Condividi tramite


Piano per la conformità delle comunicazioni

Importante

Conformità delle comunicazioni Microsoft Purview fornisce gli strumenti per aiutare le organizzazioni a rilevare la conformità alle normative (ad esempio SEC o FINRA) e violazioni di comportamento aziendale come informazioni sensibili o riservate, linguaggio molesto o minaccioso e condivisione di contenuti per adulti. Compilati con la privacy in base alla progettazione, i nomi utente vengono pseudonimizzati per impostazione predefinita, i controlli degli accessi in base al ruolo sono integrati, gli investigatori sono inseriti da un amministratore e i log di controllo sono in atto per garantire la privacy a livello di utente.

Prima di iniziare a usare la conformità delle comunicazioni nell'organizzazione, sono presenti importanti attività di pianificazione e considerazioni che devono essere esaminate dai team di gestione della conformità e della tecnologia informatica. La comprensione approfondita e la pianificazione per la distribuzione nelle aree seguenti consentiranno di garantire che l'implementazione e l'uso delle funzionalità di conformità delle comunicazioni vadano senza problemi e siano allineati alle procedure consigliate per la soluzione.

Guardare il video seguente per informazioni su come soddisfare i requisiti di conformità alle normative con la conformità alle comunicazioni:

Per altre informazioni e una panoramica del processo di pianificazione per affrontare la conformità e le attività rischiose nell'organizzazione, vedere Avvio di un programma di gestione dei rischi Insider.

È anche possibile consultare il video di Microsoft Mechanics per informazioni sul modo in cui la gestione dei rischi Insider e la conformità alle comunicazioni interagiscono per ridurre al minimo i rischi per i dati degli utenti dell'organizzazione.

Importante

La conformità alle comunicazioni è attualmente disponibile nei tenant ospitati in aree geografiche e paesi supportati dalle dipendenze dei servizi di Azure. Per verificare che la conformità delle comunicazioni sia supportata per l'organizzazione, vedere Disponibilità delle dipendenze di Azure per paese/area geografica.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Collaborare con gli stakeholder dell'organizzazione

Identificare gli stakeholder appropriati nell'organizzazione per collaborare all'esecuzione di azioni sugli avvisi di conformità delle comunicazioni. Alcuni stakeholder consigliati di prendere in considerazione l'inclusione nella pianificazione iniziale e nel flusso di lavoro di conformità delle comunicazioni end-to-end sono persone delle aree seguenti dell'organizzazione:

  • Informatica
  • Conformità
  • Privacy
  • Sicurezza
  • Risorse umane
  • Esigenze legali

Pianificare il flusso di lavoro di analisi e correzione

Selezionare stakeholder dedicati per analizzare e esaminare gli avvisi e i casi in base a una cadenza regolare nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview. Assicurarsi di comprendere come assegnare utenti e stakeholder a diversi gruppi di ruoli di conformità delle comunicazioni nell'organizzazione.

Importante

Dopo aver configurato i gruppi di ruoli, potrebbero essere necessari fino a 30 minuti prima che le autorizzazioni del gruppo di ruoli vengano applicate agli utenti assegnati all'interno dell'organizzazione.

Configurare le autorizzazioni

Sono disponibili sei gruppi di ruoli usati per configurare le autorizzazioni iniziali per gestire le funzionalità di conformità delle comunicazioni. Per rendere disponibile Conformità delle comunicazioni come opzione di menu in Portale di conformità di Microsoft Purview e per continuare con questi passaggi di configurazione, è necessario essere assegnati a uno di questi gruppi. Per altre informazioni, vedere Abilitare le autorizzazioni per la conformità delle comunicazioni.

Utenti con ambito

Prima di iniziare a utilizzare la conformità delle comunicazioni, è necessario determinare chi necessita della revisione delle comunicazioni. Nei criteri gli indirizzi di posta elettronica degli utenti identificano utenti o gruppi di persone a cui applicare i criteri. Alcuni esempi di questi gruppi sono Gruppi di Microsoft 365, liste di distribuzione basate su Exchange, community Viva Engage e canali di Microsoft Teams. È anche possibile escludere utenti o gruppi specifici dal controllo con un gruppo di esclusione specifico o un elenco di gruppi. Per altre informazioni sui tipi di gruppi supportati nei criteri di conformità delle comunicazioni, vedere Introduzione alla conformità delle comunicazioni.

Importante

Gli utenti coperti dai criteri di conformità delle comunicazioni devono avere una licenza di Microsoft 365 E5 Compliance, una licenza E3 Office 365 Enterprise con il componente aggiuntivo Conformità avanzata o essere inclusi in una sottoscrizione Office 365 Enterprise E5. Se non si ha un piano Enterprise E5 esistente e si vuole provare la conformità delle comunicazioni, è possibile iscriversi per una versione di valutazione di Office 365 Enterprise E5.

Recensori

Quando si creano criteri di conformità delle comunicazioni, è necessario determinare chi esamina i messaggi degli utenti con ambito. Nei criteri gli indirizzi di posta elettronica degli utenti identificano utenti o gruppi di persone per esaminare le comunicazioni con ambito. Tutti i revisori devono disporre di cassette postali ospitate in Exchange Online, devono essere assegnate ai gruppi di ruoli Communication Compliance Analyst o Communication Compliance Investigators e devono essere assegnate ai criteri necessari per l'analisi. Quando i revisori vengono aggiunti a un criterio, ricevono automaticamente un messaggio di posta elettronica che li notifica dell'assegnazione ai criteri e fornisce collegamenti alle informazioni sul processo di revisione.

Gruppi per utenti e revisori con ambito

Per semplificare la configurazione, è consigliabile creare gruppi per gli utenti che devono rivedere le comunicazioni e i gruppi per gli utenti che esaminano tali comunicazioni. Se si usano i gruppi, potrebbero esserne necessari diversi, Ad esempio, se si desidera identificare le comunicazioni tra due gruppi distinti di persone o se si vuole specificare un gruppo non incluso nell'ambito. Quando si assegna un gruppo di distribuzione nei criteri, i criteri rilevano tutti i messaggi di posta elettronica di ogni utente nel gruppo di distribuzione. Quando si assegna un gruppo di Microsoft 365 nei criteri, i criteri rilevano tutti i messaggi di posta elettronica inviati a tale gruppo, non i singoli messaggi di posta elettronica ricevuti da ogni membro del gruppo.

Nota

Prima di creare un criterio, è necessario decidere se applicare un ambito adattivo per utenti o gruppi. Per altre informazioni, vedere Ambiti dei criteri adattivi per le soluzioni di conformità.

L'aggiunta di gruppi e liste di distribuzione ai criteri di conformità delle comunicazioni fa parte delle condizioni generali e delle regole impostate, quindi il numero massimo di gruppi e liste di distribuzione supportato da un criterio varia a seconda del numero di condizioni aggiunte ai criteri. Ogni criterio deve supportare circa 20 gruppi o liste di distribuzione, a seconda del numero di condizioni aggiuntive presenti nei criteri.

Il grafico seguente consente di configurare i gruppi nell'organizzazione per i criteri di conformità delle comunicazioni:

Membro criteri Gruppi supportati Gruppi non supportati
Utenti con ambito
Utenti esclusi
Gruppi di distribuzione
Gruppi di Microsoft 365
Gruppi di distribuzione dinamici
Gruppi di distribuzione annidati
Gruppi di sicurezza abilitati alla posta elettronica
Gruppi di Microsoft 365 con appartenenza dinamica
Recensori Nessuno Gruppi di distribuzione
Gruppi di distribuzione dinamici
Gruppi di distribuzione annidati
Gruppi di sicurezza abilitati alla posta elettronica

Privacy

Proteggere la privacy degli utenti che hanno corrispondenze con i criteri è importante e può contribuire a promuovere l'oggettività nelle verifiche di analisi e analisi dei dati per gli avvisi di conformità delle comunicazioni. Questa impostazione si applica solo ai nomi utente visualizzati nella soluzione di conformità delle comunicazioni. Non influisce sulla modalità di visualizzazione dei nomi in altre soluzioni di conformità o nell'interfaccia di amministrazione.

Per gli utenti con una corrispondenza di conformità delle comunicazioni, è possibile scegliere una delle impostazioni seguenti in Impostazioni di conformità delle comunicazioni:

  • Mostra versioni anonime dei nomi utente: i nomi utente sono anonimizzati per impedire agli utenti nel gruppo di ruoli Analisti di conformità delle comunicazioni di visualizzare chi è associato agli avvisi dei criteri. Gli utenti nel gruppo di ruoli Communication Compliance Investigators visualizzeranno sempre i nomi utente, non le versioni anonime. Ad esempio, un utente "Grace Taylor" viene visualizzato con uno pseudonimo casuale, ad esempio "AnonIS8-988" in tutte le aree dell'esperienza di conformità delle comunicazioni. Quando si sceglie questa impostazione, vengono resi anonimi tutti gli utenti con corrispondenze con i criteri correnti e precedenti e si applica a tutti i criteri. Le informazioni sul profilo utente nei dettagli dell'avviso di conformità della comunicazione non saranno disponibili quando si sceglie questa opzione. Tuttavia, i nomi utente vengono visualizzati quando si aggiungono nuovi utenti ai criteri esistenti o quando si assegnano utenti a nuovi criteri. Se si sceglie di disattivare questa impostazione, i nomi utente vengono visualizzati per tutti gli utenti con corrispondenze di criteri correnti o precedenti.
  • Non visualizzare versioni anonime dei nomi utente: i nomi utente vengono visualizzati per tutte le corrispondenze dei criteri correnti e precedenti per gli avvisi di conformità delle comunicazioni. Le informazioni sul profilo utente (nome, titolo, alias e organizzazione o reparto) vengono visualizzate per l'utente per tutti gli avvisi di conformità delle comunicazioni.

Pianificare i criteri di conformità delle comunicazioni

La creazione di criteri di conformità delle comunicazioni è semplice e veloce con i modelli predefiniti per l'analisi di contenuti potenzialmente inappropriati, informazioni sensibili e problemi di conformità alle normative. I criteri di conformità delle comunicazioni personalizzati consentono la flessibilità per il rilevamento e l'analisi dei problemi specifici dell'organizzazione e dei requisiti.

Quando si pianificano i criteri di conformità delle comunicazioni, considerare le aree seguenti:

  • Valutare la possibilità di aggiungere tutti gli utenti dell'organizzazione come nell'ambito dei criteri di conformità delle comunicazioni. L'identificazione di utenti specifici come nell'ambito dei singoli criteri è utile in alcune circostanze, tuttavia la maggior parte delle organizzazioni deve includere tutti gli utenti nei criteri di conformità delle comunicazioni ottimizzati per il rilevamento di molestie o discriminazioni.
  • Decidere se applicare un ambito adattivo ai criteri di conformità delle comunicazioni. Per altre informazioni, vedere Ambiti dei criteri adattivi per la conservazione. La creazione di più criteri può comportare un sovraccarico amministrativo più elevato.
  • Configurare la percentuale di comunicazioni da esaminare al 100% per garantire che i criteri intercettano tutti i problemi di interesse nelle comunicazioni per l'organizzazione.
  • È possibile analizzare le comunicazioni da origini di terze parti per i dati importati nelle cassette postali nell'organizzazione di Microsoft 365. Per includere la revisione delle comunicazioni in queste piattaforme, è necessario configurare un connettore di terze parti per questi servizi prima che i messaggi che soddisfano le condizioni dei criteri vengano rilevati da un criterio di comunicazione.
  • I criteri possono supportare il rilevamento di lingue diverse dall'inglese nei criteri di conformità delle comunicazioni personalizzati. Creare un dizionario di parole chiave personalizzato di parole offensive nel linguaggio preferito o creare un modello di Machine Learning personalizzato usando classificatori sottoponibili a training in Microsoft 365.
  • Tutte le organizzazioni hanno standard di comunicazione e esigenze di criteri diversi. Rilevare parole chiave specifiche usando le condizioni dei criteri di conformità delle comunicazioni o rilevare tipi specifici di informazioni con tipi di informazioni sensibili personalizzati.

Migrazione tra Microsoft 365 US Government Cloud e il cloud commerciale

Se si esegue la migrazione dell'organizzazione da Microsoft 365 US Government Cloud al cloud commerciale globale o dal cloud commerciale globale al cloud per enti pubblici, i casi attivi e gli avvisi non verranno migrati. Chiudere eventuali avvisi e casi prima di avviare la migrazione.

Creare una procedura dettagliata per i criteri di conformità delle comunicazioni

Si vuole visualizzare una procedura dettagliata dettagliata per la configurazione di un nuovo criterio di conformità delle comunicazioni e la correzione di un avviso? Vedere il video di 15 minuti seguente per vedere una dimostrazione di come i criteri di conformità delle comunicazioni consentono di rilevare messaggi potenzialmente inappropriati, analizzare potenziali violazioni e correggere i problemi di conformità.


Pronti per iniziare?

Per configurare la conformità delle comunicazioni per l'organizzazione di Microsoft 365, vedere Configurare la conformità delle comunicazioni o esaminare il case study per Contoso e come hanno configurato rapidamente i criteri di conformità delle comunicazioni per rilevare contenuti potenzialmente inappropriati in Microsoft Teams, Exchange Online e comunicazioni Viva Engage.