Roadmap per la distribuzione di AIP per la classificazione, l'etichettatura e la protezione

Nota

Stai cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo azure Information Protection per Office è ora in modalità di manutenzione e verrà ritirato aprile 2024. È invece consigliabile usare etichette incorporate nelle app e nei servizi Office 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Usare la procedura seguente come consigli per preparare, implementare e gestire Information Protection di Azure per l'organizzazione, quando si desidera classificare, etichettare e proteggere i dati.

Questa roadmap è consigliata per tutti i clienti con una sottoscrizione di supporto. Le funzionalità aggiuntive includono l'individuazione di informazioni riservate e l'etichettatura di documenti e messaggi di posta elettronica per la classificazione.

Le etichette possono anche applicare la protezione, semplificando questo passaggio per gli utenti.

Suggerimento

In alternativa, è possibile cercare uno degli articoli seguenti:

• Roadmap di AIP solo per la protezione dei dati
• Guide pratiche per scenari comuni che usano Azure Information Protection
• Roadmap della versione di Azure Information Protection

Processo di distribuzione

Eseguire questa procedura:

1. Verificare la sottoscrizione e assegnare licenze utente
2. Preparare il tenant per l'uso di Azure Information Protection
3. Configurare e distribuire le funzionalità di classificazione e assegnazione di etichette
4. Prepararsi per la protezione dei dati
5. Configurare etichette e impostazioni, applicazioni e servizi per la protezione dei dati
6. Usare e monitorare le soluzioni di protezione dei dati
7. Amministrare il servizio di protezione per l'account tenant in base alle esigenze

Suggerimento

Se si usano già le funzionalità di Azure Information Protection, È possibile ignorare molti di questi passaggi e concentrarsi sui passaggi 3 e 5.1.

Verificare la sottoscrizione e assegnare licenze utente

Verificare che l'organizzazione disponga di una sottoscrizione che includa le funzionalità e le funzionalità previste. Per altre informazioni, vedere la pagina relativa alle licenze di Microsoft 365 per la conformità alla sicurezza&.

Assegnare quindi le licenze da tale sottoscrizione a ogni utente dell'organizzazione, che potrà così classificare, etichettare e proteggere documenti e messaggi di posta elettronica.

Importante

Non assegnare manualmente le licenze utente dalla sottoscrizione di RMS gratuita per le singole sottoscrizioni e non usare questa licenza per amministrare il servizio Azure Rights Management per l'organizzazione.

Queste licenze vengono visualizzate come Rights Management Adhoc (Ad-hoc per Rights Manager) nell'interfaccia di amministrazione di Microsoft 365 e come RIGHTSMANAGEMENT_ADHOC quando si esegue il cmdlet di PowerShell per Azure AD, Get-MsolAccountSku.

Per altre informazioni, vedere RMS per singoli utenti e Information Protection di Azure.

Preparare il tenant per l'uso di Azure Information Protection

Prima di iniziare a usare Azure Information Protection, assicurarsi di avere account utente e gruppi in Microsoft 365 o Azure Active Directory che AIP può usare per autenticare e autorizzare gli utenti.

Se necessario, creare questi account e gruppi o sincronizzarli dalla directory locale.

Per altre informazioni, vedere Preparazione di utenti e gruppi per Azure Information Protection.

Configurare e distribuire le funzionalità di classificazione e assegnazione di etichette

Eseguire questa procedura:

1. Analizzare i file (facoltativo ma consigliato)

   Distribuire il client di Azure Information Protection e quindi installare ed eseguire lo scanner per individuare le informazioni riservate disponibili negli archivi dati locali.

   Le informazioni trovate dallo scanner possono semplificare la tassonomia di classificazione, oltre a fornire informazioni utili sulle etichette richieste e sui file che necessitano di protezione.

   La modalità di individuazione dello scanner non richiede alcuna configurazione dell'etichetta o tassonomia ed è quindi adatta in questa fase iniziale della distribuzione. È anche possibile usare questa configurazione dello scanner in parallelo con la procedura di distribuzione seguente, fino a quando non si configura l'etichettatura consigliata o automatica.

2. Personalizzare i criteri AIP predefiniti.

   Se non si dispone ancora di una strategia di classificazione, usare un criterio predefinito come base per determinare le etichette necessarie per i dati. Personalizzare queste etichette in base alle esigenze.

   Ad esempio, è possibile riconfigurare le etichette con i dettagli seguenti:

   • Assicurarsi che le etichette supportino le decisioni di classificazione.
   • Configurare i criteri per l'etichettatura manuale da parte degli utenti
   • Scrivere indicazioni sull'utente per spiegare l'etichetta da applicare in ogni scenario.
   • Se i criteri predefiniti sono stati creati con etichette che applicano automaticamente la protezione, è possibile rimuovere temporaneamente le impostazioni di protezione o disabilitare l'etichetta durante il test delle impostazioni.

   Le etichette di riservatezza e i criteri di etichettatura per il client di etichettatura unificata sono configurati nella Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Informazioni sulle etichette di riservatezza.

3. Distribuire il client per gli utenti

   Dopo aver configurato un criterio, distribuire il client di Azure Information Protection per gli utenti. Fornire il training utente e istruzioni specifiche quando selezionare le etichette.

   Per altre informazioni, vedere la guida all'amministratore client di etichettatura unificata.

4. Introdurre configurazioni più avanzate

   Attendere che gli utenti diventino più comodi con le etichette nei documenti e nei messaggi di posta elettronica. Quando si è pronti, introdurre configurazioni avanzate, ad esempio:

   • Applicazione di etichette predefinite
   • Richiedere agli utenti la giustificazione se hanno scelto un'etichetta con un livello di classificazione inferiore o rimuovere un'etichetta
   • Mandando che tutti i documenti e i messaggi di posta elettronica abbiano un'etichetta
   • Personalizzazione di intestazioni, piè di pagina o filigrane
   • Etichettatura consigliata e automatica

   Per altre informazioni, vedere guida Amministrazione: configurazioni personalizzate.

   Suggerimento

   Se sono state configurate etichette per l'etichettatura automatica, eseguire nuovamente lo scanner di Azure Information Protection negli archivi dati locali in modalità di individuazione e per corrispondere ai criteri.

   L'esecuzione dello scanner in modalità di individuazione indica quali etichette verranno applicate ai file, che consentono di ottimizzare la configurazione dell'etichetta e prepararsi per classificare e proteggere i file in blocco.

Prepararsi per la protezione dei dati

Introdurre la protezione dei dati per i dati più sensibili dopo che gli utenti diventano comodi documenti e messaggi di posta elettronica.

Seguire questa procedura per preparare la protezione dei dati:

1. Determinare come gestire la chiave del tenant.

   Decidere se si desidera che Microsoft gestisca la chiave del tenant (impostazione predefinita) oppure generare e gestire personalmente la chiave del tenant. Questo servizio è noto come BYOK (Bring Your Own Key).

   Per altre informazioni e opzioni per una protezione aggiuntiva locale, vedere Pianificazione e implementazione della chiave tenant di Azure Information Protection.

2. Installare PowerShell per AIP.

   Installare il modulo PowerShell per AIPService in almeno un computer con accesso a Internet. È possibile eseguire questo passaggio subito o più avanti.

   Per altre informazioni, vedere Installazione del modulo PowerShell di AIPService.

3. Solo AD RMS: eseguire la migrazione delle chiavi, dei modelli e degli URL nel cloud.

   Se si usa AD RMS, eseguire una migrazione per spostare le chiavi, i modelli e gli URL nel cloud.

   Per altre informazioni, vedere Migrazione da AD RMS a Information Protection.

4. Attivare la protezione.

   Verificare che il servizio di protezione sia attivato in modo che sia possibile iniziare a proteggere documenti e messaggi di posta elettronica. Se si distribuisce in più fasi, configurare i controlli di onboarding utente per limitare la capacità degli utenti di applicare la protezione.

   Per altre informazioni, vedere Attivazione del servizio di protezione da Azure Information Protection.

5. Prendere in considerazione la registrazione dell'utilizzo (facoltativa).

   Valutare la possibilità di registrare l'utilizzo per monitorare il modo in cui l'organizzazione usa il servizio protezione. È possibile eseguire questo passaggio subito o più avanti.

   Per altre informazioni, vedere Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection.

Configurare etichette e impostazioni, applicazioni e servizi per la protezione dei dati

Eseguire questa procedura:

1. Aggiornare le etichette per applicare la protezione

   Per altre informazioni, vedere Limitare l'accesso al contenuto usando la crittografia nelle etichette di riservatezza.

   Importante

   Gli utenti possono applicare etichette in Outlook che applicano la protezione Rights Management anche se Exchange non è configurato per Information Rights Management (IRM).

   Tuttavia, fino a quando Exchange non è configurato per IRM o Microsoft 365 Message Encryption con nuove funzionalità, l'organizzazione non otterrà la funzionalità completa dell'uso della protezione di Azure Rights Management con Exchange. Questa configurazione aggiuntiva è inclusa nell'elenco seguente, 2 per Exchange Online e 5 per Exchange locale.

2. Configurare le applicazioni e i servizi di Office

   Configurare applicazioni e servizi di Office per le funzionalità di Information Rights Management (IRM) in Microsoft SharePoint o Exchange Online.

   Per altre informazioni, vedere Configurazione delle applicazioni per Azure Rights Management.

3. Configurare la funzionalità relativa agli utenti con privilegi avanzati per il ripristino dei dati

   Se sono presenti servizi IT che prevedono l'analisi dei file che verranno protetti da Azure Information Protection, ad esempio soluzioni di prevenzione della perdita di dati, gateway con crittografia del contenuto e prodotti antimalware, configurare gli account di tali servizi come utenti con privilegi avanzati per Azure Rights Management.

   Per altre informazioni, vedere Configuring super users for Azure Information Protection and discovery services or data recovery .For more information, see Configuring super users for Azure Information Protection and discovery services or data recovery.

4. Classificare e proteggere i file esistenti in blocco

   Per gli archivi dati locali, eseguire ora lo scanner di Azure Information Protection in modalità di imposizione in modo che i file vengano etichettati automaticamente.

   Per i file nei PC, usare i cmdlet di PowerShell per classificare e proteggere i file. Per altre informazioni, vedere Uso di PowerShell con il client di etichettatura unificata di Azure Information Protection.

   Per gli archivi dati basati sul cloud, usare Microsoft Defender for Cloud Apps.

   Suggerimento

   Anche se la classificazione e la protezione dei file esistenti in blocco non è uno dei principali casi d'uso per Defender for Cloud Apps, le soluzioni alternative documentate consentono di classificare e proteggere i file.

5. Distribuire il connettore per le raccolte protette con IRM in SharePoint Server e i messaggi protetti con IRM per Exchange locale

   Se si dispone di SharePoint ed Exchange locale e si vogliono usare le funzionalità di Information Rights Management (IRM), installare e configurare il connettore di Rights Management.

   Per altre informazioni, vedere Distribuzione del connettore Microsoft Rights Management.

Usare e monitorare le soluzioni di protezione dei dati

A questo punto è possibile monitorare il modo in cui l'organizzazione usa le etichette configurate e verificare di proteggere le informazioni riservate.

Per ulteriori informazioni, vedere i seguenti argomenti:

• Creazione di report centrali per azure Information Protection - attualmente in anteprima
• Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection

Amministrare il servizio di protezione per l'account tenant in base alle esigenze

Quando si inizia a usare il servizio di protezione, PowerShell può essere utile per facilitare l'esecuzione di script o l'automazione di modifiche di carattere amministrativo. Per alcune delle configurazioni avanzate potrebbe essere richiesto anche PowerShell.

Per altre informazioni, vedere Amministrazione della protezione da Azure Information Protection tramite PowerShell.

Passaggi successivi

Quando si distribuisce Azure Information Protection, potrebbe risultare utile controllare le domande frequenti, i problemi noti e la pagina informazioni e supporto per altre risorse.