Condividi tramite

Configurare Microsoft Purview per Zero Trust: Proteggere i dati

Proteggere i dati dell'organizzazione significa garantire che il contenuto crittografato possa scorrere in modo sicuro da e verso gli utenti autorizzati, sia all'interno che all'esterno dell'organizzazione. Le impostazioni non configurate correttamente possono bloccare automaticamente la collaborazione legittima su contenuti protetti, lasciando gli utenti in grado di aprire file o messaggi di posta elettronica crittografati da partner esterni.

Zero Trust consigli sulla sicurezza

Configurare le impostazioni di accesso tra tenant per consentire la condivisione di contenuti crittografati

Quando gli utenti condividono file o messaggi di posta elettronica crittografati con persone esterne all'organizzazione o ricevono contenuti crittografati dai partner, Microsoft Entra ID deve verificare le identità su entrambi i lati dell'invio e della ricezione per applicare la crittografia. Se le impostazioni di accesso tra tenant bloccano l'app Rights Management, gli utenti visualizzano un errore "Accesso bloccato dall'organizzazione" e non possono aprire il contenuto protetto.

Consentire all'app Microsoft Rights Management Services tramite le impostazioni di accesso tra tenant sia per il traffico in ingresso (utenti esterni che aprono il contenuto condiviso) che per il traffico in uscita (gli utenti che aprono il contenuto dai partner). In caso contrario, la condivisione del contenuto crittografato si interrompe, anche quando vengono assegnate le autorizzazioni corrette.

Azione correttiva

Azure le licenze di Rights Management sono abilitate

Azure Rights Management Service (RMS) è la tecnologia di crittografia e controllo di accesso di base usata Microsoft Purview Information Protection. In caso contrario, l'organizzazione non può usare le etichette di riservatezza con la crittografia, proteggere i messaggi di posta elettronica con Microsoft Purview Message Encryption, applicare criteri IRM in SharePoint o OneDrive o applicare la protezione dei diritti tramite le regole del flusso di posta. Abilitare Azure RMS a livello di tenant prima di configurare qualsiasi altra funzionalità di protezione delle informazioni.

Azione correttiva

Le licenze interne di Rights Management sono abilitate

Le licenze RMS interne consentono agli utenti e ai servizi dell'organizzazione di concedere in licenza contenuti protetti per la distribuzione e la condivisione interna. Viene abilitato automaticamente quando viene attivato Azure RMS. Se disabilitato, gli utenti non possono collaborare internamente a messaggi di posta elettronica e file crittografati e le operazioni di blocco legale, eDiscovery e ripristino dei dati non possono accedere al contenuto crittografato.

Azione correttiva

L'appartenenza utente con privilegi avanzati è configurata per Microsoft Purview Information Protection

La funzionalità utente con privilegi avanzati del servizio Azure Rights Management concede agli account designati la possibilità di decrittografare tutto il contenuto protetto dall'organizzazione, indipendentemente dalle autorizzazioni originali assegnate. Gli utenti con privilegi avanzati abilitano eDiscovery, il ripristino dei dati, le indagini di conformità e la migrazione del contenuto. Senza questa configurazione, il contenuto crittografato può diventare permanentemente inaccessibile quando i titolari dei diritti non sono disponibili.

L'appartenenza deve essere attentamente controllata e limitata agli account di servizio usati dagli strumenti di conformità o dalle piattaforme eDiscovery. Microsoft consiglia di mantenere la funzionalità disabilitata per impostazione predefinita e di abilitarla solo tramite Microsoft Entra Privileged Identity Management (PIM) per l'accesso ji-in-time.

Azione correttiva

Le analisi su richiesta sono configurate per l'individuazione di informazioni riservate

I criteri di etichettatura automatica classificano solo il contenuto nuovo e modificato. I file e i messaggi di posta elettronica esistenti rimangono non classificati e invisibili ai criteri DLP che dipendono dal rilevamento delle etichette. Le analisi su richiesta consentono di attivare manualmente il rilevamento dei tipi di informazioni sensibili in posizioni specifiche per individuare e classificare retroattivamente i contenuti cronologici, offrendo una visione completa del comportamento di protezione delle informazioni anziché una copertura orientata al futuro.

Azione correttiva

OCR è abilitato per il rilevamento di informazioni riservate

OCR (riconoscimento ottico dei caratteri) estende il tipo di informazioni riservate e il rilevamento dei classificatori sottoponibili a training alle immagini nei dispositivi Exchange, SharePoint, OneDrive, Teams ed endpoint. Senza OCR, i criteri DLP e i criteri di etichettatura automatica non possono analizzare il contenuto basato su immagini, i documenti analizzati, gli screenshot e le fatture, lasciando i dati sensibili nelle immagini non protetti. OCR richiede Azure fatturazione con pagamento in base al consumo per Microsoft Syntex ed è configurato a livello di tenant.

Azione correttiva

I tipi di informazioni sensibili personalizzati sono configurati

I tipi di informazioni sensibili personalizzati (SIT) estendono il rilevamento predefinito di Microsoft Purview per coprire modelli di dati specifici dell'organizzazione, identificatori proprietari, schemi di classificazione interni, codici del settore specializzati o altri formati che i SIT predefiniti non corrispondono. Senza SIT personalizzati, i criteri di etichettatura automatica e le regole di prevenzione della perdita dei dati si basano esclusivamente su modelli generici e potrebbero perdere dati sensibili specifici dell'organizzazione.

Azione correttiva

La corrispondenza esatta dei dati è configurata per il rilevamento di informazioni riservate

Exact data match (EDM) è un tipo di informazioni sensibili avanzato che rileva i dati specifici dell'organizzazione associando valori esatti a un database di riferimento caricato. A differenza dei tipi di informazioni sensibili (SIT) basati su pattern che rilevano formati comuni, EDM identifica elementi come elenchi di clienti, ID dipendenti o codici proprietari univoci per l'organizzazione. Senza EDM, i criteri di etichettatura automatica e le regole DLP non possono rilevare questi dati proprietari, lasciando questi dati a rischio di esposizione.

Azione correttiva

I tipi di informazioni sensibili delle entità denominate vengono usati nei criteri di prevenzione dell'etichettatura automatica e della perdita dei dati

I tipi di informazioni sensibili alle entità denominate sono classificatori Microsoft predefiniti che rilevano entità sensibili comuni come nomi, indirizzi fisici e terminologia medica. Estendono la protezione dei dati oltre la corrispondenza dei criteri nella classificazione compatibile con il contesto e possono essere usati nei criteri di etichettatura automatica e nelle regole DLP senza sviluppo personalizzato.

Azione correttiva

I classificatori sottoponibili a training vengono usati nei criteri di prevenzione e etichettatura automatica della perdita di dati

I classificatori sottoponibili a training sono classificatori basati su Machine Learning che riconoscono il contenuto in base al significato e al contesto anziché ai modelli fissi. A differenza dei tipi di informazioni sensibili che corrispondono a formati predefiniti, i classificatori sottoponibili a training possono identificare contenuti non strutturati come piani strategici, report finanziari o documenti delle risorse umane. L'uso di classificatori sottoponibili a training nei criteri di etichettatura automatica e nelle regole di prevenzione della perdita dei dati estende la protezione ai contenuti aziendali sensibili che le regole basate su pattern non possono acquisire in modo affidabile.

Azione correttiva

La registrazione di controllo di Purview è abilitata

Purview controlla i log di registrazione che hanno eseguito l'accesso ai dati sensibili, quando si sono verificate violazioni dei criteri e quali azioni amministrative sono state eseguite in Microsoft 365. Quando sono disponibili i log di controllo, i team di sicurezza possono analizzare gli eventi imprevisti, eseguire eDiscovery, rilevare le minacce insider e dimostrare i controlli ai revisori e alle autorità di regolamentazione.

Senza la registrazione di controllo abilitata, gli attori delle minacce possono spesso operare inosservati e la risposta agli eventi imprevisti diventa impossibile a causa della mancanza di prove. Le organizzazioni che non riescono a abilitare la registrazione di controllo rischiano anche di non rispettare i requisiti normativi che impongono la registrazione delle attività per le operazioni sensibili.

Azione correttiva

Le etichette di riservatezza sono configurate

Le etichette di riservatezza sono alla base di Microsoft Purview Information Protection. Consentono alle organizzazioni di classificare e proteggere i dati sensibili in Microsoft 365, posizioni locali e applicazioni non Microsoft.

Senza etichette di riservatezza, le organizzazioni non hanno un modo standardizzato per proteggere i dati riservati, lasciandola vulnerabile ad accessi e condivisioni non autorizzati. Una tassonomia delle etichette ben progettata include in genere 3-7 etichette di primo livello: troppe etichette sovraccaricano gli utenti e riducono l'efficacia.

Azione correttiva

La pubblicazione di troppe etichette a livello globale crea confusione e paralisi decisionale per gli utenti, riducendo l'adozione e aumentando la classificazione errata. Quando gli utenti devono affrontare più di 25 etichette, hanno difficoltà a identificare la classificazione appropriata, causando etichette errate o evitando completamente la funzionalità.

Microsoft consiglia non più di 25 etichette nei criteri globali, idealmente organizzate come cinque etichette padre con un massimo di cinque etichette secondarie ognuna. Usare criteri con ambito per pubblicare etichette specializzate solo per utenti, gruppi o reparti specifici, mantenendo il set di etichette globale incentrato sugli scenari comuni.

Azione correttiva

Le etichette di riservatezza con crittografia sono configurate

Senza crittografia, le etichette di riservatezza classificano solo il contenuto come riservato senza impedire l'accesso non autorizzato. Le etichette abilitate per la crittografia si applicano Azure protezione rights management che applica i controlli di accesso, garantendo che la protezione sia persistente indipendentemente dalla posizione in cui il contenuto viene archiviato o condiviso. Ad esempio, gli utenti possono comunque inoltrare documenti "riservati" a destinatari non autorizzati, a meno che la crittografia non limiti l'accesso ai file in base all'identità.

Le organizzazioni che usano etichette senza crittografia ottengono visibilità, ma non hanno un'imposizione tecnica. Le etichette crittografate assicurano che solo gli utenti autorizzati possano decrittografare il contenuto, impedendo l'esfiltrazione dei dati anche se i file vengono persi o condivisi in modo non corretto. Per i dati di valore elevato che richiedono protezione oltre la classificazione, deve esistere almeno un'etichetta abilitata per la crittografia.

Azione correttiva

Le etichette di crittografia a chiave doppia sono configurate

Double Key Encryption (DKE) offre un ulteriore livello di protezione per i dati altamente sensibili richiedendo due chiavi per decrittografare il contenuto: una gestita da Microsoft e una dal cliente. Questo approccio "hold your own key" garantisce che Microsoft non sia in grado di decrittografare il contenuto anche con l'obbligo legale, rispettando i rigorosi requisiti normativi per la sovranità dei dati.

Tuttavia, DKE introduce una notevole complessità operativa, tra cui l'infrastruttura del servizio chiave dedicata, la riduzione della compatibilità delle funzionalità e l'aumento del carico di supporto. Le organizzazioni devono mantenere 1-3 etichette riservate a dati veramente cruciali o fortemente regolamentati, con una motivazione aziendale documentata per ogni etichetta DKE. Usare la crittografia standard per il contenuto aziendale generale. Le etichette DKE eccessive (4 o più) creano sovraccarico di gestione, confusione degli utenti e riducono la collaborazione. DKE non deve mai essere distribuito su larga scala, poiché l'indisponibilità del servizio chiave impedisce l'accesso ai documenti business critical.

Azione correttiva

La creazione condivisa è abilitata per i documenti crittografati

Quando la creazione condivisa è disattivata per i documenti protetti da etichette di riservatezza con crittografia, solo una persona può modificare il file alla volta. Ciò forza i team a lavorare in un processo lento e dettagliato, rendendo la collaborazione difficile e ritardando il completamento del progetto. Questa limitazione è particolarmente complessa per i gruppi che lavorano su progetti sensibili che richiedono la crittografia per la privacy, ma devono anche collaborare in modo efficiente.

L'attivazione della creazione condivisa per i documenti crittografati consente a diversi utenti autorizzati di modificare il file contemporaneamente. Questa modifica rimuove il rallentamento causato dalla crittografia e consente ai team di collaborare senza sacrificare la sicurezza.

Azione correttiva

Le etichette dei contenitori sono configurate per Teams, gruppi e siti

Le etichette dei contenitori estendono la classificazione di riservatezza oltre i singoli file a intere aree di lavoro di collaborazione come Microsoft Teams, Gruppi di Microsoft 365 e siti di SharePoint. Queste etichette controllano le impostazioni a livello di area di lavoro, ad esempio la condivisione esterna, l'accesso guest, le restrizioni dei dispositivi e la privacy.

Senza etichette contenitore, gli utenti possono creare Teams con accesso guest esterno anche quando gestiscono informazioni riservate, creando rischi di esfiltrazione dei dati in cui esistono documenti etichettati correttamente in aree di lavoro protette in modo non corretto. Le etichette dei contenitori assicurano che la sicurezza dell'area di lavoro corrisponda alla riservatezza del contenuto archiviato, impedendo che i documenti "altamente riservati" risiedano in Teams che consentono la condivisione esterna.

Azione correttiva

Le etichette di riservatezza sono abilitate in SharePoint Online

Quando l'integrazione delle etichette di riservatezza è disabilitata in SharePoint, i file in SharePoint e OneDrive non possono essere etichettati e non possono visualizzare etichette esistenti. Questo gap di protezione lascia i file sensibili non classificati e non crittografati, vulnerabili all'accesso non autorizzato e alla condivisione esterna.

L'abilitazione delle etichette di riservatezza in SharePoint Online consente agli utenti di applicare etichette tramite Office per il web e consente ai criteri di etichettatura automatica di classificare automaticamente i file, estendendo Microsoft Purview Information Protection a SharePoint e OneDrive.

Azione correttiva

L'etichettatura PDF è abilitata in SharePoint Online

Quando l'etichettatura PDF è disabilitata in SharePoint, i file PDF non possono essere etichettati o visualizzare etichette esistenti, creando un gap di protezione. A differenza dei file di Office, i file PDF possono circolare esternamente senza marcatori di classificazione visibili, rendendo impossibile per i destinatari determinare i requisiti di gestione o per i criteri di prevenzione della perdita dei dati (DLP) per rilevare il contenuto sensibile.

L'abilitazione dell'etichettatura PDF in SharePoint Online estende il supporto delle etichette di riservatezza ai PDF, consentendo agli utenti di applicare etichette tramite Office per il web e abilitando i criteri di etichettatura automatica per classificare automaticamente il contenuto PDF.

Azione correttiva

I criteri delle etichette di riservatezza vengono pubblicati per gli utenti

Le etichette devono essere pubblicate tramite i criteri di etichetta prima che gli utenti possano applicarle al contenuto. I criteri di etichetta definiscono gli utenti che ricevono le etichette, impostano il comportamento di etichettatura predefinito e applicano i requisiti obbligatori per l'etichettatura. Senza i criteri pubblicati, le etichette di riservatezza rimangono non disponibili per gli utenti.

Azione correttiva

Un'etichetta di riservatezza predefinita è configurata nei criteri di etichetta

Senza etichette predefinite, gli utenti devono scegliere attivamente un'etichetta per ogni elemento creato, aumentando l'attrito e l'etichettatura incoerente. Le etichette predefinite forniscono una classificazione di base che può essere sostituita quando necessario, riducendo l'affaticamento decisionale e garantendo che il contenuto abbia almeno un livello minimo di classificazione.

Senza etichette predefinite, il contenuto non classificato potrebbe ignorare i criteri di prevenzione della perdita dei dati che si basano sul rilevamento delle etichette. I carichi di lavoro diversi devono avere ognuna etichette predefinite appropriate configurate.

Azione correttiva

L'etichettatura obbligatoria è abilitata nei criteri delle etichette di riservatezza

Senza l'etichettatura obbligatoria, gli utenti possono condividere contenuti non classificati, creando rischi per la sicurezza e la conformità. Gli attori delle minacce possono esfiltrare dati sensibili senza metadati di classificazione per attivare i criteri di protezione.

Se i criteri DLP si basano sul rilevamento delle etichette, i dati non classificati ignorano completamente questi controlli. Le organizzazioni devono abilitare l'etichettatura obbligatoria in tutti i carichi di lavoro per garantire che le comunicazioni, i documenti e il contenuto di analisi vengano classificati prima della condivisione.

Azione correttiva

Gli utenti devono fornire una giustificazione per effettuare il downgrade delle etichette di riservatezza

Senza requisiti di giustificazione, gli utenti possono effettuare automaticamente il downgrade delle etichette senza creare un audit trail, creando rischi di conformità. Ad esempio, quando un utente rimuove un'etichetta "Confidential" e la sostituisce con "Internal", le organizzazioni devono richiedere una giustificazione esplicita.

Senza questo controllo, gli account compromessi o i dipendenti in partenza potrebbero effettuare il downgrade delle etichette per abilitare l'esfiltrazione dei dati. La giustificazione del downgrade è un controllo leggero che aumenta la responsabilità senza influire sui flussi di lavoro degli utenti.

Azione correttiva

Email i criteri di etichetta ereditano la riservatezza dagli allegati

Quando gli utenti collegano documenti sensibili ai messaggi di posta elettronica, il messaggio di posta elettronica deve ereditare la classificazione più alta dagli allegati per mantenere una protezione coerente. Senza questo criterio abilitato, gli utenti potrebbero inviare messaggi di posta elettronica senza etichetta contenenti allegati sensibili, creando una mancata corrispondenza tra la classificazione del messaggio di posta elettronica e il relativo contenuto effettivo.

Email'ereditarietà dell'etichetta applica automaticamente l'etichetta dell'allegato o l'etichetta con priorità più alta se sono presenti più allegati al messaggio di posta elettronica, garantendo che i livelli di protezione corrispondano e impedendo l'esposizione accidentale dei dati.

Azione correttiva

Le etichette di riservatezza predefinite sono abilitate per le raccolte documenti di SharePoint

Quando le etichette di riservatezza predefinite sono disattivate per le raccolte di SharePoint, ogni file caricato deve essere classificato manualmente. Questo spesso comporta che i file vengano etichettati in modo incoerente o lasciati senza etichetta, soprattutto durante la creazione rapida di file o quando i file vengono caricati da guest o tramite processi automatizzati. Senza l'etichettatura automatica, i file importanti possono ignorare la protezione e rimanere vulnerabili.

Abilitando le etichette di riservatezza predefinite per le raccolte di SharePoint, gli amministratori del sito possono configurare l'etichettatura automatica di base per tutti i file caricati in raccolte specifiche. In questo modo si garantisce una protezione coerente per ogni file, consentendo comunque agli utenti di applicare etichette con maggiore sensibilità, se necessario.

Azione correttiva

I criteri di etichettatura automatica sono configurati per tutti i carichi di lavoro

Senza i criteri di etichettatura automatica, le organizzazioni si basano sulla classificazione manuale, che può essere incoerente. People non sempre riconosce ciò che conta come dati sensibili o può dimenticare di etichettare le informazioni durante le attività quotidiane. Ciò comporta lacune nella classificazione, consentendo al contenuto sensibile di spostarsi tra le applicazioni di Microsoft 365 senza etichette o protezione appropriate.

La configurazione di almeno un criterio di etichettatura automatica assicura che il contenuto sensibile venga trovato ed etichettato automaticamente, indipendentemente dalle azioni eseguite dalle persone. Questo supporta le funzionalità di protezione dei dati, ad esempio le regole di prevenzione della perdita dei dati (DLP) e le restrizioni di accesso.

Azione correttiva

I criteri di etichettatura automatica sono in modalità di imposizione

Quando i criteri di etichettatura automatica vengono lasciati in modalità di simulazione, le organizzazioni non ottengono alcuna protezione reale perché il contenuto non viene mai effettivamente etichettato. I dati sensibili continuano a circolare senza classificazione, rendendo i criteri di prevenzione della perdita dei dati (DLP) non in grado di rilevare e proteggere le informazioni ad alto rischio.

Per garantire che le informazioni riservate vengano etichettate automaticamente, è necessario abilitare almeno un criterio di etichettatura automatica. L'attivazione dei criteri dopo i test di simulazione mette in atto misure protettive e inizia a ridurre i rischi.

Azione correttiva

I criteri di etichettatura automatica sono abilitati per SharePoint e OneDrive

Quando l'etichettatura automatica per SharePoint e OneDrive non è configurata, i file caricati senza etichette di riservatezza potrebbero non essere visibili ai criteri DLP (Data Loss Protection) che si basano sulle etichette. Di conseguenza, questi file possono spostarsi nell'ambiente con meno misure di sicurezza, il che può aumentare il rischio di condivisione o accesso inappropriato.

Ad esempio, l'abilitazione di almeno un criterio di etichettatura automatica in modalità di imposizione per SharePoint e OneDrive consente di classificare i file sensibili quando gli utenti li creano o li modificano. La classificazione di etichettatura automatica supporta le protezioni downstream, ad esempio i criteri DLP, in modo che possano rispondere in base alla sensibilità del file e contribuire a ridurre il rischio di esposizione ai dati.

Azione correttiva

Microsoft Purview Message Encryption è configurato con accesso client semplificato

L'impostazione SimplifiedClientAccessEnabled controlla se il pulsante Proteggi viene visualizzato in Outlook sul web. Questo pulsante consente agli utenti di aggiungere rapidamente la crittografia ai messaggi di posta elettronica. Se l'impostazione non è attivata, gli utenti non possono usare il pulsante Proteggi e devono trovare altri modi per crittografare i messaggi.

Per abilitare questa impostazione, anche AzureRMSLicensingEnabled deve essere attivo. Azure Rights Management Service (Azure RMS) fornisce la tecnologia di crittografia necessaria per il funzionamento del pulsante Proteggi.

Azione correttiva

I modelli di personalizzazione personalizzati sono configurati per Microsoft Purview Message Encryption

Quando un'organizzazione non usa modelli di personalizzazione personalizzati, gli utenti esterni all'azienda che ricevono messaggi crittografati potrebbero visualizzare un portale generico con marchio Microsoft. Poiché il portale non riflette l'identità dell'organizzazione, i destinatari possono essere meno sicuri della provenienza del messaggio.

I modelli di personalizzazione personalizzati consentono alle organizzazioni di aggiungere il logo, i colori, le dichiarazioni di non responsabilità e i dettagli di contatto al portale. Questi elementi consentono al portale di acquisire familiarità con i destinatari e possono supportare l'attendibilità quando visualizzano e interagiscono con i messaggi crittografati.

Azione correttiva

Email criteri di conservazione sono configurati

Senza criteri di conservazione, i messaggi di posta elettronica persistono a tempo indeterminato nelle cassette postali degli utenti, creando responsabilità per violazioni normative (GDPR, HIPAA, SOX), maggiori costi di eDiscovery e spese di archiviazione non controllate.

I criteri di conservazione gestiscono automaticamente il ciclo di vita della posta elettronica eliminando, archiviando o conservando i messaggi in base ai requisiti di conformità, riducendo i rischi legali e garantendo il rispetto degli obblighi normativi di conservazione dei record.

Azione correttiva

Le regole del flusso di posta applicano la protezione dei diritti ai messaggi sensibili

Senza regole del flusso di posta, le organizzazioni dipendono dagli utenti per applicare manualmente le etichette di riservatezza o crittografare i messaggi. Questo approccio può causare incoerenze ed errori, che possono comportare l'invio di messaggi di posta elettronica sensibili senza una protezione adeguata e aumentare il rischio di accesso non autorizzato ed esfiltrazione dei dati.

Le regole del flusso di posta consentono di aggiungere automaticamente la crittografia e impostare le autorizzazioni per i messaggi di posta elettronica che soddisfano determinate condizioni, ad esempio:

  • Posta inviata a persone esterne all'azienda
  • Posta che contiene informazioni riservate
  • Posta elettronica che deve soddisfare i requisiti basati sul reparto
    In questo modo si garantisce che i messaggi importanti vengano protetti senza affidarsi agli utenti per proteggerli manualmente.

Azione correttiva

I criteri di prevenzione della perdita dei dati sono abilitati

Senza criteri di prevenzione della perdita dei dati, i dipendenti possono condividere liberamente informazioni sensibili tramite posta elettronica, caricamenti di file o comunicazioni di Microsoft Teams, aumentando il rischio di violazioni dei dati e violazioni normative.

I criteri DLP monitorano, rilevano e impediscono automaticamente la divulgazione di informazioni sensibili nei carichi di lavoro di Microsoft 365, offrendo una protezione automatizzata dall'esfiltrazione dei dati non autorizzata.

Azione correttiva

I criteri di prevenzione della perdita di dati degli endpoint sono configurati

Senza i criteri di prevenzione della perdita dei dati degli endpoint, le organizzazioni possono monitorare solo le attività basate sul cloud, lasciando esposti i dati sensibili quando gli utenti vi accedono dai dispositivi o lo trasferiscono a:

  • Unità USB
  • Stampanti
  • Applicazioni esterne
  • Supporti rimovibili

La prevenzione della perdita dei dati degli endpoint estende la protezione dai carichi di lavoro cloud ai dispositivi utente. Si integra con Microsoft Defender per endpoint per:

  • Monitorare le attività di gestione dei dati
  • Impedire l'esfiltrazione dei dati non autorizzata in tempo reale

Azione correttiva

Protezione adattiva è abilitata nei criteri di prevenzione della perdita dei dati

Protezione adattiva garantisce che i criteri di prevenzione della perdita dei dati (DLP) siano personalizzati in base al profilo di rischio di ogni utente, anziché applicare le stesse regole a tutti. Senza Protezione adattiva, le organizzazioni perdono l'occasione di prevenire le minacce Insider perché non possono rispondere a indicatori comportamentali come l'accesso ai dati insolito o attività rischiose.

Integrando Insider Risk Management con DLP, Protezione adattiva usa machine learning per identificare gli utenti come rischio elevato, moderato o basso. In questo modo, Protezione adattiva consente di applicare automaticamente controlli DLP più severi a coloro che sono a rischio maggiore, consentendo al contempo una maggiore flessibilità per gli altri, un approccio che consente di proteggere i dati sensibili e di supportare l'efficienza operativa.

Azione correttiva

La prevenzione della perdita di dati del browser è abilitata per le app di intelligenza artificiale tramite Edge for Business

I criteri DLP del browser per le app per intelligenza artificiale consentono di ridurre il rischio di dati sensibili che lasciano l'organizzazione tramite il browser. Quando questi criteri non sono in vigore, la conformità delle comunicazioni e i controlli DLP basati sul cloud possono avere una visibilità limitata sul modo in cui gli utenti interagiscono con i servizi di intelligenza artificiale tramite Edge for Business. La prevenzione della perdita dei dati del browser aggiunge protezione a livello di browser e può aiutare le organizzazioni ad applicare i controlli di protezione dei dati anche quando è consentito l'accesso a un servizio di intelligenza artificiale.

Ad esempio, gli utenti potrebbero caricare file o incollare informazioni riservate in servizi di intelligenza artificiale non gestiti o consumer tramite Edge for Business. Ma la prevenzione della perdita dei dati del browser può aiutare a bloccare o limitare queste azioni nel punto di utilizzo, riducendo così le probabilità di esposizione dei dati incontrollata. Questo approccio consente di estendere le procedure di protezione dei dati ai servizi di intelligenza artificiale che non rientrano in piattaforme approvate o gestite.

Azione correttiva

I criteri di gestione dei rischi Insider sono abilitati per l'utilizzo rischioso dell'IA

Fino a quando le organizzazioni non usano Insider Risk Management (IRM) con Protezione adattiva, potrebbero non riuscire a rilevare minacce insider, comportamenti rischiosi come l'uso improprio dell'accesso legittimo ai dati esfiltrati o scenari di intelligenza artificiale non sicuri in cui gli utenti espongono dati sensibili a modelli linguistici di grandi dimensioni o servizi di intelligenza artificiale cloud non autorizzati.

IRM funziona con prevenzione della perdita dei dati (DLP) per combinare i segnali di comportamento degli utenti con regole basate sul contenuto, consentendo ai team di rilevare i rischi in anticipo e rispondere prima che i dati sensibili vengano esposti o compromessi.

Azione correttiva

Il monitoraggio della conformità delle comunicazioni è configurato per Microsoft Copilot

Finché le organizzazioni non configurano i criteri di conformità delle comunicazioni per acquisire le interazioni copilot, non possono vedere quando gli utenti espongono dati sensibili ai servizi di intelligenza artificiale. Inoltre, non possono indicare come le persone usano Copilot con informazioni riservate o individuare possibili violazioni dei criteri. Di conseguenza, gli utenti possono condividere inconsapevolmente i record dei clienti, i dati finanziari, il codice sorgente o i segreti commerciali con i servizi di intelligenza artificiale.

I criteri di conformità delle comunicazioni incentrati sulle interazioni Copilot offrono alle organizzazioni una chiara supervisione dell'uso dell'IA nel rispetto dei controlli della privacy. Questi criteri illustrano come gli utenti usano i dati sensibili nelle funzionalità di intelligenza artificiale e garantiscono che i team seguano i requisiti di conformità e governance dei dati.

Azione correttiva

Il monitoraggio della conformità delle comunicazioni è configurato per gli strumenti di intelligenza artificiale aziendali

I criteri di raccolta forniscono il livello di inserimento dati che supporta il monitoraggio dell'attività dell'app per intelligenza artificiale aziendale. Quando questi criteri sono in vigore, Conformità delle comunicazioni può raccogliere segnali dalle interazioni con le app per intelligenza artificiale e aiutare le organizzazioni a comprendere dove possono esistere rischi di protezione dei dati nei flussi di lavoro abilitati per l'intelligenza artificiale. Questa visibilità consente ai team di applicare i controlli di protezione dei dati in modo più coerente man mano che l'uso dell'IA si espande oltre Microsoft Copilot.

In pratica, gli utenti possono condividere accidentalmente dati sensibili con applicazioni di intelligenza artificiale personalizzate, flussi di Power Automate, automazioni di AI Builder o servizi non Microsoft AI che non sono approvati per gestire le informazioni riservate. Tuttavia, i criteri di conformità delle comunicazioni che riguardano le interazioni delle app di intelligenza artificiale aziendali possono aiutare a individuare potenziali esposizioni di dati a questi servizi ed estendere le procedure di protezione dei dati a soluzioni di intelligenza artificiale personalizzate e di terze parti.

Azione correttiva

Contenuto correlato

  • Last updated on