Come eseguire la migrazione delle etichette di Information Protection di Azure alle etichette di riservatezza unificata

Eseguire la migrazione delle etichette di Azure Information Protection alla piattaforma di etichettatura unificata in modo che sia possibile usarle come etichette di riservatezza da parte di client e servizi che supportano l'etichettatura unificata.

Nota

Se la sottoscrizione di Azure Information Protection è abbastanza nuova, potrebbe non essere necessario eseguire la migrazione delle etichette perché il tenant è già nella piattaforma di etichettatura unificata. Per altre informazioni, vedere Come è possibile determinare se il tenant si trova nella piattaforma di etichettatura unificata?

Dopo aver eseguito la migrazione delle etichette, non verrà visualizzata alcuna differenza con il client classico di Azure Information Protection, perché questo client continua a scaricare le etichette con i criteri di Information Protection di Azure dal portale di Azure. Tuttavia, è ora possibile usare le etichette con il client di etichettatura unificata di Azure Information Protection e altri client e altri servizi che usano etichette di riservatezza.

Prima di leggere le istruzioni per eseguire la migrazione delle etichette, è possibile trovare le domande frequenti seguenti utili:

Ruoli amministrativi che supportano la piattaforma di etichettatura unificata

Se si usano ruoli di amministratore per l'amministrazione delegata nell'organizzazione, potrebbe essere necessario apportare alcune modifiche per la piattaforma di etichettatura unificata:

Il ruolo di Azure ADdell'amministratore di Azure Information Protection (in precedenza Information Protection amministratore) non è supportato dalla piattaforma di etichettatura unificata. Se questo ruolo amministrativo viene usato nell'organizzazione per gestire l'Information Protection di Azure, aggiungere gli utenti che hanno questo ruolo ai ruoli di amministratore conformità, amministratore dei datidi conformità o amministratore della sicurezza. Se è necessaria assistenza con questo passaggio, vedere Concedere agli utenti l'accesso alla Portale di conformità di Microsoft Purview. È anche possibile assegnare questi ruoli nel portale di Azure AD e nel Portale di conformità di Microsoft Purview.

In alternativa, nell'Portale di conformità di Microsoft Purview è possibile creare un nuovo gruppo di ruoli per questi utenti e aggiungere ruoli di amministratore etichetta di riservatezza o Configurazione organizzazione a questo gruppo.

Se non si concede a questi utenti l'accesso al Portale di conformità di Microsoft Purview usando una di queste configurazioni, non sarà possibile configurare l'Information Protection di Azure nel portale di Azure dopo la migrazione delle etichette.

Gli amministratori globali per il tenant possono continuare a gestire etichette e criteri sia nella portale di Azure che nella Portale di conformità di Microsoft Purview dopo la migrazione delle etichette.

Prima di iniziare

La migrazione delle etichette offre molti vantaggi, ma è irreversibile. Prima di eseguire la migrazione, assicurarsi di conoscere le modifiche e le considerazioni seguenti:

Supporto client per l'etichettatura unificata

Assicurarsi di disporre di client che supportano etichette unificate e, se necessario, essere preparati per l'amministrazione in entrambi i portale di Azure (per i client che non supportano etichette unificate) e la Portale di conformità di Microsoft Purview (per il client che supportano etichette unificate).

Configurazione dei criteri

I criteri, incluse le impostazioni dei criteri e gli utenti autorizzati all'accesso (criteri con ambito) e tutte le impostazioni client avanzate non vengono sottoposti a migrazione. Le opzioni per configurare queste impostazioni dopo la migrazione dell'etichetta includono quanto segue:

Importante

Non tutte le impostazioni di un'etichetta migrata sono supportate dalla Portale di conformità di Microsoft Purview. Usare la tabella nelle impostazioni etichetta non supportate nella sezione Portale di conformità di Microsoft Purview per identificare queste impostazioni e il corso consigliato.

Modelli di protezione

  • Anche i modelli che usano una chiave basata sul cloud e fanno parte di una configurazione di etichetta vengono sottoposti a migrazione con l'etichetta. Gli altri modelli di protezione non vengono sottoposti a migrazione.

  • Se sono presenti etichette configurate per un modello predefinito, modificare tali etichette e selezionare l'opzione Imposta autorizzazioni per configurare le stesse impostazioni di protezione che erano presenti nel modello. Le etichette con modelli predefiniti non bloccano la migrazione delle etichette, ma questa configurazione dell'etichetta non è supportata nella Portale di conformità di Microsoft Purview.

    Suggerimento

    Per facilitare la riconfigurazione di queste etichette, potrebbe risultare utile avere due finestre del browser: una finestra in cui si seleziona il pulsante Modifica modello per l'etichetta per visualizzare le impostazioni di protezione e l'altra finestra per configurare le stesse impostazioni quando si seleziona Imposta autorizzazioni.

  • Dopo la migrazione di un'etichetta con impostazioni di protezione basata sul cloud, l'ambito risultante del modello di protezione è l'ambito definito nel portale di Azure (o usando il modulo AIPService PowerShell) e l'ambito definito nel portale di conformitàMicrosoft Purview.

Nomi visualizzati

Per ogni etichetta il portale di Azure consente di visualizzare solo il nome visualizzato dell'etichetta, che è modificabile. Gli utenti visualizzano questo nome di etichetta nelle app.

Il Portale di conformità di Microsoft Purview mostra sia questo nome visualizzato per un'etichetta che il nome dell'etichetta. Il nome dell'etichetta è il nome iniziale specificato quando l'etichetta viene creata per la prima volta e questa proprietà viene usata dal servizio back-end a scopo di identificazione. Quando si esegue la migrazione delle etichette, il nome visualizzato rimane lo stesso e il nome dell'etichetta viene rinominato nell'ID etichetta dal portale di Azure.

Nomi visualizzati in conflitto

Prima della migrazione, assicurarsi di non avere nomi visualizzati in conflitto dopo il completamento della migrazione. I nomi visualizzati nella stessa posizione nella gerarchia di etichettatura devono essere univoci.

Si consideri ad esempio l'elenco seguente di etichette:

  • Pubblica
  • Generalee
  • Riservato
    • Riservato\HR
    • Riservato\Finanza
  • Segreto
    • Segreto\HR
    • Segreto\Finanza

In questo elenco, Public, General, Confidential e Secret sono tutte etichette padre e non possono avere nomi duplicati. Inoltre, Confidential\HR e Confidential\Finance sono allo stesso posto nella gerarchia e non possono avere nomi duplicati.

Tuttavia, le sotto-etichette tra diversi genitori, ad esempio Confidential\HR e Secret\HR non sono allo stesso posto nella gerarchia e pertanto possono avere gli stessi nomi singoli.

Stringhe localizzate nelle etichette

Le eventuali stringhe localizzate per le etichette non vengono incluse nella migrazione. Definire nuove stringhe localizzate per le etichette migrate usando Security & Compliance PowerShell e il parametro LocaleSettings per Set-Label.

Modifica delle etichette migrate nel Portale di conformità di Microsoft Purview

Dopo la migrazione, quando si modifica un'etichetta migrata nella portale di Azure, la stessa modifica viene riflessa automaticamente nella Portale di conformità di Microsoft Purview.

Tuttavia, quando si modifica un'etichetta migrata nella Portale di conformità di Microsoft Purview, è necessario tornare alla portale di Azure, azure Information Protection - Riquadro di etichettatura unificata e selezionare Pubblica.

Questa azione aggiuntiva è necessaria per i client di Azure Information Protection (versione classica) per raccogliere le modifiche all'etichetta.

Impostazioni di etichetta non supportate nella Portale di conformità di Microsoft Purview

Usare la tabella seguente per identificare le impostazioni di configurazione di un'etichetta migrata non sono supportate dalla Portale di conformità di Microsoft Purview. Se sono presenti etichette con queste impostazioni, al termine della migrazione, usare le indicazioni di amministrazione nella colonna finale prima di pubblicare le etichette nella Portale di conformità di Microsoft Purview.

In caso di dubbi sulla configurazione delle etichette, visualizzare le relative impostazioni nel portale di Azure. Se serve assistenza con questa procedura, vedere Configurazione dei criteri di Azure Information Protection.

I client di Azure Information Protection (versione classica) possono usare tutte le impostazioni dell'etichetta elencate senza problemi perché continuano a scaricare le etichette dall'portale di Azure.

Configurazione dell'etichetta Supportata dai client di etichettatura unificata Linee guida per il Portale di conformità di Microsoft Purview
Stato abilitato o disabilitato

Questo stato non viene sincronizzato con il Portale di conformità di Microsoft Purview
Non applicabile Equivale a se l'etichetta è pubblicata o no.
Colore dell'etichetta selezionato dall'elenco o specificato con il codice RGB Nessuna opzione di configurazione per i colori dell'etichetta. È invece possibile configurare i colori delle etichette nella portale di Azure o usare PowerShell.
Protezione basata sul cloud o protezione basata su HYOK usando un modello predefinito No Nessuna opzione di configurazione per i modelli predefiniti. Non è consigliabile pubblicare un'etichetta con questa configurazione.
Protezione basata sul cloud che usa autorizzazioni definite dall'utente in Word, Excel e PowerPoint Il Portale di conformità di Microsoft Purview supporta un'opzione di configurazione per le autorizzazioni definite dall'utente.

Se si pubblica un'etichetta con questa configurazione, controllare i risultati dell'applicazione dell'etichetta dalla tabella seguente.
Protezione basata su HYOK con autorizzazioni definite dall'utente per Outlook (Non inoltrare) No Nessuna opzione di configurazione per HYOK. Non è consigliabile pubblicare un'etichetta con questa configurazione. In caso contrario i risultati ottenuti applicando l'etichetta sono elencati nella tabella seguente.
Nome del carattere personalizzato, dimensioni e colore del carattere personalizzato in base al codice RGB per contrassegni visivi (intestazione, piè di pagina, filigrana) La configurazione per i contrassegni visivi è limitata a un elenco di colori e dimensioni dei caratteri. È possibile pubblicare questa etichetta senza modifiche anche se non è possibile visualizzare i valori configurati nella Portale di conformità di Microsoft Purview.

Per modificare queste opzioni, usare il cmdlet New-Label Office 365 Security & Compliance Center. Per semplificare l'amministrazione, prendere in considerazione la modifica del colore in una delle opzioni elencate nella Portale di conformità di Microsoft Purview.

Nota: la Portale di conformità di Microsoft Purview supporta un elenco predefinito di definizioni di carattere. I tipi di carattere e i colori personalizzati sono supportati solo tramite il cmdlet New-Label .

Se si usa il client classico, apportare queste modifiche all'etichetta nell'portale di Azure.
Variabili nei contrassegni visivi (intestazione, piè di pagina) Questa configurazione dell'etichetta è supportata dai client AIP e dall'etichettatura predefinita di Office per selezionare le app.

Se si usa l'etichettatura predefinita usando un'app che non supporta questa configurazione e pubblica questa etichetta senza modifiche, le variabili vengono visualizzate come testo nei client, anziché visualizzare il valore dinamico.

Per altre informazioni, vedere la documentazione di Microsoft 365.
Contrassegni visivi per app Questa configurazione dell'etichetta è supportata solo dai client AIP e non dall'etichettatura predefinita di Office.

Se si usa l'etichettatura predefinita e si pubblica questa etichetta senza modifiche, la configurazione di contrassegno visivo viene visualizzata come testo variabile anziché i contrassegni visivi configurati per la visualizzazione in ogni app.
Protezione "Solo per me" Il Portale di conformità di Microsoft Purview non consente di salvare le impostazioni di crittografia applicate ora, senza specificare utenti. Nella portale di Azure questa configurazione genera un'etichetta che applica la protezione "Just for me".

In alternativa, creare un'etichetta che applica la crittografia e specificare un utente con autorizzazioni e quindi modificare il modello di protezione associato usando PowerShell. Usare prima di tutto il cmdlet New-AipServiceRightsDefinition (vedere Esempio 3) e quindi Set-AipServiceTemplateProperty con il parametro RightsDefinitions .
Condizioni e impostazioni associate

include l'assegnazione di etichette automatica e consigliata e le descrizioni comando corrispondenti
Non applicabile Riconfigurare le condizioni tramite l'applicazione automatica di etichette come configurazione separata dalle impostazioni dell'etichetta.

Confronto del comportamento delle impostazioni di protezione per un'etichetta

Usare la tabella seguente per identificare come si comporta la stessa impostazione di protezione per un'etichetta in modo diverso, a seconda che venga usata dal client di Azure Information Protection classico, il client di etichettatura unificata di Azure Information Protection o le app di Office che hanno l'etichettatura predefinita (nota anche come "etichettatura nativa di Office"). Le differenze nel comportamento dell'etichetta possono modificare la decisione se pubblicare le etichette, soprattutto quando si dispone di una combinazione di client nell'organizzazione.

Se non si è certi della configurazione delle impostazioni di protezione, visualizzare le impostazioni nel riquadro Protezione, nella portale di Azure. Se serve assistenza con questa procedura, vedere Per configurare un'etichetta per le impostazioni di protezione.

Le impostazioni di protezione con lo stesso comportamento non sono elencate nella tabella, con le eccezioni seguenti:

  • Quando si usano le app di Office con l'etichettatura incorporata, le etichette non sono visibili in Esplora file a meno che non si installi anche il client di etichettatura unificata di Azure Information Protection.
  • Quando si usano le app di Office con l'etichettatura incorporata, la protezione viene mantenuta se in precedenza era stata applicata in modo indipendente da un'etichetta [1].
Impostazione di protezione per un'etichetta Client classico di Azure Information Protection Client per l'etichettatura unificata di Azure Information Protection App di Office con etichettatura incorporata
HYOK (AD RMS) con un modello: Visibile in Word, Excel, PowerPoint, Outlook ed Esplora file

Quando viene applicata questa etichetta:

- La protezione HYOK viene applicata a documenti e messaggi di posta elettronica
Visibile in Word, Excel, PowerPoint, Outlook ed Esplora file

Quando viene applicata questa etichetta:

- Non viene applicata alcuna protezione e la protezione viene rimossa [2] se in precedenza era stata applicata da un'etichetta

- La protezione viene mantenuta se in precedenza era stata applicata in modo indipendente da un'etichetta
Visibile in Word, Excel, PowerPoint e Outlook

Quando viene applicata questa etichetta:

- Non viene applicata alcuna protezione e la protezione viene rimossa [2] se in precedenza era stata applicata da un'etichetta

- La protezione viene mantenuta se in precedenza era stata applicata in modo indipendente da un'etichetta [1]
HYOK (AD RMS) con autorizzazioni definite dall'utente per Word, Excel, PowerPoint ed Esplora file: Visibile in Word, Excel, PowerPoint ed Esplora file

Quando viene applicata questa etichetta:

- La protezione HYOK viene applicata a documenti e messaggi di posta elettronica
Visibile in Word, Excel e PowerPoint

Quando viene applicata questa etichetta:

- La protezione non viene applicata e viene rimossa [2] se in precedenza era stata applicata da un'etichetta

- La protezione viene mantenuta se in precedenza era stata applicata in modo indipendente da un'etichetta
Visibile in Word, Excel e PowerPoint

Quando viene applicata questa etichetta:

- La protezione non viene applicata e viene rimossa [2] se in precedenza era stata applicata da un'etichetta

- La protezione viene mantenuta se in precedenza era stata applicata in modo indipendente da un'etichetta
HYOK (AD RMS) con autorizzazioni definite dall'utente per Outlook: Visibile in Outlook

Quando viene applicata questa etichetta:

- Ai messaggi di posta elettronica viene applicato Non inoltrare con la protezione HYOK
Visibile in Outlook

Quando viene applicata questa etichetta:

- La protezione non viene applicata e viene rimossa [2] se in precedenza era stata applicata da un'etichetta

- La protezione viene mantenuta se in precedenza era stata applicata in modo indipendente da un'etichetta
Visibile in Outlook

Quando viene applicata questa etichetta:

- La protezione non viene applicata e viene rimossa [2] se in precedenza era stata applicata da un'etichetta

- La protezione viene mantenuta se in precedenza era stata applicata in modo indipendente da un'etichetta [1]
Nota 1

In Outlook la protezione viene mantenuta con un'eccezione: quando un messaggio di posta elettronica è stato protetto con l'opzione encrypt-only (Encrypt), tale protezione viene rimossa.

Nota 2

La protezione viene rimossa se l'utente ha un diritto di utilizzo o ruolo che supporta questa azione:

Se l'utente non ha uno di questi diritti di utilizzo o ruoli, l'etichetta non viene applicata e viene mantenuta la protezione originale.

Per eseguire la migrazione delle etichette di Azure Information Protection

Usare le istruzioni seguenti per eseguire la migrazione del tenant e delle etichette di Azure Information Protection per usare l'archivio etichette unificato.

È necessario essere un amministratore conformità, amministratore dei dati di conformità, amministratore della sicurezza o amministratore globale per eseguire la migrazione delle etichette.

  1. Aprire una nuova finestra del browser e accedere al portale di Azure, se questa operazione non è già stata eseguita. Quindi passare al riquadro Azure Information Protection.

    Ad esempio, nella casella di ricerca di risorse, servizi e documentazione: iniziare a digitare Informazioni e selezionare Azure Information Protection.

  2. Dall'opzione di menu Gestisci selezionare Etichettatura unificata.

  3. Nel riquadro di etichettatura unificata di Azure Information Protection selezionare Attiva e seguire le istruzioni online.

    Se l'opzione per attivare non è disponibile, controllare lo stato di etichettatura unificata: se viene visualizzato Attivato, il tenant usa già l'archivio di etichettatura unificata e non è necessario eseguire la migrazione delle etichette.

Le etichette di cui è stata eseguita correttamente la migrazione possono ora essere usate dai client e servizi che supportano l'etichettatura unificata. Tuttavia, è necessario prima pubblicare queste etichette nel Portale di conformità di Microsoft Purview.

Importante

Se si modificano le etichette all'esterno del portale di Azure, per i client Information Protection di Azure (versione classica), tornare al riquadro di etichettatura unificata di Azure Information Protection e selezionare Pubblica.

Copiare i criteri

Dopo aver eseguito la migrazione delle etichette, è possibile selezionare un'opzione per copiare i criteri. Se si seleziona questa opzione, alla Portale di conformità di Microsoft Purview viene inviata una copia unica dei criteri con le relative impostazioni dei criteri e le impostazioni client avanzate.

I criteri copiati correttamente con le impostazioni e le etichette vengono quindi pubblicati automaticamente negli utenti e nei gruppi assegnati ai criteri nel portale di Azure. Si noti che per i criteri globali questo significa tutti gli utenti. Se non si è pronti per la pubblicazione delle etichette di cui è stata eseguita la migrazione nei criteri copiati, dopo la copia dei criteri, è possibile rimuovere le etichette dai criteri di etichetta nell'interfaccia di etichettatura dell'amministratore.

Prima di selezionare l'opzione Copia criteri (anteprima) nel riquadro Azure Information Protection - Etichettatura unificata, tenere presente quanto segue:

  • L'opzione Copia criteri (anteprima) non è disponibile finché non viene attivata l'etichettatura unificata per il tenant.

  • Non è possibile scegliere in modo selettivo criteri e impostazioni da copiare. Tutti i criteri (i criteri globali e i criteri con ambito) vengono selezionati automaticamente per essere copiati e tutte le impostazioni supportate come impostazioni dei criteri di etichetta vengono copiate. Se si dispone già di un criterio di etichetta con lo stesso nome, verrà sovrascritto con le impostazioni dei criteri nel portale di Azure.

  • Alcune impostazioni client avanzate non vengono copiate perché per azure Information Protection client di etichettatura unificata, queste impostazioni sono supportate come impostazioni avanzate delle etichette anziché impostazioni dei criteri. È possibile configurare queste impostazioni avanzate di etichetta con Security & Compliance PowerShell. Impostazioni client avanzate non copiate:

  • A differenza della migrazione delle etichette in cui vengono sincronizzate le modifiche successive alle etichette, l'azione Copia criteri non sincronizza le modifiche successive ai criteri o alle impostazioni dei criteri. È possibile ripetere l'azione di copia dei criteri dopo aver apportato modifiche nel portale di Azure e tutti i criteri esistenti e le relative impostazioni verranno sovrascritti nuovamente. In alternativa, usare i cmdlet Set-LabelPolicy o Set-Label con il parametro AdvancedSettings di Security & Compliance PowerShell.

  • L'azione Copia criteri verifica quanto segue per ogni criterio prima che venga copiato:

    • Gli utenti e i gruppi assegnati ai criteri sono attualmente in Azure AD. Se manca uno o più account, il criterio non viene copiato. L'appartenenza al gruppo non è selezionata.

    • Il criterio Globale contiene almeno un'etichetta. Poiché i centri di etichettatura dell'amministratore non supportano i criteri di etichetta senza etichette, i criteri globali senza etichette non vengono copiati.

  • Se si copiano i criteri e li si elimina dall'interfaccia di etichettatura dell'amministratore, attendere almeno due ore prima di usare di nuovo l'azione Copia criteri per garantire un tempo sufficiente per la replica dell'eliminazione.

  • I criteri copiati da Azure Information Protection non avranno lo stesso nome, ma verranno invece denominati con un prefisso di AIP_. I nomi dei criteri non possono essere modificati successivamente.

Per altre informazioni sulla configurazione delle impostazioni dei criteri, delle impostazioni client avanzate e delle impostazioni delle etichette per il client di etichettatura unificata di Azure Information Protection, vedere Configurazioni personalizzate per il client di etichettatura unificata di Azure Information Protection dalla guida dell'amministratore.

Nota

Il supporto di Azure Information Protection per la copia dei criteri è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Client e servizi che supportano l'etichettatura unificata

Per verificare se i client e i servizi usati supportano l'etichettatura unificata, fare riferimento alla relativa documentazione per verificare se possono usare etichette di riservatezza pubblicate dal Portale di conformità di Microsoft Purview.

I client che attualmente supportano l'etichettatura unificata includono
I servizi che attualmente supportano l'etichettatura unificata includono

Portali di gestione da usare dopo la migrazione delle etichette

Dopo aver eseguito la migrazione delle etichette nel portale di Azure, continuare a gestirle in uno dei percorsi seguenti, a seconda dei client installati:

Client Descrizione
Solo client e servizi di etichettatura unificata Se sono installati solo client di etichettatura unificata, gestire le etichette nel Portale di conformità di Microsoft Purview, dove i client di etichettatura unificata scaricano le etichette e le relative impostazioni dei criteri.

Per istruzioni, vedere Creare e configurare etichette di riservatezza e i relativi criteri.
Solo client classico Se è stata eseguita la migrazione delle etichette, ma è ancora installato il client classico, continuare a usare il portale di Azure per modificare le etichette e le impostazioni dei criteri. Il client classico continua a scaricare etichette e impostazioni dei criteri da Azure.
Client classico di AIP e client di etichettatura unificata Se entrambi i client sono installati, usare il Portale di conformità di Microsoft Purview o il portale di Azure per apportare modifiche all'etichetta.

Affinché i client classici rilevino le modifiche apportate alle etichette nel Portale di conformità di Microsoft Purview, tornare al portale di Azure per pubblicarle. Nel riquadro portale di Azure Azure Information Protection >- Etichettatura unificata selezionare Pubblica.

Continuare a usare il portale di Azure per il reporting centralizzato e lo scanner.

Passaggi successivi

Linee guida e suggerimenti del team di Customer Experience:

Informazioni sulle etichette di riservatezza:

Distribuire il client di etichettatura unificata AIP:

Se non è già stato fatto, installare azure Information Protection client di etichettatura unificata.

Per altre informazioni, vedere: