Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.
Le etichette di riservatezza, oltre a essere usate per proteggere documenti e messaggi di posta elettronica, possono essere usate per proteggere il contenuto dei contenitori seguenti: siti di Microsoft Teams, gruppi di Microsoft 365 (in precedenza gruppi di Office 365) e siti di SharePoint. Per questa protezione a livello di contenitore, usare le seguenti impostazioni di etichetta:
- Privacy (pubblica o privata) dei siti dei team e dei gruppi di Microsoft 365
- Accesso utenti esterni
- Condivisione esterna dai siti di SharePoint
- Accesso da dispositivi non gestiti
- Contesti di autenticazione
- Impedire l'individuazione di team privati per gli utenti che dispongono di questa funzionalità
- Controllo dei canali condivisi per gli inviti del team
- Collegamento di condivisione predefinito per uno SharePoint (configurazione solo PowerShell)
- Impostazioni di condivisione del sito (configurazione solo PowerShell)
- Etichetta predefinita per le riunioni del canale
Importante
Le impostazioni per i dispositivi non gestiti e i contesti di autenticazione funzionano insieme a Microsoft Entra l'accesso condizionale. È necessario configurare questa funzionalità dipendente se si vuole usare un'etichetta di riservatezza per queste impostazioni. Altre informazioni sono disponibili nelle istruzioni seguenti.
Quando si applica questa etichetta di riservatezza a uno dei contenitori supportati, l'etichetta applica automaticamente la categoria di riservatezza e le impostazioni di protezione configurate al sito o al gruppo.
Tenere presente che alcune opzioni di etichetta possono estendere le impostazioni di configurazione ai proprietari del sito che sono altrimenti limitati agli amministratori. Quando si configurano e si pubblicano le impostazioni dell'etichetta per le opzioni di condivisione esterna e il contesto di autenticazione, un proprietario del sito può ora impostare e modificare queste opzioni per un sito applicando o modificando l'etichetta di riservatezza per un team o un sito. Non configurare queste impostazioni specifiche per le etichette se non vuoi che i proprietari del sito siano in grado di apportare queste modifiche.
Il contenuto di tali contenitori, tuttavia, non eredita le etichette per la categoria di riservatezza o le impostazioni per i file e i messaggi di posta elettronica come i contrassegni di contenuto e la crittografia. Per fare in modo che gli utenti possano etichettare i propri documenti nei siti di SharePoint o del team, assicurarsi di abilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive.
Le etichette dei contenitori non supportano la visualizzazione di altre lingue e visualizzano la lingua originale solo per il nome e la descrizione dell'etichetta.
Consiglio
Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.
Usare le etichette di riservatezza per Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint
Prima di abilitare le etichette di riservatezza per contenitori e configurare le etichette di riservatezza per le nuove impostazioni, gli utenti possono vedere e applicare tali etichette nelle loro app. Un esempio da Word:
Dopo l'abilitazione e la configurazione delle etichette di riservatezza, gli utenti possono anche vedere e applicare etichette di riservatezza a Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint. Un esempio quando si crea un nuovo sito del team di SharePoint:
Dopo aver applicato un'etichetta di riservatezza a un sito, è necessario avere il ruolo seguente per modificare tale etichetta in SharePoint o Teams:
- Per un sito group-connect: Proprietari del gruppo di Microsoft 365
- Per un sito non connesso al gruppo: amministratore del sito di SharePoint
Nota
Le etichette di riservatezza per i contenitori supportano i canali condivisi di Teams. Se un team possiede dei canali condivisi, eredita automaticamente le impostazioni dell'etichetta di riservatezza dal team padre e tale etichetta non può essere rimossa o sostituita con un'etichetta diversa.
Come abilitare le etichette di riservatezza per i contenitori e sincronizzare le etichette
Se le etichette di riservatezza per i contenitori non sono ancora state abilitate, eseguire i passaggi seguenti (si tratta di un processo una tantum):
Poiché questa funzionalità usa Microsoft Entra funzionalità, seguire le istruzioni della documentazione Microsoft Entra per abilitare il supporto delle etichette di riservatezza: Assegnare etichette di riservatezza ai gruppi di Microsoft 365 in Microsoft Entra ID.
È ora necessario sincronizzare le etichette di riservatezza con Microsoft Entra ID. Per cominciare, connettersi a Sicurezza e conformità PowerShell.
Ad esempio, in una sessione di PowerShell eseguita come amministratore, accedere con un account di amministratore globale.
Quindi eseguire il comando seguente per assicurarsi di poter usare le etichette di riservatezza con i gruppi di Microsoft 365:
Execute-AzureAdLabelSync
Come configurare i gruppi e le impostazioni del sito
Dopo aver abilitato le etichette di riservatezza per i contenitori, come descritto nella sezione precedente, è possibile configurare le impostazioni di protezione per i gruppi e i siti nella configurazione di etichettatura di riservatezza. Finché le etichette di riservatezza non sono abilitate per i contenitori, le impostazioni sono visibili ma non sarà possibile configurarle.
Seguire le istruzioni generali per creare o modificare un'etichetta di riservatezza e verificare che sia selezionata l'opzione Gruppi e siti per l'ambito dell'etichetta:
Quando solo questo ambito è selezionato per l'etichetta, l'etichetta non verrà visualizzata nelle app di Office che supportano le etichette di riservatezza e non può essere applicata a file e messaggi di posta elettronica. La separazione delle etichette può essere utile sia per gli utenti che per gli amministratori, ma può anche aumentare la complessità della distribuzione delle etichette.
Ad esempio, è necessario rivedere attentamente l'ordine delle etichette poiché SharePoint rileva quando un documento etichettato viene caricato su un sito etichettato. In questo scenario, vengono generati automaticamente un evento di controllo e un messaggio di posta elettronica quando il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta del sito. Per ulteriori informazioni, vedere la sezione Attività di controllo dell'etichetta di riservatezza in questa pagina.
Quindi, nella pagina Definisci impostazioni di protezione per gruppi e siti selezionare le opzioni da configurare:
- Privacy e impostazioni di accesso utente esterno per configurare le impostazioni di Privacy e Accesso utenti esterni.
- Impostazioni di condivisione esterna e accesso condizionale per configurare l'impostazione Controlla condivisione esterna da siti di SharePoint etichettati e Usare l'accesso condizionale Microsoft Entra per proteggere i siti di SharePoint etichettati.
- Individuabilità dei team privati e controlli canale condiviso per configurare le impostazioni per impedire agli utenti che possono individuare team privati di trovare un team privato con questa etichetta di riservatezza applicata e controlli di condivisione dei canali per gli inviti ad altri team.
Inoltre, se si modifica un'etichetta esistente in cui l'ambito include elementi e riunioni e sono state configurate etichette per proteggere le riunioni, è possibile selezionare un'etichetta predefinita per le riunioni del canale e tutte le chat di canale. Per le riunioni non di canale, è possibile selezionare un'etichetta predefinita come impostazione dei criteri.
Se è stato selezionato Privacy e impostazioni di accesso utente esterno, configurare le seguenti impostazioni:
Privacy: mantenere l'impostazione predefinita Pubblico se si vuole consentire a chiunque nell’organizzazione l’accesso al sito del team o al gruppo in cui è applicata questa etichetta.
Selezionare Privato se si vuole limitare l'accesso solo ai membri approvati nell'organizzazione.
Selezionare Nessuno quando si vuole proteggere il contenuto del contenitore usando l'etichetta di riservatezza, ma consentendo comunque agli utenti di configurare in autonomia le impostazioni di privacy.
Le impostazioni di Pubblico o Privato impostano e bloccano l'impostazione della privacy quando si applica l'etichetta al contenitore. L'impostazione scelta sostituisce ogni precedente impostazione della privacy configurata per il team o il gruppo, bloccando il livello di privacy in modo che possa essere modificato solo rimuovendo prima l'etichetta di riservatezza dal contenitore. Dopo aver rimosso l'etichetta di riservatezza, viene mantenuto il livello di privacy impostato dall'etichetta, che ora potrà essere modificato, se necessario.
Accesso utente esterno: controllare se il proprietario del gruppo può aggiungere utenti guest al gruppo.
Se sono state selezionate le impostazioni Condivisione esterna e accesso condizionale, configurare le impostazioni seguenti:
Controlla la condivisione esterna da siti di SharePoint etichettati: selezionare questa opzione per selezionare in seguito la condivisione con tutti gli utenti, gli utenti guest nuovi ed esistenti, gli utenti guest esistenti o soltanto gli utenti della propria organizzazione. Per altre informazioni su questa configurazione e sulle impostazioni, vedere la documentazione di SharePoint Attivare e disattivare la condivisione esterna per un sito.
Usare Microsoft Entra'accesso condizionale per proteggere i siti di SharePoint etichettati: selezionare questa opzione solo se l'organizzazione ha configurato e usa Microsoft Entra l'accesso condizionale. Quindi, selezionare una delle impostazioni seguenti:
Determinare se gli utenti possono accedere ai siti di SharePoint da dispositivi non gestiti: questa opzione usa la funzionalità di SharePoint che usa l'accesso condizionale Microsoft Entra per bloccare o limitare l'accesso al contenuto di SharePoint e OneDrive da dispositivi non gestiti. Per altre informazioni, vedere Controllare l'accesso da dispositivi non gestiti dalla documentazione di SharePoint. L'opzione specificata per questa impostazione dell'etichetta equivale all'esecuzione di un comando di PowerShell per un sito, come descritto nei passaggi 3-5 Bloccare o limitare l'accesso a uno specifico sito di SharePoint o OneDrive della sezione delle istruzioni di SharePoint.
Per ulteriori informazioni sulla configurazione, vedere Ulteriori informazioni sulle dipendenze per l'opzione dei dispositivi non gestiti alla fine di questa sezione.
Scegliere un contesto di autenticazione esistente: questa opzione consente di applicare condizioni di accesso più rigide quando gli utenti accedono ai siti di SharePoint a cui è applicata questa etichetta. Queste condizioni vengono applicate quando si seleziona un contesto di autenticazione esistente creato e pubblicato per la distribuzione dell'accesso condizionale dell'organizzazione. Se gli utenti non soddisfano le condizioni configurate o se usano app che non supportano contesti di autenticazione, gli viene negato l'accesso.
Per ulteriori informazioni sulla configurazione, vedere Ulteriori informazioni sulle dipendenze per l'opzione del contesto di autenticazione alla fine di questa sezione.
Esempi di questa configurazione delle etichette:
Viene scelto un contesto di autenticazione configurato per richiedere l'autenticazione a più fattori (MFA). Questa etichetta viene applicata a un sito di SharePoint che contiene elementi che contiene elementi altamente riservati. Di conseguenza, quando gli utenti di una rete non attendibile provano ad accedere a un documento in questo sito, dovranno completare la richiesta di autenticazione a più fattori per poter accedere al documento.
Viene scelto un contesto di autenticazione configurato per i criteri delle condizioni d'uso (ToU). Questa etichetta viene applicata a un sito di SharePoint che contiene elementi che richiedono l'accettazione delle condizioni d'uso per motivi legali o di conformità. Di conseguenza, quando gli utenti tentano di accedere a un documento nel sito, dovranno accettare le condizioni d'uso per poter accedere al documento originale.
Se è stata selezionata l'individuazione dei team privati e i controlli del canale condiviso:
Per l'individuabilità dei team privati, usare la casella di controllo Consenti agli utenti di individuare i team privati a cui è applicata questa etichetta quando è stato configurato un criterio di Teams che consente l'individuazione di team privati:
- Quando la casella di controllo è selezionata (impostazione predefinita), un team privato con l'etichetta di riservatezza applicata sarà individuabile per un utente a cui è consentito individuare team privati.
- Quando la casella di controllo è deselezionata, un team privato con l'etichetta di riservatezza applicata rimarrà nascosto e non sarà individuabile per tutti gli utenti.
Per i canali condivisi di Teams, quando un team ha un'etichetta di riservatezza applicata, è possibile consentire o impedire ad altri team di essere invitati ai canali condivisi del team originale. Per altre informazioni sui canali condivisi, vedere Canali condivisi in Microsoft Teams.
Importante
Queste opzioni per i canali condivisi di Teams hanno una dipendenza dalle impostazioni nella pagina precedente Privacy e accesso utente esterno . Se si seleziona un'opzione non compatibile con queste impostazioni precedenti, viene visualizzato un messaggio di convalida per modificare la selezione. In alternativa, è possibile tornare indietro nella configurazione per modificare l'impostazione dipendente.
Le opzioni includono Solo interno, Solo etichetta stessa e Solo team privato. Solo l'ultima opzione può potenzialmente rimuovere i team invitati in precedenza e nessuna delle opzioni influisce sugli inviti ai singoli utenti.
Le impostazioni del sito e del gruppo diventano effettive quando si applica l'etichetta a un team, un gruppo o un sito. Se l’ ambito dell'etichetta include file e messaggi di posta elettronica, le altre impostazioni dell'etichetta, come la crittografia e il contrassegno di contenuti, non vengono applicate al contenuto all'interno del team, del gruppo o del sito.
Se l'etichetta di riservatezza non è già pubblicata, ora è possibile farlo aggiungendola a un criterio di etichetta di riservatezza. Gli utenti a cui è stato assegnato un criterio di etichetta di riservatezza che include tale etichetta potranno selezionarla per siti e gruppi.
Ulteriori informazioni sulle dipendenze per l'opzione dei dispositivi non gestiti
Se non si configurano i criteri di accesso condizionale dipendente per SharePoint, come descritto in Usa restrizioni imposte dalle app, l'opzione specificata non avrà alcun effetto. Inoltre, non avrà alcun effetto se è meno restrittiva rispetto a un'impostazione configurata al livello del tenant. Se è stata configurata un'opzione per i dispositivi non gestiti a livello di organizzazione, scegliere un'impostazione dell'etichetta uguale o più restrittiva
Per esempio, se il tenant è configurato in modo da Consentire l'accesso limitato solo web, l'impostazione dell'etichetta che consente l'accesso totale non avrà effetto perché è meno restrittiva. Per questa impostazione a livello del tenant, scegliere l'impostazione dell'etichetta per bloccare l'accesso (più restrittiva) o l'impostazione per l'accesso limitato (la stessa impostazione del tenant).
Dato che le impostazioni SharePoint possono essere configurate indipendentemente dalla configurazione dell'etichetta, nella configurazione dell'etichetta di riservatezza non vi è alcuna verifica che le dipendenze siano disponibili. Queste dipendenze possono essere configurate dopo la creazione e la pubblicazione dell'etichetta e anche dopo l'applicazione dell'etichetta. Se l'etichetta è già stata applicata, l'impostazione dell'etichetta non avrà effetto fino alla successiva autenticazione dell'utente.
Ulteriori informazioni sulle dipendenze per l'opzione del contesto di autenticazione
Per visualizzare nell'elenco a discesa per la selezione, i contesti di autenticazione devono essere creati, configurati e pubblicati come parte della configurazione dell'accesso condizionale Microsoft Entra. Per altre informazioni e istruzioni, vedere la sezione Configurare i contesti di autenticazione nella documentazione relativa all'accesso condizionale Microsoft Entra.
Non tutte le app supportano i contesti di autenticazione. Se un utente con un'app non supportata si connette al sito configurato per un contesto di autenticazione, viene visualizzato un messaggio di accesso negato oppure gli verrà richiesto di eseguire l'autenticazione ma questa verrà rifiutato. Le app che al momento supportano i contesti di autenticazione sono:
Office per il Web, che include Outlook per il Web
Microsoft Teams per Windows e macOS (esclude l'app Web di Teams)
Microsoft Planner
Microsoft 365 Apps per Word, Excel e PowerPoint. Versioni minime:
- Windows: 2103
- macOS: 16.45.1202
- iOS: 2.48.303
- Android: 16.0.13924.10000
Microsoft 365 Apps Outlook. Versioni minime:
- Windows: 2103
- macOS: 16.45.1202
- iOS: 4.2109.0
- Android: 4.2025.1
App di sincronizzazione OneDrive, versioni minime:
- Windows: 21.002
- macOS: 21.002
- iOS: 12.30
- Android: non ancora supportato
Limitazioni note:
Per l'app sincronizzazione OneDrive, viene supportato solo OneDrive e non gli altri siti.
Le funzionalità e le app seguenti potrebbero non essere compatibili con i contesti di autenticazione, pertanto è consigliabile verificare che continuino a funzionare dopo che un utente accede correttamente a un sito usando un contesto di autenticazione:
- Flussi di lavoro che usano Power Apps o Power Automate
- App di terze parti
Configurare le impostazioni per il tipo di collegamento di condivisione predefinito per un sito tramite le impostazioni avanzate di PowerShell
Oltre alle impostazioni delle etichette per siti e gruppi che è possibile configurare dal portale di Microsoft Purview o dal Portale di conformità di Microsoft Purview, è anche possibile configurare il tipo di collegamento di condivisione predefinito per un sito. Le etichette di riservatezza per i documenti possono essere configurate anche per un tipo di collegamento di condivisione predefinito. Queste impostazioni, che consentono di evitare una condivisione eccessiva, vengono selezionate automaticamente quando gli utenti selezionano il pulsante Condividi nelle app di Office.
Per ulteriori informazioni e istruzioni, vedere Utilizzare etichette di riservatezza per configurare il tipo di collegamento di condivisione predefinito per siti e documenti in SharePoint e OneDrive.
Configurare le autorizzazioni di condivisione dei siti usando le impostazioni avanzate di PowerShell
Un'altra impostazione avanzata di PowerShell che è possibile configurare per l'applicazione dell'etichetta di riservatezza a un sito SharePoint è MembersCanShare. Questa impostazione è la configurazione equivalente che è possibile impostare dall'interfaccia > di amministrazione di SharePoint Autorizzazioni> sitoCondivisione> sitiModifica il modo in cui i membri possono condividere>le autorizzazioni di condivisione.
Le tre opzioni sono elencate con i valori equivalenti per l'impostazione avanzata di PowerShell MembersCanShare:
Opzione dall'interfaccia di amministrazione di SharePoint | Valore di PowerShell equivalente per MembersCanShare |
---|---|
I proprietari e i membri del sito possono condividere file, cartelle e il sito. Persone con autorizzazioni di modifica possono condividere file e cartelle. | MemberShareAll |
I proprietari e i membri del sito e gli utenti con autorizzazioni di modifica possono condividere file e cartelle, ma solo i proprietari del sito possono condividere il sito. | MemberShareFileAndFolder |
Solo i proprietari del sito possono condividere file, cartelle e il sito. | MemberShareNone |
Per altre informazioni su queste opzioni di configurazione, vedere Modificare la modalità di condivisione dei membri dalla documentazione della community di SharePoint.
Esempi di PowerShell, in cui il GUID dell'etichetta di riservatezza è 8faca7b8-8d20-48a3-8ea2-0f96310a848e:
Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}
Per altre informazioni sulla specifica delle impostazioni avanzate di PowerShell, vedere Suggerimenti di PowerShell per specificare le impostazioni avanzate.
Gestione delle etichetta di riservatezza
Seguire le istruzioni seguenti per creare, modificare o eliminare le etichette di riservatezza configurate per i siti e i gruppi.
Creare e pubblicare etichette configurate per i siti e i gruppi
Seguire le istruzioni seguenti per pubblicare un'etichetta per gli utenti quando l'etichetta è configurata per le impostazioni di sito e gruppo:
Dopo aver creato e configurato l'etichetta di riservatezza, aggiungerla a un criterio di etichetta applicabile solo a pochi utenti test.
Attendere la replica della modifica:
- Nuova etichetta: attendere almeno un'ora, a meno che le impostazioni configurate non includano i controlli del canale condiviso di Teams. In questo caso, attendere almeno 24 ore.
- Etichetta esistente: attendere almeno 24 ore.
Per altre informazioni sull'intervallo delle etichette, vedere Quando aspettarsi che le nuove etichette e le modifiche diventino effettive.
Dopo questo periodo di attesa, usare uno degli account utente test per creare un team, un gruppo di Microsoft 365 o un sito di SharePoint con l'etichetta creata nel passaggio 1.
Se non si verificano errori durante l'operazione di creazione, sarà possibile pubblicare l'etichetta per tutti gli utenti del tenant in sicurezza.
Modificare etichette pubblicate che sono configurate per i siti e i gruppi
Come procedura consigliata, non modificare le impostazioni di sito e gruppo per un'etichetta di riservatezza dopo averla applicata a team, gruppi o siti. In tal caso, ricordarsi di attendere almeno 24 ore per la replica delle modifiche in tutti i contenitori a cui è applicata l'etichetta.
Inoltre, se le modifiche includono l'impostazione Accesso di utenti esterni:
La nuova impostazione si applica ai nuovi utenti, ma non agli utenti esistenti. Ad esempio, se questa impostazione è stata selezionata in precedenza e quindi gli utenti Guest hanno eseguito l'accesso al sito, tali utenti Guest possono continuare ad accedere al sito dopo aver deselezionato l'impostazione nella configurazione dell'etichetta.
Le impostazioni di privacy relative alle proprietà dei gruppi hiddenMembership e roleEnabled non vengono aggiornate.
Eliminare etichette pubblicate che sono configurate per i siti e i gruppi
Se si elimina un'etichetta di riservatezza che ha impostazioni a livello di sito e gruppo abilitate e questa etichetta è inclusa in uno o più criteri di etichetta, questa azione può causare errori di creazione per i nuovi team, gruppi e siti. Per evitare questa situazione, seguire queste indicazioni:
Rimuovere l'etichetta di riservatezza da tutti i criteri che includono l'etichetta.
Attendere almeno un'ora.
Dopo questo periodo di attesa, provare a creare un team, un gruppo o un sito e verificare che l'etichetta non sia più visibile.
Se l'etichetta di riservatezza non è visibile, è possibile eliminare l'etichetta in sicurezza.
Come applicare le etichette di riservatezza ai contenitori
A questo punto è possibile applicare una o più etichette di riservatezza ai seguenti contenitori:
- Gruppo di Microsoft 365 in Microsoft Entra ID
- Sito del team di Microsoft Teams
- Gruppo di Microsoft 365 in Outlook sul Web
- Sito di SharePoint
È possibile usare PowerShell se è necessario per applicare un'etichetta di riservatezza a più siti.
Applicare etichette di riservatezza ai gruppi di Microsoft 365
Ora si è pronti per applicare una o più etichette di riservatezza ai gruppi di Microsoft 365. Tornare alla documentazione Microsoft Entra per istruzioni:
Assegnare un'etichetta a un nuovo gruppo nel portale di Azure
Assegnare un'etichetta a un gruppo già esistente nel portale di Azure
Assegnare un'etichetta da un gruppo già esistente nel portale di Azure.
Applicare un'etichetta di riservatezza a un nuovo team
Gli utenti possono selezionare le etichette di riservatezza quando creano nuovi team in Microsoft Teams. Quando selezionano l'etichetta dall'elenco a discesa Riservatezza, l'impostazione della privacy può cambiare in modo da riflettere la configurazione dell'etichetta. In base alle impostazioni di accesso degli utenti esterni selezionate per l'etichetta, gli utenti possono o non possano aggiungere al team persone esterne all'organizzazione.
Altre informazioni sulle etichette di riservatezza per Teams
Dopo la creazione del team, l'etichetta di riservatezza compare nell'angolo in alto a destra di tutti i canali.
Il servizio applica automaticamente la stessa etichetta di riservatezza al gruppo di Microsoft 365 e al sito del team di SharePoint connesso.
Applicare un'etichetta di riservatezza a un nuovo gruppo in Outlook sul Web
In Outlook sul Web, quando si crea un nuovo gruppo è possibile selezionare o modificare l'opzione Riservatezza per le etichette pubblicate:
Applicare un'etichetta di riservatezza a un nuovo sito
Gli amministratori e gli utenti finali possono selezionare le etichette di riservatezza quando creano siti di comunicazione e siti del team moderni ed espandere le Impostazioni avanzate:
La casella a discesa mostra i nomi di etichetta disponibili per la selezione e l'icona della Guida mostra tutti i nomi delle etichette con la relativa descrizione comando, aiutando gli utenti a determinare l'etichetta corretta da applicare.
Quando l'etichetta viene applicata e gli utenti visitano il sito, vedono il nome dell'etichetta e i criteri applicati. Ad esempio, questo sito è stato etichettato come Riservato e l'impostazione della privacy è Privato:
Usare PowerShell per applicare un'etichetta di riservatezza a più siti
È possibile usare il cmdlet Set-SPOSite e Set-SPOTenant con il parametro SensitivityLabel dall'attuale SharePoint Online Management Shell per applicare un'etichetta di riservatezza a molti siti. È possibile usare la stessa procedura per sostituire un'etichetta esistente. I siti possono essere una raccolta siti di SharePoint o un sito di OneDrive.
Verificare di avere la versione 16.0.19418.12000 o successiva di SharePoint Online Management Shell.
Aprire una sessione di PowerShell con l'opzione Esegui come amministratore.
Se non si conosce il GUID dell'etichetta: connettersi a PowerShell per sicurezza e conformità e ottenere l'elenco delle etichette di riservatezza e i relativi GUID.
Get-Label |ft Name, Guid
Ora connettersi a PowerShell per SharePoint Online e archiviare il GUID di etichetta come una variabile. Ad esempio:
$Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
Creare una nuova variabile che identifichi più siti con una stringa di identificazione in comune nell'URL. Ad esempio:
$sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
Eseguire il comando seguente per applicare l'etichetta a questi siti. Usare gli esempi riportati:
$sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
Questa serie di comandi consente di applicare a più siti del tenant la stessa etichetta di riservatezza. È per questo che si usa il cmdlet Set-SPOTenant invece del cmdlet Set-SPOSite, specifico per la configurazione per sito. Tuttavia, usare il cmdlet Set-SPOSite quando è necessario applicare un'etichetta diversa a siti specifici ripetendo il comando seguente per ognuno di questi siti: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"
Visualizzare e gestire le etichette di riservatezza nell'interfaccia di amministrazione di SharePoint
Per visualizzare, ordinare e cercare le etichette di riservatezza applicate, usare Siti attivi nella nuova interfaccia di amministrazione di SharePoint. Potrebbe essere necessario aggiungere prima la colonna Riservatezza:
Per altre informazioni sulla gestione dei siti dalla pagina Siti attivi, compresa l'informazione su come aggiungere una colonna, vedere Gestire i siti nella nuova interfaccia di amministrazione di SharePoint.
È anche possibile modificare e applicare un'etichetta da questa pagina:
Selezionare il nome del sito per aprire il riquadro dei dettagli.
Selezionare la scheda Criteri, quindi Modifica per l'impostazione Riservatezza.
Nel riquadro Modifica impostazione riservatezza, selezionare l'etichetta di riservatezza che si desidera applicare al sito. A differenza delle app utente, in cui le etichette di riservatezza possono essere assegnate a utenti specifici, l'interfaccia di amministrazione visualizza tutte le etichette del contenitore per il tenant. Dopo aver scelto un'etichetta di riservatezza, selezionare Salva.
Supporto per etichette di riservatezza
Quando si usano le interfacce di amministrazione che supportano le etichette di riservatezza, ad eccezione del Interfaccia di amministrazione di Microsoft Entra, vengono visualizzate tutte le etichette di riservatezza per il tenant. In confronto, le app e i servizi utente che filtrano le etichette di riservatezza in base ai criteri di pubblicazione possono comportare la visualizzazione di un sottoinsieme di tali etichette. Il Interfaccia di amministrazione di Microsoft Entra filtra anche le etichette in base ai criteri di pubblicazione.
Le app e i servizi seguenti supportano le etichette di riservatezza configurate per le impostazioni di sito e gruppo:
Interfacce di amministrazione:
- Interfaccia di amministrazione di SharePoint
- Interfaccia di amministrazione di Teams
- Interfaccia di amministrazione di Microsoft 365
- Portale di Microsoft Purview
- Portale di conformità di Microsoft Purview
App e servizi utente:
- SharePoint
- Teams
- Outlook sul web e per Windows, macOS, iOS e Android
- Forms
- Stream
- Planner
Le app e i servizi seguenti attualmente non supportano le etichette di riservatezza configurate per le impostazioni di sito e gruppo:
Interfacce di amministrazione:
- Interfaccia di amministrazione di Exchange
App e servizi utente:
- Dynamics 365
- Viva Engage
- Project
- Power BI
- Portale Mie app
Classificazione classica dei gruppi Microsoft Entra
Dopo aver abilitato le etichette di riservatezza per i contenitori, le classificazioni dei gruppi da Microsoft Entra ID non sono più supportate da Microsoft 365 e non vengono visualizzate nei siti che supportano le etichette di riservatezza. Tuttavia, è possibile convertire le vecchie classificazioni in etichette di riservatezza.
Come esempio della classificazione dei gruppi precedente per SharePoint, vedere Classificazione dei siti "moderni" di SharePoint.
Queste classificazioni sono state configurate usando Microsoft Graph PowerShell o la libreria PnP Core e definendo i valori per l'impostazione ClassificationList
.
($setting["ClassificationList"])
Per passare dalle vecchie classificazioni alle etichette di riservatezza, eseguire una delle seguenti operazioni:
Usare etichette esistenti: specificare le impostazioni di etichetta desiderate per i siti e i gruppi modificando etichette di riservatezza esistenti e già pubblicate.
Creare nuove etichette: specificare le impostazioni di etichetta desiderate per i siti e i gruppi creando e pubblicando nuove etichette di riservatezza che abbiano nomi identici alle classificazioni esistenti.
In seguito:
Usare PowerShell per applicare le etichette di riservatezza ai gruppi di Microsoft 365 e ai siti di SharePoint esistenti utilizzando il mapping del nome. Per istruzioni, vedere la sezione successiva.
Rimuovere le vecchie classificazioni dai gruppi e siti esistenti.
Nonostante non si possa impedire agli utenti di creare nuovi gruppi in app e servizi che non supportano ancora le etichette di riservatezza, è tuttavia possibile eseguire uno script di PowerShell ricorrente per cercare nuovi gruppi che gli utenti abbiano creato con le vecchie classificazioni, per poi convertirli all'uso delle etichette di riservatezza.
Per gestire la coesistenza di etichette di riservatezza e classificazioni Microsoft Entra per siti e gruppi, vedere Microsoft Entra classificazione e le etichette di riservatezza per i gruppi di Microsoft 365.
Usare PowerShell per convertire le classificazioni per i gruppi di Microsoft 365 in etichette di riservatezza
Connettersi prima di tutto a Security & Compliance PowerShell con un account amministratore della conformità.
Ottenere l'elenco delle etichette di riservatezza e dei GUID corrispondenti usando il cmdlet Get-Label:
Get-Label |ft Name, Guid
Prendere nota dei GUID per le etichette di riservatezza che si desidera applicare ai gruppi di Microsoft 365.
Ora connettersi a PowerShell di Exchange Online in una finestra separata di Windows PowerShell.
Usare il comando seguente come un esempio per visualizzare l'elenco dei gruppi al momento classificati come "Generale":
$Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
Per ogni gruppo, aggiungere il GUID della nuova etichetta di riservatezza. Ad esempio:
foreach ($g in $groups) {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
Ripetere i passaggi 5 e 6 per le classificazioni dei gruppi rimanenti.
Controllo delle attività sulle etichette di riservatezza
Importante
Se si usa la separazione delle etichette selezionando solo l'ambito Gruppi & siti per le etichette che proteggono i contenitori: a causa dell'evento di controllo di mancata corrispondenza dei documenti rilevato e della posta elettronica descritta in questa sezione, provare a ordinare le etichette prima delle etichette che hanno un ambito per File & altri asset di dati.
Se qualcuno carica un documento in un sito protetto con un'etichetta di riservatezza e il documento ha un'etichetta di riservatezza con priorità più elevata rispetto all'etichetta di riservatezza applicata al sito, l'azione non verrà bloccata. Ad esempio, si supponga sia stata applicata l'etichetta Generale a un sito di SharePoint e che qualcuno carichi su tale sito un documento con etichetta Riservato. Dato che un'etichetta di riservatezza con una priorità più elevata identifica un contenuto maggiormente riservato di quello contrassegnato con un ordine di priorità inferiore, la situazione potrebbe porre un problema di sicurezza.
Anche se l'azione non viene bloccata, viene controllata e, per impostazione predefinita, genera automaticamente un messaggio di posta elettronica per la persona che ha caricato il documento e l'amministratore del sito. Di conseguenza, sia l'utente che l'amministratore possono identificare quali documenti abbiano questo disallineamento di priorità dell'etichetta e, se necessario, intervenire. Ad esempio, è possibile spostare o eliminare dal sito il documento caricato.
Non costituirebbe alcun problema di sicurezza se il documento recasse un'etichetta di riservatezza con priorità inferiore rispetto a quella applicata al sito. Ad esempio, un documento con etichetta Generale viene caricato in un sito con etichetta Riservato. In questo scenario non vengono generati eventi di controllo o messaggi di posta elettronica.
Nota
Proprio come per l'opzione dei criteri che richiede agli utenti di fornire una giustificazione per la modifica di un'etichetta a una classificazione inferiore, le sotto etichette per la stessa etichetta padre sono considerate tutte con la stessa priorità.
Per eseguire una ricerca di tale evento nel log di controllo, cercare È stata rilevata una mancata corrispondenza della riservatezza del documento nella categoria Attività su file e pagine.
Il messaggio di posta elettronica generato automaticamente ha l'oggetto Rilevata etichetta di riservatezza incompatibile e il messaggio di posta elettronica spiega la mancata corrispondenza dell'etichetta, con un collegamento al documento caricato e al sito. Contiene anche una riga per la documentazione interna: HelpLink : Guida alla risoluzione dei problemi. È necessario configurare il collegamento ipertestuale per la guida alla risoluzione dei problemi usando il cmdlet Set-SPOTenant con il parametro LabelMismatchEmailHelpLink . Ad esempio:
Set-SPOTenant –LabelMismatchEmailHelpLink "https://support.contoso.com"
Il messaggio di posta elettronica include anche un collegamento alla documentazione Microsoft che fornisce informazioni di base per consentire agli utenti di modificare l'etichetta di riservatezza: Applicare etichette di riservatezza ai file e alla posta elettronica in Office
Ad eccezione dell'URL interno che è necessario specificare, questi messaggi di posta elettronica automatizzati non possono essere personalizzati. Tuttavia, è possibile impedirne l'invio quando si usa il comando di PowerShell seguente da Set-SPOTenant:
Set-SPOTenant -BlockSendLabelMismatchEmail $True
Vengono controllate anche le attività di aggiunta o rimozione di un'etichetta di riservatezza da un sito o gruppo, senza però che venga generato un messaggio di posta elettronica.
Tutti questi eventi di controllo sono disponibili nella sezione Attività etichetta di riservatezza della documentazione delle attività del log di controllo.
Come disabilitare le etichette di riservatezza per i contenitori
È possibile disabilitare le etichette di riservatezza per Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint seguendo le stesse istruzioni per abilitare il supporto per le etichette di riservatezza. Tuttavia, per disabilitare la funzione, nel passaggio 5 specificare $setting["EnableMIPLabels"] = "False"
.
Oltre a rendere tutte le impostazioni non disponibili per i gruppi e i siti quando si creano o si modificano le etichette di riservatezza, questa azione ripristina la proprietà utilizzata dai contenitori per la configurazione. L'abilitazione delle etichette di riservatezza per Microsoft Teams, i gruppi di Microsoft 365 e i siti di SharePoint consente di impostare la proprietà utilizzata da Classificazione (usata per Microsoft Entra classificazione dei gruppi) a Riservatezza. Quando si disabilitano le etichette di riservatezza per i contenitori, i contenitori ignorano la proprietà Riservatezza e usano nuovamente la proprietà Classificazione.
Ciò significa che tutte le impostazioni delle etichette dei siti e dei gruppi applicate in precedenza ai contenitori non verranno applicate e nei contenitori non verranno più visualizzate le etichette.
Se questi contenitori hanno Microsoft Entra valori di classificazione applicati, i contenitori tornano a usare nuovamente le classificazioni. Tenere presente che in qualsiasi nuovo sito o gruppo creato dopo l'abilitazione della funzione non verrà visualizzata alcuna etichetta o classificazione. A questi contenitori e a tutti i nuovi contenitori sarà possibile, a questo punto, applicare valori di classificazione. Per altre informazioni, vedere Classificazione dei siti "moderni" di SharePoint e Creare classificazioni per i gruppi di Office nell'organizzazione.
Risorse aggiuntive
Per altre informazioni sulla gestione dei siti connessi e dei siti del canale di Teams, vedere Gestione dei siti connessi e dei siti del canale di Teams.