Etichettatura, classificazione e protezione di Azure Information Protection (AIP)
Nota
Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?
Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.
Il nuovo client Microsoft Purview Information Protection (senza il componente aggiuntivo) è attualmente in anteprima e pianificato per la disponibilità generale.
Azure Information Protection (AIP) è una soluzione basata sul cloud che consente alle organizzazioni di classificare e proteggere documenti e messaggi di posta elettronica applicando etichette.
Ad esempio, l'amministratore potrebbe configurare un'etichetta con regole che rilevano dati sensibili, ad esempio informazioni sulla carta di credito. In questo caso, qualsiasi utente che salva le informazioni sulla carta di credito in un file di Word potrebbe visualizzare una descrizione comando nella parte superiore del documento con una raccomandazione per applicare l'etichetta pertinente per questo scenario.
Le etichette possono classificare e, facoltativamente , proteggere i documenti, consentendo di:
- Tenere traccia e controllare il modo in cui viene usato il contenuto
- Analizzare i flussi di dati per ottenere informazioni dettagliate sull'azienda - Rilevare comportamenti rischiosi e adottare misure correttive
- Tenere traccia dell'accesso ai documenti e prevenire perdite di dati o uso improprio
- E altro ancora...
Come applicare la classificazione alle etichette con AIP
L'etichettatura del contenuto con AIP include:
- Classificazione che può essere rilevata indipendentemente dalla posizione in cui sono archiviati i dati o con cui sono condivisi.
- Contrassegni visivi, ad esempio intestazioni, piè di pagina o filigrane.
- Metadati, aggiunti ai file e alle intestazioni di posta elettronica in testo non crittografato. I metadati di testo non crittografato assicurano che altri servizi possano identificare la classificazione e intraprendere azioni appropriate
Nell'immagine seguente, ad esempio, l'etichettatura ha classificato un messaggio di posta elettronica come Generale:
In questo esempio, anche l'etichetta:
- Aggiunta di un piè di pagina Di riservatezza: Generale al messaggio di posta elettronica. Questo piè di pagina è un indicatore visivo per tutti i destinatari destinati ai dati aziendali generali che non devono essere inviati all'esterno dell'organizzazione.
- Metadati incorporati nelle intestazioni di posta elettronica. I dati di intestazione consentono ai servizi di posta elettronica di controllare l'etichetta e in teoria creare una voce di controllo o impedire che vengano inviati all'esterno dell'organizzazione.
Le etichette possono essere applicate automaticamente dagli amministratori usando regole e condizioni, manualmente dagli utenti o usando una combinazione in cui gli amministratori definiscono le raccomandazioni visualizzate agli utenti.
Protezione dei dati da parte di AIP
Azure Information Protection usa il servizio Azure Rights Management (Azure RMS) per proteggere i dati.
Azure RMS è integrato con altri servizi e applicazioni cloud Microsoft, ad esempio Office 365 e Microsoft Entra ID, e può essere usato anche con applicazioni personalizzate o di terze parti e soluzioni di protezione delle informazioni. Azure RMS funziona con soluzioni locali e cloud.
Azure RMS usa criteri di crittografia, identità e autorizzazione. Analogamente alle etichette AIP, la protezione applicata con Azure RMS rimane con i documenti e i messaggi di posta elettronica, indipendentemente dalla posizione del documento o del messaggio di posta elettronica, assicurandosi di mantenere il controllo del contenuto anche quando viene condiviso con altre persone.
Le impostazioni di protezione possono essere:
Parte della configurazione dell'etichetta, in modo che gli utenti classificano e proteggono semplicemente documenti e messaggi di posta elettronica applicando un'etichetta.
Usato autonomamente dalle applicazioni e dai servizi che supportano la protezione, ma non l'etichettatura.
Per le applicazioni e i servizi che supportano solo la protezione, le impostazioni di protezione vengono usate come modelli di Rights Management.
Ad esempio, è possibile configurare un report o un foglio di calcolo delle previsioni di vendita in modo che sia accessibile solo dagli utenti dell'organizzazione. In questo caso, è possibile applicare le impostazioni di protezione per controllare se il documento può essere modificato, limitarlo a sola lettura o impedire la stampa.
I messaggi di posta elettronica possono avere impostazioni di protezione simili per impedire l'inoltro o l'uso dell'opzione Rispondi a tutti.
Modelli di Rights Management
Non appena viene attivato il servizio Azure Rights Management, sono disponibili due modelli di Rights Management predefiniti per limitare l'accesso ai dati agli utenti all'interno dell'organizzazione. Usare immediatamente questi modelli o configurare le proprie impostazioni di protezione per applicare controlli più restrittivi nei nuovi modelli.
I modelli di Rights Management possono essere usati con qualsiasi applicazione o servizio che supporta Azure Rights Management.
L'immagine seguente mostra un esempio dell'interfaccia di amministrazione di Exchange, in cui è possibile configurare le regole del flusso di posta di Exchange Online per l'uso dei modelli RMS:
Nota
La creazione di un'etichetta AIP che include le impostazioni di protezione crea anche un modello di Rights Management corrispondente che può essere usato separatamente dall'etichetta.
Per altre informazioni, vedere Che cos'è Azure Rights Management?
Integrazione di AIP e dell'utente finale per documenti e messaggi di posta elettronica
Il client AIP installa la barra di Information Protection per app Office licazioni e consente agli utenti finali di integrare AIP con i documenti e i messaggi di posta elettronica.
Ad esempio, in Excel:
Anche se le etichette possono essere applicate automaticamente a documenti e messaggi di posta elettronica, rimuovendo indovinate per gli utenti o per rispettare i criteri di un'organizzazione, la barra di Information Protection consente agli utenti finali di selezionare le etichette e applicare la classificazione autonomamente.
Inoltre, il client AIP consente agli utenti di classificare e proteggere altri tipi di file o più file contemporaneamente, usando il menu di scelta rapida da Windows Esplora file. Ad esempio:
L'opzione di menu Classifica e proteggi funziona in modo analogo alla barra di Information Protection nelle app Office licazioni, consentendo agli utenti di selezionare un'etichetta o impostare autorizzazioni personalizzate.
Suggerimento
Gli utenti esperti o gli amministratori potrebbero scoprire che i comandi di PowerShell sono più efficienti per la gestione e l'impostazione della classificazione e della protezione per più file. I comandi di PowerShell pertinenti sono inclusi nel client e possono anche essere installati separatamente.
Gli utenti e gli amministratori possono usare i siti di rilevamento dei documenti per monitorare i documenti protetti, controllare chi vi accede e quando. Se sospettano un uso improprio, possono anche revocare l'accesso a questi documenti. Ad esempio:
Integrazione aggiuntiva per la posta elettronica
L'uso di AIP con Exchange Online offre il vantaggio aggiuntivo dell'invio di messaggi di posta elettronica protetti a qualsiasi utente, con la certezza di poterlo leggere in qualsiasi dispositivo.
Ad esempio, potrebbe essere necessario inviare informazioni riservate agli indirizzi di posta elettronica personali che usano un account Gmail, Hotmail o Microsoft o agli utenti che non hanno un account in Office 365 o Microsoft Entra ID. Questi messaggi di posta elettronica devono essere crittografati inattivi e in transito e devono essere letti solo dai destinatari originali.
Questo scenario richiede funzionalità di Crittografia messaggi di Office 365. Se i destinatari non possono aprire il messaggio di posta elettronica protetto nel client di posta elettronica predefinito, possono usare un passcode monouso per leggere le informazioni riservate in un browser.
Ad esempio, un utente Gmail potrebbe visualizzare la richiesta seguente in un messaggio di posta elettronica ricevuto:
Per l'utente che invia il messaggio di posta elettronica, le azioni necessarie sono identiche all'invio di un messaggio di posta elettronica protetto a un utente nella propria organizzazione. Ad esempio, selezionare il pulsante Non inoltrare che il client AIP può aggiungere alla barra multifunzione di Outlook.
In alternativa, la funzionalità Non inoltrare può essere integrata in un'etichetta che gli utenti possono selezionare per applicare sia la classificazione che la protezione a tale messaggio di posta elettronica. Ad esempio:
Amministrazione istrator può anche fornire automaticamente protezione agli utenti configurando le regole del flusso di posta che applicano la protezione dei diritti.
Tutti i documenti di Office allegati a questi messaggi di posta elettronica vengono protetti automaticamente.
Analisi del contenuto esistente da classificare e proteggere
Idealmente, verranno etichettati documenti e messaggi di posta elettronica man mano che vengono creati. Tuttavia, è probabile che si disponga di molti documenti esistenti, archiviati in locale o nel cloud e si vuole classificare e proteggere anche questi documenti.
Usare uno dei metodi seguenti per classificare e proteggere il contenuto esistente:
Archiviazione locale: usare lo scanner di Azure Information Protection per individuare, classificare e proteggere documenti in condivisioni di rete e siti e raccolte di Microsoft SharePoint Server.
Lo scanner viene eseguito come servizio in Windows Server e usa le stesse regole dei criteri per rilevare le informazioni riservate e applicare etichette specifiche ai documenti.
In alternativa, usare lo scanner per applicare un'etichetta predefinita a tutti i documenti in un repository dati senza esaminare il contenuto del file. Usare lo scanner in modalità di creazione di report solo per individuare informazioni riservate che potrebbero non essere noti.
Archiviazione dati cloud: usare Microsoft Defender per il cloud App per applicare le etichette ai documenti in Box, SharePoint e OneDrive. Per un'esercitazione, vedere Applicare automaticamente le etichette di classificazione di Azure Information Protection
Passaggi successivi
Configurare e vedere Azure Information Protection manualmente con le guide introduttive e le esercitazioni:
- Guida introduttiva: Distribuire il client di etichettatura unificata
- Esercitazione: Installazione dello scanner di etichettatura unificata di Azure Information Protection (AIP)
- Esercitazione: Trovare il contenuto sensibile con lo scanner di Azure Information Protection (AIP)
- Esercitazione: Prevenzione dell'oversharing in Outlook con Azure Information Protection (AIP)
Se si è pronti per distribuire questo servizio per l'organizzazione, passare alle guide pratiche.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per