Condividi tramite


Applicare automaticamente un'etichetta di riservatezza ai dati di Microsoft 365

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Nota

Per informazioni sull'applicazione automatica di un'etichetta di riservatezza ai dati archiviati all'esterno di Microsoft 365 e nella mappa dati, vedere Etichettatura in Microsoft Purview Data Map.

Quando si crea un'etichetta di riservatezza, è possibile assegnare automaticamente tale etichetta agli elementi di Microsoft 365, ad esempio file e messaggi di posta elettronica, quando i dati corrispondono alle condizioni specificate.

La possibilità di applicare automaticamente etichette di riservatezza al contenuto è importante perché:

  • Non è necessario spiegare agli utenti quando usare le singole classificazioni.

  • Non è necessario affidarsi solo agli utenti per la classificazione corretta di tutto il contenuto.

  • Gli utenti non hanno più bisogno di conoscere i criteri e possono concentrarsi sul loro lavoro.

Esistono due metodi diversi per applicare automaticamente un'etichetta di riservatezza al contenuto in Microsoft 365:

  • Etichettatura lato client quando gli utenti modificano documenti o compongono (e rispondono o inoltrano) messaggi di posta elettronica: usare un'etichetta configurata per l'applicazione automatica di etichette per file e messaggi di posta elettronica (include Word, Excel, PowerPoint e Outlook).

    Questo metodo supporta la raccomandazione di un'etichetta agli utenti, nonché l'applicazione automatica di un'etichetta. In entrambi i casi, comunque, l'utente decide se accettarla o rifiutarla, per garantire la corretta etichettatura del contenuto. Questa etichettatura lato client ha un ritardo minimo per i documenti perché l'etichetta può essere applicata anche prima di salvare il documento. Tuttavia, non tutte le app client supportano l'etichettatura automatica.

    Per le istruzioni di configurazione, vedere Come configurare l'applicazione automatica di etichette per le app di Office in questa pagina.

  • Etichettatura lato servizio quando il contenuto è già salvato (in SharePoint o OneDrive) o inviato tramite posta elettronica (elaborato da Exchange Online): usare un criterio di applicazione automatica di etichette.

    Questo metodo potrebbe essere indicato anche come applicazione automatica di etichette per i dati inattivi (documenti in SharePoint e OneDrive) e per i dati in transito (messaggi di posta elettronica inviati o ricevuti da Exchange). Per Exchange, non include i messaggi di posta elettronica inattivi (cassette postali).

    Dato che questa etichettatura viene applicata dai servizi e non dalle applicazioni, non è necessario preoccuparsi delle app e delle versioni usate dagli utenti. Di conseguenza, questa funzionalità è immediatamente disponibile nell'intera organizzazione ed è adatta per l'applicazione di etichette su vasta scala. I criteri di applicazione automatica di etichette non supportano l'applicazione di etichette consigliate perché l'utente non interagisce con il processo di etichettatura. L'amministratore esegue invece i criteri in modalità di simulazione per garantire la corretta etichettatura del contenuto prima dell’effettiva applicazione dell'etichetta.

    Per istruzioni sulla configurazione, vedere Come configurare i criteri di applicazione automatica di etichette per SharePoint, OneDrive e Exchange in questa pagina.

    Caratteristiche specifiche dell'etichettatura automatica per SharePoint e OneDrive:

    • Sono supportati documenti PDF e file di Office per Word (.docx), PowerPoint (.pptx) ed Excel (.xlsx).
      • Questi file inattivi possono essere etichettati automaticamente prima o dopo la creazione dei criteri di etichettatura automatica. I file non possono essere etichettati automaticamente se fanno parte di una sessione aperta (il file è aperto).
      • Al momento gli allegati agli elementi dell'elenco non sono supportati e non verranno etichettati automaticamente.
    • Massimo 100.000 file etichettati automaticamente nel tenant al giorno.
    • Massimo 100 criteri di etichettatura automatica per tenant, ognuno destinato a un massimo di 100 posizioni (siti di SharePoint o singoli utenti o gruppi di OneDrive) quando si specificano posizioni specifiche usando le opzioni Incluse o Escluse . Se si mantiene la configurazione predefinita Di tutto, questa configurazione è esente dal massimo di 100 posizioni.
    • I valori esistenti per "Modificato", "Modificato da" e la data non vengono cambiati dai criteri di etichettatura automatica, sia per la modalità di simulazione che per l'applicazione delle etichette.
    • Quando si applica la crittografia all'etichetta, l'emittente di Rights Management e il proprietario di Rights Management è il conto che ha modificato per ultimo il file.

    Caratteristiche specifiche dell'etichettatura automatica per Exchange:

    • Gli allegati PDF e gli allegati di Office vengono analizzati per individuare le condizioni specificate nei criteri di etichettatura automatica. Quando viene rilevata una corrispondenza, viene applicata un'etichetta al messaggio ma non all'allegato.
      • Per quanto riguarda i file PDF, se l'etichetta applica la crittografia, i file vengono crittografati usando Message Encryption quando il tenant è abilitato per gli allegati PDF.
      • Sono supportati i file Word, PowerPoint ed Excel. Se l'etichetta applica la crittografia e questi file non sono crittografati, ora vengono crittografati utilizzando la Crittografia dei messaggi. Le impostazioni di crittografia vengono ereditate dal messaggio di posta elettronica.
    • Per etichettare e proteggere i messaggi di posta elettronica che contengono messaggi vocali di Teams, vedere le istruzioni di configurazione in Abilitare la segreteria telefonica protetta nell'organizzazione.
    • Se sono presenti regole del flusso di posta di Exchange o criteri di prevenzione della perdita dei dati (DLP) di Microsoft Purview che applicano la crittografia IRM: quando il contenuto viene identificato da queste regole o criteri e da un criterio di applicazione automatica delle etichette, l'etichetta viene applicata. Se quell'etichetta applica la crittografia, le impostazioni IRM delle regole per il flusso di posta di Exchange o dei criteri di prevenzione della perdita dei dati vengono ignorate. Se invece quella etichetta non applica la crittografia, in aggiunta all'etichetta vengono applicate le impostazioni IRM delle regole per il flusso di posta di Exchange o dei criteri di prevenzione della perdita dei dati.
    • I messaggi di posta elettronica con crittografia IRM senza etichetta verranno sostituiti da un'etichetta con qualsiasi impostazione di crittografia se esiste una corrispondenza usando l'etichettatura automatica.
    • La posta elettronica in arrivo viene etichettata quando si verifica una corrispondenza con le condizioni di etichettatura automatica. Affinché questo risultato si applichi ai mittenti esterni all'organizzazione, il percorso di Exchange deve essere impostato su Tutti inclusi e Nessuno escluso. Se l'etichetta è configurata per la crittografia:
      • Tale crittografia viene sempre applicata quando il mittente proviene dall'organizzazione.
      • Per impostazione predefinita, tale crittografia non viene applicata quando il mittente è esterno all'organizzazione, ma può essere applicata configurando Impostazioni aggiuntive per la posta elettronica e specificando un proprietario di Rights Management.
    • Quando si applica la crittografia all'etichetta, l'emittente di Rights Management e il proprietario di Rights Management è la persona che invia il messaggio di posta elettronica quando il mittente appartiene alla propria organizzazione. Quando il mittente è esterno all'organizzazione, è possibile specificare un proprietario di Rights Management per la posta elettronica in arrivo etichettata e crittografata dai criteri.
    • Se l'etichetta è configurata per applicare contrassegni di contenuto con variabili, tenere presente che per la posta elettronica in arrivo, questa configurazione può comportare la visualizzazione dei nomi di persone esterne all'organizzazione.

Nota

Per alcuni nuovi clienti, stiamo offrendo la configurazione automatica delle impostazioni predefinite di etichettatura automatica sia per l'etichettatura lato client che per quella lato servizio. Anche se non si è idonei per questa configurazione automatica, potrebbe essere utile fare riferimento alla relativa configurazione. Ad esempio, è possibile configurare manualmente le etichette esistenti e creare i propri criteri di etichettatura automatica con le stesse impostazioni per accelerare la distribuzione delle etichette.

Per altre informazioni, vedere Etichette e criteri predefiniti per Microsoft Purview Information Protection.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Confronto tra l'applicazione automatica di etichette per le app di Office e i criteri di applicazione automatica di etichette

Nella tabella seguente sono riportate le differenze di comportamento tra i due metodi complementari di etichettatura automatica:

Funzionalità o comportamento Impostazione di etichettatura: Applicazione automatica delle etichette per file e messaggi di posta elettronica Criterio: Etichettatura automatica
Dipendenza dall'app Sì (versioni minime) No*
Limitazione in base alla posizione No
Condizioni: Opzioni di condivisione e opzioni aggiuntive per la posta elettronica No
Condizioni: Eccezioni No
Supporto per i file PDF No
Supporto per le immagini No
Consigli, suggerimento criteri e criteri ignorati dagli utenti No
Modalità di simulazione No
Verifica delle condizioni negli allegati di Exchange No
Applicazione di contrassegni visivi Sì (solo posta elettronica)
Override della crittografia IRM applicata senza etichetta Sì, se l'utente dispone del diritto minimo di utilizzo per l'esportazione Sì (solo posta elettronica)
Etichettatura della posta in arrivo No
Assegnare un proprietario di Rights Management per i messaggi di posta elettronica inviati da un'altra organizzazione No
Per i messaggi di posta elettronica, sostituire l'etichetta esistente con priorità uguale o inferiore No Sì (configurabile)

* L'etichettatura automatica non è attualmente disponibile in tutte le aree a causa di una dipendenza di Azure back-end. Se il tenant non supporta questa funzionalità, la pagina di etichettatura automatica non è visibile nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Disponibilità delle dipendenze di Azure per paese/area geografica.

Modalità di valutazione di più condizioni quando si applicano a più etichette

Le etichette vengono ordinate per la valutazione in base alla posizione specificata nel portale di Microsoft Purview o nel Portale di conformità di Microsoft Purview: l'etichetta posizionata per prima ha la posizione più bassa (meno sensibile, quindi la priorità più bassa) e l'etichetta posizionata per ultima ha la posizione più alta (la più sensibile, quindi la priorità più alta). L'etichetta con il numero di ordine più alto è selezionata.

Questo comportamento è vero anche per l'etichettatura automatica sul lato servizio (criteri di etichettatura automatica) quando le etichette secondarie condividono la stessa etichetta padre: se dopo la valutazione e l'ordinamento, più etichette secondarie della stessa etichetta padre soddisfano le condizioni di etichettatura automatica, l'etichetta secondaria con il numero di ordine più alto viene selezionata e applicata.

Tuttavia, il comportamento è leggermente diverso per l'etichettatura automatica sul lato client (impostazioni di etichettatura automatica nell'etichetta). Se più etichette secondarie della stessa etichetta padre corrispondono alle condizioni:

  • Se un file non è già etichettato, viene sempre selezionata l'etichetta secondaria di ordine più alto configurata per l'etichettatura automatica, anziché l'etichetta secondaria di ordine più alta configurata per l'etichettatura consigliata. Se nessuna di queste etichette secondarie è configurata per l'etichettatura automatica, ma solo per l'etichettatura consigliata, viene selezionata e consigliata la sottoetichetta di ordine più alto.

  • Se un file è già etichettato con una sottoetichetta dello stesso elemento padre, non viene eseguita alcuna azione e l'etichetta secondaria esistente rimane. Questo comportamento si applica anche se l'etichetta secondaria esistente è un'etichetta predefinita o viene applicata automaticamente.

Per altre informazioni sulla priorità dell'etichetta, vedere Priorità dell'etichetta (questioni relative all'ordine).

Considerazioni per le configurazioni delle etichette

Le considerazioni seguenti si applicano sia all'etichettatura lato client che all'etichettatura sul lato servizio.

Tenere presente che non è possibile applicare al contenuto un'etichetta padre (un'etichetta con sottoetichette). Verificare che non sia stata configurata un'etichetta padre per essere applicata automaticamente o consigliata nelle app di Office e non selezionare un'etichetta padre per un criterio di applicazione automatica di etichette, altrimenti l'etichetta padre non verrà applicata al contenuto.

Per usare l'etichettatura automatica con le sottoetichette, assicurarsi di pubblicare sia l'etichetta padre che la sottoetichetta.

Per ulteriori informazioni sulle etichette padre e sulle sottoetichette, vedere Sottoetichette (raggruppamento etichette).

Definizione dell'ambito delle etichette che esclude file o messaggi di posta elettronica

Per applicare automaticamente un'etichetta di riservatezza al contenuto, l'ambito dell'etichetta deve includere File & altri asset di dati per applicare automaticamente un'etichetta ai documenti e Messaggi di posta elettronica per applicare automaticamente un'etichetta ai messaggi di posta elettronica.

Per altre informazioni quando si seleziona solo uno di questi ambiti di etichetta, vedere Ambito di etichette solo per file o messaggi di posta elettronica.

Un'etichetta esistente verrà sostituita?

Anche se esistono alcuni scenari in cui un'etichetta di riservatezza può essere sostituita con un'altra etichetta di riservatezza, un criterio di etichettatura automatica non rimuoverà mai un'etichetta di riservatezza in modo che il contenuto non venga etichettato.

Comportamento predefinito se l'etichettatura automatica sostituisce un'etichetta esistente:

  • Quando il contenuto è stato etichettato manualmente, quell'etichetta non verrà mai sostituita dall'etichettatura automatica.

  • L'etichettatura automatica sostituirà un’etichetta di riservatezza con priorità inferiore applicata automaticamente, ma non un'etichetta con priorità più alta.

    Consiglio

    Ad esempio, l'etichetta di riservatezza nella parte superiore dell'elenco nel portale di Microsoft Purview o il Portale di conformità di Microsoft Purview è denominata Pubblico con un numero di ordine (priorità) pari a 0 e l'etichetta di riservatezza nella parte inferiore dell'elenco è denominata Altamente riservato con un numero di ordine (priorità 4). L'etichetta Strettamente riservato può sostituire l'etichetta Pubblica, ma non viceversa.

Solo per i criteri di etichettatura automatica della posta elettronica, è possibile selezionare un'impostazione per sostituire sempre un'etichetta di riservatezza esistente, indipendentemente dalla modalità di applicazione.

Etichetta esistente Sostituire con l’impostazione di etichettatura: applicazione automatica delle etichette per file e messaggi di posta elettronica Sostituire con i criteri: applicazione automatica di etichette
Applicata manualmente, qualsiasi priorità Word, Excel, PowerPoint: no

Outlook: no
SharePoint e OneDrive: no

Exchange: no per impostazione predefinita, ma configurabile
Etichetta applicata automaticamente o predefinita dalla politica, priorità più bassa Word, Excel, PowerPoint: Sì *

Outlook: Sì *
SharePoint e OneDrive: sì

Exchange: sì
Applicazione automatica o etichetta predefinita dal criterio, priorità più alta Word, Excel, PowerPoint: no

Outlook: no
SharePoint e OneDrive: no

Exchange: no per impostazione predefinita, ma configurabile

* Esiste un'eccezione per le etichette secondarie che condividono la stessa etichetta padre

L'impostazione configurabile per i criteri di etichettatura automatica della posta elettronica è disponibile nella pagina Impostazioni aggiuntive per la posta elettronica. Questa pagina viene visualizzata dopo aver selezionato un'etichetta di riservatezza per un criterio di etichettatura automatica che include il percorso di Exchange.

Come configurare l'applicazione automatica di etichette per le app di Office

Controllare le versioni minime necessarie per l'etichettatura automatica nelle app di Office.

Le impostazioni di applicazione automatica delle etichette per le app di Office sono disponibili quando si crea o modifica un'etichetta di riservatezza. Assicurarsi che l'ambito dell'etichetta File & altri asset di dati sia selezionato per etichettare automaticamente i documenti e che Email sia selezionato per etichettare automaticamente i messaggi di posta elettronica. Ad esempio:

Opzioni di ambito dell'etichetta di riservatezza per elementi che includono file e Email.

Mentre ci si sposta attraverso la procedura configurazione, viene visualizzata la pagina Applicazione automatica delle etichette per file e messaggi di posta elettronica, in cui è possibile scegliere da un elenco di tipi di informazioni sensibili o di classificatori sottoponibili a training:

Condizioni delle etichette per l'applicazione automatica di etichette nelle app di Office.

Quando questa etichetta di riservatezza viene applicata automaticamente, l'utente riceve una notifica nella propria app Office. Ad esempio:

Notifica dell'applicazione automatica di un'etichetta a un documento.

Configurazione dei tipi di informazioni sensibili per un'etichetta

Quando si seleziona l'opzione Tipi di informazioni sensibili , viene visualizzato lo stesso elenco di tipi di informazioni riservate di quando si crea un criterio di prevenzione della perdita dei dati (DLP). Ad esempio, è possibile applicare automaticamente un'etichetta Estremamente riservato a qualsiasi contenuto che include informazioni personali dei clienti, ad esempio numeri di carte di credito, codici fiscali o numeri di passaporto:

Tipi di informazioni sensibili per l'etichettatura automatica nelle app di Office.

Analogamente a quando si configurano i criteri sulla prevenzione della perdita dei dati, è possibile perfezionare la condizione cambiando il conteggio delle istanze e l’accuratezza della corrispondenza. Ad esempio:

Opzioni per l'accuratezza della corrispondenza e il conteggio delle istanze.

Per altre informazioni sui livelli di attendibilità, vedere la documentazione sulla prevenzione della perdita dei dati: Altre informazioni sui livelli di attendibilità

Importante

I tipi di informazioni riservate hanno due modi diversi per definire i parametri del numero massimo di istanze univoche. Per ulteriori informazioni, vedere Conteggio istanze valori supportati per SIT.

Inoltre, analogamente alla configurazione dei criteri di prevenzione della perdita dei dati, è possibile scegliere se una condizione deve rilevare tutti i tipi di informazioni sensibili o solo una di esse. Per rendere le condizioni più flessibili o complesse, è possibile aggiungere gruppi e usare operatori logici tra i gruppi.

Tipi di informazioni sensibili personalizzati con corrispondenza esatta dei dati

È possibile configurare un'etichetta di riservatezza per utilizzare tipi di informazioni sensibili basate sulla corrispondenza esatta dei dati per i tipi di informazioni sensibili personalizzate. Attualmente, tuttavia, è necessario specificare almeno un tipo di informazioni sensibili che non usa EDM. Ad esempio, uno dei tipi di informazioni riservate predefiniti, ad esempio i numeri di carta di credito.

Se si configura un'etichetta di riservatezza con solo EDM per le condizioni del tipo di informazioni sensibili, l'impostazione di etichettatura automatica viene disattivata automaticamente per l'etichetta.

Configurazione di classificatori sottoponibili a training per un'etichetta

Se usi questa opzione con Microsoft 365 Apps per Windows versione 2106 o inferiore o Microsoft 365 Apps per Mac versione 16.50 o successiva, assicurati di aver pubblicato nel tenant almeno un'altra etichetta di riservatezza configurata per l'etichettatura automatica e l'opzione tipi di informazioni riservate. Questo requisito non è necessario quando usi versioni successive su queste piattaforme.

Quando si seleziona l'opzione Classificatori sottoponibili a training , selezionare uno o più classificatori sottoposti a training preliminare o personalizzati:

Opzioni per i classificatori sottoponibili a training e le etichette di riservatezza.

I classificatori con training preliminare disponibili vengono spesso aggiornati, quindi potrebbero essere presenti più voci da selezionare rispetto a quelle visualizzate in questo screenshot.

Per altre informazioni su questi classificatori, vedere Informazioni sui classificatori sottoponibili a training.

Consigliare all'utente di applicare un'etichetta di riservatezza

Se si preferisce, è possibile consigliare agli utenti di applicare l'etichetta. Con questa opzione, gli utenti possono accettare la classificazione e le eventuali protezioni associate o ignorare il suggerimento se l'etichetta non è adatta al relativo contenuto.

Opzione per la raccomandazione di un'etichetta di riservatezza per gli utenti.

Quando si usa l'etichettatura predefinita con le versioni desktop di Word, gli utenti hanno un'opzione aggiuntiva per Mostrare contenuto sensibile con il prompt delle etichette consigliato. Quando selezionano questo pulsante, il riquadro Editor consente all'utente di eseguire ogni rilevamento. L'utente può quindi rimuovere i dati sensibili o lasciarli con una migliore comprensione del motivo per cui è stata consigliata l'etichetta di riservatezza. Quando hanno queste informazioni aggiuntive, gli utenti hanno maggiore fiducia nel selezionare il pulsante Applica riservatezza . Ad esempio:

Richiedere di applicare un'etichetta consigliata e visualizzare il contenuto sensibile.

In questo esempio viene illustrato il prompt delle etichette consigliato predefinito, ma come per l'etichettatura automatica, è possibile personalizzare il testo in modo che sia più significativo o specifico per gli utenti. Ad esempio, includere il nome dell'organizzazione o fare riferimento al reparto IT per aumentare la visibilità e dare agli utenti maggiore sicurezza che questo non sia un messaggio generico che potrebbe non essere applicabile a loro.

Consiglio

Sebbene la raccomandazione di un'etichetta di riservatezza interrompa il flusso di lavoro di un utente, è un modo molto efficiente per informare gli utenti al momento sui dati sensibili con cui lavorano. Per visualizzarlo in azione, watch il video: Classificare automaticamente & proteggere i documenti & i dati

L'etichettatura consigliata è particolarmente potente quando è associata a questa opzione per eseguire il passaggio degli utenti attraverso ogni istanza di contenuto sensibile rilevato. Può portare a un'etichettatura più accurata, non solo per l'elemento immediato, ma anche per gli elementi futuri che richiedono l'etichettatura manuale o per gli elementi modificati che potrebbero ora richiedere una rietichettazione.

Non tutte le app di Office supportano l'etichettatura automatica e consigliata. Per altre informazioni, vedere Supporto per le funzionalità di riservatezza nelle app.

Altre considerazioni:

  • Non è possibile usare l'assegnazione automatica di etichette per le e-mail e i documenti in precedenza etichettati manualmente o associati automaticamente a un grado maggiore di riservatezza. È possibile applicare una singola etichetta di riservatezza a un documento o una e-mail (oltre a una singola etichetta di conservazione).

  • Non è possibile usare l'assegnazione di etichette consigliate per i documenti o i messaggi di posta elettronica etichettati in precedenza con un grado maggiore di riservatezza. Quando il contenuto è già stato etichettato con un grado maggiore di riservatezza, l'utente non visualizzerà l'avviso con il consiglio e il suggerimento per i criteri.

  • Per le etichette consigliate nelle versioni desktop di Word, il contenuto sensibile che ha generato il suggerimento viene contrassegnato in modo che gli utenti possano rivedere e rimuovere tale contenuto anziché applicare l'etichetta di riservatezza consigliata.

Per informazioni su come vengono applicate tali etichette nelle app di Office, screenshot di esempio e dettagli su come vengono rilevate le informazioni sensibili, vedere Applicare automaticamente o consigliare l'applicazione di etichette di riservatezza ai file e ai messaggi di posta elettronica in Office.

Convertire le impostazioni dell’etichetta in un criterio di etichettatura automatica

Se l'etichetta include tipi di informazioni sensibili per le condizioni configurate, verrà visualizzata un'opzione al termine del processo di creazione o modifica dell'etichetta per creare automaticamente un criterio di etichettatura automatica basato sulle stesse impostazioni di etichettatura automatica.

Tuttavia, se l'etichetta contiene classificatori sottoponibili a training come condizione di etichetta:

  • Quando le condizioni dell'etichetta contengono solo classificatori sottoponibili a training, non verrà visualizzata l'opzione per creare automaticamente un criterio di etichettatura automatica.

  • Quando le condizioni dell'etichetta contengono classificatori sottoponibili a training e tipi di informazioni di riservatezza, verrà creato un criterio di etichettatura automatica solo per i tipi di informazioni sensibili.

Anche se un criterio di etichettatura automatica viene creato automaticamente popolando in automatico i valori che è necessario selezionare manualmente se il criterio è stato creato da zero, è comunque possibile visualizzare e modificare i valori prima che vengano salvati.

Per impostazione predefinita, tutti i percorsi per SharePoint, OneDrive ed Exchange sono inclusi nei criteri di etichettatura automatica e, quando vengono salvati, vengono eseguiti in modalità di simulazione. Non è possibile verificare di aver abilitato le etichette di riservatezza per i file Office in SharePoint e OneDrive, che è uno dei prerequisiti per l'applicazione automatica di etichette al contenuto in SharePoint e OneDrive.

Come configurare i criteri di applicazione automatica di etichette per SharePoint, OneDrive e Exchange

Nota

Non usare i criteri di etichettatura automatica di Exchange per inviare messaggi di posta elettronica crittografati per le distribuzioni di posta in massa. Questi criteri non sono progettati per questo scopo e possono comportare l'invio di errori e ricevute di mancato recapito. Per questo scenario, l'impostazione dell'etichetta per l'invio automatico di messaggi di posta elettronica è più adatta.

Assicurarsi di conoscere i prerequisiti prima di configurare i criteri di etichetta automatica.

Prerequisiti per i criteri di applicazione automatica di etichette

  • Modalità di simulazione:

    • È necessario abilitare il controllo per Microsoft 365. Per abilitare il controllo o verificare se è già attivato, vedere Abilitare o disabilitare la ricerca nel log di audit.
    • Per visualizzare il contenuto del file o della posta elettronica nella visualizzazione origine, è necessario disporre del ruolo Visualizzatore contenuto classificazione dati, incluso nel gruppo di ruoli Visualizzatore contenuto di Esplora contenuto, oppure Information Protection e Information Protection gruppi di ruoli Investigatori. Senza il ruolo richiesto, il riquadro di anteprima non viene visualizzato quando si seleziona un elemento dalla scheda Elementi da rivedere . Gli amministratori globali non hanno questo ruolo per impostazione predefinita.
  • Per assegnare automaticamente un'etichetta ai file in SharePoint e OneDrive:

    • Sono state abilitate le etichette di riservatezza per i file di Office in SharePoint e OneDrive.
    • Nel momento in cui vengono eseguiti i criteri di applicazione automatica di etichette, il file non deve essere aperto da un altro processo o utente. Un file estratto per la modifica rientra in questa categoria.
    • Se si prevede di usare tipi di informazioni riservate:
      • I tipi di informazioni sensibili selezionati verranno applicati solo al contenuto creato o modificato dopo la creazione o la modifica di questi tipi di informazioni. Questa restrizione si applica a tutti i tipi di informazioni sensibili personalizzati e a tutti i nuovi tipi di informazioni predefiniti.
      • Per testare nuovi tipi di informazioni sensibili personalizzati, crearli prima di creare i criteri di applicazione automatica di etichette e quindi creare nuovi documenti con i dati di esempio per il test.
    • Se si prevede di usare le proprietà del documento come condizione (la proprietà Document è ), questa opzione usa le proprietà gestite di SharePoint nello stesso modo in cui vengono usate per i criteri DLP. Usare corrispondenze di stringa esatte; i modelli regex non sono supportati. Per altre informazioni sulle proprietà gestite come metodo di ricerca, vedere Gestire lo schema di ricerca in SharePoint.
  • Una o più etichette di riservatezza create e pubblicate (per almeno un utente) che è possibile selezionare per i criteri di applicazione automatica di etichette. Per queste etichette:

    • Non è rilevante se l'opzione di etichettatura automatica nelle app di Office sia attivata o disattivata perché, come spiegato nell'introduzione, quella impostazione delle etichette integra i criteri di applicazione automatica di etichette.
    • Se le etichette che si vogliono usare per l'applicazione automatica di etichette sono configurate per l'uso di contrassegni visivi (intestazioni, piè di pagina e filigrane), tenere presente che questi non vengono applicati ai documenti.
    • Se le etichette applicano la crittografia:
      • Quando il criterio di applicazione automatica delle etichette include posizioni per SharePoint o OneDrive, l'etichetta deve essere configurata per l'impostazione Assegnare le autorizzazioni adesso e L’accesso utente al contenuto scade deve essere impostato su Mai.
      • Quando il criterio di applicazione automatica delle etichette è solo per Exchange, l'etichetta può essere configurata sia per Assegnare le autorizzazioni adesso o Consentire agli utenti di assegnare le autorizzazioni (per le opzioni Non inoltrare o Solo crittografia). Non è possibile applicare automaticamente un'etichetta configurata per applicare la protezione S/MIME.

Informazioni sulla modalità di simulazione

La modalità di simulazione è supportata per i criteri di etichettatura automatica e viene inserita nel flusso di lavoro. Non è possibile applicare automaticamente etichette ai documenti e ai messaggi di posta elettronica prima che il criterio abbia eseguito almeno una simulazione.

La modalità di simulazione supporta fino a 4.000.000 file corrispondenti. Se un criterio di etichettatura automatica corrisponde a più di tale numero di file, non è possibile attivare il criterio per applicare le etichette. In questo caso, è necessario riconfigurare i criteri di etichettatura automatica in modo che venga trovata una corrispondenza per un minor numero di file ed eseguire nuovamente la simulazione. Questo massimo di 4.000.000 file corrispondenti si applica solo alla modalità di simulazione e non a un criterio di etichettatura automatica già attivato per applicare etichette di riservatezza.

Flusso di lavoro per un criterio di applicazione automatica di etichette:

  1. Creare e configurare un criterio di applicazione automatica di etichette.

  2. Eseguire il criterio in modalità di simulazione. Il completamento può richiedere fino a 12 ore. La simulazione completata attiva una notifica tramite posta elettronica inviata all'utente configurato per ricevere avvisi di attività .

  3. Rivedere i risultati e, se necessario, perfezionare il criterio. Ad esempio, potrebbe essere necessario modificare le regole dei criteri per ridurre i falsi positivi o rimuovere alcuni siti in modo che il numero di file corrispondenti non superi 4.000.000. Rieseguire la modalità di simulazione e attendere che la procedura sia completata di nuovo.

  4. Ripetere il passaggio 3 in base alle esigenze.

  5. Distribuire in produzione.

La distribuzione simulata viene eseguita come il parametro WhatIf per PowerShell, per un momento specifico. Vengono riportati i risultati come se il criterio di applicazione automatica di etichette avesse applicato l'etichetta selezionata, usando le regole definite. È possibile perfezionare le regole, se necessario, ed eseguire di nuovo la simulazione. Tuttavia, dato che l'etichettatura automatica per Exchange si applica ai messaggi di posta elettronica inviati e ricevuti e non ai messaggi archiviati nelle cassette postali, i risultati relativi alla posta in una simulazione non saranno coerenti, a meno che non si riesca a inviare e ricevere gli stessi identici messaggi.

La modalità di simulazione consente anche di aumentare gradualmente l'ambito del criterio di applicazione automatica di etichette prima della distribuzione. Ad esempio, è possibile iniziare con una singola posizione, come un sito di SharePoint site, con una singola raccolta documenti. Quindi, con le modifiche iterative, estendere l'ambito a più siti e quindi a un'altra posizione, ad esempio OneDrive.

Infine, è possibile usare la modalità di simulazione per ottenere un'approssimazione del tempo necessario per eseguire il criterio di applicazione automatica di etichette, per agevolare la pianificazione e la programmazione della sua esecuzione senza la modalità di simulazione.

Nota

Se i risultati della simulazione non includono i file previsti, in base alle condizioni dei criteri automatici configurati e al contenuto corrente del file, è possibile che i file siano stati aggiornati dopo l'esecuzione della simulazione. Controllare se i file sono stati aggiornati ed eseguire di nuovo la simulazione per confermare che verranno etichettati.

Creazione di un criterio di applicazione automatica di etichette

Per questa configurazione, è possibile usare il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview.

  1. A seconda del portale in uso, passare a una delle posizioni seguenti:

    Nota

    Se non viene visualizzata l'opzione per l'etichettatura automatica, questa funzionalità non è attualmente disponibile nell'area a causa di una dipendenza di Azure back-end. Per altre informazioni, vedere Disponibilità delle dipendenze di Azure per paese/area geografica.

  2. Selezionare + Crea criterio di applicazione automatica di etichette. Verrà avviata la configurazione del nuovo criterio:

    Configurazione del nuovo criterio per l’applicazione automatica di etichette.

  3. Per la pagina Scegliere un'etichetta da applicare automaticamente: selezionare + Scegli un'etichetta, selezionare un'etichetta nel riquadro Choose a sensitivity label, quindi scegliere Avanti.

  4. Per la pagina Scegliere le informazioni a cui applicare questa etichetta: selezionare uno dei modelli, ad esempio Finanziari o Privacy. È possibile perfezionare la ricerca usando la casella di ricerca o l'elenco a discesa per paesi o aree geografiche. In alternativa, selezionare Criterio personalizzato se i modelli non soddisfano i propri requisiti. Selezionare Avanti.

  5. Per la pagina Assegnare un nome al criterio di applicazione automatica delle etichette: specificare un nome univoco e, facoltativamente, una descrizione per l'etichetta applicata automaticamente, le posizioni e le condizioni che identificano il contenuto da etichettare.

  6. Per la pagina Assegna unità amministrative: se l'organizzazione usa unità amministrative in Microsoft Entra ID, i criteri di etichettatura automatica per Exchange e OneDrive possono essere limitati automaticamente a utenti specifici selezionando le unità amministrative. Se all'account sono state assegnate unità amministrative, è necessario selezionare una o più unità amministrative.

    Se non si vuole limitare i criteri usando le unità amministrative o se l'organizzazione non ha configurato le unità amministrative, mantenere il valore predefinito Directory completa.

    Nota

    Se si modifica un criterio esistente e si modificano le unità amministrative, è ora necessario riconfigurare le posizioni nel passaggio successivo.

  7. Per la pagina Scegliere le posizioni in cui si desidera applicare l'etichetta: selezionare e specificare le posizioni per Exchange, SharePoint e OneDrive. Se non si vuole mantenere il valore predefinito di Tutti compresi per le posizioni scelte, seleziona il collegamento per scegliere istanze specifiche da includere o seleziona il collegamento per scegliere istanze specifiche da escludere. Quindi, scegliere Avanti.

    Pagina Seleziona i percorsi per la configurazione dell'etichettatura automatica.

    Nota

    Per le organizzazioni che usano unità amministrative:

    • Se è stata selezionata l'opzione per usare le unità amministrative nel passaggio precedente, il percorso per i siti di SharePoint diventa non disponibile. Solo i criteri di etichettatura automatica per Exchange e OneDrive supportano le unità amministrative.
    • Quando si usano le opzioni Incluse o Escluse , verranno visualizzati e potranno selezionare solo gli utenti nelle unità amministrative selezionate nel passaggio precedente.

    Se si usano le opzioni Incluse o Escluse :

    • Per il percorso di Exchange , i criteri vengono applicati in base all'indirizzo del mittente dei destinatari specificati. Nella maggior parte dei casi, è consigliabile mantenere il valore predefinito di Tutti compresi con Nessuno escluso. Questa configurazione è adatta anche se si sta testando un sottoinsieme di utenti. Invece di specificare qui il subset di utenti, usa le regole avanzate nel passaggio successivo per configurare le condizioni per includere o escludere i destinatari nell'organizzazione. In caso contrario, quando si modificano le impostazioni predefinite qui:

      • Se si modifica l'impostazione predefinita Tutti compresi e si sceglie invece utenti o gruppi specifici, i messaggi di posta elettronica inviati dall'esterno dell'organizzazione saranno escluso dal criterio.
      • Se si mantiene l'impostazione predefinita Tutti compresi, ma si specificano utenti o gruppi da escludere, i messaggi di posta elettronica inviati da questi utenti esclusi non saranno esclusi dai criteri, ma non i messaggi di posta elettronica ricevuti.
    • Per il percorso di OneDrive, è necessario specificare utenti o gruppi. In precedenza, era necessario specificare i siti in base agli URL. Tutti i siti URL di OneDrive esistenti nei criteri di etichettatura automatica continueranno a funzionare, ma prima di poter specificare nuove posizioni di OneDrive o per gli amministratori con restrizioni, è necessario eliminare prima gli URL del sito esistenti. Gruppi supportati: gruppi di distribuzione, gruppi di Microsoft 365, gruppi di sicurezza abilitati alla posta elettronica e gruppi di sicurezza.

  8. Per la pagina Configurare regole comuni o avanzate: mantenere l'impostazione predefinita di Regole comuni per definire le regole che identificano il contenuto da etichettare in tutte le posizioni selezionate. Se sono necessarie regole diverse per località, incluse alcune regole disponibili solo per Exchange o per i siti di SharePoint e gli account di OneDrive, selezionare Regole avanzate. Quindi, scegliere Avanti.

    Le regole usano condizioni che includono tipi di informazioni riservate, classificatori sottoponibili a training, opzioni di condivisione e altre condizioni:

    • Per selezionare un tipo di informazioni sensibili o un classificatore sottoponibile a training come condizione, in Contenuto contiene selezionare Aggiungi e quindi scegliere Tipi di informazioni sensibili o Classificatori sottoponibili a training.
    • Per selezionare le opzioni di condivisione come condizione, in Contenuto condiviso scegliere solo con persone all'interno dell'organizzazione o con persone esterne all'organizzazione.
    • Altre condizioni che è possibile selezionare:

    Se la posizione è Exchange ed è stata selezionata l'opzione Regole avanzate, è possibile selezionare altre condizioni:

    • L'indirizzo IP del mittente è
    • Il dominio del destinatario è
    • Il destinatario è
    • L'allegato è protetto da password
    • Non è stato possibile analizzare il contenuto degli allegati di posta elettronica
    • L'analisi del contenuto degli allegati di posta elettronica non è stata completata
    • L'intestazione corrisponde ai criteri
    • Il soggetto corrisponde ai criteri
    • L'indirizzo del destinatario contiene parole
    • L'indirizzo del destinatario corrisponde ai criteri
    • L'indirizzo del mittente corrisponde ai criteri
    • Il dominio del mittente è
    • Il destinatario è un membro di
    • Il mittente è

    Se la posizione è siti di SharePoint o account OneDrive e sono state selezionate regole avanzate, è possibile selezionare un'altra condizione:

    • Documento creato da
  9. A seconda delle scelte effettuate in precedenza, è possibile creare regole nuove usando condizioni ed eccezioni.

    Le opzioni di configurazione per i tipi di informazioni sensibili sono identiche a quelle selezionate per l'applicazione automatica di etichette per le app di Office. Per altre informazioni, vedere Configurazione dei tipi di informazioni sensibili per un'etichetta.

    Dopo avere definito tutte le regole necessarie e avere verificato che il relativo stato è attivato, selezionare Avanti per scegliere l'etichetta da applicare automaticamente.

  10. Se il criterio include il percorso di Exchange: specificare configurazioni facoltative nella pagina Impostazioni aggiuntive per la posta elettronica:

    • Sostituisci automaticamente le etichette esistenti con priorità uguale o inferiore: applicabile sia per i messaggi di posta elettronica in arrivo che per quelli in uscita; quando si seleziona questa impostazione, viene sempre applicata un'etichetta di riservatezza corrispondente. Se non si seleziona questa impostazione, un'etichetta di riservatezza corrispondente non verrà applicata ai messaggi di posta elettronica con un'etichetta di riservatezza esistente con priorità superiore o etichettati manualmente.

    • Applica la crittografia ai messaggi di posta elettronica ricevuti dall'esterno dell'organizzazione: quando si seleziona questa opzione, è necessario assegnare un proprietario di Rights Management per assicurarsi che una persona autorizzata nell'organizzazione abbia diritti di utilizzo Controllo completo per i messaggi di posta elettronica inviati dall'esterno dell'organizzazione e le etichette dei criteri con crittografia. Questo ruolo potrebbe essere necessario per rimuovere successivamente la crittografia o assegnare diritti di utilizzo diversi per gli utenti dell'organizzazione.

      Per Assegnare un proprietario di Rights Management, specificare un singolo utente tramite un indirizzo di posta elettronica di proprietà dell'organizzazione. Non specificare un contatto di posta, una cassetta postale condivisa o qualsiasi tipo di gruppo, perché non sono supportati per questo ruolo.

  11. Per la pagina Decidere se si vuole eseguire il test dei criteri ora o in un secondo momento: selezionare Esegui criteri in modalità di simulazione se si è pronti per eseguire il criterio di applicazione automatica di etichette in modalità di simulazione. Quindi decidere se attivare automaticamente il criterio se non viene modificato per 7 giorni:

    Testare i criteri di applicazione automatica delle etichette configurati.

    Se non si è pronti a eseguire la simulazione, selezionare Lascia il criterio disattivato.

  12. Per la pagina Riepilogo: esaminare la configurazione del criterio di applicazione automatica di etichette e apportare le modifiche necessarie, quindi completare la configurazione.

Andando alla pagina Protezione delle informazioni>Applicazione automatica di etichette, ora è possibile visualizzare i criteri di applicazione automatica di etichette nella sezione Simulazione o Disattivato, a seconda che si sia scelto di eseguirlo in modalità di simulazione o meno. Selezionare il criterio per visualizzare i dettagli della configurazione e dello stato, ad esempio Simulazione del criterio ancora in corso. Per i criteri in modalità di simulazione, selezionare la scheda Elementi da rivedere per visualizzare quali messaggi di posta elettronica o documenti corrispondevano alle regole specificate.

È possibile modificare i criteri direttamente dall'interfaccia:

  • Per un criterio nella sezione Disattivato, selezionare il pulsante Modifica criterio.

  • Per i criteri nella sezione Simulazione selezionare l'opzione Modifica criterio nella parte superiore della pagina, da una delle due schede.

    Modificare l'opzione del criterio di applicazione automatica di etichette.

    Quando si è pronti per eseguire il criterio senza simulazione, selezionare l'opzione Abilita criterio.

    Nota

    I file senza contenuto (ad esempio zero byte in dimensioni) potrebbero non essere etichettati.

I criteri di etichettatura automatica vengono eseguiti ininterrottamente finché non vengono eliminati. Ad esempio, i file nuovi e modificati verranno inclusi con le impostazioni dei criteri correnti.

Monitoraggio dei criteri di etichettatura automatica

Dopo aver attivato il criterio di etichettatura automatica, è possibile visualizzare lo stato di avanzamento dell'etichettatura per i file nei percorsi SharePoint e OneDrive selezionati. I messaggi di posta elettronica non vengono inclusi nello stato di avanzamento dell'etichettatura perché vengono etichettati automaticamente quando vengono inviati.

Lo stato di avanzamento dell'etichettatura include i file che devono essere etichettati dai criteri, i file etichettati negli ultimi sette giorni e il totale dei file etichettati. A causa del numero massimo di etichette di 100.000 file al giorno, queste informazioni offrono visibilità sullo stato di avanzamento dell'etichettatura corrente per i criteri e sul numero di file ancora da etichettare.

Quando si attivano per la prima volta i criteri, inizialmente verrà visualizzato il valore 0 per i file da etichettare fino a quando non vengono recuperati i dati più recenti. Queste informazioni sullo stato vengono aggiornate ogni 48 ore, in modo da poter visualizzare i dati più recenti ogni due giorni. Quando si seleziona un criterio di etichettatura automatica, è possibile visualizzare ulteriori dettagli sul criterio in un riquadro a comparsa, che include lo stato di avanzamento dell'etichettatura dei 10 siti principali. Le informazioni contenute in questo riquadro a comparsa potrebbero essere più aggiornate rispetto alle informazioni aggregate sui criteri visualizzate nella pagina principale di applicazione automatica delle etichette.

Per visualizzare i risultati del criterio di applicazione automatica di etichette è possibile anche usare Esplora contenuto quando si hanno le autorizzazioni appropriate:

  • Il gruppo di ruoli Visualizzatore elenco di Esplora contenuto consente di visualizzare l'etichetta di un file, ma non il contenuto del file.
  • Il gruppo di ruoli Visualizzatore contenuto di Esplora contenuto e i gruppi di ruoli Information Protection e Information Protection Investigators consentono di visualizzare il contenuto del file.

Attualmente, tuttavia, gli amministratori con restrizioni non saranno in grado di visualizzare le attività di etichettatura per OneDrive in Esplora attività.

Consiglio

È anche possibile usare Esplora contenuto per identificare le posizioni in cui sono presenti documenti con informazioni sensibili, ma senza etichetta. Usando queste informazioni, è possibile aggiungere queste posizioni ai criteri di applicazione automatica di etichette e includere come regole i tipi di informazioni sensibili identificati.

Usare PowerShell per i criteri di applicazione automatica di etichette.

È possibile usare il PowerShell per Sicurezza e conformità per creare e configurare i criteri di applicazione automatica di etichette. Ciò significa che è possibile creare e gestire completamente la creazione e la manutenzione dei criteri di etichettatura automatica, che offre anche un metodo più efficiente per specificare più posizioni per SharePoint e OneDrive.

Per poter eseguire i comandi in PowerShell, è prima necessario connettersi al PowerShell per Sicurezza e conformità.

Per creare un nuovo criterio di applicazione automatica di etichette:

New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Questo comando crea un criterio di applicazione automatica di etichette per un sito di SharePoint che viene specificato. Per una posizione di OneDrive, usare invece il parametro OneDriveLocation.

Per aggiungere altri siti ai criteri di applicazione automatica di etichette esistenti:

$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Questo comando specifica i nuovi URL di SharePoint in una variabile che viene quindi aggiunta a un criterio di applicazione automatica di etichette esistente. Per aggiungere percorsi di OneDrive, usare il parametro AddOneDriveLocation con una variabile diversa, ad esempio $OneDriveLocations.

Per creare una nuova regola per i criteri di applicazione automatica di etichette:

New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint

Per i criteri di applicazione automatica di etichette esistenti, questo comando crea una nuova regola per i criteri per rilevare informazioni riservate, del tipo Numero di previdenza sociale (SSN, Stati Uniti), che ha un ID entità di a44669fe-0d48-453d-a9b1-2cc83f2cba77. Per trovare gli ID entità per altri tipi di informazioni sensibili, vedere Definizioni delle entità tipo di informazioni sensibili.

Per altre informazioni sui cmdlet di PowerShell che supportano i criteri di applicazione automatica di etichette, sui parametri disponibili e su alcuni esempi, vedere la guida ai cmdlet seguente:

Suggerimenti per aumentare la portata dell'etichettatura

Anche se l'etichettatura automatica è uno dei modi più efficienti per classificare, etichettare e proteggere i file Office e PDF di proprietà dell'organizzazione, verificare se è possibile integrarlo con uno dei metodi seguenti per aumentare la copertura di etichettatura:

È inoltre consigliabile contrassegnare i nuovi file come sensibili per impostazione predefinita in SharePoint per impedire che gli utenti guest possano accedere ai nuovi file aggiunti prima che almeno un criterio DLP abbia ne analizzato il contenuto.