Proteggere siti e file di SharePoint OnlineSecure SharePoint Online sites and files

Questo articolo illustra come configurare la protezione di siti e file del team di SharePoint Online in modo da bilanciare la sicurezza con la facilità di collaborazione. L'articolo definisce quattro diverse configurazioni, a partire da un sito pubblico interno all'organizzazione con i criteri di condivisione più aperti. Ogni configurazione aggiuntiva rappresenta un miglioramento significativo in termini di protezione, ma la possibilità di accedere e collaborare sulle risorse si riduce al gruppo di utenti interessati.This article provides recommendations for configuring SharePoint Online team sites and file protection that balances security with ease of collaboration. This article defines four different configurations, starting with a public site within your organization with the most open sharing policies. Each additional configuration represents a meaningful step up in protection, but the ability to access and collaborate on resources is reduced to the relevant set of users.

Usare questi suggerimenti come punto di partenza e modificare le configurazioni per soddisfare le esigenze della propria organizzazione.Use these recommendations as a starting point and adjust the configurations to meet the needs of your organization.

Le configurazioni descritte in questo articolo sono allineate alle raccomandazioni di Microsoft per i tre livelli di protezione per dati, identità e dispositivi:The configurations in this article align with Microsoft's recommendations for three tiers of protection for data, identities, and devices:

  • Protezione di baseBaseline protection
  • Protezione dati sensibiliSensitive protection
  • Protezione dati altamente riservatiHighly confidential protection

Per altre informazioni su questi livelli e sulle funzionalità consigliate per ogni livello, vedere le risorse seguenti.For more information about these tiers and capabilities recommended for each tier, see the following resources.

Panoramica delle funzionalitàCapability overview

I consigli per i siti del team di SharePoint Online si basano su una vasta gamma di funzionalità di Office 365. Per i siti strettamente riservati, è consigliabile usare Azure Information Protection, incluso in Enterprise Mobility + Security (EMS).Recommendations for SharePoint Online team sites draw on a variety of Office 365 capabilities. For highly confidential sites, Azure Information Protection is recommended. This is included in Enterprise Mobility + Security (EMS).

Questo diagramma illustra le configurazioni consigliate per quattro siti del team di SharePoint Online.This diagram shows the recommended configurations for four SharePoint Online team sites.

Configurazioni di SharePoint consigliate

Come illustrato nell'esempio:As illustrated:

  • La protezione di base include due opzioni per i siti del team di SharePoint Online, un sito pubblico e un sito privato. I siti pubblici possono essere individuati e usati da qualsiasi persona dell'organizzazione. I siti privati possono essere individuati e usati solo dai membri del sito. Queste configurazioni del sito consentono entrambe la condivisione all'esterno del gruppo.Baseline protection includes two options for SharePoint Online team sites — a public site and private site. Public sites can be discovered and accessed by anybody in the organization. Private sites can only be discovered and accessed by members of the site. Both of these site configurations allow for sharing outside the group.
  • I siti per la protezione dei dati sensibili ed estremamente riservati sono siti privati con accesso limitato solo ai membri di gruppi specifici.Sites for sensitive and highly confidential protection are private sites with access limited only to members of specific groups.
  • Le etichette di Office 365 consentono di classificare i dati con un livello di protezione necessario. Ogni sito del team di SharePoint Online è configurato in modo da etichettare automaticamente i file delle raccolte di documenti con un'etichetta predefinita per il sito. In questo esempio le etichette, che corrispondono alle quattro configurazioni dei siti, sono Internal Public (Pubblico interno), Private (Privato), Sensitive (Dati sensibili) e Highly Confidential (Riservatezza elevata). Gli utenti possono modificare le etichette, ma questa configurazione garantisce che tutti i file ricevano un'etichetta predefinita.Office 365 labels provide a way to classify data with a needed protection level. Each of the SharePoint Online team sites are configured to automatically label files in document libraries with a default label for the site. Corresponding to the four site configurations, the labels in this example are Internal Public, Private, Sensitive, and Highly Confidential. Users can change the labels, but this configuration ensures all files receive a default label.
  • Vengono configurati criteri di prevenzione della perdita di dati per le etichette Sensitive e Highly Confidential di Office 365 per avvisare o bloccare gli utenti quando tentano di inviare questi tipi di file all'esterno dell'organizzazione.Data loss prevention (DLP) policies are configured for the Sensitive and Highly Confidential Office 365 labels to either warn or prevent users when they attempt to send these types of files outside the organization.
  • Per i siti configurati con la protezione dei dati altamente riservati, Azure Information Protection crittografa e concede le autorizzazioni per i file.For sites configured with highly confidential protection, Azure Information Protection encrypts and grants permissions for files.

Impostazioni a livello di tenant per SharePoint Online e OneDrive for BusinessTenant-wide settings for SharePoint Online and OneDrive for Business

SharePoint Online e OneDrive for Business includono impostazioni a livello di tenant che influiscono su tutti i siti e tutti gli utenti. Alcune di queste impostazioni si possono modificare anche a livello di sito in modo che siano più restrittive (ma non meno). In questa sezione vengono illustrate le impostazioni a livello di tenant che influiscono sulla sicurezza e sulla collaborazione.SharePoint Online and OneDrive for Business include tenant-wide settings that affect all sites and users. Some of these settings can also be adjusted at the site level to be more restrictive (but not less). This section discusses tenant-wide settings that affect security and collaboration.

CondivisioneSharing

Per questa soluzione, è consigliabile usare le seguenti impostazioni a livello di tenant:For this solution, we recommend the following tenant-wide settings:

  • Mantenere il criterio di condivisione predefinito che consente la condivisione completa, inclusa quella anonima, con tutti i tipi di account.Keep the default sharing policy that allows all sharing with all account types, including anonymous sharing.
  • Se necessario, impostare i collegamenti anonimi in modo che scadano.Set anonymous links to expire, if desired.
  • Modificare il tipo di collegamento predefinito per la condivisione impostandolo su Interno. In questo modo si impedisce la fuga accidentale di dati all'esterno dell'organizzazione.Change the default link type for sharing to Internal. This helps prevent accidental data leakage outside your organization.

Anche se può sembrare illogico consentire la condivisione esterna, questo approccio offre un maggiore controllo sulla condivisione dei file rispetto all'invio dei file con i messaggi di posta elettronica. SharePoint Online e Outlook interagiscono in modo da garantire la sicurezza della collaborazione sui file.While it might seem counterintuitive to allow external sharing, this approach provides more control over file sharing compared to sending files in email. SharePoint Online and Outlook work together to provide secure collaboration on files.

  • Per impostazione predefinita, Outlook condivide un collegamento a un file anziché inviare il file in un messaggio di posta elettronica.By default, Outlook shares a link to a file instead of sending the file in email.
  • SharePoint Online e OneDrive for Business semplificano la condivisione dei collegamenti ai file con i collaboratori sia all'interno che all'esterno dell'organizzazione.SharePoint Online and OneDrive for Business make it easy to share links to files with contributors who are both inside and outside your organization.

Sono anche disponibili controlli che consentono di gestire la condivisione esterna. Ad esempio, è possibile:You also have controls to help govern external sharing. For example, you can:

  • Disabilitare un collegamento guest anonimo.Disable an anonymous guest link.
  • Revocare l'accesso utente a un sito.Revoke user access to a site.
  • Vedere chi ha accesso a un documento o un sito specifico.See who has access to a specific site or document.
  • Impostare i collegamenti di condivisione anonimi in modo che abbiano una scadenza (impostazione del tenant).Set anonymous sharing links to expire (tenant setting).
  • Limitare gli utenti che possono condividere all'esterno dell'organizzazione (impostazione del tenant).Limit who can share outside your organization (tenant setting).

Usare la condivisione esterna con la prevenzione della perdita di datiUse external sharing together with data loss prevention (DLP)

Se non si consente la condivisione esterna, gli utenti con esigenze aziendali troveranno strumenti e metodi alternativi. Microsoft consiglia di combinare la condivisione esterna con i criteri di prevenzione della perdita di dati per proteggere i file sensibili e altamente riservati.If you don’t allow external sharing, users with a business need will find alternate tools and methods. Microsoft recommends you combine external sharing with DLP policies to protect sensitive and highly confidential files.

Impostazioni di accesso dispositivoDevice access settings

Le impostazioni di accesso dispositivo per SharePoint Online e OneDrive for Business consentono di determinare se l'accesso è limitato solo al browser (non è possibile scaricare i file) o se l'accesso è bloccato. Queste impostazioni sono attualmente nella prima versione e si applicano a livello di tenant. Sarà presto disponibile la possibilità di configurare i criteri di accesso dispositivo a livello di sito. Per questa soluzione, è consigliabile non usare impostazioni di accesso dispositivo valide a livello di tenant.Device access settings for SharePoint Online and OneDrive for Business let you determine whether access is limited to browser only (files can’t be downloaded) or if access is blocked. These settings are currently in First Release and apply tenant-wide. Coming soon is the ability to configure device access policies at the site level. For this solution, we recommend not using device access settings that apply tenant-wide.

Per usare le impostazioni di accesso dispositivo mentre sono nella prima versione: Impostare le opzioni Standard o First Release in Office 365.To use device access settings while these are in first release: Set up the Standard or First Release Options in Office 365.

OneDrive for BusinessOneDrive for Business

Esaminare queste impostazioni per decidere se si vuole modificare le impostazioni predefinite per i siti di OneDrive for Business. Attualmente, le impostazioni di accesso dispositivo e condivisione vengono duplicate dall'interfaccia di amministrazione di SharePoint Online e applicate a entrambi gli ambienti.Visit these settings to decide if you want to change the default settings for OneDrive for Business sites. Currently, the sharing and device access settings are duplicated from the SharePoint Online admin center and apply to both environments.

Configurazione del sito del team di SharePointSharePoint team site configuration

Nella tabella seguente viene riepilogata la configurazione per ciascuno dei siti del team descritti in precedenza in questo articolo. Usare queste configurazioni come punto di partenza e modificare i tipi di sito e le relative configurazioni per soddisfare le esigenze della propria organizzazione. Non tutte le organizzazioni necessitano ogni tipo di sito. Solo un numero ridotto di organizzazioni richiede la protezione dei dati con riservatezza elevata.The following table summarizes the configuration for each of the team sites described earlier in this article. Use these configurations as starting point recommendations and adjust the site types and configurations to meet the needs of your organization. Not every organization needs every type of site. Only a small number of organizations require highly confidential protection.

Protezione di base 1Baseline protection #1 Protezione di base 2Baseline protection #2 Protezione dati sensibiliSensitive protection Riservatezza elevataHighly confidential
DescrizioneDescription Individuazione e collaborazione aperte all'interno dell'organizzazione.Open discovery and collaboration within the organization. Sito privato e gruppo con condivisione consentita all'esterno del gruppo.Private site and group with sharing allowed outside the group. Sito isolato, in cui i livelli di accesso sono definiti dall'appartenenza a gruppi specifici. La condivisione è consentita solo ai membri del sito. La prevenzione della perdita di dati avvisa gli utenti quando tentano di inviare file all'esterno dell'organizzazione.Isolated site, in which levels of access are defined by membership in specific groups. Sharing is only allowed to members of the site. DLP warns users when attempting to send files outside the organization. Sito isolato + crittografia dei file e autorizzazioni con Azure Information Protection. La prevenzione della perdita dei dati impedisce agli utenti di inviare file all'esterno dell'organizzazione.Isolated site + file encryption and permissions with Azure Information Protection. DLP prevents users from sending files outside the organization.
Sito del team privato o pubblicoPrivate or public team site PubblicoPublic PrivatePrivate PrivatePrivate PrivatePrivate
Chi può accedere?Who has access? Tutti gli utenti dell'organizzazione, inclusi gli utenti B2B e gli utenti guest.Everybody in the organization, including B2B users and guest users. Solo i membri del sito. Altri utenti possono richiedere l'accesso.Members of the site only. Others can request access. Solo i membri del sito. Altri utenti possono richiedere l'accesso.Members of the site only. Others can request access. Solo i membri. Altri utenti non possono richiedere l'accesso.Members only. Others cannot request access.
Controlli della condivisione a livello di sitoSite-level sharing controls Condivisione consentita con chiunque. Impostazioni predefinite.Sharing allowed with anybody. Default settings. Condivisione consentita con chiunque. Impostazioni predefinite.Sharing allowed with anybody. Default settings. I membri non possono condividere l'accesso al sito.Members cannot share access to the site.
I non membri possono richiedere l'accesso al sito, ma tali richieste devono essere gestite da un amministratore del sito.Non-members can request access to the site, but these requests need to be addressed by a site administrator.
I membri non possono condividere l'accesso al sito.Members cannot share access to the site.
I non membri non possono richiedere l'accesso al sito o ai contenuti.Non-members cannot request access to the site or contents.
Controlli di accesso dispositivo a livello di sitoSite-level device access controls Nessun controllo aggiuntivo.No additional controls. Nessun controllo aggiuntivo.No additional controls. Saranno presto disponibili controlli a livello di sito che impediscono agli utenti di scaricare i file su dispositivi non conformi o non aggiunti al dominio. Ciò consente l'accesso solo dal browser da tutti gli altri dispositivi.Site-level controls are coming soon, which prevents users from downloading files to non-compliant or non-domain joined devices. This allows browser-only access from all other devices. Saranno presto disponibili controlli a livello di sito che bloccano il download dei file su dispositivi non conformi o non aggiunti al dominio.Site-level controls are coming soon, which blocks downloading of files to non-compliant or non-domain joined devices.
Etichette di Office 365Office 365 labels Internal PublicInternal Public PrivatePrivate Dati sensibiliSensitive Highly Confidential (Riservatezza elevata)Highly Confidential
Criteri di prevenzione della perdita di dati (DLP)DLP policies Gli utenti vengono avvisati se inviano file con etichetta Sensitive (Dati sensibili) all'esterno dell'organizzazione.Warn users when sending files that are labeled as Sensitive outside the organization.
Per bloccare la condivisione esterna di tipi di dati sensibili, ad esempio numeri di carta di credito o altri dati personali, è possibile configurare criteri DLP aggiuntivi per questi tipi di dati, inclusi i tipi di dati personalizzati configurati dall'utente.To block external sharing of sensitive data types, such as credit card numbers or other personal data, you can configure additional DLP policies for these data types (including custom data types you configure).
Agli utenti viene impedito di inviare file con etichetta Highly Confidential (Riservatezza elevata) all'esterno dell'organizzazione. Gli utenti possono ignorare questa limitazione giustificando l'invio, indicando ad esempio con chi condividono il file.Block users from sending files that are labeled as highly confidential outside organization. Allow users to override this by providing justification, including who they are sharing the file with.
Azure Information ProtectionAzure Information Protection Usare Azure Information Protection per crittografare e concedere automaticamente le autorizzazioni per i file. Questa protezione viene trasferita con i file in caso di fuga. Office 365 non è in grado di leggere i file crittografati con Azure Information Protection. Inoltre, i criteri DLP funzionano solo con i metadati, incluse le etichette, ma non con il contenuto dei file, ad esempio i numeri di carta di credito all'interno dei file.Use Azure Information Protection to automatically encrypt and grant permissions to files. This protection travels with the files in case they are leaked. Office 365 cannot read files encrypted with Azure Information Protection. Additionally, DLP policies can only work with the metadata (including labels) but not the contents of these files (such as credit card numbers within files).

Per la procedura di distribuzione dei quattro tipi diversi di siti del team di SharePoint Online in questa soluzione, vedere Distribuire siti per tre livelli di protezione.For the steps to deploy the four different types of SharePoint Online team sites in this solution, see Deploy sites for three tiers of protection.

Per istruzioni dettagliate per la configurazione a scopo dimostrativo, per il modello di verifica o per sviluppo e test, vedere Proteggere i siti di SharePoint Online in un ambiente di sviluppo/test.For step-by-step instructions to set this up for demonstration, proof of concept, or dev/test, see Secure SharePoint Online sites in a dev/test environment.

Classificazione ed etichette di Office 365Office 365 classification and labels

L'uso delle etichette di Office 365 è consigliato per gli ambienti con dati sensibili. Dopo aver configurato e pubblicato le etichette di Office 365, è possibile:Using Office 365 labels is recommended for environments with sensitive data. After you configure and publish Office 365 labels, you can:

  • Applicare un'etichetta predefinita a una raccolta di documenti in un sito del team di SharePoint Online, in modo che tutti i documenti inclusi nella raccolta abbiano l'etichetta predefinita.Apply a default label to a document library in a SharePoint Online team site, so that all documents in that library get the default label.
  • Applicare automaticamente le etichette al contenuto se sono soddisfatte condizioni specifiche.Apply labels to content automatically if it matches specific conditions.
  • Creare criteri DLP basati sulle etichette di Office 365.Create DLP policies that are based on Office 365 labels.
  • Consentire agli utenti dell'organizzazione di applicare manualmente un'etichetta al contenuto in Outlook sul Web, Outlook 2010 e versioni successive, OneDrive for Business, SharePoint Online e gruppi di Office 365. Gli utenti spesso conoscono meglio il tipo di contenuto su cui stanno lavorando, quindi possono classificarlo e applicare i criteri DLP appropriati.Enable people in your organization to apply a label manually to content in Outlook on the web, Outlook 2010 and later, OneDrive for Business, SharePoint Online, and Office 365 groups. Users often know best what type of content they’re working with, so they can classify it and have the appropriate DLP policy applied.

    Etichette di Office 365

Come indica l'illustrazione, questa soluzione include la creazione delle etichette seguenti:As illustrated, this solution includes creating the following labels:

  • Highly Confidential (Riservatezza elevata)Highly Confidential
  • Dati sensibiliSensitive
  • PrivatePrivate
  • Internal PublicInternal Public

Le etichette vengono mappate ai siti consigliati nelle illustrazioni e nei grafici presentati in precedenza in questo articolo. Questa soluzione consiglia di configurare criteri DLP per impedire la fuga di file etichettati come sensibili ed estremamente riservati all'esterno dell'organizzazione.These labels are mapped to the recommended sites in the illustrations and charts earlier in this article. This solution recommends configuring DLP policies to help prevent the leakage of files labeled as Sensitive and Highly Confidential outside the organization.

Per la procedura di configurazione delle etichette di Office 365 e dei criteri di prevenzione della perdita di dati in questa soluzione, vedere Proteggere i file di SharePoint Online con le etichette di Office 365 e DLP.For the steps to configure Office 365 labels and DLP policies in this solution, see Protect SharePoint Online files with Office 365 labels and DLP.

Per istruzioni dettagliate per la configurazione a scopo dimostrativo, per il modello di verifica o per sviluppo e test, vedere Proteggere i siti di SharePoint Online in un ambiente di sviluppo/test.For step-by-step instructions to set this up for demonstration, proof of concept, or dev/test, see Secure SharePoint Online sites in a dev/test environment.

Azure Information ProtectionAzure Information Protection

Usare Azure Information Protection per applicare le etichette e le protezioni che seguono i file ovunque vanno. Per questa soluzione, si consiglia di usare criteri di Azure Information Protection con ambito e un'etichetta secondaria dell'etichetta Highly Confidential (Riservatezza elevata) per crittografare e concedere le autorizzazioni per i file che devono essere protetti con il massimo livello di sicurezza.Use Azure Information Protection to apply labels and protections that follow the files wherever they go. For this solution, we recommend you use a scoped Azure Information Protection policy and a sub-label of the Highly Confidential label to encrypt and grant permissions to files that need to be protected with the highest level of security.

Tenere presente che quando si applica la crittografia di Azure Information Protection ai file archiviati in Office 365, il servizio non è in grado di elaborare il contenuto di questi file. La creazione condivisa, eDiscovery, la ricerca, Delve e altre funzionalità di collaborazione non funzionano. I criteri DLP funzionano solo con i metadati, incluse le etichette di Office 365, ma non con il contenuto dei file, ad esempio i numeri di carta di credito all'interno dei file.Be aware that when Azure Information Protection encryption is applied to files stored in Office 365, the service cannot process the contents of these files. Co-authoring, eDiscovery, search, Delve, and other collaborative features do not work. DLP policies can only work with the metadata (including Office 365 labels) but not the contents of these files (such as credit card numbers within files).

Etichette di Office 365

Come illustrato nell'esempio:As illustrated:

  • I criteri e le etichette di Azure Information Protection vengono configurati nel portale di Microsoft Azure. È consigliabile configurare un'etichetta secondaria di un criterio con ambito.You configure Azure Information Protection policies and labels in the Microsoft Azure portal. Configuring a sub-label of a scoped policy is recommended.
  • Le etichette di Azure Information Protection sono visualizzate in una barra Information Protection nelle applicazioni di Office.Azure Information Protection labels show up as a Information protection bar in Office applications.

Aggiunta delle autorizzazioni per gli utenti esterniAdding permissions for external users

Esistono due modi per concedere agli utenti esterni l'accesso ai file protetti con Azure Information Protection. In entrambi i casi gli utenti esterni devono avere un account Azure AD. Se gli utenti esterni non sono membri di un'organizzazione che usa Azure AD, possono ottenere un account Azure AD come utente singolo da questa pagina di iscrizione: https://aka.ms/aip-signup.There are two ways you can grant external users access to files protected with Azure Information Protection. In both these cases, external users must have an Azure AD account. If external users aren’t members of an organization that uses Azure AD, they can obtain an Azure AD account as an individual by using this sign-up page: https://aka.ms/aip-signup.

  • Aggiungere gli utenti esterni a un gruppo di Azure AD usato per configurare la protezione per un'etichetta. È necessario per prima cosa aggiungere l'account come utente B2B nella propria directory. Il caching dell'appartenenza a gruppi da parte di Azure Rights Management può richiedere un paio d'ore. Con questo metodo, le autorizzazioni vengono concesse per tutti i file esistenti protetti con l'etichetta, inclusi i file protetti prima dell'aggiunta di un utente al gruppo di Azure AD.Add external users to an Azure AD group that is used to configure protection for a label. You’ll need to first add the account as a B2B user in your directory. It can take a couple of hours for group membership caching by Azure Rights Management. With this method, permissions are granted to all existing files protected with the label (even files protected before a user is added to the Azure AD group).

  • Aggiungere gli utenti esterni direttamente alla protezione dell'etichetta. È possibile aggiungere tutti gli utenti di un'organizzazione (ad esempio, Fabrikam.com), un gruppo di Azure AD (ad esempio, un gruppo di contabilità all'interno di un'organizzazione) o un singolo utente. Ad esempio, è possibile aggiungere un team esterno di regolatori alla protezione per un'etichetta. Con questo metodo, le autorizzazioni vengono concesse solo per i file protetti con l'etichetta dopo l'aggiunta dell'entità esterna alla protezione.Add external users directly to the label protection. You can add all users from an organization (e.g. Fabrikam.com), an Azure AD group (such as a finance group within an organization), or an individual user. For example, you can add an external team of regulators to the protection for a label. With this method, permissions are granted only to files protected with the label after the external entity is added to the protection.

Distribuzione e uso di Azure Information ProtectionDeploying and using Azure Information Protection

Per la procedura di configurazione di Azure Information Protection in questa soluzione, vedere Proteggere i file di SharePoint Online con Azure Information Protection.For the steps to configure Azure Information Protection in this solution, see Protect SharePoint Online files with Azure Information Protection.

Per istruzioni dettagliate per la configurazione a scopo dimostrativo, per il modello di verifica o per sviluppo e test, vedere Proteggere i siti di SharePoint Online in un ambiente di sviluppo/test.For step-by-step instructions to set this up for demonstration, proof of concept, or dev/test, see Secure SharePoint Online sites in a dev/test environment.

Passaggi successiviNext steps

Distribuire siti per tre livelli di protezioneDeploy sites for three tiers of protection