Iniziare a usare le etichette di riservatezza

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Per informazioni sulle etichette di riservatezza e su come favoriscono la protezione dei dati dell'organizzazione, vedere informazioni sulle etichette di riservatezza.

Quando si è pronti per iniziare a proteggere i dati dell'organizzazione usando le etichette di riservatezza:

  1. Creare le etichette. Creare e assegnare un nome alle etichette di riservatezza in base alla tassonomia di classificazione dell'organizzazione per i diversi livelli di riservatezza del contenuto. Usare termini o nomi comuni che abbiano senso per gli utenti. Se non si ha già una tassonomia stabilita, è consigliabile iniziare con nomi di etichetta come Personale, Pubblico, Generale, Riservato ed Estremamente riservato. Sarà poi possibile usare sottoetichette per raggruppare le etichette simili per categoria.

    Per ogni etichetta, specificare una descrizione comando per consentire agli utenti di selezionare l'etichetta appropriata e prendere in considerazione l'inclusione di esempi specifici. Tuttavia, non rendere la descrizione comando così lunga da non essere letta dagli utenti e tenere presente che alcune app potrebbero troncare le descrizioni comando lunghe.

    Nota

    Per alcuni esempi consigliati, vedere i nomi e le descrizioni delle etichette di riservatezza predefinite. Per altre indicazioni sulla definizione di una tassonomia di classificazione, vedere Classificazione dei dati & tassonomia dell'etichetta di riservatezza.

    Testare e personalizzare sempre i nomi e le descrizioni comando delle etichette di riservatezza con le persone che devono applicarle.

  2. Definire le caratteristiche di ogni etichetta. Configurare le impostazioni di protezione che si vogliono associare a ciascuna etichetta. Ad esempio, a un contenuto con un basso grado di riservatezza (come un'etichetta "Generale") si potrebbe applicare solo un'intestazione o un piè di pagina, mentre a un contenuto con un maggiore grado di riservatezza (come un'etichetta "Riservato") si potrebbero applicare una filigrana e la crittografia.

  3. Pubblicare le etichette. Dopo aver configurato le etichette di riservatezza, pubblicarle usando un criterio di etichetta. Decidere quali utenti e gruppi devono avere le etichette e quali impostazioni dei criteri usare. Una singola etichetta è riutilizzabile, vale a dire che è possibile definirla una sola volta e quindi includerla in diversi criteri di etichetta assegnati a più utenti. Ad esempio, è possibile provare a usare le etichette di riservatezza assegnando un criterio di etichetta a pochi utenti. Successivamente, una volta pronti a distribuire le etichette nell'organizzazione, si potrà creare un nuovo criterio per le etichette e, stavolta, specificare tutti gli utenti.

Consiglio

Si potrebbe essere idonei per la creazione automatica delle etichette predefinite e di un criterio di etichetta predefinito che si occupi dei passaggi da 1 a 3. Per altre informazioni, vedere Etichette e criteri predefiniti per Microsoft Purview Information Protection.

Procedura di base per la distribuzione e l'applicazione di etichette di riservatezza:

Diagramma che mostra il flusso di lavoro per le etichette di riservatezza.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Requisiti di abbonamento e licenza per le etichette di riservatezza

Numerosi abbonamenti diversi supportano le etichette di riservatezza e i requisiti di licenza per gli utenti dipendono dalle funzionalità utilizzate.

Per visualizzare le opzioni di licenza da assegnare agli utenti per trarre vantaggio dalle funzionalità di Microsoft Purview, vedere Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità. Per le etichette di conservazione, vedere la sezione Microsoft Purview Information Protection: Etichettatura di riservatezza e il download del PDF correlato per i requisiti di licenza a livello di funzionalità.

Autorizzazioni necessarie per creare e gestire etichette di riservatezza

I membri del team di conformità che creeranno etichette di riservatezza necessitano delle autorizzazioni per il Centro conformità Microsoft Purview.

Per impostazione predefinita, gli amministratori globali per il tenant hanno accesso a questa interfaccia di amministrazione e possono concedere ai responsabili della conformità e ad altre persone l'accesso, senza concedere loro tutte le autorizzazioni di un amministratore tenant. Per questo accesso amministratore limitato, è possibile usare i gruppi di ruoli seguenti:

  • Protezione delle informazioni
  • Amministratori di Information Protection
  • Analisti di Information Protection
  • Investigatori di Information Protection
  • Lettori di Information Protection

Per una spiegazione di ognuno di essi e dei ruoli che contengono, selezionare un gruppo di ruoli nel Portale di conformità di Microsoft Purview>Autorizzazioni & ruoli>Ruolidel Centro> conformità e quindi esaminare la descrizione nel riquadro a comparsa. In alternativa, vedere Gruppi di ruoli in conformità Microsoft Defender per Office 365 e Microsoft Purview.

In alternativa, è possibile creare un nuovo gruppo di ruoli e aggiungere il ruolo Amministratore etichetta di riservatezza a questo gruppo. Per un ruolo di sola lettura, usare Lettore di etichette di riservatezza.

Un'altra opzione consiste nell'aggiungere utenti al gruppo di ruoli Compliance Data Administrator, Compliance Administrator o Security Administrator .

Per istruzioni sull'aggiunta di utenti al gruppo di ruoli predefinito, sui ruoli o sulla creazione di gruppi di ruoli personalizzati, vedere Autorizzazioni nel portale di conformità di Microsoft Purview.

Queste autorizzazioni sono necessarie solo per creare e configurare le etichette di riservatezza e i relativi criteri di etichetta. Non sono invece necessarie per applicare le etichette nelle app o nei servizi. Se sono necessarie autorizzazioni aggiuntive per configurazioni specifiche relative alle etichette di riservatezza, tali autorizzazioni verranno riportate nelle rispettive istruzioni nella documentazione.

Supporto per le unità amministrative

Le etichette di riservatezza supportano le unità amministrative configurate in Microsoft Entra ID:

  • È possibile assegnare unità amministrative ai membri dei gruppi di ruoli usati con Microsoft Purview Information Protection. Modificare questi gruppi di ruoli e selezionare singoli membri e quindi l'opzione Assegna unità di amministrazione per selezionare le unità amministrative da Microsoft Entra ID. Questi amministratori sono ora limitati alla gestione solo degli utenti in tali unità amministrative.

  • È possibile definire l'ambito iniziale dei criteri delle etichette di riservatezza e dei criteri di etichettatura automatica quando si creano o si modificano questi criteri. Quando si selezionano le unità amministrative, solo gli utenti in tali unità amministrative saranno idonei per i criteri.

Importante

Non selezionare le unità amministrative per un criterio di etichettatura automatica da applicare ai documenti in SharePoint. Poiché le unità amministrative supportano solo utenti e gruppi, se si configura un criterio di etichettatura automatica per l'uso delle unità amministrative, non sarà possibile selezionare la posizione di SharePoint.

La configurazione delle unità amministrative e l'accuratezza della relativa appartenenza è una dipendenza Microsoft Entra ID. Anche se lo scopo principale delle unità amministrative è garantire la procedura di sicurezza consigliata per i privilegi minimi, l'uso di unità amministrative per i criteri di etichettatura può semplificare la configurazione e la manutenzione.

Ad esempio, l'organizzazione ha configurato unità amministrative per paesi specifici ed è necessario pubblicare una nuova etichetta di riservatezza solo per gli utenti in Francia e assegnare impostazioni di criteri specifiche a questi utenti:

  1. Accedere al Portale di conformità di Microsoft Purview. L'account è membro del gruppo di ruoli Information Protection Admins e all'account in tale gruppo di ruoli sono state assegnate unità amministrative per Francia, Germania e Spagna.

  2. Quando si creano i criteri di etichetta di riservatezza, vengono visualizzate solo tre unità amministrative e si seleziona quella per la Francia, mantenendo l'impostazione predefinita di tutti gli utenti e i gruppi.

    Questa configurazione definisce automaticamente l'ambito dei criteri per tutti gli utenti in Francia. Non è necessario preoccuparsi dei gruppi da selezionare o selezionare manualmente gli utenti. Inoltre, non è necessario preoccuparsi di modificare i criteri quando sono presenti nuovi utenti in Francia, perché questa modifica viene gestita dall'unità amministrativa in Microsoft Entra.

Per altre informazioni sul supporto delle unità amministrative da parte di Microsoft Purview, vedere Unità amministrative.

Strategia di distribuzione per le etichette di riservatezza

Una strategia efficace per distribuire etichette di riservatezza per un'organizzazione consiste nel creare un team operativo virtuale che identifichi e gestisca le esigenze aziendali e tecniche, i test del modello di prova, i punti controllo interni e le approvazioni nonché la distribuzione finale per l'ambiente di produzione.

Se si utilizza la tabella presente nella sezione seguente, è consigliabile identificare uno o due scenari principali che corrispondano ai propri requisiti aziendali più rilevanti. Dopo la distribuzione di questi scenari, tornare all'elenco per identificare una o due priorità successive per la distribuzione.

Nota

Se si usa il componente aggiuntivo AIP per l'etichettatura nelle app di Office, è consigliabile passare all'etichettatura predefinita. Per altre informazioni, vedere Eseguire la migrazione del componente aggiuntivo Azure Information Protection (AIP) all'etichettatura predefinita per le app di Office.

Scenari comuni per le etichette di riservatezza

Tutti gli scenari richiedono di Creare e configurare etichette di riservatezza e i relativi criteri.

Operazione da eseguire Documentazione
Gestire le etichette di riservatezza per le app di Office in modo che il contenuto venga etichettato non appena creato, incluso il supporto per l’etichettatura manuale su tutte le piattaforme Gestire le etichette di riservatezza nelle app di Office
Estendere l'etichettatura oltre App di Office usando Esplora file e PowerShell, con funzionalità aggiuntive per App di Office in Windows (se necessario) Client di etichettatura unificata di Azure Information Protection per Windows
Crittografare documenti e messaggi di posta elettronica con etichette di riservatezza e limitare gli utenti autorizzati ad accedervi e il relativo uso Limitare l'accesso al contenuto utilizzando le etichette di riservatezza per applicare la crittografia
Proteggere le riunioni di Teams, dagli inviti alle riunioni e dalle risposte, alla protezione della riunione stessa e della chat correlata Usare le etichette di riservatezza per proteggere gli elementi del calendario, le riunioni e le chat di Teams
Proteggere i messaggi vocali di Teams Abilitare la segreteria telefonica protetta nell'organizzazione
Abilitare le etichette di riservatezza per Office sul Web, con supporto per creazione condivisa, eDiscovery, prevenzione della perdita dei dati e ricerca, anche quando i documenti sono crittografati Abilitare le etichette di riservatezza per i file in SharePoint e OneDrive
I file in SharePoint devono essere etichettati automaticamente con un'etichetta di riservatezza predefinita Configurare un'etichetta di riservatezza predefinita per una raccolta documenti di SharePoint
Usare la creazione condivisa e il salvataggio automatico nelle app desktop di Office quando i documenti sono crittografati Abilitare la creazione condivisa di file crittografati con etichette di riservatezza
Applicare automaticamente etichette di riservatezza ai documenti e ai messaggi di posta elettronica Applicare automaticamente un'etichetta di riservatezza al contenuto
Usare le etichette di riservatezza per proteggere il contenuto in Teams e SharePoint Usare le etichette di riservatezza con Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
Utilizzare le etichette di riservatezza per configurare il tipo di collegamento di condivisione predefinito per siti e singoli documenti in SharePoint e OneDrive Utilizzare le etichette di riservatezza per impostare il collegamento di condivisione predefinito per siti e documenti in SharePoint e OneDrive
Applicare un'etichetta di riservatezza a un modello di comprensione dei documenti, in modo che i documenti identificati in una raccolta SharePoint siano automaticamente classificati e protetti Applicare un'etichetta di riservatezza a un modello in Microsoft Syntex
Impedisce l’uso da parte degli utenti o li mette in guardia dal condividere file o messaggi di posta elettronica con una specifica etichetta di riservatezza Usare le etichette di riservatezza come condizioni per i criteri di prevenzione della perdita dei dati
Applicare un'etichetta di riservatezza a un file quando si riceve un avviso che indica che il contenuto contenente dati personali è condiviso e necessita di protezione Analizzare e correggere gli avvisi in Gestione dei rischi per la privacy
Applicare un'etichetta di conservazione per conservare o eliminare file o messaggi di posta elettronica con un'etichetta di riservatezza specifica Applicare automaticamente un'etichetta di conservazione per conservare o eliminare il contenuto
Individuare, etichettare e proteggere i file archiviati negli archivi dati locali Distribuzione dello scanner di protezione delle informazioni per classificare e proteggere automaticamente i file
Individuare, etichettare e proteggere i file archiviati negli archivi dati nel cloud Individuare, classificare, etichettare e proteggere i dati regolamentati e sensibili archiviati nel cloud
Etichettare le colonne del database SQL utilizzando le stesse etichette di sensibilità usate per i file e i messaggi di posta elettronica in modo che l'organizzazione disponga di una soluzione di etichettatura unificata in grado di continuare a proteggere i dati strutturati quando vengono esportati Individuazione dei dati e classificazione dei database SQL di Azure, Istanza gestita di SQL di Azure e Azure Synapse Analytics

Individuazione e classificazione dei dati SQL per SQL Server locale
Applicare e visualizzare le etichette in Power BI e proteggere i dati quando vengono salvati all'esterno del servizio. Etichette di riservatezza in Power BI
Monitorare e capire come vengono usate le etichette di riservatezza nell'organizzazione Informazioni sulla classificazione dei dati
Estendere le etichette di riservatezza ad app e servizi di terze parti SDK di Microsoft Information Protection
Estendere le etichette di riservatezza tra i contenuti negli asset di Microsoft Purview Data Map, ad esempio Archiviazione BLOB di Azure, File di Azure, Azure Data Lake Storage e origini dati multi-cloud Etichettatura in Microsoft Purview Data Map

Documentazione per gli utenti finali sulle etichette di riservatezza

La documentazione per gli utenti finali più efficace è costituita dalle indicazioni e dalle istruzioni personalizzate per i nomi e le configurazioni delle etichette scelti. È possibile usare l'impostazione dei criteri di etichettatura Fornisci agli utenti un collegamento a una pagina personalizzata della Guida per specificare un collegamento interno della documentazione. Gli utenti possono accedervi facilmente selezionando Altre informazioni tramite il pulsante Sensibilità:

  • Per le etichette incorporate: opzione di menuAltre informazioni.
  • Per il client di etichettatura unificata di Azure Information Protection: opzione > di menu Guida e commenti e suggerimenti, fare clic sul collegamento Indica altro nella finestra di dialogo Information Protection di Microsoft Azure.

Per fornire la documentazione personalizzata, vedere la pagina seguente e i download da usare per formare gli utenti: Formazione dell'utente finale sulle etichette di riservatezza.

È possibile anche utilizzare le risorse seguenti per le istruzioni di base:

Se le etichette di sensitività applicano la crittografia per i documenti PDF, è possibile aprire questi documenti con Microsoft Edge in Windows o Mac. Per altre informazioni, vedere Visualizzare pdf protetti usando Microsoft Edge in Windows o Mac.