Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
Linee guida sulle licenze di Microsoft 365 per la conformità alla sicurezza&.
Le etichette di riservatezza, oltre a essere usate per proteggere documenti e messaggi di posta elettronica, possono essere usate per proteggere il contenuto dei contenitori seguenti: siti di Microsoft Teams, gruppi di Microsoft 365 (in precedenza gruppi di Office 365) e siti di SharePoint. Per questa protezione a livello di contenitore, usare le seguenti impostazioni di etichetta:
- Privacy (pubblica o privata) dei siti dei team e dei gruppi di Microsoft 365
- Accesso utenti esterni
- Condivisione esterna dai siti di SharePoint
- Accesso da dispositivi non gestiti
- Contesti di autenticazione
- Collegamento di condivisione predefinito per uno SharePoint (configurazione solo PowerShell)
- Impostazioni di condivisione del sito (configurazione solo PowerShell)
- Etichetta predefinita per le riunioni del canale
Importante
Le impostazioni per i dispositivi non gestiti e i contesti di autenticazione funzionano in concomitanza all'accesso condizionale di Azure Active Directory. È necessario configurare questa funzionalità dipendente se si vuole usare un'etichetta di riservatezza per queste impostazioni. Altre informazioni sono disponibili nelle istruzioni seguenti.
Quando si applica questa etichetta di riservatezza a uno dei contenitori supportati, l'etichetta applica automaticamente la categoria di riservatezza e le impostazioni di protezione configurate al sito o al gruppo.
Tenere presente che alcune opzioni di etichetta possono estendere le impostazioni di configurazione ai proprietari del sito che sono altrimenti limitati agli amministratori. Quando si configurano e si pubblicano le impostazioni dell'etichetta per le opzioni di condivisione esterna e il contesto di autenticazione, un proprietario del sito può ora impostare e modificare queste opzioni per un sito applicando o modificando l'etichetta di riservatezza per un team o un sito. Non configurare queste impostazioni specifiche per le etichette se non vuoi che i proprietari del sito siano in grado di apportare queste modifiche.
Il contenuto di tali contenitori, tuttavia, non eredita le etichette per la categoria di riservatezza o le impostazioni per i file e i messaggi di posta elettronica come i contrassegni di contenuto e la crittografia. Per fare in modo che gli utenti possano etichettare i propri documenti nei siti di SharePoint o del team, assicurarsi di abilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive.
Le etichette dei contenitori non supportano la visualizzazione di altre lingue e visualizzano la lingua originale solo per il nome e la descrizione dell'etichetta.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Usare le etichette di riservatezza per Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
Prima di abilitare le etichette di riservatezza per contenitori e configurare le etichette di riservatezza per le nuove impostazioni, gli utenti possono vedere e applicare tali etichette nelle loro app. Un esempio da Word:
Dopo l'abilitazione e la configurazione delle etichette di riservatezza, gli utenti possono anche vedere e applicare etichette di riservatezza a Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint. Un esempio quando si crea un nuovo sito del team di SharePoint:
Dopo aver applicato un'etichetta di riservatezza a un sito, è necessario essere un amministratore del sito per modificare l'etichetta in SharePoint o Teams.
Nota
Le etichette di riservatezza per i contenitori supportano i canali condivisi di Teams. Se un team possiede dei canali condivisi, eredita automaticamente le impostazioni dell'etichetta di riservatezza dal team padre e tale etichetta non può essere rimossa o sostituita con un'etichetta diversa.
Come abilitare le etichette di riservatezza per i contenitori e sincronizzare le etichette
Se le etichette di riservatezza per i contenitori non sono ancora state abilitate, eseguire i passaggi seguenti (si tratta di un processo una tantum):
Dato che questa funzione usa le funzionalità di Azure AD, seguire le istruzioni riportate nella relativa documentazione per abilitare il supporto per le etichette di riservatezza: Assegnare etichette di riservatezza a gruppi di Microsoft 365 in Azure Active Directory.
Ora è necessario sincronizzare le etichette di riservatezza in Azure AD. Prima di tutto, connettersi a & Security Compliance PowerShell.
Ad esempio, in una sessione di PowerShell eseguita come amministratore, accedere con un account di amministratore globale.
Quindi eseguire il comando seguente per assicurarsi di poter usare le etichette di riservatezza con i gruppi di Microsoft 365:
Execute-AzureAdLabelSync
Come configurare i gruppi e le impostazioni del sito
Dopo aver abilitato le etichette di riservatezza per i contenitori, come descritto nella sezione precedente, è possibile configurare le impostazioni di protezione per i gruppi e i siti nella configurazione di etichettatura di riservatezza. Finché le etichette di riservatezza non sono abilitate per i contenitori, le impostazioni sono visibili ma non sarà possibile configurarle.
Seguire le istruzioni generali per creare o modificare un'etichetta di riservatezza e assicurarsi di selezionare Gruppi & siti per l'ambito dell'etichetta:
Quando solo questo ambito è selezionato per l'etichetta, l'etichetta non verrà visualizzata nelle app di Office che supportano le etichette di riservatezza e non può essere applicata a file e messaggi di posta elettronica. La separazione delle etichette può essere utile sia per gli utenti che per gli amministratori, ma può anche aumentare la complessità della distribuzione delle etichette.
Ad esempio, è necessario rivedere attentamente l'ordine delle etichette poiché SharePoint rileva quando un documento etichettato viene caricato su un sito etichettato. In questo scenario, vengono generati automaticamente un evento di controllo e un messaggio di posta elettronica quando il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta del sito. Per ulteriori informazioni, vedere la sezione Attività di controllo dell'etichetta di riservatezza in questa pagina.
Quindi, nella pagina Definisci impostazioni di protezione per gruppi e siti, selezionare una o entrambe le opzioni disponibili:
- Privacy e impostazioni di accesso utente esterno per configurare le impostazioni di Privacy e Accesso utenti esterni.
- Impostazioni di condivisione esterna e accesso condizionale per configurare il controllo della condivisione esterna da siti di SharePoint etichettati e usare l'accesso condizionale di Azure AD per proteggere l'impostazione dei siti di SharePoint etichettati.
Inoltre, se si modifica un'etichetta esistente in cui l'ambito include elementi e riunioni e sono state configurate etichette per proteggere le riunioni, è possibile selezionare un'etichetta predefinita per le riunioni del canale e tutte le chat di canale. Per le riunioni non di canale, è possibile selezionare un'etichetta predefinita come impostazione dei criteri.
Se è stato selezionato Privacy e impostazioni di accesso utente esterno, configurare le seguenti impostazioni:
Privacy: mantenere l'impostazione predefinita Pubblico se si vuole consentire a chiunque nell’organizzazione l’accesso al sito del team o al gruppo in cui è applicata questa etichetta.
Selezionare Privato se si vuole limitare l'accesso solo ai membri approvati nell'organizzazione.
Selezionare Nessuno quando si vuole proteggere il contenuto del contenitore usando l'etichetta di riservatezza, ma consentendo comunque agli utenti di configurare in autonomia le impostazioni di privacy.
Le impostazioni di Pubblico o Privato impostano e bloccano l'impostazione della privacy quando si applica l'etichetta al contenitore. L'impostazione scelta sostituisce ogni precedente impostazione della privacy configurata per il team o il gruppo, bloccando il livello di privacy in modo che possa essere modificato solo rimuovendo prima l'etichetta di riservatezza dal contenitore. Dopo aver rimosso l'etichetta di riservatezza, viene mantenuto il livello di privacy impostato dall'etichetta, che ora potrà essere modificato, se necessario.
Accesso utente esterno: controllare se il proprietario del gruppo può aggiungere utenti guest al gruppo.
Se sono state selezionate le impostazioni Condivisione esterna e accesso condizionale, configurare le impostazioni seguenti:
Controlla la condivisione esterna da siti di SharePoint etichettati: selezionare questa opzione per selezionare in seguito la condivisione con tutti gli utenti, gli utenti guest nuovi ed esistenti, gli utenti guest esistenti o soltanto gli utenti della propria organizzazione. Per altre informazioni su questa configurazione e sulle impostazioni, vedere la documentazione di SharePoint Attivare e disattivare la condivisione esterna per un sito.
Usare l'accesso condizionale di Azure AD per proteggere i siti di SharePoint etichettati: selezionare questa opzione solo se l'organizzazione ha configurato e usa l'accesso condizionale di Azure Active Directory. Quindi, selezionare una delle impostazioni seguenti:
Determinare se gli utenti possono accedere ai siti di SharePoint da dispositivi non gestiti: questa opzione si serve della funzionalità di SharePoint che usa l'accesso condizionale di Azure AD per bloccare o limitare l'accesso ai contenuti di SharePoint e OneDrive da dispositivi non gestiti. Per altre informazioni, vedere Controllare l'accesso da dispositivi non gestiti dalla documentazione di SharePoint. L'opzione specificata per questa impostazione dell'etichetta equivale all'esecuzione di un comando di PowerShell per un sito, come descritto nei passaggi 3-5 Bloccare o limitare l'accesso a uno specifico sito di SharePoint o OneDrive della sezione delle istruzioni di SharePoint.
Per ulteriori informazioni sulla configurazione, vedere Ulteriori informazioni sulle dipendenze per l'opzione dei dispositivi non gestiti alla fine di questa sezione.
Scegliere un contesto di autenticazione esistente: questa opzione consente di applicare condizioni di accesso più rigide quando gli utenti accedono ai siti di SharePoint a cui è applicata questa etichetta. Queste condizioni vengono applicate quando si seleziona un contesto di autenticazione esistente creato e pubblicato per la distribuzione dell'accesso condizionale dell'organizzazione. Se gli utenti non soddisfano le condizioni configurate o se usano app che non supportano contesti di autenticazione, gli viene negato l'accesso.
Per ulteriori informazioni sulla configurazione, vedere Ulteriori informazioni sulle dipendenze per l'opzione del contesto di autenticazione alla fine di questa sezione.
Esempi di questa configurazione delle etichette:
Viene scelto un contesto di autenticazione configurato per richiedere l'autenticazione a più fattori (MFA). Questa etichetta viene applicata a un sito di SharePoint che contiene elementi che contiene elementi altamente riservati. Di conseguenza, quando gli utenti di una rete non attendibile provano ad accedere a un documento in questo sito, dovranno completare la richiesta di autenticazione a più fattori per poter accedere al documento.
Viene scelto un contesto di autenticazione configurato per i criteri delle condizioni d'uso (ToU). Questa etichetta viene applicata a un sito di SharePoint che contiene elementi che richiedono l'accettazione delle condizioni d'uso per motivi legali o di conformità. Di conseguenza, quando gli utenti tentano di accedere a un documento nel sito, dovranno accettare le condizioni d'uso per poter accedere al documento originale.
Importante
Quando si applica l'etichetta a un team, un gruppo o un sito, vengono applicate solo queste impostazioni a livello di sito e di gruppo. Se l’ ambito dell'etichetta include file e messaggi di posta elettronica, le altre impostazioni dell'etichetta, come la crittografia e il contrassegno di contenuti, non vengono applicate al contenuto all'interno del team, del gruppo o del sito.
Se l'etichetta di riservatezza non è già pubblicata, ora è possibile farlo aggiungendola a un criterio di etichetta di riservatezza. Gli utenti a cui è stato assegnato un criterio di etichetta di riservatezza che include tale etichetta potranno selezionarla per siti e gruppi.
Ulteriori informazioni sulle dipendenze per l'opzione dei dispositivi non gestiti
Se non si configurano i criteri di accesso condizionale dipendente per SharePoint, come descritto in Usa restrizioni imposte dalle app, l'opzione specificata non avrà alcun effetto. Inoltre, non avrà alcun effetto se è meno restrittiva rispetto a un'impostazione configurata al livello del tenant. Se è stata configurata un'opzione per i dispositivi non gestiti a livello di organizzazione, scegliere un'impostazione dell'etichetta uguale o più restrittiva
Per esempio, se il tenant è configurato in modo da Consentire l'accesso limitato solo web, l'impostazione dell'etichetta che consente l'accesso totale non avrà effetto perché è meno restrittiva. Per questa impostazione a livello del tenant, scegliere l'impostazione dell'etichetta per bloccare l'accesso (più restrittiva) o l'impostazione per l'accesso limitato (la stessa impostazione del tenant).
Dato che le impostazioni SharePoint possono essere configurate indipendentemente dalla configurazione dell'etichetta, nella configurazione dell'etichetta di riservatezza non vi è alcuna verifica che le dipendenze siano disponibili. Queste dipendenze possono essere configurate dopo la creazione e la pubblicazione dell'etichetta e anche dopo l'applicazione dell'etichetta. Se l'etichetta è già stata applicata, l'impostazione dell'etichetta non avrà effetto fino alla successiva autenticazione dell'utente.
Ulteriori informazioni sulle dipendenze per l'opzione del contesto di autenticazione
Per essere visualizzati nell'elenco a discesa per la selezione, i contesti di autenticazione devono essere creati, configurati e pubblicati come parte della configurazione dell'accesso condizionale di Azure Active Directory. Per altre informazioni e istruzioni, vedere la sezione Configurare i contesti di autenticazione nella documentazione dell'accesso condizionale di Azure AD.
Non tutte le app supportano i contesti di autenticazione. Se un utente con un'app non supportata si connette al sito configurato per un contesto di autenticazione, viene visualizzato un messaggio di accesso negato oppure gli verrà richiesto di eseguire l'autenticazione ma questa verrà rifiutato. Le app che al momento supportano i contesti di autenticazione sono:
Office per il Web, che include Outlook per il Web
Microsoft Teams per Windows e macOS (esclude l'app Web di Teams)
Microsoft Planner
Microsoft 365 Apps per Word, Excel e PowerPoint. Versioni minime:
- Windows: 2103
- macOS: 16.45.1202
- iOS: 2.48.303
- Android: 16.0.13924.10000
Microsoft 365 Apps Outlook. Versioni minime:
- Windows: 2103
- macOS: 16.45.1202
- iOS: 4.2109.0
- Android: 4.2025.1
App di sincronizzazione OneDrive, versioni minime:
- Windows: 21.002
- macOS: 21.002
- iOS: 12.30
- Android: non ancora supportato
Limitazioni note:
Per l'app sincronizzazione OneDrive, viene supportato solo OneDrive e non gli altri siti.
Le funzionalità e le app seguenti potrebbero non essere compatibili con i contesti di autenticazione, pertanto è consigliabile verificare che continuino a funzionare dopo che un utente accede correttamente a un sito usando un contesto di autenticazione:
- Flussi di lavoro che usano Power Apps o Power Automate
- App di terze parti
Configurare le impostazioni per il tipo di collegamento di condivisione predefinito per un sito tramite le impostazioni avanzate di PowerShell
Oltre alle impostazioni delle etichette per siti e i gruppi configurabili dal Portale di conformità di Microsoft Purview, è anche possibile configurare il tipo di collegamento di condivisione predefinito per un sito. Le etichette di riservatezza per i documenti possono essere configurate anche per un tipo di collegamento di condivisione predefinito. Queste impostazioni, che consentono di evitare una condivisione eccessiva, vengono selezionate automaticamente quando gli utenti selezionano il pulsante Condividi nelle app di Office.
Per ulteriori informazioni e istruzioni, vedere Utilizzare etichette di riservatezza per configurare il tipo di collegamento di condivisione predefinito per siti e documenti in SharePoint e OneDrive.
Configurare le autorizzazioni di condivisione dei siti usando le impostazioni avanzate di PowerShell
Un'altra impostazione avanzata di PowerShell che è possibile configurare per l'applicazione dell'etichetta di riservatezza a un sito SharePoint è MembersCanShare. Questa impostazione è la configurazione equivalente che è possibile impostare dall'interfaccia > di amministrazione di SharePoint Autorizzazioni> sitoCondivisione> sitiModifica il modo in cui i membri possono condividere>le autorizzazioni di condivisione.
Le tre opzioni sono elencate con i valori equivalenti per l'impostazione avanzata di PowerShell MembersCanShare:
| Opzione dall'interfaccia di amministrazione di SharePoint | Valore di PowerShell equivalente per MembersCanShare |
|---|---|
| I proprietari e i membri del sito possono condividere file, cartelle e il sito. Persone con autorizzazioni di modifica possono condividere file e cartelle. | MemberShareAll |
| I proprietari e i membri del sito e gli utenti con autorizzazioni di modifica possono condividere file e cartelle, ma solo i proprietari del sito possono condividere il sito. | MemberShareFileAndFolder |
| Solo i proprietari del sito possono condividere file, cartelle e il sito. | MemberShareNone |
Per altre informazioni su queste opzioni di configurazione, vedere Modificare la modalità di condivisione dei membri dalla documentazione della community di SharePoint.
Esempi di PowerShell, in cui il GUID dell'etichetta di riservatezza è 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}
Per altre informazioni sulla specifica delle impostazioni avanzate di PowerShell, vedere Suggerimenti di PowerShell per specificare le impostazioni avanzate.
Gestione delle etichetta di riservatezza
Seguire le istruzioni seguenti per creare, modificare o eliminare le etichette di riservatezza configurate per i siti e i gruppi.
Creare e pubblicare etichette configurate per i siti e i gruppi
Seguire le istruzioni seguenti per pubblicare un'etichetta per gli utenti quando l'etichetta è configurata per le impostazioni di sito e gruppo:
Dopo aver creato e configurato l'etichetta di riservatezza, aggiungerla a un criterio di etichetta applicabile solo a pochi utenti test.
Attendere la replica della modifica:
- Nuova etichetta: attendere almeno un'ora.
- Etichetta esistente: attendere almeno 24 ore.
Per altre informazioni sull'intervallo delle etichette, vedere Quando aspettarsi che le nuove etichette e le modifiche diventino effettive.
Dopo questo periodo di attesa, usare uno degli account utente test per creare un team, un gruppo di Microsoft 365 o un sito di SharePoint con l'etichetta creata nel passaggio 1.
Se non si verificano errori durante l'operazione di creazione, sarà possibile pubblicare l'etichetta per tutti gli utenti del tenant in sicurezza.
Modificare etichette pubblicate che sono configurate per i siti e i gruppi
Come procedura consigliata, non modificare le impostazioni di sito e gruppo per un'etichetta di riservatezza dopo averla applicata a team, gruppi o siti. In caso affermativo, ricordarsi di attendere almeno 24 ore che le modifiche vengano replicate in tutti i contenitori a cui è applicata l'etichetta.
Inoltre, se le modifiche includono l'impostazione Accesso di utenti esterni:
La nuova impostazione si applica ai nuovi utenti, ma non agli utenti esistenti. Ad esempio, se questa impostazione è stata selezionata in precedenza e quindi gli utenti Guest hanno eseguito l'accesso al sito, tali utenti Guest possono continuare ad accedere al sito dopo aver deselezionato l'impostazione nella configurazione dell'etichetta.
Le impostazioni di privacy relative alle proprietà dei gruppi hiddenMembership e roleEnabled non vengono aggiornate.
Eliminare etichette pubblicate che sono configurate per i siti e i gruppi
Se si elimina un'etichetta di riservatezza che ha impostazioni a livello di sito e gruppo abilitate e questa etichetta è inclusa in uno o più criteri di etichetta, questa azione può causare errori di creazione per i nuovi team, gruppi e siti. Per evitare questa situazione, seguire queste indicazioni:
Rimuovere l'etichetta di riservatezza da tutti i criteri che includono l'etichetta.
Attendere almeno un'ora.
Dopo questo periodo di attesa, provare a creare un team, un gruppo o un sito e verificare che l'etichetta non sia più visibile.
Se l'etichetta di riservatezza non è visibile, è possibile eliminare l'etichetta in sicurezza.
Come applicare le etichette di riservatezza ai contenitori
A questo punto è possibile applicare una o più etichette di riservatezza ai seguenti contenitori:
- Gruppo di Microsoft 365 in Azure AD
- Sito del team di Microsoft Teams
- Gruppo di Microsoft 365 in Outlook sul Web
- Sito di SharePoint
È possibile usare PowerShell se è necessario per applicare un'etichetta di riservatezza a più siti.
Applicare etichette di riservatezza ai gruppi di Microsoft 365
Ora si è pronti per applicare una o più etichette di riservatezza ai gruppi di Microsoft 365. Per istruzioni, tornare alla documentazione di Azure AD:
Assegnare un'etichetta a un nuovo gruppo nel portale di Azure
Assegnare un'etichetta a un gruppo già esistente nel portale di Azure
Assegnare un'etichetta da un gruppo già esistente nel portale di Azure.
Applicare un'etichetta di riservatezza a un nuovo team
Gli utenti possono selezionare le etichette di riservatezza quando creano nuovi team in Microsoft Teams. Quando selezionano l'etichetta dall'elenco a discesa Riservatezza, l'impostazione della privacy può cambiare in modo da riflettere la configurazione dell'etichetta. In base alle impostazioni di accesso degli utenti esterni selezionate per l'etichetta, gli utenti possono o non possano aggiungere al team persone esterne all'organizzazione.
Altre informazioni sulle etichette di riservatezza per Teams
Dopo la creazione del team, l'etichetta di riservatezza compare nell'angolo in alto a destra di tutti i canali.
Il servizio applica automaticamente la stessa etichetta di riservatezza al gruppo di Microsoft 365 e al sito del team di SharePoint connesso.
Applicare un'etichetta di riservatezza a un nuovo gruppo in Outlook sul Web
In Outlook sul Web, quando si crea un nuovo gruppo è possibile selezionare o modificare l'opzione Riservatezza per le etichette pubblicate:
Applicare un'etichetta di riservatezza a un nuovo sito
Gli amministratori e gli utenti finali possono selezionare le etichette di riservatezza quando creano siti di comunicazione e siti del team moderni ed espandere le Impostazioni avanzate:
La casella a discesa mostra i nomi di etichetta disponibili per la selezione e l'icona della Guida mostra tutti i nomi delle etichette con la relativa descrizione comando, aiutando gli utenti a determinare l'etichetta corretta da applicare.
Quando l'etichetta viene applicata e gli utenti visitano il sito, vedono il nome dell'etichetta e i criteri applicati. Ad esempio, questo sito è stato etichettato come Riservato e l'impostazione della privacy è Privato:
Usare PowerShell per applicare un'etichetta di riservatezza a più siti
È possibile usare il cmdlet Set-SPOSite e Set-SPOTenant con il parametro SensitivityLabel dall'attuale SharePoint Online Management Shell per applicare un'etichetta di riservatezza a molti siti. È possibile usare la stessa procedura per sostituire un'etichetta esistente. I siti possono essere una raccolta siti di SharePoint o un sito di OneDrive.
Verificare di avere la versione 16.0.19418.12000 o successiva di SharePoint Online Management Shell.
Aprire una sessione di PowerShell con l'opzione Esegui come amministratore.
Se non si conosce il GUID dell'etichetta: connettersi a & Security Compliance PowerShell e ottenere l'elenco delle etichette di riservatezza e dei relativi GUID.
Get-Label |ft Name, GuidOra connettersi a PowerShell per SharePoint Online e archiviare il GUID di etichetta come una variabile. Ad esempio:
$Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")Creare una nuova variabile che identifichi più siti con una stringa di identificazione in comune nell'URL. Ad esempio:
$sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"Eseguire il comando seguente per applicare l'etichetta a questi siti. Usare gli esempi riportati:
$sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
Questa serie di comandi consente di applicare a più siti del tenant la stessa etichetta di riservatezza. È per questo che si usa il cmdlet Set-SPOTenant invece del cmdlet Set-SPOSite, specifico per la configurazione per sito. Tuttavia, usare il cmdlet Set-SPOSite quando è necessario applicare un'etichetta diversa a siti specifici ripetendo il comando seguente per ognuno di questi siti: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"
Visualizzare e gestire le etichette di riservatezza nell'interfaccia di amministrazione di SharePoint
Per visualizzare, ordinare e cercare le etichette di riservatezza applicate, usare Siti attivi nella nuova interfaccia di amministrazione di SharePoint. Potrebbe essere necessario aggiungere prima la colonna Riservatezza:
Per altre informazioni sulla gestione dei siti dalla pagina Siti attivi, compresa l'informazione su come aggiungere una colonna, vedere Gestire i siti nella nuova interfaccia di amministrazione di SharePoint.
È anche possibile modificare e applicare un'etichetta da questa pagina:
Selezionare il nome del sito per aprire il riquadro dei dettagli.
Selezionare la scheda Criteri, quindi Modifica per l'impostazione Riservatezza.
Nel riquadro Modifica impostazione riservatezza, selezionare l'etichetta di riservatezza che si desidera applicare al sito. A differenza delle app utente, in cui le etichette di riservatezza possono essere assegnate a utenti specifici, nell'interfaccia di amministrazione vengono visualizzate tutte le etichette di riservatezza per il tenant. Dopo aver scelto un'etichetta, selezionare Salva.
Supporto per etichette di riservatezza
Quando si usano interfacce di amministrazione che supportano le etichette di riservatezza, ad eccezione del portale Azure Active Directory Domain Services, vengono visualizzate tutte le etichette di riservatezza per il tenant. In confronto, le app e i servizi utente che filtrano le etichette di riservatezza in base ai criteri di pubblicazione possono comportare la visualizzazione di un sottoinsieme di tali etichette. Azure Active Directory consente inoltre di filtrare le etichette in base ai criteri di pubblicazione.
Le app e i servizi seguenti supportano le etichette di riservatezza configurate per le impostazioni di sito e gruppo:
Interfacce di amministrazione:
- Interfaccia di amministrazione di SharePoint
- Interfaccia di amministrazione di Teams
- Interfaccia di amministrazione di Microsoft 365
- Portale di conformità di Microsoft Purview
App e servizi utente:
- SharePoint
- Teams
- Outlook sul web e per Windows, macOS, iOS e Android
- Forms
- Stream
- Planner
Le app e i servizi seguenti attualmente non supportano le etichette di riservatezza configurate per le impostazioni di sito e gruppo:
Interfacce di amministrazione:
- Interfaccia di amministrazione di Exchange
App e servizi utente:
- Dynamics 365
- Yammer
- Project
- Power BI
- Portale Mie app
Classificazione dei gruppi di Azure AD classica
Dopo aver abilitato le etichette di riservatezza per i contenitori, le classificazioni di gruppo di Azure AD non sono più supportate da Microsoft 365 e non vengono visualizzate nei siti che supportano le etichette di riservatezza. Tuttavia, è possibile convertire le vecchie classificazioni in etichette di riservatezza.
Come esempio della classificazione dei gruppi precedente per SharePoint, vedere Classificazione dei siti "moderni" di SharePoint.
Queste classificazioni venivano configurate tramite Azure AD PowerShell o la raccolta PnP Core e definendo i valori per l'impostazione ClassificationList. Se il tenant include valori di classificazione definiti, vengono visualizzati eseguendo il comando seguente dal modulo PowerShell AzureADPreview:
($setting["ClassificationList"])
Per passare dalle vecchie classificazioni alle etichette di riservatezza, eseguire una delle seguenti operazioni:
Usare etichette esistenti: specificare le impostazioni di etichetta desiderate per i siti e i gruppi modificando etichette di riservatezza esistenti e già pubblicate.
Creare nuove etichette: specificare le impostazioni di etichetta desiderate per i siti e i gruppi creando e pubblicando nuove etichette di riservatezza che abbiano nomi identici alle classificazioni esistenti.
In seguito:
Usare PowerShell per applicare le etichette di riservatezza ai gruppi di Microsoft 365 e ai siti di SharePoint esistenti utilizzando il mapping del nome. Per istruzioni, vedere la sezione successiva.
Rimuovere le vecchie classificazioni dai gruppi e siti esistenti.
Nonostante non si possa impedire agli utenti di creare nuovi gruppi in app e servizi che non supportano ancora le etichette di riservatezza, è tuttavia possibile eseguire uno script di PowerShell ricorrente per cercare nuovi gruppi che gli utenti abbiano creato con le vecchie classificazioni, per poi convertirli all'uso delle etichette di riservatezza.
Per facilitare la gestione della coesistenza di etichette di riservatezza e classificazioni di Azure AD per siti e gruppi, vedere Etichette di riservatezza e classificazione di Azure Active Directory per gruppi di Microsoft 365.
Usare PowerShell per convertire le classificazioni per i gruppi di Microsoft 365 in etichette di riservatezza
Prima di tutto, connettersi a & Security Compliance PowerShell.
Ad esempio, in una sessione di PowerShell eseguita come amministratore, accedere con un account di amministratore globale:
Ottenere l'elenco delle etichette di riservatezza e dei GUID corrispondenti usando il cmdlet Get-Label:
Get-Label |ft Name, GuidPrendere nota dei GUID per le etichette di riservatezza che si desidera applicare ai gruppi di Microsoft 365.
Ora connettersi a PowerShell di Exchange Online in una finestra separata di Windows PowerShell.
Usare il comando seguente come un esempio per visualizzare l'elenco dei gruppi al momento classificati come "Generale":
$Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}Per ogni gruppo, aggiungere il GUID della nuova etichetta di riservatezza. Ad esempio:
foreach ($g in $groups) {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}Ripetere i passaggi 5 e 6 per le classificazioni dei gruppi rimanenti.
Controllo delle attività sulle etichette di riservatezza
Importante
Se si usa la separazione delle etichette selezionando solo l'ambito Siti gruppi & per le etichette che proteggono i contenitori: a causa dell'evento di controllo di mancata corrispondenza tra i documenti rilevati e del messaggio di posta elettronica descritto in questa sezione, provare a ordinare le etichette prima delle etichette che hanno un ambito per Elementi.
Se qualcuno carica un documento in un sito protetto con un'etichetta di riservatezza e il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta di riservatezza applicata al sito, l'azione non verrà bloccata. Ad esempio, si supponga sia stata applicata l'etichetta Generale a un sito di SharePoint e che qualcuno carichi su tale sito un documento con etichetta Riservato. Dato che un'etichetta di riservatezza con una priorità più elevata identifica un contenuto maggiormente riservato di quello contrassegnato con un ordine di priorità inferiore, la situazione potrebbe porre un problema di sicurezza.
Anche se l'azione non viene bloccata, viene controllata e, per impostazione predefinita, genera automaticamente un messaggio di posta elettronica per la persona che ha caricato il documento e l'amministratore del sito. Di conseguenza, sia l'utente che l'amministratore possono identificare quali documenti abbiano questo disallineamento di priorità dell'etichetta e, se necessario, intervenire. Ad esempio, è possibile spostare o eliminare dal sito il documento caricato.
Non costituirebbe alcun problema di sicurezza se il documento recasse un'etichetta di riservatezza con priorità inferiore rispetto a quella applicata al sito. Ad esempio, un documento con etichetta Generale viene caricato in un sito con etichetta Riservato. In questo scenario non vengono generati eventi di controllo o messaggi di posta elettronica.
Nota
Proprio come per l'opzione dei criteri che richiede agli utenti di fornire una giustificazione per la modifica di un'etichetta a una classificazione inferiore, le sotto etichette per la stessa etichetta padre sono considerate tutte con la stessa priorità.
Per eseguire una ricerca di tale evento nel log di controllo, cercare È stata rilevata una mancata corrispondenza della riservatezza del documento nella categoria Attività su file e pagine.
Il messaggio di posta elettronica generato automaticamente ha l'oggetto Rilevata etichetta di riservatezza incompatibile e il messaggio di posta elettronica spiega la mancata corrispondenza dell'etichetta, con un collegamento al documento caricato e al sito. Contiene anche una riga per la documentazione interna: HelpLink : Guida alla risoluzione dei problemi. È necessario configurare il collegamento ipertestuale per la guida alla risoluzione dei problemi usando il cmdlet Set-SPOTenant con il parametro LabelMismatchEmailHelpLink . Ad esempio:
Set-SPOTenant –LabelMismatchEmailHelpLink "https://support.contoso.com"
Il messaggio di posta elettronica include anche un collegamento alla documentazione Microsoft che fornisce informazioni di base per consentire agli utenti di modificare l'etichetta di riservatezza: Applicare etichette di riservatezza ai file e alla posta elettronica in Office
Ad eccezione dell'URL interno che è necessario specificare, questi messaggi di posta elettronica automatizzati non possono essere personalizzati. Tuttavia, è possibile impedirne l'invio quando si usa il comando di PowerShell seguente da Set-SPOTenant:
Set-SPOTenant -BlockSendLabelMismatchEmail $True
Vengono controllate anche le attività di aggiunta o rimozione di un'etichetta di riservatezza da un sito o gruppo, senza però che venga generato un messaggio di posta elettronica.
Tutti questi eventi di controllo sono disponibili nella categoria Attività etichetta di riservatezza. Per istruzioni sulla ricerca nel log di controllo, vedere Cercare il log di controllo nel portale di conformità.
Come disabilitare le etichette di riservatezza per i contenitori
È possibile disabilitare le etichette di riservatezza per Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint seguendo le stesse istruzioni per abilitare il supporto per le etichette di riservatezza. Tuttavia, per disabilitare la funzione, nel passaggio 5 specificare $setting["EnableMIPLabels"] = "False".
Oltre a rendere tutte le impostazioni non disponibili per i gruppi e i siti quando si creano o si modificano le etichette di riservatezza, questa azione ripristina la proprietà utilizzata dai contenitori per la configurazione. L'abilitazione di etichette di riservatezza per Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint cambia la proprietà usata da Classificazione, (usata per la classificazione del gruppo di Azure AD) in Riservatezza. Quando si disabilitano le etichette di riservatezza per i contenitori, i contenitori ignorano la proprietà Riservatezza e usano nuovamente la proprietà Classificazione.
Ciò significa che tutte le impostazioni delle etichette dei siti e dei gruppi applicate in precedenza ai contenitori non verranno applicate e nei contenitori non verranno più visualizzate le etichette.
Se a tali contenitori sono applicati valori di classificazione di Azure AD, i contenitori ripristinano nuovamente l'uso delle classificazioni. Tenere presente che in qualsiasi nuovo sito o gruppo creato dopo l'abilitazione della funzione non verrà visualizzata alcuna etichetta o classificazione. A questi contenitori e a tutti i nuovi contenitori sarà possibile, a questo punto, applicare valori di classificazione. Per altre informazioni, vedere Classificazione dei siti "moderni" di SharePoint e Creare classificazioni per i gruppi di Office nell'organizzazione.
Risorse aggiuntive
Per altre informazioni sulla gestione dei siti connessi e dei siti del canale di Teams, vedere Gestione dei siti connessi e dei siti del canale di Teams.