Come etichettare i siti in Microsoft 365

Non posso dirti quante volte i clienti mi hanno chiesto se possiamo aiutarli ad applicare etichette di sensibilità su larga scala ai dati inattivi in SharePoint Online. Purtroppo, ho dovuto dire loro che c'è veramente solo un'opzione, e non è affatto semplice. Fino ad oggi, non esiste un'API che permetta a un utente finale di applicare direttamente un'etichetta di sensibilità a un file in un sito SharePoint Online, quindi l'unica vera opzione è scaricare il file localmente, applicare l'etichetta e poi caricare nuovamente il file. Probabilmente non devo spiegare le innumerevoli ragioni che rendono questo approccio meno che ideale, come i costi di uscita e i problemi di latenza.

Fortunatamente, sta arrivando un'altra opzione. Microsoft ha rilasciato una funzionalità in anteprima che permette di assegnare etichette di sensibilità a Microsoft teams, Microsoft 365 groups e SharePoint sites. Questo fornisce la protezione dell'etichetta a livello di contenitore, applicando la classificazione e le impostazioni di protezione configurate al sito o al gruppo. Una cosa importante da notare inizialmente è che oggi, i contenuti in questi contenitori non ereditano l'etichetta per la classificazione o le impostazioni per file ed email. Tuttavia, Tony Themelis, MIP Principal PM Manager, indica che Microsoft sta pianificando di aggiungere la capacità per le etichette dei siti di etichettare automaticamente tutti i file all'interno del sito.

In questo post del blog, vi guiderò su come applicare un'etichetta di sensibilità a un sito SharePoint Online, sia tramite l'interfaccia utente che utilizzando PowerShell.

Una breve panoramica delle etichette di sensibilità

Le etichette di sensibilità esistono da parecchio tempo, essendo evolute da ciò che una volta era Information Rights Management a Azure Information Protection fino alla loro attuale collocazione nel Microsoft 365 Security and Compliance Center. Lo scopo di queste etichette è garantire che solo le persone autorizzate possano visualizzare e accedere ai contenuti protetti. Le etichette possono fornire anche una protezione aggiuntiva, inclusa la marcatura dei contenuti, l'impostazione delle politiche di conservazione e la disabilitazione dell'accesso offline

Il tuo livello di licenza determinerà se le etichette devono essere applicate manualmente dall'utente finale o se possono essere applicate automaticamente in base ai tipi di informazioni sensibili definiti. Leggi di più su come creare un'etichetta e classificare i contenuti in base al tipo di informazione nel nostro articolo sul blog.

Prima di addentrarci completamente, credo sia importante sottolineare che Microsoft ha impostato un limite giornaliero di 100 azioni Apply label per app per tenant per proteggere i clienti dall'applicare erroneamente un'etichetta a un gran numero di file. Questo limite può essere modificato ma è necessario aprire un ticket di assistenza per farlo.

Applicazione di Sensitivity Labels ai contenitori

Per applicare etichette ai contenitori con Microsoft 365, sarà prima necessario un amministratore per abilitare l'anteprima in Azure AD. Questo può essere realizzato tramite PowerShell seguendo i passaggi sottostanti.

Come abilitare AzureADPreview e creare impostazioni a livello di Directory

• Passaggio 1. Disinstallare le versioni precedenti del modulo AzureADPreview:

      Uninstall-Module AzureADPreview
      

• Passaggio 2. Installa il modulo AzureADPreview:

      Install-Module AzureADPreview -AllowClobberx`
Import-Module AzureADPreview
      

• Passaggio 3. Connettersi al tenant di Azure e creare le impostazioni a livello di directory. Sono necessarie le credenziali di amministratore per completare questo passaggio.

      Connect-AzureAD
Get-AzureADDirectorySettingTemplate
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value 
$TemplateId -EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting
$Setting.Values
      

Opzioni di configurazione aggiuntive abilitate

Una volta attivato, vedrai le seguenti opzioni di configurazione aggiuntive quando crei o modifichi etichette di sensibilità esistenti nel Microsoft 365 Security & Compliance Center:

• Ambito: Una nuova opzione Gruppi & Siti che consente di applicare l'etichetta di sensibilità a livello del contenitore:

Immagine 1: Ambito dell'etichetta di sensibilità

• Impostazioni di protezione: Impostazioni di protezione specifiche che si applicano solo a Microsoft teams, gruppi e siti:

Immagine 2: Impostazioni di protezione per Teams, Groups e Sites

• Impostazioni della privacy: Impostazioni della privacy che si applicano solo ai team etichettati e ai gruppi Microsoft 365:

Immagine 3: Impostazioni di Privacy e Accesso Utenti Esterni

• Impostazioni di condivisione: Impostazioni specifiche di condivisione esterna applicabili ai siti etichettati:

Immagine 4: Impostazioni di Condivisione Esterna e Accesso ai Dispositivi

Applicazione di un'etichetta a un sito

Applicazione manuale di un'etichetta

Una volta configurate le etichette applicabili a livello di contenitore, è possibile utilizzare le impostazioni del sito per applicarle facilmente sia a un sito esistente che a un nuovo sito che si sta creando. Il menu a discesa Sensitivity mostrerà tutte le etichette di sensibilità disponibili a livello di contenitore:

Immagine 5: Applicazione di un'etichetta di sensibilità a un sito

Applicazione di un'etichetta tramite programmazione

Per applicare etichette di sensibilità ai siti in modo programmatico utilizzando PowerShell, segui questi passaggi:

• Passaggio 1. Connettersi al tenant di SharePoint Online utilizzando un account amministratore:

Connect-SPOService -Url ‘https://TENANT-admin.sharepoint.com’

• Passaggio 2. Connettiti al Security and Compliance Center utilizzando un account amministratore:

Connect-IPPSSession -UserPrincipalName USERNAME@TENANT.ONMICROSOFT.COM

• Passaggio 3. Esegui il comando Get-Label per recuperare l'elenco delle etichette disponibili:

PS C:Windowssystem32> Get-Label |ft Name, Guid, ContentType

      Name                                 Guid                                 ContentType                   
----                                 ----                                 -----------                   
HIPAA                                9da4a767-6a34-4345-a2bd-a60d841bdcce File, Email                   
Internal Only                        78576ad9-1724-48b3-b915-00b8c9d23323 File, Email                   
GDPR - IP Constraint                 9085e9a5-8d63-4498-a7a8-e63ae1d3cecd File, Email                    
IsSensitive                          f23e934d-7df0-4964-a85e-512fa1893fad File, Email                   
Test                                 2ca82bb8-364a-4878-bb2b-ee6229b5a380 File, Email                   
Confidential                         61f58b80-cb9d-457f-a2c2-f4d870e415de File, Email, Site, UnifiedGroup
936bffcc-298b-440f-84d3-1b0f839b0a73 936bffcc-298b-440f-84d3-1b0f839b0a73 File, Email                   
2a341499-bcbe-47e5-ad00-de254ed4bf45 2a341499-bcbe-47e5-ad00-de254ed4bf45 File, Email                   
66a5a032-508e-45ee-861f-2a7887180b60 66a5a032-508e-45ee-861f-2a7887180b60 File, Email                   
d95145c9-3f29-4ed1-ad28-5abc75c9aa29 d95145c9-3f29-4ed1-ad28-5abc75c9aa29 File, Email
      

Le etichette appena create avranno un ContentType di “File, Email, Site, UnifiedGroup”.

• Passaggio 4. Applica l'etichetta al sito utilizzando la Label Guide:

Set-SPOSite –Identity “https://TENANT.sharepoint.com/sites/SupportTeam” –SensitivityLabel ’61f58b80-cb9d-457f-a2c2-f4d870e415de’

Assicurati di usare il comando Get-SPOSite per verificare che l'etichetta di sensibilità sia stata applicata:

      PS C:Windowssystem32> get-sposite "https://TENANT.sharepoint.com/teams/SupportTeam" | Select SensitivityLabel
SensitivityLabel                   
----------------                   
61f58b80-cb9d-457f-a2c2-f4d870e415de
      

Come appaiono le etichette agli utenti finali

Una volta che un sito è etichettato, l'etichetta sarà visibile agli utenti finali mentre navigano nel sito:

Immagine 6: Come vengono mostrate le etichette di sensibilità agli utenti finali

Come gli amministratori possono rivedere i siti e le etichette di sensibilità

È possibile visualizzare l'elenco dei siti e delle etichette di sensibilità associate utilizzando la pagina Active sites nel centro di amministrazione di SharePoint:

Immagine 7: Visualizzazione dei siti e delle etichette di sensibilità nel SharePoint Admin Center

Considerazioni Finali

Questa funzionalità di anteprima rappresenta un enorme vantaggio per chiunque abbia avuto difficoltà a classificare e proteggere i propri dati inattivi in Microsoft 365. Sebbene l'obiettivo finale sia raggiungere la protezione a livello di file, le etichette a livello di contenitore consentono alle organizzazioni di applicare la classificazione e configurare le impostazioni di protezione in modo granulare per siti e gruppi specifici al fine di evitare restrizioni non necessarie che potrebbero ostacolare sia la produttività che la sicurezza.

Le organizzazioni che cercano di etichettare e proteggere i contenuti in SharePoint Online in base alla sensibilità dei dati — specialmente quelle che non dispongono della licenza E5 che fornisce la capacità di etichettatura automatica — dovrebbero considerare l'utilizzo di una piattaforma come StealthAUDIT, che può aiutare a identificare i contenuti sensibili in SharePoint e applicare anche etichette di sensibilità appropriate a siti e gruppi su larga scala.