Condividi tramite


Abilitare le etichette di riservatezza per i file in SharePoint e OneDrive

Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.

Abilitare l'etichettatura predefinita per i file di Office e i file PDF supportati in SharePoint e OneDrive in modo che gli utenti possano applicare le etichette di riservatezza in Office per il web. Quando questa funzionalità è abilitata, gli utenti visualizzano il pulsante Riservatezza sulla barra multifunzione in modo che possano applicare etichette e visualizzare qualsiasi nome di etichetta applicato sulla barra di stato.

Per SharePoint, gli utenti possono anche visualizzare e applicare etichette di riservatezza dal riquadro dei dettagli. Questo metodo è disponibile anche nella scheda File di Teams.

L'abilitazione di questa funzionalità consente anche a SharePoint e OneDrive di elaborare il contenuto dei file di Office e, facoltativamente, i documenti PDF crittografati usando un'etichetta di riservatezza. L'etichetta può essere applicata in Office per il web o nelle app desktop di Office e caricata o salvata in SharePoint e OneDrive. Fino a quando non si abilita questa funzionalità, questi servizi non possono elaborare file crittografati, il che significa che la creazione condivisa, eDiscovery, la prevenzione della perdita di dati, la ricerca e altre funzionalità collaborative non funzioneranno per questi file.

Dopo aver abilitato le etichette di riservatezza per questi file in SharePoint e OneDrive, per i file nuovi e modificati con un'etichetta di riservatezza che applica la crittografia con una chiave basata sul cloud (e non usa crittografia a chiave doppia):

  • Per i file Word, Excel e PowerPoint e i file PDF caricati, SharePoint e OneDrive riconoscono l'etichetta e ora possono elaborare il contenuto del file crittografato.

  • Quando gli utenti scaricano o accedono a questi file da SharePoint o OneDrive, l'etichetta di riservatezza e tutte le impostazioni di crittografia dell'etichetta vengono applicate e rimangono con il file, ovunque sia archiviato. Assicurarsi di fornire indicazioni per l'utente per usare solo etichette per proteggere i documenti. Per ulteriori informazioni, vedi Opzioni di Information Rights Management (IRM) ed etichette di riservatezza.

  • Quando gli utenti caricano file etichettati e crittografati in SharePoint o OneDrive, devono avere almeno i diritti di visualizzazione di utilizzo per tali file. Ad esempio, possono aprire i file al di fuori di SharePoint. Se non hanno questo diritto di utilizzo minimo, l'upload va a buon fine ma il servizio non riconosce l'etichetta e non può elaborare il contenuto del file.

  • Utilizzare Office per il Web (Word, Excel, PowerPoint) per aprire e modificare i file di Office con etichette di riservatezza che applicano la crittografia. Le autorizzazioni assegnate con la crittografia vengono applicate. È anche possibile usare l'etichettatura automatica per questi documenti.

  • Gli utenti esterni possono accedere ai documenti etichettati con la crittografia utilizzando gli account guest. Per ulteriori informazioni, vedi Supporto per utenti esterni e contenuti etichettati.

  • eDiscovery supporta la ricerca full-text di questi file e i criteri di prevenzione della perdita di dati (DLP) supportano il contenuto di questi file.

Nota

Se la crittografia è stata applicata con una chiave locale (una topologia di gestione delle chiavi spesso definita "hold your own key" o HYOK), o utilizzando la crittografia a doppia chiave, il comportamento del servizio per l'elaborazione del contenuto del file non cambia. Pertanto, per questi file, la creazione condivisa, l'eDiscovery, la prevenzione della perdita di dati, la ricerca e altre funzionalità collaborative non funzioneranno.

Anche il comportamento di SharePoint e OneDrive non cambia per i file esistenti in queste posizioni che sono etichettati con la crittografia utilizzando una singola chiave basata su Azure. Affinché questi file possano beneficiare delle nuove funzionalità dopo aver abilitato le etichette di riservatezza per i file di Office in SharePoint e OneDrive, i file devono essere scaricati e caricati di nuovo o modificati.

Dopo aver abilitato le etichette di riservatezza per i file di Office in SharePoint e OneDrive, sono disponibili tre nuovi eventi di controllo per il monitoraggio delle etichette di riservatezza applicate ai documenti in SharePoint e OneDrive:

  • Etichetta di riservatezza applicata al file
  • Etichetta di riservatezza applicata a un file modificata
  • Etichetta di riservatezza rimossa dal file

Guardare il video seguente (nessun audio) per visualizzare le nuove funzionalità in azione:

È sempre possibile disabilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive (opt-out) in qualsiasi momento.

Se attualmente si stanno proteggendo i documenti in SharePoint usando SharePoint Information Rights Management (IRM), assicurarsi di controllare la sezione SharePoint Information Rights Management (IRM) e le etichette di riservatezza in questa pagina.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Requisiti

Queste nuove funzionalità funzionano solo con le etichette di riservatezza .

Usare l'app sincronizzazione OneDrive versione 19.002.0121.0008 o successiva in Windows e la versione 19.002.0107.0008 o successiva in Mac. Entrambe queste versioni sono state rilasciate il 28 gennaio 2019 e sono attualmente rilasciate per tutti gli anelli. Per altre informazioni, vedere le note sulla versione di OneDrive. Dopo aver abilitato le etichette di riservatezza per i file di Office in SharePoint e OneDrive, agli utenti che eseguono una versione precedente dell'app di sincronizzazione viene richiesto di aggiornarla.

Tipi di file supportati

Dopo aver abilitato le etichette di riservatezza per SharePoint e OneDrive, i tipi di file di Office seguenti sono supportati per gli scenari di etichettatura di riservatezza.

Applicazione di un'etichetta di riservatezza in Office per il web o in SharePoint:

  • Word: .docx, docm
  • Excel: .xlsx, xlsm, xlsb
  • PowerPoint: .pptx, ppsx

Caricamento di un documento etichettato, quindi estrazione e visualizzazione dell'etichetta di riservatezza:

  • Word: doc, .docx, docm, dot, dotx, dotm
  • Excel: .xls, xlt, xla, xlc, xlm, xlw, .xlsx, xltx, xlsm, xltm, xlam, xlsb
  • PowerPoint: .ppt, .pot, .pps, .ppa, .pptx, .ppsx, .ppsxm, .potx, .ppam, .pptm, .potm, .ppsm

Aggiunta del supporto per PDF

È possibile abilitare il supporto per i PDF per i seguenti scenari:

Le etichette di riservatezza non supportano i PDF firmati.

Importante

Tenere presente che l'abilitazione del supporto PDF può aumentare il numero di file etichettati automaticamente con i criteri di etichettatura automatica esistenti, che supportano un massimo di 100.000 file al giorno.

Per attivare il supporto dal portale di Microsoft Purview o dal Portale di conformità di Microsoft Purview, eseguire una delle operazioni seguenti, a seconda del portale in uso:

Quindi, se viene visualizzato un messaggio Proteggi PDF con etichettatura automatica, selezionare questo banner per confermare che si vuole attivare la protezione PDF per i file in SharePoint e OneDrive.

In alternativa, è possibile attivare il supporto PDF usando PowerShell quando si usa il cmdlet Set-SPOTenant con il parametro EnableSensitivityLabelforPDF :

Set-SPOTenant -EnableSensitivityLabelforPDF $true

Questo parametro PDF richiede una versione minima di 16.0.24211.12000 per SharePoint Online Management Shell. Se sono necessarie altre informazioni su come installare questo modulo di PowerShell o eseguire i cmdlet, vedere la sezione in questa pagina per abilitare il supporto per le etichette di riservatezza.

Per Microsoft 365 Multi-Geo: analogamente alle istruzioni per eseguire il comando di PowerShell per abilitare il supporto per le etichette di riservatezza, è necessario connettersi a ognuna delle posizioni geografiche e quindi eseguire il comando per abilitare il supporto per i PDF.

Supporto per le etichette configurate per le autorizzazioni definite dall'utente

In anteprima è ora disponibile un supporto limitato per le etichette configurate per le autorizzazioni definite dall'utente. Questa configurazione di crittografia si riferisce all'impostazione Consenti agli utenti di assegnare le autorizzazioni quando applicano l'etichetta e la casella di controllo In Word, PowerPoint ed Excel, richiedere agli utenti di specificare le autorizzazioni è selezionata:

  • Quando un documento viene etichettato con autorizzazioni definite dall'utente e caricato in SharePoint o OneDrive, questi servizi possono ora elaborare il documento in modo che possa essere aperto e modificato in Office per il web e il nome dell'etichetta viene visualizzato nella colonna Riservatezza.

  • Le etichette con questa configurazione vengono ora visualizzate in Office per il web. Tuttavia, attualmente, gli utenti non possono applicare queste etichette in Office per il web e se queste etichette sono selezionate, gli utenti visualizzano un messaggio che indica loro di applicare l'etichetta usando un'app desktop.

  • Se gli utenti devono modificare le etichette configurate per le autorizzazioni definite dall'utente, assicurarsi di aver abilitato la creazione condivisa per i file crittografati con etichette di riservatezza.

  • I contenuti attualmente non possono essere controllati per la ricerca, la prevenzione della perdita di dati o eDiscovery.

Per supportare il salvataggio automatico e la creazione condivisa per questi file crittografati usando un'app desktop, è necessario aver abilitato la creazione condivisa per i file crittografati con etichette di riservatezza e per i Microsoft 365 Apps for enterprise:

  • Windows: versione minima di 16.0.16327 da Canale corrente e Canale corrente (anteprima) o versione minima di 16.0.16414 dal canale beta
  • macOS: versione minima di 16.51 dal canale corrente (anteprima) o dal canale beta

Nota

Se si usano versioni precedenti e la creazione condivisa è abilitata per il tenant, salvataggio automatico e creazione condivisa verranno disabilitati temporaneamente per i documenti dopo che gli utenti applicano un'etichetta di riservatezza configurata con autorizzazioni definite dall'utente o gli utenti modificano le autorizzazioni. Dopo aver chiuso il documento e aver atteso 10 minuti, queste funzionalità sono nuovamente disponibili.

Quando si usano queste versioni minime supportate per i file in SharePoint o OneDrive, si verifica una modifica nel comportamento per la crittografia:

Questa anteprima delle etichette configurate per le autorizzazioni definite dall'utente viene applicata automaticamente ai tenant. Per rifiutare esplicitamente, contattare supporto tecnico Microsoft e richiedere di disattivare questa anteprima.

Limitazioni

  • SharePoint e OneDrive non possono elaborare alcuni file etichettati e crittografati dalle app desktop di Office quando questi file contengono dati PowerQuery, dati archiviati da componenti aggiuntivi personalizzati o parti XML personalizzate, ad esempio proprietà della copertina, schemi dei tipi di contenuto, pannello informazioni documento personalizzato e XSN personalizzato. Questa limitazione si applica anche ai file che includono una bibliografia e ai file che hanno un ID documento aggiunto al momento del caricamento.

    Per questi file, applicare un'etichetta senza crittografia in modo che possano essere aperti in un secondo momento in Office per il web oppure indicare agli utenti di aprire i file nelle app desktop. I file etichettati e crittografati solo in Office per il web non sono interessati.

  • SharePoint e OneDrive non applicano automaticamente le etichette di riservatezza ai file esistenti crittografati usando le etichette di stile precedente che prima erano pubblicate dal portale di Azure. Per consentire il funzionamento delle funzionalità dopo aver abilitato le etichette di riservatezza per i file in SharePoint e OneDrive, scaricare questi file e caricarli nel percorso originale in SharePoint o OneDrive.

  • Gli utenti non possono applicare etichette di riservatezza configurate per le autorizzazioni definite dall'utente durante l'uso di Office per il web.

  • SharePoint e OneDrive non possono elaborare file crittografati quando l'etichetta che ha applicato la crittografia ha una delle configurazioni seguenti per la crittografia:

    • L'accesso utenti al contenuto scade è impostato su un valore diverso da Mai.

    • Viene selezionata una Crittografia a chiave doppia.

      Per le etichette con una di queste configurazioni di crittografia, le etichette non vengono visualizzate agli utenti in Office per il web. Se sono etichette padre, ciò significa che gli utenti non vedranno le etichette secondarie dell'etichetta, anche se le etichette secondarie non sono configurate per applicare la crittografia.

      Inoltre, le nuove funzionalità non possono essere usate con documenti etichettati che dispongono già di queste impostazioni di crittografia. Ad esempio, questi documenti non verranno restituiti nei risultati della ricerca, anche se vengono aggiornati.

  • SharePoint e OneDrive non possono leggere o applicare etichette di riservatezza quando il documento è protetto da password.

  • Per motivi di prestazioni, quando si carica o si salva un documento in SharePoint e l'etichetta del file non applica la crittografia, la colonna Riservatezza nella raccolta documenti può richiedere del tempo per visualizzare il nome dell'etichetta. Tenere conto di questo ritardo se si usano script o automazione che dipendono dal nome dell'etichetta in questa colonna.

  • Se un documento è etichettato mentre è estratto in SharePoint, la colonna Riservatezza nella raccolta documenti non visualizzerà il nome dell'etichetta finché il documento non viene archiviato e quindi aperto in SharePoint.

  • Se un documento etichettato e crittografato viene scaricato da SharePoint o OneDrive da un'app o un servizio che usa un nome di entità servizio e quindi caricato di nuovo con un'etichetta che applica impostazioni di crittografia diverse, il caricamento avrà esito negativo. Uno scenario di esempio è Microsoft Defender for Cloud Apps modifica di un'etichetta di riservatezza in un file da Riservato a Altamente riservato o da Riservato a Generale.

    Il caricamento non ha esito negativo se l'app o il servizio esegue prima il cmdlet Unlock-SPOSensitivityLabelEncryptedFile , come illustrato nella sezione Rimuovi crittografia per un documento etichettato . In alternativa, prima del caricamento, il file originale viene eliminato o il nome del file viene modificato.

  • Gli utenti potrebbero riscontrare ritardi nella possibilità di aprire documenti crittografati nello scenario SaveAs seguente: usando una versione desktop di Office, un utente sceglie Salva con nome per un documento con un'etichetta di riservatezza che applica la crittografia. L'utente seleziona SharePoint o OneDrive per la posizione e quindi tenta immediatamente di aprire il documento in Office per il web. Se il servizio sta ancora elaborando la crittografia, l'utente visualizza un messaggio che informa che il documento deve essere aperto nell'app desktop. Se riprovano tra un paio di minuti, il documento verrà aperto correttamente in Office per il web.

  • Per i documenti crittografati, la stampa non è supportata in Office per il web.

  • Per i documenti crittografati in Office per il web, le acquisizioni dello schermo non vengono impedite. Tuttavia, quando i documenti vengono etichettati e crittografati e il diritto diutilizzo copia non viene concesso, Office per il web impedisce la copia negli Appunti nello stesso modo in cui le app desktop impediscono questa azione.

  • Per impostazione predefinita, le app desktop e le app per dispositivi mobili di Office non supportano la creazione condivisa per i file etichettati con la crittografia. Queste app continuano ad aprire file etichettati e crittografati in modalità di modifica esclusiva. Per modificare il comportamento predefinito, vedere Abilitare la creazione condivisa per i file crittografati con etichette di riservatezza.

  • Se un amministratore modifica le impostazioni per un'etichetta pubblicata già applicata ai file scaricati nel client di sincronizzazione degli utenti, gli utenti potrebbero non essere in grado di salvare le modifiche apportate al file nella cartella Sincronizzazione OneDrive. Questo scenario si applica ai file etichettati con crittografia e anche quando la modifica dell'etichetta proviene da un'etichetta che non ha applicato la crittografia a un'etichetta che applica la crittografia. Gli utenti visualizzano un cerchio rosso con un errore di icona a forma di croce bianca e gli viene chiesto di salvare le nuove modifiche come copia separata. Al contrario, possono chiudere e riaprire il file o usare Office per il web.

  • Le etichette di riservatezza configurate per l'etichettatura automatica sono supportate per Office per il web quando le impostazioni delle etichette per le condizioni sono solo per i tipi di informazioni riservate. L'etichettatura automatica non è supportata per Office per il web quando le condizioni includono classificatori sottoponibili a training.

  • Gli utenti possono riscontrare problemi di salvataggio dopo la modalità offline o sospensione quando invece di usare Office per il web usano le app desktop e per dispositivi mobili per Word, Excel o PowerPoint. Per questi utenti, quando riprendono la sessione dell'app di Office e provano a salvare le modifiche, visualizzano un messaggio di errore di caricamento con un'opzione per salvare una copia invece di salvare il file originale.

  • I documenti crittografati nei modi seguenti non possono essere aperti in Office per il web:

    • Crittografia che usa una chiave locale ("hold your own key" o HYOK)
    • Crittografia applicata tramite crittografia a chiave doppia
    • Crittografia applicata in modo indipendente da un'etichetta, ad esempio applicando direttamente un modello di protezione rights management.
  • Le etichette configurate per altre lingue non sono supportate e visualizzano solo la lingua originale.

  • Se si elimina un'etichetta applicata a un documento in SharePoint o OneDrive, anziché rimuovere l'etichetta dai criteri di etichetta applicabili, il documento scaricato non verrà etichettato o crittografato. In confronto, se il documento con etichetta viene archiviato all'esterno di SharePoint o OneDrive, il documento rimane crittografato se l'etichetta viene eliminata. Si noti che anche se è possibile eliminare le etichette durante una fase di test, è molto raro eliminare un'etichetta in un ambiente di produzione.

  • Quando un file di Office con etichetta e crittografato di dimensioni superiori a 12 MB viene copiato o spostato in un sito diverso, SharePoint non può più elaborare questo file. Di conseguenza, la colonna Riservatezza non visualizza il nome dell'etichetta e gli utenti non possono aprire il file usando Office per il web. Gli utenti possono aprire correttamente il file quando usano un'app client di Office.

Come abilitare le etichette di riservatezza per SharePoint e OneDrive (consenso esplicito)

Nota

L'abilitazione delle etichette di riservatezza per SharePoint e OneDrive abilita anche le etichette di riservatezza per Loop componenti e pagine. Per altre informazioni, vedere Usare le etichette di riservatezza con Microsoft Loop.

È possibile abilitare le nuove funzionalità usando il portale di Microsoft Purview o il Portale di conformità di Microsoft Purview o PowerShell. Per istruzioni, vedere le sezioni seguenti.

Come per tutte le modifiche di configurazione a livello di tenant per SharePoint e OneDrive, sono necessari circa 15 minuti perché la modifica diventi effettiva.

Usare il portale per abilitare il supporto per le etichette di riservatezza

Questa opzione è il modo più semplice per abilitare le etichette di riservatezza per SharePoint e OneDrive ed è necessario accedere come amministratore globale per il tenant.

  1. A seconda del portale in uso, passare a una delle posizioni seguenti:

    • Accedere al portale> di Microsoft PurviewInformation Protectionetichette di riservatezza della scheda>.

      Se la scheda della soluzione Information Protection non è visualizzata, selezionare Visualizza tutte le soluzioni e quindi selezionare Information Protection nella sezione Sicurezza dei dati.

    • Accedere alle etichette> di protezione Portale di conformità di Microsoft Purview Solutions>Information Protection>

  2. Se viene visualizzato un messaggio per attivare la possibilità di elaborare il contenuto nei file online di Office, selezionare Attiva ora:

    Attiva ora il pulsante per abilitare le etichette di riservatezza per Office Online.

    Il comando viene eseguito immediatamente e quando la pagina viene aggiornata successivamente, il messaggio o il pulsante non vengono più visualizzati.

Nota

Se disponi di Microsoft 365 Multi-Geo, è necessario utilizzare PowerShell per abilitare queste funzionalità per tutte le posizioni geografiche. Per informazioni dettagliate, vedere la sezione successiva.

Usare PowerShell per abilitare il supporto per le etichette di riservatezza

In alternativa all'uso del portale di Microsoft Purview o del Portale di conformità di Microsoft Purview, è possibile abilitare il supporto per le etichette di riservatezza usando il cmdlet Set-SPOTenant di SharePoint Online PowerShell.

Se disponi di Microsoft 365 Multi-Geo, è necessario utilizzare PowerShell per abilitare il supporto per tutte le posizioni geografiche.

Preparare SharePoint Online Management Shell

Prima di eseguire il comando PowerShell per abilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive, assicurati di eseguire SharePoint Online Management Shell versione 16.0.19418.12000 o successiva. Se si dispone già della versione più recente, è possibile passare alla procedura successiva per eseguire il comando di PowerShell.

  1. Se è stata installata una versione precedente di SharePoint Online Management Shell da PowerShell Gallery, è possibile aggiornare il modulo eseguendo il cmdlet seguente.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. In alternativa, se è stata installata una versione precedente di SharePoint Online Management Shell dall'Area download Microsoft, è anche possibile passare ad Aggiungere o rimuovere programmi e disinstallare SharePoint Online Management Shell.

  3. In un Web browser passare alla pagina Area download e scaricare l'ultima versione di SharePoint Online Management Shell.

  4. Selezionare la lingua e fare clic su Scarica.

  5. Scegliere tra il file MSI x64 o x86. Scarica il file x64 se utilizzi la versione a 64 bit di Windows o il file x86 se utilizzi la versione a 32 bit. Se non conosci quale versione stai eseguendo, vedi Quale versione del sistema operativo Windows sto eseguendo?.

  6. Dopo aver scaricato il file, eseguire il file e seguire la procedura descritta nella configurazione del programma di installazione.

Eseguire il comando di PowerShell per abilitare il supporto per le etichette di riservatezza

Per abilitare le nuove funzionalità, usare il cmdlet Set-SPOTenant con il parametro EnableAIPIntegration :

  1. Usando un account aziendale o dell'istituto di istruzione con privilegi di amministratore di SharePoint in Microsoft 365, connettersi a SharePoint. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.

    Nota

    Se disponi di Microsoft 365 Multi-Geo, utilizza il parametro -Url con Connect-SPOService e specifica l'URL del sito dell'interfaccia di amministrazione di SharePoint Online per una delle tue posizioni geografiche.

  2. Eseguire il comando seguente e premere Y per confermare:

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. Per Microsoft 365 Multi-Geo: ripetere i passaggi 1 e 2 per ognuna delle posizioni geografiche rimanenti.

Pubblicazione e modifica delle etichette di riservatezza

Quando si usano etichette di riservatezza con SharePoint e OneDrive, tenere presente che è necessario consentire il tempo di replica quando si pubblicano nuove etichette di riservatezza o si aggiornano le etichette di riservatezza esistenti. Ciò è particolarmente importante per le nuove etichette che applicano la crittografia.

Ad esempio: si crea e si pubblica una nuova etichetta di riservatezza che applica la crittografia e viene visualizzata molto rapidamente nell'app desktop di un utente. L'utente applica questa etichetta a un documento e quindi la carica in SharePoint o OneDrive. Se la replica dell'etichetta non è stata completata per il servizio, le nuove funzionalità non verranno applicate a tale documento al termine del caricamento. Di conseguenza, il documento non verrà restituito nella ricerca o in eDiscovery e il documento non può essere aperto in Office per il web.

Per altre informazioni sull'intervallo delle etichette, vedere Quando aspettarsi che le nuove etichette e le modifiche diventino effettive.

Come garanzia, è consigliabile pubblicare prima nuove etichette a pochi utenti di test, attendere almeno un'ora e quindi verificare il comportamento delle etichette in SharePoint e OneDrive. Attendere almeno un giorno prima di rendere l'etichetta disponibile per più utenti aggiungendo più utenti ai criteri di etichetta esistenti o aggiungendo l'etichetta a un criterio etichetta esistente per gli utenti standard. Quando gli utenti standard visualizzano l'etichetta, l'etichetta è già sincronizzata con SharePoint e OneDrive.

Etichette di riservatezza e SharePoint Information Rights Management (IRM)

SharePoint Information Rights Management (IRM) è una tecnologia meno recente per proteggere i file a livello di elenco e di libreria applicando crittografia e restrizioni quando vengono scaricati i file. Questa tecnologia di protezione meno recente è progettata per impedire agli utenti non autorizzati di aprire il file mentre si trova all'esterno di SharePoint.

In confronto, le etichette di riservatezza forniscono le impostazioni di protezione dei contrassegni visivi (intestazioni, piè di pagina, filigrane) oltre alla crittografia. Le impostazioni di crittografia supportano l'intera gamma di diritti di utilizzo per limitare le operazioni che gli utenti possono eseguire con il contenuto e le stesse etichette di riservatezza sono supportate per molti scenari. L'uso dello stesso metodo di protezione con impostazioni coerenti tra carichi di lavoro e app comporta una strategia di protezione coerente.

Tuttavia, è possibile usare entrambe le soluzioni di protezione insieme e il comportamento è il seguente:

  • Se si carica un file con un'etichetta di riservatezza che applica la crittografia, SharePoint non può elaborare il contenuto di questi file, pertanto la creazione condivisa, eDiscovery, DLP e la ricerca non sono supportate per questi file.

  • Se si etichetta un file usando Office per il web, vengono applicate tutte le impostazioni di crittografia dell'etichetta. Per questi file sono supportate la creazione condivisa, l'eDiscovery, la prevenzione della perdita dei dati e la ricerca.

  • Se si scarica un file etichettato tramite Office per il web, l'etichetta viene mantenuta e le impostazioni di crittografia dell'etichetta vengono applicate anziché le impostazioni di restrizione IRM.

  • Se si scarica un file Di Office o PDF non crittografato con un'etichetta di riservatezza, vengono applicate le impostazioni IRM.

  • Se è stata abilitata una delle impostazioni aggiuntive della libreria IRM, tra cui impedire agli utenti di caricare documenti che non supportano IRM, queste impostazioni vengono applicate.

Con questo comportamento, è possibile essere certi che tutti i file di Office e PDF sono protetti da accesso non autorizzato se vengono scaricati, anche se non sono etichettati. Tuttavia, i file etichettati caricati non trarranno vantaggio dalle nuove funzionalità.

Cercare documenti in base all'etichetta di riservatezza

Usare la proprietà gestita InformationProtectionLabelId per trovare tutti i documenti in SharePoint o OneDrive con un'etichetta di riservatezza specifica. Usare la sintassi seguente: InformationProtectionLabelId:<GUID>

Ad esempio, per cercare tutti i documenti etichettati come "Riservato" e tale etichetta ha un GUID "8faca7b8-8d20-48a3-8ea2-0f96310a848e", nella casella di ricerca digitare:

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

La ricerca non troverà documenti etichettati in un file compresso, ad esempio un file .zip.

Per ottenere i GUID per le etichette di riservatezza, usare il cmdlet Get-Label :

  1. Prima di tutto, connettersi a PowerShell per la conformità & sicurezza Office 365.

    Ad esempio, in una sessione di PowerShell eseguita come amministratore, accedere con un account amministratore della conformità.

  2. Eseguire quindi il comando seguente:

    Get-Label |ft Name, Guid
    

Per altre informazioni sull'uso delle proprietà gestite, vedere Gestire lo schema di ricerca in SharePoint.

Rimuovere la crittografia per un documento con etichetta

Potrebbero verificarsi rare occasioni in cui un amministratore di SharePoint deve rimuovere la crittografia da un documento archiviato in SharePoint. Qualsiasi utente che dispone del diritto di utilizzo rights management di Esportazione o Controllo completo assegnato a tale documento può rimuovere la crittografia applicata dal servizio Azure Rights Management da Microsoft Purview Information Protection. Ad esempio, gli utenti con uno di questi diritti di utilizzo possono sostituire un'etichetta che applica la crittografia con un'etichetta senza crittografia. Un utente con privilegi avanzati può anche scaricare il file e salvare una copia locale senza la crittografia.

In alternativa, un amministratore di SharePoint può eseguire il cmdlet Unlock-SPOSensitivityLabelEncryptedFile , che rimuove sia l'etichetta di riservatezza che la crittografia. Questo cmdlet viene eseguito anche se l'amministratore non dispone delle autorizzazioni di accesso al sito o al file o se il servizio Azure Rights Management non è disponibile.

Ad esempio:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Requisiti:

  • SharePoint Online Management Shell versione 16.0.20616.12000 o successiva.

  • La crittografia è stata applicata da un'etichetta di riservatezza con impostazioni di crittografia definite dall'amministratore (le impostazioni assegna autorizzazioni ora etichetta). Crittografia a chiave doppia non è supportata per questo cmdlet.

Il testo della giustificazione viene aggiunto all'evento di controlloRimozione dell'etichetta di riservatezza dal file e l'azione di decrittografia viene registrata anche nella registrazione dell'utilizzo per Azure Rights Management.

Come disabilitare le etichette di riservatezza per SharePoint e OneDrive (rifiuto esplicito)

Se si disabilitano queste nuove funzionalità, i file caricati dopo aver abilitato le etichette di riservatezza per SharePoint e OneDrive continueranno a essere protetti dall'etichetta perché le impostazioni dell'etichetta continuano a essere applicate. Quando si applicano etichette di riservatezza a nuovi file dopo aver disabilitato queste nuove funzionalità, la ricerca full-text, eDiscovery e la creazione condivisa non funzioneranno più.

Per disabilitare queste nuove funzionalità, è necessario usare PowerShell. Usando SharePoint Online Management Shell e il cmdlet Set-SPOTenant , specificare lo stesso parametro EnableAIPIntegration descritto nella sezione Usare PowerShell per abilitare il supporto per le etichette di riservatezza . Questa volta, tuttavia, impostare il valore del parametro su false e premere Y per confermare:

Set-SPOTenant -EnableAIPIntegration $false

Se si dispone di Microsoft 365 Multi-Geo, è necessario eseguire questo comando per ogni località geografica.

Passaggi successivi

Dopo aver abilitato le etichette di riservatezza per i file in SharePoint e OneDrive, prendere in considerazione l'etichettatura automatica dei file usando uno o entrambi i metodi di etichettatura seguenti:

È necessario condividere i propri documenti etichettati e crittografati con persone esterne all’organizzazione? Vedere Condivisione di documenti crittografati con utenti esterni.