In che modo SharePoint e OneDrive proteggono i dati nel cloud
Tu controlli i tuoi dati. Quando inserisci i dati in SharePoint e OneDrive per Microsoft 365, rimani il proprietario dei dati. Per altre informazioni sulla proprietà dei dati, vedi Microsoft 365 Privacy per progettazione.
Come trattiamo i dati
I tecnici Microsoft amministrano SharePoint e OneDrive tramite una console di PowerShell che richiede l'autenticazione a due fattori. Eseguiamo attività quotidiane eseguendo flussi di lavoro in modo da poter rispondere rapidamente a nuove situazioni. Le archiviazioni nel servizio richiedono la revisione del codice e l'approvazione della gestione.
Nessun tecnico ha accesso permanente al servizio. Quando i tecnici necessitano dell'accesso, devono richiederlo. L'idoneità viene controllata e, se l'accesso del tecnico viene approvato, è solo per un periodo di tempo limitato. In rari casi in cui i tecnici Microsoft hanno bisogno di accedere al contenuto (ad esempio, se invii un ticket di supporto perché un utente non può accedere a un file importante che riteniamo danneggiato), i tecnici devono archiviare un flusso di lavoro specifico che richiede una giustificazione aziendale e l'approvazione del responsabile. Viene generato un evento di controllo che puoi visualizzare nell’ interfaccia di amministrazione di Microsoft 365. Puoi anche attivare una funzionalità denominata Customer Lockbox, quindi devi approvare la richiesta. Il tecnico ottiene l'accesso solo al file in questione. Per informazioni su come attivare o disattivare Customer Lockbox e approvare e negare le richieste, vedere Richieste di Microsoft Purview Customer Lockbox.
Come proteggere i dati
Una delle cose più importanti che puoi fare per proteggere i tuoi dati è richiedere l'autenticazione a due fattori per le identità in Microsoft 365. Questo impedisce l'uso delle credenziali senza un secondo fattore e riduce l'impatto delle password compromesse. Il secondo fattore può essere ottenuto tramite una chiamata telefonica, un SMS o un'app. Quando si distribuisce l'autenticazione a due fattori, iniziare con gli amministratori globali e quindi con altri amministratori e amministratori della raccolta siti. Per informazioni su come fare, vedi Configurare l'autenticazione a più fattori per gli utenti di Microsoft 365.
Altre cose consigliate per aumentare la sicurezza:
Usare Microsoft Entra l'accesso condizionale basato su dispositivo per bloccare o limitare l'accesso a dispositivi non gestiti come chioschi di hotel o aeroporti. Vedi Controllare l'accesso da dispositivi non gestiti.
Creare criteri per disconnettere gli utenti dalle sessioni Web di Microsoft 365 dopo un periodo di inattività. Per informazioni, vedi Disconnettere gli utenti inattivi.
Valuta la necessità di sessioni basate su IP. Queste sessioni simulano il modello di accesso di una distribuzione locale. Ulteriori informazioni su Controllare l'accesso in base al percorso di rete o app.
Consenti ai lavoratori di condividere in modo ampio ma sicuro. Puoi richiedere l'accesso o usare collegamenti che scadono o concedono privilegi limitati. Vedi Gestire la condivisione esterna per l'ambiente di SharePoint.
Impedisci l'esposizione accidentale di contenuto sensibile. Crea criteri di prevenzione della perdita dei dati per identificare i documenti e impedirne la condivisione. Vedere Informazioni sulla prevenzione della perdita di dati.
Protezione dei dati in transito e inattivi
Protezione dei dati in transito
Quando i dati transitano nel servizio dai client e tra i data center, vengono protetti con la migliore crittografia. Per informazioni, vedi Crittografia dei dati in OneDrive e SharePoint. È consentito solo l'accesso sicuro. Non verranno effettuate connessioni autenticate tramite HTTP, ma verranno invece reindirizzate a HTTPS.
Protezione dei dati inattivi
Protezione fisica: solo un numero limitato di membri essenziali del personale può accedere ai data center. Le loro identità vengono verificate con più fattori di autenticazione, tra cui smart card e biometria. Sono presenti agenti d sicurezza locali, sensori di movimento e videosorveglianza. Gli avvisi di rilevamento delle intrusioni monitorano le attività anomale.
Protezione di rete: le reti e le identità sono isolate dalla rete aziendale Microsoft. Il servizio viene amministrato con domini di Active Directory dedicati, sono disponibili domini separati per test e produzione e il dominio di produzione è suddiviso in più domini isolati per l'affidabilità e la sicurezza. Per altre informazioni sulla sicurezza fisica e logica predefinita di Microsoft 365, vediSicurezza predefinita di Microsoft 365.
Sicurezza delle applicazioni: i tecnici che creano le funzionalità seguono il ciclo di vita dello sviluppo della sicurezza. Le analisi automatizzate e manuali consentono di identificare le possibili vulnerabilità. Il Microsoft Security Response Center (Microsoft Security Response Center) consente di analizzare i report di vulnerabilità in arrivo e valutare le mitigazioni. Tramite Microsoft Cloud Bug Bounty, le persone di tutto il mondo possono guadagnare denaro segnalando vulnerabilità. Per altre informazioni, vedi Condizioni di Microsoft Cloud Bug Bounty.
Protezione del contenuto: i dati vengono crittografati a livello di disco usando la crittografia BitLocker e a livello di file tramite chiavi. Per informazioni, vedi Crittografia dei dati in OneDrive e SharePoint. Per informazioni sull'uso della chiave del cliente per fornire e controllare le chiavi usate per crittografare i dati inattivi in Microsoft 365, vedere Domande frequenti sulla crittografia del servizio con Microsoft Purview Customer Key.
Il motore antimalware Microsoft 365 analizza i documenti in fase di caricamento per individuare contenuti corrispondenti a una firma AV (aggiornata ogni ora). Per informazioni, vedi Rilevamento dei virus in SharePoint. Per una protezione più avanzata, usa Microsoft 365 Advanced Threat Protection (ATP). ATP analizza il contenuto condiviso e applica l'intelligence e l'analisi delle minacce per identificare minacce sofisticate. Per informazioni, vedi Microsoft 365 Advanced Threat Protection.
Per limitare il rischio che il contenuto venga scaricato in dispositivi non attendibili:
Limita la sincronizzazione ai dispositivi nei domini specificati: Consentire la sincronizzazione solo nei computer aggiunti a domini specifici.
Usare Intune per limitare l'accesso al contenuto nelle app OneDrive e SharePoint per dispositivi mobili: Controllare l'accesso alle funzionalità nelle app OneDrive e SharePoint per dispositivi mobili.
Per gestire il contenuto inattivo:
Configura i criteri IRM nelle raccolte documenti di SharePoint per limitare il download del contenuto. Vedi Configurare Information Rights Management (IRM) nell'interfaccia di amministrazione di SharePoint.
Valutare l’utilizzo di Azure Information Protection (AIP). La classificazione e l'etichettatura consentono di tenere traccia e controllare la modalità di utilizzo dei dati. Visita Azure Information Protection.
Disponibilità elevata, sempre ripristinabile
I nostri data center sono distribuiti geograficamente all'interno dell'area geografica e a tolleranza di errore. II dati vengono sottoposti a mirroring in almeno due data center per ridurre l'impatto di una calamità naturale o di un'interruzione del servizio. Per altre informazioni, vedere Dove vengono archiviati i dati dei clienti di Microsoft 365.
I backup dei metadati vengono conservati per 14 giorni e possono essere ripristinati in qualsiasi momento entro una finestra di cinque minuti.
In caso di un attacco ransomware, puoi usare la cronologia delle versioni (Abilitare e configurare il controllo delle versioni per un elenco o una raccolta) per eseguire il rollback, e il Cestino o il Cestino della raccolta siti per ripristinare (Ripristinare gli elementi eliminati dal Cestino della raccolta siti). Se un elemento viene rimosso dal Cestino della raccolta siti, puoi chiamare il supporto entro 14 giorni per accedere a un backup. Per informazioni sulla nuova funzionalità Ripristino file che consente agli utenti di ripristinare un intero OneDrive in qualsiasi punto negli ultimi 30 giorni, vedi Ripristinare OneDrive.
Convalida continua
Monitoriamo continuamente i data center per mantenerli integri e sicuri. Questa operazione inizia con l'inventario. Un agente di inventario analizza ogni subnet alla ricerca di vicini. Per ogni computer viene eseguita un'acquisizione dello stato.
Dopo aver creato un inventario, è possibile monitorare e correggere l'integrità dei computer. Il training delle patch di sicurezza applica le patch, aggiorna le firme antivirus e verifica che sia stata salvata una configurazione valida nota. Abbiamo una logica specifica del ruolo che garantisce l’applicazione di una patch o la rotazione solo di una determinata percentuale di computer alla volta.
Abbiamo un flusso di lavoro automatizzato per identificare i computer che non soddisfano i criteri e accodarli per la sostituzione.
Il Microsoft 365 "Red Team" all'interno di Microsoft è composto da esperti di intrusioni. Sono alla ricerca di eventuali opportunità per ottenere l'accesso non autorizzato. Il "Blue Team" è costituito da tecnici esperti in difesa che si concentrano su prevenzione, rilevamento e ripristino Costruiscono tecnologie di rilevamento e di risposta delle intrusioni. Per tenersi al passo con le conoscenze dei team di sicurezza di Microsoft, vedi il Blog su sicurezza, privacy e conformità.
Per monitorare e osservare le attività nell’abbonamento a Microsoft 365:
Se disponi di un centro operativo di sicurezza locale o SIEM, puoi monitorare l'attività con le API delle attività di gestione. Per informazioni, vedi Panoramica delle API di gestione di Microsoft 365. Verrà visualizzata l'attività da SharePoint, Exchange, ID Microsoft Entra, DLP e altro ancora. Se non disponi di un centro operativo di sicurezza locale o SIEM, puoi usare Cloud App Security. Cloud App Security usa le API delle attività di gestione. Per informazioni, vedi Panoramica di Microsoft 365 Cloud App Security. Tramite Cloud App Security, puoi segnalare, cercare e avvisare sulle attività.
Usare Microsoft Entra ID Protection. Ciò si applica all'apprendimento automatico per rilevare comportamenti sospetti degli account, ad esempio, gli accesso simultanei da parte dello stesso utente in diverse parti del mondo. È possibile configurare la protezione delle identità per intervenire per bloccare questi accessi. Per altre info, vedi Microsoft Entra ID Protection.
Usa Secure Score per valutare il profilo di sicurezza dell'abbonamento rispetto a una buona linea di base nota e per identificare le opportunità per aumentare la protezione. Per maggiori informazioni, visita Microsoft Secure Score.
Verificata e conforme
La conformità normativa è fondamentale per Microsoft 365. Ci assicuriamo che il servizio sia conforme agli standard normativi e di conformità. Ti aiutiamo anche a soddisfare i tuoi obblighi di controllo e conformità. Il Service Trust Portal è uno sportello unico per le informazioni sulla conformità e sulla fiducia per i servizi aziendali Microsoft. Il portale contiene report, libri bianchi, valutazioni delle vulnerabilità e guide alla conformità. Per altre informazioni su Service Trust Portal, vedi Introduzione a Microsoft Service Trust Portal.
Per soddisfare i requisiti normativi:
Controllare l'attività di Microsoft 365 nel Centro conformità & sicurezza: eseguire ricerche nel log di controllo nel Centro conformità microsoft 365 Security &.
Creare casi di eDiscovery: gestire i casi di eDiscovery nel Centro conformità microsoft 365 Security &
Applicare i criteri di conservazione: Creare e applicare i criteri di gestione delle informazioni.
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per