Governance dell'accesso nei gruppi di Microsoft 365, Teams e SharePoint
Sono disponibili molti controlli che consentono di controllare il modo in cui gli utenti accedono alle risorse in gruppi, team e SharePoint. Esaminare queste opzioni e considerare il modo in cui vengono mappate alle esigenze aziendali, la sensibilità dei dati e l'ambito delle persone con cui gli utenti devono collaborare.
La tabella seguente fornisce un riferimento rapido per i controlli di accesso disponibili in Microsoft 365. Altre informazioni sono disponibili nelle sezioni seguenti.
| Categoria | Descrizione | Riferimento |
|---|---|---|
| Appartenenza | ||
| Appartenenza dinamica ai gruppi in base alle regole | Creare o aggiornare un gruppo dinamico nell'ID Microsoft Entra | |
| Controllare chi può condividere file, cartelle e siti. | Configurare e gestire le richieste di accesso | |
| Accesso condizionale | ||
| Autenticazione a più fattori | Microsoft Entra autenticazione a più fattori | |
| Controllare l'accesso ai dispositivi in base alla riservatezza del gruppo, del team o del sito. | Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint | |
| Limitare l'accesso al sito per i dispositivi non gestiti. | Controllare l'accesso a SharePoint da dispositivi non gestiti | |
| Controllare l'accesso al sito in base alla posizione | Controllare l'accesso ai dati di SharePoint e OneDrive in base al percorso di rete | |
| Applicare condizioni di accesso più rigide quando gli utenti accedono ai siti di SharePoint. | Criteri di accesso condizionale per siti di SharePoint e OneDrive | |
| Accesso guest | ||
| Consentire o bloccare la condivisione di SharePoint da domini specificati. | Limitare la condivisione di contenuti di SharePoint e di OneDrive in base al dominio | |
| Consentire o bloccare l'appartenenza a team o gruppi da domini specificati. | Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche | |
| Impedire la condivisione anonima. | Disattivare i collegamenti di tipo “Chiunque” | |
| Controllare le autorizzazioni per i collegamenti di accesso anonimo. | Impostare le autorizzazioni di collegamento per i collegamenti chiunque | |
| Controllare la scadenza dei collegamenti di condivisione anonimi. | Impostare una data di scadenza per i collegamenti Chiunque | |
| Controllare il tipo di collegamento di condivisione visualizzato agli utenti per impostazione predefinita. | Modificare il tipo di collegamento predefinito per un sito | |
| Limitare la condivisione esterna a utenti specifici. | Limitare la condivisione esterna ai gruppi di sicurezza specificati | |
| Controllare l'accesso guest a un gruppo, un team o un sito in base alla riservatezza delle informazioni. | Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint | |
| Disattivare le opzioni di condivisione. | Limitare la condivisione in Microsoft 365 | |
| Gestione degli utenti | ||
| Esaminare regolarmente l'appartenenza a team e gruppi. | Cosa sono le verifiche di accesso Microsoft Entra? | |
| Automatizzare la gestione degli accessi a gruppi e team. | Che cos'è Microsoft Entra gestione dei diritti? | |
| Limitare l'accesso di OneDrive ai membri di un gruppo di sicurezza specifico. | Limitare l'accesso a OneDrive in base al gruppo di sicurezza | |
| Limitare l'accesso ai team o al sito ai membri di un gruppo. | Limitare l'accesso al sito di SharePoint ai membri di un gruppo | |
| Classificazione delle informazioni | ||
| Classificare gruppi e team | Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint | |
| Classificare automaticamente il contenuto sensibile | Applicare automaticamente un'etichetta di riservatezza al contenuto | |
| Crittografare il contenuto sensibile | Limitare l'accesso al contenuto utilizzando le etichette di riservatezza per applicare la crittografia | |
| Segmentazione utente | ||
| Limitare la comunicazione tra segmenti di utenti | Barriere informative | |
| Residenza dei dati | ||
| Archiviare i dati in posizioni geografiche specifiche | Microsoft 365 Multi-Geo |
Appartenenza
È possibile gestire dinamicamente l'appartenenza a un gruppo o a un team in base ad alcuni criteri, ad esempio il reparto. In questo caso, i membri e i proprietari non possono invitare persone al team. I gruppi dinamici usano i metadati definiti nell Microsoft Entra ID per controllare chi è un membro del gruppo. Assicurarsi che i metadati in uso siano completi e aggiornati perché i metadati non corretti possono comportare l'interruzione di gruppi o l'aggiunta di utenti non corretti.
I siti di SharePoint offrono la possibilità di aggiungere proprietari, membri e visitatori oltre all'appartenenza a gruppi o team. A seconda dei requisiti, è possibile limitare gli utenti che possono invitare persone al sito. Inoltre, a seconda della riservatezza delle informazioni in un determinato sito, è possibile limitare gli utenti che possono condividere file e cartelle. Queste restrizioni sono configurate dal team, dal gruppo o dal proprietario del sito:
Accesso condizionale
Con Microsoft 365 è possibile richiedere l'autenticazione a più fattori sia per gli utenti all'interno che all'esterno dell'organizzazione. Esistono molte opzioni per le circostanze in cui agli utenti viene richiesto un secondo fattore di autenticazione. È consigliabile distribuire l'autenticazione a più fattori per l'organizzazione:
Se si dispone di informazioni sensibili in alcuni gruppi e team, è possibile applicare i criteri di gestione dei dispositivi in base all'etichetta di riservatezza di un gruppo o di un team. È possibile bloccare interamente l'accesso da dispositivi non gestiti o consentire l'accesso solo Web limitato:
In SharePoint è possibile limitare l'accesso ai siti da percorsi di rete specificati.
Risorse aggiuntive:
Accesso guest
È possibile limitare i guest in base al dominio del proprio indirizzo di posta elettronica. SharePoint offre impostazioni di restrizione del dominio specifiche dell'organizzazione e del sito. I gruppi e Teams usano gli elenchi consentiti di dominio o gli elenchi di blocchi nell Microsoft Entra ID. Assicurarsi di configurare entrambe le impostazioni per evitare la condivisione indesiderata e garantire un'esperienza utente coerente:
Limitare la condivisione di contenuti di SharePoint e di OneDrive in base al dominio
Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche
Microsoft 365 consente la condivisione anonima di file e cartelle usando collegamenti di condivisione chiunque . Tutti i collegamenti possono essere inoltrati e chiunque abbia il collegamento può accedere all'elemento condiviso. A seconda della riservatezza dei dati, valutare la modalità di utilizzo dei collegamenti Chiunque , tra cui disattivarli completamente, limitare le autorizzazioni di collegamento in sola lettura o impostare un'ora di scadenza:
Quando si condividono file o cartelle, gli utenti hanno diversi tipi di collegamento tra cui scegliere. Per ridurre il rischio di condivisione accidentale inappropriata, è possibile modificare il tipo di collegamento predefinito presentato agli utenti quando condividono. Ad esempio, la modifica del valore predefinito da Collegamenti chiunque, che consentono l'accesso anonimo, a Persone nei collegamenti dell'organizzazione può ridurre il rischio di condivisione esterna indesiderata di informazioni riservate:
Se l'organizzazione dispone di dati sensibili che è necessario condividere con gli utenti guest, ma si è preoccupati della condivisione inappropriata, è possibile limitare la condivisione esterna di file e cartelle ai membri di gruppi di sicurezza specificati. In questo modo, è possibile limitare la condivisione esternamente a un gruppo specifico di persone o richiedere agli utenti di eseguire il training sulla condivisione esterna appropriata prima di aggiungerli al gruppo di sicurezza:
I gruppi e Teams hanno impostazioni a livello di organizzazione che consentono o negano l'accesso guest. Sebbene sia possibile limitare l'accesso guest a team o gruppi specifici usando Microsoft PowerShell, è consigliabile farlo tramite un'etichetta di riservatezza. Con le etichette di riservatezza è possibile consentire o negare automaticamente l'accesso guest in base all'etichetta applicata:
In un ambiente in cui si invitano spesso utenti guest a gruppi e team, valutare la possibilità di configurare verifiche di accesso guest regolarmente pianificate. Ai proprietari può essere richiesto di esaminare i guest nei gruppi e nei team e di approvare o negare l'accesso.
Microsoft 365 offre molti metodi diversi di condivisione delle informazioni. Se si dispone di informazioni riservate e si vuole limitare la modalità di condivisione, esaminare le opzioni per limitare la condivisione:
Risorse aggiuntive:
Procedure consigliate per la condivisione di file e cartelle con utenti non autenticati
Abilitare la collaborazione esterna B2B e gestire gli utenti che possono invitare guest
Gestione degli utenti
Man mano che i gruppi e i team si evolvono nell'organizzazione, è consigliabile esaminare regolarmente l'appartenenza a team e gruppi. Ciò può essere particolarmente utile per i team e i gruppi con appartenenza in modifica, per quelli che contengono informazioni sensibili o per quelli che includono guest. Valutare la possibilità di configurare le verifiche di accesso per i team e i gruppi seguenti:
Molte organizzazioni hanno partnership commerciali con altre organizzazioni o fornitori chiave con cui collaborano in modo approfondito. La gestione degli utenti e l'accesso alle risorse possono essere difficili da gestire in questi scenari. È consigliabile automatizzare alcune delle attività di gestione degli utenti e persino eseguire la transizione di alcune di esse all'organizzazione partner:
I canali privati in Teams consentono conversazioni con ambito e condivisione di file tra un subset di membri del team. A seconda delle esigenze aziendali specifiche, è possibile consentire o bloccare questa funzionalità.
I canali condivisi consentono di invitare persone esterne al team o all'esterno dell'organizzazione. A seconda delle esigenze aziendali specifiche e dei criteri di condivisione esterni, è possibile consentire o bloccare questa funzionalità.
OneDrive offre agli utenti un modo semplice per archiviare e condividere contenuti su cui stanno lavorando. A seconda delle esigenze aziendali, è possibile limitare l'accesso a questo contenuto ai dipendenti aziendali a tempo pieno o ad altri gruppi all'interno dell'azienda. In tal caso, è possibile limitare l'accesso al contenuto di OneDrive ai membri di un gruppo di sicurezza.
Per alcuni team o siti più sensibili, è possibile limitare l'accesso al contenuto del team o del sito ai membri del team o ai membri di un gruppo di sicurezza.
Risorse aggiuntive:
Classificazione delle informazioni
È possibile usare le etichette di riservatezza per gestire l'accesso guest, la privacy dei gruppi e del team e l'accesso da parte di dispositivi non gestiti per gruppi e team. Quando un utente applica l'etichetta, queste impostazioni vengono configurate automaticamente come specificato dalle impostazioni dell'etichetta.
È possibile configurare Microsoft 365 per applicare automaticamente etichette di riservatezza a file e messaggi di posta elettronica in base ai criteri specificati, tra cui il rilevamento dei tipi di informazioni sensibili o la corrispondenza dei criteri con classificatori sottoponibili a training.
È possibile usare le etichette di riservatezza per crittografare i file, consentendo solo a quelli con autorizzazioni di decrittografarli e leggerli.
Risorse aggiuntive:
Segmentazione utente
Con le barriere informative, è possibile segmentare i dati e gli utenti per limitare le comunicazioni indesiderate e la collaborazione tra gruppi ed evitare conflitti di interesse nell'organizzazione. Le barriere informative consentono di creare criteri per consentire o impedire la collaborazione ai file, la chat, la chiamata o gli inviti alle riunioni tra gruppi di persone nell'organizzazione.
Residenza dei dati
Con Microsoft 365 Multi-Geo, è possibile effettuare il provisioning e archiviare i dati inattivi nelle posizioni geografiche scelte per soddisfare i requisiti di residenza dei dati. In un ambiente multi-geografico, il tenant di Microsoft 365 è costituito da una posizione centrale (in cui è stato originariamente effettuato il provisioning dell'abbonamento a Microsoft 365) e da una o più posizioni satellite in cui è possibile archiviare i dati.
Argomenti correlati
Raccomandazioni per la pianificazione della governance della collaborazione
Creare il piano di governance della collaborazione
Sicurezza e conformità in Microsoft Teams