Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Nota

Microsoft 365 conformità è ora denominata Microsoft Purview e le soluzioni all'interno dell'area di conformità sono state rinominate. Per altre informazioni su Microsoft Purview, vedere l'annuncio del blog.

Oltre a usare etichette di riservatezza per classificare e proteggere documenti e messaggi di posta elettronica, è anche possibile usare le etichette di riservatezza per proteggere il contenuto nei contenitori seguenti: siti di Microsoft Teams, gruppi di Microsoft 365 (in precedenza gruppi di Office 365) e siti di SharePoint. Per questa classificazione e protezione a livello di contenitore, usare le impostazioni di etichetta seguenti:

  • Privacy (pubblica o privata) dei siti dei team e dei gruppi di Microsoft 365
  • Accesso utenti esterni
  • Condivisione esterna dai siti di SharePoint
  • Accesso da dispositivi non gestiti
  • Contesti di autenticazione (anteprima)
  • Collegamento di condivisione predefinito per uno SharePoint (configurazione solo PowerShell)
  • In anteprima: Impostazioni di condivisione del sito (configurazione solo PowerShell)

Importante

Le impostazioni per i dispositivi non gestiti e i contesti di autenticazione funzionano in concomitanza all'accesso condizionale di Azure Active Directory. È necessario configurare questa funzionalità dipendente se si vuole usare un'etichetta di riservatezza per queste impostazioni. Altre informazioni sono disponibili nelle istruzioni seguenti.

Quando si applica questa etichetta di riservatezza a uno dei contenitori supportati, l'etichetta applica automaticamente le impostazioni di classificazione e protezione configurate al sito o al gruppo.

Il contenuto di tali contenitori, tuttavia, non eredita le etichette per la classificazione o le impostazioni per i file e i messaggi di posta elettronica come i contrassegni visivi e la crittografia. Per fare in modo che gli utenti possano etichettare i propri documenti nei siti di SharePoint o del team, assicurarsi di abilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive.

Usare le etichette di riservatezza per Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint

Prima di abilitare le etichette di riservatezza per i contenitori e configurarle per le nuove impostazioni, gli utenti possono visualizzare e applicare tali etichette nelle loro app. Ad esempio, da Word:

Etichetta di riservatezza visualizzata nell'app Word per desktop.

Dopo l'abilitazione e la configurazione delle etichette di riservatezza, gli utenti possono anche vedere e applicare etichette di riservatezza a siti di Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint. Ad esempio, quando si crea un nuovo sito del team da SharePoint:

Etichetta di riservatezza durante la creazione di un sito del team da SharePoint.

Nota

Le etichette di riservatezza per i contenitori supportano canali condivisi di Teams, attualmente in anteprima. Se un team ha canali condivisi, eredita automaticamente le impostazioni dell'etichetta di riservatezza dal team padre e tale etichetta non può essere rimossa o sostituita con un'etichetta diversa.

Come abilitare le etichette di riservatezza per i contenitori e sincronizzare le etichette

Se le etichette di riservatezza per i contenitori non sono ancora state abilitate, eseguire i passaggi seguenti (si tratta di un processo una tantum):

  1. Dato che questa funzione usa le funzionalità di Azure AD, seguire le istruzioni riportate nella relativa documentazione per abilitare il supporto per le etichette di riservatezza: Assegnare etichette di riservatezza a gruppi di Microsoft 365 in Azure Active Directory.

  2. Ora è necessario sincronizzare le etichette di riservatezza in Azure AD. Prima di tutto,connettersi a PowerShell in Centro sicurezza e conformità.

    Ad esempio, in una sessione di PowerShell eseguita come amministratore, accedere con un account di amministratore globale.

  3. Quindi eseguire il comando seguente per assicurarsi di poter usare le etichette di riservatezza con i gruppi di Microsoft 365:

    Execute-AzureAdLabelSync
    

Come configurare i gruppi e le impostazioni del sito

Dopo aver abilitato le etichette di riservatezza per i contenitori, come descritto nella sezione precedente, è possibile configurare le impostazioni di protezione per i gruppi e i siti nella configurazione di etichettatura di riservatezza. Finché le etichette di riservatezza non sono abilitate per i contenitori, le impostazioni sono visibili ma non sarà possibile configurarle.

  1. Seguire le istruzioni generali per creare o modificare un'etichetta di riservatezza e verificare che sia selezionata l'opzione Gruppi e siti per l'ambito dell'etichetta:

    Opzioni relative all'ambito dell'etichetta di riservatezza per file e messaggi di posta elettronica.

    Quando solo questo ambito è selezionato per l'etichetta, l'etichetta non verrà visualizzata nelle app di Office che supportano le etichette di riservatezza e non può essere applicata a file e messaggi di posta elettronica. La separazione delle etichette può essere utile sia per gli utenti che per gli amministratori, ma può anche aumentare la complessità della distribuzione delle etichette.

    Ad esempio, è necessario rivedere attentamente l'ordine delle etichette poiché SharePoint rileva quando un documento etichettato viene caricato su un sito etichettato. In questo scenario, vengono generati automaticamente un evento di controllo e un messaggio di posta elettronica quando il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta del sito. Per ulteriori informazioni, vedere la sezione Attività di controllo dell'etichetta di riservatezza in questa pagina.

  2. Quindi, nella pagina Definisci impostazioni di protezione per gruppi e siti, selezionare una o entrambe le opzioni disponibili:

    • Privacy e impostazioni di accesso utente esterno per configurare le impostazioni di Privacy e Accesso utenti esterni.
    • Impostazioni di condivisione esterna e accesso condizionale per configurare il controllo della condivisione esterna da siti di SharePoint etichettati e usare l'accesso condizionale di Azure AD per proteggere l'impostazione dei siti di SharePoint etichettati.
  3. Se è stato selezionato Privacy e impostazioni di accesso utente esterno, configurare le seguenti impostazioni:

    • Privacy: mantenere l'impostazione predefinita Pubblico se si vuole consentire a chiunque nell’organizzazione l’accesso al sito del team o al gruppo in cui è applicata questa etichetta.

      Selezionare Privato se si vuole limitare l'accesso solo ai membri approvati nell'organizzazione.

      Selezionare Nessuno quando si vuole proteggere il contenuto del contenitore usando l'etichetta di riservatezza, ma consentendo comunque agli utenti di configurare in autonomia le impostazioni di privacy.

      Le impostazioni di Pubblico o Privato impostano e bloccano l'impostazione della privacy quando si applica l'etichetta al contenitore. L'impostazione scelta sostituisce ogni precedente impostazione della privacy configurata per il team o il gruppo, bloccando il livello di privacy in modo che possa essere modificato solo rimuovendo prima l'etichetta di riservatezza dal contenitore. Dopo aver rimosso l'etichetta di riservatezza, viene mantenuto il livello di privacy impostato dall'etichetta, che ora potrà essere modificato, se necessario.

    • Accesso utente esterno: controllare se il proprietario del gruppo può aggiungere utenti guest al gruppo.

  4. Se sono state selezionate le impostazioni Condivisione esterna e accesso condizionale, configurare le impostazioni seguenti:

    • Controlla la condivisione esterna da siti di SharePoint etichettati: selezionare questa opzione per selezionare in seguito la condivisione con tutti gli utenti, gli utenti guest nuovi ed esistenti, gli utenti guest esistenti o soltanto gli utenti della propria organizzazione. Per altre informazioni su questa configurazione e sulle impostazioni, vedere la documentazione di SharePoint Attivare e disattivare la condivisione esterna per un sito.

    • Usare l'accesso condizionale di Azure AD per proteggere i siti di SharePoint etichettati: selezionare questa opzione solo se l'organizzazione ha configurato e usa l'accesso condizionale di Azure Active Directory. Quindi, selezionare una delle impostazioni seguenti:

      • Determinare se gli utenti possono accedere ai siti di SharePoint da dispositivi non gestiti: questa opzione si serve della funzionalità di SharePoint che usa l'accesso condizionale di Azure AD per bloccare o limitare l'accesso ai contenuti di SharePoint e OneDrive da dispositivi non gestiti. Per altre informazioni, vedere Controllare l'accesso da dispositivi non gestiti dalla documentazione di SharePoint. L'opzione specificata per questa impostazione dell'etichetta equivale all'esecuzione di un comando di PowerShell per un sito, come descritto nei passaggi 3-5 Bloccare o limitare l'accesso a uno specifico sito di SharePoint o OneDrive della sezione delle istruzioni di SharePoint.

        Per ulteriori informazioni sulla configurazione, vedere Ulteriori informazioni sulle dipendenze per l'opzione dei dispositivi non gestiti alla fine di questa sezione.

      • Scegliere un contesto di autenticazione esistente: questa opzione, che al momento è in anteprima, consente di applicare condizioni di accesso più rigide quando gli utenti accedono a siti di SharePoint a cui è applicata questa etichetta. Queste condizioni vengono applicate quando si seleziona un contesto di autenticazione esistente creato e pubblicato per la distribuzione dell'accesso condizionale dell'organizzazione. Se gli utenti non soddisfano le condizioni configurate o se usano app che non supportano contesti di autenticazione, gli viene negato l'accesso.

        Per ulteriori informazioni sulla configurazione, vedere Ulteriori informazioni sulle dipendenze per l'opzione del contesto di autenticazione alla fine di questa sezione.

        Esempi di questa configurazione delle etichette:

        • Viene scelto un contesto di autenticazione configurato per richiedere l'autenticazione a più fattori (MFA). Questa etichetta viene applicata a un sito di SharePoint che contiene elementi che contiene elementi altamente riservati. Di conseguenza, quando gli utenti di una rete non attendibile provano ad accedere a un documento in questo sito, dovranno completare la richiesta di autenticazione a più fattori per poter accedere al documento.

        • Viene scelto un contesto di autenticazione configurato per i criteri delle condizioni d'uso (ToU). Questa etichetta viene applicata a un sito di SharePoint che contiene elementi che richiedono l'accettazione delle condizioni d'uso per motivi legali o di conformità. Di conseguenza, quando gli utenti tentano di accedere a un documento nel sito, dovranno accettare le condizioni d'uso per poter accedere al documento originale.

Importante

Quando si applica l'etichetta a un team, un gruppo o un sito, vengono applicate solo queste impostazioni a livello di sito e di gruppo. Se l’ ambito dell'etichetta include file e messaggi di posta elettronica, le altre impostazioni dell'etichetta, come la crittografia e il contrassegno di contenuti, non vengono applicate al contenuto all'interno del team, del gruppo o del sito.

Se l'etichetta di riservatezza non è già pubblicata, ora è possibile farlo aggiungendola a un criterio di etichetta di riservatezza. Gli utenti a cui è stato assegnato un criterio di etichetta di riservatezza che include tale etichetta potranno selezionarla per siti e gruppi.

Ulteriori informazioni sulle dipendenze per l'opzione dei dispositivi non gestiti

Se non si configurano i criteri di accesso condizionale dipendente per SharePoint, come descritto in Usa restrizioni imposte dalle app, l'opzione specificata non avrà alcun effetto. Inoltre, non avrà alcun effetto se è meno restrittiva rispetto a un'impostazione configurata al livello del tenant. Se è stata configurata un'opzione per i dispositivi non gestiti a livello di organizzazione, scegliere un'impostazione dell'etichetta uguale o più restrittiva

Per esempio, se il tenant è configurato in modo da Consentire l'accesso limitato solo web, l'impostazione dell'etichetta che consente l'accesso totale non avrà effetto perché è meno restrittiva. Per questa impostazione a livello del tenant, scegliere l'impostazione dell'etichetta per bloccare l'accesso (più restrittiva) o l'impostazione per l'accesso limitato (la stessa impostazione del tenant).

Dato che le impostazioni SharePoint possono essere configurate indipendentemente dalla configurazione dell'etichetta, nella configurazione dell'etichetta di riservatezza non vi è alcuna verifica che le dipendenze siano disponibili. Queste dipendenze possono essere configurate dopo la creazione e la pubblicazione dell'etichetta e anche dopo l'applicazione dell'etichetta. Se l'etichetta è già stata applicata, l'impostazione dell'etichetta non avrà effetto fino alla successiva autenticazione dell'utente.

Ulteriori informazioni sulle dipendenze per l'opzione del contesto di autenticazione

Per essere visualizzati nell'elenco a discesa per la selezione, i contesti di autenticazione devono essere creati, configurati e pubblicati come parte della configurazione dell'accesso condizionale di Azure Active Directory. Per altre informazioni e istruzioni, vedere la sezione Configurare i contesti di autenticazione nella documentazione dell'accesso condizionale di Azure AD.

Se un utente con un'app non supportata si connette al sito configurato per un contesto di autenticazione, viene visualizzato un messaggio di accesso negato oppure gli verrà richiesto di eseguire l'autenticazione ma questa verrà rifiutato. Le app che al momento supportano i contesti di autenticazione sono:

  • Office per il Web, che include Outlook per il Web

  • Microsoft Teams per Windows e macOS (esclude l'app Web di Teams)

  • Microsoft Planner

  • Microsoft 365 Apps per Word, Excel e PowerPoint. Versioni minime:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 2.48.303
    • Android: 16.0.13924.10000
  • Microsoft 365 Apps Outlook. Versioni minime:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 4.2109.0
    • Android: 4.2025.1
  • App di sincronizzazione OneDrive, versioni minime:

    • Windows: 21.002
    • macOS: 21.002
    • iOS: distribuzione nella versione 12.30
    • Android: non ancora supportato

Limitazioni note di questa anteprima:

  • Per l'app sincronizzazione OneDrive, viene supportato solo OneDrive e non gli altri siti.

  • Le funzionalità e le app seguenti potrebbero non essere compatibili con i contesti di autenticazione, pertanto è consigliabile verificare che continuino a funzionare dopo che un utente accede al sito attraverso un contesto di autenticazione:

    • Flussi di lavoro che usano Power Apps o Power Automate
    • App di terze parti

Oltre alle impostazioni delle etichette per siti e i gruppi configurabili dal Portale di conformità di Microsoft Purview, è anche possibile configurare il tipo di collegamento di condivisione predefinito per un sito. Le etichette di riservatezza per i documenti possono essere configurate anche per un tipo di collegamento di condivisione predefinito. Queste impostazioni, che consentono di evitare una condivisione eccessiva, vengono selezionate automaticamente quando gli utenti selezionano il pulsante Condividi nelle app di Office.

Per ulteriori informazioni e istruzioni, vedere Utilizzare etichette di riservatezza per configurare il tipo di collegamento di condivisione predefinito per siti e documenti in SharePoint e OneDrive.

Configurare le autorizzazioni di condivisione dei siti usando le impostazioni avanzate di PowerShell

Nota

Questa impostazione dell'etichetta è attualmente in anteprima.

Un'altra impostazione avanzata di PowerShell che è possibile configurare per l'applicazione dell'etichetta di riservatezza a un sito SharePoint è MembersCanShare. Questa impostazione è la configurazione equivalente che è possibile impostare dall'interfaccia di amministrazione di SharePoint > Autorizzazioni sito > Condivisione sito > Modificare la modalità di condivisione dei membri > Condivisione autorizzazioni.

Le tre opzioni sono elencate con i valori equivalenti per l'impostazione avanzata di PowerShell MembersCanShare:

Opzione dall'interfaccia di amministrazione di SharePoint Valore di PowerShell equivalente per MembersCanShare
I proprietari e i membri del sito possono condividere file, cartelle e il sito. Gli utenti con autorizzazioni di modifica possono condividere file e cartelle. MemberShareAll
I proprietari e i membri del sito e gli utenti con autorizzazioni di modifica possono condividere file e cartelle, ma solo i proprietari del sito possono condividere il sito. MemberShareFileAndFolder
Solo i proprietari del sito possono condividere file, cartelle e il sito. MemberShareNone

Per altre informazioni su queste opzioni di configurazione, vedere Modificare la modalità di condivisione dei membri dalla documentazione della community di SharePoint.

Esempi di PowerShell, in cui il GUID dell'etichetta di riservatezza è 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}

Per altre informazioni sulla specifica delle impostazioni avanzate di PowerShell, vedere Suggerimenti di PowerShell per specificare le impostazioni avanzate.

Gestione delle etichetta di riservatezza

Seguire le istruzioni seguenti per creare, modificare o eliminare le etichette di riservatezza configurate per i siti e i gruppi.

Creare e pubblicare etichette configurate per i siti e i gruppi

Seguire le istruzioni seguenti per pubblicare un'etichetta per gli utenti quando l'etichetta è configurata per le impostazioni di sito e gruppo:

  1. Dopo aver creato e configurato l'etichetta di riservatezza, aggiungerla a un criterio di etichetta applicabile solo a pochi utenti test.

  2. Attendere la replica della modifica:

    • Nuova etichetta: attendere almeno un'ora.
    • Etichetta esistente: attendere almeno 24 ore.

    Per altre informazioni sull'intervallo delle etichette, vedere Quando aspettarsi che le nuove etichette e le modifiche diventino effettive.

  3. Dopo questo periodo di attesa, usare uno degli account utente test per creare un team, un gruppo di Microsoft 365 o un sito di SharePoint con l'etichetta creata nel passaggio 1.

  4. Se non si verificano errori durante l'operazione di creazione, sarà possibile pubblicare l'etichetta per tutti gli utenti del tenant in sicurezza.

Modificare etichette pubblicate che sono configurate per i siti e i gruppi

Come procedura consigliata, non modificare le impostazioni di sito e gruppo per un'etichetta di riservatezza dopo averla applicata a team, gruppi o siti. In caso affermativo, ricordarsi di attendere almeno 24 ore che le modifiche vengano replicate in tutti i contenitori a cui è applicata l'etichetta.

Inoltre, se le modifiche includono l'impostazione Accesso di utenti esterni:

  • La nuova impostazione si applica ai nuovi utenti, ma non agli utenti esistenti. Ad esempio, se questa impostazione è stata selezionata in precedenza e quindi gli utenti guest hanno eseguito l'accesso al sito, tali utenti guest possono continuare ad accedere al sito dopo aver deselezionato l'impostazione nella configurazione dell'etichetta.

  • Le impostazioni di privacy relative alle proprietà dei gruppi hiddenMembership e roleEnabled non vengono aggiornate.

Eliminare etichette pubblicate che sono configurate per i siti e i gruppi

Se si elimina un'etichetta di riservatezza che ha impostazioni a livello di sito e gruppo abilitate e questa etichetta è inclusa in uno o più criteri di etichetta, questa azione può causare errori di creazione per i nuovi team, gruppi e siti. Per evitare questa situazione, seguire queste indicazioni:

  1. Rimuovere l'etichetta di riservatezza da tutti i criteri che includono l'etichetta.

  2. Attendere almeno un'ora.

  3. Dopo questo periodo di attesa, provare a creare un team, un gruppo o un sito e verificare che l'etichetta non sia più visibile.

  4. Se l'etichetta di riservatezza non è visibile, è possibile eliminare l'etichetta in sicurezza.

Come applicare le etichette di riservatezza ai contenitori

A questo punto è possibile applicare una o più etichette di riservatezza ai seguenti contenitori:

È possibile usare PowerShell se è necessario per applicare un'etichetta di riservatezza a più siti.

Applicare etichette di riservatezza ai gruppi di Microsoft 365

Ora si è pronti per applicare una o più etichette di riservatezza ai gruppi di Microsoft 365. Per istruzioni, tornare alla documentazione di Azure AD:

Applicare un'etichetta di riservatezza a un nuovo team

Gli utenti possono selezionare le etichette di riservatezza quando creano nuovi team in Microsoft Teams. Quando selezionano l'etichetta dall'elenco a discesa Riservatezza, l'impostazione della privacy può cambiare in modo da riflettere la configurazione dell'etichetta. In base alle impostazioni di accesso degli utenti esterni selezionate per l'etichetta, gli utenti possono o non possano aggiungere al team persone esterne all'organizzazione.

Altre informazioni sulle etichette di riservatezza per Teams

Impostazioni di privacy durante la creazione di un nuovo team.

Dopo la creazione del team, l'etichetta di riservatezza compare nell'angolo in alto a destra di tutti i canali.

L'etichetta di riservatezza compare nel team.

Il servizio applica automaticamente la stessa etichetta di riservatezza al gruppo di Microsoft 365 e al sito del team di SharePoint connesso.

Applicare un'etichetta di riservatezza a un nuovo gruppo in Outlook sul Web

In Outlook sul Web, quando si crea un nuovo gruppo è possibile selezionare o modificare l'opzione Riservatezza per le etichette pubblicate:

Creazione di un gruppo e selezione di un'opzione in Riservatezza.

Applicare un'etichetta di riservatezza a un nuovo sito

Gli amministratori e gli utenti finali possono selezionare le etichette di riservatezza quando creano siti di comunicazione e siti del team moderni ed espandere le Impostazioni avanzate:

Creazione di un sito e selezione di un'opzione in Riservatezza.

La casella a discesa mostra i nomi di etichetta disponibili per la selezione e l'icona della Guida mostra tutti i nomi delle etichette con la relativa descrizione comando, aiutando gli utenti a determinare l'etichetta corretta da applicare.

Quando l'etichetta viene applicata e gli utenti visitano il sito, vedono il nome dell'etichetta e i criteri applicati. Ad esempio, questo sito è stato etichettato come Riservato e l'impostazione della privacy è Privato:

Sito a cui è applicata un'etichetta di riservatezza.

Usare PowerShell per applicare un'etichetta di riservatezza a più siti

È possibile usare il cmdlet Set-SPOSite e Set-SPOTenant con il parametro SensitivityLabel dall'attuale SharePoint Online Management Shell per applicare un'etichetta di riservatezza a molti siti. I siti possono essere una raccolta siti di SharePoint o un sito di OneDrive.

Verificare di avere la versione 16.0.19418.12000 o successiva di SharePoint Online Management Shell.

  1. Aprire una sessione di PowerShell con l'opzione Esegui come amministratore.

  2. Se non si conosce il GUID dell'etichetta: connettersi a PowerShell per Centro sicurezza e conformità e ottenere l'elenco delle etichette di riservatezza e i relativi GUID.

    Get-Label |ft Name, Guid
    
  3. Ora connettersi a PowerShell per SharePoint Online e archiviare il GUID di etichetta come una variabile. Per esempio:

    $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
    
  4. Creare una nuova variabile che identifichi più siti con una stringa di identificazione in comune nell'URL. Ad esempio:

    $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
    
  5. Eseguire il comando seguente per applicare l'etichetta a questi siti. Seguendo gli esempi:

    $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
    

Questa serie di comandi consente di applicare a più siti del tenant la stessa etichetta di riservatezza. È per questo che si usa il cmdlet Set-SPOTenant invece del cmdlet Set-SPOSite, specifico per la configurazione per sito. Tuttavia, usare il cmdlet Set-SPOSite quando è necessario applicare un'etichetta diversa a siti specifici ripetendo il comando seguente per ognuno di questi siti: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

Visualizzare e gestire le etichette di riservatezza nell'interfaccia di amministrazione di SharePoint

Per visualizzare, ordinare e cercare le etichette di riservatezza applicate, usare la pagina Siti attivi nella nuova interfaccia di amministrazione di SharePoint. Potrebbe essere necessario aggiungere prima la colonna Riservatezza:

Colonna Riservatezza nella pagina Siti attivi.

Per altre informazioni sulla gestione dei siti dalla pagina Siti attivi, compresa l'informazione su come aggiungere una colonna, vedere Gestire i siti nella nuova interfaccia di amministrazione di SharePoint.

È anche possibile modificare e applicare un'etichetta da questa pagina:

  1. Selezionare il nome del sito per aprire il riquadro dei dettagli.

  2. Selezionare la scheda Criteri, quindi Modifica per l'impostazione Riservatezza.

  3. Nel riquadro Modifica impostazione riservatezza, selezionare l'etichetta di riservatezza che si desidera applicare al sito. A differenza delle app utente, in cui le etichette di riservatezza possono essere assegnate a utenti specifici, nell'interfaccia di amministrazione vengono visualizzate tutte le etichette di riservatezza per il tenant. Dopo aver scelto un'etichetta, selezionare Salva.

Supporto per etichette di riservatezza

Quando si usano interfacce di amministrazione che supportano le etichette di riservatezza, ad eccezione del portale Azure Active Directory Domain Services, vengono visualizzate tutte le etichette di riservatezza per il tenant. In confronto, le app e i servizi utente che filtrano le etichette di riservatezza in base ai criteri di pubblicazione possono comportare la visualizzazione di un sottoinsieme di tali etichette. Azure Active Directory consente inoltre di filtrare le etichette in base ai criteri di pubblicazione.

Le app e i servizi seguenti supportano le etichette di riservatezza configurate per le impostazioni di sito e gruppo:

  • Interfacce di amministrazione:

    • Interfaccia di amministrazione di SharePoint
    • Interfaccia di amministrazione di Teams
    • Interfaccia di amministrazione di Microsoft 365
    • Portale di conformità di Microsoft Purview
  • App e servizi utente:

    • SharePoint
    • Teams
    • Outlook sul web e per Windows, macOS, iOS e Android
    • Forms
    • Stream
    • Planner

Le app e i servizi seguenti attualmente non supportano le etichette di riservatezza configurate per le impostazioni di sito e gruppo:

  • Interfacce di amministrazione:

    • Interfaccia di amministrazione di Exchange
  • App e servizi utente:

    • Dynamics 365
    • Yammer
    • Project
    • Power BI

Classificazione dei gruppi di Azure AD classica

Dopo aver abilitato le etichette di riservatezza per i contenitori, le classificazioni di gruppo di Azure AD non sono più supportate da Microsoft 365 e non vengono visualizzate nei siti che supportano le etichette di riservatezza. Tuttavia, è possibile convertire le vecchie classificazioni alle etichette di riservatezza.

Come esempio della classificazione dei gruppi precedente per SharePoint, vedere Classificazione dei siti "moderni" di SharePoint.

Queste classificazioni venivano configurate tramite Azure AD PowerShell o la raccolta PnP Core e definendo i valori per l'impostazione ClassificationList. Se il tenant include valori di classificazione definiti, vengono visualizzati eseguendo il comando seguente dal modulo PowerShell AzureADPreview:

($setting["ClassificationList"])

Per passare dalle vecchie classificazioni alle etichette di riservatezza, eseguire una delle seguenti operazioni:

  • Usare etichette esistenti: specificare le impostazioni di etichetta desiderate per i siti e i gruppi modificando etichette di riservatezza esistenti e già pubblicate.

  • Creare nuove etichette: specificare le impostazioni di etichetta desiderate per i siti e i gruppi creando e pubblicando nuove etichette di riservatezza che abbiano nomi identici alle classificazioni esistenti.

In seguito:

  1. Usare PowerShell per applicare le etichette di riservatezza ai gruppi di Microsoft 365 e ai siti di SharePoint esistenti utilizzando il mapping dei nomi. Per istruzioni, vedere la sezione successiva.

  2. Rimuovere le vecchie classificazioni dai gruppi e siti esistenti.

Nonostante non si possa impedire agli utenti di creare nuovi gruppi in app e servizi che non supportano ancora le etichette di riservatezza, è tuttavia possibile eseguire uno script di PowerShell ricorrente per cercare nuovi gruppi che gli utenti abbiano creato con le vecchie classificazioni, per poi convertirli all'uso delle etichette di riservatezza.

Per facilitare la gestione della coesistenza di etichette di riservatezza e classificazioni di Azure AD per siti e gruppi, vedere Etichette di riservatezza e classificazione di Azure Active Directory per gruppi di Microsoft 365.

Usare PowerShell per convertire le classificazioni per i gruppi di Microsoft 365 in etichette di riservatezza

  1. Prima di tutto,connettersi a PowerShell in Centro sicurezza e conformità.

    Ad esempio, in una sessione di PowerShell eseguita come amministratore, accedere con un account di amministratore globale:

  2. Ottenere l'elenco delle etichette di riservatezza e dei GUID corrispondenti usando il cmdlet Get-Label:

    Get-Label |ft Name, Guid
    
  3. Prendere nota dei GUID per le etichette di riservatezza che si desidera applicare ai gruppi di Microsoft 365.

  4. Ora connettersi a PowerShell di Exchange Online in una finestra separata di Windows PowerShell.

  5. Usare il comando seguente come un esempio per visualizzare l'elenco dei gruppi al momento classificati come "Generale":

    $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
    
  6. Per ogni gruppo, aggiungere il GUID della nuova etichetta di riservatezza. Ad esempio:

    foreach ($g in $groups)
    {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
    
  7. Ripetere i passaggi 5 e 6 per le classificazioni dei gruppi rimanenti.

Controllo delle attività sulle etichette di riservatezza

Importante

Se si usa la separazione delle etichette selezionando solo l'ambito Gruppi e siti per le etichette che proteggono i contenitori: a causa dell'evento di controllo Rilevata mancata corrispondenza della riservatezza del documento e dei messaggi di posta elettronica descritti in questa sezione, è consigliabile ordinare le etichette prima delle etichette che hanno un ambito per File e messaggi di posta elettronica.

Se qualcuno carica un documento in un sito protetto con un'etichetta di riservatezza e il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta di riservatezza applicata al sito, l'azione non verrà bloccata. Ad esempio, si supponga sia stata applicata l'etichetta Generale a un sito di SharePoint e che qualcuno carichi su tale sito un documento con etichetta Riservato. Dato che un'etichetta di riservatezza con una priorità più elevata identifica un contenuto maggiormente riservato di quello contrassegnato con un ordine di priorità inferiore, la situazione potrebbe porre un problema di sicurezza.

Anche se l'azione non viene bloccata, viene controllata e, per impostazione predefinita, genera automaticamente un messaggio di posta elettronica per la persona che ha caricato il documento e l'amministratore del sito. Di conseguenza, sia l'utente che l'amministratore possono identificare quali documenti abbiano questo disallineamento di priorità dell'etichetta e, se necessario, intervenire. Ad esempio, è possibile spostare o eliminare dal sito il documento caricato.

Non costituirebbe alcun problema di sicurezza se il documento recasse un'etichetta di riservatezza con priorità inferiore rispetto a quella applicata al sito. Ad esempio, un documento con etichetta Generale viene caricato in un sito con etichetta Riservato. In questo scenario non vengono generati eventi di controllo o messaggi di posta elettronica.

Nota

Proprio come per l'opzione dei criteri che richiede agli utenti di fornire una giustificazione per la modifica di un'etichetta a una classificazione inferiore, le sotto etichette per la stessa etichetta padre sono considerate tutte con la stessa priorità.

Per eseguire una ricerca di tale evento nel log di controllo, cercare È stata rilevata una mancata corrispondenza della riservatezza del documento nella categoria Attività su file e pagine.

Il messaggio di posta elettronica generato automaticamente ha l'oggetto Rilevata etichetta di riservatezza incompatibile e il messaggio di posta elettronica spiega la mancata corrispondenza dell'etichetta, con un collegamento al documento caricato e al sito. Include anche un collegamento alla documentazione che spiega in che modo gli utenti possono modificare l'etichetta di riservatezza. Questi messaggi di posta elettronica automatizzati non possono essere personalizzati, ma è possibile impedirne l'invio quando si usa il comando di PowerShell seguente da Set-SPOTenant:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

Vengono controllate anche le attività di aggiunta o rimozione di un'etichetta di riservatezza da un sito o gruppo, senza però che venga generato un messaggio di posta elettronica.

Tutti questi eventi di controllo sono disponibili nella categoria Attività etichetta di riservatezza. Per istruzioni sulla ricerca nel log di controllo, vedere Eseguire ricerche nel log di controllo nel Centro sicurezza e conformità.

Come disabilitare le etichette di riservatezza per i contenitori

È possibile disabilitare le etichette di riservatezza per Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint seguendo le stesse istruzioni per Abilitare il supporto per le etichette di riservatezza in PowerShell. Tuttavia, per disabilitare la funzionalità, nel passaggio 5, specificare $setting["EnableMIPLabels"] = "False".

Oltre a rendere tutte le impostazioni non disponibili per i gruppi e i siti quando si creano o si modificano le etichette di riservatezza, questa azione ripristina la proprietà utilizzata dai contenitori per la configurazione. L'abilitazione di etichette di riservatezza per Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint cambia la proprietà usata da Classificazione, (usata per la classificazione del gruppo di Azure AD) in Riservatezza. Quando si disabilitano le etichette di riservatezza per i contenitori, i contenitori ignorano la proprietà Riservatezza e usano nuovamente la proprietà Classificazione.

Ciò significa che tutte le impostazioni delle etichette dei siti e dei gruppi applicate in precedenza ai contenitori non verranno applicate e nei contenitori non verranno più visualizzate le etichette.

Se a tali contenitori sono applicati valori di classificazione di Azure AD, i contenitori ripristinano nuovamente l'uso delle classificazioni. Tenere presente che in qualsiasi nuovo sito o gruppo creato dopo l'abilitazione della funzione non verrà visualizzata alcuna etichetta o classificazione. A questi contenitori e a tutti i nuovi contenitori sarà possibile, a questo punto, applicare valori di classificazione. Per altre informazioni, vedere Classificazione dei siti "moderni" di SharePoint e Creare classificazioni per i gruppi di Office nell'organizzazione.

Risorse aggiuntive

Per informazioni su come usare le etichette di riservatezza con Microsoft Teams, Gruppi di Office 365 e i siti di SharePoint Online, consultare la registrazione del webinar e le risposte alle domande.

Il webinar è stato registrato quando la funzione era ancora in anteprima, quindi si potrebbero notare alcune differenze nell'interfaccia utente. Tuttavia, le informazioni per questa funzione e tutte le nuove funzionalità documentate in questa pagina sono esatte.

Per altre informazioni sulla gestione dei siti connessi e dei siti del canale di Teams, vedere Gestione dei siti connessi e dei siti del canale di Teams.