Configurare team con la protezione dei dati altamente sensibiliConfigure teams with protection for highly sensitive data

Questo articolo illustra la configurazione di un team per un livello di protezione dei dati altamente sensibili.In this article, we look at setting up a team for a highly sensitive level of protection. Prima di eseguire la procedura descritta in questo articolo, assicurarsi di aver completato la procedura descritta in Distribuire i team con la protezione di base.Be sure you've completed the steps in Deploy teams with baseline protection before following the steps in this article.

Per questo livello di protezione si crea un'etichetta di riservatezza che può essere usata nell'intera organizzazione per i team e i file altamente sensibili.For this tier of protection, we create a sensitivity label that can be used across your organization for highly sensitive teams and files. Solo i membri dell'organizzazione e gli utenti guest specificati potranno decrittografare i file che usano questa etichetta.Only members of your organization and guests that you have specified will be able to decrypt files that use this label. Se è necessario isolare ulteriormente le autorizzazioni in modo che solo i membri di un team specifico possano decrittografare i file, vedere Distribuire un team con isolamento di sicurezza.If you need to further isolate permissions so that only members of a specific team can decrypt files, see Deploy a team with security isolation.

Il livello dei dati altamente sensibili offre le seguenti protezioni aggiuntive rispetto al livello di base:The highly sensitive tier offers the following additional protections over the baseline tier:

  • Un'etichetta di riservatezza per il team che consente di attivare o disattivare la condivisione con gli ospiti e bloccare l'accesso ai contenuti di SharePoint per i dispositivi non gestiti. L'etichetta può anche essere usata per classificare e crittografare i file.A sensitivity label for the team that allows you to turn guest sharing on or off and blocks access to SharePoint content for unmanaged devices. This label can also be used to classify and encrypt files.
  • Tipo di collegamento di condivisione predefinito più restrittivoA more restrictive default sharing link type
  • Solo i proprietari del team possono creare canali privati.Only team owners can create private channels.
  • Le richieste di accesso per il sito di SharePoint associato sono disattivate.Access requests for the associated SharePoint site are turned off.

Dimostrazione videoVideo demonstration

Guardare questo video per una procedura dettagliata con le procedure descritte in questo articolo.Watch this video for a walkthrough of the procedures described in this article.

Condivisione con gli utenti guestGuest sharing

A seconda del tipo di attività, è possibile abilitare la condivisione guest per i team che contengono dati altamente sensibili.Depending on the nature of your business, you may or may not want to enable guest sharing for teams that contain highly sensitive data. Se si prevede di collaborare con persone esterne all'organizzazione nel team, è consigliabile abilitare la condivisione guest.If you do plan to collaborate with people outside your organization in the team, we recommend enabling guest sharing. Microsoft 365 include numerose funzionalità di sicurezza e conformità che consentono di condividere il contenuto riservato in modo sicuro.Microsoft 365 includes a variety of security and compliance features to help you share sensitive content securely. In genere si tratta di un'opzione più sicura rispetto all'invio diretto tramite posta elettronica del contenuto a persone esterne all'organizzazione.This is generally a more secure option than emailing content directly to people outside your organization.

Per informazioni dettagliate sulla condivisione sicura di con gli utenti guest, vedere le risorse seguenti:For details about sharing with guests securely, see the following resources:

Per consentire o impedire la condivisione guest, è possibile usare una combinazione di un'etichetta di riservatezza per il team e di controlli di condivisione a livello di team per il sito di SharePoint associato, entrambi illustrati più avanti.To allow or block guest sharing, we use a combination of a sensitivity label for the team and site-level sharing controls for the associated SharePoint site, both discussed later.

Etichette di riservatezzaSensitivity labels

Per il livello di protezione dei dati altamente sensibili si userà un'etichetta di riservatezza per classificare il team.For the highly sensitive level of protection, we'll be using a sensitivity label to classify the team. Questa etichetta può essere usata anche per classificare e crittografare singoli file in questo o in altri team o in altre posizioni dei file, ad esempio SharePoint o OneDrive.This label can also be used to classify and encrypt individual files in this or other teams or in other file locations such as SharePoint or OneDrive.

Come primo passaggio, è necessario abilitare le etichette di riservatezza per Teams.As a first step, you must enable sensitivity labels for Teams. Per informazioni dettagliate, vedere Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Office 365 e siti di SharePoint.See Use sensitivity labels to protect content in Microsoft Teams, Office 365 groups, and SharePoint sites for details.

Se nell'organizzazione sono già state distribuite etichette di riservatezza, valutare il modo in cui questa etichetta si inserisce nella strategia di etichettatura complessiva.If you already have sensitivity labels deployed in your organization, consider how this label fits with your overall label strategy. È possibile modificare il nome o le impostazioni, se necessario, per soddisfare le esigenze dell'organizzazione.You can change the name or settings if needed to meet the needs of your organization.

Dopo avere abilitato le etichette di riservatezza per Teams, il passaggio successivo consiste nel creare l'etichetta.Once you have enabled sensitivity labels for Teams, the next step is to create the label.

Per creare un'etichetta di riservatezzaTo create a sensitivity label

  1. Aprire il Centro conformità Microsoft 365.Open the Microsoft 365 compliance center.
  2. In Soluzioni fare clic su Protezione delle informazioni.Under Solutions, click Information protection.
  3. Fare clic su Crea un'etichetta.Click Create a label.
  4. Assegnare un nome all'etichetta.Give the label a name. Si consiglia di usare Dati altamente sensibili, ma è possibile scegliere un nome diverso se è già in uso.We suggest Highly sensitive, but you can choose a different name if that one is already in use.
  5. Aggiungere un nome visualizzato e una descrizione, quindi fare clic su Avanti.Add a display name and description, and then click Next.
  6. Nella pagina Definire l'ambito di questa etichetta, selezionare File ed e-mail e Gruppi e siti, quindi fare clic su Avanti.On the Define the scope for this label page, select Files & emails and Groups & sites and click Next.
  7. Nella pagina Scegliere le impostazioni di protezione per file ed e-mail, selezionare Crittografare file ed e-mail, quindi fare clic su Avanti.On the Choose protection settings for files and emails page, select Encrypt files and emails, and then click Next.
  8. Nella pagina Crittografia, scegliere Configurare le impostazioni di crittografia.On the Encryption page, choose Configure encryption settings.
  9. In Assegna le autorizzazioni a utenti e gruppi specifici fare clic su Assegna autorizzazioni.Under Assign permissions to specific users and groups, click Assign permissions.
  10. Fare clic su Aggiungi tutti gli utenti e i gruppi dell'organizzazione.Click Add all users and groups in your organization.
  11. Se sono presenti utenti guest che devono avere le autorizzazioni necessarie per decrittografare i file, fare clic su Aggiungi utenti o gruppi e aggiungerli.If there are guests who should have permissions to decrypt files, click Add users or groups and add them.
  12. Fare clic su Salva, quindi fare clic su Avanti.Click Save, and then click Next.
  13. Nella pagina *Etichettatura automatica di file ed e-mail**, fare clic su Avanti.On the Auto-labeling for files and emails* page, click Next.
  14. Nella pagina Definire le impostazioni di protezione per gruppi e siti, selezionare Impostazioni di privacy e accesso utenti esterni e Impostazioni di accesso del dispositivo e condivisione esterna, quindi fare clic su Avanti.On the Define protection settings for groups and sites page, select Privacy and external user access settings and Device access and external sharing settings and click Next.
  15. Nella pagina Definire le impostazioni di privacy e accesso utenti esterni, in Privacy, selezionare l'opzione Privato.On the Define privacy and external user access settings page, under Privacy, select the Private option.
  16. Se si desidera consentire l'accesso a utenti guest, in Accesso utenti esterni, selezionare Consentire ai proprietari di gruppi di Microsoft 365 di aggiungere persone esterne all'organizzazione ai gruppi come ospiti.If you want to allow guest access, under External user access, select Let Microsoft 365 Group owners add people outside your organization to the group as guests.
  17. Fare clic su Avanti.Click Next.
  18. Nella pagina Definire le impostazioni di condivisione esterna e di accesso del dispositivo, selezionare Controllare la condivisione esterna da siti SharePoint con etichetta.On the Define external sharing and device access settings page, select Control external sharing from labeled SharePoint sites.
  19. In Il contenuto può essere condiviso con, scegliere Utenti ospiti nuovi ed esistenti se si sta consentendo l'accesso a utenti guest o Solo persone nell'organizzazione in caso contrario.Under Content can be shared with, choose New and existing guests if you're allowing guest access or Only people in your organization if not.
  20. In Accesso da dispositivi non gestiti scegliere Blocca accesso.Under Access from unmanaged devices, choose Block access. Se si consente l'accesso guest e questi non hanno dispositivi gestiti, è possibile scegliere Consenti l’accesso limitato, solo sul Web.(If you're allowing guests and they don't have managed devices, you may want to choose Allow limited, web-only access.)
  21. Fare clic su Avanti.Click Next.
  22. Nella pagina Applicazione automatica di etichette per le colonne del database, fare clic su Avanti.On the Auto-labeling for database columns page, click Next.
  23. Fare clic su Crea etichetta, quindi su Fine.Click Create label, and then click Done.

Dopo avere creato l'etichetta, è necessario pubblicarla per gli utenti che la useranno.Once you've created the label, you need to publish it to the users who will use it. Per la protezione dei dati sensibili, l'etichetta sarà resa disponibile per tutti gli utenti.For sensitive protection, we'll make the label available to all users. È possibile pubblicare l'etichetta nel Centro conformità Microsoft 365, nella scheda Criteri delle etichette della pagina Protezione delle informazioni.You publish the label in the Microsoft 365 compliance center, on the Label policies tab of the Information protection page. Se si ha un criterio esistente applicato a tutti gli utenti, aggiungere questa etichetta a tale criterio.If you have an existing policy that applies to all users, add this label to that policy. Se è necessario creare un nuovo criterio, vedere Pubblicare etichette di riservatezza creando un criterio di etichetta.If you need to create a new policy, see Publish sensitivity labels by creating a label policy.

Creare un teamCreate a team

L'ulteriore configurazione dello scenario dei dati altamente sensibili è da eseguire nel sito di SharePoint associato al team, quindi il passaggio successivo consiste nel creare un team.Further configuration of the highly sensitive scenario is done in the SharePoint site associated with the team, so the next step is to create a team.

Per creare un team per le informazioni altamente sensibiliTo create a team for highly sensitive information

  1. In Teams fare clic su Team sul lato sinistro dell'app, quindi fare clic su Partecipa o crea un team in fondo all'elenco dei team.In Teams, click Teams on the left side of the app, then click Join or create a team at the bottom of the teams list.
  2. Fare clic su Crea team (prima scheda nell'angolo in alto a sinistra).Click Create team (first card, top left corner).
  3. Scegliere Crea un team da zero.Choose Build a team from scratch.
  4. Nell'elenco Riservatezza scegliere l'etichetta Dati altamente sensibili appena creata.In the Sensitivity list, choose the Highly sensitive label that you just created.
  5. In Privacy fare clic su Privato.Under Privacy, click Private.
  6. Digitare un nome per il team e quindi fare clic su Crea.Type a name for the team, and then click Create.
  7. Aggiungere gli utenti al team, quindi fare clic su Chiudi.Add users to the team, and then click Close.

Impostazioni per i canali privatiPrivate channel settings

In questo livello, la creazione di canali privati è limitata ai proprietari dei team.In this tier, we restrict creating private channels to team owners.

Per limitare la creazione di canali privatiTo restrict private channel creation

  1. Nel team fare clic su Altre opzioni e quindi su Gestisci team.In the team, click More options, and then click Manage team.
  2. Nella scheda Impostazioni espandere Autorizzazioni dei membri.On the Settings tab, expand Member permissions.
  3. Deselezionare la casella di controllo Consenti ai membri di creare canali privati.Clear the Allow members to create private channels check box.

È anche possibile usare i criteri dei team per controllare chi può creare canali privati.You can also use teams policies to control who can create private channels.

Impostazioni di SharePointSharePoint settings

Ogni volta che si crea un nuovo team con l'etichetta per i dati altamente sensibili, occorre eseguire due passaggi in SharePoint:Each time you create a new team with the highly sensitive label, there are two steps to do in SharePoint:

  • Aggiorna le impostazioni di condivisione guest per il sito nell'interfaccia di amministrazione di SharePoint per aggiornare il collegamento di condivisione predefinito Utenti con accesso.Update the guest sharing settings for the site in the SharePoint admin center to update the default sharing link to People with existing access.
  • Aggiornare le impostazioni di condivisione del sito nel sito stesso per impedire ai membri di condividere file, cartelle o siti e disattivare le richieste di accesso.Update the site sharing settings in the site itself to prevent members from sharing files, folders, or the site, and turn off access requests.

Per aggiornare il tipo di collegamento di condivisione predefinito del sitoTo update the site default sharing link type

  1. Aprire l'interfaccia di amministrazione di SharePoint.Open the SharePoint admin center.
  2. In Siti fare clic su Siti attivi.Under Sites, click Active sites.
  3. Fare clic sul sito associato al team.Click the site that is associated with team.
  4. Nella scheda Criteri, in Condivisione esterna fare clic su Modifica.On the Policies tab, under External sharing, click Edit.
  5. In Tipo di collegamento di condivisione predefinito deselezionare la casella di controllo Uguale all'impostazione a livello di organizzazione e selezionare Persone con accesso esistente.Under Default sharing link type, clear the Same as organization-level setting check box, and select People with existing access.
  6. Fare clic su Salva.Click Save.

Canali privatiPrivate channels

Se si aggiungono canali privati al team, ogni canale privato crea un nuovo sito di SharePoint con le impostazioni di condivisione predefinite.If you add private channels to the team, each private channel creates a new SharePoint site with the default sharing settings. Questi siti non sono visibili nell'interfaccia di amministrazione di SharePoint, quindi è necessario usare il cmdlet di PowerShell Set-SPOSite per aggiornare le impostazioni di condivisione guest.These sites are not visible in the SharePoint admin center, so you must use the Set-SPOSite PowerShell cmdlet to update the guest sharing settings.

Impostazioni di condivisione del sitoSite sharing settings

Per fare in modo che il sito di SharePoint non venga condiviso con persone che non fanno parte del team, limitiamo la condivisione ai proprietari.To help ensure that the SharePoint site does not get shared with people who are not members of the team, we limit such sharing to owners. Limitiamo anche la condivisione di file e cartelle ai proprietari del team.We also limit sharing of files and folders to team owners. In questo modo, i proprietari saranno informati ogni volta che un file viene condiviso con utenti esterni al team.This helps ensure that owners are aware whenever a file is shared with someone outside the team.

Per fare in modo che solo i proprietari possano condividere il sitoTo configure owners-only site sharing

  1. In Teams passare alla scheda Generale del team da aggiornare.In Teams, navigate to the General tab of the team you want to update.
  2. Nella barra degli strumenti per il team fare clic su File.In the tool bar for the team, click Files.
  3. Fare clic sui puntini di sospensione, quindi selezionare Apri in SharePoint.Click the ellipsis, and then click Open in SharePoint.
  4. Nella barra degli strumenti del sito di SharePoint sottostante fare clic sull'icona delle impostazioni, quindi su Autorizzazioni sito.In the tool bar of the underlying SharePoint site, click the settings icon, and then click Site permissions.
  5. Nel riquadro Autorizzazioni sito, in Condivisione sito, fare clic su Modifica il metodo di condivisione dei membri.In the Site permissions pane, under Site sharing, click Change how members can share.
  6. In Impostazioni di condivisione scegliere Solo i proprietari del sito possono condividere file, cartelle e il sito.Under Sharing permissions, choose Only site owners can share files, folders, and the site.
  7. Disattivare Consenti richieste di accesso e quindi fare clic su Salva.Set Allow access requests to Off, and then click Save.

Vedere ancheSee Also

Creare e configurare etichette di riservatezza e i relativi criteriCreate and configure sensitivity labels and their policies