Creare e configurare etichette di riservatezza e i relativi criteri
Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.
Tutte le soluzioni di Microsoft Purview Information Protection sono implementate utilizzando le etichette di riservatezza. Per creare e pubblicare queste etichette, è possibile usare il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview.
Prima di tutto, creare e configurare le etichette di riservatezza che si vogliono rendere disponibili per le app e gli altri servizi. Ad esempio, le etichette che gli utenti possono vedere e applicare dalle app di Office.
Quindi, creare uno o più criteri di etichetta contenenti le etichette e le impostazioni dei criteri configurate. Quando si pubblicano i criteri di etichetta per gli utenti scelti:
- Le etichette diventano visibili a questi utenti nelle app che supportano le etichette di riservatezza
- Le impostazioni dei criteri vengono applicate a questi utenti
Nota
Se non si dispone ancora di etichette di riservatezza, si potrebbe essere idonei per la creazione automatica di etichette predefinite e di un criterio di etichetta predefinito. Anche se si hanno alcune etichette, potrebbe essere utile esaminare la configurazione di queste etichette predefinite create per i nuovi clienti. Ad esempio, è possibile usare le stesse configurazioni manuali per accelerare la distribuzione di etichette personalizzate.
Per altre informazioni, vedere Etichette e criteri predefiniti per Microsoft Purview Information Protection.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Prima di iniziare
Per assicurarsi di avere le autorizzazioni per creare e gestire le etichette di riservatezza, vedere Autorizzazioni necessarie per creare e gestire le etichette di riservatezza.
Creare e configurare etichette di riservatezza
Per questa configurazione, è possibile usare il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview.
A seconda del portale in uso, passare a una delle posizioni seguenti:
Accedere al portale> di Microsoft PurviewInformation Protectionetichette di riservatezza della scheda>.
Se la scheda della soluzione Information Protection non è visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Information Protection nella sezione Sicurezza dei dati.
Accedere alle etichette> di protezione Portale di conformità di Microsoft Purview Solutions>Information Protection>
Nella pagina Etichette selezionare + Crea un'etichetta per avviare la nuova configurazione dell'etichetta di riservatezza. Ad esempio, dal portale di Microsoft Purview:
Nota
Per impostazione predefinita, i tenant non hanno etichette ed è necessario crearle. Se sono necessarie indicazioni per creare nuove etichette, vedere Introduzione alle etichette di riservatezza.
Nella pagina Definire l'ambito per questa etichetta le opzioni selezionate determinano l'ambito dell'etichetta per le impostazioni che è possibile configurare e dove saranno visibili quando vengono pubblicate:
Non è possibile selezionare Riunioni a meno che non siano selezionati anche File & altri asset di dati e messaggi di posta elettronica . Per altre informazioni su questa dipendenza e sull'estensione delle etichette per includere le riunioni, vedere Usare le etichette di riservatezza per proteggere elementi del calendario, riunioni di Teams e chat.
Se le opzioni di ambito non sono selezionate, viene visualizzata la prima pagina per definire le impostazioni per l'ambito, ma non è possibile configurarle e le etichette non saranno disponibili per la selezione da parte degli utenti in queste app.
Seguire le istruzioni di configurazione per le impostazioni dell'etichetta.
Per altre informazioni sulle impostazioni delle etichette, vedere Operazioni eseguibili dalle etichette di riservatezza nelle informazioni di panoramica e usare la Guida nell’interfaccia utente per le singole impostazioni.
Ripetere questi passaggi per creare altre etichette. Tuttavia, se si vuole creare un'etichetta secondaria, selezionare prima l'etichetta padre, selezionare ... per Azioni, quindi selezionare Crea etichetta secondaria.
Dopo aver creato tutte le etichette desiderate, rivedere l'ordine e, se necessario, spostarle verso l'alto o verso il basso. Per modificare l'ordine di un'etichetta, selezionare ... per Azioni e quindi selezionare una delle opzioni di riordino, ad esempio Sposta su o Sposta giù. Per altre informazioni, vedere Priorità dell'etichetta (l'ordine è importante) nelle informazioni di panoramica.
Per modificare un'etichetta esistente, selezionarla e quindi selezionare il pulsante Modifica etichetta:
Verrà avviata la procedura guidata Modificare etichetta di riservatezza che consente di modificare tutte le impostazioni dell'etichetta descritte al passaggio 4.
Non eliminare un'etichetta se non se ne comprende l'impatto sugli utenti. Per altre informazioni, vedere Rimozione ed eliminazione di etichette.
Nota
Se si modifica un'etichetta che è stata già pubblicata usando un criterio di etichetta, non saranno necessari ulteriori passaggi al termine della configurazione. Ad esempio, non è necessario aggiungerla a un nuovo criterio di etichetta in modo che le modifiche vengano rese disponibili agli stessi utenti. Tuttavia, saranno necessarie fino a 24 ore affinché le modifiche vengano replicate in tutte le app e i servizi.
Finché non verranno pubblicate, le etichette non saranno disponibili per la selezione nelle app o per i servizi. Per pubblicare le etichette è necessario aggiungerle a un criterio di etichetta.
Importante
In questa scheda Etichette non selezionare la scheda Pubblica etichette o il pulsante Pubblica etichetta quando si modifica un'etichetta, a meno che non sia necessario creare un nuovo criterio di etichetta. Sono necessari più criteri di etichetta solo se gli utenti hanno bisogno di etichette diverse o impostazioni di criteri diverse. L'obiettivo è avere il minor numero possibile di criteri di etichetta, non è raro averne uno solo per organizzazione.
Impostazioni aggiuntive per le etichette con Sicurezza e conformità PowerShell
Sono disponibili impostazioni aggiuntive per le etichette con il cmdlet Set-Label di Sicurezza e conformità PowerShell.
Ad esempio:
Usare il parametro LocaleSettings per le distribuzioni multinazionali, in modo che gli utenti possano visualizzare il nome e la descrizione comando dell'etichetta nella lingua locale. La sezione seguente include una configurazione di esempio che specifica il nome dell'etichetta e il testo della descrizione comando per la lingua francese, italiana e tedesca.
Le impostazioni avanzate supportate dall'etichettatura predefinita sono incluse nella documentazione di PowerShell. Per altre informazioni sulla specifica di queste impostazioni avanzate di PowerShell, vedere la sezione Suggerimenti di PowerShell per specificare le impostazioni avanzate. Per altre impostazioni avanzate supportate dal client Microsoft Purview Information Protection, vedere la documentazione separata per queste impostazioni.
Esempio di configurazione per configurare un'etichetta di riservatezza per lingue diverse
L'esempio seguente mostra la configurazione di PowerShell per un'etichetta denominata "Public" con testo segnaposto per la descrizione comando. In questo esempio il nome e il testo della descrizione comando dell'etichetta sono configurati per le lingue francese, italiana e tedesca.
Grazie a questa configurazione, gli utenti di app di Office che usano tali lingue visualizzano i nomi e le descrizioni comando delle etichette nella stessa lingua. Analogamente, se il client Microsoft Purview Information Protection è installato per etichettare i file da Esplora file, gli utenti che dispongono di tali versioni della lingua di Windows visualizzano i nomi delle etichette e le descrizioni comandi nella lingua locale quando usano le azioni di clic con il pulsante destro del mouse per l'etichettatura.
Per le lingue che è necessario supportare, usare gli identificatori di lingua di Office, noti anche come tag lingua, e specificare una traduzione personalizzata per il nome e la descrizione comando dell'etichetta.
Prima di eseguire i comandi in PowerShell, è necessario connettersi a Sicurezza e conformità PowerShell.
$Languages = @("fr-fr","it-it","de-de")
$DisplayNames=@("Publique","Publico","Oeffentlich")
$Tooltips = @("Texte Français","Testo italiano","Deutscher text")
$label = "Public"
$DisplayNameLocaleSettings = [PSCustomObject]@{LocaleKey='DisplayName';
Settings=@(
@{key=$Languages[0];Value=$DisplayNames[0];}
@{key=$Languages[1];Value=$DisplayNames[1];}
@{key=$Languages[2];Value=$DisplayNames[2];})}
$TooltipLocaleSettings = [PSCustomObject]@{LocaleKey='Tooltip';
Settings=@(
@{key=$Languages[0];Value=$Tooltips[0];}
@{key=$Languages[1];Value=$Tooltips[1];}
@{key=$Languages[2];Value=$Tooltips[2];})}
Set-Label -Identity $Label -LocaleSettings (ConvertTo-Json $DisplayNameLocaleSettings -Depth 3 -Compress),(ConvertTo-Json $TooltipLocaleSettings -Depth 3 -Compress)
Suggerimenti di PowerShell per specificare le impostazioni avanzate
Sebbene sia possibile specificare un'etichetta di riservatezza in base al nome, è consigliabile usare il GUID dell'etichetta per evitare confusione sulla specifica del nome dell'etichetta o del nome visualizzato. Il nome dell'etichetta è univoco nel tenant, quindi si ha la certezza di configurare l'etichetta corretta. Il nome visualizzato non è univoco e questo potrebbe tradursi nella configurazione dell'etichetta errata. Per trovare il GUID e confermare l'ambito dell'etichetta:
Get-Label | Format-Table -Property DisplayName, Name, Guid, ContentType
Per rimuovere un'impostazione avanzaa da un'etichetta di riservatezza, usare la stessa sintassi del parametro AdvancedSettings, ma specificare un valore di stringa Null. Ad esempio:
Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{DefaultSharingScope=""}
Per controllare la configurazione dell'etichetta, incluse le impostazioni avanzate, usare la sintassi seguente con il GUID dell'etichetta personalizzata:
(Get-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e).settings
Pubblicare etichette di riservatezza creando un criterio di etichetta
Come parte dei criteri di etichetta, si selezionano utenti e gruppi per avere etichette di riservatezza e impostazioni dei criteri di etichetta. Per una manutenzione amministrativa inferiore, i gruppi sono consigliati anziché singoli utenti. Tuttavia, se un utente viene rimosso da un gruppo specificato, i criteri di etichetta vengono rimossi automaticamente per tale utente.
Per questa configurazione, è possibile usare il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview.
A seconda del portale in uso, passare a una delle posizioni seguenti:
Accedere al portale> di Microsoft PurviewInformation Protectioncriteri di pubblicazione dei criteri> della scheda.>
Se la scheda della soluzione Information Protection non è visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Information Protection nella sezione Sicurezza dei dati.
Accedere ai criteri Portale di conformità di Microsoft Purview>Solutions>Information Protection>Label
Nella pagina Criteri etichetta selezionare Pubblica etichetta per avviare la configurazione crea criteri . Ad esempio, dal portale di Microsoft Purview:
Nota
Per impostazione predefinita, i tenant non hanno criteri di etichetta ed è necessario crearli.
Nella pagina Scegliere le etichette di riservatezza da pubblicare fare clic sul link Scegliere le etichette di riservatezza da pubblicare. Selezionare le etichette che si vogliono rendere disponibili nelle app e per i servizi e quindi selezionare Aggiungi.
Importante
Se si seleziona una etichetta secondaria, accertarsi di selezionare anche l'etichetta padre.
Per Assegnare unità amministrative: se l'organizzazione usa unità amministrative in Microsoft Entra ID, i criteri di etichetta possono essere limitati automaticamente a utenti specifici selezionando unità amministrative. Se all'account sono state assegnate unità amministrative, è necessario selezionare una o più unità amministrative.
Se non si vuole limitare i criteri usando le unità amministrative o se l'organizzazione non ha configurato le unità amministrative, mantenere il valore predefinito Directory completa.
Seguire le istruzioni per completare la configurazione.
Le impostazioni del criterio che viene visualizzato corrispondono all'ambito delle etichette selezionate. Ad esempio, se sono state selezionate etichette che hanno solo l'ambito File & altri asset di dati , non vengono visualizzate le impostazioni dei criteri Applica questa etichetta per impostazione predefinita a gruppi e siti e Richiedi agli utenti di applicare un'etichetta ai gruppi e ai siti.
Per altre informazioni su queste impostazioni, vedere Operazioni eseguibili dai criteri di etichetta nelle informazioni di panoramica e usare la Guida nell’interfaccia utente per le singole impostazioni.
Per le etichette configurate per gli asset di Microsoft Purview Data Map (anteprima): queste etichette non sono associate ad alcuna impostazione di criteri.
Ripetere questi passaggi se sono necessarie impostazioni del criterio diverse per utenti o ambiti differenti. Ad esempio, possono essere necessarie altre etichette per un gruppo di utenti oppure un'etichetta predefinita diversa per un sottoinsieme di utenti. In alternativa, se sono state configurate etichette con diversi ambiti.
Se si creano più criteri di etichetta che potrebbero comportare un conflitto per un utente, rivedere l'ordine dei criteri e, se necessario, spostarli verso l'alto o verso il basso. Per modificare l'ordine di un criterio di etichetta, selezionare ... per Azioni e quindi selezionare una delle opzioni di riordino. Per altre informazioni, vedere Priorità dei criteri di etichetta (l'ordine è importante) nelle informazioni generali.
Il completamento della configurazione Creazione criterio consente di pubblicare automaticamente i criteri di etichetta. Per apportare modifiche a un criterio pubblicato, basta modificarlo. Non è necessario selezionare una specifica azione di pubblicazione o ripubblicazione.
Per modificare un criterio di etichetta esistente, selezionarlo e quindi scegliere il pulsante Modifica criterio:
Verrà avviata la procedura guidata Creazione criterio che consente di modificare le etichette incluse e le impostazioni dell'etichetta. Una volta completata la configurazione, le modifiche vengono replicate automaticamente agli utenti e ai servizi selezionati.
Impostazioni aggiuntive dei criteri di etichetta con Sicurezza e conformità PowerShell
Altre impostazioni dei criteri di etichetta sono disponibili con il cmdlet Set-LabelPolicy di Sicurezza e conformità PowerShell.
La documentazione del cmdlet include le impostazioni avanzate supportate dall'etichettatura predefinita. Per altre impostazioni avanzate supportate dal client Microsoft Purview Information Protection, vedere la documentazione separata per queste impostazioni.
Creare e configurare criteri di protezione
I criteri di protezione sono attualmente in anteprima e si applicano agli elementi archiviati all'esterno di Microsoft 365. Ad esempio, in Microsoft Fabric, Microsoft Azure e Amazon Web Services (AWS).
Per altre informazioni, vedere Creazione e pubblicazione di criteri di protezione.
Quando aspettarsi che le nuove etichette e le modifiche diventino effettive
Per le etichette e le impostazioni dei criteri di etichetta, attendere 24 ore per la propagazione delle modifiche attraverso i servizi. Esistono molte dipendenze esterne ognuna con cicli di tempo specifici, quindi è consigliabile attendere questo periodo di tempo di 24 ore prima di dedicare tempo alla risoluzione dei problemi relativi alle etichette e ai criteri delle etichette per le modifiche recenti.
Esistono tuttavia alcuni scenari in cui le modifiche ai criteri di etichetta e di etichetta possono essere applicate molto più velocemente o essere più lunghe di 24 ore. Ad esempio, per le etichette di riservatezza nuove ed eliminate per Word, Excel e PowerPoint sul Web, è possibile che gli aggiornamenti vengano replicati entro un'ora. Tuttavia, per le configurazioni che dipendono dal popolamento di un nuovo gruppo e dalle modifiche di appartenenza ai gruppi o dalle restrizioni di latenza e larghezza di banda della replica di rete, queste modifiche potrebbero richiedere 24-48 ore.
Usare PowerShell per le etichette di riservatezza e i relativi criteri
È ora possibile usare Sicurezza e conformità PowerShell per creare e configurare tutte le impostazioni visualizzate nel centro di amministrazione delle etichette. Questo significa che, oltre a usare PowerShell per le impostazioni che non sono disponibili nelle interfacce di amministrazione per l'etichettatura, ora è possibile gestire completamente tramite la creazione e la manutenzione di etichette di riservatezza e criteri per le etichette di riservatezza.
Per i parametri e i valori supportati, vedere la documentazione seguente:
Consiglio
Quando si configurano le impostazioni avanzate per un'etichetta di riservatezza, può essere utile fare riferimento alla sezione Suggerimenti di PowerShell per specificare le impostazioni avanzate in questa pagina.
È anche possibile usare Remove-Label e Remove-LabelPolicy se è necessario creare script per l'eliminazione di etichette di riservatezza o criteri per le etichette di riservatezza. Tuttavia, prima di eliminare etichette di riservatezza, assicurarsi di leggere la prossima sezione.
Rimozione ed eliminazione di etichette
In un ambiente di produzione è improbabile che sia necessario rimuovere le etichette di riservatezza da un criterio di etichetta o eliminare le etichette di riservatezza. È più probabile che sia necessario eseguire una di queste azioni nel corso di una fase di test iniziale. Assicurarsi di comprendere le conseguenze di una di queste azioni.
La rimozione di un'etichetta da un criterio di etichetta è meno rischiosa dell'eliminazione e, se necessario, è sempre possibile riaggiungere l'etichetta in un secondo momento. Non puoi eliminare un'etichetta se è ancora in un criterio di etichetta.
Quando si rimuove un'etichetta da un criterio di etichetta in modo che l'etichetta non venga più pubblicata per gli utenti specificati in origine, la volta successiva che i criteri di etichetta vengono aggiornati, gli utenti non vedranno più tale etichetta e non potranno selezionarla nell'app di Office. Se è già applicata, l'etichetta non viene rimossa dal contenuto o dal contenitore. Ad esempio, gli utenti che usano l'etichettatura predefinita nelle app desktop per Word, Excel e PowerPoint, continueranno a vedere il nome dell'etichetta applicata sulla barra di stato. Un'etichetta del contenitore applicata continua a proteggere il sito Teams o SharePoint.
Quando invece si elimina un'etichetta:
Se l'etichetta ha comportato l'applicazione della crittografia, il modello di protezione sottostante viene archiviato in modo che sia ancora possibile aprire il contenuto protetto in precedenza. A causa di questo modello di protezione archiviato, non puoi creare una nuova etichetta con lo stesso nome. Anche se è possibile eliminare un modello di protezione con PowerShell, non farlo, a meno che non si sia certi che non sia necessario aprire contenuto crittografato con il modello archiviato.
Per i documenti archiviati in SharePoint o OneDrive, e nel caso in cui sono state abilitate le etichette di riservatezza per i file di Office: quando si apre il documento in Office per il web, l'etichetta viene applicata nell'app e il nome dell'etichetta non viene più visualizzato nella colonna Riservatezza in SharePoint. Se l'etichetta eliminata ha comportato l'applicazione della crittografia e i servizi possono elaborare il contenuto crittografato, la crittografia viene rimossa. Le azioni in uscita da questi servizi generano lo stesso risultato. Ad esempio, scaricare, copiare, passare a e aprire con un'app desktop o per dispositivi mobili Office. Anche se le informazioni sull'etichetta rimangono nei metadati del file, le app non possono più eseguire il mapping dell'ID etichetta su un nome visualizzato, quindi gli utenti presuppongono che un file non sia etichettato.
Per i documenti archiviati all'esterno di SharePoint e OneDrive, o se non sono state abilitate etichette di riservatezza per i file Office e per i messaggi di posta elettronica: quando si apre il contenuto, le informazioni sull'etichetta nei metadati rimangono ma, senza il mapping dell'ID etichetta sul nome, gli utenti non visualizzano il nome dell'etichetta applicata (ad esempio, sulla barra di stato per le app desktop). Se l'etichetta eliminata ha comportato l'applicazione della crittografia, la crittografia non viene rimossa e gli utenti potranno ancora visualizzare il nome e la descrizione del modello di protezione ora archiviato.
Per i contenitori, ad esempio i siti in SharePoint e Teams: l'etichetta viene rimossa e le impostazioni configurate con tale etichetta non vengono più applicate. Questa azione richiede in genere da 48 a 72 ore per i siti SharePoint e può essere più veloce per Teams e Gruppi di Microsoft 365.
Tenere presente che senza un mapping da GUID a nome disponibile dopo l'eliminazione di un'etichetta, le etichette eliminate possono essere visualizzate come GUID anziché come nomi di etichetta in applicazioni come Esplora contenuto ed Esplora attività.
Come per tutte le modifiche alle etichette, la rimozione di un'etichetta di riservatezza da un criterio di etichetta o l'eliminazione di un'etichetta di riservatezza richiede tempo per la replica a tutti gli utenti e i servizi.
Passaggi successivi
Per configurare e usare le etichette di riservatezza per scenari specifici, potrebbero essere utili gli articoli seguenti:
Limitare l'accesso al contenuto utilizzando la crittografia nelle etichette di riservatezza
Applicare automaticamente un'etichetta di riservatezza ai dati di Microsoft 365
Abilitare le etichette di riservatezza per i file in SharePoint e OneDrive
Per monitorare il modo in cui vengono usate le etichette, vedere Come usare il dashboard di classificazione dei dati Microsoft.