Panoramica di Protezione dei dati aziendali

  • Articolo

[Alcune informazioni sono relative a un prodotto non definitivo che potrebbe subire modifiche sostanziali prima del rilascio sul mercato. Microsoft non riconosce alcuna garanzia, espressa o implicita, in merito alle informazioni qui fornite.]

Il continuo aumento dei dispositivi di proprietà dei dipendenti usati in ambito aziendale è accompagnato anche da maggiori rischi di divulgazione accidentale dei dati tramite app e servizi al di fuori del controllo dell'azienda, come e-mail, social media e cloud pubblico.

Molte delle soluzioni esistenti provano ad affrontare questo problema richiedendo ai dipendenti di distinguere tra contenitori e app personali e di lavoro, con un'esperienza utente non proprio ottimale. La funzionalità con nome in codice Protezione dei dati aziendali offre un'esperienza utente migliore, consentendo al tempo stesso di migliorare la separazione e la protezione delle app e dei dati aziendali dai rischi di divulgazione sia nei dispositivi aziendali che in quelli personali, senza richiedere modifiche a livello di ambiente o app. La funzionalità Protezione dei dati aziendali, se usata insieme a Rights Management Services (RMS), contribuisce alla protezione dei dati aziendali in locale, mantenendo la protezione anche in caso di roaming o condivisione dei dati.

Vantaggi di Protezione dei dati aziendali

Protezione dei dati aziendali offre:

  • Maggiore protezione dalla perdita di dati aziendali, con un impatto minimo sulle normali procedure di lavoro dei dipendenti.

  • L'ovvia separazione tra dati personali e aziendali, senza richiedere ai dipendenti di cambiare ambiente o app.

  • Protezione dei dati aggiuntiva per le app line-of-business esistenti senza che risulti necessario aggiornare le app.

  • Possibilità di cancellare i dati aziendali dai dispositivi senza toccare i dati personali.

  • Uso di report di controllo per tenere traccia dei problemi e delle azioni correttive.

  • Integrazione con il sistema di gestione esistente (Microsoft Intune, System Center Configuration Manager (versione 1511 o successiva) o il sistema di gestione dei dispositivi mobili (MDM) corrente) per configurare, distribuire e gestire Protezione dei dati aziendali per l'azienda.

  • Maggiore protezione per i dati (mediante l'integrazione di RMS) durante il roaming e la condivisione, ad esempio quando condividi contenuto crittografato tramite Outlook o sposti file crittografati in chiavi USB.

  • Possibilità di gestire le app universali di Office su dispositivi Windows 10 tramite una soluzione MDM per proteggere i dati aziendali. Per gestire le app per dispositivi mobili Office per i dispositivi Android e iOS, vedi le risorse tecniche qui.

Prerequisiti

Per usare la funzionalità Protezione dei dati aziendali nella tua organizzazione è necessario questo software:

Sistema operativo Soluzione di gestione
Windows 10

  • Intune

    -OPPURE-

  • Configuration Manager (versione 1511 o successiva)

    -OPPURE-

  • La soluzione MDM aziendale corrente

 

Scenari aziendali

Protezione dei dati aziendali supporta attualmente questi scenari aziendali:

  • Puoi crittografare i dati aziendali in dispositivi di proprietà del dipendente e dell'azienda.

  • Puoi cancellare da remoto i dati aziendali nei computer gestiti, inclusi i computer di proprietà dei dipendenti senza effetti sui dati personali.

  • Puoi selezionare app specifiche che possono accedere ai dati aziendali, denominate "app privilegiate", chiaramente riconoscibili per i dipendenti. Puoi anche impedire l'accesso ai dati aziendali ad app non privilegiate.

  • I dipendenti non subiranno interruzioni durante il passaggio tra app personali e aziendali mentre sono attivi i criteri aziendali. Non occorre cambiare ambiente o eseguire più volte l'accesso.

Come funziona Protezione dei dati aziendali

Protezione dei dati aziendali consente di risolvere le sfide quotidiane dell'organizzazione. Ad esempio, è utile per:

  • Gestire le esperienze indesiderate dei dipendenti causate dai criteri di protezione dei dati restrittivi.

  • Tutelare la privacy dei dati aziendali.

  • Gestire le app che non riconoscono i criteri, soprattutto nei dispositivi mobili.

  • Gestire l'impossibilità di bloccare i dispositivi di proprietà dei dipendenti, con potenziale divulgazione accidentale dei dati aziendali.

Modalità di protezione

Puoi impostare Protezione dei dati aziendali scegliendo una delle quattro modalità di protezione disponibili:

  • Blocco. Protezione dei dati aziendali controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e impedisce al dipendente di completare l'azione.

  • Override. Protezione dei dati aziendali controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e segnala ai dipendenti l'esecuzione di operazioni inappropriate. Tuttavia, questo livello di protezione consente al dipendente di ignorare i criteri e condividere comunque i dati, ma l'azione viene registrata nel registro di controllo.

  • Controllo. L'esecuzione di Protezione dei dati aziendali è invisibile all'utente e le operazioni di condivisione dei dati non appropriate vengono registrate, senza bloccare nulla.

  • Disattivato. funzionalità Protezione dei dati aziendali non è attiva e i dati non sono protetti.

Esperienza eccezionale per i dipendenti

Protezione dei dati aziendali può offrire un'esperienza utente ottimale, evitando di richiedere ai dipendenti di cambiare app per proteggere i dati aziendali. Ad esempio, un dipendente riceve un messaggio personale mentre controlla le e-mail di lavoro in Microsoft Outlook. Invece di dover uscire da Outlook, sia i messaggi di lavoro che quelli personali vengono visualizzati sullo schermo insieme.

Modifica della protezione di Protezione dei dati aziendali

I dipendenti possono reimpostare come personali i documenti protetti con Protezione dei dati aziendali se sono contrassegnati erroneamente come aziendali. In questi casi, tuttavia, l'utente deve eseguire un'azione esplicita che viene controllata e registrata in modo che tu possa fare le opportune verifiche.

Sicurezza dei dati aziendali

In qualità di amministratore aziendale, hai la responsabilità di tutelare la sicurezza e riservatezza dei dati aziendali. Con Protezione dei dati aziendali puoi assicurati che i dati aziendali siano protetti nei computer di proprietà dei dipendenti, anche quando non sono usati attivamente dai dipendenti. In questo caso, quando un dipendente crea inizialmente il contenuto in un dispositivo gestito, gli viene richiesto se si tratta di un documento di lavoro. In caso affermativo, il documento viene protetto localmente come dati aziendali.

Cancellazione remota dei dati aziendali nei dispositivi

Protezione dei dati aziendali offre inoltre la possibilità di cancellare da remoto i dati aziendali da tutti i dispositivi da te gestiti e usati da un dipendente, senza toccare i dati personali. Questo è un vantaggio quando un dipendente lascia la società o in caso di furto del computer.

In questo caso, i documenti sono archiviati in locale e crittografati con un'identità aziendale. Quando stabilisci di dover cancellare i dati dal dispositivo, puoi inviare un comando di cancellazione remoto tramite il sistema di gestione dei dispositivi mobili, in modo che alla connessione del dispositivo alla rete vengano revocate le chiavi di crittografia e vengano rimossi i dati aziendali. Questa azione riguarda solo i dispositivi a cui viene indirizzato il comando. Tutti gli altri dispositivi continueranno a funzionare normalmente.

Copia o download dei dati aziendali

Il download di contenuto da una posizione come SharePoint o una condivisione file di rete oppure da un posizione Web aziendale, come Office365.com, determina automaticamente la classificazione del contenuto come dati aziendali con crittografia e archiviazione locale. Lo stesso vale quando i dati aziendali vengono copiati su supporti come un'unità USB. Dato che il contenuto è già contrassegnato come dati aziendali in locale, la crittografia viene mantenuta nel nuovo dispositivo.

App privilegiate e restrizioni

Con Protezione dei dati aziendali puoi controllare il set di app impostate come "app privilegiate", ovvero le app che possono accedere ai dati aziendali e usarli. Dopo aver aggiunto un'app al tuo elenco di app privilegiate, risulterà attendibile per l'uso dei dati aziendali. Tutte le app non incluse in questo elenco sono trattate come personali ed è possibile che non siano autorizzate ad accedere ai dati aziendali, a seconda della modalità impostata per Protezione dei dati aziendali.

Nota che le app line-of-business esistenti non devono essere modificate per poter essere incluse come app privilegiate. Dovrai semplicemente includerle nel tuo elenco.

Uso delle app privilegiate

Le app privilegiate sono autorizzate ad accedere ai dati aziendali e reagiscono diversamente alle interazioni con altre app personali o non privilegiate. Ad esempio, se la modalità di Protezione dei dati aziendali è impostata sul blocco, le app privilegiate consentiranno all'utente di copiare e incollare informazioni tra altre app privilegiate, ma non con app personali. Supponi che un dipendente del reparto risorse umane voglia copiare la descrizione di un ruolo da un'app privilegiata al sito Web per le posizioni aperte (una posizione protetta dall'azienda) ma commetta un errore e tenti invece di incollare le informazioni in un'app personale. L'azione Incolla non riesce e viene visualizzata una notifica per segnalare che l'operazione non è possibile a causa di restrizioni imposte dai criteri. Se il dipendente incolla correttamente le informazioni nel sito Web delle posizioni aperte, l'operazione funziona senza problemi.

Decisione del livello di accesso ai dati

Protezione dei dati aziendali ti consente di decidere se bloccare, consentire l'override o controllare le azioni di condivisione di dati dei dipendenti. Il blocco dell'azione ne comporta l'interruzione immediata, mentre consentire l'override segnala la presenza di un problema al dipendente pur consentendogli di continuare con la condivisione. Il controllo, invece, registra semplicemente l'azione senza interromperla, in modo che tu possa individuare schemi ricorrenti di condivisione inappropriata per adottare misure educative.

Crittografia dei dati permanente

Protezione dei dati aziendali contribuisce a mantenere protetti i dati aziendali, anche in caso di roaming. Le app come Office e OneNote interagiscono con Protezione dei dati aziendali per preservare la crittografia dei dati indipendentemente dalla posizione o dai servizi. Ad esempio, se un dipendente apre contenuto crittografato con Protezione dei dati aziendali da Outlook, lo modifica e quindi tenta di salvare la versione modificata con un nome diverso per rimuovere la crittografia, l'operazione non funzionerà. Outlook applica automaticamente Protezione dei dati aziendali al nuovo documento, conservando la crittografia dei dati.

Prevenzione della divulgazione accidentale dei dati in spazi pubblici

Protezione dei dati aziendali consente di proteggere i dati aziendali dalla condivisione accidentale in spazi pubblici, come il cloud pubblico. Ad esempio, se un dipendente archivia contenuto nella cartella Documents sincronizzata automaticamente in OneDrive (un'app nel tuo elenco delle app privilegiate), il documento viene crittografato in locale e non sincronizzato nel cloud personale dell'utente. Analogamente, anche le eventuali altre app di sincronizzazione non incluse nell'elenco delle app privilegiate, ad esempio Dropbox™, non potranno sincronizzare i file crittografati nel cloud personale dell'utente.

Prevenzione della divulgazione accidentale dei dati in altri dispositivi

Protezione dei dati aziendali consente di evitare che i dati aziendali trapelino in altri dispositivi durante il trasferimento o lo spostamento. Ad esempio, se un dipendente copia dati aziendali su una chiave USB che include anche dati personali, i dati aziendali rimangano crittografati anche se le informazioni personali rimangono accessibili. Inoltre, la crittografia rimane applicata anche quando il dipendente copia di nuovo il contenuto crittografato in un altro dispositivo aziendale gestito.

Importante  Protezione dei dati aziendali supporta anche la crittografia per singoli file nelle schede SD insieme ai criteri di crittografia del dispositivo. Per accedere ai dati crittografati, dovrai configurare RMS durante la configurazione dei criteri per Protezione dei dati aziendali.

 

Disattivare Protezione dei dati aziendali

Puoi disattivare del tutto la protezione dei dati aziendali e le relative restrizioni, tornando allo stato precedente, senza perdita di dati. Tuttavia, non è consigliabile disattivare Protezione dei dati aziendali. Se scegli di disattivare questa funzionalità, puoi sempre riattivarla, ma le info per la decrittografia e i criteri non saranno mantenuti.