Applica automaticamente le etichette di classificazione ai file di Drive con le regole DLP

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Fundamentals, Education Standard ed Education Plus. Confronta la tua versione

Le funzionalità DLP per Drive e Chat sono disponibili per gli utenti di Cloud Identity Premium che hanno anche una licenza Google Workspace. Per la funzionalità DLP per Drive, la licenza deve includere gli eventi del log di Drive.

In qualità di amministratore, puoi utilizzare le regole per la prevenzione della perdita di dati (DLP) per applicare automaticamente etichette ai file di Drive in base al rilevamento di contenuti sensibili. I nomi delle etichette e dei dati citati negli esempi di questo articolo non corrispondono a dati reali nativi di Gestore etichette o della funzionalità DLP.

Utilizza le etichette nelle condizioni delle regole DLP di Drive

Puoi utilizzare le etichette di classificazione nelle condizioni delle regole.

Sono supportate le seguenti condizioni:

  • Verifica della presenza di un'etichetta.
  • Verifica della presenza di uno o più valori di campo dell'elenco Opzioni quando l'impostazione Consenti selezioni multiple dell'elenco Opzioni è disattivata.
  • Negazione delle condizioni precedenti.

Le seguenti condizioni non sono supportate:

  • Controlla i valori del campo Elenco opzioni quando l'impostazione Consenti selezioni multiple dell'elenco Opzioni è attivata.
  • Controlla i valori di altri tipi di campi, ad esempio Numero, Data, Testo o Persona.

Utilizza le etichette nelle azioni delle regole DLP di Drive

Utilizza l'etichetta di classificazione come azione DLP applicata automaticamente. Quando la regola DLP viene attivata, DLP applica le etichette come azione ai file di Drive che soddisfano i criteri della regola.

È supportata la seguente azione della regola:

  • Applicazione di un'etichetta e di un valore del campo elenco di opzioni quando l'impostazione Consenti selezioni multiple dell'elenco Opzioni è disattivata.

Le seguenti azioni delle regole non sono supportate:

  • Applicazione di un'etichetta, ma non di un valore del campo. Tuttavia, puoi configurare le impostazioni di classificazione predefinite per applicare un'etichetta ai file appena creati e ai file che cambiano proprietà. Per maggiori dettagli, vedi Applicare automaticamente le etichette di classificazione ai nuovi file.
  • Applicazione di un'etichetta e di un valore del campo elenco di opzioni quando l'impostazione Consenti selezioni multiple dell'elenco Opzioni è abilitata.
  • Applicazione di un'etichetta ad altri tipi di campi, ad esempio Numero, Data, Testo o Persona.

Prima di iniziare

Comprendere e creare etichette di classificazione

Per poter utilizzare le etichette di classificazione con le regole DLP di Drive:

  1. Comprendere lo scopo e la funzionalità delle etichette di classificazione. Per informazioni dettagliate, vai a Iniziare come amministratore delle etichette di classificazione.
  2. Creare etichette o sapere quali etichette esistenti utilizzare.

Utilizzare le regole DLP o la classificazione predefinita per applicare automaticamente le etichette

Utilizza le regole DLP se hai bisogno di usare condizioni o azioni specifiche per applicare le etichette. Se vuoi applicare etichette ai nuovi file solo se sono stati creati da utenti specifici, utilizza le etichette di classificazione predefinite.

Come funzionano le etichette di classificazione predefinite

  • Applica le etichette ai nuovi file e quando la proprietà di un file cambia. La classificazione predefinita non applica le etichette ai file esistenti in modo retroattivo, a meno che il proprietario del file non cambi.
  • Applica le etichette in base all'unità organizzativa o al gruppo del proprietario del file. La classificazione predefinita non esegue ricerche nei contenuti o nei metadati del file per determinate condizioni.
  • Se gli utenti hanno l'autorizzazione per modificare un'etichetta, possono modificarla o rimuoverla dopo che è stata applicata automaticamente.
  • Per la classificazione predefinita sono supportate solo le etichette con un campo di elenco di opzioni.
  • Le etichette di classificazione predefinite vengono sovrascritte da etichette impostate in base a DLP, anche se il valore di classificazione dei dati è più alto nell'elenco delle opzioni.

Come funzionano le etichette impostate dalle regole DLP

  • Applica le etichette ai file nuovi ed esistenti.
  • Applica le etichette in base a condizioni, ad esempio tipo di file, corrispondenze di parole e corrispondenze di stringhe.
  • Non puoi applicare un'etichetta con una regola DLP che utilizza un'etichetta come condizione.
  • Puoi impedire agli utenti di modificare l'etichetta, anche se hanno l'autorizzazione per farlo. Se eseguono modifiche, DLP eseguirà nuovamente la scansione del file e ripristinerà la configurazione delle etichette DLP.
  • Se la tua organizzazione ha una regola DLP che blocca la condivisione esterna, gli utenti esterni non possono visualizzare la cronologia delle versioni dei file a cui è stata applicata una regola DLP. Questa clausola include le regole DLP che applicano le etichette, ma non bloccano la condivisione esterna.
  • Le regole DLP possono applicare etichette con campi di elenco di opzioni, incluse le etichette con badge.

Come funzionano le etichette di classificazione AI

  • Applica le etichette ai file nuovi ed esistenti.
  • Per la classificazione AI sono supportate solo le etichette con un solo campo di elenco di opzioni con 2-7 valori.
  • Applica le etichette dopo un periodo di addestramento. Durante il periodo di addestramento, gli etichettatori designati applicano un'etichetta di addestramento ad almeno 100 file per opzione di campo.
  • Le etichette di classificazione AI vengono sovrascritte da etichette impostate in base a DLP, ma sovrascrivono le etichette di classificazione predefinite.

Scopri come vengono risolti i conflitti tra le regole

I valori delle etichette impostati dalle regole DLP hanno la priorità sulla classificazione AI ed entrambi hanno la priorità sulla classificazione predefinita.

Quando due o più regole dello stesso tipo tentano di applicare valori di etichetta diversi allo stesso file, viene applicato il valore più in alto nell'elenco di opzioni dell'etichetta. Ad esempio, potresti avere un'etichetta con un campo che ha tre opzioni elencate in Gestore etichette:

  1. Riservato
  2. Interno
  3. Pubblico

Se la Regola 1 cerca di impostare l'etichetta come Riservato, mentre la Regola 2 cerca di impostare l'etichetta come Pubblico per lo stesso file, viene applicato Riservato (Regola 1). Prima di configurare le regole, assicurati che le opzioni dei campi di un'etichetta siano elencate nell'ordine di priorità che preferisci.

Configurare una regola DLP di Drive per applicare un'etichetta di classificazione

Informazioni sul blocco delle etichette

Le etichette, i campi e le opzioni dei campi associati alle regole DLP sono bloccati in Gestore etichette. per impedire che etichette o campi vengano modificati in modo tale da violare i criteri aziendali. Per sbloccare un'etichetta, un campo o un'opzione, rimuovili da tutte le regole DLP.

Per quanto riguarda le modifiche in Gestore etichette, ad esempio:

  • È consentito rinominare o aggiungere nuovi campi o opzioni di campi.
  • Non è consentito disattivare né eliminare etichette, campi o opzioni di campi che sono utilizzati nelle regole DLP. Gli amministratori con il privilegio Gestione etichette possono vedere se un'etichetta è utilizzata in una regola, ma non possono vedere la regola stessa, a meno che non dispongano dei privilegi richiesti.

Non puoi creare regole DLP con etichette, campi o opzioni di campi disattivati, nemmeno nelle bozze di etichette pubblicate.

Annullare una modifica globale alle etichette di Drive

Se applichi accidentalmente un'etichetta (o un'etichetta e valori di campi) a un gran numero di file tramite una regola DLP, puoi utilizzare DLP per ripulire queste modifiche.

Per farlo, disattiva la regola DLP che ha applicato la modifica. La regola rimuove automaticamente l'etichetta e tutti i valori dei campi. In alternativa, modifica la regola DLP in questione per rimuovere l'azione Applica etichetta. In questo modo vengono rimossi anche l'etichetta e i valori dei campi applicati dalla regola. L'applicazione di questa modifica può richiedere alcuni minuti, qualche ora o ancora più tempo, a seconda della quantità di documenti che devono essere aggiornati.

Un'eccezione a questa pulizia si verifica se utilizzi l'opzione Scegli se gli utenti possono modificare le etichette e i valori dei campi applicati ai propri file e scegli Consenti. Le etichette e i campi modificati dalle regole DLP vengono rimossi, mentre le etichette e i valori dei campi modificati dagli utenti rimangono invariati.

Controllare gli eventi dei log di Drive per verificare le azioni

Se vuoi esaminare le modifiche apportate a un file, consulta il log di controllo di Drive. Nella colonna Descrizione evento sono elencate le azioni DLP, come Etichetta Contratto applicata da regola DLP. Per maggiori dettagli, vedi Eventi dei log di Drive.

Le analisi DLP stanno richiedendo più tempo del previsto. Che cosa succede?

L'uso di DLP per applicare automaticamente le etichette ti offre la possibilità di apportare modifiche a più documenti su Drive. Il numero dei file interessati potrebbe pertanto essere superiore al previsto. L'elaborazione delle regole che aggiornano un numero elevato di file può richiedere più tempo rispetto alle regole che interessano solo un numero di file ridotto. Ti consigliamo di provare una regola che applica un'etichetta su un campione di dimensioni ridotte, prima di implementarla in larga scala.