In questa guida andremo ad affrontare la parte più importante quando si crea un’etichetta di riservatezza, ovvero la configurazione delle impostazioni di cifratura.
Questa risulta essere la parte più importante perché identifica il grado di riservatezza di un file, definendo la cifratura e quindi le persone che potranno accedere al file etichettato con specifici livelli di accesso.
Per procedere ad attivare l’opzione di crittografia sarà necessario, durante la creazione di un’etichetta, selezionare la voce “Controllo dell’accesso”.

Continuando alla schermata successiva avremo due opzioni:
- A. Rimuovi le impostazioni di controllo di accesso se già applicate agli elementi
- B. Configura le impostazioni di controllo di accesso

A. Rimuovi le impostazioni di controllo di accesso se già applicate agli elementi (Rimuozione della cifratura)
Selezionando la voce “Rimuovi le impostazioni di controllo di accesso se già applicate agli elementi”, questa opzione permetterà di rimuovere la cifratura dai file che la presentano.
Nota importante
Questa opzione ha senso qualora si decida che le limitazioni applicate siano troppo restrittive. In questo caso è possibile modificare la configurazione dell’etichetta in modo che rimuova la cifratura invece di applicarla.
A quel punto tutti i documenti che hanno quell’etichetta verranno decifrati e saranno accessibili a chiunque.

B. Configura le impostazioni di controllo di accesso (Applicazione della cifratura)
Selezionando la voce “Configura le impostazioni di controllo di accesso”, questa opzione permetterà di applicare la cifratura ai file etichettati.

-
B.1 Prima di arrivare alla scelta dei permessi
L’amministratore dovrà decidere se il file avrà una data di scadenza per l’accesso.
L’amministratore può scegliere una tra le tre opzioni disponibili:

-
Mai

-
In una data specifica

-
Un certo numero di giorni dopo l’applicazione dell’etichetta
In quest’ultimo caso sarà possibile scegliere un valore massimo di 100 giorni, dopo il quale il file non sarà più accessibile.

-
-
B.2 Accesso offline
Sarà poi necessario scegliere se consentire o meno l’accesso offline al file.
Sono presenti tre opzioni:

-
Mai
Questa impostazione è fondamentale perché il servizio di cifratura, ovvero Information Rights Management (IRM), funziona principalmente tramite connettività Internet.
Quando un file viene aperto, il computer deve contattare i server Microsoft per verificare se l’utente ha permessi di accesso validi. Se non è presente connettività, il file non potrà essere aperto.

-
Sempre
È possibile permettere l’accesso offline alle proprie utenze, ad esempio per persone che viaggiano spesso per lavoro e che potrebbero trovarsi senza connessione (come in aereo o in alcune tratte ferroviarie).
La gestione dell’accesso offline viene effettuata tramite il token presente nelle applicazioni di Microsoft 365.
Nell’angolo in alto a destra delle applicazioni è indicato l’utente con cui si è connessi e con cui sono stati attivati i programmi. Quando si è offline, viene utilizzato quel token per validare o meno l’accesso al file.

-
Solo per un certo numero di giorni
Questa impostazione rappresenta una via di mezzo tra le precedenti: l’utente potrà accedere offline al file, ma solo entro un intervallo temporale definito dall’amministratore.
Anche in questo caso il limite massimo è 100 giorni.

-
-
B.3 Metodologia di assegnazione dei permessi
A questo punto l’amministratore dovrà scegliere con quale metodologia applicare i permessi di cifratura.
Esistono due metodi:
- C. Assegnare ora le autorizzazioni
- D. Consentire agli utenti di assegnare autorizzazioni quando applicano l’etichetta

B.3.C. Assegnare ora le autorizzazioni (Permessi definiti dall’amministratore)
Qualora l’amministratore abbia scelto la voce “Assegnare ora le autorizzazioni”, dovrà procedere nel seguente modo.

-
B.3.C.1 Definizione degli utenti
L’amministratore dovrà definire a quali persone applicare il permesso.
Per fare questo dovrà cliccare su “Assegna autorizzazioni”.

-
B.3.C.2 Scelta dei destinatari
Una volta cliccato, sarà possibile scegliere a chi fornire i permessi.

Sono presenti quattro opzioni:
-
Aggiungi qualsiasi utente autenticato
Permette di concedere l’accesso a chiunque riesca a completare il processo di autenticazione.
-
Aggiungi tutti gli utenti e i gruppi dell’organizzazione
Si applica a tutti i membri dell’organizzazione, quindi a tutte le utenze presenti nel tenant.
-
Aggiungere utenti o gruppi
Permette di selezionare utenti e gruppi specifici del tenant.
-
Aggiungi indirizzi e-mail o domini specifici
Permette di selezionare indirizzi email o domini esterni al tenant, come visibile dall’immagine seguente.

-
-
B.3.C.3 Livelli di accesso
Una volta scelto a chi applicare il permesso, si procederà a definire i livelli di accesso.
Microsoft definisce quattro livelli di permesso principali:

-
Proprietario (Owner)
Permette di avere il controllo completo del file, sia in modifica sia a livello di restrizioni. Con questo ruolo è anche possibile modificare l’etichetta assegnata.

-
Editor
Permette di modificare il file ed estrarre il contenuto. Consente inoltre stampa e copia-incolla del contenuto in altri file.

-
Editor con Restrizioni (Restricted editor)
Permette di modificare il file solo al suo interno. Screenshot, copia del contenuto verso altri documenti o stampa vengono bloccati.

-
Visualizzatore
Permette solo la visualizzazione del contenuto senza modificarlo.

-
Personalizzato
Permette di definire permessi specifici, tenendo conto delle dipendenze tra i vari permessi.

-
-
B.3.C.4 Verifica delle autorizzazioni
Una volta aggiunti differenti permessi per i vari utenti, questi verranno visualizzati nella maniera seguente:

B.3.D. Consentire agli utenti di assegnare autorizzazioni quando applicano l’etichetta
L’amministratore, per comodità o per l’impossibilità di prevedere tutte le casistiche di condivisione di un file, può permettere agli utenti di definire autonomamente chi potrà accedere ai file, anche tra utenti esterni all’organizzazione.

-
B.3.D.1 Gestione della cifratura delle email
L’amministratore potrà scegliere come gestire la cifratura delle email, spuntando la voce seguente.

Le opzioni disponibili per la gestione della cifratura delle email sono:
-
Solo crittografia
La mail inviata dall’utente sarà cifrata e condivisa in modo sicuro, così che solo il destinatario possa leggerla.
Una volta decifrata, tuttavia, il destinatario potrà modificarla o inoltrarla a terzi.

-
Non inoltrare
La mail viene cifrata e il destinatario non potrà inoltrarla né modificare i destinatari.
Potrà solo rispondere ai mittenti originali.
Essendo la mail cifrata, anche lo screenshot del contenuto risulta impossibile.

-
-
B.3.D.2 Applicazione della cifratura ai file
Una volta scelta la modalità di gestione delle email, l’amministratore potrà decidere se l’utente potrà applicare la cifratura anche ai propri file, selezionando la voce “Richiedere agli utenti di specificare le autorizzazioni in Word, PowerPoint ed Excel”.
È quindi possibile permettere agli utenti di applicare la cifratura ai file della suite Office (Excel, Word e PowerPoint) definendo direttamente i livelli di accesso.

Terminata la configurazione, gli utenti, una volta che applicheranno l’etichetta che demanda loro l’assegnazione dei permessi, avranno la seguente schermata all’interno dei loro applicativi.

Da questa schermata potranno assegnare i seguenti permessi:
- Viewer
- Restricted editor
- Editor
- Owner
Nota importante:
Il ruolo Owner non può essere rimosso, perché l’utente che etichetta il file avrà sempre i permessi per accedere ai propri file.
Non esiste quindi uno scenario in cui un utente possa perdere completamente l’accesso a un file che ha etichettato.
Anche nel caso in cui l’etichetta applichi la cifratura a un gruppo che non comprende quell’utente, egli continuerà ad avere accesso al file in quanto Owner.
All’interno dei vari campi potranno inserire utenti interni al tenant di appartenenza, che verranno suggeriti sulla base delle maggiori interazioni avute con uno specifico account, oppure potranno dare il permesso a tutta l’organizzazione. Volendo potranno anche inserire utenti esterni: questi utenti esterni possono essere specifici, ovvero indirizzi mail, oppure generici, ovvero il solo dominio dell’organizzazione.
Di seguito la lista specifica dei permessi applicabili:
-
utenti interni, che saranno disponibili sulla base della vostra rubrica aziendale (GAL)

-
tutta l’organizzazione, potete selezionare la vostra organizzazione oppure inserire il dominio di organizzazioni esterne

-
utenti esterni, qualsiasi utente esterno alla vostra organizzazione

Nota importante:
Risulta essere ovviamente possibile procedere ad aggiungere più indirizzi ai vari permessi, pertanto vi è la possibilità di aggiungere più utenti esterni, come da esempio sottostante, oppure è possibile procedere ad aggiungere più domini esterni ed utenti interni per la singola voce di permesso. Al momento non esistono limitazioni nella combinazione delle utenze e domini che possono avere accesso al file cifrato.

Per approfondire quanto spiegato in questa guida, puoi guardare il mio video su YouTube, dove illustro e racconto tutti i concetti sopra descritti.
Guarda il video qui