte le corrispondenze di criteri correnti e precedenti per gli avvisi e i casi.Do not show anonymized versions of usernames: Usernames are displayed for all current and past policy matches for alerts and cases. Le informazioni sui profili utente, ovvero il nome, il titolo, l'alias e l'organizzazione o il reparto, vengono visualizzate per tutti gli avvisi e i casi di gestione dei rischi Insider.User profile information (the name, title, alias, and organization or department) is displayed for the user for all insider risk management alerts and cases.

Impostazioni di privacy per la gestione dei rischi Insider

IndicatoriIndicators

I modelli di criteri per i rischi Insider definiscono il tipo di attività di rischio che si desidera rilevare ed esaminare.Insider risk policy templates define the type of risk activities that you want to detect and investigate. Ogni modello di criteri si basa su indicatori specifici che corrispondono a trigger specifici e attività a rischio.Each policy template is based on specific indicators that correspond to specific triggers and risk activities. Tutti gli indicatori sono disattivati per impostazione predefinita ed è necessario selezionare uno o più indicatori di criteri prima di configurare un criterio di gestione dei rischi Insider.All indicators are disabled by default, and you must select one or more policy indicators before configuring an insider risk management policy.

Gli avvisi vengono attivati dai criteri quando gli utenti eseguono attività relative a indicatori di criteri che soddisfano una soglia obbligatoria.Alerts are triggered by policies when users perform activities related to policy indicators that meet a required threshold. Gestione dei rischi Insider utilizza due tipi di indicatori:Insider risk management uses two types of indicators:

  • Triggering Events: eventi che determinano se un utente è attivo per un criterio di gestione dei rischi Insider.Triggering events: Events that determine if a user is active for an insider risk management policy. Se un utente viene aggiunto a un criterio di gestione dei rischi insider non ha un evento di attivazione, l'attività dell'utente non viene valutata dal criterio.If a user is added to an insider risk management policy does not have a triggering event, the user activity is not evaluated by the policy. Ad esempio, l'utente A viene aggiunto a un criterio creato dal modello di criteri di furto dei dati da parte degli utenti e il criterio e il connettore Microsoft 365 HR sono stati configurati correttamente.For example, User A is added to a policy created from the Data theft by departing users policy template and the policy and Microsoft 365 HR connector are properly configured. Fino a quando l'utente A ha una data di terminazione segnalata dal connettore HR, l'utente A attività non viene valutato da questo criterio di gestione dei rischi Insider per rischi.Until User A has a termination date reported by the HR connector, User A activities aren't evaluated by this insider risk management policy for risk. Un altro esempio di evento di attivazione è il caso in cui un utente abbia un avviso di criteri DLP di gravità elevato quando si utilizzano i criteri di perdita dei dati .Another example of a triggering event is if a user has a High severity DLP policy alert when using Data leaks policies.
  • Indicatori di criteri: indicatori inclusi nei criteri di gestione dei rischi Insider utilizzati per determinare un punteggio di rischio per un utente in ambito.Policy indicators: Indicators included in insider risk management policies used to determine a risk score for an in-scope user. Questi indicatori di criteri vengono attivati solo dopo che si è verificato un evento di attivazione per un utente.These policy indicators are only activated after a triggering event occurs for a user. Alcuni esempi di indicatori di criteri si verificano quando un utente copia i dati in servizi di archiviazione cloud personali o dispositivi di archiviazione portatili oppure se un utente condivide file e cartelle interni con parti esterne non autorizzate.Some examples of policy indicators are when a user copies data to personal cloud storage services or portable storage devices, or if a user shares internal files and folders with unauthorized external parties.

Gli indicatori dei criteri sono segmentati nelle aree seguenti.Policy indicators are segmented into the following areas. È possibile scegliere gli indicatori per attivare e personalizzare i limiti degli eventi indicatori per ogni livello di indicatore quando si crea un criterio di rischio Insider:You can choose the indicators to activate and customize indicator event limits for each indicator level when creating an insider risk policy:

  • Indicatori di Office: includono indicatori dei criteri per i siti di SharePoint, i team e la messaggistica di posta elettronica.Office indicators: These include policy indicators for SharePoint sites, Teams, and email messaging.
  • Indicatori del dispositivo: includono indicatori dei criteri per attività quali la condivisione di file sulla rete o con i dispositivi.Device indicators: These include policy indicators for activity such as sharing files over the network or with devices. Gli indicatori includono attività relative ai file di Microsoft Office. File CSV e. File PDF.Indicators include activity involving Microsoft Office files, .CSV files, and .PDF files. Se si selezionano gli indicatori di dispositivo, l'attività viene elaborata solo per i dispositivi con Windows 10 Build 1809 o versione successiva.If you select Device indicators, activity is processed only for devices with Windows 10 Build 1809 or higher. Per ulteriori informazioni sulla configurazione dei dispositivi per l'integrazione con rischio Insider, vedere la sezione abilitare gli indicatori di dispositivo e i dispositivi di bordo .For more information on configuring devices for integration with insider risk, see the following Enable device indicators and onboard devices section.
  • Indicatore di violazione dei criteri di sicurezza: sono inclusi gli indicatori di Microsoft Defender ATP relativi all'installazione di software non approvato o dannoso o al bypassare i controlli di sicurezza.Security policy violation indicator: These include indicators from Microsoft Defender ATP related to unapproved or malicious software installation or bypassing security controls. Per ricevere avvisi in gestione dei rischi Insider, è necessario disporre di una licenza di Microsoft Defender ATP attiva e l'integrazione dei rischi Insider abilitata.To receive alerts in insider risk management, you must have an active Microsoft Defender ATP license and insider risk integration enabled. Per ulteriori informazioni sulla configurazione di Microsoft Defender ATP per l'integrazione di gestione dei rischi Insider, vedere configure advanced features in Microsoft Defender ATP.For more information on configuring Microsoft Defender ATP for insider risk management integration, see Configure advanced features in Microsoft Defender ATP.
  • Booster del Punteggio di rischio: tra cui l'aumento del Punteggio di rischio per attività inusuali o precedenti violazioni dei criteri.Risk score boosters: These include raising the risk score for unusual activities or past policy violations. Abilitazione del Punteggio di rischio i Booster aumentano i punteggi dei rischi e la probabilità di avvisi per questi tipi di attività.Enabling risk score boosters increase risk scores and the likelihood of alerts for these types of activities. I booster del Punteggio di rischio possono essere selezionati solo se sono stati selezionati uno o più indicatori sopra riportati.Risk score boosters can only be selected if one or more indicators above are selected.

Impostazioni degli indicatori di gestione dei rischi Insider

In alcuni casi, è possibile che si desideri limitare gli indicatori dei criteri di rischio Insider applicati ai criteri di insider Risk nell'organizzazione.In some cases, you may want to limit the insider risk policy indicators that are applied to insider risk policies in your organization. È possibile disattivare gli indicatori dei criteri per aree specifiche disattivando tutti i criteri di rischio Insider.You can turn off the policy indicators for specific areas by disabling them from all insider risk policies. Non è possibile modificare gli eventi di attivazione per i modelli di criteri di rischio Insider.Triggering events cannot be modified for insider risk policy templates.

Per definire gli indicatori dei criteri di rischio Insider abilitati in tutti i criteri di rischio Insider, passare a indicatori delle impostazioni dei rischi Insider > Indicators e selezionare uno o più indicatori di criteri.To define the insider risk policy indicators that are enabled in all insider risk policies, navigate to Insider risk settings > Indicators and select one or more policy indicators. Gli indicatori selezionati nella pagina Impostazioni indicatori non possono essere configurati singolarmente quando si crea o si modifica un criterio di rischio Insider nella procedura guidata dei criteri.The indicators selected on the Indicators settings page cannot be individually configured when creating or editing an insider risk policy in the policy wizard.

Nota

Potrebbe essere necessario diverse ore prima che i nuovi utenti aggiunti manualmente vengano visualizzati nel dashboard degli utenti.It may take several hours for new manually-added users to appear in the Users dashboard. Le attività per i 90 giorni precedenti per questi utenti possono richiedere fino a 24 ore per la visualizzazione.Activities for the previous 90 days for these users may take up to 24 hours to display. Per visualizzare le attività per gli utenti aggiunti manualmente, selezionare l'utente nel Dashboard utenti e aprire la scheda attività utente nel riquadro dei dettagli.To view activities for manually added users, select the user on the Users dashboard and open the User activity tab on the details pane.

Abilitare gli indicatori di dispositivo e i dispositivi di bordoEnable device indicators and onboard devices

Per abilitare il monitoraggio delle attività di rischio sui dispositivi e includere indicatori di criteri per queste attività, i dispositivi devono soddisfare i requisiti seguenti ed è necessario completare i seguenti passaggi di onboarding.To enable the monitoring of risk activities on devices and include policy indicators for these activities, your devices must meet the following requirements and you must complete the following onboarding steps.

Passaggio 1: preparare gli endpointStep 1: Prepare your endpoints

Verificare che i dispositivi Windows 10 pianificati per la creazione di report in gestione dei rischi Insider soddisfino questi requisiti.Make sure that the Windows 10 devices that you plan on reporting in insider risk management meet these requirements.

  1. Deve essere in esecuzione Windows 10 x64 Build 1809 o versione successiva e deve aver installato l' aggiornamento di Windows 10 (OS build 17763,1075) dal 20 febbraio 2020.Must be running Windows 10 x64 build 1809 or later and must have installed the Windows 10 update (OS Build 17763.1075) from February 20, 2020.
  2. Tutti i dispositivi devono essere aggiunti ad Azure Active Directory (AAD) o aggiunto ad Azure AD ibrido.All devices must be Azure Active Directory (AAD) joined, or Hybrid Azure AD joined.
  3. Installare Microsoft Chromium Edge browser sul dispositivo endpoint per monitorare le azioni relative all'attività di caricamento del cloud.Install Microsoft Chromium Edge browser on the endpoint device to monitor actions for the cloud upload activity. Vedere Scaricare il nuovo Microsoft Edge basato su Chromium.See, Download the new Microsoft Edge based on Chromium.

Passaggio 2: dispositivi onboardingStep 2: Onboarding devices

È necessario abilitare il monitoraggio del dispositivo e l'onboard degli endpoint prima di poter monitorare le attività di gestione dei rischi insider su un dispositivo.You must enable device monitoring and onboard your endpoints before you can monitor for insider risk management activities on a device. Entrambe le azioni vengono eseguite nel portale Conformità Microsoft 365.Both of these actions are done in the Microsoft 365 Compliance portal.

Quando si desidera che i dispositivi di bordo non siano ancora stati onboarded, è possibile scaricare lo script appropriato e distribuirlo come indicato nei passaggi seguenti.When you want to onboard devices that haven't been onboarded yet, you'll download the appropriate script and deploy as outlined in the following steps.

Se i dispositivi sono già presenti in Microsoft Defender per endpoint, verranno visualizzati nell'elenco dei dispositivi gestiti.If you already have devices onboarded into Microsoft Defender for Endpoint, they will already appear in the managed devices list. Seguire il passaggio 3: se si dispone di dispositivi onboarded in Microsoft Defender for endpoint nella sezione successiva.Follow Step 3: If you have devices onboarded into Microsoft Defender for Endpoint in the next section.

In questo scenario di distribuzione, i dispositivi di bordo che non sono stati ancora onboarded e si desidera monitorare le attività dei rischi Insider nei dispositivi Windows 10.In this deployment scenario, you'll onboard devices that have not been onboarded yet, and you just want to monitor insider risk activities on Windows 10 devices.

  1. Aprire il Centro conformità Microsoft.Open the Microsoft compliance center.

  2. Aprire la pagina delle impostazioni del Centro conformità e scegliere Onboarding di dispositivi.Open the Compliance Center settings page and choose Onboard devices.

    Nota

    Anche se in genere sono necessari circa 60 secondi perché l'onboarding dei dispositivi sia abilitato, attendere fino a 30 minuti prima di contattare il supporto tecnico Microsoft.While it usually takes about 60 seconds for device onboarding to be enabled, please allow up to 30 minutes before engaging with Microsoft support.

  3. Scegliere Gestione dispositivi per aprire l'elenco Dispositivi.Choose Device management to open the Devices list. L'elenco sarà vuoto finché non si caricano dispositivi.The list will be empty until you onboard devices.

  4. Scegliere Onboarding per avviare il processo di onboarding.Choose Onboarding to begin the onboarding process.

  5. Scegliere il modo in cui si vogliono distribuire questi altri dispositivi dall'elenco Metodo di distribuzione e quindi scaricare il pacchetto.Choose the way you want to deploy to these additional devices from the Deployment method list and then download package.

  6. Seguire le procedure appropriate in Strumenti e metodi di onboarding per i dispositivi Windows 10.Follow the appropriate procedures in Onboarding tools and methods for Windows 10 machines. Questo collegamento porta a una pagina di destinazione in cui è possibile accedere alle procedure di Microsoft Defender per endpoint che corrispondono al pacchetto di distribuzione selezionato nel passaggio 5:This link take you to a landing page where you can access Microsoft Defender for Endpoint procedures that match the deployment package you selected in step 5:

    • Onboarding di dispositivi Windows 10 con Criteri di gruppoOnboard Windows 10 machines using Group Policy
    • Onboarding di dispositivi Windows 10 con Microsoft Endpoint Configuration ManagerOnboard Windows machines using Microsoft Endpoint Configuration Manager
    • Onboarding di dispositivi Windows 10 con gli strumenti di Gestione dispositivi mobiliOnboard Windows 10 machines using Mobile Device Management tools
    • Onboarding di dispositivi Windows 10 con uno script localeOnboard Windows 10 machines using a local script
    • Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti.Onboard non-persistent virtual desktop infrastructure (VDI) machines.

Una volta fatto e l'endpoint è onboarded, dovrebbe essere visibile nell'elenco dei dispositivi e l'endpoint inizierà a segnalare i registri delle attività di controllo per la gestione dei rischi Insider.Once done and endpoint is onboarded, it should be visible in the devices list and the endpoint will start reporting audit activity logs to insider risk management.

Nota

Questa esperienza richiede la licenza.This experience is under license enforcement. Se non si ha la licenza necessaria, i dati non saranno visibili o accessibili.Without the required license, data will not be visible or accessible.

Passaggio 3: se si dispone di dispositivi onboarded in Microsoft Defender per endpointStep 3: If you have devices onboarded into Microsoft Defender for Endpoint

Se Microsoft Defender per endpoint è già stato distribuito e vi sono report di endpoint, tutti questi endpoint verranno visualizzati nell'elenco dispositivi gestiti.If Microsoft Defender for Endpoint is already deployed and there are endpoints reporting in, all these endpoints will appear in the managed devices list. È possibile continuare a eseguire l'onboarding di nuovi dispositivi in gestione dei rischi Insider per espandere la copertura tramite la sezione dispositivi di onboarding .You can continue to onboard new devices into insider risk management to expand coverage by using the Step 2: Onboarding devices section.

  1. Aprire il Centro conformità Microsoft.Open the Microsoft compliance center.
  2. Aprire la pagina delle impostazioni del Centro conformità e scegliere Abilita monitoraggio dispositivi.Open the Compliance Center settings page and choose Enable device monitoring.
  3. Scegliere Gestione dispositivi per aprire l'elenco Dispositivi.Choose Device management to open the Devices list. Dovrebbe essere visualizzato l'elenco dei dispositivi che già inviano report a Microsoft Defender per endpoint.You should see the list of devices that are already reporting in to Microsoft Defender for Endpoint.
  4. Scegliere Onboarding se è necessario aggiungere altri dispositivi.Choose Onboarding if you need to onboard additional devices.
  5. Scegliere il modo in cui si vogliono distribuire questi altri dispositivi dall'elenco Metodo di distribuzione e quindi Scarica pacchetto.Choose the way you want to deploy to these additional devices from the Deployment method list and then Download package.
  6. Seguire le procedure appropriate in Strumenti e metodi di onboarding per i dispositivi Windows 10.Follow the appropriate procedures in Onboarding tools and methods for Windows 10 machines. Questo collegamento porta a una pagina di destinazione in cui è possibile accedere alle procedure di Microsoft Defender per endpoint che corrispondono al pacchetto di distribuzione selezionato nel passaggio 5:This link take you to a landing page where you can access Microsoft Defender for Endpoint procedures that match the deployment package you selected in step 5:
    • Onboarding di dispositivi Windows 10 con Criteri di gruppoOnboard Windows 10 machines using Group Policy
    • Onboarding di dispositivi Windows 10 con Microsoft Endpoint Configuration ManagerOnboard Windows machines using Microsoft Endpoint Configuration Manager
    • Onboarding di dispositivi Windows 10 con gli strumenti di Gestione dispositivi mobiliOnboard Windows 10 machines using Mobile Device Management tools
    • Onboarding di dispositivi Windows 10 con uno script localeOnboard Windows 10 machines using a local script
    • Onboarding di dispositivi VDI (Virtual Desktop Infrastructure) non persistenti.Onboard non-persistent virtual desktop infrastructure (VDI) machines.

Una volta fatto e l'endpoint è onboarded, dovrebbe essere visibile nella tabella Devices e l'endpoint inizierà a segnalare i registri delle attività di controllo per la gestione dei rischi Insider.Once done and endpoint is onboarded, it should be visible under the Devices table and the endpoint will start reporting audit activity logs to insider risk management.

Nota

Questa esperienza richiede la licenza.This experience is under license enforcement. Se non si ha la licenza necessaria, i dati non saranno visibili o accessibili.Without the required license, data will not be visible or accessible.

Impostazioni livello indicatore (anteprima)Indicator level settings (preview)

Quando si crea un criterio nella procedura guidata per i criteri, è possibile configurare in che modo il numero giornaliero di eventi di rischio deve influire sul punteggio di rischio per gli avvisi di rischio Insider.When creating a policy in the policy wizard, you can configure how the daily number of risk events should influence the risk score for insider risk alerts. Queste impostazioni degli indicatori consentono di controllare il modo in cui il numero di occorrenze di eventi di rischio nell'organizzazione deve influire sul punteggio di rischio e, di conseguenza, sulla gravità degli avvisi associata, per questi eventi.These indicator settings help you control how the number of occurrences of risk events in your organization should affect the risk score, and consequently the associated alert severity, for these events. Se si preferisce, è anche possibile scegliere di mantenere i livelli di soglia di evento predefiniti consigliati da Microsoft per tutti gli indicatori abilitati.If you prefer, you can also choose to keep the default event threshold levels recommended by Microsoft for all enabled indicators.

Ad esempio, si decide di abilitare gli indicatori di SharePoint nelle impostazioni dei criteri di rischio Insider e di impostare soglie personalizzate per gli eventi di SharePoint quando si configurano gli indicatori per un nuovo criterio di perdita dei dati Insider rischio.For example, you decide to enable SharePoint indicators in the insider risk policy settings and to set custom thresholds for SharePoint events when configuring indicators for a new insider risk Data leaks policy. Durante la creazione guidata criteri di rischio Insider, vengono configurati tre diversi livelli di eventi giornalieri per ogni indicatore di SharePoint in modo da influenzare il Punteggio di rischio per gli avvisi associati a tali eventi.While in the insider risk policy wizard, you configure three different daily event levels for each SharePoint indicator to influence the risk score for alerts associated with these events.

Impostazioni degli indicatori personalizzati per la gestione dei rischi Insider

Per il primo livello di evento giornaliero, impostare la soglia a 10 o più eventi al giorno per un impatto minore sul punteggio di rischio per gli eventi, 20 o più eventi al giorno per un impatto medio sul punteggio di rischio per gli eventi e 30 o più eventi al giorno un impatto maggiore sul punteggio di rischio per gli eventi.For the first daily event level, you set the threshold at 10 or more events per day for a lower impact to the risk score for the events, 20 or more events per day for a medium impact to the risk score for the events, and 30 or more events per day a higher impact to the risk score for the events. Queste impostazioni indicano in modo efficace:These settings effectively mean:

  • Se sono presenti 1-9 eventi di SharePoint che si verificano dopo l'evento triggering, i punteggi del rischio hanno un impatto minimo e tendono a non generare un avviso.If there are 1-9 SharePoint events that take place after triggering event, risk scores are minimally impacted and would tend not to generate an alert.
  • Se sono presenti 10-19 eventi di SharePoint che si verificano dopo un evento di attivazione, il Punteggio di rischio è intrinsecamente inferiore e i livelli di gravità degli avvisi tendono a essere a un livello basso.If there are 10-19 SharePoint events that take place after a triggering event, the risk score is inherently lower and alert severity levels would tend to be at a low level.
  • Se sono presenti 20-29 eventi di SharePoint che si verificano dopo un triggering, il Punteggio di rischio è intrinsecamente più elevato e i livelli di gravità degli avvisi tendono a essere a un livello medio.If there are 20-29 SharePoint events that take place after a triggering, the risk score is inherently higher and alert severity levels would tend to be at a medium level.
  • Se sono presenti 30 o più eventi di SharePoint che si verificano dopo un triggering, il Punteggio di rischio è intrinsecamente più elevato e i livelli di gravità degli avvisi tendono a essere a un livello elevato.If there are 30 or more SharePoint events that take place after a triggering, the risk score is inherently higher and alert severity levels would tend to be at a high level.

Intervalli di tempo per i criteriPolicy timeframes

Gli intervalli di tempo dei criteri consentono di definire i periodi di revisione precedenti e futuri che vengono attivati dopo le corrispondenze dei criteri in base a eventi e attività per i modelli di criteri di gestione del rischio Insider.Policy timeframes allow you to define past and future review periods that are triggered after policy matches based on events and activities for the insider risk management policy templates. A seconda del modello di criteri scelto, sono disponibili i seguenti tempi di criteri:Depending on the policy template you choose, the following policy timeframes are available:

  • Finestra di attivazione: disponibile per tutti i modelli di criteri, la finestra di attivazione è il numero definito di giorni in cui la finestra viene attivata dopo un evento di trigger.Activation window: Available for all policy templates, the Activation window is the defined number of days that the window activates after a triggering event. La finestra viene attivata da 1 a 30 giorni dopo che si è verificato un evento di attivazione per qualsiasi utente assegnato al criterio.The window activates for 1 to 30 days after a triggering event occurs for any user assigned to the policy. Ad esempio, è stato configurato un criterio di gestione dei rischi Insider e impostare la finestra di attivazione su 30 giorni.For example, you've configured an insider risk management policy and set the Activation window to 30 days. Sono passati diversi mesi da quando è stato configurato il criterio e si verifica un evento di attivazione per uno degli utenti inclusi nel criterio.Several months have passed since you configured the policy and a triggering event occurs for one of the users included in the policy. L'evento triggering attiva la finestra di attivazione e il criterio è attivo per l'utente per 30 giorni dopo l'evento triggering.The triggering event activates the Activation window and the policy is active for that user for 30 days after the triggering event occurred.
  • Rilevamento attività precedenti: disponibile per tutti i modelli di criteri, il rilevamento delle attività precedenti è il numero definito di giorni in cui la finestra viene attivata prima di un evento di attivazione.Past activity detection: Available for all policy templates, the Past activity detection is the defined number of days that the window activates before a triggering event. La finestra viene attivata da 0 a 180 giorni prima che si verifichi un evento di attivazione per qualsiasi utente assegnato al criterio.The window activates for 0 to 180 days before a triggering event occurs for any user assigned to the policy. Ad esempio, è stato configurato un criterio di gestione dei rischi Insider e il rilevamento delle attività precedenti è stato impostato su 90 giorni.For example, you've configured an insider risk management policy and set the Past activity detection to 90 days. Sono passati diversi mesi da quando è stato configurato il criterio e si verifica un evento di attivazione per uno degli utenti inclusi nel criterio.Several months have passed since you configured the policy and a triggering event occurs for one of the users included in the policy. L'evento triggering attiva il rilevamento delle attività precedenti e il criterio raccoglie le attività storiche per quell'utente per 90 giorni prima dell'evento triggering.The triggering event activates the Past activity detection and the policy gathers historic activities for that user for 90 days prior to the triggering event.

Impostazioni di calendario per la gestione dei rischi Insider

Rilevamenti intelligentiIntelligent detections

Le impostazioni di rilevamento intelligente consentono di affinare la modalità di elaborazione dei rilevamenti delle attività rischiose per gli avvisi.Intelligent detection settings help refine how the detections of risky activities are processed for alerts. In alcuni casi, potrebbe essere necessario definire i tipi di file da ignorare o si desidera applicare un livello di rilevamento per i file che consentono di definire una barra minima per gli avvisi.In certain circumstances, you may need to define files types to ignore or you want to enforce a detection level for files to help define a minimum bar for alerts. Quando si utilizzano criteri di linguaggio offensivi, potrebbe essere necessario aumentare o diminuire la sensibilità di rilevamento per controllare la quantità di corrispondenze di criteri segnalate.When using offensive language policies, you may need to increase or decrease the detection sensitivity to control the amount of reported policy matches. Utilizzare queste impostazioni per controllare il volume generale degli avvisi, le esclusioni dei tipi di file, i limiti relativi al volume del file e la sensibilità all'individuazione del linguaggio offensivo.Use these settings to control overall alert volume, file type exclusions, file volume limits, and the offensive language detection sensitivity.

Impostazioni per i rilevamenti intelligenti di gestione dei rischi

Rilevamenti di anomaliaAnomaly detections

I rilevamenti anomali includono le impostazioni per le esclusioni dei tipi di file e i limiti del volume file.Anomalous detections include settings for file type exclusions and file volume limits.

  • Esclusionidei tipi di file: per escludere tipi di file specifici da tutti i criteri di gestione dei rischi Insider, immettere le estensioni del tipo di file separate da virgole.File type exclusions: To exclude specific file types from all insider risk management policy matching, enter file type extensions separated by commas. Ad esempio, per escludere determinati tipi di file musicali dalle corrispondenze di criteri, è possibile immettere AAC, MP3, WAV, WMA nel campo esclusioni tipo di file .For example, to exclude certain types of music files from policy matches you may enter aac,mp3,wav,wma in the File type exclusions field. I file con queste estensioni verrebbero ignorati da tutti i criteri di gestione dei rischi Insider.Files with these extensions would be ignored by all insider risk management policies.
  • Limite di riduzione del volume del file: per definire un livello di file minimo prima che vengano segnalati avvisi attività nei criteri di rischio Insider, immettere il numero di file.File volume cut-off limit: To define a minimum file level before activity alerts are reported in insider risk policies, enter the number of files. Ad esempio, è necessario immettere '10 ' se non si desidera generare avvisi di rischio Insider quando un utente Scarica 10 file o meno, anche se i criteri considerano questa attività un'anomalia.For example, you would enter '10' if you do not want to generate insider risk alerts when a user downloads 10 files or less, even if the policies consider this activity an anomaly.

Rilevamenti di lingua offensivaOffensive language detections

Importante

A partire dal 16 ottobre 2020, non sarà più possibile creare criteri utilizzando questo modello.Starting October 16, 2020, you will no longer be able to create policies using this template. Tutti i criteri attivi che utilizzano questo modello funzioneranno fino a quando non verranno rimossi definitivamente nel gennaio 2021.Any active policies that use this template will work until they're permanently removed in January 2021. Il classificatore incorporato del linguaggio offensivo che supporta questo modello è obsoleto perché produce un numero elevato di falsi positivi.We are deprecating the Offensive Language built-in classifier that supports this template because it has been producing a high number of false positives. Per risolvere i problemi di rischio per la lingua offensiva, è consigliabile utilizzare i criteri di conformità alla comunicazione Microsoft 365.To address risk issues for offensive language, we recommend using Microsoft 365 communication compliance policies. Per ulteriori informazioni sui classificatori incorporati, vedere Guida introduttiva ai classificatori addestrabili.For more information about built-in classifiers, see Getting started with trainable classifiers.

Per modificare la sensibilità del classificatore dei linguaggi offensivi per i criteri che utilizzano la lingua offensiva nel modello di posta elettronica , scegliere una delle seguenti impostazioni:To adjust the sensitivity of the offensive language classifier for policies using the Offensive language in email template, choose one of the following settings:

  • Low: il livello di sensibilità più basso con l'intervallo più ampio per il rilevamento del linguaggio offensivo e del sentimento.Low: The lowest sensitivity level with the broadest range for detection offensive language and sentiment. La probabilità di falsi positivi per la corrispondenza di lingua offensiva è elevata.The probability of false positives for offensive language matching is elevated.
  • Medium: livello di sensibilità medio-livello con un intervallo bilanciato per il rilevamento del linguaggio offensivo e del sentimento.Medium: The mid-level sensitivity level with a balanced range for detection offensive language and sentiment. La probabilità di falsi positivi per la corrispondenza dei linguaggi offensivi è media.The probability of false positives for offensive language matching is average.
  • High: il livello di sensibilità più alto con un intervallo ristretto per il rilevamento del linguaggio offensivo e del sentimento.High: The highest sensitivity level with a narrow range for detection offensive language and sentiment. La probabilità di falsi positivi per la corrispondenza di lingua offensiva è bassa.The probability of false positives for offensive language matching is low.

Volume avvisiAlert volume

Le attività degli utenti rilevate dai criteri di rischio Insider sono assegnate a un punteggio di rischio specifico, che a sua data determina la gravità degli avvisi (basso, medio, alto).User activities detected by insider risk policies are assigned a specific risk score, which in turn determines the alert severity (low, medium, high). Per impostazione predefinita, viene generato un determinato numero di avvisi di bassa, media e elevata gravità, ma è possibile aumentare o diminuire il volume in base alle proprie esigenze.By default, we'll generate a certain amount of low, medium, and high severity alerts, but you can increase or decrease the volume to suit your needs. Per modificare il volume degli avvisi per tutti i criteri di gestione dei rischi Insider, scegliere una delle seguenti impostazioni:To adjust the volume of alerts for all insider risk management policies, choose one of the following settings:

  • Meno avvisi: verranno visualizzati tutti gli avvisi di gravità elevata, meno avvisi di gravità media e nessun livello di gravità basso.Fewer alerts: You'll see all high severity alerts, fewer medium severity alerts, and no low severity ones. Questo livello di impostazione significa che potrebbe essere possibile perdere alcuni veri positivi.This setting level means you might miss some true positives.
  • Volume predefinito: verranno visualizzati tutti gli avvisi di gravità elevata e una quantità bilanciata di avvisi di gravità medio-bassa.Default volume: You'll see all high severity alerts and a balanced amount of medium and low severity alerts.
  • Altri avvisi: vedrai tutti gli avvisi di gravità media e alta e la maggior parte degli avvisi di gravità bassa.More alerts: You'll see all medium and high severity alerts and most low severity alerts. Questo livello di impostazione può comportare un numero maggiore di falsi positivi.This setting level might result in more false positives.

Protezione avanzata dalle minacce di Microsoft Defender (anteprima)Microsoft Defender Advanced Threat Protection (preview)

Microsoft Defender Advanced Threat Protection (ATP) è una piattaforma di sicurezza per endpoint Enterprise progettata per aiutare le reti aziendali a impedire, rilevare, analizzare e rispondere alle minacce avanzate.Microsoft Defender Advanced Threat Protection (ATP) is an enterprise endpoint security platform designed to help enterprise networks prevent, detect, investigate, and respond to advanced threats. Per una migliore visibilità della violazione della sicurezza nell'organizzazione, è possibile importare e filtrare gli avvisi ATP di Microsoft Defender per le attività utilizzate nei criteri creati da modelli di criteri di violazione della sicurezza di gestione dei rischi Insider Management.To have better visibility of security violation in your organization, you can import and filter Microsoft Defender ATP alerts for activities used in policies created from insider risk management security violation policy templates.

A seconda dei tipi di segnali che sono interessati, è possibile scegliere di importare avvisi per la gestione dei rischi insider in base allo stato di valutazione dell'avviso ATP Microsoft Defender.Depending on the types of signals you are interested in, you can choose to import alerts to insider risk management based on the Microsoft Defender ATP alert triage status. È possibile definire uno o più dei seguenti stati di valutazione degli avvisi nelle impostazioni globali da importare:You can define one or more of the following alert triage statuses in the global settings to import:

  • UnknownUnknown
  • NuovaNew
  • In corsoIn progress
  • RisoltiResolved

Gli avvisi di Microsoft Defender ATP vengono importati ogni giorno.Alerts from Microsoft Defender ATP are imported daily. A seconda dello stato di valutazione scelto, è possibile che vengano visualizzate più attività utente per lo stesso avviso delle modifiche allo stato del triage in Microsoft Defender ATP.Depending on the triage status you choose, you may see multiple user activities for the same alert as the triage status changes in Microsoft Defender ATP.

Ad esempio, se si seleziona nuovo, in corsoe risolto per questa impostazione, quando viene generato un avviso ATP di Microsoft Defender e lo stato è nuovo, viene importata un'attività di avviso iniziale per l'utente in Risk Insider.For example, if you select New, In progress, and Resolved for this setting, when a Microsoft Defender ATP alert is generated and the status is New, an initial alert activity is imported for the user in insider risk. Quando lo stato del Triage ATP Microsoft Defender cambia in corso, viene importata una seconda attività per questo avviso per l'utente in rischio Insider.When the Microsoft Defender ATP triage status changes to In progress, a second activity for this alert is imported for the user in insider risk. Quando viene impostato lo stato di valutazione ATP Microsoft Defender finale di risolto , viene importata una terza attività per questo avviso per l'utente in Risk Insider.When the final Microsoft Defender ATP triage status of Resolved is set, a third activity for this alert is imported for the user in insider risk. Questa funzionalità consente agli inquirenti di seguire la progressione degli avvisi di Microsoft Defender ATP e di scegliere il livello di visibilità richiesto dall'indagine.This functionality allows investigators to follow the progression of the Microsoft Defender ATP alerts and choose the level of visibility that their investigation requires.

Importante

Per importare gli avvisi relativi alla violazione di sicurezza, è necessario che Microsoft Defender ATP sia configurato nell'organizzazione e abilitare Microsoft Defender ATP per l'integrazione di gestione dei rischi Insider nel centro sicurezza protezione.You'll need to have Microsoft Defender ATP configured in your organization and enable Microsoft Defender ATP for insider risk management integration in the Defender Security Center to import security violation alerts. Per ulteriori informazioni sulla configurazione di Microsoft Defender ATP per l'integrazione di gestione dei rischi Insider, vedere configure advanced features in Microsoft Defender ATP.For more information on configuring Microsoft Defender ATP for insider risk management integration, see Configure advanced features in Microsoft Defender ATP.

Domini (anteprima)Domains (preview)

Le impostazioni del dominio consentono di definire i livelli di rischio per le comunicazioni verso domini specifici.Domain settings help you define risk levels for communications to specific domains. Tali comunicazioni includono file di condivisione, messaggi di posta elettronica o download di contenuto.These communications include sharing files, email messages, or downloading content. Specificando i domini in queste impostazioni, è possibile aumentare o diminuire il rischio segnando per attività che si svolge con questi domini.By specifying domains in these settings, you can increase or decrease the risk scoring for activity that takes place with these domains. Ad esempio, per specificare contoso.com e sales.wingtiptoys.com come domini consentiti, immettere ' contoso.com sales.wingtiptoys.com ' nel campo domini consentiti .For example, to specify contoso.com and sales.wingtiptoys.com as allowed domains, you will enter 'contoso.com sales.wingtiptoys.com' in the Allowed domains field.

Per ognuna delle impostazioni di dominio seguenti, è possibile immettere fino a 500 domini:For each of the following domain settings, you can enter up to 500 domains:

  • Domini non consentiti: Se si specificano domini non consentiti, le attività che si verificano con questi domini avranno un punteggio di rischio maggiore .Unallowed domains: By specifying unallowed domains, activity that takes place with these domains will have higher risk scores.
  • Domini consentiti: Se si specificano domini consentiti nelle impostazioni, le attività che si verificano con questi domini avranno un punteggio di rischio inferiore e verranno trattate in modo analogo a come viene trattata l'attività organizzativa interna.Allowed domains: By specifying allowed domains in settings, activity that takes place with these domains will have lower risk scores and is treated similarly to how internal organization activity is treated. Ad esempio, le attività di posta elettronica a questi domini vengono analizzate in modo analogo a come viene analizzata l'attività di posta elettronica interna.For example, email activities to these domains are analyzed similarly to how internal email activity is analyzed.
  • Domini di terze parti: I domini di terze parti sono domini utilizzati a fini commerciali all'interno dell'organizzazione e i contenuti sensibili possono essere archiviati in queste posizioni.Third party domains: Third party domains are domains used for business purposes at your organization and sensitive content may be stored across these locations. Specificando un dominio di terze parti, è possibile ricevere avvisi per qualsiasi attività rischiosa su questi domini.By specifying a third party domain, you can receive alerts for any risky activity on these domains.

Avvisi di esportazione (anteprima)Export alerts (preview)

Informazioni sugli avvisi di gestione dei rischi Insider sono esportabili in servizi di gestione eventi e informazioni di sicurezza tramite lo schema API di attività di gestione di Office 365.Insider risk management alert information is exportable to security information and event management (SIEM) services via the Office 365 Management Activity API schema. È possibile utilizzare le API di attività di gestione di Office 365 per esportare le informazioni di avviso in altre applicazioni che possono essere utilizzate dall'organizzazione per gestire o aggregare informazioni sui rischi Insider.You can use the Office 365 Management Activity APIs to export alert information to other applications your organization may use to manage or aggregate insider risk information.

Per utilizzare le API per esaminare le informazioni sugli avvisi dei rischi Insider:To use the APIs to review insider risk alert information:

  1. Abilitare il supporto API di gestione delle attività di Office 365 nell'esportazione delle impostazioni di gestione rischi Insider > Settings > Export.Enable Office 365 Management Activity API support in Insider risk management > Settings > Export. Per impostazione predefinita, questa impostazione è disabilitata per l'organizzazione Microsoft 365.By default, this setting is disabled for your Microsoft 365 organization.
  2. Filtrare le attività di controllo comuni di Office 365 da SecurityComplianceAlerts.Filter the common Office 365 audit activities by SecurityComplianceAlerts.
  3. Filtrare SecurityComplianceAlerts dalla categoria InsiderRiskManagement .Filter SecurityComplianceAlerts by the InsiderRiskManagement category.

Impostazioni di avviso di esportazione di gestione dei rischi Insider

Le informazioni sugli avvisi contengono informazioni provenienti dallo schema di avviso per la sicurezza e la conformità e lo schema comune API di attività di gestione di Office 365.Alert information contains information from the security and compliance alert schema and the Office 365 Management Activity API common schema.

I campi e i valori seguenti vengono esportati per gli avvisi di gestione dei rischi Insider per lo schema di avviso conformità & di sicurezza:The following fields and values are exported for insider risk management alerts for the Security & Compliance alert schema:

Parametro AlertAlert parameter DescrizioneDescription
AlertTypeAlertType Il tipo di avviso è Custom.Type of the alert is Custom.
AlertIdAlertId Il GUID dell'avviso.The GUID of the alert. Gli avvisi di gestione rischi Insider sono modificabili.Insider risk management alerts are mutable. Quando viene modificato lo stato di avviso, viene generato un nuovo log con lo stesso AlertID.As alert status changes, a new log with the same AlertID is generated. Questo AlertID può essere utilizzato per correlare gli aggiornamenti per un avviso.This AlertID can be used to correlate updates for an alert.
CategoriaCategory La categoria dell'avviso è InsiderRiskManagement.The category of the alert is InsiderRiskManagement. Questa categoria può essere utilizzata per distinguere gli avvisi da altri avvisi di sicurezza & conformità.This category can be used to distinguish from these alerts from other Security & Compliance alerts.
CommentiComments Commenti predefiniti per l'avviso.Default comments for the alert. I valori sono un nuovo avviso (registrato quando viene creato un avviso) e l'avviso è stato aggiornato (registrato quando è presente un aggiornamento a un avviso).Values are New Alert (logged when an alert is created) and Alert Updated (logged when there is an update to an alert). Utilizzare AlertID per correlare gli aggiornamenti per un avviso.Use the AlertID to correlate updates for an alert.
DatiData I dati per l'avviso includono l'ID utente univoco, il nome dell'entità utente e la data e l'ora (UTC) quando l'utente è stato attivato in un criterio.The data for the alert, includes the unique user ID, user principal name, and date and time (UTC) when user was triggered into a policy.
NomeName Nome del criterio per i criteri di gestione dei rischi Insider che hanno generato l'avviso.Policy name for insider risk management policy that generated the alert.
PolicyIdPolicyId Il GUID del criterio di gestione dei rischi Insider che ha attivato l'avviso.The GUID of the insider risk management policy that triggered the alert.
GravitàSeverity La gravità dell'avviso.The severity of the alert. I valori sono alto, medioo basso.Values are High, Medium, or Low.
OrigineSource L'origine dell'avviso.The source of the alert. Il valore è Office 365 Security & Compliance.The value is Office 365 Security & Compliance.
StatoStatus Lo stato dell'avviso.The status of the alert. I valori sono attivinecessario riesaminare i rischi Insider), indagare (confermato nel rischio Insider), risolto (risolto in rischio Insider), respinto (respinto dal rischio Insider).Values are Active (Needs Review in insider risk), Investigating (Confirmed in insider risk), Resolved (Resolved in insider risk), Dismissed (Dismissed in insider risk).
VersionVersion La versione dello schema di avviso per la sicurezza e la conformità.The version of the security and compliance alert schema.

I campi e i valori seguenti vengono esportati per gli avvisi di gestione dei rischi Insider per lo schema comune API di gestione attività di Office 365.The following fields and values are exported for insider risk management alerts for the Office 365 Management Activity API common schema.

  • UserIdUserId
  • IdId
  • RecordTypeRecordType
  • CreationTimeCreationTime
  • OperazioneOperation
  • OrganizationIdOrganizationId
  • UserTypeUserType
  • UserKeyUserKey

Gruppi di utenti prioritari (anteprima)Priority user groups (preview)

Gli utenti dell'organizzazione possono avere livelli di rischio diversi a seconda della posizione, del livello di accesso alle informazioni riservate o della cronologia dei rischi.Users in your organization may have different levels of risk depending on their position, level of access to sensitive information, or risk history. La definizione di priorità per l'esame e il punteggio delle attività di tali utenti può essere di aiuto per individuare potenziali rischi che potrebbero avere conseguenze più elevate per l'organizzazione.Prioritizing the examination and scoring of the activities of these users can help alert you to potential risks that may have higher consequences for your organization. I gruppi di utenti prioritari per la gestione dei rischi Insider consentono di definire gli utenti dell'organizzazione che richiedono un controllo più attento e un punteggio più sensibile ai rischi.Priority user groups in insider risk management help define the users in your organization that need closer inspection and more sensitive risk scoring. Insieme alle violazioni dei criteri di sicurezza per gli utenti con priorità e le perdite di dati da parte dei modelli di criteri per gli utenti prioritari, gli utenti aggiunti a un gruppo di utenti prioritari hanno aumentato la probabilità di avvisi e avvisi con livelli di gravità superiori.Coupled with the Security policy violations by priority users and Data leaks by priority users policy templates, users added to a priority user group have an increased likelihood of insider risk alerts and alerts with higher severity levels.

Impostazioni di priorità del gruppo di utenti prioritari di gestione dei rischi

Ad esempio, è necessario proteggersi dalle perdite di dati per un progetto estremamente riservato, in cui gli utenti possono accedere alle informazioni riservate.For example, you need to protect against data leaks for a highly confidential project where users have access to sensitive information. Si sceglie di creare un gruppo di utenti prioritario di un utente di Project riservato per gli utenti dell'organizzazione che lavorano su questo progetto.You choose to create Confidential Project Users priority user group for users in your organization that work on this project. Se si utilizza la creazione guidata criteri e le perdite di dati per il modello di criteri degli utenti prioritari , è possibile creare un nuovo criterio e assegnare il gruppo di utenti prioritari per gli utenti di progetto riservato al criterio.Using the policy wizard and the Data leaks by priority users policy template, you create a new policy and assign the Confidential Project Users priority users group to the policy. Le attività esaminate dal criterio per i membri del gruppo di utenti prioritari di Project riservata agli utente sono più sensibili ai rischi e alle attività da parte di questi utenti avranno maggiori probabilità di generare un avviso e di avere avvisi con livelli di gravità superiori.Activities examined by the policy for members of the Confidential Project Users priority user group are more sensitive to risk and activities by these users will be more likely to generate an alert and have alerts with higher severity levels.

Creare un gruppo di utenti prioritariCreate a priority user group

Per creare un nuovo gruppo di utenti prioritari, verranno utilizzati i controlli di impostazione nella soluzione di gestione dei rischi Insider nel centro conformità di Microsoft 365.To create a new priority user group, you'll use setting controls in the Insider risk management solution in the Microsoft 365 compliance center. Per creare un gruppo di utenti prioritari, è necessario essere membri del gruppo di ruoli amministratore Insider Risk Management o Insider Management .To create a priority user group, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group.

Completare la procedura seguente per creare un gruppo di utenti prioritari:Complete the following steps to create a priority user group:

  1. Nel centro conformità di Microsoft 365, accedere a gestione dei rischi Insider e selezionare impostazioni di rischio Insider.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings.
  2. Selezionare la scheda gruppi di utenti prioritariSelect the Priority user groups tab
  3. Nella scheda gruppi di utenti prioritari selezionare Crea gruppo utenti prioritari per avviare la creazione guidata gruppo.On the Priority user groups tab, select Create priority user group to start the group creation wizard.
  4. Nella pagina Definisci gruppo , completare i seguenti campi:On the Define group page, complete the following fields:
    • Nome (obbligatorio): immettere un nome descrittivo per il gruppo di utenti prioritari.Name (required): Enter a friendly name for the priority user group. Non è possibile modificare il nome del gruppo di utenti prioritari dopo aver completato la procedura guidata.You can't change the name of the priority user group after you complete the wizard.
    • Description (facoltativo): immettere una descrizione per il gruppo di utenti prioritari.Description (optional): Enter a description for the priority user group.
  5. Fare clic su Avanti per continuare.Select Next to continue.
  6. Nella pagina Scegli membri selezionare Seleziona membri da cercare e selezionare gli account utente abilitati alla posta elettronica inclusi nel gruppo oppure selezionare la casella di controllo Seleziona tutto per aggiungere tutti gli utenti dell'organizzazione al gruppo.On the Choose members page, select Choose members to search and select which mail-enabled user accounts are included in the group or select the Select all checkbox to add all users in your organization to the group. Fare clic su Aggiungi per continuare o su Annulla per chiudere senza aggiungere utenti al gruppo.Select Add to continue or Cancel to close without adding any users to the group.
  7. Fare clic su Avanti per continuare.Select Next to continue.
  8. Nella pagina Revisione rivedere le impostazioni selezionate per il gruppo di utenti prioritari.On the Review page, review the settings you've chosen for the priority user group. Selezionare modifica per modificare qualsiasi valore del gruppo o selezionare Invia per creare e attivare il gruppo di utenti prioritari.Select Edit to change any of the group values or select Submit to create and activate the priority user group.
  9. Nella pagina conferma, fare clic su fine per uscire dalla procedura guidata.On the confirmation page, select Done to exit the wizard.

Aggiornare un gruppo di utenti prioritariUpdate a priority user group

Per aggiornare un gruppo di utenti prioritari esistente, è possibile utilizzare l'impostazione dei controlli nella soluzione di gestione dei rischi Insider nel centro conformità di Microsoft 365.To update an existing priority user group, you'll use setting controls in the Insider risk management solution in the Microsoft 365 compliance center. Per aggiornare un gruppo di utenti prioritari, è necessario essere membri del gruppo di ruoli amministratore Insider Risk Management o Insider Management .To update a priority user group, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group.

Completare la procedura seguente per modificare un gruppo di utenti prioritari:Complete the following steps to edit a priority user group:

  1. Nel centro conformità di Microsoft 365, accedere a gestione dei rischi Insider e selezionare impostazioni di rischio Insider.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings.
  2. Selezionare la scheda gruppi di utenti prioritariSelect the Priority user groups tab
  3. Selezionare il gruppo di utenti prioritari che si desidera modificare e selezionare modifica gruppo.Select the priority user group you want to edit and select Edit group.
  4. Nella pagina Definisci gruppo , aggiornare il campo Descrizione, se necessario.On the Define group page, update the Description field if needed. Non è possibile aggiornare il nome del gruppo di utenti prioritari.You can't update the name of the priority user group. Fare clic su Avanti per continuare.Select Next to continue.
  5. Nella pagina Scegli membri aggiungere nuovi membri al gruppo utilizzando il controllo Scegli membri .On the Choose members page, add new members to the group using the Choose members control. Per rimuovere un utente dal gruppo, selezionare là X ' accanto all'utente che si desidera rimuovere.To remove a user from the group, select the 'X' next to the user you wish to remove. Fare clic su Avanti per continuare.Select Next to continue.
  6. Nella pagina Revisione , esaminare le impostazioni di aggiornamento selezionate per il gruppo di utenti prioritari.On the Review page, review the update settings you've chosen for the priority user group. Selezionare modifica per modificare qualsiasi valore del gruppo o selezionare Invia per aggiornare il gruppo di utenti prioritari.Select Edit to change any of the group values or select Submit to update the priority user group.
  7. Nella pagina conferma, fare clic su fine per uscire dalla procedura guidata.On the confirmation page, select Done to exit the wizard.

Eliminare un gruppo di utenti prioritariDelete a priority user group

Per eliminare un gruppo di utenti prioritari esistente, è possibile utilizzare l'impostazione dei controlli nella soluzione di gestione dei rischi Insider nel centro conformità di Microsoft 365.To delete an existing priority user group, you'll use setting controls in the Insider risk management solution in the Microsoft 365 compliance center. Per eliminare un gruppo di utenti prioritari, è necessario essere membri del gruppo di ruoli amministratore Insider Risk Management o Insider Management .To delete a priority user group, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group.

Importante

L'eliminazione di un gruppo di utenti prioritari lo rimuove da qualsiasi criterio attivo a cui è assegnato.Deleting a priority user group will remove it from any active policy to which it is assigned. Se si elimina un gruppo di utenti prioritari assegnato a un criterio attivo, il criterio non conterrà alcun utente nell'ambito e sarà effettivamente inattivo e non creerà avvisi.If you delete a priority user group that is assigned to an active policy, the policy will not contain any in-scope users and will effectively be idle and will not create alerts.

Completare la procedura seguente per eliminare un gruppo di utenti prioritari:Complete the following steps to delete a priority user group:

  1. Nel centro conformità di Microsoft 365, accedere a gestione dei rischi Insider e selezionare impostazioni di rischio Insider.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings.
  2. Selezionare la scheda gruppi di utenti prioritariSelect the Priority user groups tab
  3. Selezionare il gruppo di utenti prioritari che si desidera modificare e selezionare Elimina dal menu del dashboard.Select the priority user group you want to edit and select Delete from the dashboard menu.
  4. Nella finestra di dialogo Elimina fare clic su per eliminare il gruppo di utenti prioritari o su Annulla per tornare al dashboard.On the Delete dialog, select Yes to delete the priority user group or select Cancel to return to the dashboard.

Risorse fisiche prioritarie (anteprima)Priority physical assets (preview)

L'identificazione dell'accesso alle risorse fisiche prioritarie e la correlazione dell'attività di accesso agli eventi degli utenti è un componente importante dell'infrastruttura di conformità.Identifying access to priority physical assets and correlating access activity to user events is an important component of your compliance infrastructure. Tali risorse fisiche rappresentano le posizioni prioritarie nell'organizzazione, ad esempio edifici aziendali, Data Center o sale server.These physical assets represent priority locations in your organization, such as company buildings, data centers, or server rooms. Le attività di rischio Insider possono essere associate a utenti che lavorano in ore inusuali, tentando di accedere a queste aree non autorizzate sensibili o sicure e le richieste di accesso a aree di alto livello senza necessità legittime.Insider risk activities may be associated with users working unusual hours, attempting to access these unauthorized sensitive or secure areas, and requests for access to high-level areas without legitimate needs.

Con le risorse fisiche prioritarie abilitate e il connettore di dati fisico di badging configurato, la gestione dei rischi Insider integra i segnali provenienti dai sistemi di controllo fisico e di accesso con altre attività a rischio utente.With priority physical assets enabled and the Physical badging data connector configured, insider risk management integrates signals from your physical control and access systems with other user risk activities. Esaminando i modelli di comportamento tra i sistemi di accesso fisico e la correlazione di tali attività con altri eventi di rischio Insider, la gestione dei rischi Insider può aiutare gli inquirenti e gli analisti a prendere decisioni di risposta più informate sugli avvisi.By examining patterns of behavior across physical access systems and correlating these activities with other insider risk events, insider risk management can help compliance investigators and analysts make more informed response decisions for alerts. L'accesso alle risorse fisiche prioritarie è segnato e identificato in modo diverso dall'accesso a risorse non prioritarie.Access to priority physical assets are scored and identified in insights differently from access to non-priority assets.

Ad esempio, l'organizzazione dispone di un sistema di badging per gli utenti che monitorano e approvano l'accesso fisico alle normali aree di lavoro e di progetto sensibili.For example, your organization has a badging system for users that monitors and approves physical access to normal working and sensitive project areas. Si dispone di più utenti che lavorano su un progetto sensibile e questi utenti torneranno ad altre aree dell'organizzazione al termine del progetto.You have several users working on a sensitive project and these users will return to other areas of your organization when the project is completed. Dopo il completamento del progetto sensibile, è necessario assicurarsi che il lavoro del progetto rimanga riservato e che l'accesso alle aree del progetto sia strettamente controllato.As the sensitive project nears completion, you want to make sure that the project work remains confidential and that access to the project areas is tightly controlled.

È possibile scegliere di abilitare il connettore dati fisico di badging in Microsoft 365 per importare le informazioni di accesso dal sistema di badging fisico e specificare le risorse fisiche prioritarie nella gestione dei rischi Insider.You choose to enable the Physical badging data connector in Microsoft 365 to import access information from your physical badging system and specify priority physical assets in insider risk management. Importando informazioni dal sistema badging e correlando le informazioni di accesso fisico ad altre attività a rischio identificate in gestione dei rischi Insider, si noterà che uno degli utenti del progetto sta accedendo agli uffici progetti dopo l'orario di lavoro normale ed esporta anche grandi quantità di dati in un servizio di archiviazione cloud personale dall'area di lavoro normale.By importing information from your badging system and correlating physical access information with other risk activities identified in insider risk management, you notice that one of the users on the project is accessing the project offices after normal working hours and is also exporting large amounts of data to a personal cloud storage service from their normal work area. Questa attività di accesso fisico associata all'attività online può indicare possibili furti di dati e ricercatori di conformità e gli analisti possono intraprendere azioni appropriate come indicato dalle circostanze per questo utente.This physical access activity associated with the online activity may point to possible data theft and compliance investigators and analysts can take appropriate actions as dictated by the circumstances for this user.

Configurare le risorse fisiche prioritarieConfigure priority physical assets

Per configurare le risorse fisiche prioritarie, è necessario configurare il connettore fisico di badging e utilizzare l'impostazione dei controlli nella soluzione di gestione dei rischi Insider nel centro conformità di Microsoft 365.To configure priority physical assets, you'll configure the Physical badging connector and use setting controls in the Insider risk management solution in the Microsoft 365 compliance center. Per configurare le risorse fisiche prioritarie, è necessario essere membri del gruppo di ruoli amministratore Insider Risk Management o Insider Management.To configure priority physical assets, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group.

Completare la procedura seguente per configurare le risorse fisiche prioritarie:Complete the following steps to configure priority physical assets:

  1. Seguire i passaggi di configurazione per la gestione dei rischi Insider nell'articolo Guida introduttiva ai rischi Insider Management .Follow the configuration steps for insider risk management in the Getting started with insider risk management article. Nel passaggio 3, verificare di aver configurato il connettore fisico di badging.In Step 3, make sure you configure the Physical badging connector.

    Importante

    Per i criteri di gestione dei rischi Insider per l'utilizzo e la correlazione dei dati del segnale relativi agli utenti che partono e terminano con i dati degli eventi dalle piattaforme di controllo e accesso fisico, è necessario configurare anche il connettore Microsoft 365 HR.For insider risk management policies to use and correlate signal data related to departing and terminated users with event data from your physical control and access platforms, you must also configure the Microsoft 365 HR connector. Se si Abilita il connettore fisico di badging senza abilitare il connettore Microsoft 365 HR, i criteri di gestione dei rischi Insider elaborerà solo gli eventi per le attività di accesso fisico per gli utenti dell'organizzazione.If you enable the Physical badging connector without enabling the Microsoft 365 HR connector, insider risk management policies will only process events for physical access activities for users in your organization.

  2. Nel centro conformità Microsoft 365, accedere a gestione dei rischi Insider e selezionare risorse fisiche prioritarie priorità delle impostazioni di rischio Insider > Priority physical assets.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings > Priority physical assets.

  3. Nella pagina risorse fisiche prioritarie è possibile aggiungere manualmente gli ID di risorsa fisica che si desidera monitorare per gli eventi patrimoniali importati dal connettore badging fisico o importare un. File CSV di tutti gli ID risorse fisiche importati dal connettore badging fisico: a) per aggiungere manualmente gli ID risorse fisiche, scegliere Aggiungi risorse fisiche prioritarie, immettere un ID risorsa fisica e quindi fare clic su Aggiungi.On the Priority physical assets page, you can either manually add the physical asset IDs you want to monitor for the asset events imported by the Physical badging connector or import a .CSV file of all physical assets IDs imported by the Physical badging connector: a) To manually add physical assets IDs, choose Add priority physical assets, enter a physical asset ID, then select Add. Immettere ulteriori ID asset fisici e quindi selezionare Aggiungi risorse fisiche prioritarie per salvare tutti gli asset immessi.Enter additional physical asset IDs and then select Add priority physical assets to save all the assets entered. b) per aggiungere un elenco di ID asset fisici da a. File CSV, scegliere Importa risorse fisiche prioritarie.b) To add a list of physical asset IDs from a .CSV file, choose Import priority physical assets. Nella finestra di dialogo Esplora file selezionare il. File CSV che si desidera importare, quindi selezionare Apri.From the file explorer dialog, select the .CSV file you wish to import, then select Open. Gli ID delle risorse fisiche del. I file CSV vengono aggiunti all'elenco.The physical asset IDs from the .CSV files are added to the list.

  4. Passare alla scheda indicatori dei criteri in impostazioni.Navigate to the Policy indicators tab in Settings.

  5. Nella pagina indicatori di criteri , passare alla sezione indicatori di accesso fisico e selezionare la casella di controllo per l' accesso fisico dopo la terminazione o l'accesso non riuscito a Asset riservati.On the Policy indicators page, navigate to the Physical access indicators section and select the checkbox for Physical access after termination or failed access to sensitive asset.

  6. Selezionare Salva per configurare ed uscire.Select Save to configure and exit.

Eliminare una risorsa fisica prioritariaDelete a priority physical asset

Per eliminare una risorsa fisica prioritaria esistente, è possibile utilizzare l'impostazione dei controlli nella soluzione di gestione dei rischi Insider nel centro conformità di Microsoft 365.To delete an existing priority physical asset, you'll use setting controls in the Insider risk management solution in the Microsoft 365 compliance center. Per eliminare una risorsa fisica prioritaria, è necessario essere membri del gruppo di ruoli amministratore Insider Risk Management o insider Management.To delete a priority physical asset, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group.

Importante

L'eliminazione di una risorsa fisica prioritaria la rimuove dall'esame da qualsiasi criterio attivo a cui era stato precedentemente incluso.Deleting a priority physical asset removes it from examination by any active policy to which it was previously included. Gli avvisi generati da attività associate alla risorsa fisica prioritaria non vengono eliminati.Alerts generated by activities associated with the priority physical asset aren't deleted.

Completare la procedura seguente per eliminare una risorsa fisica prioritaria:Complete the following steps to delete a priority physical asset:

  1. Nel centro conformità Microsoft 365, accedere a gestione dei rischi Insider e selezionare risorse fisiche prioritarie priorità delle impostazioni di rischio Insider > Priority physical assets.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings > Priority physical assets.
  2. Nella pagina risorse fisiche prioritarie selezionare il bene che si desidera eliminare.On the Priority physical assets page, select the asset you want to delete.
  3. Scegliere Elimina dal menu azione per eliminare il bene.Select Delete on the action menu to delete the asset.

Flussi automatizzati di alimentazione (anteprima)Power Automate flows (preview)

Microsoft Power automatizzate è un servizio di flusso di lavoro che automatizza le azioni tra le applicazioni e i servizi.Microsoft Power Automate is a workflow service that automates actions across applications and services. Utilizzando flussi provenienti da modelli o creati manualmente, è possibile automatizzare le attività comuni associate a queste applicazioni e servizi.By using flows from templates or created manually, you can automate common tasks associated with these applications and services. Quando si abilitano i flussi automatici di alimentazione per la gestione dei rischi Insider, è possibile automatizzare le attività importanti per i casi e gli utenti.When you enable Power Automate flows for insider risk management, you can automate important tasks for cases and users. È possibile configurare i flussi automatici di alimentazione per recuperare informazioni sugli utenti, gli avvisi e i casi e condividere queste informazioni con le parti interessate e altre applicazioni, nonché automatizzare le azioni in gestione dei rischi Insider, ad esempio la pubblicazione di note di caso.You can configure Power Automate flows to retrieve user, alert, and case information and share this information with stakeholders and other applications, as well as automate actions in insider risk management, such as posting to case notes. I flussi automatici di alimentazione sono applicabili per i casi e per qualsiasi utente nell'ambito di un criterio.Power Automate flows are applicable for cases and any user in scope for a policy.

I clienti con abbonamenti Microsoft 365 che includono la gestione dei rischi insider non necessitano di ulteriori licenze di automatizzazione dell'alimentazione per utilizzare i modelli di automatizzazione di Power Management dei rischi consigliati.Customers with Microsoft 365 subscriptions that include insider risk management do not need additional Power Automate licenses to use the recommended insider risk management Power Automate templates. Questi modelli possono essere personalizzati per supportare l'organizzazione e coprire gli scenari di gestione dei rischi Insider core.These templates can be customized to support your organization and cover core insider risk management scenarios. Se si sceglie di utilizzare le funzionalità di automatizzazione di Power Premium in questi modelli, creare un modello personalizzato utilizzando il connettore di conformità di Microsoft 365 o utilizzare i modelli Power Automate per altre aree di conformità in Microsoft 365, potrebbe essere necessario disporre di licenze aggiuntive per automatizzare la potenza.If you choose to use premium Power Automate features in these templates, create a custom template using the Microsoft 365 compliance connector, or use Power Automate templates for other compliance areas in Microsoft 365, you may need additional Power Automate licenses.

Importante

Vengono ricevute richieste per la convalida di una licenza aggiuntiva quando si verifica il flusso di energia automatizzata?Are you receiving prompts for additional license validation when testing Power Automate flows? È possibile che l'organizzazione non abbia ancora ricevuto gli aggiornamenti del servizio per questa funzionalità di anteprima.Your organization may not have received service updates for this preview feature yet. Gli aggiornamenti vengono distribuiti e tutte le organizzazioni con abbonamenti Microsoft 365 che includono la gestione dei rischi Insider devono disporre del supporto delle licenze per i flussi creati con i modelli di automatizzazione di alimentazione consigliati entro il 30 ottobre 2020.Updates are being deployed and all organizations with Microsoft 365 subscriptions that include insider risk management should have license support for flows created from the recommended Power Automate templates by October 30, 2020.

I seguenti modelli di automatizzazione dei poteri vengono forniti ai clienti per supportare l'automazione dei processi per gli utenti e i casi di gestione del rischio Insider:The following Power Automate templates are provided to customers to support process automation for insider risk management users and cases:

  • Informare gli utenti quando vengono aggiunti a un criterio di rischio Insider: questo modello è per le organizzazioni che dispongono di criteri interni, privacy o requisiti normativi che gli utenti devono ricevere una notifica quando sono soggetti a criteri di gestione dei rischi Insider.Notify users when they're added to an insider risk policy: This template is for organizations that have internal policies, privacy, or regulatory requirements that users must be notified when they are subject to insider risk management policies. Quando questo flusso è configurato e selezionato per un utente nella pagina utenti, gli utenti e i loro manager ricevono un messaggio di posta elettronica quando l'utente viene aggiunto a un criterio di gestione dei rischi Insider.When this flow is configured and selected for a user in the users page, users and their managers are sent an email message when the user is added to an insider risk management policy. Questo modello supporta anche l'aggiornamento di un elenco di SharePoint ospitato in un sito di SharePoint per consentire di tenere presenti i dettagli dei messaggi di notifica come data/ora e il destinatario del messaggio.This template also supports updating a SharePoint list hosted on a SharePoint site to help track notification message details like date/time and the message recipient. Se si è scelto di anonimizzare gli utenti in impostazioni di privacy, i flussi creati da questo modello non funzioneranno come previsto in modo che la privacy degli utenti venga mantenuta.If you've chosen to anonymize users in Privacy settings, flows created from this template will not function as intended so that user privacy is maintained. I flussi automatici di alimentazione con questo modello sono disponibili nel dashboard degli utenti.Power Automate flows using this template are available on the Users dashboard.

  • Richiedere informazioni da HR o business su un utente in un caso di rischio Insider: quando si agisce su un caso, gli analisti e gli investigatori del rischio Insider possono dover consultare HR o altre parti interessate per comprendere il contesto delle attività del caso.Request information from HR or business about a user in an insider risk case: When acting on a case, insider risk analysts and investigators may need to consult with HR or other stakeholders to understand the context of the case activities. Quando questo flusso è configurato e selezionato per un caso, gli analisti e gli investigatori inviano un messaggio di posta elettronica alle parti interessate HR e business configurate per questo flusso.When this flow is configured and selected for a case, analysts and investigators send an email message to HR and business stakeholders configured for this flow. Ogni destinatario viene inviato un messaggio con opzioni di risposta preconfigurate o personalizzabili.Each recipient is sent a message with pre-configured or customizable response options. Quando i destinatari selezionano un'opzione di risposta, la risposta viene registrata come nota del caso e include informazioni su destinatario e data/ora.When recipients select a response option, the response is recorded as a case note and includes recipient and date/time information. Se si è scelto di anonimizzare gli utenti in impostazioni di privacy, i flussi creati da questo modello non funzioneranno come previsto in modo che la privacy degli utenti venga mantenuta.If you've chosen to anonymize users in Privacy settings, flows created from this template will not function as intended so that user privacy is maintained. I flussi automatici di alimentazione con questo modello sono disponibili nel dashboard dei casi.Power Automate flows using this template are available on the Cases dashboard.

  • Gestione notifiche quando un utente dispone di un avviso di rischio Insider: alcune organizzazioni potrebbero dover avere una notifica di gestione immediata quando un utente dispone di un avviso di gestione dei rischi Insider.Notify manager when a user has an insider risk alert: Some organizations may need to have immediate management notification when a user has an insider risk management alert. Quando questo flusso è configurato e selezionato, il responsabile dell'utente del caso viene inviato un messaggio di posta elettronica con le seguenti informazioni su tutti gli avvisi di caso:When this flow is configured and selected, the manager for the case user is sent an email message with the following information about all case alerts:

    • Criterio applicabile per l'avvisoApplicable policy for the alert
    • Data/ora dell'avvisoDate/Time of the alert
    • Livello di gravità dell'avvisoSeverity level of the alert

    Il flusso aggiorna automaticamente le note del caso in cui il messaggio è stato inviato e che il flusso è stato attivato.The flow automatically updates the case notes that the message was sent and that the flow was activated. Se si è scelto di anonimizzare gli utenti in impostazioni di privacy, i flussi creati da questo modello non funzioneranno come previsto in modo che la privacy degli utenti venga mantenuta.If you've chosen to anonymize users in Privacy settings, flows created from this template will not function as intended so that user privacy is maintained. I flussi automatici di alimentazione con questo modello sono disponibili nel dashboard dei casi.Power Automate flows using this template are available on the Cases dashboard.

  • Aggiungere un promemoria del calendario per il follow-up di un caso di rischio Insider: questo modello consente agli investigatori e agli analisti del rischio di aggiungere promemoria del calendario per i casi al calendario di Office 365 Outlook.Add calendar reminder to follow up on an insider risk case: This template allows risk investigators and analysts to add calendar reminders for cases to their Office 365 Outlook calendar. Questo flusso Elimina la necessità per gli utenti di uscire o di disattivare il flusso di lavoro di gestione dei rischi Insider quando si elaborano i casi e gli avvisi di Triaging.This flow eliminates the need for users to exit or switch out of the insider risk management workflow when processing cases and triaging alerts. Quando questo flusso è configurato e selezionato, viene aggiunto un promemoria al calendario di Outlook di Office 365 per l'utente che esegue il flusso.When this flow is configured and selected, a reminder is added to Office 365 Outlook calendar for the user running the flow. I flussi automatici di alimentazione con questo modello sono disponibili nel dashboard dei casi.Power Automate flows using this template are available on the Cases dashboard.

Creare un flusso automatico di alimentazione automatizzato dal modello di gestione dei rischi InsiderCreate a Power Automate flow from insider risk management template

Per creare un flusso di automatizzazione di potenza da un modello consigliato di gestione dei rischi Insider, è possibile utilizzare i controlli delle impostazioni nella soluzione di gestione dei rischi Insider nel centro conformità Microsoft 365 o l'opzione Gestisci flussi automatici di alimentazione dal controllo automatizzare quando si lavora direttamente nei dashboard dei casi o degli utenti.To create a Power Automate flow from a recommended insider risk management template, you'll use the settings controls in the Insider risk management solution in the Microsoft 365 compliance center or the Manage Power Automate flows option from the Automate control when working directly in the Cases or Users dashboards.

Per creare un flusso di automazione dell'alimentazione nell'area delle impostazioni, è necessario essere membri del gruppo di ruoli amministratore di gestione dei rischi Insider Management o Insider Management .To create a Power Automate flow in the settings area, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group. Per creare un flusso automatico di alimentazione automatizzato con l'opzione Gestisci flussi automatici di alimentazione , è necessario essere membri di almeno un gruppo di ruoli di gestione dei rischi Insider.To create a Power Automate flow with the Manage Power Automate flows option, you must be a member of at least one insider risk management role group.

Completare la procedura seguente per creare un flusso di automatizzazione Power da un modello consigliato di gestione dei rischi Insider:Complete the following steps to create a Power Automate flow from a recommended insider risk management template:

  1. Nel centro conformità di Microsoft 365, accedere a gestione dei rischi Insider e selezionare Impostazioni rischi Insider > Powers automatizzare i flussi.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings > Power Automate flows. È inoltre possibile accedere alle pagine dashboard dei casi o degli utenti scegliendo automatizza > Gestione flussi automatici di alimentazione.You can also access from the Cases or Users dashboards pages by choosing Automate > Manage Power Automate flows.
  2. Sulla pagina flussi automatici di alimentazione selezionare un modello consigliato dai modelli di gestione dei rischi insider come sezione della pagina.On the Power Automate flows page, select a recommended template from the Insider risk management templates you may like section on the page.
  3. Il flusso elenca le connessioni incorporate necessarie per il flusso e noterà se lo stato della connessione è disponibile.The flow lists the embedded connections needed for the flow and will note if the connection statuses are available. Se necessario, aggiornare tutte le connessioni che non vengono visualizzate come disponibili.If needed, update any connections that aren't displayed as available. Selezionare continua.Select Continue.
  4. Per impostazione predefinita, i flussi consigliati sono preconfigurati con i campi dati del servizio di gestione dei rischi Insider consigliati e Microsoft 365 necessari per completare l'attività assegnata per il flusso.By default, the recommended flows are pre-configured with the recommended insider risk management and Microsoft 365 service data fields required to complete the assigned task for the flow. Se necessario, personalizzare i componenti del flusso utilizzando il controllo Mostra opzioni avanzate e configurando le proprietà disponibili per il componente di flusso.If needed, customize the flow components by using the Show advanced options control and configuring the available properties for the flow component.
  5. Se necessario, aggiungere eventuali passaggi aggiuntivi al flusso selezionando il pulsante nuovo passaggio .If needed, add any additional steps to the flow by selecting the New step button. Nella maggior parte dei casi, non dovrebbe essere necessario per i modelli predefiniti consigliati.In most cases, this should not be needed for the recommended default templates.
  6. Selezionare Save Draft per salvare il flusso per ulteriori configurazioni oppure selezionare Salva per completare la configurazione del flusso.Select Save draft to save the flow for further configuration or select Save to complete the configuration for the flow.
  7. Selezionare Chiudi per tornare alla pagina del flusso Power automatizzate .Select Close to return to the Power Automate flow page. Il nuovo modello verrà elencato come flusso nelle schede My Flows ed è automaticamente disponibile dal controllo DropDown automatizzato quando si utilizzano i casi di gestione dei rischi Insider per l'utente che crea il flusso.The new template will be listed as a flow on the My flows tabs and is automatically available from the Automate dropdown control when working with insider risk management cases for the user creating the flow.

Importante

Se altri utenti dell'organizzazione devono accedere al flusso, è necessario che il flusso sia condiviso.If other users in your organization need access to the flow, the flow must be shared.

Creare un flusso di automatizzazione del potere personalizzato per la gestione dei rischi InsiderCreate a custom Power Automate flow for insider risk management

Alcuni processi e flussi di lavoro per l'organizzazione possono essere esterni ai modelli di flusso di gestione dei rischi Insider consigliati e potrebbe essere necessario creare flussi automatici di alimentazione automatizzati personalizzati per le aree di gestione dei rischi Insider.Some processes and workflows for your organization may be outside of the recommended insider risk management flow templates and you may have the need to create custom Power Automate flows for insider risk management areas. I flussi automatici di alimentazione sono flessibili e supportano una personalizzazione estesa, ma sono necessari alcuni passaggi per l'integrazione con le funzionalità di gestione dei rischi Insider.Power Automate flows are flexible and support extensive customization, but there are steps that need to be taken to integrate with insider risk management features.

Completare la procedura seguente per creare un modello personalizzato Power automatizzate per la gestione dei rischi Insider:Complete the following steps to create a custom Power Automate template for insider risk management:

  1. Controllare la licenza per il flusso Power Automate: per creare flussi di automatizzazione di alimentazione personalizzati che utilizzano trigger di gestione dei rischi Insider, è necessaria una licenza di automatizzazione del potere.Check your Power Automate flow license: To create customized Power Automate flows that use insider risk management triggers, you'll need a Power Automate license. I modelli di flusso di gestione dei rischi Insider consigliati non richiedono licenze aggiuntive e sono inclusi come parte della licenza di gestione dei rischi Insider.The recommended insider risk management flow templates do not require additional licensing and are included as part of your insider risk management license.
  2. Creare un flusso automatizzato: creare un flusso che esegua una o più attività dopo la sua attivazione da parte di un evento di gestione dei rischi Insider.Create an automated flow: Create a flow that performs one or more tasks after it's triggered by an insider risk management event. Per informazioni dettagliate su come creare un flusso automatizzato, vedere Create a Flow in Powerautomatizzate.For details on how to create an automated flow, see Create a flow in Power Automate.
  3. Selezionare il connettore di conformità microsoft 365: cercare e selezionare il connettore di conformità di Microsoft 365.Select the Microsoft 365 compliance connector: Search for and select the Microsoft 365 compliance connector. Questo connettore attiva i trigger e le azioni di gestione dei rischi Insider.This connector enables insider risk management triggers and actions. Per ulteriori informazioni sui connettori, vedere l'articolo relativo alla Panoramica dei riferimenti del connettore .For more information on connectors, see the Connector reference overview article.
  4. Scegliere trigger di gestione dei rischi Insider per il flusso: lagestione dei rischi Insider dispone di due trigger disponibili per flussi automatizzati di alimentazione automatici:Choose insider risk management triggers for your flow: Insider risk management has two triggers available for custom Power Automate flows:
    • Per un caso di gestione dei rischi Insider selezionati: i flussi con questo trigger possono essere selezionati dalla pagina del dashboard dei casi di gestione dei rischi Insider.For a selected insider risk management case: Flows with this trigger can be selected from the insider risk management Cases dashboard page.
    • Per un utente selezionato di gestione dei rischi Insider: i flussi con questo trigger possono essere selezionati dalla pagina dashboard utenti di gestione dei rischi Insider Management.For a selected insider risk management user: Flows with this trigger can be selected from the insider risk management Users dashboard page.
  5. Scegliere azioni di gestione dei rischi Insider per il flusso: è possibile scegliere tra diverse azioni per la gestione dei rischi Insider da includere nel flusso personalizzato:Choose insider risk management actions for your flow: You can choose from several actions for insider risk management to include in your custom flow:
    • Ottenere avvisi di gestione dei rischi InsiderGet insider risk management alert
    • Ottenere il caso di gestione dei rischi InsiderGet insider risk management case
    • Ottenere un utente di gestione dei rischi InsiderGet insider risk management user
    • Ottenere avvisi di gestione dei rischi Insider per un casoGet insider risk management alerts for a case
    • Aggiungere una nota caso di gestione del rischio InsiderAdd insider risk management case note

Condividere un flusso automatico di alimentazione automatizzatoShare a Power Automate flow

Per impostazione predefinita, i flussi automatici di potenza creati da un utente sono disponibili solo per l'utente.By default, Power Automate flows created by a user are only available to that user. Per gli altri utenti di gestione dei rischi Insider di avere accesso e utilizzare un flusso, il flusso deve essere condiviso dal creatore del flusso.For other insider risk management users to have access and use a flow, the flow must be shared by the flow creator. Per condividere un flusso, è possibile utilizzare i controlli delle impostazioni nella soluzione di gestione dei rischi Insider nel centro conformità di Microsoft 365 o nell'opzione Gestisci flussi automatici di alimentazione dal controllo automatizzare quando si lavora direttamente nelle pagine del dashboard dei casi o degli utenti .To share a flow, you'll use the settings controls in the Insider risk management solution in the Microsoft 365 compliance center or the Manage Power Automate flows option from the Automate control when working directly in the Cases or Users dashboard pages. Dopo aver condiviso un flusso, tutti gli utenti con cui è stato condiviso possono accedere al flusso nell'elenco a discesa automatizza controllo nel caso e nei dashboard utente.Once you have shared a flow, everyone who it has been shared with can access the flow in the Automate control dropdown in the Case and User dashboards.

Per condividere un flusso di automazione dell'alimentazione nell'area delle impostazioni, è necessario essere membri del gruppo di ruoli amministratore di gestione dei rischi Insider Management o Insider Management .To share a Power Automate flow in the settings area, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group. Per condividere un flusso automatico di alimentazione automatizzato con l'opzione Gestisci flussi automatici di alimentazione , è necessario essere membri di almeno un gruppo di ruoli di gestione dei rischi Insider.To share a Power Automate flow with the Manage Power Automate flows option, you must be a member of at least one insider risk management role group.

Completare la procedura seguente per condividere un flusso Power automatizzate:Complete the following steps to share a Power Automate flow:

  1. Nel centro conformità di Microsoft 365, accedere a gestione dei rischi Insider e selezionare Impostazioni rischi Insider > Powers automatizzare i flussi.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings > Power Automate flows. È inoltre possibile accedere alle pagine dashboard dei casi o degli utenti scegliendo automatizza > Gestione flussi automatici di alimentazione.You can also access from the Cases or Users dashboards pages by choosing Automate > Manage Power Automate flows.
  2. Sulla pagina flussi automatici di alimentazione selezionare la scheda flussi personali o flussi di Team .On the Power Automate flows page, select the My flows or Team flows tab.
  3. Selezionare il flusso da condividere e quindi scegliere Condividi dal menu Opzioni flusso.Select the flow to share, then select Share from the flow options menu.
  4. Nella pagina condivisione flusso, immettere il nome dell'utente o del gruppo che si desidera aggiungere come proprietario per il flusso.On the flow sharing page, enter the name of the user or group you want to add as an owner for the flow.
  5. Nella finestra di dialogo connessione utilizzata , selezionare OK per confermare che l'utente o il gruppo aggiunto avrà accesso completo al flusso.On the Connection Used dialog, select OK to acknowledge that the added user or group will have full access to the flow.

Modificare un flusso Power automatizzateEdit a Power Automate flow

Per modificare un flusso, è possibile utilizzare i controlli delle impostazioni nella soluzione di gestione dei rischi Insider nel centro conformità di Microsoft 365 o nell'opzione Gestisci flussi automatici di alimentazione dal controllo automatizzare quando si lavora direttamente nei dashboard dei casi o degli utenti.To edit a flow, you'll use the settings controls in the Insider risk management solution in the Microsoft 365 compliance center or the Manage Power Automate flows option from the Automate control when working directly in the Cases or Users dashboards.

Per modificare un flusso automatico di alimentazione nell'area delle impostazioni, è necessario essere membri del gruppo di ruoli amministratore di gestione dei rischi Insider Management o Insider Management .To edit a Power Automate flow in the settings area, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group. Per modificare un flusso automatico di alimentazione con l'opzione Gestisci flussi automatici di alimentazione , è necessario essere membri di almeno un gruppo di ruoli di gestione dei rischi Insider.To edit a Power Automate flow with the Manage Power Automate flows option, you must be a member of at least one insider risk management role group.

Completare la procedura seguente per modificare un flusso Power automatizzate:Complete the following steps to edit a Power Automate flow:

  1. Nel centro conformità di Microsoft 365, accedere a gestione dei rischi Insider e selezionare Impostazioni rischi Insider > Powers automatizzare i flussi.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings > Power Automate flows. È inoltre possibile accedere alle pagine dashboard dei casi o degli utenti scegliendo automatizza > Gestione flussi automatici di alimentazione.You can also access from the Cases or Users dashboards pages by choosing Automate > Manage Power Automate flows.
  2. Sulla pagina flussi automatici di alimentazione selezionare un flusso da modificare e scegliere modifica dal menu controllo flusso.On the Power Automate flows page, select a flow to edit and select Edit from the flow control menu.
  3. Selezionare le impostazioni dei puntini > Settings di sospensione per modificare un'impostazione del componente di flusso o l'eliminazione con puntini > Delete per eliminare un componente di flussoSelect the ellipsis > Settings to change a flow component setting or ellipsis > Delete to delete a flow component.
  4. Selezionare Salva e quindi Chiudi per completare la modifica del flusso.Select Save and then Close to complete editing the flow.

Eliminare un flusso Power automatizzateDelete a Power Automate flow

Per eliminare un flusso, è possibile utilizzare i controlli delle impostazioni nella soluzione di gestione dei rischi Insider nel centro conformità di Microsoft 365 o nell'opzione Gestisci flussi automatici di alimentazione dal controllo automatizzare quando si lavora direttamente nei dashboard dei casi o degli utenti.To delete a flow, you'll use the settings controls in the Insider risk management solution in the Microsoft 365 compliance center or the Manage Power Automate flows option from the Automate control when working directly in the Cases or Users dashboards. Quando un flusso viene eliminato, viene rimosso come opzione per tutti gli utenti.When a flow is deleted, it is removed as an option for all users.

Per eliminare un flusso di automatizzazione di alimentazione nell'area impostazioni, è necessario essere membri del gruppo di ruoli amministratore di gestione dei rischi Insider Management o Insider Management .To delete a Power Automate flow in the settings area, you must be a member of the Insider Risk Management or Insider Risk Management Admin role group. Per eliminare un flusso automatico di alimentazione automatizzato con l'opzione Gestisci flussi automatici di alimentazione , è necessario essere membri di almeno un gruppo di ruoli di gestione dei rischi Insider.To delete a Power Automate flow with the Manage Power Automate flows option, you must be a member of at least one insider risk management role group.

Completare la procedura seguente per eliminare un flusso Power automatizzate:Complete the following steps to delete a Power Automate flow:

  1. Nel centro conformità di Microsoft 365, accedere a gestione dei rischi Insider e selezionare Impostazioni rischi Insider > Powers automatizzare i flussi.In the Microsoft 365 compliance center, go to Insider risk management and select Insider risk settings > Power Automate flows. È inoltre possibile accedere alle pagine dashboard dei casi o degli utenti scegliendo automatizza > Gestione flussi automatici di alimentazione.You can also access from the Cases or Users dashboards pages by choosing Automate > Manage Power Automate flows.
  2. Sulla pagina flussi automatici di alimentazione selezionare un flusso da eliminare e scegliere Elimina dal menu controllo flusso.On the Power Automate flows page, select a flow to delete and select Delete from the flow control menu.
  3. Nella finestra di dialogo di conferma dell'eliminazione, selezionare Elimina per rimuovere il flusso o selezionare Annulla per uscire dall'azione di eliminazione.On the deletion confirmation dialog, select Delete to remove the flow or select Cancel to exit the deletion action.

Microsoft Teams (anteprima)Microsoft Teams (preview)

Gli analisti e gli investigatori di conformità possono facilmente utilizzare Microsoft teams per la collaborazione sui casi di gestione dei rischi Insider.Compliance analysts and investigators can easily use Microsoft Teams for collaboration on insider risk management cases. Possono coordinare e comunicare con le altre parti interessate in Microsoft teams per:They can coordinate and communicate with other stakeholders in Microsoft Teams to:

  • Coordinamento e revisione delle attività di risposta per i casi nei canali di team privatiCoordinate and review response activities for cases in private Teams channels
  • Condivisione e archiviazione sicura dei file e delle evidenze relative a singoli casiSecurely share and store files and evidence related to individual cases
  • Monitorare e verificare le attività di risposta degli analisti e degli investigatoriTrack and review response activities by analysts and investigators

Dopo che Microsoft teams è abilitato per la gestione dei rischi Insider, viene creato un team di Microsoft teams dedicato ogni volta che viene confermato un avviso e viene creato un caso.After Microsoft Teams is enabled for insider risk management, a dedicated Microsoft Teams team is created every time an alert is confirmed and a case is created. Per impostazione predefinita, il team include automaticamente tutti i membri della gestione dei rischiInsider, gli analisti di gestione dei rischiInsider e i gruppi di ruolo investigatori di gestione dei rischi Insider (fino a 100 utenti iniziali).By default, the team automatically includes all members of the Insider Risk Management, Insider Risk Management Analysts, and Insider Risk Management Investigators role groups (up to 100 initial users). È possibile aggiungere ulteriori collaboratori dell'organizzazione al team dopo la sua creazione e, se necessario.Additional organization contributors may be added to the team after it is created and as appropriate. Per i casi esistenti creati prima dell'abilitazione di Microsoft teams, gli analisti e gli investigatori possono scegliere di creare un nuovo team di Microsoft teams quando si lavora in un caso, se necessario.For existing cases created before enabling Microsoft Teams, analysts and investigators can choose to create a new Microsoft Teams team when working in a case if needed. Dopo aver risolto il caso associato in gestione dei rischi Insider, il team viene archiviato automaticamente (spostato in nascosto e in sola lettura).Once you resolve the associated case in insider risk management, the team is automatically archived (moved to hidden and read-only).

Per ulteriori informazioni sull'utilizzo di team e canali in Microsoft teams, vedere Overview of Teams and channels in Microsoft teams.For more information on how to use teams and channels in Microsoft Teams, see Overview of teams and channels in Microsoft Teams.

L'abilitazione del supporto di Microsoft teams per i casi è semplice e veloce da configurare.Enabling Microsoft Teams support for cases is quick and easy to configure. Per abilitare Microsoft teams per la gestione dei rischi Insider, eseguire i passaggi seguenti:To enable Microsoft Teams for insider risk management, complete the following steps:

  1. Nel centro conformità di Microsoft 365, passare a impostazioni di rischio Insider Management Risk ManagerInsider > Insider risk settings.In the Microsoft 365 compliance center, go to Insider risk management > Insider risk settings.
  2. Selezionare la scheda Microsoft teams .Select the Microsoft Teams tab.
  3. Abilitare l'integrazione di Microsoft teams per la gestione dei rischi Insider.Enable Microsoft Teams integration for insider risk management.
  4. Selezionare Salva per configurare ed uscire.Select Save to configure and exit.

Creare un team di Microsoft teams per i casi esistentiCreate a Microsoft Teams team for existing cases

Se si Abilita il supporto di Microsoft teams per la gestione dei rischi Insider dopo che sono presenti casi, è necessario creare manualmente un team per ogni caso in base alle esigenze.If you enable Microsoft Teams support for insider risk management after you have existing cases, you'll need to manually create a team for each case as needed. Dopo aver abilitato il supporto di Microsoft teams nelle impostazioni di gestione dei rischi Insider, nuovi casi creeranno automaticamente un nuovo team di Microsoft teams.After enabling Microsoft Teams support in insider risk management settings, new cases will automatically create a new Microsoft Teams team.

Gli utenti devono disporre dell'autorizzazione per creare i gruppi di Microsoft 365 nell'organizzazione per creare un team di Microsoft Teams da un caso.Users need permission to create Microsoft 365 groups in your organization to create a Microsoft Teams team from a case. Per ulteriori informazioni sulla gestione delle autorizzazioni per i gruppi di Microsoft 365, vedere gestire gli utenti autorizzati a creare gruppi di microsoft 365.For more information about managing permissions for Microsoft 365 Groups, see Manage who can create Microsoft 365 Groups.

Per creare un team per un caso, è possibile utilizzare il controllo Crea Microsoft Team quando si lavora direttamente in un caso esistente.To create a team for a case, you'll use the Create Microsoft Team control when working directly in an existing case. Completare la procedura seguente per creare un nuovo team:Complete the following steps to create a new team:

  1. Nel centro conformità di Microsoft 365, passare a casi di gestione dei rischi Insider > Cases e selezionare un caso esistente.In the Microsoft 365 compliance center, go to Insider risk management > Cases and select an existing case.
  2. Scegliere Crea Microsoft Teamdal menu azione caso.On the case action menu, select Create Microsoft Team.
  3. Nel campo nome Team , immettere un nome per il nuovo team di Microsoft teams.In the Team name field, enter a name for the new Microsoft Teams team.
  4. Selezionare Crea Microsoft Team e quindi Chiudi.Select Create Microsoft team and then select Close.

A seconda del numero di utenti assegnati ai gruppi di ruoli di gestione dei rischi Insider, potrebbero essere necessari 15 minuti affinché tutti gli investigatori e gli analisti siano aggiunti al team di Microsoft teams per un caso.Depending on the number of users assigned to insider risk management role groups, it may take 15 minutes for all investigators and analysts to be added to the Microsoft Teams team for a case.