Configurare Teams con tre livelli di protezioneConfigure Teams with three tiers of protection

Gli articoli in questa serie offrono suggerimenti per configurare i team in Microsoft Teams e i siti di SharePoint associati per la protezione dei file in modo da bilanciare la sicurezza con la facilità di collaborazione.The articles in this series provide recommendations for configuring teams in Microsoft Teams and their associated SharePoint sites for file protection that balances security with ease of collaboration.

L'articolo definisce quattro diverse configurazioni, a partire da un team pubblico con i criteri di condivisione più aperti.This article defines four different configurations, starting with a public team with the most open sharing policies. Ogni configurazione aggiuntiva rappresenta un miglioramento significativo in termini di protezione, ma la possibilità di accedere e collaborare ai file archiviati nei si riduce al gruppo di membri dei team interessati.Each additional configuration represents a meaningful step up in protection, while the ability to access and collaborate on files stored within teams is reduced to the relevant set of team members.

Le configurazioni descritte in questo articolo sono allineate alle raccomandazioni di Microsoft per i tre livelli di protezione per dati, identità e dispositivi:The configurations in this article align with Microsoft's recommendations for three tiers of protection for data, identities, and devices:

  • Protezione di baseBaseline protection

  • Protezione dati sensibilisensitive protection

  • Protezione dati altamente sensibiliHighly sensitive protection

Per altre informazioni su questi livelli e le funzionalità consigliate per ogni livello, vedere immagini Microsoft Cloud for Enterprise ArchitectsFor more information about these tiers and capabilities recommended for each tier, see Microsoft cloud for enterprise architects illustrations

I tre livelli a colpo d'occhioThree tiers at a glance

La tabella seguente riepiloga le configurazioni per ogni livello.The following table summarizes the configurations for each tier. Usare queste configurazioni come punto di partenza e modificarle in base alle esigenze della propria organizzazione.Use these configurations as starting point recommendations and adjust the configurations to meet the needs of your organization. Potrebbe non essere necessario implementare tutti i livelli.You may not need every tier.

- Di base (pubblico)Baseline (Public) Di base (privato)Baseline (Private) Dati sensibiliSensitive Altamente sensibiliHighly sensitive
Team privato o pubblicoPrivate or public team PubblicoPublic PrivatePrivate PrivatePrivate PrivatePrivate
Chi può accedere?Who has access? Tutti gli utenti dell'organizzazione, inclusi gli utenti B2B.Everybody in the organization, including B2B users. Solo i membri del team.Only members of the team. Altri utenti possono richiedere l'accesso al sito associato.Others can request access to the associated site. Solo i membri del team.Only members of the team. Solo i membri del team.Only members of the team.
Canali privatiPrivate channels I proprietari e i membri possono creare canali privatiOwners and members can create private channels I proprietari e i membri possono creare canali privatiOwners and members can create private channels Solo i proprietari possono creare canali privatiOnly owners can create private channels Solo i proprietari possono creare canali privatiOnly owners can create private channels
Accesso guest a livello di sitoSite-level guest access Utenti guest nuovi ed esistenti (impostazione predefinita).New and existing guests (default). Utenti guest nuovi ed esistenti (impostazione predefinita).New and existing guests (default). Utenti guest nuovi ed esistenti o Solo persone nell'organizzazione in base alle esigenze del team.New and existing guests or Only people in your organization depending on team needs. Utenti guest nuovi ed esistenti o Solo persone nell'organizzazione in base alle esigenze del team.New and existing guests or Only people in your organization depending on team needs.
Impostazioni di condivisione del sitoSite sharing settings I proprietari e i membri del sito e gli utenti con autorizzazioni di modifica possono condividere file e cartelle, ma solo i proprietari del sito possono condividere il sito.Site owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. I proprietari e i membri del sito e gli utenti con autorizzazioni di modifica possono condividere file e cartelle, ma solo i proprietari del sito possono condividere il sito.Site owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. I proprietari e i membri del sito e gli utenti con autorizzazioni di modifica possono condividere file e cartelle, ma solo i proprietari del sito possono condividere il sito.Site owners and members, and people with Edit permissions can share files and folders, but only site owners can share the site. Solo i proprietari del sito possono condividere file, cartelle e il sito.Only site owners can share files, folders, and the site.
Richieste di accesso disattivate.Access requests Off.
Accesso ai dispositivi non gestiti a livello di sitoSite-level unmanaged device access Consenti l'accesso completo dalle app desktop, dalle app per dispositivi mobili e dal Web (impostazione predefinita).Full access from desktop apps, mobile apps, and the web (default). Consenti l'accesso completo dalle app desktop, dalle app per dispositivi mobili e dal Web (impostazione predefinita).Full access from desktop apps, mobile apps, and the web (default). Consenti l'accesso limitato, solo sul Web.Allow limited, web-only access. Blocca accesso.Block access.
Tipo di collegamento di condivisione predefinitoDefault sharing link type Solo gli utenti dell’organizzazioneOnly people in your organization Solo gli utenti dell’organizzazioneOnly people in your organization Persone specificheSpecific people Persone con accesso esistentePeople with existing access
Etichette di riservatezzaSensitivity labels NessunoNone NessunoNone Etichetta di riservatezza usata per classificare il team e controllare la condivisione guest e l'accesso ai dispositivi non gestiti.Sensitivity label used to classify the team and control guest sharing and unmanaged device access. Etichetta di riservatezza usata per classificare il team e controllare la condivisione guest e l'accesso ai dispositivi non gestiti.Sensitivity label used to classify the team and control guest sharing and unmanaged device access. L'etichetta può essere usata anche sui file per crittografare i file.Label can also be used on files to encrypt files.

Una variante dell'opzione Altamente sensibili, i Team con isolamento di sicurezza, usa un'etichetta di riservatezza univoca per team, che fornisce ulteriore sicurezza.A variation of the Highly sensitive option, Teams with security isolation uses a unique sensitivity label for one team, which provides additional security. È possibile usare questa etichetta per crittografare i file e solo i membri del team potranno leggerli.You can use this label to encrypt files, and only members of that team will be able to read them.

La protezione di base include team pubblici e privati.Baseline protection includes public and private teams. I team pubblici possono essere individuati e usati da chiunque nell'organizzazione.Public teams can be discovered and accessed by anybody in the organization. I team privati possono essere individuati e usati solo dai membri del team.Private teams can only be discovered and accessed by members of the team. Entrambe le configurazioni limitano la condivisione del sito di SharePoint associato ai proprietari del team, per facilitare la gestione delle autorizzazioni.Both of these configurations restrict sharing of the associated SharePoint site to team owners to assist in permissions management.

I team per la protezione dei dati sensibili e altamente sensibili sono team privati, in cui la condivisione e le richieste di accesso per il sito associato sono limitate e vengono usate etichette di riservatezza per impostare i criteri relativi alla condivisione guest, all'accesso ai dispositivi e alla crittografia del contenuto.Teams for sensitive and highly sensitive protection are private teams in which sharing and the requesting of access for the associated site is limited and sensitivity labels are used to set policies around guest sharing, device access, and content encryption.

Etichette di riservatezzaSensitivity labels

Nei livelli dei dati sensibili e altamente sensibili vengono usate etichette di riservatezza per proteggere il team e i file associati.The sensitive and highly sensitive tiers use sensitivity labels to help secure the team and its files. Per implementare questi livelli, è necessario abilitare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Office 365 e siti di SharePoint.To implement these tiers, you must enable sensitivity labels to protect content in Microsoft Teams, Office 365 groups, and SharePoint sites.

Anche se il livello di base non richiede l'uso di etichette di riservatezza, è consigliabile creare un'etichetta "generale" e quindi richiedere che tutti i team vengano etichettati.While the baseline tier does not require sensitivity labels, consider creating a "general" label and then requiring that all teams be labeled. Questo contribuirà a garantire che gli utenti facciano una scelta consapevole in merito alla riservatezza quando creano un team.This will help ensure that users make a conscious choice about sensitivity when they create a team. Se si prevede di distribuire il livello dei dati sensibili o altamente sensibili, è consigliabile creare un'etichetta "generale" che possa essere usata per i team di base e per i file non riservati.If you plan to deploy the sensitive or highly sensitive tiers, we do recommend creating a "general" label that you can use for baseline teams and for files that are not sensitive.

Se non si ha familiarità con le etichette di riservatezza, è consigliabile leggere Iniziare a usare le etichette di riservatezza per iniziare.If you're new to using sensitivity labels, we recommend reading Get started with sensitivity labels to get started.

Se nell'organizzazione sono già state distribuite etichette di riservatezza, valutare il modo in cui le etichette usate nei livelli dei dati sensibili e altamente sensibili si inseriscono nella strategia di etichettatura complessiva.If you have already rolled out sensitivity labels in your organization, consider how the labels used in the sensitive and highly sensitive tiers fit with your overall label strategy.

Condivisione del sito di SharePointSharing the SharePoint site

Ogni team ha un sito di SharePoint associato in cui sono archiviati i documenti.Each team has an associated SharePoint site where documents are stored. In un canale di Teams, corrisponde alla scheda File. Il sito di SharePoint conserva una gestione delle autorizzazioni autonoma, ma è collegato alle autorizzazioni del team.(This is the Files tab in a teams channel.) The SharePoint site retains its own permission management, but is linked to team permissions. I proprietari del team sono inclusi come proprietari del sito e i membri del team sono inclusi come membri del sito nel sito associato.Team owners are included as site owners and team members are included as site members in the associated site.

Le autorizzazioni risultanti consentono:The resulting permissions allow:

  • Ai proprietari del team di amministrare il sito e avere il controllo completo sul contenuto del sito.Team owners to administer the site and have full control over the site contents.
  • Ai membri del team di creare e modificare i file nel sito.Team members to create and edit files on the site.

Per impostazione predefinita, i proprietari e i membri del team possono condividere il sito con utenti esterni al team senza aggiungerli al team.By default, team owners and members can share the site itself with people outside the team without actually adding them to the team. Questo è sconsigliato perché complica la gestione degli utenti, inoltre utenti che non sono membri del team potrebbero accedere ai file del team senza che i proprietari ne siano consapevoli.We recommend against this as it complicates user management and can lead to people who are not team members having access to team files without team owners realizing it. Per evitarlo, a partire dal livello protezione di base, è consigliabile permettere solo ai proprietari di condividere direttamente il sito.To help prevent this, starting in the baseline level of protection, we recommend that only owners be allowed to share the site directly.

Mentre non è disponibile un'opzione di autorizzazione di sola lettura per i team, lo è per il sito di SharePoint.While teams do not have a read-only permission option, the SharePoint site does. Se sono presenti stakeholder o gruppi di partner che devono essere in grado di visualizzare i file del team, ma non di modificarli, può essere utile aggiungerli direttamente al sito di SharePoint con autorizzazioni di lettura.If you have stakeholders of partner groups who need to be able to view team files but not edit them, consider adding them directly to the SharePoint site with Read permissions.

Condivisione di file e cartelleSharing files and folders

Per impostazione predefinita, sia i proprietari che i membri del team possono condividere file e cartelle con persone esterne al team.By default, both owners and members of the team can share files and folders with people outside the team. Questo può includere persone esterne all'organizzazione, se si è consentita la condivisione guest.This may include people outside your organization, if you have allowed guest sharing. In tutti e tre i livelli, il tipo di collegamento di condivisione predefinito viene aggiornato per evitare la condivisione accidentale.In all three tiers, we update the default sharing link type to help avoid accidental oversharing. Nel livello dei dati altamente sensibili, la condivisione è limitata ai soli proprietari del team.In the highly sensitive tier, we restrict such sharing to team owners only.

Condivisione con gli utenti guestGuest sharing

Se è necessario collaborare con persone esterne all'organizzazione, si consiglia di configurare l'integrazione di SharePoint e OneDrive con Azure AD B2B per un'esperienza di condivisione e amministrazione ottimale.If you need to collaborate with people outside your organization, we recommend configuring SharePoint and OneDrive integration with Azure AD B2B for the best sharing and administration experience.

La condivisione con gli utenti guest in Teams è disattivata per impostazione predefinita, anche se la condivisione per i gruppi di Office 365 (in cui è archiviato l'appartenenza al team) e SharePoint è attivata.Teams guest sharing is off by default, though sharing for Office 365 groups (where team membership is stored) and SharePoint is on. Nel livello di base la condivisione di Teams viene attivata. Se necessario, è possibile disattivarla nei livelli dei dati sensibili e altamente sensibili usando un'etichetta di riservatezza.We turn Teams sharing on in the baseline tier, and you can turn it off if needed in the sensitive and highly sensitive tiers by using a sensitivity label.

L'etichetta di riservatezza influisce solo sulla condivisione guest per il team.The sensitivity label only affects guest sharing for the team. Le impostazioni di condivisione guest per il sito di SharePoint associato sono controllate separatamente ed è necessario allineare le due impostazioni per i livelli dei dati sensibili e altamente sensibili.Guest sharing settings for the associated SharePoint site are controlled separately, and we have you align the two settings for both the sensitive and highly sensitive tiers.

Nel livello dei dati altamente sensibili, l'etichetta di riservatezza viene configurata in modo da crittografare i file a cui è applicata.In the highly sensitive tier, we configure the sensitivity label to encrypt files to which it is applied. Se si vuole che gli utenti guest abbiano accesso a questi file, è necessario assegnare loro le autorizzazioni quando si crea l'etichetta.If you need guests to have access to these files, you must give them permissions when you create the label.

È consigliabile lasciare attivata la condivisione guest per il livello di previsione e per i livelli dei dati sensibili e altamente sensibili se occorre collaborare con persone esterne all'organizzazione.We highly recommend that you leave guest sharing on for the baseline tier and for the sensitive or highly sensitive tiers if you need to collaborate with people outside your organization. Le funzionalità di condivisione guest di Microsoft 365 offrono un'esperienza di condivisione più sicura e regolamentabile rispetto all'invio di file come allegati nei messaggi di posta elettronica.The guest sharing features in Microsoft 365 provide a much more secure and governable sharing experience than sending files as attachments in email messages. Inoltre, riduce il rischio di casi di "shadow IT" in cui gli utenti usano prodotti consumer non gestiti per la condivisione con collaboratori esterni legittimi.It also reduces the risk of shadow IT where users use ungoverned consumer products to share with legitimate external collaborators.

Vedere i riferimenti seguenti per creare un ambiente di condivisione guest sicuro e produttivo per l'organizzazione:See the following references to create a secure and productive guest sharing environment for your organization:

Accesso da dispositivi non gestitiAccess from unmanaged devices

Per i livelli dei dati sensibili e altamente sensibili, l'accesso al contenuto di SharePoint viene limitato mediante l'applicazione di etichette di riservatezza.For the sensitive and highly sensitive tiers, we restrict access to SharePoint content with sensitivity labels. L'accesso condizionale di Azure Active Directory offre numerose opzioni per determinare il modo in cui gli utenti accedono a Microsoft 365, incluse limitazioni basate su luogo, rischio, conformità dei dispositivi e altri fattori.Azure AD conditional access offers many options for determining how people access Microsoft 365, including limitations based on location, risk, device compliance, and other factors. Si consiglia di leggere l'articolo Informazioni sull'accesso condizionale e valutare quali altri criteri potrebbero essere appropriati per l'organizzazione.We recommend you read What is Conditional Access? and consider which additional policies might be appropriate for your organization.

Si noti che gli utenti guest spesso non hanno dispositivi gestiti dall'organizzazione.Note that guests often don't have devices that are managed by your organization. Se si consentono gli utenti guest in uno qualsiasi dei livelli, considerare i tipi di dispositivi che useranno per accedere ai team e ai siti e impostare i criteri per i dispositivi non gestiti di conseguenza.If you allow guests in any of the tiers, consider what kinds of devices they'll be using to access teams and sites and set your unmanaged device policies accordingly.

Passaggio successivoNext step

Per iniziare, configurare il livello di protezione di base.Start by configuring the baseline level of protection. Se necessario, è possibile aggiungere la protezione dei dati sensibili e la protezione dei dati altamente sensibili al livello di protezione di base.If needed you can add sensitive protection and highly sensitive protection on top of the baseline.

Vedere ancheSee also

Sicurezza e conformità in Microsoft TeamsSecurity and compliance in Microsoft Teams

Criteri di avviso nel Centro sicurezza e conformitàAlert policies in the security and compliance center