Configurare team con la protezione dei dati sensibiliConfigure teams with protection for sensitive data

Questo articolo illustra la configurazione di un team per un livello di protezione dei dati sensibili.In this article, we look at setting up a team for a sensitive level of protection. Prima di eseguire la procedura descritta in questo articolo, assicurarsi di aver completato la procedura descritta in Distribuire i team con la protezione di base.Be sure you've completed the steps in Deploy teams with baseline protection before following the steps in this article. Il livello dei dati sensibili offre le seguenti protezioni aggiuntive rispetto al livello di base:The sensitive tier offers the following additional protections over the baseline tier:

  • Un'etichetta di riservatezza per il team che consente di attivare o disattivare la condivisione guest e limitare l'accesso al contenuto di SharePoint al solo Web per i dispositivi non gestiti. L'etichetta può essere usata anche per classificare i file.A sensitivity label for the team that allows you to turn guest sharing on or off and limits access to SharePoint content to web-only for unmanaged devices. This label can also be used to classify files.
  • Tipo di collegamento di condivisione predefinito più restrittivoA more restrictive default sharing link type
  • Solo i proprietari del team possono creare canali privati.Only team owners can create private channels.

Dimostrazione videoVideo demonstration

Guardare questo video per una procedura dettagliata con le procedure descritte in questo articolo.Watch this video for a walkthrough of the procedures described in this article.

Condivisione con gli utenti guestGuest sharing

A seconda del tipo di attività, è possibile abilitare la condivisione guest per i team che contengono dati sensibili.Depending on the nature of your business, you may or may not want to enable guest sharing for teams that contain sensitive data. Se si prevede di collaborare con persone esterne all'organizzazione nel team, è consigliabile abilitare la condivisione guest.If you do plan to collaborate with people outside your organization in the team, we recommend enabling guest sharing. Microsoft 365 include numerose funzionalità di sicurezza e conformità che consentono di condividere il contenuto riservato in modo sicuro.Microsoft 365 includes a variety of security and compliance features to help you share sensitive content securely. In genere si tratta di un'opzione più sicura rispetto all'invio diretto tramite posta elettronica del contenuto a persone esterne all'organizzazione.This is generally a more secure option than emailing content directly to people outside your organization.

Per informazioni dettagliate sulla condivisione sicura di con gli utenti guest, vedere le risorse seguenti:For details about sharing with guests securely, see the following resources:

Per consentire o impedire la condivisione guest, è possibile usare una combinazione di un'etichetta di riservatezza per il team e di controlli di condivisione a livello di team per il sito di SharePoint associato, entrambi illustrati più avanti.To allow or block guest sharing, we use a combination of a sensitivity label for the team and site-level sharing controls for the associated SharePoint site, both discussed later.

Etichette di riservatezzaSensitivity labels

Per il livello di protezione dei dati sensibili si userà un'etichetta di riservatezza per classificare il team.For the sensitive level of protection, we'll be using a sensitivity label to classify the team. Questa etichetta può essere usata anche per classificare e singoli file in questo o in altri team o in altre posizioni dei file, ad esempio SharePoint o OneDrive.This label can also be used to classify individual files in this or other teams, or in other file locations such as SharePoint or OneDrive.

Come primo passaggio, è necessario abilitare le etichette di riservatezza per Teams.As a first step, you must enable sensitivity labels for Teams. Per informazioni dettagliate, vedere Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Office 365 e siti di SharePoint.See Use sensitivity labels to protect content in Microsoft Teams, Office 365 groups, and SharePoint sites for details.

Se nell'organizzazione sono già state distribuite etichette di riservatezza, valutare il modo in cui questa etichetta si inserisce nella strategia di etichettatura complessiva.If you already have sensitivity labels deployed in your organization, consider how this label fits with your overall label strategy. È possibile modificare il nome o le impostazioni, se necessario, per soddisfare le esigenze dell'organizzazione.You can change the name or settings if needed to meet the needs of your organization.

Dopo avere abilitato le etichette di riservatezza per Teams, il passaggio successivo consiste nel creare l'etichetta.Once you have enabled sensitivity labels for Teams, the next step is to create the label.

Per creare un'etichetta di riservatezzaTo create a sensitivity label

  1. Aprire il Centro conformità Microsoft 365.Open the Microsoft 365 compliance center.
  2. In Soluzioni fare clic su Protezione delle informazioni.Under Solutions, click Information protection.
  3. Fare clic su Crea un'etichetta.Click Create a label.
  4. Assegnare un nome all'etichetta.Give the label a name. Si consiglia di usare Dati sensibili, ma è possibile scegliere un nome diverso se è già in uso.We suggest Sensitive, but you can choose a different name if that one is already in use.
  5. Aggiungere un nome visualizzato e una descrizione, quindi fare clic su Avanti.Add a display name and description, and then click Next.
  6. Nella pagina Definire l'ambito di questa etichetta, selezionare File ed e-mail e Gruppi e siti, quindi fare clic su Avanti.On the Define the scope for this label page, select Files & emails and Groups & sites and click Next.
  7. Nella pagina Scegliere le impostazioni di protezione per file ed e-mail, fare clic su Avanti.On the Choose protection settings for files and emails page, click Next.
  8. Nella pagina *Etichettatura automatica di file ed e-mail**, fare clic su Avanti.On the Auto-labeling for files and emails* page, click Next.
  9. Nella pagina Definire le impostazioni di protezione per gruppi e siti, selezionare Impostazioni di privacy e accesso utenti esterni e Impostazioni di accesso del dispositivo e condivisione esterna, quindi fare clic su Avanti.On the Define protection settings for groups and sites page, select Privacy and external user access settings and Device access and external sharing settings and click Next.
  10. Nella pagina Definire le impostazioni di privacy e accesso utenti esterni, in Privacy, selezionare l'opzione Privato.On the Define privacy and external user access settings page, under Privacy, select the Private option.
  11. Se si desidera consentire l'accesso a utenti guest, in Accesso utenti esterni, selezionare Consentire ai proprietari di gruppi di Microsoft 365 di aggiungere persone esterne all'organizzazione ai gruppi come ospiti.If you want to allow guest access, under External user access, select Let Microsoft 365 Group owners add people outside your organization to the group as guests.
  12. Fare clic su Avanti.Click Next.
  13. Nella pagina Definire le impostazioni di condivisione esterna e di accesso del dispositivo, selezionare Controllare la condivisione esterna da siti SharePoint con etichetta.On the Define external sharing and device access settings page, select Control external sharing from labeled SharePoint sites.
  14. In Il contenuto può essere condiviso con, scegliere Utenti ospiti nuovi ed esistenti se si sta consentendo l'accesso a utenti guest o Solo persone nell'organizzazione in caso contrario.Under Content can be shared with, choose New and existing guests if you're allowing guest access or Only people in your organization if not.
  15. In Accesso da dispositivi non gestiti, scegliere Consentire accesso limitato, solo sul Web.Under Access from unmanaged devices, choose Allow limited, web-only access.
  16. Fare clic su Avanti.Click Next.
  17. Nella pagina Applicazione automatica di etichette per le colonne del database, fare clic su Avanti.On the Auto-labeling for database columns page, click Next.
  18. Fare clic su Crea etichetta, quindi su Fine.Click Create label, and then click Done.

Dopo avere creato l'etichetta, è necessario pubblicarla per gli utenti che la useranno.Once you've created the label, you need to publish it to the users who will use it. Per la protezione dei dati sensibili, l'etichetta sarà resa disponibile per tutti gli utenti.For sensitive protection, we'll make the label available to all users. È possibile pubblicare l'etichetta nel Centro conformità Microsoft 365, nella scheda Criteri delle etichette della pagina Protezione delle informazioni.You publish the label in the Microsoft 365 compliance center, on the Label policies tab of the Information protection page. Se si ha un criterio esistente applicato a tutti gli utenti, aggiungere questa etichetta a tale criterio.If you have an existing policy that applies to all users, add this label to that policy. Se è necessario creare un nuovo criterio, vedere Pubblicare etichette di riservatezza creando un criterio di etichetta.If you need to create a new policy, see Publish sensitivity labels by creating a label policy.

Creare un teamCreate a team

L'ulteriore configurazione dello scenario dei dati sensibili è da eseguire nel sito di SharePoint associato al team, quindi il passaggio successivo consiste nel creare un team.Further configuration of the sensitive scenario is done in the SharePoint site associated with the team, so the next step is to create a team.

Per creare un team per le informazioni sensibiliTo create a team for sensitive information

  1. In Teams fare clic su Team sul lato sinistro dell'app, quindi fare clic su Partecipa o crea un team in fondo all'elenco dei team.In Teams, click Teams on the left side of the app, then click Join or create a team at the bottom of the teams list.
  2. Fare clic su Crea team (prima scheda nell'angolo in alto a sinistra).Click Create team (first card, top left corner).
  3. Scegliere Crea un team da zero.Choose Build a team from scratch.
  4. Nell'elenco Riservatezza scegliere l'etichetta Dati sensibili appena creata.In the Sensitivity list, choose the sensitive label that you just created.
  5. In Privacy fare clic su Privato.Under Privacy, click Private.
  6. Digitare un nome per il team e quindi fare clic su Crea.Type a name for the team, and then click Create.
  7. Aggiungere gli utenti al team, quindi fare clic su Chiudi.Add users to the team, and then click Close.

Impostazioni per i canali privatiPrivate channel settings

In questo livello, la creazione di canali privati è limitata ai proprietari dei team.In this tier, we restrict creating private channels to team owners.

Per limitare la creazione di canali privatiTo restrict private channel creation

  1. Nel team fare clic su Altre opzioni e quindi su Gestisci team.In the team, click More options, and then click Manage team.
  2. Nella scheda Impostazioni espandere Autorizzazioni dei membri.On the Settings tab, expand Member permissions.
  3. Deselezionare la casella di controllo Consenti ai membri di creare canali privati.Clear the Allow members to create private channels check box.

È anche possibile usare i criteri dei team per controllare chi può creare canali privati.You can also use teams policies to control who can create private channels.

Impostazioni di SharePointSharePoint settings

Ogni volta che si crea un nuovo team con l'etichetta per i dati sensibili, occorre eseguire due passaggi in SharePoint:Each time you create a new team with the sensitive label, there are two steps to do in SharePoint:

  • Aggiorna le impostazioni di condivisione guest per il sito nell'interfaccia di amministrazione di SharePoint in modo da aggiornare il collegamento di condivisione predefinito Utenti specifici.Update the guest sharing settings for the site in the SharePoint admin center to update the default sharing link to Specific people.
  • Aggiornare le impostazioni di condivisione del sito nel sito stesso per impedire ai membri di condividerlo.Update the site sharing settings in the site itself to prevent members from sharing the site.

Per aggiornare il tipo di collegamento di condivisione predefinito del sitoTo update the site default sharing link type

  1. Aprire l'interfaccia di amministrazione di SharePoint.Open the SharePoint admin center.
  2. In Siti fare clic su Siti attivi.Under Sites, click Active sites.
  3. Fare clic sul sito associato al team.Click the site that is associated with team.
  4. Nella scheda Criteri, in Condivisione esterna fare clic su Modifica.On the Policies tab, under External sharing, click Edit.
  5. In Tipo di collegamento di condivisione predefinito deselezionare la casella di controllo Uguale all'impostazione a livello di organizzazione e selezionare Persone specifiche (solo le persone specificate dall'utente).Under Default sharing link type, clear the Same as organization-level setting check box, and select Specific people (only the people the user specifies).
  6. Fare clic su Salva.Click Save.

Se si vuole creare uno script per questa operazione come parte del processo di creazione del team, è possibile usare set-SPOSite con i parametri -DefaultSharingLinkType Direct per modificare il collegamento di condivisione predefinito in Utenti specificiIf you want to script this as part of your team creation process, you can use Set-SPOSite with the -DefaultSharingLinkType Direct parameter to change the default sharing link to Specific people.

Canali privatiPrivate channels

Se si aggiungono canali privati al team, ogni canale privato crea un nuovo sito di SharePoint con le impostazioni di condivisione predefinite.If you add private channels to the team, each private channel creates a new SharePoint site with the default sharing settings. Questi siti non sono visibili nell'interfaccia di amministrazione di SharePoint, quindi è necessario usare il cmdlet di PowerShell Set-SPOSite per aggiornare le impostazioni di condivisione guest.These sites are not visible in the SharePoint admin center, so you must use the Set-SPOSite PowerShell cmdlet to update the guest sharing settings.

Impostazioni di condivisione del sitoSite sharing settings

Per fare in modo che il sito di SharePoint non venga condiviso con persone che non fanno parte del team, limitiamo la condivisione ai proprietari.To help ensure that the SharePoint site does not get shared with people who are not members of the team, we limit such sharing to owners.

Per fare in modo che solo i proprietari possano condividere il sitoTo configure owners-only site sharing

  1. In Teams passare alla scheda Generale del team da aggiornare.In Teams, navigate to the General tab of the team you want to update.
  2. Nella barra degli strumenti per il team fare clic su File.In the tool bar for the team, click Files.
  3. Fare clic sui puntini di sospensione, quindi selezionare Apri in SharePoint.Click the ellipsis, and then click Open in SharePoint.
  4. Nella barra degli strumenti del sito di SharePoint sottostante fare clic sull'icona delle impostazioni, quindi su Autorizzazioni sito.In the tool bar of the underlying SharePoint site, click the settings icon, and then click Site permissions.
  5. Nel riquadro Autorizzazioni sito, in Condivisione sito, fare clic su Modifica il metodo di condivisione dei membri.In the Site permissions pane, under Site sharing, click Change how members can share.
  6. In Autorizzazioni di condivisione selezionare I proprietari e i membri del sito e gli utenti con autorizzazioni di modifica possono condividere file e cartelle, ma solo i proprietari del sito possono condividere il sito, quindi fare clic su Salva.Under Sharing permissions, choose Site owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site, and then click Save.

Vedere ancheSee Also

Creare e configurare etichette di riservatezza e i relativi criteriCreate and configure sensitivity labels and their policies