Configurare team con la protezione dei dati altamente sensibili

Alcune funzionalità di questo articolo richiedono Microsoft Syntex - Gestione avanzata di SharePoint

Questo articolo illustra la configurazione di un team per un livello di protezione dei dati altamente sensibili. Prima di eseguire la procedura descritta in questo articolo, assicurarsi di aver completato la procedura descritta in Distribuire i team con la protezione di base.

Per questo livello di protezione si crea un'etichetta di riservatezza che può essere usata nell'intera organizzazione per i team e i file altamente sensibili.

Il livello dei dati altamente sensibili offre le seguenti protezioni aggiuntive rispetto al livello di base:

• Etichetta di riservatezza per il team che consente di attivare o disattivare la condivisione guest e applica criteri di accesso condizionale per l'accesso al sito di SharePoint.
• L'etichetta viene usata anche come etichetta predefinita per i file e crittografa i file a cui viene applicata. Solo i membri dell'organizzazione e gli utenti guest specificati potranno decrittografare i file che usano questa etichetta.
• Solo i proprietari del team possono creare canali privati.
• L'accesso al sito è limitato ai membri del team.

Dimostrazione video

Guardare questo video per una procedura dettagliata con le procedure descritte in questo articolo.

Condivisione con gli utenti guest

A seconda del tipo di attività, è possibile abilitare la condivisione guest per i team che contengono dati altamente sensibili. Se si prevede di collaborare con persone esterne all'organizzazione nel team, è consigliabile abilitare la condivisione guest. Microsoft 365 include numerose funzionalità di sicurezza e conformità che consentono di condividere il contenuto riservato in modo sicuro. In genere si tratta di un'opzione più sicura rispetto all'invio diretto tramite posta elettronica del contenuto a persone esterne all'organizzazione.

Per informazioni dettagliate sulla condivisione sicura di con gli utenti guest, vedere le risorse seguenti:

• Limitare l'esposizione accidentale ai file durante la condivisione con persone esterne all'organizzazione
• Creare un ambiente di condivisione guest sicuro

Per consentire o bloccare la condivisione guest, vengono usati i controlli disponibili nelle etichette di riservatezza.

Contesto di autenticazione

Viene usato un contesto di autenticazione Microsoft Entra per applicare condizioni di accesso più rigide quando gli utenti accedono ai siti di SharePoint.

Aggiungere prima di tutto un contesto di autenticazione nell Microsoft Entra ID.

Per aggiungere un contesto di autenticazione

1. In Microsoft Entra accesso condizionale, in Gestisci selezionare Contesti di autenticazione.

2. Selezionare Nuovo contesto di autenticazione.

3. Digitare un nome e una descrizione e selezionare la casella di controllo Pubblica nelle app .

   

4. Seleziona Salva.

Creare quindi un criterio di accesso condizionale che si applica a tale contesto di autenticazione e che richiede agli utenti guest di usare l'autenticazione a più fattori durante l'accesso a SharePoint.

Per creare i criteri di accesso condizionale

1. In Microsoft Entra accesso condizionale selezionare Crea nuovo criterio.

2. Digitare un nome per i criteri.

3. Nella scheda Utenti scegliere l'opzione Seleziona utenti e gruppi e quindi selezionare la casella di controllo Guest o utenti esterni .

4. Scegliere utenti guest di collaborazione B2B dall'elenco a discesa.

5. Nella scheda Risorse di destinazione , in Selezionare a cosa si applica questo criterio, scegliere Contesto di autenticazione e selezionare la casella di controllo per il contesto di autenticazione creato.

   

6. Nella scheda Concedi selezionare Richiedi autenticazione a più fattori e quindi scegliere Seleziona.

7. Scegliere se si vuole abilitare il criterio e quindi selezionare Crea.

Si punterà al contesto di autenticazione nell'etichetta di riservatezza.

Etichette di riservatezza

Per il livello di protezione altamente sensibile, viene usata un'etichetta di riservatezza per classificare il team. Questa etichetta viene usata anche per classificare e crittografare singoli file nel team. Può essere usato anche in file in altri percorsi di file, ad esempio SharePoint o OneDrive.

Come primo passaggio, è necessario abilitare le etichette di riservatezza per Teams. Per informazioni dettagliate, vedere Usare le etichette di riservatezza per proteggere il contenuto nei siti di Microsoft Teams, Gruppi di Microsoft 365 e SharePoint.

Se nell'organizzazione sono già state distribuite etichette di riservatezza, valutare il modo in cui questa etichetta si inserisce nella strategia di etichettatura complessiva. È possibile modificare il nome o le impostazioni, se necessario, per soddisfare le esigenze dell'organizzazione.

Dopo avere abilitato le etichette di riservatezza per Teams, il passaggio successivo consiste nel creare l'etichetta.

Per creare un'etichetta di riservatezza

1. Aprire il portale di conformità di Microsoft Purview.
2. In Soluzioni espandere Protezione delle informazioni.
3. Selezionare Crea un'etichetta.
4. Assegnare un nome all'etichetta. Si consiglia di usare Dati altamente sensibili, ma è possibile scegliere un nome diverso se è già in uso.
5. Aggiungere un nome visualizzato e una descrizione e quindi selezionare Avanti.
6. Nella pagina Definire l'ambito per questa etichetta selezionare Elementi, File, Messaggi di posta elettronica e Gruppi & siti. Deselezionare la casella di controllo Riunioni .
7. Seleziona Avanti.
8. Nella pagina Scegliere le impostazioni di protezione per file e messaggi di posta elettronica selezionare Applica o rimuovi crittografia e quindi selezionare Avanti.
9. Nella pagina Crittografia, scegliere Configurare le impostazioni di crittografia.
10. In Assegna autorizzazioni a utenti e gruppi specifici selezionare Assegna autorizzazioni.
11. Selezionare Aggiungi tutti gli utenti e i gruppi nell'organizzazione.
12. Se sono presenti guest che devono avere le autorizzazioni per decrittografare i file, selezionare Aggiungi utenti o gruppi e aggiungerli.
13. Selezionare Salvae quindi Avanti.
14. Nella pagina Auto-labeling for files and emails (Etichettatura automatica per file e messaggi di posta elettronica ) selezionare Avanti.
15. Nella pagina Definisci impostazioni di protezione per gruppi e siti selezionare Privacy e accesso utente esterno e Condivisione esterna e Accesso condizionale e selezionare Avanti.
16. Nella pagina Definire le impostazioni di privacy e accesso utenti esterni, in Privacy, selezionare l'opzione Privato.
17. Se si desidera consentire l'accesso a utenti guest, in Accesso utenti esterni, selezionare Consentire ai proprietari di gruppi di Microsoft 365 di aggiungere persone esterne all'organizzazione ai gruppi come ospiti.
18. Seleziona Avanti.
19. Nella pagina Definire le impostazioni di condivisione esterna e accesso condizionale selezionare Controlla condivisione esterna dai siti di SharePoint etichettati.
20. In Il contenuto può essere condiviso con, scegliere Utenti ospiti nuovi ed esistenti se si sta consentendo l'accesso a utenti guest o Solo persone nell'organizzazione in caso contrario.
21. Selezionare Usa Microsoft Entra accesso condizionale per proteggere i siti di SharePoint etichettati.
22. Selezionare l'opzione Scegliere un contesto di autenticazione esistente e quindi selezionare il contesto di autenticazione creato dall'elenco a discesa.
23. Seleziona Avanti.
24. Nella pagina Auto-labeling for schematized data assets (Etichetta automatica per gli asset di dati schematizzati ) selezionare Avanti.
25. Selezionare Crea etichetta e quindi Fare clic su Fine.

Dopo avere creato l'etichetta, è necessario pubblicarla per gli utenti che lo useranno. Per la protezione sensibile, l'etichetta viene resa disponibile a tutti gli utenti. L'etichetta viene pubblicata nel Portale di conformità di Microsoft Purview nella pagina Criteri etichetta in Protezione delle informazioni. Se si ha un criterio esistente applicato a tutti gli utenti, aggiungere questa etichetta a tale criterio. Se è necessario creare un nuovo criterio, vedere Pubblicare etichette di riservatezza creando un criterio di etichetta.

Impostazioni di Teams

Un'ulteriore configurazione dello scenario altamente sensibile viene eseguita nel team stesso e nel sito di SharePoint associato al team, quindi il passaggio successivo consiste nel creare un team.

Il team verrà creato nell'interfaccia di amministrazione di Teams.

Per creare un team per le informazioni altamente sensibili

1. Nell'interfaccia di amministrazione di Teams espandere Teams e selezionare Gestisci team.
2. Selezionare Aggiungi.
3. Digitare un nome e una descrizione per il team.
4. Aggiungere uno o più proprietari per il team. Mantenere se stessi come proprietario in modo da poter scegliere un'etichetta di riservatezza predefinita per i file seguenti.
5. Scegliere l'etichetta di riservatezza creata per le informazioni altamente sensibili dall'elenco a discesa Riservatezza .
6. Selezionare Applica.

Impostazioni per i canali privati

In questo livello, la creazione di canali privati è limitata ai proprietari dei team.

Per limitare la creazione di canali privati

1. Nell'interfaccia di amministrazione di Teams selezionare il team creato e quindi selezionare Modifica.
2. Espandere Autorizzazioni messaggio.
3. Impostare Aggiungi e modifica canali privati su Disattivato.
4. Selezionare Applica.

Impostazioni canale condiviso

Canali condivisi non ha impostazioni a livello di team. Le impostazioni del canale condiviso configurate nell'interfaccia di amministrazione di Teams e l'interfaccia di amministrazione Microsoft Entra si applicano ai singoli utenti.

Impostazioni di SharePoint

Ogni volta che si crea un nuovo team con l'etichetta per i dati altamente sensibili, occorre eseguire due passaggi in SharePoint:

• Limitare l'accesso al sito solo ai membri del team
• Scegliere un'etichetta di riservatezza predefinita per la raccolta documenti connessa al team.

L'etichetta di riservatezza predefinita deve essere configurata nel sito stesso e non può essere configurata dall'interfaccia di amministrazione di SharePoint o tramite PowerShell.

Limitare l'accesso al sito ai membri del team

Ogni volta che si crea un nuovo team con l'etichetta altamente sensibile, è necessario attivare la restrizione di accesso al sito nel sito di SharePoint associato. Ciò impedisce agli utenti di accedere al sito o al relativo contenuto all'esterno del team. Questa operazione richiede una licenza Microsoft Syntex - SharePoint Advanced Management.

Se non è stata usata la restrizione di accesso al sito in precedenza, è necessario attivarla per l'organizzazione.

1. Nell'interfaccia di amministrazione di SharePoint, espandere Criteri e quindi fare clic su Controllo di accesso.
2. Selezionare Restrizione di accesso al sito.
3. Selezionare Allow access restriction (Consenti restrizione di accesso ) e quindi Save (Salva)

L'applicazione di questa operazione potrebbe richiedere fino a un'ora.

Per attivare la restrizione di accesso al sito per il sito

1. Nell'interfaccia di amministrazione di SharePoint espandere Siti e selezionare Siti attivi.
2. Selezionare il sito da gestire.
3. Nella scheda Impostazioni selezionare Modifica nella sezione Accesso al sito con restrizioni .
4. Selezionare la casella Limita accesso a questo sito e selezionare Salva.

Scegliere un'etichetta di riservatezza predefinita per i file

Verrà usata l'etichetta di riservatezza creata come etichetta di riservatezza predefinita per la raccolta documenti del sito connessa a Teams. In questo modo l'etichetta altamente sensibile verrà applicata automaticamente a tutti i nuovi file compatibili con le etichette caricati nella libreria, crittografandoli. Questa operazione richiede una licenza Microsoft Syntex - SharePoint Advanced Management.

Per eseguire questa attività, è necessario essere proprietari del team.

Per impostare un'etichetta di riservatezza predefinita per una raccolta documenti

1. In Teams passare al canale Generale del team che si vuole aggiornare.

2. Nella barra degli strumenti del team selezionare File.

3. Selezionare Apri in SharePoint.

4. Nel sito di SharePoint aprire Impostazioni e quindi scegliere Impostazioni raccolta.

5. Nel riquadro a comparsa Impostazioni libreria selezionare Etichette di riservatezza predefinite e quindi selezionare l'etichetta altamente sensibile nella casella a discesa.

Per altre informazioni sul funzionamento delle etichette di raccolta predefinite, vedere Configurare un'etichetta di riservatezza predefinita per una raccolta documenti di SharePoint e Aggiungere un'etichetta di riservatezza alla raccolta documenti di SharePoint.

Vedere anche

Creare e configurare etichette di riservatezza e i relativi criteri