Rimozione delle autorizzazioni e disattivazione della protezione per Azure Information Protection

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

È sempre possibile controllare se l'organizzazione protegge il contenuto tramite il servizio di Azure Rights Management da Azure Information Protection. Se si decide di non usare più questa soluzione di protezione delle informazioni, si è certi che il contenuto protetto in precedenza non sia bloccato.

Se non è necessario l'accesso continuo a contenuti protetti in precedenza, disattivare il servizio e lasciare scadere la sottoscrizione di Azure Information Protection. Ad esempio, è opportuno adottare questa soluzione dopo aver completato i test di Azure Information Protection prima della distribuzione in un ambiente di produzione.

Tuttavia, se Azure Information Protection è stato distribuito in documenti e messaggi di posta elettronica protetti e di produzione, assicurarsi di avere una copia della chiave del tenant di Azure Information Protection e del dominio di pubblicazione attendibile appropriato (TPD) prima di disattivare il servizio Azure Rights Management. Assicurarsi di disporre di una copia della chiave e del tpd prima della scadenza della sottoscrizione per assicurarsi di poter mantenere l'accesso al contenuto protetto da Azure Rights Management dopo la disattivazione del servizio.

Se si è usata la soluzione BYOK (Bring Your Own Key) con cui si genera e gestisce la propria chiave in un modulo HSM, si dispone già della chiave del tenant di Azure Information Protection. Si avrà anche un TPD appropriato se sono state seguite le istruzioni per prepararsi a una futura uscita dal cloud. Tuttavia, se la chiave del tenant è stata gestita da Microsoft (impostazione predefinita), vedere le istruzioni per l'esportazione della chiave del tenant in Operazioni per la chiave del tenant di Azure Information Protection.

Suggerimento

Anche dopo la scadenza della sottoscrizione, il tenant di Azure Information Protection rimane disponibile per l'utilizzo del contenuto per un periodo esteso. Tuttavia, non sarà più possibile esportare la chiave tenant.

Quando si dispone della chiave del tenant di Azure Information Protection e del tpd, è possibile distribuire Rights Management in locale (AD RMS) e importare la chiave del tenant come dominio di pubblicazione attendibile (TPD). Sono quindi disponibili le opzioni seguenti per la rimozione delle autorizzazioni della distribuzione di Azure Information Protection:

Se si verifica questo... … effettuare la seguente operazione:
Si vuole che tutti gli utenti continuino a usare Rights Management, ma usino una soluzione locale anziché usare Azure Information Protection → Reindirizzare i client alla distribuzione locale usando la chiave del Registro di sistema LicensingRedirection per Office 2016 o Office 2013. Per istruzioni, vedere la sezione relativa all'individuazione dei servizi nelle note sulla distribuzione del client RMS.
Si vuole interrompere l'uso delle tecnologie Rights Management completamente → Concedere a un amministratore designato diritti utente con privilegi avanzati e installare il client Azure Information Protection per questo utente.

Questo amministratore può quindi usare il modulo PowerShell da questo client per decrittografare in blocco i file in cartelle protette da Azure Information Protection. I file tornano allo stato non protetto e pertanto possono essere letti senza una tecnologia di Rights Management, come ad esempio Azure Information Protection o AD RMS. Poiché questo modulo di PowerShell può essere usato sia con Azure Information Protection che con AD RMS, è possibile scegliere di decrittografare i file prima o dopo aver disattivato il servizio di protezione da Azure Information Protection o una combinazione.
Non è possibile identificare tutti i file protetti da Azure Information Protection. In alternativa, si vuole che tutti gli utenti siano in grado di leggere automaticamente tutti i file protetti che non sono stati → Distribuire un'impostazione del Registro di sistema in tutti i computer client usando la chiave del Registro di sistema LicensingRedirection per Office 2016 e Office 2013, come descritto nella sezione individuazione dei servizi nelle note sulla distribuzione del client RMS.
Si vuole un servizio di ripristino manuale controllato per tutti i file che non sono stati rilevati → Concedere diritti di utente con privilegi avanzati a utenti designati in un gruppo di ripristino dei dati e installare il client Azure Information Protection per questi utenti, in modo che possano rimuovere la protezione dei file quando richiesto dagli utenti standard.

In tutti i computer distribuire l'impostazione del Registro di sistema per impedire agli utenti di proteggere nuovi file impostando DisableCreation su 1, come descritto in Impostazioni del Registro di sistema di Office.

Per ulteriori informazioni sulle procedure in questa tabella, vedere le risorse seguenti:

Quando si è pronti per disattivare il servizio di protezione da Azure Information Protection, usare le istruzioni seguenti.

Disattivazione del servizio protezione

È necessario usare PowerShell per disattivare il servizio di protezione da Azure Information Protection. Non è più possibile attivare o disattivare questo servizio dai portali di amministrazione.

  1. Installare il modulo AIPService per configurare e gestire il servizio protezione. Per istruzioni, vedere Installazione del modulo PowerShell AIPService.

  2. Da una sessione di PowerShell eseguire Connect-AipService e, quando richiesto, specificare i dettagli dell'account amministratore globale per il tenant di Azure Information Protection.

  3. Eseguire Get-AipService per confermare lo stato corrente del servizio protezione. Lo stato Abilitato ne conferma l'attivazione; lo stato Disabilitato indica che il servizio è disattivato.

  4. Per disattivare il servizio, eseguire Disable-AipService.

  5. Eseguire di nuovo Get-AipService per confermare che il servizio protezione è ora disattivato. Questa volta, lo stato dovrebbe essere Disabilitato.

  6. Eseguire Disconnect-AipService per disconnettersi dal servizio e chiudere la sessione di PowerShell.