Impedire l'accesso guest ai file durante l'applicazione delle regole DLP
Quando vengono aggiunti nuovi file a SharePoint o OneDrive in Microsoft 365, i criteri di prevenzione della perdita dei dati (DLP) di Microsoft Purview richiedono tempo per analizzare il contenuto e applicare regole per proteggere il contenuto sensibile. Se la condivisione esterna è attivata, il contenuto sensibile può essere condiviso e accessibile dai guest prima che la regola DLP termini l'elaborazione.
Invece di disattivare completamente la condivisione esterna, è possibile contrassegnare i file nell'organizzazione come sensibili per impostazione predefinita. In questo modo viene bloccato l'accesso guest a nuovi contenuti fino a quando non vengono analizzati i criteri di prevenzione della perdita dei dati e del contenuto sensibili che includono condizioni basate sul contenuto. I guest ricevono una notifica che informa che il file viene analizzato se tentano di accedervi durante questo periodo di tempo.
Dopo aver eseguito la ricerca per indicizzazione di un file e non è stato rilevato alcun contenuto che blocchi la condivisione per ogni regola DLP, gli utenti guest possono accedere al file. Se i criteri identificano il contenuto sensibile nel documento che corrisponde alle regole DLP, viene applicato il comportamento normale definito da tali regole DLP.
Questa funzionalità non blocca l'accesso a un file se:
- il contenuto è già stato sottoposto a ricerca per indicizzazione e non è stato trovato alcun contenuto sensibile che corrisponda alle condizioni in qualsiasi regola DLP,
- o se il file ha proprietà che corrispondono alle esenzioni nelle regole DLP che lo consentono di essere condiviso.
Questa funzionalità si applica ai file appena aggiunti in SharePoint e OneDrive. La condivisione non viene bloccata se viene modificato un file esistente.
Le regole DLP sono necessarie per la condivisione del contenuto con i guest
Quando questa funzionalità è abilitata, a qualsiasi contenuto non archiviato in modo esplicito in un criterio DLP viene impedito l'accesso esterno. In altre parole, affinché il contenuto sia condivisibile esternamente, deve trovarsi in una posizione coperta da un criterio DLP e i criteri per tale percorso devono determinare, dopo la ricerca per indicizzazione e l'identificazione del contenuto, che il file non corrisponde ad alcuna regola che ne impedirebbe la condivisione. Ciò consente di impedire agli utenti di perdere i file sensibili inserendoli in una posizione non coperta dai criteri DLP.
Se si vuole operare in base al principio che solo le posizioni controllate in modo esplicito dalla prevenzione della perdita dei dati possono essere condivise esternamente, non sono necessarie altre azioni.
Se si vuole abilitare la condivisione esterna in posizioni non attualmente coperte dai criteri DLP, è possibile creare una regola DLP che includa tutte le posizioni di SharePoint e OneDrive che contengono almeno una regola con la condizione "contenuto contiene" (per qualsiasi contenuto) e che non esegue alcuna azione (ad esempio la limitazione o il blocco del contenuto), attivare avvisi, o genera notifiche o report. Questo criterio deve essere spostato all'inizio dell'elenco e non è impostata l'opzione Interrompi elaborazione più regole , quindi è efficace solo per il contenuto che non corrisponde ad altre regole DLP. Come risultato di tale regola, qualsiasi file in qualsiasi posizione che non corrisponde ad altre regole DLP sarà consentito per la condivisione esterna.
Per informazioni su come creare una regola DLP, vedere Informazioni su come creare e attivare un criterio DLP.
Contrassegnare i file come sensibili per impostazione predefinita
Questa funzionalità viene configurata tramite PowerShell.
Scaricare l'ultima versione di SharePoint Online Management Shell.
Nota
Se hai installato una versione precedente di SharePoint Online Management Shell, vai su Installazione applicazioni e disinstallare SharePoint Online Management Shell.
Connettersi a SharePoint come amministratore di SharePoint o versione successiva in Microsoft 365. Per informazioni in merito, vedere Guida introduttiva a SharePoint Online Management Shell.
Eseguire il comando riportato di seguito:
Set-SPOTenant -MarkNewFilesSensitiveByDefault BlockExternalSharing
Per disabilitare questa funzionalità, eseguire il comando seguente:
Set-SPOTenant -MarkNewFilesSensitiveByDefault AllowExternalSharing
Nota
Per rendere effettiva questa nuova impostazione potrebbero essere necessari fino a 60 minuti.