Abilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Nota

La conformità Microsoft 365 adesso è denominata Microsoft Purview e le soluzioni all'interno dell'area di conformità sono state rinominate. Per maggiori informazioni su Microsoft Purview, consultare l'annuncio sul blog.

Abilitare l'etichettatura predefinita per i file di Office supportati in SharePoint e OneDrive in modo che gli utenti possano applicare le etichette di riservatezza in Office per il web. Quando questa funzionalità è abilitata, gli utenti visualizzeranno il pulsante Riservatezza sulla barra multifunzione in modo da poter applicare etichette e visualizzare qualsiasi nome di etichetta applicato sulla barra di stato.

L'abilitazione di questa funzionalità comporta anche SharePoint e OneDrive in grado di elaborare il contenuto dei file Office crittografati usando un'etichetta di riservatezza. L'etichetta può essere applicata in Office per il web o nelle app desktop Office e caricata o salvata in SharePoint e OneDrive. Fino a quando non si abilita questa funzionalità, questi servizi non possono elaborare file crittografati, il che significa che la creazione condivisa, eDiscovery, Microsoft Purview la prevenzione della perdita dei dati, la ricerca e altre funzionalità collaborative non funzioneranno per questi file.

Dopo aver abilitato le etichette di riservatezza per Office file in SharePoint e OneDrive, per i file nuovi e modificati con un'etichetta di riservatezza che applica la crittografia con una chiave basata sul cloud (e non usa crittografia a chiave doppia:

  • Per i file word, Excel e PowerPoint, SharePoint e OneDrive riconoscere l'etichetta e ora è possibile elaborare il contenuto del file crittografato.

  • Quando gli utenti scaricano o accedono a questi file da SharePoint o OneDrive, l'etichetta di riservatezza e le impostazioni di crittografia dell'etichetta vengono applicate e rimangono con il file, ovunque sia archiviato. Assicurarsi di fornire indicazioni per l'utente per usare solo etichette per proteggere i documenti. Per altre informazioni, vedere Opzioni e etichette di riservatezza di Information Rights Management (IRM).

  • Quando gli utenti caricano file etichettati e crittografati in SharePoint o OneDrive, devono avere almeno i diritti di visualizzazione per tali file. Ad esempio, possono aprire i file all'esterno SharePoint. Se non hanno questo diritto di utilizzo minimo, il caricamento ha esito positivo, ma il servizio non riconosce l'etichetta e non può elaborare il contenuto del file.

  • Usare Office per il web (Word, Excel, PowerPoint) per aprire e modificare Office file con etichette di riservatezza che applicano la crittografia. Vengono applicate le autorizzazioni assegnate alla crittografia. È anche possibile usare l'etichettatura automatica per questi documenti.

  • Gli utenti esterni possono accedere ai documenti etichettati con la crittografia usando gli account guest. Per altre informazioni, vedere Supporto per utenti esterni e contenuto etichettato.

  • Office 365 eDiscovery supporta la ricerca full-text per questi file e i criteri di prevenzione della perdita dei dati supportano il contenuto in questi file.

Nota

Se la crittografia è stata applicata con una chiave locale (una topologia di gestione delle chiavi spesso definita "hold your own key" o HYOK) o tramite Crittografia a chiave doppia, il comportamento del servizio per l'elaborazione del contenuto del file non cambia. Pertanto, per questi file, la creazione condivisa, l'eDiscovery, la prevenzione della perdita dei dati, la ricerca e altre funzionalità collaborative non funzioneranno.

Il comportamento SharePoint e OneDrive non cambia anche per i file esistenti in questi percorsi etichettati con la crittografia usando una singola chiave basata su Azure. Affinché questi file possano trarre vantaggio dalle nuove funzionalità dopo aver abilitato le etichette di riservatezza per Office file in SharePoint e OneDrive, i file devono essere scaricati e caricati di nuovo o modificati.

Dopo aver abilitato le etichette di riservatezza per Office file in SharePoint e OneDrive, sono disponibili tre nuovi eventi di controllo per il monitoraggio delle etichette di riservatezza applicate ai documenti in SharePoint e OneDrive:

  • Etichetta di riservatezza applicata al file
  • Etichetta di riservatezza applicata a un file modificata
  • Etichetta di riservatezza rimossa dal file

Guardare il video seguente (nessun audio) per visualizzare le nuove funzionalità in azione:

È sempre possibile disabilitare le etichette di riservatezza per i file Office in SharePoint e OneDrive (opt-out) in qualsiasi momento.

Se si stanno attualmente proteggendo i documenti in SharePoint usando SharePoint Information Rights Management (IRM), assicurarsi di controllare la sezione SharePoint Information Rights Management (IRM) e le etichette di riservatezza in questa pagina.

Requisiti

Queste nuove funzionalità funzionano solo con le etichette di riservatezza . Se attualmente si dispone di etichette di Azure Information Protection, eseguirne prima la migrazione alle etichette di riservatezza in modo da poter abilitare queste funzionalità per i nuovi file caricati. Per istruzioni, vedere Come eseguire la migrazione di etichette di Azure Information Protection a etichette di riservatezza unificate.

Usare l'app sincronizzazione OneDrive versione 19.002.0121.0008 o successiva in Windows e la versione 19.002.0107.0008 o successiva in Mac. Entrambe queste versioni sono state rilasciate il 28 gennaio 2019 e sono attualmente rilasciate per tutti gli anelli. Per altre informazioni, vedere le note sulla versione OneDrive. Dopo aver abilitato le etichette di riservatezza per Office file in SharePoint e OneDrive, agli utenti che eseguono una versione precedente dell'app di sincronizzazione viene richiesto di aggiornarla.

Limitazioni

  • SharePoint e OneDrive non possono elaborare alcuni file etichettati e crittografati da app desktop Office quando questi file contengono dati PowerQuery, dati archiviati da componenti aggiuntivi personalizzati o parti XML personalizzate, ad esempio proprietà pagina copertina, schemi dei tipi di contenuto, riquadro informazioni documento personalizzato e XSN personalizzato. Questa limitazione si applica anche ai file che includono una bibliografia e ai file che hanno un ID documento aggiunto al momento del caricamento.

    Per questi file, applicare un'etichetta senza crittografia in modo che possano essere aperti in un secondo momento in Office sul web o indicare agli utenti di aprire i file nelle app desktop. I file etichettati e crittografati solo in Office sul web non sono interessati.

  • SharePoint e OneDrive non applicano automaticamente le etichette di riservatezza ai file esistenti già crittografati usando le etichette di Azure Information Protection. Al contrario, affinché le funzionalità funzionino dopo aver abilitato le etichette di riservatezza per i file Office in SharePoint e OneDrive, completare queste attività:

    1. Assicurarsi di aver migrato le etichette di Azure Information Protection alle etichette di riservatezza e di pubblicarle dal Portale di conformità di Microsoft Purview.
    2. Scaricare i file etichettati e quindi caricarli nella posizione originale in SharePoint o OneDrive.
  • SharePoint e OneDrive non possono elaborare i file crittografati quando l'etichetta che ha applicato la crittografia ha una delle configurazioni seguenti per la crittografia:

    • Consentire agli utenti di assegnare le autorizzazioni quando applicano l'etichetta e la casella di controllo In Word, PowerPoint ed Excel, chiedere agli utenti di specificare le autorizzazioni viene selezionata. Questa impostazione viene talvolta definita "autorizzazioni definite dall'utente".

    • L'accesso utenti al contenuto scade è impostato su un valore diverso da Mai.

    • Viene selezionata una Crittografia a chiave doppia.

      Per le etichette con una di queste configurazioni di crittografia, le etichette non vengono visualizzate agli utenti in Office per il web. Inoltre, le nuove funzionalità non possono essere usate con documenti etichettati che dispongono già di queste impostazioni di crittografia. Ad esempio, questi documenti non verranno restituiti nei risultati della ricerca, anche se vengono aggiornati.

  • Per motivi di prestazioni, quando si carica o si salva un documento in SharePoint e l'etichetta del file non applica la crittografia, la colonna Riservatezza nella raccolta documenti può richiedere del tempo per visualizzare il nome dell'etichetta. Tenere conto di questo ritardo se si usano script o automazione che dipendono dal nome dell'etichetta in questa colonna.

  • Se un documento viene etichettato mentre è estratto in SharePoint, la colonna Riservatezza nella raccolta documenti non visualizzerà il nome dell'etichetta finché il documento non viene archiviato e quindi aperto in SharePoint.

  • Se un documento etichettato e crittografato viene scaricato da SharePoint o OneDrive da un'app o un servizio che usa un nome di entità servizio e quindi caricato di nuovo con un'etichetta che applica impostazioni di crittografia diverse, il caricamento avrà esito negativo. Uno scenario di esempio è Microsoft Defender for Cloud Apps modifica di un'etichetta di riservatezza in un file da Riservato a Altamente riservato o da Riservato a Generale.

    Il caricamento non ha esito negativo se l'app o il servizio esegue prima il cmdlet Unlock-SPOSensitivityLabelEncryptedFile , come illustrato nella sezione Rimuovi crittografia per un documento etichettato . In alternativa, prima del caricamento, il file originale viene eliminato o il nome del file viene modificato.

  • Gli utenti potrebbero riscontrare ritardi nella possibilità di aprire documenti crittografati nello scenario SaveAs seguente: usando una versione desktop di Office, un utente sceglie Salva con nome per un documento con un'etichetta di riservatezza che applica la crittografia. L'utente seleziona SharePoint o OneDrive per la posizione e quindi tenta immediatamente di aprire il documento in Office per il web. Se il servizio sta ancora elaborando la crittografia, l'utente visualizza un messaggio che informa che il documento deve essere aperto nell'app desktop. Se riprovano tra un paio di minuti, il documento verrà aperto correttamente in Office per il web.

  • Per i documenti crittografati, la stampa non è supportata in Office per il web.

  • Per i documenti crittografati in Office per il web, la copia negli Appunti e le acquisizioni dello schermo non vengono impedite. Per altre informazioni, vedere Can Rights Management prevent screen captures?

  • Per impostazione predefinita, Office app desktop e app per dispositivi mobili non supportano la creazione condivisa per i file etichettati con la crittografia. Queste app continuano ad aprire file etichettati e crittografati in modalità di modifica esclusiva.

    Nota

    La creazione condivisa è ora supportata per Windows e macOS e in anteprima per iOS e Android. Per altre informazioni, vedere Abilitare la creazione condivisa per i file crittografati con etichette di riservatezza.

  • Se un amministratore modifica le impostazioni per un'etichetta pubblicata già applicata ai file scaricati nel client di sincronizzazione degli utenti, gli utenti potrebbero non essere in grado di salvare le modifiche apportate al file nella cartella OneDrive Sync. Questo scenario si applica ai file etichettati con crittografia e anche quando la modifica dell'etichetta proviene da un'etichetta che non ha applicato la crittografia a un'etichetta che applica la crittografia. Gli utenti visualizzano un cerchio rosso con un errore di icona a forma di croce bianca e gli viene chiesto di salvare le nuove modifiche come copia separata. Al contrario, possono chiudere e riaprire il file o usare Office per il web.

  • Gli utenti possono riscontrare problemi di salvataggio dopo essere stati offline o in modalità sospensione quando invece di usare Office per il web usano le app desktop e per dispositivi mobili per Word, Excel o PowerPoint. Per questi utenti, quando riprendono la sessione di app Office e provano a salvare le modifiche, visualizzano un messaggio di errore di caricamento con un'opzione per salvare una copia invece di salvare il file originale.

  • I documenti crittografati nei modi seguenti non possono essere aperti in Office per il web:

    • Crittografia che usa una chiave locale ("hold your own key" o HYOK)
    • Crittografia applicata tramite crittografia a chiave doppia
    • Crittografia applicata in modo indipendente da un'etichetta, ad esempio applicando direttamente un modello di protezione Rights Management.
  • Le etichette configurate per altre lingue non sono supportate e visualizzano solo la lingua originale.

  • Se si elimina un'etichetta applicata a un documento in SharePoint o OneDrive, anziché rimuovere l'etichetta dai criteri di etichetta applicabili, il documento scaricato non verrà etichettato o crittografato. In confronto, se il documento etichettato viene archiviato all'esterno SharePoint o OneDrive, il documento rimane crittografato se l'etichetta viene eliminata. Si noti che anche se è possibile eliminare le etichette durante una fase di test, è molto raro eliminare un'etichetta in un ambiente di produzione.

Come abilitare le etichette di riservatezza per SharePoint e OneDrive (consenso esplicito)

È possibile abilitare le nuove funzionalità usando il Portale di conformità di Microsoft Purview o PowerShell. Come per tutte le modifiche alla configurazione a livello di tenant per SharePoint e OneDrive, l'applicazione della modifica richiede circa 15 minuti.

Usare il Portale di conformità di Microsoft Purview per abilitare il supporto per le etichette di riservatezza

Questa opzione è il modo più semplice per abilitare le etichette di riservatezza per SharePoint e OneDrive, ma è necessario accedere come amministratore globale per il tenant.

  1. Accedere al Portale di conformità di Microsoft Purview come amministratore globale e passare a Etichette di protezione delle > informazioni sulle soluzioni >

  2. Se viene visualizzato un messaggio per attivare la possibilità di elaborare il contenuto in Office file online, selezionare Attiva ora:

    Attiva ora il pulsante per abilitare le etichette di riservatezza per Office Online.

    Il comando viene eseguito immediatamente e quando la pagina viene aggiornata successivamente, il messaggio o il pulsante non vengono più visualizzati.

Nota

Se è stato Microsoft 365 multi-geo, è necessario usare PowerShell per abilitare queste funzionalità per tutte le posizioni geografiche. Per informazioni dettagliate, vedere la sezione successiva.

Usare PowerShell per abilitare il supporto per le etichette di riservatezza

In alternativa all'uso del Portale di conformità di Microsoft Purview, è possibile abilitare il supporto per le etichette di riservatezza usando il cmdlet Set-SPOTenant di SharePoint PowerShell online.

Se è stato Microsoft 365 multi-geo, è necessario usare PowerShell per abilitare questo supporto per tutte le posizioni geografiche.

Preparare SharePoint Online Management Shell

Prima di eseguire il comando di PowerShell per abilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive, assicurarsi di eseguire SharePoint Online Management Shell versione 16.0.19418.12000 o successiva. Se si dispone già della versione più recente, è possibile passare alla procedura successiva per eseguire il comando di PowerShell.

  1. Se è stata installata una versione precedente di SharePoint Online Management Shell da PowerShell Gallery, è possibile aggiornare il modulo eseguendo il cmdlet seguente.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. In alternativa, se è stata installata una versione precedente di SharePoint Online Management Shell dall'Area download Microsoft, è anche possibile passare ad Aggiungere o rimuovere programmi e disinstallare SharePoint Online Management Shell.

  3. In un Web browser passare alla pagina Area download e scaricare l'ultima versione di SharePoint Online Management Shell.

  4. Selezionare la lingua e fare clic su Scarica.

  5. Scegliere tra il file MSI x64 o x86. Scaricare il file x64 se si esegue la versione a 64 bit di Windows o il file x86 se si esegue la versione a 32 bit. Se non si conosce, vedere Quale versione di Windows sistema operativo in esecuzione?

  6. Dopo aver scaricato il file, eseguire il file e seguire i passaggi dell'Installazione guidata.

Eseguire il comando di PowerShell per abilitare il supporto per le etichette di riservatezza

Per abilitare le nuove funzionalità, usare il cmdlet Set-SPOTenant con il parametro EnableAIPIntegration :

  1. Usando un account aziendale o dell'istituto di istruzione con privilegi di amministratore globale o di amministratore SharePoint in Microsoft 365, connettersi a SharePoint. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.

    Nota

    Se è stato Microsoft 365 multi-geo, usare il parametro -Url con Connessione-SPOService e specificare l'URL del sito SharePoint Online Administration Center per una delle posizioni geografiche.

  2. Eseguire il comando seguente e premere Y per confermare:

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. Per Microsoft 365 Multi-Geo: ripetere i passaggi 1 e 2 per ognuna delle posizioni geografiche rimanenti.

Pubblicazione e modifica delle etichette di riservatezza

Quando si usano etichette di riservatezza con SharePoint e OneDrive, tenere presente che è necessario consentire il tempo di replica quando si pubblicano nuove etichette di riservatezza o si aggiornano le etichette di riservatezza esistenti. Ciò è particolarmente importante per le nuove etichette che applicano la crittografia.

Ad esempio: si crea e si pubblica una nuova etichetta di riservatezza che applica la crittografia e viene visualizzata molto rapidamente nell'app desktop di un utente. L'utente applica questa etichetta a un documento e quindi la carica in SharePoint o OneDrive. Se la replica dell'etichetta non è stata completata per il servizio, le nuove funzionalità non verranno applicate a tale documento al termine del caricamento. Di conseguenza, il documento non verrà restituito nella ricerca o in eDiscovery e il documento non può essere aperto in Office per il web.

Per altre informazioni sull'intervallo delle etichette, vedere Quando aspettarsi che le nuove etichette e le modifiche diventino effettive.

Come garanzia, è consigliabile pubblicare prima nuove etichette a pochi utenti di test, attendere almeno un'ora e quindi verificare il comportamento delle etichette in SharePoint e OneDrive. Attendere almeno un giorno prima di rendere l'etichetta disponibile per più utenti aggiungendo più utenti ai criteri di etichetta esistenti o aggiungendo l'etichetta a un criterio di etichetta esistente per gli utenti standard. Quando gli utenti standard visualizzano l'etichetta, l'etichetta è già sincronizzata con SharePoint e OneDrive.

SharePoint informazioni Rights Management (IRM) ed etichette di riservatezza

SharePoint Information Rights Management (IRM) è una tecnologia meno recente per proteggere i file a livello di elenco e di libreria applicando crittografia e restrizioni quando vengono scaricati i file. Questa tecnologia di protezione meno recente è progettata per impedire agli utenti non autorizzati di aprire il file mentre è all'esterno SharePoint.

In confronto, le etichette di riservatezza forniscono le impostazioni di protezione dei contrassegni visivi (intestazioni, piè di pagina, filigrane) oltre alla crittografia. Le impostazioni di crittografia supportano l'intera gamma di diritti di utilizzo per limitare le operazioni che gli utenti possono eseguire con il contenuto e le stesse etichette di riservatezza sono supportate per molti scenari. L'uso dello stesso metodo di protezione con impostazioni coerenti tra carichi di lavoro e app comporta una strategia di protezione coerente.

Tuttavia, è possibile usare entrambe le soluzioni di protezione insieme e il comportamento è il seguente:

  • Se si carica un file con un'etichetta di riservatezza che applica la crittografia, SharePoint non è in grado di elaborare il contenuto di questi file, quindi la creazione condivisa, eDiscovery, la prevenzione della perdita dei dati e la ricerca non sono supportate per questi file.

  • Se si etichetta un file usando Office per il web, vengono applicate tutte le impostazioni di crittografia dell'etichetta. Per questi file sono supportate la creazione condivisa, eDiscovery, la prevenzione della perdita dei dati e la ricerca.

  • Se si scarica un file etichettato tramite Office per il web, l'etichetta viene mantenuta e le impostazioni di crittografia dell'etichetta vengono applicate anziché le impostazioni di restrizione IRM.

  • Se si scarica un file Office o PDF non crittografato con un'etichetta di riservatezza, vengono applicate le impostazioni IRM.

  • Se è stata abilitata una delle impostazioni aggiuntive della libreria IRM, tra cui impedire agli utenti di caricare documenti che non supportano IRM, queste impostazioni vengono applicate.

Con questo comportamento, è possibile essere certi che tutti i file Office e PDF sono protetti dall'accesso non autorizzato se vengono scaricati, anche se non sono etichettati. Tuttavia, i file etichettati caricati non trarranno vantaggio dalle nuove funzionalità.

Cercare documenti in base all'etichetta di riservatezza

Utilizzare la proprietà gestita InformationProtectionLabelId per trovare tutti i documenti in SharePoint o OneDrive con un'etichetta di riservatezza specifica. Usare la sintassi seguente: InformationProtectionLabelId:<GUID>

Ad esempio, per cercare tutti i documenti etichettati come "Riservato" e tale etichetta ha un GUID "8faca7b8-8d20-48a3-8ea2-0f96310a848e", nella casella di ricerca digitare:

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

La ricerca non troverà documenti etichettati in un file compresso, ad esempio un file .zip.

Per ottenere i GUID per le etichette di riservatezza, usare il cmdlet Get-Label :

  1. Prima di tutto, connettersi a PowerShell per la conformità & sicurezza Office 365.

    Ad esempio, in una sessione di PowerShell eseguita come amministratore, accedere con un account di amministratore globale.

  2. Eseguire quindi il comando seguente:

    Get-Label |ft Name, Guid
    

Per altre informazioni sull'uso delle proprietà gestite, vedere Gestire lo schema di ricerca in SharePoint.

Rimuovere la crittografia per un documento con etichetta

Potrebbero verificarsi rare occasioni in cui un amministratore SharePoint deve rimuovere la crittografia da un documento archiviato in SharePoint. Qualsiasi utente con il diritto di utilizzo Rights Management di Esportazione o Controllo completo assegnato a tale documento può rimuovere la crittografia applicata dal servizio azure Rights Management da Azure Information Protection. Ad esempio, gli utenti con uno di questi diritti di utilizzo possono sostituire un'etichetta che applica la crittografia con un'etichetta senza crittografia. Un utente con privilegi avanzati può anche scaricare il file e salvare una copia locale senza la crittografia.

In alternativa, un amministratore globale o un amministratore SharePoint può eseguire il cmdlet Unlock-SPOSensitivityLabelEncryptedFile, che rimuove sia l'etichetta di riservatezza che la crittografia. Questo cmdlet viene eseguito anche se l'amministratore non dispone delle autorizzazioni di accesso al sito o al file o se il servizio azure Rights Management non è disponibile.

Ad esempio:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Requisiti:

  • SharePoint Online Management Shell versione 16.0.20616.12000 o successiva.

  • La crittografia è stata applicata da un'etichetta di riservatezza con impostazioni di crittografia definite dall'amministratore (le impostazioni assegna autorizzazioni ora etichetta). Crittografia a chiave doppia non è supportata per questo cmdlet.

Il testo della giustificazione viene aggiunto all'evento di controllo Rimozione dell'etichetta di riservatezza dal file e l'azione di decrittografia viene registrata anche nella registrazione dell'utilizzo della protezione per Azure Information Protection.

Come disabilitare le etichette di riservatezza per SharePoint e OneDrive (opt-out)

Se si disabilitano queste nuove funzionalità, i file caricati dopo aver abilitato le etichette di riservatezza per SharePoint e OneDrive continuare a essere protetti dall'etichetta perché le impostazioni delle etichette continuano a essere applicate. Quando si applicano etichette di riservatezza a nuovi file dopo aver disabilitato queste nuove funzionalità, la ricerca full-text, eDiscovery e la creazione condivisa non funzioneranno più.

Per disabilitare queste nuove funzionalità, è necessario usare PowerShell. Utilizzando SharePoint Online Management Shell e il cmdlet Set-SPOTenant, specificare lo stesso parametro EnableAIPIntegration descritto nella sezione Usare PowerShell per abilitare il supporto per le etichette di riservatezza. Questa volta, tuttavia, impostare il valore del parametro su false e premere Y per confermare:

Set-SPOTenant -EnableAIPIntegration $false

Se si dispone di Microsoft 365 Multi-Geo, è necessario eseguire questo comando per ogni località geografica.

Passaggi successivi

Dopo aver abilitato le etichette di riservatezza per Office file in SharePoint e OneDrive, valutare la possibilità di etichettare automaticamente questi file usando i criteri di etichettatura automatica. Per ulteriori informazioni, consultare Applicare automaticamente un'etichetta di riservatezza al contenuto.

È necessario condividere i propri documenti etichettati e crittografati con persone esterne all’organizzazione? Vedere Condivisione di documenti crittografati con utenti esterni.