Attivazione del servizio di protezione da Azure Information Protection

Questo articolo descrive come gli amministratori possono attivare il servizio di protezione Azure Rights Management per Azure Information Protection (AIP). Quando il servizio di protezione viene attivato per l'organizzazione, gli amministratori e gli utenti possono iniziare a proteggere i dati importanti usando applicazioni e servizi che supportano questa soluzione di protezione delle informazioni. Amministrazione istrator può anche gestire e monitorare documenti e messaggi di posta elettronica protetti di proprietà dell'organizzazione.

Queste informazioni di configurazione in questo articolo sono destinate agli amministratori responsabili di un servizio che si applica a tutti gli utenti di un'organizzazione. Se si cercano informazioni e guida per l'utente per usare la funzionalità Rights Management per un'applicazione specifica o come aprire un file o un messaggio di posta elettronica protetto da diritti, usare la Guida e le indicazioni che accompagnano l'applicazione.

Attivazione automatica per Azure Rights Management

Quando si dispone di un piano di servizio che include Azure Rights Management, potrebbe non essere necessario attivare il servizio:

  • Se la sottoscrizione che include Azure Rights Management o Azure Information Protection è stata ottenuta alla fine di febbraio 2018 o versione successiva: il servizio viene attivato automaticamente. Non è necessario attivare il servizio a meno che l'utente o un altro amministratore globale per l'organizzazione non abbia disattivato Azure Rights Management.

  • Se la sottoscrizione che include Azure Rights Management o Azure Information Protection è stata ottenuta prima o durante il mese di febbraio 2018: Microsoft attiva il servizio Azure Rights Management per queste sottoscrizioni se il tenant usa Exchange Online. Per queste sottoscrizioni, il servizio verrà attivato automaticamente, a meno che non si noti che AutomaticServiceUpdateEnabled è impostato su false quando si esegue Get-IRMConfiguration.

Se nessuno degli scenari elencati si applica all'utente, è necessario attivare manualmente il servizio di protezione.

Come attivare o confermare lo stato del servizio protezione

Importante

Non attivare il servizio protezione se è stato distribuito Active Directory Rights Management Services (AD RMS) per l'organizzazione. Ulteriori informazioni

Per attivare il servizio di protezione, l'organizzazione deve avere un piano di servizio che include il servizio Azure Rights Management di Azure Information Protection. Per altre informazioni, vedere Linee guida sulle licenze di Microsoft 365 per la sicurezza e la conformità.

Quando il servizio protezione è attivato, tutti gli utenti dell'organizzazione possono applicare la protezione delle informazioni ai documenti e ai messaggi di posta elettronica e tutti gli utenti possono aprire (utilizzare) documenti e messaggi di posta elettronica protetti da questo servizio. Tuttavia, se si preferisce, è possibile limitare gli utenti che possono applicare la protezione delle informazioni usando i controlli di onboarding per una distribuzione in più fasi. Per altre informazioni, vedere la sezione Configurazione dei controlli di onboarding per una distribuzione in più fasi in questo articolo.

Attivare la protezione tramite PowerShell

È necessario usare PowerShell per attivare il servizio di protezione Rights Management (Azure RMS). Non è più possibile attivare o disattivare questo servizio dal portale di Azure.

  1. Installare il modulo AIPService per configurare e gestire il servizio protezione. Per istruzioni, vedere Installazione del modulo PowerShell AIPService.

  2. Da una sessione di PowerShell eseguire Connessione-AipService e, quando richiesto, specificare i dettagli dell'account Amministrazione istrator globali per il tenant di Azure Information Protection.

  3. Eseguire Get-AipService per verificare se il servizio di protezione è attivato. Lo stato Abilitato conferma l'attivazione; Disabled indica che il servizio è disattivato.

  4. Per attivare il servizio, eseguire Enable-AipService.

Configurazione dei controlli di onboarding per una distribuzione in più fasi

Se non si vuole che tutti gli utenti possano proteggere immediatamente documenti e messaggi di posta elettronica usando Azure Information Protection, è possibile configurare i controlli di onboarding degli utenti usando il comando Set-AipServiceOnboardingControlPolicy di PowerShell. È possibile eseguire questo comando prima o dopo l'attivazione del servizio Azure Rights Management.

Ad esempio, se inizialmente si vuole che solo gli amministratori nel gruppo "reparto IT" (con ID oggetto fbb99ded-32a0-45f1-b038-38b519009503) siano in grado di proteggere il contenuto a scopo di test, usare il comando seguente:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Si noti che per questa opzione di configurazione è necessario specificare un gruppo; non è possibile specificare singoli utenti. Per ottenere l'ID oggetto per il gruppo, è possibile usare Microsoft Graph PowerShell, ad esempio per la versione 1.0 del modulo, usare il comando Get-MgGroup . In alternativa, è possibile copiare il valore OBJECT ID del gruppo dal portale di Azure.

In alternativa, se si vuole assicurarsi che solo gli utenti con licenza corretta per l'uso di Azure Information Protection possano proteggere il contenuto:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Quando non è più necessario usare i controlli di onboarding, indipendentemente dal fatto che sia stata usata l'opzione di gruppo o di licenza, eseguire:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Per altre informazioni su questo cmdlet e altri esempi, vedere la Guida Set-AipServiceOnboardingControlPolicy .

Quando si usano questi controlli di onboarding, tutti gli utenti dell'organizzazione possono usare sempre contenuto protetto protetto dal sottoinsieme di utenti, ma non potranno applicare la protezione delle informazioni dalle applicazioni client. Le applicazioni lato server, ad esempio Exchange, possono implementare i propri controlli per utente per ottenere lo stesso risultato. Ad esempio, per impedire agli utenti di proteggere i messaggi di posta elettronica in Outlook sul web, usare Set-OwaMailboxPolicy per impostare il parametro IRMEnabled su $false.

Passaggi successivi

Ora che il servizio di protezione è attivato per l'organizzazione, le app e i servizi possono applicare la crittografia per proteggere i dati. Uno dei modi più semplici per applicare la crittografia consiste nell'usare le etichette di riservatezza di Microsoft Purview Information Protection.