Pianificare e distribuire un ambiente di collaborazione file - SharePoint

Con i servizi Microsoft 365, è possibile creare un ambiente di collaborazione su file sicuro e produttivo per gli utenti. SharePoint supporta gran parte di questo, ma le funzionalità di collaborazione file in Microsoft 365 superano il tradizionale sito di SharePoint. Teams, OneDrive e un'ampia gamma di opzioni di governance e sicurezza svolgono tutti un ruolo importante nella creazione di un ambiente avanzato in cui gli utenti possono collaborare facilmente e in cui i contenuti sensibili dell'organizzazione rimangono sicuri.

Nelle sezioni seguenti vengono indicate le opzioni e le decisioni che l'amministratore deve prendere in considerazione quando si configura un ambiente di collaborazione:

  • Relazione di SharePoint con altri servizi di collaborazione in Microsoft 365, tra cui OneDrive, Gruppi di Microsoft 365 e Teams.

  • Come creare un ambiente di collaborazione intuitivo e produttivo per gli utenti.

  • Come proteggere i dati dell'organizzazione gestendo l'accesso tramite autorizzazioni, classificazioni dei dati, regole di governance e monitoraggio.

Questo fa parte della più ampia storia di collaborazione di Microsoft 365:

È consigliabile scaricare il poster microsoft teams e i relativi servizi di produttività in Microsoft 365 for IT Architects e farvi riferimento mentre si legge questo articolo. Questo poster fornisce illustrazioni dettagliate del modo in cui i servizi di collaborazione in Microsoft 365 sono correlati tra loro e interagiscono.

Creazione di un'esperienza di collaborazione riuscita

Le opzioni di implementazione tecnica scelte per la collaborazione sui file in Microsoft 365 dovrebbero bilanciare i requisiti che possono sembrare contraddittori:

  • Protezione della proprietà intellettuale

  • Abilitazione del self-service

  • Creazione di un'esperienza utente senza problemi

Protezione della proprietà intellettuale

Più avanti in questo articolo sono illustrate diverse opzioni per la protezione della proprietà intellettuale. Questi includono la limitazione degli utenti con cui è possibile condividere i file, l'applicazione di criteri di governance tramite etichette di riservatezza e la gestione dei dispositivi usati dagli utenti per accedere al contenuto.

Nel considerare le opzioni da scegliere, è consigliabile un approccio bilanciato:

Una configurazione che consente agli utenti di condividere contenuti liberamente può comportare una condivisione involontaria di dati riservati. Allo stesso tempo, un’esperienza utente complessa o troppo restrittiva può comportare l'individuazione di opzioni di collaborazione alternative che aggirano i criteri di governance, portando, infine, a un rischio ancora maggiore.

Usando una combinazione di funzionalità, a seconda della sensibilità dei dati, è possibile creare un ambiente di collaborazione facile da usare e che fornisce i controlli di sicurezza e controllo necessari.

Abilitazione del self-service

In Microsoft 365 è consigliabile consentire agli utenti di creare teams, gruppi di Microsoft 365 e siti di SharePoint in base alle esigenze. È possibile usare le etichette di riservatezza per applicare la governance delle autorizzazioni, sfruttare le funzionalità di conformità che proteggono il contenuto e usare i criteri di scadenza e rinnovo per assicurarsi che i siti inutilizzati non si accumulino.

Scegliendo le opzioni che favoriscono la modalità self-service da parte dell’utente, è possibile ridurre al minimo l'impatto sul personale IT e creare un'esperienza più semplice per gli utenti.

Creazione di un'esperienza utente senza problemi

La chiave per creare un'esperienza utente fluida è evitare di creare barriere per gli utenti che non conoscono o che devono passare all'help desk. Ad esempio, disattivare la condivisione esterna per un sito potrebbe causare confusione o frustrazione dell'utente; mentre l'etichettatura del sito e dei relativi contenuti come riservati e l'uso di suggerimenti e messaggi di posta elettronica per la prevenzione della perdita dei dati per informare gli utenti nei criteri di governance, possono portare a un'esperienza molto più fluida per loro.

SharePoint, Gruppi di Microsoft 365 e Teams

In SharePoint in Microsoft 365 ogni sito del team di SharePoint fa parte di un gruppo di Microsoft 365. Un gruppo di Microsoft 365 è un singolo gruppo di autorizzazioni associato a un'ampia gamma di servizi di Microsoft 365, tra cui un sito di SharePoint, un'istanza di Planner, una cassetta postale, un calendario condiviso e altri. Quando si aggiungono proprietari o membri al gruppo di Microsoft 365, viene loro concesso l'accesso al sito di SharePoint insieme agli altri servizi connessi.

Anche se è possibile continuare a gestire separatamente le autorizzazioni del sito di SharePoint usando i gruppi di SharePoint, è consigliabile gestire le autorizzazioni per SharePoint aggiungendo o rimuovendole dal gruppo di Microsoft 365 associato. In questo modo è possibile semplificare l'amministrazione e concedere agli utenti l'accesso a una serie di servizi correlati che possono usare per una migliore collaborazione.

Microsoft Teams offre un hub per la collaborazione che raggruppa tutti i servizi di Microsoft 365 correlati al gruppo, oltre a una serie di servizi specifici di Teams, in una singola esperienza utente con chat persistente. Teams usa il gruppo di Microsoft 365 associato per gestire le autorizzazioni. All'interno dell'esperienza di Microsoft Teams, gli utenti possono accedere direttamente a SharePoint e agli altri servizi senza dover passare a un’altra applicazione. Si tratta di uno spazio di collaborazione centralizzato con un'unica posizione in cui gestire le autorizzazioni. Teams usa il sito di SharePoint connesso al gruppo di Microsoft 365 per i file nei canali standard e crea siti di SharePoint separati per ogni canale privato o condiviso. Per gli scenari di collaborazione nell'organizzazione, è consigliabile usare Teams anziché usare servizi come SharePoint in modo indipendente.

Per informazioni dettagliate sull'interazione tra SharePoint e Teams, vedere Overview of Teams and SharePoint integration e Manage settings and permissions when SharePoint and Teams are integrated.

Collaborazione nelle applicazioni client

Le applicazioni di Office, ad esempio Word, Excel e PowerPoint, offrono un'ampia gamma di funzionalità di collaborazione, tra cui la creazione condivisa e @mentions, e sono integrate anche con le etichette di riservatezza e la prevenzione della perdita dei dati (illustrata di seguito).

È consigliabile distribuire Microsoft 365 Apps for enterprise. Microsoft 365 Apps for Enterprise offre un'esperienza sempre aggiornata per gli utenti, con le funzionalità e gli aggiornamenti più recenti forniti in base a una pianificazione che è possibile controllare.

Per informazioni dettagliate sulla distribuzione di Microsoft 365 Apps for enterprise, vedere Guida alla distribuzione per Microsoft 365 Apps.

Librerie di OneDrive

Mentre SharePoint fornisce librerie condivise per i file condivisi a cui i team possono collaborare, gli utenti hanno anche una singola libreria in OneDrive in cui possono archiviare i file di cui sono proprietari.

Quando un utente aggiunge un file a OneDrive, tale file non viene condiviso con altri utenti. OneDrive offre le stesse funzionalità di condivisione di SharePoint, in modo che gli utenti possano condividere i file in OneDrive in base alle esigenze.

È possibile accedere alla singola libreria di un utente da Teams, nonché dall'interfaccia Web di OneDrive e dall'applicazione per dispositivi mobili.

Nei dispositivi che eseguono Windows o macOS, gli utenti possono installare l'app di sincronizzazione di OneDrive per sincronizzare i file da OneDrive e SharePoint al disco locale. Ciò consente loro di lavorare su file offline e offre anche la comodità di aprire i file nella loro applicazione nativa (ad esempio Word o Excel) senza la necessità di passare all'interfaccia Web.

Le due decisioni principali da prendere in considerazione per l'uso di OneDrive negli scenari di collaborazione sono:

Queste impostazioni sono disponibili nell'interfaccia di amministrazione di SharePoint.

Protezione dei dati

Una parte importante di una soluzione di collaborazione di successo consiste nel garantire che i dati dell'organizzazione rimangano sicuri. Microsoft 365 offre un'ampia gamma di funzionalità che consentono di proteggere i dati e di garantire agli utenti un'esperienza di collaborazione senza problemi.

Per proteggere le informazioni dell'organizzazione, è possibile:

  • Condivisione dei controlli : configurando le impostazioni di condivisione per ogni sito appropriate per il tipo di informazioni nel sito, è possibile creare uno spazio di collaborazione per gli utenti proteggendo al tempo stesso la proprietà intellettuale.

  • Classificare e proteggere le informazioni : classificando i tipi di informazioni nell'organizzazione, è possibile creare criteri di governance che offrono livelli di sicurezza più elevati alle informazioni riservate rispetto alle informazioni che devono essere condivise liberamente.

  • Gestire i dispositivi : con la gestione dei dispositivi, è possibile controllare l'accesso alle informazioni in base al dispositivo, alla posizione e ad altri parametri.

  • Monitorare l'attività : monitorando l'attività di collaborazione che si verifica in Teams e SharePoint, è possibile ottenere informazioni dettagliate sul modo in cui vengono usate le informazioni dell'organizzazione. È anche possibile impostare avvisi per contrassegnare attività sospette.

  • Protezione dalle minacce : usando criteri per rilevare file dannosi in SharePoint, OneDrive e Teams, è possibile garantire la sicurezza dei dati e della rete dell'organizzazione.

Questi sono descritti in modo più dettagliato di seguito. Ci sono molte opzioni tra cui scegliere. A seconda delle esigenze dell'organizzazione, è possibile scegliere le opzioni che offrono il miglior equilibrio tra sicurezza e usabilità. Se si è in un settore altamente regolamentato o si lavora con dati altamente riservati, è possibile che si vogliano mettere in atto più controlli; mentre se le informazioni dell'organizzazione non sono sensibili, è possibile basarsi su impostazioni di condivisione di base e avvisi di file dannosi.

Condivisione dei controlli

Le impostazioni di condivisione configurate per SharePoint e OneDrive determinano con chi possono collaborare gli utenti, sia all'interno che all'esterno dell'organizzazione. A seconda delle esigenze aziendali e della sensibilità dei dati, è possibile:

  • Non consentire la condivisione con persone esterne all'organizzazione.

  • Richiedere l'autenticazione di persone esterne all'organizzazione.

  • Limitare la condivisione ai domini specificati.

È possibile configurare queste impostazioni per l'intera organizzazione o per ogni sito in modo indipendente (ad eccezione dei siti di canale privati o condivisi). Per informazioni dettagliate, vedere Attivare o disattivare la condivisione e Attivare o disattivare la condivisione per un sito.

Per altre indicazioni sulla condivisione con persone esterne all'organizzazione, vedere Limitare l'esposizione accidentale ai file durante la condivisione con gli utenti guest .

Quando gli utenti condividono file e cartelle, viene creato un collegamento condivisibile con autorizzazioni per l'elemento. Esistono tre tipi di collegamento principali:

  • Chiunque : collegamenti che funzionano per chiunque e non richiedono l'accesso
  • Persone nell'organizzazione : collegamenti che funzionano per gli utenti dell'organizzazione
  • Persone specifiche : collegamenti che funzionano per le persone specificate al momento della creazione del collegamento

Per altre informazioni su questi tipi di collegamento, vedere Funzionamento dei collegamenti condivisibili in OneDrive e SharePoint in Microsoft 365.

Accesso non autenticato con collegamenti Chiunque

Tutti i collegamenti sono un ottimo modo per condividere facilmente file e cartelle con persone esterne all'organizzazione. Tuttavia, se si condividono informazioni sensibili, questa potrebbe non essere l'opzione migliore.

Se è necessario che gli utenti esterni all'organizzazione eseguano l'autenticazione, i collegamenti chiunque non saranno disponibili per gli utenti e sarà possibile controllare l'attività guest in cartelle e file condivisi.

Anche se i collegamenti chiunque non richiedono l'autenticazione di persone esterne all'organizzazione, è possibile tenere traccia dell'utilizzo dei collegamenti Chiunque e revocare l'accesso, se necessario.

Se si desidera consentire collegamenti di tipo Chiunque, sono disponibili diverse opzioni per un'esperienza di condivisione più sicura.

È possibile limitare i collegamenti di tipo Chiunque alla sola lettura. È anche possibile impostare un limite di tempo di scadenza, dopo il quale il collegamento smetterà di funzionare.

Un'altra opzione consiste nel configurare un tipo di collegamento diverso da visualizzare all'utente per impostazione predefinita. Può essere utile per ridurre al minimo le possibilità di condivisione impropria. Ad esempio, se si desidera consentire i collegamenti Chiunque , ma si è preoccupati che vengano usati solo per scopi specifici, è possibile impostare il tipo di collegamento predefinito su Collegamenti utenti specifici o Contatti nell'organizzazione anziché collegamenti chiunque . Gli utenti dovranno quindi selezionare esplicitamente i collegamenti di tipo Chiunque quando condivideranno un file o una cartella.

È anche possibile usare la prevenzione della perdita di dati per limitare l'accesso dei collegamenti chiunque ai file che contengono informazioni riservate.

Collegamenti agli utenti dell'organizzazione

I collegamenti degli utenti dell'organizzazione sono un ottimo modo per condividere informazioni all'interno dell'organizzazione. I collegamenti di tipo Persone nell'organizzazione funzionano per tutti i membri dell'organizzazione, quindi gli utenti possono condividere file e cartelle con persone che non fanno parte di un team o con i membri di un sito. Il collegamento, se riscattato, consente l'accesso al file o alla cartella specifica e può essere passato all'interno dell'organizzazione. In questo modo è possibile collaborare facilmente con gli stakeholder di gruppi che possono avere team o siti separati, ad esempio gruppi di progettazione, marketing e supporto tecnico.

La creazione di un collegamento Persone nell'organizzazione non consentirà di visualizzare il file o la cartella associata nei risultati della ricerca, di essere accessibile tramite Copilot o di concedere l'accesso a tutti gli utenti all'interno dell'organizzazione. La semplice creazione di questo collegamento non consente l'accesso al contenuto a livello aziendale. Per consentire agli utenti di accedere al file o alla cartella, devono avere il collegamento e devono essere attivati tramite il riscatto. Un utente può riscattare il collegamento facendo clic su di esso o, in alcuni casi, il collegamento può essere riscattato automaticamente quando viene inviato a un utente tramite posta elettronica, chat o altri metodi di comunicazione. Il collegamento non funziona per utenti guest o altre persone esterne all'organizzazione.

Collegamenti di persone specifiche

I collegamenti utenti specifici sono ideali per le circostanze in cui gli utenti vogliono limitare l'accesso a un file o a una cartella. Il collegamento funziona solo per la persona specificata e deve eseguire l'autenticazione per usarlo. Questi collegamenti possono essere interni o esterni (se è stata abilitata la condivisione guest).

Classificare e proteggere le informazioni

Microsoft Purview Data Loss Prevention consente di classificare team, gruppi, siti e documenti e di creare una serie di condizioni, azioni ed eccezioni per gestire il modo in cui vengono usati e condivisi.

Classificando le informazioni e creando regole di governance, è possibile creare un ambiente di collaborazione in cui gli utenti possono lavorare facilmente tra loro senza condividere accidentalmente o intenzionalmente informazioni sensibili in modo inappropriato.

Con i criteri di prevenzione della perdita dei dati, è possibile essere relativamente liberali con le impostazioni di condivisione per un determinato sito e basarsi sulla prevenzione della perdita di dati per applicare i requisiti di governance. Ciò offre un'esperienza utente più semplice ed evita restrizioni non necessarie che gli utenti potrebbero provare a risolvere.

Per informazioni dettagliate sulla prevenzione della perdita di dati, vedere Informazioni sulla prevenzione della perdita dei dati.

Etichette di riservatezza

Le etichette di riservatezza consentono di classificare team, gruppi, siti e documenti con etichette descrittive che possono quindi essere usate per applicare un flusso di lavoro di governance.

L'uso delle etichette di riservatezza consente agli utenti di condividere le informazioni in modo sicuro e di mantenere i criteri di governance senza la necessità che gli utenti diventino esperti in tali criteri.

Ad esempio, è possibile configurare un criterio che richiede che i gruppi di Microsoft 365 classificati come riservati siano privati anziché pubblici. In questo caso, un utente che crea un gruppo, un team o un sito di SharePoint vedrà l'opzione "privata" solo quando sceglie una classificazione di riservato. Per informazioni sull'uso di etichette di riservatezza con team, gruppi e siti, vedere Usare le etichette di riservatezza per proteggere il contenuto in Microsoft Teams, gruppi di Microsoft 365 e siti di SharePoint

Condizioni e azioni

Con le condizioni e le azioni di protezione dalla perdita di dati, è possibile applicare un flusso di lavoro di governance quando viene soddisfatta una determinata condizione.

Alcuni esempi:

  • Se le informazioni sui clienti vengono rilevate in un documento, gli utenti non possono condividere il documento con i guest.

  • Se un documento contiene il nome di un progetto riservato, i guest non possono aprire il documento anche se è stato condiviso con loro.

Per altre informazioni, vedere Informazioni sulla prevenzione della perdita di dati

Accesso condizionale

L'accesso condizionale di Microsoft Entra offre controlli aggiuntivi per impedire agli utenti di accedere alle risorse dell'organizzazione in situazioni rischiose, ad esempio da posizioni non attendibili o da dispositivi non aggiornati.

Alcuni esempi:

  • Impedire agli utenti guest di accedere da posizioni rischiose

  • Richiedere l'autenticazione a più fattori per i dispositivi mobili

È possibile creare criteri di accesso specifici per gli utenti guest, consentendo la mitigazione dei rischi per le persone che molto probabilmente hanno dispositivi non gestiti.

Per informazioni dettagliate, vedere Che cos'è l'accesso condizionale?.

Monitoraggio con report

In Microsoft 365 sono disponibili diversi report che consentono di monitorare l'utilizzo del sito, la condivisione dei documenti, la conformità alla governance e una serie di altri eventi.

Per informazioni su come visualizzare i report sull'utilizzo del sito di SharePoint, vedere Report di Microsoft 365 nell'interfaccia di amministrazione - Utilizzo del sito di SharePoint.

Per informazioni su come visualizzare i report di prevenzione della perdita dei dati, vedi Visualizzare i report per la prevenzione della perdita di dati.

Per informazioni sui report che consentono di monitorare la condivisione del contenuto, vedere Report sulla governance dell'accesso ai dati per i siti di SharePoint.

Creare un ambiente di condivisione guest sicuro

Procedure consigliate per la condivisione di file e cartelle con utenti non autenticati

Panoramica di Microsoft Syntex - Gestione avanzata di SharePoint