Condividi tramite

Configurare Microsoft Purview per Zero Trust: Proteggere i dati

Proteggere i dati dell'organizzazione significa garantire che il contenuto crittografato possa scorrere in modo sicuro da e verso gli utenti autorizzati, sia all'interno che all'esterno dell'organizzazione. Le impostazioni non configurate correttamente possono bloccare automaticamente la collaborazione legittima su contenuti protetti, lasciando gli utenti in grado di aprire file o messaggi di posta elettronica crittografati da partner esterni.

Zero Trust consigli sulla sicurezza

Configurare le impostazioni di accesso tra tenant per consentire la condivisione di contenuti crittografati

Quando gli utenti inviano o condividono file o messaggi di posta elettronica crittografati con persone esterne all'organizzazione o ricevono contenuti crittografati dai partner, Microsoft Entra ID deve verificare le identità. Esegue questa verifica per entrambi i lati dell'invio e della ricezione per applicare le impostazioni di crittografia. Se le impostazioni di accesso tra tenant bloccano l'accesso al servizio Azure Rights Management, gli utenti visualizzano un errore "L'accesso è bloccato dall'organizzazione". In questo scenario non possono aprire il contenuto protetto.

Consentire l'app Microsoft Rights Management Services configurando le impostazioni di accesso tra tenant sia per il traffico in ingresso (utenti esterni che aprono il contenuto condiviso) che per il traffico in uscita (gli utenti che aprono il contenuto dai partner). Senza questa configurazione, la condivisione del contenuto crittografato si interrompe, anche quando vengono assegnate le autorizzazioni corrette.

Azione correttiva

Azure servizio Rights Management è attivato

Il servizio Azure Rights Management offre la tecnologia di crittografia e controllo di accesso di base per Microsoft Purview Information Protection. Viene usato con etichette di riservatezza che applicano la crittografia, protegge i messaggi di posta elettronica con Microsoft Purview Message Encryption e viene usato anche con le tecnologie di protezione meno recenti, ad esempio IRM di SharePoint e le regole del flusso di posta che applicano la crittografia. Questo servizio deve essere attivato per il tenant prima di configurare qualsiasi altra funzionalità di protezione delle informazioni.

Azione correttiva

Le licenze interne di Rights Management sono abilitate

Le licenze RMS interne consentono agli utenti e ai servizi dell'organizzazione di concedere in licenza contenuti protetti per la distribuzione e la condivisione interna. Viene abilitato automaticamente quando viene attivato Azure RMS. Se disabilitato, gli utenti non possono collaborare internamente a messaggi di posta elettronica e file crittografati e le operazioni di blocco legale, eDiscovery e ripristino dei dati non possono accedere al contenuto crittografato.

Azione correttiva

L'appartenenza utente con privilegi avanzati è configurata per Microsoft Purview Information Protection

La funzionalità utente con privilegi avanzati del servizio Azure Rights Management concede agli account designati la possibilità di decrittografare il contenuto crittografato dall'organizzazione usando questo servizio, indipendentemente dalle autorizzazioni originali assegnate. Gli utenti con privilegi avanzati potrebbero essere necessari per eDiscovery, il ripristino dei dati, le indagini di conformità e la migrazione del contenuto. La funzionalità utente con privilegi avanzati garantisce che le persone e i servizi autorizzati possano sempre leggere ed esaminare i dati crittografati dal servizio Azure Rights Management per l'organizzazione.

Quando si usa un gruppo per designare account utente con privilegi avanzati, l'appartenenza a tale gruppo deve essere controllata e limitata con attenzione, ad esempio agli account di servizio usati dagli strumenti di conformità o dalle piattaforme eDiscovery. A meno che non si abbia una funzionalità o un'esigenza aziendale che richiede l'abilitazione costante della funzionalità, Microsoft consiglia di mantenere la funzionalità disabilitata per impostazione predefinita e abilitarla solo quando necessario. Quando si usa un gruppo per designare account utente con privilegi avanzati, usare Microsoft Entra Privileged Identity Management (PIM) per ridurre i rischi abilitando l'accesso JIT quando necessario e riducendo al minimo i privilegi permanenti.

Azione correttiva

Le analisi su richiesta sono configurate per l'individuazione di informazioni riservate

Gli elementi in SharePoint, OneDrive e nei dispositivi vengono valutati e classificati quando vengono modificati o toccati. Se non vengono modificati e rientrano nell'ambito di un criterio di Microsoft Purview, rimangono non classificati e invisibili ai criteri di Microsoft Purview. Le analisi su richiesta consentono di attivare manualmente la valutazione degli elementi nelle posizioni di SharePoint, OneDrive o Dispositivi specificate per individuare e classificare il contenuto cronologico. In questo modo è possibile ottenere una visione più completa del comportamento di protezione delle informazioni.

Azione correttiva

OCR è abilitato per il rilevamento di informazioni riservate

OCR (riconoscimento ottico dei caratteri) estende il tipo di informazioni riservate e il rilevamento dei classificatori sottoponibili a training alle immagini nei dispositivi Exchange, SharePoint, OneDrive, Teams ed endpoint. Senza OCR, i criteri DLP e i criteri di etichettatura automatica non possono analizzare il contenuto basato su immagini, i documenti analizzati, gli screenshot e le fatture, lasciando i dati sensibili nelle immagini non protetti. OCR richiede Azure fatturazione con pagamento in base al consumo per Microsoft Syntex ed è configurato a livello di tenant.

Azione correttiva

I tipi di informazioni sensibili personalizzati sono configurati

I tipi di informazioni sensibili personalizzati (SIT) estendono la capacità di Microsoft Purview di rilevare informazioni sensibili oltre i SIT predefiniti per coprire modelli di dati specifici dell'organizzazione, identificatori proprietari, schemi di classificazione interni, codici del settore specializzati o altri formati che i SIT predefiniti non cercano. Usarle per creare regole di rilevamento personalizzate in linea con le esigenze specifiche di protezione dei dati dell'organizzazione, garantendo che le informazioni più sensibili vengano identificate e protette in modo accurato.

Azione correttiva

La corrispondenza esatta dei dati è configurata per il rilevamento di informazioni riservate

Exact data match (EDM) è un tipo di informazioni sensibili avanzato che rileva i dati specifici dell'organizzazione associando valori esatti a un database di riferimento caricato. A differenza dei tipi di informazioni sensibili (SIT) basati su pattern che rilevano formati comuni, EDM identifica elementi come elenchi di clienti, ID dipendenti o codici proprietari univoci per l'organizzazione. Configurando i SIT basati su EDM, è possibile migliorare significativamente l'accuratezza del rilevamento delle informazioni sensibili in Microsoft Purview, garantendo che i dati critici siano identificati e protetti correttamente.

Azione correttiva

I tipi di informazioni sensibili delle entità denominate vengono usati nei criteri di prevenzione dell'etichettatura automatica e della perdita dei dati

I tipi di informazioni sensibili alle entità denominate sono classificatori Microsoft predefiniti che rilevano entità sensibili comuni come nomi, indirizzi fisici e terminologia medica. Estendono la protezione dei dati oltre la corrispondenza dei criteri nella classificazione compatibile con il contesto e possono essere usati nei criteri di etichettatura automatica e nelle regole DLP senza sviluppo personalizzato.

Azione correttiva

I classificatori sottoponibili a training vengono usati nei criteri di prevenzione e etichettatura automatica della perdita di dati

I classificatori sottoponibili a training sono classificatori basati su Machine Learning che riconoscono il contenuto in base al significato e al contesto anziché ai modelli fissi. A differenza dei tipi di informazioni sensibili che corrispondono a formati predefiniti, i classificatori sottoponibili a training possono identificare contenuti non strutturati come piani strategici, report finanziari o documenti delle risorse umane. L'uso di classificatori sottoponibili a training nei criteri di etichettatura automatica e nelle regole di prevenzione della perdita dei dati estende la protezione ai contenuti aziendali sensibili che le regole basate su pattern non possono acquisire in modo affidabile.

Azione correttiva

La registrazione di controllo di Purview è abilitata

Controllare la registrazione in Microsoft 365 registra quali utenti e amministratori hanno eseguito l'accesso ai dati sensibili, quando si sono verificate violazioni dei criteri e quali azioni amministrative hanno eseguito in Microsoft 365. Quando i log di controllo sono disponibili, i team di sicurezza possono analizzare gli eventi imprevisti, eseguire l'individuazione elettronica per indagini e casi legali, rilevare le minacce insider e dimostrare i controlli ai revisori e alle autorità di regolamentazione usando soluzioni di controllo di Microsoft Purview.

La registrazione di controllo è attivata per impostazione predefinita per le organizzazioni di Microsoft 365, ma è possibile disattivarla. Se si disattiva la registrazione di controllo, gli attori delle minacce possono spesso operare inosservati e la risposta agli eventi imprevisti diventa impossibile a causa della mancanza di prove. Le organizzazioni che non abilitano la registrazione di controllo rischiano anche di non rispettare i requisiti normativi che impongono la registrazione delle attività per le operazioni sensibili.

Azione correttiva

Le etichette di riservatezza sono configurate

Le etichette di riservatezza sono alla base di Microsoft Purview Information Protection. Consentono alle organizzazioni di classificare e proteggere i dati sensibili in Microsoft 365, posizioni locali e applicazioni non Microsoft.

Senza etichette di riservatezza, le organizzazioni non hanno un modo standardizzato per proteggere i propri dati, lasciando i dati vulnerabili ad accessi e condivisioni non autorizzati. Una tassonomia delle etichette ben progettata include in genere 3-7 etichette di primo livello: troppe etichette sovraccaricano gli utenti e riducono l'efficacia.

Azione correttiva

La pubblicazione di troppe etichette a livello globale crea confusione e paralisi decisionale per gli utenti, riducendo l'adozione e aumentando la classificazione errata. Quando gli utenti devono affrontare più di 25 etichette, hanno difficoltà a identificare la classificazione appropriata, causando etichette errate o evitando completamente la funzionalità.

Microsoft consiglia non più di 25 etichette nei criteri globali, idealmente organizzate come cinque etichette principali con un massimo di cinque etichette secondarie ognuna. Usare criteri con ambito per pubblicare etichette specializzate solo per utenti, gruppi o reparti specifici, mantenendo il set di etichette globale incentrato sugli scenari comuni.

Azione correttiva

Le etichette di riservatezza con crittografia sono configurate

Senza crittografia, le etichette di riservatezza indicano il livello di riservatezza di un elemento senza impedire l'accesso non autorizzato, a meno che non siano integrate da un altro meccanismo di protezione. Le etichette di riservatezza configurate per applicare la crittografia dal servizio Azure Rights Management applicano il controllo di accesso e i diritti di utilizzo. Questa protezione viene mantenuta indipendentemente dalla posizione in cui il contenuto viene archiviato o condiviso. Ad esempio, gli utenti possono comunque condividere un documento etichettato come "Riservato", ma se l'etichetta applica la crittografia, gli utenti non autorizzati non saranno in grado di aprirlo.

Le organizzazioni che usano etichette senza crittografia ottengono visibilità sul livello di riservatezza, ma le etichette stesse non hanno un'imposizione tecnica. Le etichette che applicano la crittografia garantiscono che solo gli utenti autorizzati possano decrittografare il contenuto e usarlo con eventuali restrizioni specificate per tale utente. Ad esempio, di sola lettura o impedisci la copia. Questa protezione consente di impedire l'esfiltrazione dei dati anche se i file vengono persi o condivisi in modo non corretto. È necessario configurare almeno un'etichetta di riservatezza per applicare la crittografia per i dati di valore elevato che richiedono protezione oltre a identificare il livello di riservatezza.

Azione correttiva

Le etichette di crittografia a chiave doppia sono configurate

Double Key Encryption (DKE) offre un ulteriore livello di protezione per i dati altamente sensibili richiedendo due chiavi per decrittografare il contenuto: una gestita da Microsoft e una dal cliente. Questo approccio "hold your own key" garantisce che Microsoft non sia in grado di decrittografare il contenuto anche con l'obbligo legale, rispettando i rigorosi requisiti normativi per la sovranità dei dati.

Tuttavia, DKE introduce una notevole complessità operativa, tra cui l'infrastruttura del servizio chiave dedicata, la riduzione della compatibilità delle funzionalità e l'aumento del carico di supporto. Le organizzazioni devono mantenere 1-3 etichette riservate a dati veramente cruciali o fortemente regolamentati, con una motivazione aziendale documentata per ogni etichetta DKE. Usare la crittografia standard per il contenuto aziendale generale. Le etichette DKE eccessive (4 o più) creano sovraccarico di gestione, confusione degli utenti e riducono la collaborazione. DKE non deve mai essere distribuito su larga scala, poiché l'indisponibilità del servizio chiave impedisce l'accesso ai documenti business critical.

Azione correttiva

La creazione condivisa è abilitata per i documenti crittografati

Quando la creazione condivisa non è abilitata per i documenti protetti da etichette di riservatezza che applicano la crittografia, solo una persona può modificare il file alla volta quando usa le app desktop di Office. Di conseguenza, ciò può rallentare i team, rendendo la collaborazione difficile e ritardando il completamento del progetto. Questa limitazione è particolarmente complessa per i gruppi che lavorano su progetti sensibili che richiedono la crittografia per la privacy, ma devono anche collaborare in modo efficiente.

L'attivazione della creazione condivisa per i file crittografati con etichette di riservatezza consente a diversi utenti autorizzati di modificare il file contemporaneamente nelle app desktop di Office. A meno che non sia possibile assicurarsi che tutti gli utenti modifichino questi file usando Office per il web, questa modifica rimuove il rallentamento della richiesta di estrazione e consente ai team di collaborare in modo efficiente senza sacrificare la sicurezza. L'impostazione di creazione condivisa potrebbe anche essere un requisito per altre funzionalità di etichettatura.

Azione correttiva

Le etichette dei contenitori sono configurate per Teams, gruppi e siti

Le etichette contenitore estendono le etichette di riservatezza oltre i singoli elementi a intere aree di lavoro di collaborazione come Microsoft Teams, Gruppi di Microsoft 365 e siti di SharePoint. Queste etichette controllano le impostazioni a livello di area di lavoro, ad esempio la condivisione esterna, l'accesso guest, le restrizioni dei dispositivi e la privacy.

Senza etichette contenitore, gli utenti potrebbero essere in grado di creare Teams con accesso guest esterno anche quando gestiscono informazioni riservate. Questa azione crea rischi di esfiltrazione dei dati in cui i documenti etichettati correttamente esistono in aree di lavoro protette in modo non corretto. Le etichette dei contenitori consentono di garantire che la sicurezza dell'area di lavoro corrisponda alla riservatezza del contenuto archiviato, ad esempio impedire che i documenti etichettati come "Altamente riservato" risiedano nei siti di Teams che consentono la condivisione esterna.

Azione correttiva

Le etichette di riservatezza sono abilitate in SharePoint

Quando l'integrazione delle etichette di riservatezza è disabilitata (impostazione predefinita) in SharePoint, i file in SharePoint e OneDrive non possono essere etichettati o visualizzare etichette esistenti e non possono trarre vantaggio dalla protezione aggiuntiva delle etichette di riservatezza che applicano la crittografia. Questo gap di protezione lascia i file sensibili non classificati e vulnerabili all'accesso non autorizzato e alla condivisione esterna.

L'abilitazione delle etichette di riservatezza in SharePoint consente agli utenti di applicare etichette usando Office per il web e SharePoint. È anche un requisito per l'etichettatura predefinita per queste posizioni e per i criteri di etichettatura automatica che possono classificare automaticamente i file. Le etichette di riservatezza per questi file possono anche rafforzare la sicurezza per Microsoft 365 Copilot e essere usate con criteri di prevenzione della perdita dei dati e altre soluzioni Microsoft Purview.

Azione correttiva

L'etichettatura PDF è abilitata in SharePoint

Quando l'etichettatura PDF è disabilitata (impostazione predefinita) in SharePoint, i file PDF non possono essere etichettati o visualizzare etichette esistenti, creando un divario di protezione. A differenza dei file di Office, i file PDF possono circolare esternamente senza marcatori di classificazione visibili, rendendo impossibile per i destinatari determinare i requisiti di gestione o per i criteri di prevenzione della perdita dei dati (DLP) per rilevare il contenuto sensibile.

L'abilitazione dell'etichettatura PDF per SharePoint e OneDrive estende il supporto delle etichette di riservatezza ai PDF, consentendo agli utenti di applicare etichette usando Office per il web e SharePoint e supporta altri metodi di etichettatura, ad esempio i criteri di etichettatura automatica per classificare automaticamente il contenuto PDF.

Azione correttiva

I criteri delle etichette di riservatezza vengono pubblicati per gli utenti

Le etichette devono essere pubblicate usando i criteri di etichetta prima che gli utenti possano applicarle agli elementi, ad esempio file, messaggi di posta elettronica e riunioni. I criteri di etichetta definiscono quali utenti ricevono le etichette, impostano il comportamento di etichettatura predefinito e altri requisiti di etichettatura. Senza i criteri pubblicati, le etichette di riservatezza rimangono non disponibili per gli utenti.

Azione correttiva

Un'etichetta di riservatezza predefinita è configurata nei criteri di etichetta

L'impostazione di un'etichetta predefinita garantisce un livello di base di impostazioni di protezione per tutti gli elementi nuovi e modificati che supportano le etichette di riservatezza e per i nuovi contenitori, ad esempio Teams. Se necessario, gli utenti possono eseguire manualmente l'override dell'etichetta e altri metodi di etichettatura, ad esempio l'etichettatura automatica, possono sostituire l'etichetta predefinita con un'etichetta con un livello di riservatezza superiore. L'impostazione di un'etichetta di riservatezza predefinita estende la portata dell'etichettatura e riduce l'affaticamento delle decisioni per gli utenti, garantendo che il contenuto abbia almeno un livello minimo di protezione.

Il contenuto senza etichetta potrebbe ignorare i criteri di prevenzione della perdita dei dati e altre soluzioni di protezione basate sul rilevamento delle etichette. Se appropriato, impostare un'etichetta di riservatezza predefinita diversa per i documenti non etichettati e Loop componenti e pagine, messaggi di posta elettronica e inviti alle riunioni, nuovi contenitori e anche un'etichetta predefinita per il contenuto di Power BI.

Azione correttiva

L'etichettatura obbligatoria è abilitata nei criteri delle etichette di riservatezza

L'impostazione dei criteri Richiedi agli utenti di applicare un'etichetta garantisce che sia necessario applicare un'etichetta di riservatezza prima che gli utenti possano salvare file e inviare messaggi di posta elettronica o inviti alle riunioni, creare nuovi gruppi o siti e usare il contenuto di Power BI. Questa impostazione impedisce inoltre agli utenti di rimuovere completamente un'etichetta di riservatezza. Gli elementi non etichettati creano rischi per la sicurezza e la conformità. Ad esempio, gli attori delle minacce possono esfiltrare dati sensibili che potrebbero essere impediti da soluzioni di protezione attivate in base al rilevamento delle etichette.

Azione correttiva

Gli utenti devono fornire una giustificazione per effettuare il downgrade delle etichette di riservatezza

Quando agli utenti non è richiesto di fornire una giustificazione per la modifica di un'etichetta, possono sostituire automaticamente un'etichetta con un'etichetta con una sensibilità inferiore. Ad esempio, sostituire l'etichetta "Riservato" che applica impostazioni di protezione aggiuntive, con "Generale". Questa azione crea rischi per la sicurezza e la conformità. La richiesta di un motivo di giustificazione rende questo rischio più ovvio per gli utenti e li obbliga a fornire un motivo come audit trail visibile.

Gli account compromessi o i dipendenti in partenza potrebbero effettuare il downgrade delle etichette per abilitare l'esfiltrazione dei dati. La richiesta di giustificazione è un controllo leggero che aumenta la responsabilità con un basso impatto sui flussi di lavoro degli utenti.

Azione correttiva

Email i criteri di etichetta ereditano la riservatezza dagli allegati

Quando gli utenti collegano documenti sensibili ai messaggi di posta elettronica, il messaggio di posta elettronica deve ereditare l'etichetta di riservatezza più alta dagli allegati per mantenere una protezione coerente. Senza questa impostazione abilitata, gli utenti potrebbero inviare messaggi di posta elettronica non etichettati che contengono allegati sensibili, creando una mancata corrispondenza tra la riservatezza del messaggio e il relativo contenuto effettivo.

Email'ereditarietà delle etichette applica automaticamente l'etichetta con priorità più alta dell'allegato al messaggio di posta elettronica, assicurando che i livelli di protezione corrispondano e impedendo l'esposizione accidentale dei dati.

Azione correttiva

Le etichette di riservatezza predefinite sono configurate per le raccolte documenti di SharePoint

Quando si configura SharePoint con un'etichetta predefinita per le raccolte documenti, tutti i nuovi file caricati in tale raccolta o i file esistenti modificati nella raccolta avranno l'etichetta applicata se non hanno già un'etichetta di riservatezza o hanno un'etichetta di riservatezza ma con priorità inferiore. Questa etichettatura basata sulla posizione offre un livello di protezione di base e una forma di etichettatura automatica senza ispezione del contenuto. Quando i file non sono etichettati, i file importanti possono ignorare la protezione e rimanere vulnerabili.

Questa configurazione è più adatta per le raccolte documenti che contengono file con lo stesso livello di riservatezza. Può essere integrato con criteri di etichettatura automatica che usano l'ispezione del contenuto e l'etichettatura manuale con un'etichetta di riservatezza con priorità più alta, se necessario.

Azione correttiva

I criteri di etichettatura automatica sono configurati per tutti i carichi di lavoro

L'etichettatura automatica estende notevolmente la copertura di etichettatura, etichettando automaticamente gli elementi in base all'ispezione del contenuto. Quando si fa affidamento solo sull'etichettatura manuale, gli utenti potrebbero non sempre riconoscere ciò che conta come dati sensibili o potrebbe dimenticare di etichettare le informazioni durante le attività quotidiane. Le etichette predefinite offrono una baseline di protezione, ma non prendono in considerazione il contenuto che richiede un livello di protezione superiore. Ciò comporta lacune nella classificazione, consentendo al contenuto sensibile di spostarsi tra le applicazioni di Microsoft 365 senza etichette o protezione appropriate.

È possibile configurare le impostazioni di etichettatura automatica per le etichette che si attivano quando gli utenti aprono i file nelle app di Office e i criteri di etichettatura automatica che non richiedono interazioni utente. La configurazione di almeno un criterio di etichettatura automatica per rilevare il contenuto sensibile etichetta automaticamente questo contenuto, indipendentemente dalle azioni eseguite dalle persone. A sua volta, questo contenuto etichettato può essere usato con altre soluzioni Microsoft Purview per aumentare la sicurezza, ad esempio le regole di prevenzione della perdita dei dati (DLP) e le restrizioni di accesso.

Azione correttiva

I criteri di etichettatura automatica sono in modalità di imposizione

Quando i criteri di etichettatura automatica vengono lasciati in modalità di simulazione, non si sta rendendo conto della protezione dall'etichettatura dei dati. Di conseguenza, gli utenti e i servizi non possono adottare misure protettive aggiuntive per proteggere i dati sensibili identificati. Ad esempio, gli utenti non vedranno nelle proprie app di Office che un file è etichettato come Altamente riservato. Le regole di prevenzione della perdita dei dati possono usare etichette di riservatezza per impedire la condivisione con utenti esterni e altre azioni rischiose. I dati etichettati offrono anche un ulteriore livello di protezione quando si usano Microsoft 365 Copilot.

Per assicurarsi che le informazioni sensibili vengano etichettate automaticamente, attivare almeno un criterio di etichettatura automatica. L'attivazione dei criteri di etichettatura automatica dopo i test di simulazione mette in vigore misure protettive e inizia a ridurre i rischi.

Azione correttiva

I criteri di etichettatura automatica sono abilitati per SharePoint e OneDrive

Quando l'etichettatura automatica per SharePoint e OneDrive non è configurata, i file caricati senza etichette di riservatezza potrebbero non essere visibili ai criteri DLP (Data Loss Protection) che si basano sulle etichette. Di conseguenza, questi file possono spostarsi nell'ambiente con meno misure di sicurezza, il che può aumentare il rischio di condivisione o accesso inappropriato.

Ad esempio, l'abilitazione di almeno un criterio di etichettatura automatica in modalità di imposizione per SharePoint e OneDrive consente di classificare i file sensibili quando gli utenti li creano o li modificano. La classificazione di etichettatura automatica supporta le protezioni downstream, ad esempio i criteri DLP, in modo che possano rispondere in base alla sensibilità del file e contribuire a ridurre il rischio di esposizione ai dati.

Azione correttiva

Microsoft Purview Message Encryption è configurato con accesso client semplificato

L'impostazione SimplifiedClientAccessEnabled controlla se il pulsante Proteggi viene visualizzato in Outlook sul web. Questo pulsante consente agli utenti di aggiungere rapidamente la crittografia ai messaggi di posta elettronica. Se l'impostazione non è attivata, gli utenti non possono usare il pulsante Proteggi e devono trovare altri modi per crittografare i messaggi.

Per abilitare questa impostazione, anche AzureRMSLicensingEnabled deve essere attivo. Azure servizio di crittografia Rights Management fornisce la tecnologia di crittografia necessaria per il funzionamento del pulsante Proteggi.

Azione correttiva

I modelli di personalizzazione personalizzati sono configurati per Microsoft Purview Message Encryption

Quando un'organizzazione non usa modelli di personalizzazione personalizzati, gli utenti esterni all'azienda che ricevono messaggi crittografati potrebbero visualizzare un portale generico con marchio Microsoft. Poiché il portale non riflette l'identità dell'organizzazione, i destinatari possono essere meno sicuri della provenienza del messaggio.

I modelli di personalizzazione personalizzati consentono alle organizzazioni di aggiungere il logo, i colori, le dichiarazioni di non responsabilità e i dettagli di contatto al portale. Questi elementi consentono al portale di acquisire familiarità con i destinatari e possono supportare l'attendibilità quando visualizzano e interagiscono con i messaggi crittografati.

Azione correttiva

Email criteri di conservazione sono configurati

Senza criteri di conservazione, i messaggi di posta elettronica persistono a tempo indeterminato nelle cassette postali degli utenti, creando responsabilità per violazioni normative (GDPR, HIPAA, SOX), maggiori costi di eDiscovery e spese di archiviazione non controllate.

I criteri di conservazione gestiscono automaticamente il ciclo di vita della posta elettronica eliminando o preservando i messaggi in base ai requisiti di conformità, riducendo i rischi legali e garantendo il rispetto degli obblighi normativi di conservazione dei record.

Azione correttiva

Le regole del flusso di posta applicano la protezione dei diritti ai messaggi sensibili

Senza regole del flusso di posta, le organizzazioni dipendono dagli utenti per applicare manualmente le etichette di riservatezza o crittografare i messaggi. Questo approccio può causare incoerenze ed errori, che possono comportare l'invio di messaggi di posta elettronica sensibili senza una protezione adeguata e aumentare il rischio di accesso non autorizzato ed esfiltrazione dei dati.

Le regole del flusso di posta consentono di aggiungere automaticamente la crittografia e impostare le autorizzazioni per i messaggi di posta elettronica che soddisfano determinate condizioni, ad esempio:

  • Posta inviata a persone esterne all'azienda
  • Posta che contiene informazioni riservate
  • Posta elettronica che deve soddisfare i requisiti basati sul reparto
    In questo modo si garantisce che i messaggi importanti vengano protetti senza affidarsi agli utenti per proteggerli manualmente.

Azione correttiva

I criteri di prevenzione della perdita dei dati sono abilitati

I criteri DLP consentono di identificare, monitorare e proteggere automaticamente le informazioni sensibili nelle applicazioni aziendali & dispositivi e nei dati del traffico Web inline. I criteri di prevenzione della perdita dei dati agiscono su un'ampia gamma di posizioni, metodi di trasmissione dei dati e tipi di attività utente. Proteggendo le informazioni sensibili, i criteri DLP consentono di evitare perdite di dati, garantire la conformità alle normative e mantenere la riservatezza dei dati dell'organizzazione.

Azione correttiva

I criteri di prevenzione della perdita di dati degli endpoint sono configurati

I criteri di prevenzione della perdita di dati degli endpoint consentono di proteggere dall'uscita di informazioni riservate dai dispositivi utente a varie posizioni, ad esempio:

  • Unità USB
  • Stampanti
  • Applicazioni esterne
  • Supporti rimovibili
  • App Bluetooth
  • Richiamo di Windows
  • Copia nell'interfaccia della riga di comando
  • Incolla in doamin non consentiti

Si integra con Microsoft Defender per endpoint per:

  • Monitorare le attività di gestione dei dati
  • Impedire l'esfiltrazione dei dati non autorizzata in tempo reale

Azione correttiva

Protezione adattiva è abilitata nei criteri di prevenzione della perdita dei dati

Con Protezione adattiva, le organizzazioni possono applicare i controlli corretti agli utenti giusti in base al rischio del loro comportamento.

Protezione adattiva in Microsoft Purview integra Gestione dei rischi Insider Microsoft Purview Machine Learning con Prevenzione della perdita dei dati Microsoft Purview (DLP). Quando il rischio Insider identifica un utente che si impegna in un comportamento rischioso, viene assegnato dinamicamente a un livello di rischio interno. Protezione adattiva può quindi creare automaticamente criteri DLP per proteggere l'organizzazione dal comportamento rischioso associato a tale livello di rischio. Man mano che i livelli di rischio Insider degli utenti cambiano nella gestione dei rischi Insider, i criteri di prevenzione della perdita dei dati applicati agli utenti possono essere modificati.

Azione correttiva

La prevenzione della perdita di dati del browser è abilitata per le app di intelligenza artificiale tramite Edge for Business

Il monitoraggio e la protezione Prevenzione della perdita dei dati Microsoft Purview (DLP) sono integrati direttamente nel browser Microsoft Edge for Business. Non è necessario eseguire l'onboarding del dispositivo in Microsoft Purview. Questa integrazione consente di impedire agli utenti di condividere informazioni sensibili da e verso le app cloud usando Edge for Business. Con l'aumento delle applicazioni di intelligenza artificiale, questa funzionalità è fondamentale per impedire agli utenti di condividere informazioni sensibili con app di intelligenza artificiale non gestite tramite Edge for Business, con possibili perdite di dati e rischi di conformità. Abilitando la prevenzione della perdita dei dati del browser per le app di intelligenza artificiale tramite Edge for Business, è possibile estendere i criteri di protezione dei dati per coprire le interazioni basate sul Web, garantendo che i dati sensibili vengano protetti anche quando si accede tramite il browser.

Azione correttiva

I criteri di gestione dei rischi Insider sono abilitati per l'utilizzo rischioso dell'IA

Fino a quando le organizzazioni non usano Insider Risk Management con Protezione adattiva, potrebbero non riuscire a rilevare minacce insider, comportamenti rischiosi come l'uso improprio dell'accesso legittimo ai dati esfiltrati o scenari di intelligenza artificiale non sicuri in cui gli utenti espongono dati sensibili a modelli linguistici di grandi dimensioni o servizi di intelligenza artificiale cloud non autorizzati.

Insider Risk Management collabora con prevenzione della perdita dei dati (DLP) per combinare i segnali di comportamento degli utenti con regole basate sul contenuto, consentendo ai team di rilevare i rischi in anticipo e rispondere prima che i dati sensibili vengano esposti o compromessi.

Azione correttiva

Il monitoraggio della conformità delle comunicazioni è configurato per Microsoft Copilot

Finché le organizzazioni non configurano i criteri di conformità delle comunicazioni per acquisire le interazioni copilot, non possono vedere quando gli utenti espongono dati sensibili ai servizi di intelligenza artificiale. Inoltre, non possono indicare come le persone usano Copilot con informazioni riservate o individuare possibili violazioni dei criteri. Di conseguenza, gli utenti possono condividere inconsapevolmente i record dei clienti, i dati finanziari, il codice sorgente o i segreti commerciali con i servizi di intelligenza artificiale.

I criteri di conformità delle comunicazioni incentrati sulle interazioni Copilot offrono alle organizzazioni una chiara supervisione dell'uso dell'IA nel rispetto dei controlli della privacy. Questi criteri illustrano come gli utenti usano i dati sensibili nelle funzionalità di intelligenza artificiale e garantiscono che i team seguano i requisiti di conformità e governance dei dati.

Azione correttiva

Il monitoraggio della conformità delle comunicazioni è configurato per gli strumenti di intelligenza artificiale aziendali

I criteri di raccolta forniscono il livello di inserimento dati che supporta il monitoraggio dell'attività dell'app per intelligenza artificiale aziendale. Quando questi criteri sono in vigore, Conformità delle comunicazioni può raccogliere segnali dalle interazioni con le app per intelligenza artificiale e aiutare le organizzazioni a comprendere dove possono esistere rischi di protezione dei dati nei flussi di lavoro abilitati per l'intelligenza artificiale. Questa visibilità consente ai team di applicare i controlli di protezione dei dati in modo più coerente man mano che l'uso dell'intelligenza artificiale si espande oltre Microsoft 365 Copilot.

In pratica, gli utenti possono condividere accidentalmente dati sensibili con applicazioni di intelligenza artificiale personalizzate, flussi di Power Automate, automazioni di AI Builder o servizi non Microsoft AI che non sono approvati per gestire le informazioni riservate. Tuttavia, i criteri di conformità delle comunicazioni che riguardano le interazioni delle app di intelligenza artificiale aziendali possono aiutare a individuare potenziali esposizioni di dati a questi servizi ed estendere le procedure di protezione dei dati a soluzioni di intelligenza artificiale personalizzate e di terze parti.

Azione correttiva

Contenuto correlato

  • Last updated on