Applicare automaticamente un'etichetta di riservatezza al contenuto

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Nota

Per informazioni sull'applicazione automatica di un'etichetta di riservatezza nella mappa dati, vedere Etichettatura in Microsoft Purview Data Map.

Quando si crea un'etichetta di riservatezza, è possibile assegnarla automaticamente a file e messaggi di posta elettronica quando soddisfano le condizioni specificate.

La possibilità di applicare automaticamente etichette di riservatezza al contenuto è importante perché:

  • Non è necessario spiegare agli utenti quando usare le singole classificazioni.

  • Non è necessario affidarsi solo agli utenti per la classificazione corretta di tutto il contenuto.

  • Gli utenti non hanno più bisogno di conoscere i criteri e possono concentrarsi sul loro lavoro.

Esistono due metodi diversi per applicare automaticamente un'etichetta di riservatezza al contenuto in Microsoft 365:

  • Etichettatura lato client quando gli utenti modificano documenti o compongono (e rispondono o inoltrano) messaggi di posta elettronica: usare un'etichetta configurata per l'applicazione automatica di etichette per file e messaggi di posta elettronica (include Word, Excel, PowerPoint e Outlook).

    Questo metodo supporta la raccomandazione di un'etichetta agli utenti, nonché l'applicazione automatica di un'etichetta. In entrambi i casi, comunque, l'utente decide se accettarla o rifiutarla, per garantire la corretta etichettatura del contenuto. Questa etichettatura lato client ha un ritardo minimo per i documenti perché l'etichetta può essere applicata anche prima di salvare il documento. Tuttavia, non tutte le app client supportano l'etichettatura automatica. Questa funzionalità è supportata dall'etichettatura predefinita con alcune versioni di Office e anche dal client di etichettatura unificata di Azure Information Protection.

    Per le istruzioni di configurazione, vedere Come configurare l'applicazione automatica di etichette per le app di Office in questa pagina.

  • Etichettatura lato servizio quando il contenuto è già salvato (in SharePoint o OneDrive) o inviato tramite posta elettronica (elaborato da Exchange Online): usare un criterio di applicazione automatica di etichette.

    Questo metodo potrebbe essere indicato anche come applicazione automatica di etichette per i dati inattivi (documenti in SharePoint e OneDrive) e per i dati in transito (messaggi di posta elettronica inviati o ricevuti da Exchange). Per Exchange, non include i messaggi di posta elettronica inattivi (cassette postali).

    Dato che questa etichettatura viene applicata dai servizi e non dalle applicazioni, non è necessario preoccuparsi delle app e delle versioni usate dagli utenti. Di conseguenza, questa funzionalità è immediatamente disponibile nell'intera organizzazione ed è adatta per l'applicazione di etichette su vasta scala. I criteri di applicazione automatica di etichette non supportano l'applicazione di etichette consigliate perché l'utente non interagisce con il processo di etichettatura. L'amministratore esegue invece i criteri in modalità di simulazione per garantire la corretta etichettatura del contenuto prima dell’effettiva applicazione dell'etichetta.

    Per istruzioni sulla configurazione, vedere Come configurare i criteri di applicazione automatica di etichette per SharePoint, OneDrive e Exchange in questa pagina.

    Caratteristiche specifiche dell'etichettatura automatica per SharePoint e OneDrive:

    • I documenti Office di Word (.docx), PowerPoint (.pptx) e Excel (.xlsx) sono supportati.
      • Questi file inattivi possono essere etichettati automaticamente prima o dopo la creazione dei criteri di etichettatura automatica. I file non possono essere etichettati automaticamente se fanno parte di una sessione aperta (il file è aperto).
      • Al momento gli allegati agli elementi dell'elenco non sono supportati e non verranno etichettati automaticamente.
    • Massimo 25.000 file etichettati automaticamente nel tenant al giorno.
    • Massimo di 100 criteri di etichettatura automatica per tenant, ognuno dei quali ha un massimo di 100 siti (SharePoint o OneDrive) quando vengono specificati singolarmente. È anche possibile specificare tutti i siti e questa configurazione è esente dal massimo di 100 siti.
    • I valori esistenti per "Modificato", "Modificato da" e la data non vengono cambiati dai criteri di etichettatura automatica, sia per la modalità di simulazione che per l'applicazione delle etichette.
    • Quando si applica la crittografia all'etichetta, l'emittente di Rights Management e il proprietario di Rights Management è il conto che ha modificato per ultimo il file.

    Caratteristiche specifiche dell'etichettatura automatica per Exchange:

    • A differenza dell'etichettatura manuale o dell'etichettatura automatica con le app di Office, anche gli allegati PDF e gli allegati di Office vengono analizzati per individuare le condizioni specificate nei criteri di etichettatura automatica. Quando c'è una corrispondenza, il messaggio di posta elettronica viene etichettato ma non l'allegato.
      • Per i file PDF, se l'etichetta applica la crittografia, questi file, se non crittografati, vengono ora crittografati utilizzando la crittografia dei messaggi quando il tenant è abilitato per gli allegati PDF. Le impostazioni di crittografia applicate vengono ereditate dal messaggio di posta elettronica.
      • Sono supportati i file Word, PowerPoint ed Excel. Se l'etichetta applica la crittografia e questi file non sono crittografati, ora vengono crittografati utilizzando la Crittografia dei messaggi. Le impostazioni di crittografia vengono ereditate dal messaggio di posta elettronica.
    • Se sono presenti regole del flusso di posta di Exchange o criteri di prevenzione della perdita dei dati (DLP) di Microsoft Purview che applicano la crittografia IRM: quando il contenuto viene identificato da queste regole o criteri e da un criterio di applicazione automatica delle etichette, l'etichetta viene applicata. Se quell'etichetta applica la crittografia, le impostazioni IRM delle regole per il flusso di posta di Exchange o dei criteri di prevenzione della perdita dei dati vengono ignorate. Se invece quella etichetta non applica la crittografia, in aggiunta all'etichetta vengono applicate le impostazioni IRM delle regole per il flusso di posta di Exchange o dei criteri di prevenzione della perdita dei dati.
    • I messaggi di posta elettronica con crittografia IRM senza etichetta verranno sostituiti da un'etichetta con qualsiasi impostazione di crittografia se esiste una corrispondenza usando l'etichettatura automatica.
    • La posta in arrivo viene etichettata quando esiste una corrispondenza con le condizioni di etichettatura automatica. Se questa etichetta è configurata per la crittografia, tale crittografia viene sempre applicata quando il mittente appartiene alla propria organizzazione. Per impostazione predefinita, tale crittografia non viene applicata quando il mittente è esterno all'organizzazione, ma può essere applicata configurando Impostazioni aggiuntive per la posta elettronica e specificando un proprietario di Rights Management.
    • Quando si applica la crittografia all'etichetta, l'emittente di Rights Management e il proprietario di Rights Management è la persona che invia il messaggio di posta elettronica quando il mittente appartiene alla propria organizzazione. Quando il mittente è esterno all'organizzazione, è possibile specificare un proprietario di Rights Management per la posta elettronica in arrivo etichettata e crittografata dai criteri.
    • Se l'etichetta è configurata per l'applicazione di contrassegni dinamici, tenere presente che per la posta in arrivo questo può risultare nella visualizzazione di nomi di persone esterne all'organizzazione.

Suggerimento

Per alcuni nuovi clienti, stiamo offrendo la configurazione automatica delle impostazioni predefinite di etichettatura automatica sia per l'etichettatura lato client che per quella lato servizio. Anche se non si è idonei per questa configurazione automatica, potrebbe essere utile fare riferimento alla relativa configurazione. Ad esempio, è possibile configurare manualmente le etichette esistenti e creare i propri criteri di etichettatura automatica con le stesse impostazioni per accelerare la distribuzione delle etichette.

Per altre informazioni, vedere Etichette e criteri predefiniti per Microsoft Purview Information Protection.

Confronto tra l'applicazione automatica di etichette per le app di Office e i criteri di applicazione automatica di etichette

Nella tabella seguente sono riportate le differenze di comportamento tra i due metodi complementari di etichettatura automatica:

Funzionalità o comportamento Impostazione di etichettatura: Applicazione automatica delle etichette per file e messaggi di posta elettronica Criterio: Etichettatura automatica
Dipendenza dall'app Sì (versioni minime) No *
Limitazione in base alla posizione No
Condizioni: Classificatori sottoponibili a training In anteprima
Condizioni: Opzioni di condivisione e opzioni aggiuntive per la posta elettronica No
Condizioni: Eccezioni No Sì (solo posta elettronica)
Consigli, suggerimento criteri e criteri ignorati dagli utenti No
Modalità di simulazione No
Verifica delle condizioni negli allegati di Exchange No
Applicazione di contrassegni visivi Sì (solo posta elettronica)
Override della crittografia IRM applicata senza etichetta Sì, se l'utente dispone del diritto minimo di utilizzo per l'esportazione Sì (solo posta elettronica)
Etichettatura della posta in arrivo No
Assegnare un proprietario di Rights Management per i messaggi di posta elettronica inviati da un'altra organizzazione No
Per i messaggi di posta elettronica, sostituire l'etichetta esistente con priorità uguale o inferiore No Sì (configurabile)

* L'etichettatura automatica non è al momento disponibile in tutte le aree geografiche a causa di una dipendenza di back-end di Azure. Se il tenant non supporta questa funzionalità, la scheda Applicazione automatica delle etichette non sarà visibile nel portale di conformità di Microsoft Purview. Per altre informazioni, vedere Disponibilità delle dipendenze di Azure per paese/area geografica.

Modalità di valutazione di più condizioni quando si applicano a più etichette

Le etichette sono ordinate per la valutazione in base alla posizione specificata nei criteri: la prima etichetta ha la posizione più bassa (meno riservata) mentre l'ultima etichetta ha la posizione più alta (più riservata). Per altre informazioni sulla priorità, vedere Priorità dell’etichetta (l’ordine è importante).

Tenere presente che non è possibile applicare al contenuto un'etichetta padre (un'etichetta con sottoetichette). Verificare che non sia stata configurata un'etichetta padre per essere applicata automaticamente o consigliata nelle app di Office e non selezionare un'etichetta padre per un criterio di applicazione automatica di etichette, altrimenti l'etichetta padre non verrà applicata al contenuto.

Per usare l'etichettatura automatica con le sottoetichette, assicurarsi di pubblicare sia l'etichetta padre che la sottoetichetta.

Per ulteriori informazioni sulle etichette padre e sulle sottoetichette, vedere Sottoetichette (raggruppamento etichette).

Un'etichetta esistente verrà sostituita?

Nota

Un'impostazione aggiunta di recente per i criteri di etichettatura automatica della posta elettronica consente di specificare che un'etichetta di riservatezza corrispondente sostituisce sempre un'etichetta esistente.

Comportamento predefinito se l'etichettatura automatica sostituisce un'etichetta esistente:

  • Quando il contenuto è stato etichettato manualmente, quell'etichetta non verrà mai sostituita dall'etichettatura automatica.

  • L'etichettatura automatica sostituirà un’etichetta di riservatezza con priorità inferiore applicata automaticamente, ma non un'etichetta con priorità più alta.

    Suggerimento

    Ad esempio, l'etichetta di riservatezza all'inizio dell’elenco nel portale di conformità di Microsoft Purview è denominata Pubblica con un numero di ordine (priorità) pari a 0 e l'etichetta di riservatezza nella parte inferiore dell'elenco è denominata Estremamente riservato con un numero di ordine (priorità 4). L'etichetta Estremamente riservato può sostituire l'etichetta Pubblica, ma non viceversa.

Solo per i criteri di etichettatura automatica della posta elettronica, è possibile selezionare un'impostazione per sostituire sempre un'etichetta di riservatezza esistente, indipendentemente dalla modalità di applicazione.

Etichetta esistente Sostituire con l’impostazione di etichettatura: applicazione automatica delle etichette per file e messaggi di posta elettronica Sostituire con i criteri: applicazione automatica di etichette
Applicata manualmente, qualsiasi priorità Word, Excel, PowerPoint: no

Outlook: no
SharePoint e OneDrive: no

Exchange: no per impostazione predefinita, ma configurabile
Etichetta applicata automaticamente o predefinita dalla politica, priorità più bassa Word, Excel, PowerPoint: sì

Outlook: sì
SharePoint e OneDrive: sì

Exchange: sì
Applicazione automatica o etichetta predefinita dal criterio, priorità più alta Word, Excel, PowerPoint: no

Outlook: no
SharePoint e OneDrive: no

Exchange: no per impostazione predefinita, ma configurabile

L'impostazione configurabile per i criteri di etichettatura automatica della posta elettronica è disponibile nella pagina Impostazioni aggiuntive per la posta elettronica. Questa pagina viene visualizzata dopo aver selezionato un'etichetta di riservatezza per un criterio di etichettatura automatica che include il percorso di Exchange.

Come configurare l'applicazione automatica di etichette per le app di Office

Per l'etichettatura predefinita nelle app Office, controllare le versioni minime necessarie per l'etichettatura automatica nelle app Office.

Il client di etichettatura unificata di Azure Information Protection supporta l'etichettatura automatica solo per i tipi di informazioni sensibili predefiniti e personalizzati e non supporta classificatori addestrabili o tipi di informazioni sensibili che usano Exact Data Match (EDM) o entità denominate.

Le impostazioni di applicazione automatica delle etichette per le app di Office sono disponibili quando si crea o modifica un'etichetta di riservatezza. Assicurarsi che l'opzione Elementi sia selezionata per l'ambito dell'etichetta:

Opzioni relative all'ambito dell'etichetta di riservatezza per file e messaggi di posta elettronica.

Mentre ci si sposta attraverso la procedura configurazione, viene visualizzata la pagina Applicazione automatica delle etichette per file e messaggi di posta elettronica, in cui è possibile scegliere da un elenco di tipi di informazioni sensibili o di classificatori sottoponibili a training:

Condizioni delle etichette per l'applicazione automatica di etichette nelle app di Office.

Quando questa etichetta di riservatezza viene applicata automaticamente, l'utente riceve una notifica nella propria app Office. Ad esempio:

Notifica di applicazione automatica di un'etichetta a un documento.

Configurazione dei tipi di informazioni sensibili per un'etichetta

Quando si seleziona l'opzione Tipi di informazioni sensibili , viene visualizzato lo stesso elenco di tipi di informazioni riservate di quando si crea un criterio di prevenzione della perdita dei dati (DLP). Ad esempio, è possibile applicare automaticamente un'etichetta Estremamente riservato a qualsiasi contenuto che include informazioni personali dei clienti, ad esempio numeri di carte di credito, codici fiscali o numeri di passaporto:

Tipi di informazioni sensibili per l'assegnazione automatica di etichette nelle app Office.

Analogamente a quando si configurano i criteri sulla prevenzione della perdita dei dati, è possibile perfezionare la condizione cambiando il numero delle istanze e l’accuratezza della corrispondenza. Ad esempio:

Opzioni per l'accuratezza della corrispondenza e numero di istanze.

Per altre informazioni su queste opzioni di configurazione, vedere la documentazione sulla prevenzione della perdita dei dati: Modificare le regole per rendere più facili o difficili le corrispondenze.

Importante

I tipi di informazioni riservate hanno due modi diversi per definire i parametri del numero massimo di istanze univoche. Per ulteriori informazioni, vedere Conteggio istanze valori supportati per SIT.

Inoltre, analogamente alla configurazione dei criteri DLP, è possibile scegliere se una condizione deve rilevare tutti i tipi di informazioni riservate o solo uno di essi. E per rendere le condizioni più flessibili o complesse, è possibile aggiungere gruppi e usare operatori logici tra i gruppi.

Nota

L'etichettatura automatica basata su tipi di informazioni sensibili personalizzati si applica solo al contenuto appena creato o modificato in OneDrive e SharePoint, non al contenuto esistente. Questo limite si applica anche ai criteri di etichettatura automatica.

Tipi di informazioni sensibili personalizzati con corrispondenza esatta dei dati

È possibile configurare un'etichetta di riservatezza per utilizzare tipi di informazioni sensibili basate sulla corrispondenza esatta dei dati per i tipi di informazioni sensibili personalizzate. Attualmente, tuttavia, è necessario specificare almeno un tipo di informazioni sensibili che non usa EDM. Ad esempio, uno dei tipi di informazioni riservate predefiniti, ad esempio i numeri di carta di credito.

Se si configura un'etichetta di riservatezza con solo EDM per le condizioni del tipo di informazioni sensibili, l'impostazione di etichettatura automatica viene disattivata automaticamente per l'etichetta.

Configurazione di classificatori sottoponibili a training per un'etichetta

Se si usa questa opzione con Microsoft 365 Apps for Windows versione 2106 o versione precedente o con Microsoft 365 Apps per Mac versione 16.50 o successiva, assicurarsi di aver pubblicato nel tenant almeno un'altra etichetta di riservatezza configurata per l'applicazione automatica di etichette e l'opzione tipi di informazioni riservate. Questo requisito non è necessario quando si usano versioni successive in queste piattaforme.

Quando si seleziona l'opzione Classificatori sottoponibili a training, scegliere uno o più dei classificatori precedentemente sottoposto a training o personalizzati:

Opzioni per i classificatori sottoponibili a training e le etichette di riservatezza.

I classificatori con training preliminare disponibili vengono spesso aggiornati, quindi potrebbero essere presenti più voci da selezionare rispetto a quelle visualizzate in questo screenshot.

Per altre informazioni su questi classificatori, vedere Informazioni sui classificatori sottoponibili a training.

Consigliare all'utente di applicare un'etichetta di riservatezza

Se si preferisce, si può consigliare agli utenti di applicare l'etichetta. Con questa opzione, gli utenti possono accettare la classificazione e l'eventuale protezione associata oppure chiudere il suggerimento, se l'etichetta non è adatta al contenuto.

Opzione per consigliare un'etichetta di riservatezza agli utenti.

Ecco un esempio di un avviso del client di etichettatura unificata di Azure Information Protection quando si configura una condizione per applicare un'etichetta come azione consigliata, con un suggerimento per i criteri personalizzati. È possibile scegliere quale testo visualizzare nel suggerimento per i criteri.

Richiesta di applicazione di un'etichetta consigliata.

L'implementazione dell'etichettatura automatica e consigliata nelle app di Office varia a seconda che si usi l'etichettatura integrata in Office o il client di etichettatura unificata di Azure Information Protection. In entrambi i casi, tuttavia:

  • Non è possibile usare l'assegnazione automatica di etichette per le e-mail e i documenti in precedenza etichettati manualmente o associati automaticamente a un grado maggiore di riservatezza. È possibile applicare una singola etichetta di riservatezza a un documento o un messaggio di posta elettronica (oltre a una singola etichetta di conservazione).

  • Non è possibile usare la classificazione consigliata per i documenti etichettati in precedenza con un grado maggiore di riservatezza. Quando il contenuto è già stato etichettato con una riservatezza superiore, l'utente non visualizzerà l'avviso con il consiglio e il suggerimento per i criteri.

Caratteristiche specifiche dell'etichettatura predefinita:

Caratteristiche specifiche del client di etichettatura unificata di Azure Information Protection:

  • L'assegnazione automatica e consigliata delle etichette si applica a Word, Excel e PowerPoint al salvataggio dei documenti e in Outlook all'invio di messaggi di posta elettronica.

  • Affinché Outlook sia in grado di supportare l'etichettatura consigliata, è prima necessario configurare un'impostazione dei criteri avanzata.

  • Le informazioni sensibili possono essere rilevate nel corpo del testo nei documenti e nei messaggi di posta elettronica e nelle intestazioni a piè di pagina, ma non nella riga dell'oggetto o negli allegati di posta elettronica.

Convertire le impostazioni dell’etichetta in un criterio di etichettatura automatica

Nota

Questa opzione viene distribuita gradualmente.

Se l'etichetta include tipi di informazioni sensibili per le condizioni configurate, verrà visualizzata un'opzione al termine del processo di creazione o modifica dell'etichetta per creare automaticamente un criterio di etichettatura automatica basato sulle stesse impostazioni di etichettatura automatica.

Poiché i criteri di etichettatura automatica non supportano classificatori sottoponibili a training:

  • Se le condizioni dell'etichetta contengono solo classificatori sottoponibili a training, non verrà visualizzata l'opzione per creare automaticamente un criterio di etichettatura automatica.

  • Se le condizioni dell'etichetta contengono classificatori sottoponibili a training e tipi di informazioni di riservatezza, verrà creato un criterio di etichettatura automatica solo per i tipi di informazioni sensibili.

Anche se un criterio di etichettatura automatica viene creato automaticamente popolando in automatico i valori che è necessario selezionare manualmente se il criterio è stato creato da zero, è comunque possibile visualizzare e modificare i valori prima che vengano salvati.

Per impostazione predefinita, tutti i percorsi per SharePoint, OneDrive ed Exchange sono inclusi nei criteri di etichettatura automatica e, quando vengono salvati, vengono eseguiti in modalità di simulazione. Non è possibile verificare di aver abilitato le etichette di riservatezza per i file Office in SharePoint e OneDrive, che è uno dei prerequisiti per l'applicazione automatica di etichette al contenuto in SharePoint e OneDrive.

Come configurare i criteri di applicazione automatica di etichette per SharePoint, OneDrive e Exchange

Assicurarsi di conoscere i prerequisiti prima di configurare i criteri di etichetta automatica.

Prerequisiti per i criteri di applicazione automatica di etichette

  • Modalità di simulazione:

    • Il controllo per Microsoft 365 deve essere attivato. Se è necessario attivare il controllo o non si è sicuri che il controllo sia già attivo, vedere Attivare o disattivare la ricerca del log di controllo.
    • Per visualizzare il contenuto dei file o dei messaggi di posta elettronica nella visualizzazione origine, è necessario disporre del ruolo Visualizzatore contenuto della classificazione dati, incluso nel gruppo di ruoli Visualizzatore contenuto di Esplora contenuto, o dei gruppi di ruoli Information Protection e Investigatori di Information Protection (attualmente in anteprima). Senza il ruolo necessario, il riquadro di anteprima non viene visualizzato quando si seleziona un elemento nella scheda Elementi corrispondenti. Gli amministratori globali non hanno questo ruolo per impostazione predefinita.
  • Per assegnare automaticamente un'etichetta ai file in SharePoint e OneDrive:

  • Se si prevede di usare tipi di informazioni sensibili personalizzati anziché quelli predefiniti:

    • I tipi di informazioni sensibili personalizzati riguardano solo il contenuto aggiunto o modificato in SharePoint o OneDrive successivamente alla loro creazione.
    • Per testare nuovi tipi di informazioni sensibili personalizzati, crearli prima di creare i criteri di applicazione automatica di etichette e quindi creare nuovi documenti con i dati di esempio per il test.
  • Una o più etichette di riservatezza create e pubblicate (per almeno un utente) che è possibile selezionare per i criteri di applicazione automatica di etichette. Per queste etichette:

    • Non è rilevante se l'opzione di etichettatura automatica nelle app di Office sia attivata o disattivata perché, come spiegato nell'introduzione, quella impostazione delle etichette integra i criteri di applicazione automatica di etichette.
    • Se le etichette che si vogliono usare per l'applicazione automatica di etichette sono configurate per l'uso di contrassegni visivi (intestazioni, piè di pagina e filigrane), tenere presente che questi non vengono applicati ai documenti.
    • Se le etichette applicano la crittografia:
      • Quando il criterio di applicazione automatica delle etichette include posizioni per SharePoint o OneDrive, l'etichetta deve essere configurata per l'impostazione Assegnare le autorizzazioni adesso e L’accesso utente al contenuto scade deve essere impostato su Mai.
      • Quando il criterio di applicazione automatica delle etichette è solo per Exchange, l'etichetta può essere configurata sia per Assegnare le autorizzazioni adesso o Consentire agli utenti di assegnare le autorizzazioni (per le opzioni Non inoltrare o Solo crittografia). Non è possibile applicare automaticamente un'etichetta configurata per applicare la protezione S/MIME.

Informazioni sulla modalità di simulazione

La modalità di simulazione è specifica dei criteri di applicazione automatica di etichette ed è integrata nel flusso di lavoro. Non è possibile applicare automaticamente etichette ai documenti e ai messaggi di posta elettronica prima che il criterio abbia eseguito almeno una simulazione.

La modalità di simulazione supporta fino a 1.000.000 di file corrispondenti. Se un criterio di etichettatura automatica corrisponde a più di tale numero di file, non è possibile attivare il criterio per applicare le etichette. In questo caso, è necessario riconfigurare i criteri di etichettatura automatica in modo che venga trovata una corrispondenza per un minor numero di file ed eseguire nuovamente la simulazione. Il massimale di 1.000.000 di file corrispondenti si applica solo alla modalità di simulazione e non a un criterio di etichettatura automatica già attivato per l’applicazione di etichette di riservatezza.

Flusso di lavoro per un criterio di applicazione automatica di etichette:

  1. Creare e configurare un criterio di applicazione automatica di etichette.

  2. Eseguire il criterio in modalità di simulazione. Il completamento può richiedere fino a 12 ore. La simulazione completata attiva una notifica tramite posta elettronica inviata all'utente configurato per ricevere avvisi di attività .

  3. Rivedere i risultati e, se necessario, perfezionare il criterio. Ad esempio, potrebbe essere necessario modificare le regole dei criteri per ridurre i falsi positivi o rimuovere alcuni siti in modo tale che il numero di file corrispondenti non superi il limite di 1.000.000. Rieseguire la modalità di simulazione e attendere che la procedura sia completata di nuovo.

  4. Ripetere il passaggio 3 in base alle esigenze.

  5. Distribuire in produzione.

La distribuzione simulata viene eseguita come il parametro WhatIf per PowerShell. Vengono riportati i risultati come se il criterio di applicazione automatica di etichette avesse applicato l'etichetta selezionata, usando le regole definite. È possibile perfezionare le regole, se necessario, ed eseguire di nuovo la simulazione. Tuttavia, dato che l'etichettatura automatica per Exchange si applica ai messaggi di posta elettronica inviati e ricevuti e non ai messaggi archiviati nelle cassette postali, i risultati relativi alla posta in una simulazione non saranno coerenti, a meno che non si riesca a inviare e ricevere gli stessi identici messaggi.

La modalità di simulazione consente anche di aumentare gradualmente l'ambito del criterio di applicazione automatica di etichette prima della distribuzione. Ad esempio, è possibile iniziare con una singola posizione, come un sito di SharePoint site, con una singola raccolta documenti. Quindi, con le modifiche iterative, estendere l'ambito a più siti e quindi a un'altra posizione, ad esempio OneDrive.

Infine, è possibile usare la modalità di simulazione per ottenere un'approssimazione del tempo necessario per eseguire il criterio di applicazione automatica di etichette, per agevolare la pianificazione e la programmazione della sua esecuzione senza la modalità di simulazione.

Creazione di un criterio di applicazione automatica di etichette

  1. Nel portale di conformità Microsoft Purview passare alle etichette di riservatezza:

    • Soluzioni > Information Protection)

    Se questa opzione non è immediatamente visibile, selezionare prima Mostra tutto.

  2. Selezionare la scheda Etichettatura automatica:

    Scheda Etichettatura automatica.

    Nota

    Se non viene visualizzata la scheda Etichettatura automatica, la funzionalità non è al momento disponibile nella propria area geografica a causa di una dipendenza di back-end di Azure. Per altre informazioni, vedere Disponibilità delle dipendenze di Azure per paese.

  3. Selezionare + Crea criterio di applicazione automatica di etichette. Verrà avviata la configurazione del nuovo criterio:

    Configurazione del nuovo criterio per l’applicazione automatica di etichette.

  4. Per la pagina Scegliere le informazioni a cui applicare questa etichetta: selezionare uno dei modelli, ad esempio Finanziari o Privacy. È possibile perfezionare la ricerca usando l'elenco a discesa Mostra le opzioni per. In alternativa, selezionare Criterio personalizzato se i modelli non soddisfano i propri requisiti. Selezionare Avanti.

  5. Per la pagina Assegnare un nome al criterio di applicazione automatica delle etichette: specificare un nome univoco e, facoltativamente, una descrizione per l'etichetta applicata automaticamente, le posizioni e le condizioni che identificano il contenuto da etichettare.

  6. Per la pagina Scegliere le posizioni in cui si desidera applicare l'etichetta: selezionare e specificare le posizioni per Exchange, SharePoint e OneDrive. Se non si vuole mantenere il valore predefinito di Tutti compresi per le posizioni scelte, seleziona il collegamento per scegliere istanze specifiche da includere o seleziona il collegamento per scegliere istanze specifiche da escludere. Quindi, scegliere Avanti.

    Pagina Seleziona i percorsi per la configurazione dell'etichettatura automatica.

    Se si modificano le impostazioni predefinite utilizzando Incluso o Escluso:

    • Per la posizione Exchange, il criterio viene applicato in base all'indirizzo del mittente dei destinatari specificati. Nella maggior parte dei casi, è consigliabile mantenere il valore predefinito di Tutti compresi con Nessuno escluso. Questa configurazione è adatta anche se si sta testando un sottoinsieme di utenti. Invece di specificare qui il subset di utenti, usa le regole avanzate nel passaggio successivo per configurare le condizioni per includere o escludere i destinatari nell'organizzazione. In caso contrario, quando si modificano le impostazioni predefinite qui:

      • Se si modifica l'impostazione predefinita Tutti compresi e si sceglie invece utenti o gruppi specifici, i messaggi di posta elettronica inviati dall'esterno dell'organizzazione saranno escluso dal criterio.
      • Se si mantiene l'impostazione predefinita Tutti compresi, ma si specificano utenti o gruppi da escludere, i messaggi di posta elettronica inviati da questi utenti esclusi non saranno esclusi dai criteri, ma non i messaggi di posta elettronica ricevuti.
    • Per gli account OneDrive, vedi Ottenere un elenco di tutti gli URL di OneDrive dell'organizzazione per specificare i singoli account OneDrive da includere o escludere.

  7. Per la pagina Configura regole comuni o avanzate: mantenere l'impostazione predefinita di Regole comuni per definire le regole che identificano il contenuto da etichettare in tutte le posizioni selezionate. Se sono necessarie regole diverse per la posizione, incluse più opzioni per Exchange, selezionare Regole avanzate. Quindi selezionare Avanti.

    Le regole usano condizioni che includono tipi di informazioni riservate, classificatori sottoponibili a training e opzioni di condivisione:

    • Per selezionare un tipo di informazioni sensibili o un classificatore sottoponibile a training come condizione, in Contenuto contiene selezionare Aggiungi e quindi scegliere Tipi di informazioni sensibili o Classificatori sottoponibili a training.
    • Per selezionare le opzioni di condivisione come condizione, in Contenuto condiviso scegliere solo con persone all'interno dell'organizzazione o con persone esterne all'organizzazione.

    Se l'unica posizione è Exchange o se si seleziona Regole avanzate, è possibile selezionare altre condizioni:

    • L'indirizzo IP del mittente è
    • Il dominio del destinatario è
    • Il destinatario è
    • L'estensione del file allegato è
    • L'allegato è protetto da password
    • Non è stato possibile analizzare il contenuto degli allegati di posta elettronica
    • L'analisi del contenuto degli allegati di posta elettronica non è stata completata
    • L'intestazione corrisponde ai criteri
    • Il soggetto corrisponde ai criteri
    • L'indirizzo del destinatario contiene parole
    • L'indirizzo del destinatario corrisponde ai criteri
    • L'indirizzo del mittente corrisponde ai criteri
    • Il dominio del mittente è
    • Il destinatario è un membro di
    • Il mittente è

    Per ognuna di queste condizioni, è quindi possibile specificare le eccezioni.

  8. A seconda delle scelte effettuate in precedenza, è possibile creare regole nuove usando condizioni ed eccezioni.

    Le opzioni di configurazione per i tipi di informazioni sensibili sono identiche a quelle selezionate per l'applicazione automatica di etichette per le app di Office. Per altre informazioni, vedere Configurazione dei tipi di informazioni sensibili per un'etichetta.

    Dopo avere definito tutte le regole necessarie e avere verificato che il relativo stato è attivato, selezionare Avanti per scegliere l'etichetta da applicare automaticamente.

  9. Per la pagina Scegliere un'etichetta da applicare automaticamente: selezionare + Scegli un'etichetta, selezionare un'etichetta nel riquadro Choose a sensitivity label, quindi scegliere Avanti.

  10. Se il criterio include il percorso di Exchange: specificare configurazioni facoltative nella pagina Impostazioni aggiuntive per la posta elettronica:

    • Sostituisci automaticamente le etichette esistenti con priorità uguale o inferiore: applicabile sia per i messaggi di posta elettronica in arrivo che per quelli in uscita; quando si seleziona questa impostazione, viene sempre applicata un'etichetta di riservatezza corrispondente. Se non si seleziona questa impostazione, un'etichetta di riservatezza corrispondente non verrà applicata ai messaggi di posta elettronica con un'etichetta di riservatezza esistente con priorità superiore o etichettati manualmente.

    • Applicare la crittografia ai messaggi di posta elettronica ricevuti dall'esterno dell'organizzazione: quando si seleziona questa opzione, è necessario assegnare un proprietario Rights Management per assicurarsi che una persona autorizzata dell'organizzazione abbia il controllo completo i diritti di utilizzo per i messaggi inviati dall'esterno dell'organizzazione e le etichette dei criteri con crittografia. Questo ruolo potrebbe essere necessario per rimuovere la crittografia in un secondo momento o assegnare diritti di utilizzo diversi per gli utenti dell'organizzazione.

      Per Assegnare un proprietario di Rights Management, specificare un singolo utente tramite un indirizzo di posta elettronica di proprietà dell'organizzazione. Non specificare un contatto di posta, una cassetta postale condivisa o qualsiasi tipo di gruppo, perché non sono supportati per questo ruolo.

  11. Per la pagina Decidere se si vuole eseguire il test dei criteri ora o in un secondo momento: selezionare Esegui criteri in modalità di simulazione se si è pronti per eseguire il criterio di applicazione automatica di etichette in modalità di simulazione. Quindi decidere se attivare automaticamente il criterio se non viene modificato per 7 giorni:

    Testare i criteri di applicazione automatica delle etichette configurati.

    Se non si è pronti a eseguire la simulazione, selezionare Lascia il criterio disattivato.

  12. Per la pagina Riepilogo: esaminare la configurazione del criterio di applicazione automatica di etichette e apportare le modifiche necessarie, quindi completare la configurazione.

Andando alla pagina Protezione delle informazioni > Applicazione automatica di etichette, ora è possibile visualizzare i criteri di applicazione automatica di etichette nella sezione Simulazione o Disattivato, a seconda che si sia scelto di eseguirlo in modalità di simulazione o meno. Selezionare il criterio per visualizzare i dettagli della configurazione e dello stato, ad esempio Simulazione del criterio ancora in corso. Per i criteri in modalità di simulazione, selezionare la scheda Elementi corrispondenti per vedere quali e-mail o documenti corrispondono alle regole specificate.

È possibile modificare i criteri direttamente dall'interfaccia:

  • Per un criterio nella sezione Disattivato, selezionare il pulsante Modifica criterio.

  • Per i criteri nella sezione Simulazione, selezionare l'opzione Modifica criteri nella parte superiore della pagina, da entrambe le schede:

    Modificare l'opzione del criterio di applicazione automatica di etichette.

    Quando si è pronti per eseguire il criterio senza simulazione, selezionare l'opzione Abilita criterio.

I criteri di etichettatura automatica vengono eseguiti ininterrottamente finché non vengono eliminati. Ad esempio, i file nuovi e modificati verranno inclusi con le impostazioni dei criteri correnti.

Monitoraggio dei criteri di etichettatura automatica

Dopo aver attivato il criterio di etichettatura automatica, è possibile visualizzare lo stato di avanzamento dell'etichettatura per i file nei percorsi SharePoint e OneDrive selezionati. I messaggi di posta elettronica non vengono inclusi nello stato di avanzamento dell'etichettatura perché vengono etichettati automaticamente quando vengono inviati.

Lo stato di avanzamento dell'etichettatura include i file che devono essere etichettati dai criteri, i file etichettati negli ultimi sette giorni e il totale dei file etichettati. A causa del numero massimo di 25.000 file al giorno, queste informazioni forniscono visibilità sullo stato di avanzamento dell'etichettatura corrente per i criteri e sul numero di file ancora da etichettare.

Quando si attivano per la prima volta i criteri, inizialmente verrà visualizzato il valore 0 per i file da etichettare fino a quando non vengono recuperati i dati più recenti. Queste informazioni sullo stato vengono aggiornate ogni 48 ore, in modo da poter visualizzare i dati più recenti ogni due giorni. Quando si seleziona un criterio di etichettatura automatica, è possibile visualizzare ulteriori dettagli sul criterio in un riquadro a comparsa, che include lo stato di avanzamento dell'etichettatura dei 10 siti principali. Le informazioni contenute in questo riquadro a comparsa potrebbero essere più aggiornate rispetto alle informazioni aggregate sui criteri visualizzate nella pagina principale di applicazione automatica delle etichette.

Per visualizzare i risultati del criterio di applicazione automatica di etichette è possibile anche usare Esplora contenuto quando si hanno le autorizzazioni appropriate:

  • Il gruppo di ruoli Visualizzatore elenco di Esplora contenuto consente di visualizzare l'etichetta di un file, ma non il contenuto del file.
  • Il gruppo di ruoli Visualizzatore contenuto di Esplora contenuto e i gruppi di ruoli di Information Protection e Investigatori di Information Protection (attualmente in anteprima) consentono di visualizzare il contenuto del file.

Suggerimento

È anche possibile usare Esplora contenuto per identificare le posizioni in cui sono presenti documenti con informazioni sensibili, ma senza etichetta. Usando queste informazioni, è possibile aggiungere queste posizioni ai criteri di applicazione automatica di etichette e includere come regole i tipi di informazioni sensibili identificati.

Usare PowerShell per i criteri di applicazione automatica di etichette.

È possibile usare il PowerShell per Sicurezza e conformità per creare e configurare i criteri di applicazione automatica di etichette. Questo significa che è possibile creare script per la creazione e la manutenzione dei criteri di applicazione automatica di etichette, che forniscono anche un metodo più efficiente per specificare multipli URL per OneDrive e percorsi di SharePoint.

Per poter eseguire i comandi in PowerShell, è prima necessario connettersi al PowerShell per Sicurezza e conformità.

Per creare un nuovo criterio di applicazione automatica di etichette:

New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Questo comando crea un criterio di applicazione automatica di etichette per un sito di SharePoint che viene specificato. Per una posizione di OneDrive, usare invece il parametro OneDriveLocation.

Per aggiungere altri siti ai criteri di applicazione automatica di etichette esistenti:

$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Questo comando specifica i nuovi URL di SharePoint in una variabile che viene quindi aggiunta a un criterio di applicazione automatica di etichette esistente. Per aggiungere percorsi di OneDrive, usare il parametro AddOneDriveLocation con una variabile diversa, ad esempio $OneDriveLocations.

Per creare una nuova regola per i criteri di applicazione automatica di etichette:

New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint

Per i criteri di applicazione automatica di etichette esistenti, questo comando crea una nuova regola per i criteri per rilevare informazioni riservate, del tipo Numero di previdenza sociale (SSN, Stati Uniti), che ha un ID entità di a44669fe-0d48-453d-a9b1-2cc83f2cba77. Per trovare gli ID entità per altri tipi di informazioni sensibili, vedere Definizioni delle entità tipo di informazioni sensibili.

Per altre informazioni sui cmdlet di PowerShell che supportano i criteri di applicazione automatica di etichette, sui parametri disponibili e su alcuni esempi, vedere la guida ai cmdlet seguente:

Suggerimenti per aumentare la portata dell'etichettatura

Anche se l'etichettatura automatica è uno dei modi più efficienti per classificare, etichettare e proteggere i file di Office di proprietà dell'organizzazione, verificare se è possibile integrarla con uno dei metodi seguenti per aumentarne la portata:

È inoltre consigliabile contrassegnare i nuovi file come sensibili per impostazione predefinita in SharePoint per impedire che gli utenti guest possano accedere ai nuovi file aggiunti prima che almeno un criterio DLP abbia ne analizzato il contenuto.