Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce indicazioni per le organizzazioni governative australiane sulle configurazioni per ridurre il rischio di divulgazione inappropriata di informazioni classificate per la sicurezza tramite i servizi di Microsoft 365. Lo scopo è aiutare le organizzazioni a migliorare il comportamento di sicurezza delle informazioni. Le linee guida in questo articolo sono allineate ai requisiti descritti in Protective Security Policy Framework (PSPF) e Information Security Manual (ISM).
La configurazione dei criteri illustrati in questo articolo richiede la conoscenza di Prevenzione della perdita dei dati Microsoft Purview (DLP). Per indicazioni introduttive sulla prevenzione della perdita dei dati di Microsoft Purview, vedere Informazioni sulla prevenzione della perdita dei dati.
Limitazione della distribuzione di posta elettronica di informazioni classificate
I criteri DLP che proteggono gli elementi classificati utilizzeranno principalmente le condizioni dei criteri DLP dell'elemento che contengono l'etichetta di riservatezza. La configurazione dell'ereditarietà delle etichette e dell'etichettatura automatica basata su client consentirà di garantire l'accuratezza delle etichette, migliorando la sicurezza dei dati.
Per i massimi livelli di flessibilità in termini di condizioni e azioni DLP, i criteri applicati alla posta elettronica devono essere destinati solo al servizio di scambio. Ciò garantisce che le condizioni dei criteri, ad esempio il dominio del destinatario, siano disponibili per la selezione.
I criteri DLP applicati alle etichette di riservatezza richiedono l'uso del modello di criteri personalizzati.
Limitazione della distribuzione tramite posta elettronica di informazioni classificate a organizzazioni non autorizzate
Il requisito 77 di PSPF 2024 indica che un contratto deve essere in vigore prima che le informazioni classificate vengano condivise con un utente esterno o un'organizzazione:
| Requisito | Dettagli |
|---|---|
| VERSIONE PSPF 2024 - 12. Condivisione delle informazioni - Requisito 77 | Un contratto o un accordo, ad esempio un contratto o un atto, che stabilisce requisiti di gestione e protezioni, è in vigore prima che le informazioni o le risorse classificate per la sicurezza vengano divulgate o condivise con una persona o un'organizzazione al di fuori del governo. |
Per soddisfare questo requisito PSPF, le organizzazioni governative devono considerare:
- Processi aziendali per identificare, stabilire ed esaminare i contratti con entità con cui condividono informazioni classificate sulla sicurezza.
- Processi di modifica tecnica per le modifiche della configurazione per consentire o impedire agli utenti di inviare informazioni classificate di sicurezza a organizzazioni esterne.
Le organizzazioni possono aspettarsi requisiti di sicurezza delle informazioni diversi per ogni classificazione o subset di sicurezza (ad esempio, Marcatore di gestione delle informazioni (IMM) o Avvertenza. È necessario creare criteri o regole separati per soddisfare i requisiti per ogni classificazione o subset.
Per creare una regola DLP per impedire la distribuzione tramite posta elettronica di informazioni classificate di sicurezza a organizzazioni non approvate:
- Selezionare una condizione di contenuto condivisa da Microsoft 365con persone esterne all'organizzazione.
- Selezionare una seconda condizione di contenuto contenente, etichetta di riservatezza e le etichette appropriate selezionate ,ad esempio etichetta PROTETTA e etichette secondarie associate.
- Selezionare un secondo gruppo di condizioni collegato tramite l'operando AND .
- Il secondo gruppo è impostato su NOT.
- Il secondo gruppo contiene una condizione del dominio del destinatario insieme a un elenco di domini approvati per la ricezione delle classificazioni di sicurezza selezionate.
- Selezionare un'azione che blocca o reindirizza la posta elettronica ai destinatari che non provengono da uno dei domini dei destinatari configurati.
Regola DLP di esempio: Bloccare la posta elettronica PROTETTA alle organizzazioni nonapprovate
La regola seguente limita l'invio di messaggi di posta elettronica PROTETTI alle organizzazioni che non sono elencate come approvate per la ricezione delle informazioni. Mentre un utente sta elaborando un messaggio di posta elettronica con un'etichetta PROTECTED applicata, se un utente aggiunge un destinatario da un'organizzazione non approvata, viene visualizzato un suggerimento per i criteri DLP per avvisare l'utente. Il messaggio di posta elettronica viene bloccato se l'utente ignora il suggerimento per i criteri e prova a inviarlo.
| Condizioni | Azione |
|---|---|
| Il contenuto viene condiviso da Microsoft 365, con persone esterne all'organizzazione E Il contenuto contiene etichette di riservatezza: - Tutte le etichette PROTECTED AND Group NOT Il dominio del destinatario è: - Elenco di domini approvati per la ricezione della posta elettronica PROTETTA |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica o accedere - Blocca tutti Configurare un suggerimento per i criteri di: "Un destinatario di questo messaggio di posta elettronica proviene da un'organizzazione che non è autorizzata per la ricezione di informazioni PROTETTE. Questo messaggio di posta elettronica viene bloccato a meno che i destinatari non autorizzati non vengano rimossi dal campo a . Se non è corretto, contattare il supporto tecnico per discutere le esigenze." Configurare le opzioni di notifica e gravità degli eventi imprevisti appropriate. |
Consiglio
Le organizzazioni governative australiane devono prendere in considerazione la configurazione di regole DLP che limitano la posta elettronica alle organizzazioni nonapprovate per le classificazioni di sicurezza PROTECTED e OFFICIAL: Sensitive.
Altri esempi di criteri di prevenzione della perdita dei dati che bloccano la posta elettronica alle organizzazioni non approvata sono disponibili in Blueprint for Secure Cloud (Progetto per il cloud sicuro) dell'ASD in Criteri di prevenzione della perdita dei dati.
L'esempio di criteri DLP precedente si applica solo alla posta elettronica etichettata . Se un utente risponde a un elemento legacy dalla posta in arrivo, gli verrà chiesto di selezionare un'etichetta da applicare. L'etichettatura automatica basata sul client funzionerà per garantire che l'etichetta sia accurata controllando la presenza di contrassegni esistenti nel messaggio di posta elettronica. L'etichettatura automatica basata sul servizio garantisce che l'etichetta applicata sia allineata a qualsiasi contrassegno soggetto esistente. Queste due funzionalità interagiscono per garantire l'accuratezza delle etichette e che la prevenzione della perdita dei dati pertinente si applichi agli elementi.
Consentire la distribuzione tramite posta elettronica di informazioni classificate ai guest autorizzati
Con il requisito di necessità, le organizzazioni governative devono integrare un approccio basato su dominio con l'accesso guest e più livelli di accesso guest a seconda dell'etichetta applicata e del gruppo guest o del dominio.
L'autorizzazione guest autorizzata viene ottenuta da:
Creazione di gruppi gestiti manualmente (ad esempio, guest protetti), che contiene utenti guest di organizzazioni esterne approvate che hanno verificato lo stato di autorizzazione; o
Creazione di gruppi dinamici configurati per includere account guest da domini specificati. Questa operazione può essere ottenuta tramite l'uso di query dinamiche che valutano i nomi dell'entità utente (UPN) dell'utente. Ad esempio:
(user.userPrincipalName -match "#EXT#") and (user.userPrincipalName -match "microsoft.com")
Per altre informazioni sull'appartenenza dinamica ai gruppi, vedere regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.
I vantaggi di limitare la possibilità di ricevere informazioni PROTETTE a un subset di domini E account guest sono illustrati negli scenari basati sulla posta elettronica seguenti.
| Guest Scenario | Solo controllo basato su dominio | Controllo basato su dominio e guest |
|---|---|---|
| Guest da un dominio non approvato |
Rischio mitigato Non è possibile ricevere informazioni classificate sulla sicurezza1 |
Rischio mitigato Non è possibile ricevere informazioni classificate sulla sicurezza1 |
| Guest dal dominio approvato per le informazioni classificate di sicurezza |
Rischio presente Tutti gli utenti di dominio in grado di ricevere informazioni classificate di sicurezza indipendentemente dalla necessità di sapere |
Rischio mitigato Non è possibile ricevere informazioni classificate sulla sicurezza2 |
| Guest da un dominio non approvato |
Rischio mitigato Non è possibile ricevere informazioni classificate sulla sicurezza1 |
Rischio mitigato Non è possibile ricevere informazioni classificate sulla sicurezza2 |
| Guest da un dominio approvato |
Rischio presente Tutti gli utenti di dominio in grado di ricevere informazioni classificate di sicurezza indipendentemente dalla necessità di sapere |
Rischio mitigato Non è possibile ricevere informazioni classificate sulla sicurezza2 |
| Guest del dominio approvato e parte del gruppo guest protetto |
Rischio presente Tutti gli utenti di dominio in grado di ricevere informazioni classificate di sicurezza indipendentemente dalla necessità di sapere |
Rischio mitigato Solo gli utenti di dominio aggiunti come guest protetti possono ricevere informazioni classificate di sicurezza |
Nota
1 Sono state seguite configurazioni descritte per impedire la distribuzione tramite posta elettronica di informazioni classificate a organizzazioni non autorizzate .
2 La ricezione di informazioni classificate è stata limitata ai guest approvati oltre ai controlli basati su dominio.
Le organizzazioni che usano tale configurazione richiedono processi aziendali per supportare la manutenzione dell'appartenenza ai gruppi guest. Eventuali guest protetti o gruppi equivalenti devono anche essere inclusi come eccezioni alle regole DLP che limitano la distribuzione della posta elettronica classificata.
Per creare regole DLP per impedire la distribuzione tramite posta elettronica di informazioni classificate di sicurezza ai guest autorizzati:
- Selezionare una condizione di contenuto condivisa da Microsoft 365con persone esterne all'organizzazione.
- Selezionare una seconda condizione di contenuto contenente, etichetta di riservatezza e le etichette appropriate selezionate ,ad esempio etichetta PROTETTA e etichette secondarie associate.
- Selezionare un secondo gruppo di condizioni, collegato tramite l'operando AND .
- Il secondo gruppo è impostato su NOT.
- Contiene una condizione del destinatario di cui è membro, guest protetti.
- Selezionare un'azione che blocca o reindirizza la posta elettronica ai destinatari che non fanno parte del gruppo selezionato.
Regola DLP di esempio: Bloccare la posta elettronica PROTETTA ai guest nonapproved
La regola seguente si basa sull'esempio fornito in precedenza, per consentire l'invio di messaggi di posta elettronica PROTETTI agli utenti che provengono da domini approvati E inclusi in un gruppo guest protetto .
| Condizioni | Azione |
|---|---|
| Il contenuto viene condiviso da Microsoft 365: con persone esterne all'organizzazione E Il contenuto contiene etichette di riservatezza: - Tutte le etichette PROTECTED AND Group NOT Il dominio del destinatario è: - Elenco di domini approvati per la ricezione della posta elettronica PROTETTA AND Group NOT Il destinatario è un membro di: - Guest protetti |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica o accedere - Blocca tutti Configurare un suggerimento per i criteri appropriato: "Un destinatario di questo messaggio di posta elettronica non è autorizzato per la ricezione di informazioni PROTETTE. Questo messaggio di posta elettronica viene bloccato a meno che i destinatari non autorizzati non vengano rimossi dal campo a . Se questo non è corretto, contattare il supporto tecnico per discutere i requisiti." Configurare le opzioni di notifica e gravità degli eventi imprevisti appropriate. |
Impedire la distribuzione tramite posta elettronica di informazioni classificate a utenti non autorizzati
Il requisito 75 di PSPF 2024 riguarda i livelli di autorizzazione necessari per l'accesso alle informazioni classificate di sicurezza:
| Requisito | Dettagli |
|---|---|
| VERSIONE PSPF 2024 - 12. Condivisione delle informazioni - Requisito 75 | L'accesso alle informazioni o alle risorse classificate per la sicurezza viene fornito solo alle persone esterne all'entità con l'autorizzazione di sicurezza appropriata (se necessario) e una necessità di sapere e viene trasferito in conformità ai requisiti minimi di protezione e gestione. |
Nelle organizzazioni governative con tipi di utente con autorizzazioni di sicurezza miste, alcuni utenti non avranno le autorizzazioni necessarie per accedere ai tipi di informazioni conservati dall'organizzazione. Tali organizzazioni richiedono controlli per impedire agli utenti che non devono avere accesso alle informazioni classificate di sicurezza di riceverle tramite posta elettronica.
Le regole DLP che limitano la posta elettronica agli utenti poco chiari richiedono un metodo per determinare quali utenti interni sono autorizzati a ricevere informazioni classificate. Come per l'esempio precedente, è possibile usare un gruppo per questo , ad esempio un gruppo utenti protetto . Tali gruppi possono essere dinamici con l'appartenenza gestita in base agli attributi allineati con ogni autorizzazione di sicurezza individuale. Può essere originato da sistemi di gestione delle risorse umane o di identità. In alternativa, le condizioni del modello di corrispondenza dell'attributo AD del destinatario possono essere configurate nei criteri DLP.
La configurazione dei criteri DLP per soddisfare questi requisiti richiede:
- Una condizione di Contenuto viene condivisa da Microsoft 365, con persone all'interno dell'organizzazione.
- Una condizione di Contenuto contiene una qualsiasi di queste etichette di riservatezza con etichette pertinenti (ad esempio, tutte le etichette PROTETTE) selezionate.
- Gruppo di condizioni collegato tramite l'operando AND . Il secondo gruppo impostato su NOT con contiene una condizione di destinatario è un membro diutenti protetti.
- Le regole richiedono un'azione che blocca o reindirizza la posta elettronica ai destinatari che non fanno parte del gruppo configurato.
Regola DLP di esempio: Bloccare la posta elettronica PROTETTA agli utenti interni non autorizzati
Questa regola impedisce agli utenti che non fanno parte di un gruppo di utenti protetti di ricevere messaggi di posta elettronica con etichette PROTETTE applicate.
| Condizioni | Azione |
|---|---|
| Il contenuto viene condiviso da Microsoft 365 Solo con persone all'interno dell'organizzazione E Il contenuto contiene l'etichetta di riservatezza: - Tutte le etichette PROTECTED AND Group NOT Il destinatario è un membro di: - Utenti protetti |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica o accedere - Blocca tutti Configurare un suggerimento per i criteri appropriato, ad esempio: "Un utente specificato non è approvato per l'accesso agli elementi PROTETTI." Configurare le opzioni di notifica e gravità degli eventi imprevisti appropriate. |
L'effetto della regola precedente è che, a condizione che l'etichettatura automatica sia stata configurata in linea con l'esempio di configurazione dell'etichettatura automatica basata sulla posta elettronica, la posta elettronica contrassegnata ricevuta da organizzazioni esterne verrà etichettata al momento della ricezione. Dopo essere stato etichettato, se il destinatario non fa parte del gruppo Utenti protetti , la ricezione del messaggio di posta elettronica protetto verrà bloccata.
Aggiunta della considerazione dei contrassegni protettivi
La regola seguente estende l'esempio precedente controllando la presenza di contrassegni PROTECTED applicati tramite x-protective-marking x-header o contrassegni soggetto. La regola blocca quindi il messaggio di posta elettronica se il destinatario non fa parte del gruppo dell'utente protetto .
| Condizioni | Azione |
|---|---|
| Il contenuto viene condiviso da Microsoft 365: solo con persone all'interno dell'organizzazione AND Group NOT Il destinatario è un membro di: - Utenti protetti AND GROUP Modello di corrispondenza dell'intestazione: X-Protective-Marking : SEC=PROTECTED O Modello di corrispondenza del soggetto: \[SEC=PROTECTED |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica o accedere - Blocca tutti Configurare un suggerimento per i criteri appropriato, ad esempio: "Un utente specificato non è approvato per l'accesso agli elementi PROTETTI." Configurare le opzioni di notifica e gravità degli eventi imprevisti appropriate. |
Impedire la posta elettronica di informazioni classificate da parte di utenti non autorizzati
È importante impedire agli utenti non autorizzati di ricevere informazioni classificate già all'interno di un tenant. Si consideri tuttavia una situazione in cui un utente ottiene l'accesso a un elemento PROTECTED tramite un'archiviazione locale, USB o un altro metodo non basato su posta elettronica. L'utente collega quindi l'elemento a un messaggio di posta elettronica e lo invia ad altri utenti non autorizzati. Verificare che un utente sia autorizzato a inviare informazioni classificate sulla sicurezza consente di ridurre il rischio di una violazione dei dati.
Regole DLP per verificare se un utente è autorizzato per l'accesso alle informazioni classificate prima di poter inviare le informazioni necessarie:
- Una condizione di Contenuto contiene una qualsiasi di queste etichette di riservatezza con etichette pertinenti (ad esempio, tutte le etichette PROTETTE) selezionate.
- Gruppo di condizioni collegato tramite l'operando AND . Il secondo gruppo impostato su NOT con contiene una condizione di destinatario è un membro diutenti protetti.
- Contenere una condizione del mittente è un membro diutenti protetti.
- Le regole richiedono un'azione che blocca o reindirizza la posta elettronica ai destinatari che non fanno parte del gruppo configurato.
Per garantire che l'invio sia interno che esterno sia protetto, la regola deve essere duplicata con le condizioni per Il contenuto viene condiviso da Microsoft 365 impostato su Solo con persone all'interno dell'organizzazione e Solo con persone esterne all'organizzazione in modo retrospettivo.
Regole DLP di esempio che limitano la distribuzione di messaggi di posta elettronica classificati per la sicurezza da utenti non autorizzati
Le regole DLP seguenti garantiscono che solo gli utenti autorizzati ad accedere alle informazioni PROTETTE siano in grado di inviarle. Queste regole garantiscono che in un evento di sicurezza (ad esempio, sovrasciezione accidentale o dannosa, autorizzazioni inappropriate o configurazioni di sicurezza), gli utenti poco chiari che ottengono l'accesso agli elementi classificati non siano in grado di esacerbare una violazione dei dati distribuendo ulteriormente informazioni classificate sulla sicurezza.
| Regola | Condizioni | Azione |
|---|---|---|
| Limitare l'invio interno di un messaggio di posta elettronica PROTETTO | Il contenuto viene condiviso da Microsoft 365: Solo con persone all'interno dell'organizzazione E Il contenuto contiene l'etichetta di riservatezza: - Tutte le etichette PROTECTED AND Group NOT Il mittente è un membro di: - Utenti protetti |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica o accedere - Blocca tutti Configurare i suggerimenti per i criteri, se necessario. Configurare la gravità e gli avvisi degli eventi imprevisti appropriati |
| Limitare l'invio esterno di posta elettronica PROTETTA | Il contenuto viene condiviso da Microsoft 365: Solo con persone esterne all'organizzazione E Il contenuto contiene l'etichetta di riservatezza: - Tutte le etichette PROTECTED AND Group NOT Il mittente è un membro di: Utenti protetti |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica o accedere - Blocca tutti Configurare i suggerimenti per i criteri, se necessario. Configurare la gravità e gli avvisi degli eventi imprevisti appropriati |
Impedire la condivisione di informazioni classificate per la sicurezza
Nota
Blueprint for Secure Cloud di ASD include indicazioni per la configurazione della condivisione di SharePoint. ASD consiglia di limitare tutti i collegamenti di condivisione solo agli utenti dell'organizzazione. L'impostazione di tutta la condivisione su solo interna è un buon stato predefinito per le organizzazioni che operano a livello PROTECTED.
Alcune organizzazioni devono modificare la configurazione della condivisione per soddisfare casi d'uso avanzati, ad esempio la collaborazione sicura con altre organizzazioni. Sono state fornite indicazioni come quelle incluse in Controllo di collaborazione esterno elevato e in altre sezioni pertinenti del progetto asd per il cloud sicuro , quindi questa operazione può essere eseguita con un basso livello di rischio e può facilmente comportare una configurazione che soddisfi meglio la sicurezza delle informazioni rispetto agli approcci tradizionali dei file allegati di posta elettronica.
Ogni organizzazione ha una configurazione di condivisione predefinita, configurata tramite la configurazione di condivisione di SharePoint. In questo modo è possibile configurare un elenco di domini approvati per la ricezione dei collegamenti di condivisione. Tale configurazione è allineata al requisito 77 di PSPF 2024.
| Requisito | Dettagli |
|---|---|
| VERSIONE PSPF 2024 - 12. Condivisione delle informazioni - Requisito 77 | Un contratto o un accordo, ad esempio un contratto o un atto, che stabilisce requisiti di gestione e protezioni, è in vigore prima che le informazioni o le risorse classificate per la sicurezza vengano divulgate o condivise con una persona o un'organizzazione al di fuori del governo. |
Le impostazioni del gruppo di etichette e del sito possono limitare ulteriormente la condivisione degli elementi da posizioni etichettate, come illustrato nella configurazione della condivisione delle etichette. Con l'impostazione configurata, un elemento classificato per la sicurezza, ad esempio un documento PROTETTO, ha opzioni di condivisione limitate mentre si trova in un percorso PROTETTO. Le configurazioni nella configurazione di gruppi e siti di esempio limitano la condivisione da tali posizioni solo ai destinatari interni. Se un elemento PROTECTED viene spostato all'esterno di una posizione PROTETTA, verrà applicato l'avviso Dati fuori sede .
Oltre alle restrizioni di condivisione basate sulla posizione, le organizzazioni devono implementare criteri di prevenzione della perdita dei dati per bloccare o avvisare e scoraggiare gli utenti dalla condivisione esterna di elementi non appropriati per la distribuzione esterna. I criteri di esempio seguenti si applicano ai documenti PROTETTI, impedendo che vengano condivisi con utenti esterni:
| Condizioni | Azione |
|---|---|
| Il contenuto viene condiviso da Microsoft 365: Solo con persone esterne all'organizzazione E Il contenuto contiene l'etichetta di riservatezza: - Tutte le etichette PROTECTED |
Limitare l'accesso o crittografare il contenuto nelle posizioni di Microsoft 365: - Impedire agli utenti di ricevere messaggi di posta elettronica o accedere - Bloccare solo le persone esterne all'organizzazione Configurare un suggerimento per i criteri appropriato, ad esempio: "Gli elementi PROTETTI non sono appropriati per la condivisione con destinatari esterni." Configurare la gravità e gli avvisi degli eventi imprevisti appropriati |
Consiglio
Poiché i criteri DLP basati su SharePoint sono basati sulla posizione anziché sull'utente, le eccezioni non vengono applicate per utente o per gruppo. Tuttavia, i criteri applicati a OneDrive possono avere un ambito per utenti specifici.
I suggerimenti per i criteri DLP possono essere configurati per fornire agli utenti un feedback utile. I file corrispondenti a un suggerimento per i criteri archiviati nelle posizioni di SharePoint traggono vantaggio dai contrassegni di icona all'interno delle raccolte documenti. Poiché il criterio DLP di esempio precedente contiene una descrizione dei criteri e il criterio impone restrizioni di accesso, un'icona che mostra un cerchio con un trattino è visibile nella raccolta documenti per ricordare agli utenti che l'elemento è soggetto a restrizioni:
Quando un utente ignora il suggerimento per i criteri e tenta di condividere un elemento PROTETTO esternamente, il suggerimento per i criteri viene visualizzato nella finestra di dialogo di condivisione:
Se un utente tenta di ignorare i criteri DLP, ad esempio inviando un tipo di collegamento più permissivo a un utente esterno, ad esempio un collegamento chiunque, il criterio DLP continuerà a attivare, generare report e, se configurato, inviare all'utente una notifica DLP.
Impedire la distribuzione di elementi classificati per la sicurezza tramite la chat di Teams
Per informazioni sull'uso di Microsoft Purview DLP per proteggere Microsoft Teams, vedere Prevenzione della perdita e Microsoft Teams.
Le attività di condivisione file in Teams funzionano tramite collegamenti di condivisione e possono essere protette tramite le impostazioni dei criteri DLP descritte in Impedire la condivisione di informazioni classificate per la sicurezza.
A una chat di Teams non può essere applicata un'etichetta di riservatezza. Pertanto, i criteri DLP basati sulla classificazione non sono applicabili. Tuttavia, i criteri che rilevano le informazioni sensibili e i contrassegni di sicurezza vengono illustrati nella limitazione della chat esterna tramite DLP.
Altri scenari di condivisione
Altri scenari di condivisione che le organizzazioni governative trovano applicabili sono illustrati in questa sezione.
Cosa succede se un membro di una posizione sicura, ad esempio un team PROTETTO, condivide un elemento in modo inappropriato?
L'approccio trust but verify di Microsoft consente a tutti gli utenti all'interno di un team di condividere contenuti in linea con i criteri di condivisione della posizione. Se sono necessarie altre restrizioni, le opzioni includono:
I gruppi di etichette di riservatezza e la configurazione dei siti vengono usati per applicare i criteri di accesso condizionale per le posizioni etichettate. Il contesto di autenticazione controlla anche che l'utente faccia parte di un gruppo di utenti autorizzati prima di consentire l'accesso al contenuto in un percorso etichettato.
Le posizioni etichettate possono essere ulteriormente limitate. L'uso di PowerShell per impostare la configurazione di un'etichetta per consentire ai
MemberShareNoneproprietari del sito o del team di controllare la distribuzione delle informazioni dalle posizioni con l'etichetta applicata. Per altre informazioni sulle restrizioni per la condivisione dei membri, vedere Condivisione dei membri.Barriere informative I controlli impliciti del gruppo di Microsoft 365 possono essere usati per bloccare la condivisione di elementi con membri non del team. Questa funzionalità è appropriata per le situazioni in cui è necessario impedire la comunicazione e la collaborazione tra gruppi di utenti.
Cosa succede se un utente sposta un elemento PROTECTED in un'altra posizione in cui la condivisione è più permissiva?
Se un utente tenta di ignorare i controlli di condivisione e accesso spostando un elemento PROTECTED in una posizione di riservatezza inferiore, ad esempio un altro team in cui la condivisione è più permissiva, allora:
- Verrà attivato l'avviso dei dati fuori luogo , avvisando l'utente dell'azione.
- I team di sicurezza possono essere avvisati tramite la configurazione del monitoraggio dei dati fuori sede.
La configurazione della condivisione di SharePoint viene usata per configurare un elenco di domini con cui gli utenti sono autorizzati a condividere. Dopo la configurazione, gli utenti non possono condividere elementi all'esterno delle organizzazioni approvate.
Un percorso di OneDrive potrebbe avere un criterio di condivisione più permissivo rispetto a quello applicato a una posizione con etichetta. Per ridurre i rischi relativi alla condivisione degli utenti da OneDrive per ignorare i controlli basati sulla posizione, è possibile configurare criteri DLP per limitare la condivisione di elementi con determinate etichette da OneDrive. I criteri possono essere applicati anche tramite gruppi, consentendo agli utenti approvati di condividere gli elementi etichettati dalle posizioni di OneDrive con gli utenti guest, limitando al contempo gli utenti non approvati.
Importante
Un utente autorizzato ad accedere agli elementi PROTETTI può condividere tali elementi da OneDrive in linea con la configurazione di condivisione globale di OneDrive dell'organizzazione e con la configurazione di condivisione di OneDrive applicata al proprio account.
Cosa succede se un insider malintenzionato tenta ripetutamente di esfiltrare informazioni classificate sulla sicurezza?
È probabile che un insider malintenzionato motivato esegua numerosi tentativi di circumnavigare i controlli di sicurezza dei dati presentati in questo articolo. La funzionalità Gestione dei rischi Insider di Microsoft viene usata per determinare il livello di rischio di un utente in base alla propria attività. Insider Risk Management consente ai team di sicurezza di monitorare le sequenze di attività sospette, ad esempio:
- Scaricare le informazioni dalle posizioni di Microsoft 365 e quindi copiarle in USB.
- Abbassamento o rimozione dell'etichetta di riservatezza applicata a un elemento e quindi condivisione con un utente esterno.
- Offuscare le informazioni identificate come sensibili e quindi esfiltrarle tramite un servizio cloud.
Per consigli sulle configurazioni di Insider Risk Management rilevanti per le organizzazioni governative australiane, vedere Gestione del rischio Insider.
Nota
Altri metodi di identificazione e protezione degli elementi classificati per la sicurezza tramite l'etichetta SIT (Sensitive Information Type) anziché l'etichetta di sensibilità sono trattati in Prevenzione della distribuzione inappropriata di informazioni sensibili.
Impedire il caricamento di elementi classificati di sicurezza in posizioni non gestite
Defender for Cloud Apps è una soluzione Microsoft che offre visibilità e controllo sulle applicazioni basate su SaaS. Offre l'integrazione con Microsoft Purview tramite controlli di prevenzione della perdita dei dati e condivisione dei dati.
Defender for Cloud Apps criteri vengono configurati all'interno della console di Microsoft 365 Defender nel menuCriteridelle app> cloud. Gli amministratori possono creare criteri destinati ai file con etichette PROTECTED e impedire che vengano condivisi con domini non approvati. Questa configurazione è allineata al requisito 77 di PSPF 2024, che stabilisce che gli elementi classificati per la sicurezza devono essere condivisi solo con organizzazioni formalmente approvate:
| Requisito | Dettagli |
|---|---|
| PSPF Release 2024 - Sezione 12: Condivisione delle informazioni - Requisito 77 | Un contratto o un accordo, ad esempio un contratto o un atto, che stabilisce requisiti di gestione e protezioni, è in vigore prima che le informazioni o le risorse classificate per la sicurezza vengano divulgate o condivise con una persona o un'organizzazione al di fuori del governo. |
Per altre informazioni sulle integrazioni tra Defender for Cloud Apps e Microsoft Purview Information Protection, vedere integrazione Microsoft Purview Information Protection.
Impedisci la copia o la stampa di elementi classificati di sicurezza
Le organizzazioni governative devono prendere in considerazione vettori di perdita di dati che non sono servizi basati su Internet, ad esempio quelli che potrebbero essere ottenuti tramite il dispositivo di un utente. Ad esempio, situazioni in cui:
- Un utente copia un elemento PROTETTO in un'unità USB non crittografata, che viene quindi smarrita o rubata.
- Gli elementi PROTETTI vengono copiati in una condivisione o in un percorso di rete locale, che non è appropriato per l'archiviazione degli elementi PROTETTI.
- Le informazioni contenute negli elementi PROTETTI vengono copiate e incollate in un nuovo elemento senza gli stessi controlli applicati, consentendo l'esfiltrazione delle informazioni.
- Gli elementi classificati di sicurezza vengono stampati e quindi la copia disco rigido viene smarrita o rubata.
La prevenzione della perdita dei dati degli endpoint consente l'applicazione dei criteri DLP alle azioni degli utenti sugli endpoint registrati. Per informazioni sulle procedure di onboarding per Endpoint DLP, vedere Introduzione alla prevenzione della perdita dei dati degli endpoint.
Come prerequisito per l'efficacia dei controlli DLP di EndPoint, le organizzazioni governative devono limitare i Web browser solo a quelli che sono in grado di riconoscere la prevenzione della perdita dei dati di Microsoft 365. Chromium è compatibile con DLP e sia Google Chrome che Firefox possono essere resi consapevoli della prevenzione della perdita dei dati tramite un componente aggiuntivo del browser. Per altre informazioni sull'estensione Microsoft Purview Chrome, vedere Introduzione all'estensione Microsoft Purview Chrome.
Per i dispositivi di destinazione con Endpoint DLP, creare un criterio DLP con ambito per il percorso Dispositivi .
Come per altri esempi di prevenzione della perdita dei dati, i criteri possono essere configurati con contenuto contenente, etichetta di riservatezza come condizioni. In Azioni dei criteri è possibile scegliere Controlla, Blocca con override o Blocca le azioni seguenti:
- Caricare l'elemento in un dominio di servizio cloud con restrizioni (ad esempio Google Drive) (comune a Blocca nelle organizzazioni governative)
- Copia da un elemento agli Appunti
- Copiare l'elemento in un'unità USB rimovibile (comune a Blocca con override nelle organizzazioni governative)
- Copia in una condivisione di rete
- Stampa
- Copiare o spostare usando un'app Bluetooth non consentita (comune a Blocca nelle organizzazioni governative)
- Copiare o spostare usando Remote Desktop Protocol (comune a Blocca nelle organizzazioni governative)
Nota
La prevenzione della perdita dei dati di EndPoint consente alle organizzazioni di configurare una gamma di opzioni, tra cui applicazioni, esclusioni di percorsi, browser consentiti, stampanti consentite e dispositivi USB consentiti. Queste impostazioni possono essere usate con i criteri per definire le situazioni in cui è consentito l'uso di elementi etichettati.