Condividi tramite


Governance dell'accesso nei gruppi di Microsoft 365, Teams e SharePoint

Sono disponibili molti controlli che consentono di controllare il modo in cui gli utenti accedono alle risorse in gruppi, team e SharePoint. Esaminare queste opzioni e considerare il modo in cui vengono mappate alle esigenze aziendali, la sensibilità dei dati e l'ambito delle persone con cui gli utenti devono collaborare.

La tabella seguente fornisce un riferimento rapido per i controlli di accesso disponibili in Microsoft 365. Altre informazioni sono disponibili nelle sezioni seguenti.

Categoria Descrizione Riferimento
Appartenenza
Appartenenza dinamica ai gruppi in base alle regole Creare o aggiornare un gruppo dinamico nell'ID Microsoft Entra
Controllare chi può condividere file, cartelle e siti. Configurare e gestire le richieste di accesso
Accesso condizionale
Autenticazione a più fattori Microsoft Entra autenticazione a più fattori
Controllare l'accesso ai dispositivi in base alla riservatezza del gruppo, del team o del sito. Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
Limitare l'accesso al sito per i dispositivi non gestiti. Controllare l'accesso a SharePoint da dispositivi non gestiti
Controllare l'accesso al sito in base alla posizione Controllare l'accesso ai dati di SharePoint e OneDrive in base al percorso di rete
Applicare condizioni di accesso più rigide quando gli utenti accedono ai siti di SharePoint. Criteri di accesso condizionale per siti di SharePoint e OneDrive
Accesso guest
Consentire o bloccare la condivisione di SharePoint da domini specificati. Limitare la condivisione di contenuti di SharePoint e di OneDrive in base al dominio
Consentire o bloccare l'appartenenza a team o gruppi da domini specificati. Consentire o bloccare gli inviti agli utenti B2B da organizzazioni specifiche
Impedire la condivisione anonima. Disattivare i collegamenti di tipo “Chiunque”
Controllare le autorizzazioni per i collegamenti di accesso anonimo. Impostare le autorizzazioni di collegamento per i collegamenti chiunque
Controllare la scadenza dei collegamenti di condivisione anonimi. Impostare una data di scadenza per i collegamenti Chiunque
Controllare il tipo di collegamento di condivisione visualizzato agli utenti per impostazione predefinita. Modificare il tipo di collegamento predefinito per un sito
Limitare la condivisione esterna a utenti specifici. Limitare la condivisione esterna ai gruppi di sicurezza specificati
Controllare l'accesso guest a un gruppo, un team o un sito in base alla riservatezza delle informazioni. Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
Disattivare le opzioni di condivisione. Limitare la condivisione in Microsoft 365
Gestione degli utenti
Esaminare regolarmente l'appartenenza a team e gruppi. Cosa sono le verifiche di accesso Microsoft Entra?
Automatizzare la gestione degli accessi a gruppi e team. Che cos'è Microsoft Entra gestione dei diritti?
Limitare l'accesso di OneDrive ai membri di un gruppo di sicurezza specifico. Limitare l'accesso a OneDrive in base al gruppo di sicurezza
Limitare l'accesso ai team o al sito ai membri di un gruppo. Limitare l'accesso al sito di SharePoint ai membri di un gruppo
Classificazione delle informazioni
Classificare gruppi e team Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
Classificare automaticamente il contenuto sensibile Applicare automaticamente un'etichetta di riservatezza al contenuto
Crittografare il contenuto sensibile Limitare l'accesso al contenuto utilizzando le etichette di riservatezza per applicare la crittografia
Segmentazione utente
Limitare la comunicazione tra segmenti di utenti Barriere informative
Residenza dei dati
Archiviare i dati in posizioni geografiche specifiche Microsoft 365 Multi-Geo

Appartenenza

È possibile gestire dinamicamente l'appartenenza a un gruppo o a un team in base ad alcuni criteri, ad esempio il reparto. In questo caso, i membri e i proprietari non possono invitare persone al team. I gruppi dinamici usano i metadati definiti nell Microsoft Entra ID per controllare chi è un membro del gruppo. Assicurarsi che i metadati in uso siano completi e aggiornati perché i metadati non corretti possono comportare l'interruzione di gruppi o l'aggiunta di utenti non corretti.

I siti di SharePoint offrono la possibilità di aggiungere proprietari, membri e visitatori oltre all'appartenenza a gruppi o team. A seconda dei requisiti, è possibile limitare gli utenti che possono invitare persone al sito. Inoltre, a seconda della riservatezza delle informazioni in un determinato sito, è possibile limitare gli utenti che possono condividere file e cartelle. Queste restrizioni sono configurate dal team, dal gruppo o dal proprietario del sito:

Accesso condizionale

Con Microsoft 365 è possibile richiedere l'autenticazione a più fattori sia per gli utenti all'interno che all'esterno dell'organizzazione. Esistono molte opzioni per le circostanze in cui agli utenti viene richiesto un secondo fattore di autenticazione. È consigliabile distribuire l'autenticazione a più fattori per l'organizzazione:

Se si dispone di informazioni sensibili in alcuni gruppi e team, è possibile applicare i criteri di gestione dei dispositivi in base all'etichetta di riservatezza di un gruppo o di un team. È possibile bloccare interamente l'accesso da dispositivi non gestiti o consentire l'accesso solo Web limitato:

In SharePoint è possibile limitare l'accesso ai siti da percorsi di rete specificati.

Risorse aggiuntive:

Accesso guest

È possibile limitare i guest in base al dominio del proprio indirizzo di posta elettronica. SharePoint offre impostazioni di restrizione del dominio specifiche dell'organizzazione e del sito. I gruppi e Teams usano gli elenchi consentiti di dominio o gli elenchi di blocchi nell Microsoft Entra ID. Assicurarsi di configurare entrambe le impostazioni per evitare la condivisione indesiderata e garantire un'esperienza utente coerente:

Microsoft 365 consente la condivisione anonima di file e cartelle usando collegamenti di condivisione chiunque . Tutti i collegamenti possono essere inoltrati e chiunque abbia il collegamento può accedere all'elemento condiviso. A seconda della riservatezza dei dati, valutare la modalità di utilizzo dei collegamenti Chiunque , tra cui disattivarli completamente, limitare le autorizzazioni di collegamento in sola lettura o impostare un'ora di scadenza:

Quando si condividono file o cartelle, gli utenti hanno diversi tipi di collegamento tra cui scegliere. Per ridurre il rischio di condivisione accidentale inappropriata, è possibile modificare il tipo di collegamento predefinito presentato agli utenti quando condividono. Ad esempio, la modifica del valore predefinito da Collegamenti chiunque, che consentono l'accesso anonimo, a Persone nei collegamenti dell'organizzazione può ridurre il rischio di condivisione esterna indesiderata di informazioni riservate:

Se l'organizzazione dispone di dati sensibili che è necessario condividere con gli utenti guest, ma si è preoccupati della condivisione inappropriata, è possibile limitare la condivisione esterna di file e cartelle ai membri di gruppi di sicurezza specificati. In questo modo, è possibile limitare la condivisione esternamente a un gruppo specifico di persone o richiedere agli utenti di eseguire il training sulla condivisione esterna appropriata prima di aggiungerli al gruppo di sicurezza:

I gruppi e Teams hanno impostazioni a livello di organizzazione che consentono o negano l'accesso guest. Sebbene sia possibile limitare l'accesso guest a team o gruppi specifici usando Microsoft PowerShell, è consigliabile farlo tramite un'etichetta di riservatezza. Con le etichette di riservatezza è possibile consentire o negare automaticamente l'accesso guest in base all'etichetta applicata:

In un ambiente in cui si invitano spesso utenti guest a gruppi e team, valutare la possibilità di configurare verifiche di accesso guest regolarmente pianificate. Ai proprietari può essere richiesto di esaminare i guest nei gruppi e nei team e di approvare o negare l'accesso.

Microsoft 365 offre molti metodi diversi di condivisione delle informazioni. Se si dispone di informazioni riservate e si vuole limitare la modalità di condivisione, esaminare le opzioni per limitare la condivisione:

Risorse aggiuntive:

Gestione degli utenti

Man mano che i gruppi e i team si evolvono nell'organizzazione, è consigliabile esaminare regolarmente l'appartenenza a team e gruppi. Ciò può essere particolarmente utile per i team e i gruppi con appartenenza in modifica, per quelli che contengono informazioni sensibili o per quelli che includono guest. Valutare la possibilità di configurare le verifiche di accesso per i team e i gruppi seguenti:

Molte organizzazioni hanno partnership commerciali con altre organizzazioni o fornitori chiave con cui collaborano in modo approfondito. La gestione degli utenti e l'accesso alle risorse possono essere difficili da gestire in questi scenari. È consigliabile automatizzare alcune delle attività di gestione degli utenti e persino eseguire la transizione di alcune di esse all'organizzazione partner:

I canali privati in Teams consentono conversazioni con ambito e condivisione di file tra un subset di membri del team. A seconda delle esigenze aziendali specifiche, è possibile consentire o bloccare questa funzionalità.

I canali condivisi consentono di invitare persone esterne al team o all'esterno dell'organizzazione. A seconda delle esigenze aziendali specifiche e dei criteri di condivisione esterni, è possibile consentire o bloccare questa funzionalità.

OneDrive offre agli utenti un modo semplice per archiviare e condividere contenuti su cui stanno lavorando. A seconda delle esigenze aziendali, è possibile limitare l'accesso a questo contenuto ai dipendenti aziendali a tempo pieno o ad altri gruppi all'interno dell'azienda. In tal caso, è possibile limitare l'accesso al contenuto di OneDrive ai membri di un gruppo di sicurezza.

Per alcuni team o siti più sensibili, è possibile limitare l'accesso al contenuto del team o del sito ai membri del team o ai membri di un gruppo di sicurezza.

Risorse aggiuntive:

Classificazione delle informazioni

È possibile usare le etichette di riservatezza per gestire l'accesso guest, la privacy dei gruppi e del team e l'accesso da parte di dispositivi non gestiti per gruppi e team. Quando un utente applica l'etichetta, queste impostazioni vengono configurate automaticamente come specificato dalle impostazioni dell'etichetta.

È possibile configurare Microsoft 365 per applicare automaticamente etichette di riservatezza a file e messaggi di posta elettronica in base ai criteri specificati, tra cui il rilevamento dei tipi di informazioni sensibili o la corrispondenza dei criteri con classificatori sottoponibili a training.

È possibile usare le etichette di riservatezza per crittografare i file, consentendo solo a quelli con autorizzazioni di decrittografarli e leggerli.

Risorse aggiuntive:

Segmentazione utente

Con le barriere informative, è possibile segmentare i dati e gli utenti per limitare le comunicazioni indesiderate e la collaborazione tra gruppi ed evitare conflitti di interesse nell'organizzazione. Le barriere informative consentono di creare criteri per consentire o impedire la collaborazione ai file, la chat, la chiamata o gli inviti alle riunioni tra gruppi di persone nell'organizzazione.

Residenza dei dati

Con Microsoft 365 Multi-Geo, è possibile effettuare il provisioning e archiviare i dati inattivi nelle posizioni geografiche scelte per soddisfare i requisiti di residenza dei dati. In un ambiente multi-geografico, il tenant di Microsoft 365 è costituito da una posizione centrale (in cui è stato originariamente effettuato il provisioning dell'abbonamento a Microsoft 365) e da una o più posizioni satellite in cui è possibile archiviare i dati.

Raccomandazioni per la pianificazione della governance della collaborazione

Creare il piano di governance della collaborazione

Sicurezza e conformità in Microsoft Teams

Gestire le impostazioni di condivisione in SharePoint

Configurare Teams con tre livelli di protezione