Attivazione del servizio protezione da Azure Information Protection
Questo articolo descrive come gli amministratori possono attivare il servizio protezione di Azure Rights Management per Azure Information Protection (AIP). Quando il servizio protezione viene attivato per l'organizzazione, gli amministratori e gli utenti possono iniziare a proteggere i dati importanti usando applicazioni e servizi che supportano questa soluzione di protezione delle informazioni. Gli amministratori possono anche gestire e monitorare i documenti e i messaggi di posta elettronica protetti di proprietà dell'azienda.
Queste informazioni di configurazione in questo articolo sono destinate agli amministratori responsabili di un servizio che si applica a tutti gli utenti di un'organizzazione. Per informazioni su come usare la funzionalità Rights Management per una specifica applicazione o aprire un file o un messaggio di posta elettronica protetto da diritti, vedere la guida e le informazioni aggiuntive fornite con l'applicazione.
Per il supporto tecnico e altre domande sul servizio, vedere le informazioni riportate in Opzioni di supporto e risorse per la community.
Attivazione automatica per Azure Rights Management
Quando si dispone di un piano di servizio che include Azure Rights Management, potrebbe non essere necessario attivare il servizio:
Se la sottoscrizione che include Azure Rights Management o Azure Information Protection è stata ottenuta alla fine di febbraio 2018 o successiva: il servizio viene attivato automaticamente. Non è necessario attivare il servizio, a meno che Azure Rights Management sia stato disattivato dall'utente o da un altro amministratore globale.
Se la sottoscrizione che include Azure Rights Management o Azure Information Protection è stata ottenuta prima o durante il mese di febbraio 2018: Microsoft attiva il servizio Azure Rights Management per queste sottoscrizioni se il tenant usa Exchange Online. Per queste sottoscrizioni, il servizio verrà attivato a meno che non si noti che AutomaticServiceUpdateEnabled è impostato su false quando si esegue Get-IRMConfiguration.
Se nessuno degli scenari elencati si applica all'utente, è necessario attivare manualmente il servizio protezione.
Come attivare o confermare lo stato del servizio protezione
Importante
Non attivare il servizio protezione se è stato distribuito Active Directory Rights Management Services (AD RMS) per l'organizzazione. Altre informazioni
Per attivare il servizio protezione, l'organizzazione deve avere un piano di servizio che include il servizio Azure Rights Management da Azure Information Protection. Per altre informazioni, vedere Linee guida sulle licenze di Microsoft 365 per la conformità alla sicurezza&.
Quando il servizio protezione viene attivato, tutti gli utenti dell'organizzazione possono applicare la protezione delle informazioni ai documenti e ai messaggi di posta elettronica e tutti gli utenti possono aprire (utilizzare) documenti e messaggi di posta elettronica protetti da questo servizio. Se si preferisce, tuttavia, è possibile limitare l'applicazione della protezione delle informazioni solo ad alcuni utenti, usando i controlli di selezione utenti per una distribuzione graduale. Per altre informazioni, vedere la sezione Configurazione dei controlli di selezione utenti per una distribuzione graduale di questo articolo.
Attivare la protezione tramite PowerShell
È necessario usare PowerShell per attivare il servizio protezione Rights Management (Azure RMS). Non è più possibile attivare o disattivare questo servizio dalla portale di Azure.
Installare il modulo AIPService per configurare e gestire il servizio protezione. Per istruzioni, vedere Installazione del modulo PowerShell di AIPService.
Da una sessione di PowerShell eseguire Connect-AipService e, quando richiesto, specificare i dettagli dell'account amministratore globale per il tenant di Azure Information Protection.
Eseguire Get-AipService per verificare se il servizio protezione è attivato. Lo stato Abilitato ne conferma l'attivazione; lo stato Disabilitato indica che il servizio è disattivato.
Per attivare il servizio, eseguire Enable-AipService.
Configurazione dei controlli di selezione utenti per una distribuzione graduale
Se non si vuole che tutti gli utenti possano proteggere immediatamente i documenti e i messaggi di posta elettronica usando Azure Information Protection, è possibile configurare i controlli di onboarding degli utenti usando il comando Set-AipServiceOnboardingControlPolicy PowerShell. È possibile eseguire questo comando prima o dopo l'attivazione del servizio Azure Rights Management.
Se, ad esempio, inizialmente si vuole permettere solo agli amministratori del gruppo "IT department" (con ID oggetto fbb99ded-32a0-45f1-b038-38b519009503) di proteggere i contenuti per finalità di test, usare il comando seguente:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"
Si noti che per questa opzione di configurazione è necessario specificare un gruppo. Non è possibile specificare singoli utenti. Per ottenere l'ID oggetto per il gruppo, è possibile usare Azure AD PowerShell, ad esempio usare il comando Get-MsolGroup per la versione 1.0 del modulo. Oppure, è possibile copiare valore ID oggetto del gruppo dal portale di Azure.
In alternativa, per fare in modo che solo gli utenti con licenza valida per l'uso di Azure Information Protection possano proteggere i contenuti:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True
Quando i controlli di caricamento non sono più necessari, se è stata usata l'opzione di gruppo o di gestione licenze, eseguire:
Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False
Per altre informazioni su questo cmdlet e altri esempi, vedere la Guida Set-AipServiceOnboardingControlPolicy .
Quando si usano questi controlli di selezione utenti, tutti gli utenti dell'organizzazione potranno utilizzare sempre i contenuti protetti dal sottoinsieme di utenti, ma non potranno applicare direttamente la protezione delle informazioni da applicazioni client. Le applicazioni lato server, ad esempio Exchange, possono implementare i propri controlli per utente per ottenere lo stesso risultato. Ad esempio, per impedire agli utenti di proteggere messaggi di posta elettronica in Outlook sul Web, usare Set-OwaMailboxPolicy per impostare il parametro IRMEnabled su $false.
Passaggi successivi
Dopo aver attivato il servizio protezione per l'organizzazione, le app e i servizi possono applicare la crittografia per proteggere i dati. Uno dei modi più semplici per applicare la crittografia consiste nell'usare le etichette di riservatezza da Microsoft Purview Information Protection.