Domande frequenti su Azure Information Protection (AIP)

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il client di etichettatura unificata di Azure Information Protection è ora in modalità di manutenzione. È consigliabile usare etichette predefinite per le app e i servizi Office 365. Ulteriori informazioni

Domande su Azure Information Protection (AIP) o sul servizio Azure Rights Management (Azure RMS)?

Verificare se la risposta è riportata di seguito o nelle pagine successive, più specifiche, domande frequenti.

Qual è la differenza tra Azure Information Protection e Microsoft Purview Information Protection?

A differenza di Azure Information Protection, Microsoft Purview Information Protection non è una sottoscrizione o un prodotto che è possibile acquistare. Si tratta invece di un framework per i prodotti e le funzionalità integrate che consentono di proteggere le informazioni riservate dell'organizzazione.

Microsoft Purview Information Protection prodotti includono:

  • Azure Information Protection
  • Microsoft 365 Information Protection, ad esempio Microsoft 365 DLP
  • Windows Information Protection
  • Microsoft Defender for Cloud Apps

Microsoft Purview Information Protection funzionalità includono:

  • Gestione delle etichette unificate
  • Esperienze di etichettatura degli utenti finali integrate nelle app di Office
  • Possibilità per Windows di comprendere le etichette unificate e applicare la protezione ai dati
  • SDK di Microsoft Information Protection
  • Funzionalità di Adobe Acrobat Reader per visualizzare pdf etichettati e protetti

Per altre informazioni, vedere Funzionalità di protezione delle informazioni per proteggere i dati sensibili.

Come è possibile determinare se il tenant si trova nella piattaforma di etichettatura unificata?

Quando il tenant si trova nella piattaforma di etichettatura unificata, supporta le etichette di riservatezza che possono essere usate da client e servizi che supportano l'etichettatura unificata. Se la sottoscrizione per Azure Information Protection è stata ottenuta nel mese di giugno 2019 o versione successiva, il tenant si trova automaticamente nella piattaforma di etichettatura unificata e non sono necessarie altre azioni. Il tenant potrebbe anche trovarsi in questa piattaforma perché qualcuno ha eseguito la migrazione delle etichette di Azure Information Protection.

Se il tenant non si trova nella piattaforma di etichettatura unificata, nel portale di Azure riquadro Azure Information Protection verrà visualizzato il banner informativo seguente:

Banner delle informazioni sulla migrazione

È anche possibile controllare passando ad Azure Information Protection>Gestisci>etichettatura unificata e visualizzare lo stato di etichettatura unificata:

Stato Descrizione
Attivato Il tenant si trova nella piattaforma di etichettatura unificata.
È possibile creare, configurare e pubblicare etichette dal Portale di conformità di Microsoft Purview.
Non attivato Il tenant non si trova nella piattaforma di etichettatura unificata.
Per istruzioni e indicazioni sulla migrazione, vedere Come eseguire la migrazione delle etichette di azure Information Protection alle etichette di riservatezza unificate.

Quale è la differenza tra Azure Information Protection e Azure Rights Management?

Azure Information Protection (AIP) fornisce classificazione, etichettatura e protezione per i documenti e i messaggi di posta elettronica di un'organizzazione.

Il contenuto è protetto usando il servizio Azure Rights Management, che è ora un componente di AIP.

Per altre informazioni, vedere Come AIP protegge i dati e Che cos'è Azure Rights Management?.

Qual è il ruolo di gestione delle identità per Azure Information Protection?

La gestione delle identità è un componente importante di AIP, perché gli utenti devono avere un nome utente e una password validi per accedere al contenuto protetto.

Per altre informazioni su come Azure Information Protection consente di proteggere i dati, vedere Il ruolo di Azure Information Protection nella protezione dei dati.

Quale sottoscrizione è necessaria per Azure Information Protection e quali funzionalità sono incluse?

Per altre informazioni sulle sottoscrizioni AIP, vedere:

È necessario essere un amministratore globale per configurare Azure Information Protection oppure tale configurazione può essere delegata ad altri amministratori?

Gli amministratori globali per un tenant di Microsoft 365 o azure AD possono ovviamente eseguire tutte le attività amministrative per Azure Information Protection.

Tuttavia, se si vogliono assegnare autorizzazioni amministrative ad altri utenti, usare i ruoli seguenti:

Quando si gestiscono attività e ruoli amministrativi, tenere presente quanto segue:

Problema Dettagli
Tipi di account supportati Gli account Microsoft non sono supportati per l'amministrazione delegata di Azure Information Protection, anche se questi account vengono assegnati a uno dei ruoli amministrativi elencati.
Controlli di onboarding Se i controlli di onboarding sono stati configurati, ciò non influisce sulla possibilità di amministrare Azure Information Protection, fatta eccezione per il connettore RMS.

Ad esempio, se sono stati configurati controlli di onboarding in modo che la possibilità di proteggere il contenuto sia limitato al gruppo di reparto IT , l'account usato per installare e configurare il connettore RMS deve essere membro di tale gruppo.
Rimozione della protezione Gli amministratori non possono rimuovere automaticamente la protezione da documenti o messaggi di posta elettronica protetti da Azure Information Protection.

Solo gli utenti assegnati come utenti con privilegi avanzati possono rimuovere la protezione e solo quando la funzionalità utente con privilegi avanzati è abilitata.

Qualsiasi utente con autorizzazioni amministrative per Azure Information Protection può abilitare la funzionalità utente con privilegi avanzati e assegnare gli utenti come utenti con privilegi avanzati, incluso il proprio account.

Queste azioni vengono registrate in un registro amministratore.

Per altre informazioni, vedere la sezione Procedure consigliate per la sicurezza in Configurazione di utenti con privilegi avanzati per Azure Information Protection e servizi di individuazione o ripristino dei dati.

Suggerimento: se il contenuto viene archiviato in SharePoint o OneDrive, gli amministratori possono eseguire il cmdlet Unlock-SensitivityLabelEncryptedFile per rimuovere sia l'etichetta di riservatezza che la crittografia. Per altre informazioni, vedere la documentazione di Microsoft 365.
Migrazione all'archivio di etichettatura unificata Se si esegue la migrazione delle etichette di Azure Information Protection all'archivio di etichettatura unificata, leggere la sezione seguente dalla documentazione sulla migrazione delle etichette:
Ruoli amministrativi che supportano la piattaforma di etichettatura unificata.

Amministratore di Azure Information Protection

Questo ruolo di amministratore di Azure Active Directory consente a un amministratore di configurare Azure Information Protection ma non altri servizi.

Gli amministratori con questo ruolo possono:

  • Attivare e disattivare il servizio di protezione di Azure Rights Management
  • Configurare le impostazioni e le etichette di protezione
  • Configurare i criteri di Azure Information Protection
  • Eseguire tutti i cmdlet di PowerShell per il client azure Information Protection e dal modulo AIPService

Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Azure Active Directory.

Nota

Questo ruolo non è supportato nel portale di Azure se il tenant si trova nella piattaforma di etichettatura unificata.

Amministratore conformità o amministratore dei dati di conformità

Questi ruoli di amministratore di Azure Active Directory consentono agli amministratori di:

  • Configurare Azure Information Protection, inclusa l'attivazione e la disattivazione del servizio di protezione di Azure Rights Management
  • Configurare le impostazioni e le etichette di protezione
  • Configurare i criteri di Azure Information Protection
  • Eseguire tutti i cmdlet di PowerShell per il client azure Information Protection e dal modulo AIPService.

Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Azure Active Directory.

Per informazioni sulle altre autorizzazioni di cui dispone un utente con questi ruoli, vedere la sezione Ruoli disponibili nella documentazione di Azure Active Directory.

Nota

Questi ruoli non supportano il rilevamento e la revoca dei documenti per gli utenti.

Lettore di sicurezza o lettore globale

Questi ruoli vengono usati solo per l'analisi di Azure Information Protection e consentono agli amministratori di:

  • Visualizzare il modo in cui vengono usate le etichette
  • Monitorare l'accesso utente a documenti e messaggi di posta elettronica etichettati
  • Visualizzare le modifiche apportate alla classificazione
  • Identificare i documenti che contengono informazioni riservate che devono essere protette

Poiché questa funzionalità usa Monitoraggio di Azure, è necessario avere anche un ruolo di controllo degli accessi in base al ruolo di supporto.

Amministratore della sicurezza

Questo ruolo di amministratore di Azure Active Directory consente agli amministratori di configurare l'Information Protection di Azure nei portale di Azure e alcuni aspetti di altri servizi di Azure.

Gli amministratori con questo ruolo non possono eseguire uno dei cmdlet di PowerShell dal modulo AIPService o tenere traccia e revocare documenti per gli utenti.

Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Azure Active Directory.

Per conoscere le altre autorizzazioni di cui dispone un utente con questo ruolo, vedere la sezione Ruoli disponibili della documentazione di Azure Active Directory.

Amministratore globale di Azure Rights Management e Amministratore connettore

Il ruolo Amministratore globale consente agli utenti di eseguire tutti i cmdlet di PowerShell dal modulo AIPService senza renderli un amministratore globale per altri servizi cloud.

Il ruolo Amministratore connettore consente agli utenti di eseguire solo il connettore Rights Management (RMS).

Questi ruoli amministrativi non concedeno autorizzazioni alle console di gestione. Il ruolo Amministratore connettore non supporta anche il rilevamento e la revoca dei documenti per gli utenti.

Per assegnare uno di questi ruoli amministrativi, usare il cmdlet di PowerShell AIPService, Add-AipServiceRoleBasedAdministrator.

Azure Information Protection supporta scenari locali e ibridi?

Sì. Anche se è una soluzione basata sul cloud, Azure Information Protection può classificare, etichettare e proteggere documenti e messaggi di posta elettronica archiviati in locale, oltre che nel cloud.

Se si dispone di Exchange Server, SharePoint Server e file server Windows, usare uno o entrambi i metodi seguenti:

  • Distribuire il connettore Rights Management in modo che questi server locali possano usare il servizio Azure Rights Management per proteggere i messaggi di posta elettronica e i documenti
  • Sincronizzare e federate i controller di dominio Active Directory con Azure AD per un'esperienza di autenticazione più semplice per gli utenti. Ad esempio, usare Azure AD Connect.

Il servizio Azure Rights Management genera automaticamente e gestisce automaticamente i certificati XrML in base alle esigenze, pertanto non usa un'infrastruttura PKI locale.

Per altre informazioni sul modo in cui Azure Rights Management usa i certificati, vedere la procedura dettagliata relativa al funzionamento di Azure RMS: prima uso, protezione del contenuto, utilizzo del contenuto.

Quali tipi di dati è possibile classificare e proteggere tramite Azure Information Protection?

Azure Information Protection consente di classificare e proteggere messaggi di posta elettronica e documenti, sia in locale che nel cloud. Questi documenti includono documenti di Word, fogli di calcolo di Excel, presentazioni di PowerPoint, documenti PDF, file di testo e file di immagine.

Per altre informazioni, vedere i tipi di file di elenco completi supportati.

Nota

Azure Information Protection non è in grado di classificare e proteggere dati strutturati, ad esempio file di database, elementi del calendario, post di Yammer, Sway contenuto e notebook di OneNote.

Suggerimento

Power BI supporta la classificazione usando le etichette di riservatezza e può applicare la protezione da tali etichette ai dati esportati nei formati di file seguenti: .pdf, .xls e .ppt. Per altre informazioni, vedere Protezione dei dati in Power BI.

Azure Information Protection è elencata come un'app cloud disponibile per l'accesso condizionale, come funziona?

Sì, come offerta di anteprima, è possibile configurare l'accesso condizionale di Azure AD per Azure Information Protection.

Quando un utente apre un documento protetto da Azure Information Protection, gli amministratori possono ora bloccare o concedere l'accesso agli utenti nel tenant, in base ai controlli di accesso condizionale standard. La richiesta di autenticazione a più fattori (MFA) è una delle condizioni più comunemente richieste. Un altro è che i dispositivi devono essere conformi ai criteri di Intune in modo che, ad esempio, i dispositivi mobili soddisfino i requisiti della password e una versione minima del sistema operativo e i computer devono essere aggiunti al dominio.

Per altre informazioni ed esempi di procedura dettagliata, vedere il post del blog Conditional Access policies for Azure Information Protection (Criteri di accesso condizionale per Azure Information Protection).

Altre informazioni:

Argomento Dettagli
Frequenza di valutazione Per i computer Windows e la versione di anteprima corrente, i criteri di accesso condizionale per Azure Information Protection vengono valutati quando l'ambiente utente viene inizializzato (questo processo è noto anche come bootstrapping) e quindi ogni 30 giorni.

Per ottimizzare la frequenza con cui vengono valutati i criteri di accesso condizionale, configurare la durata del token.
Account amministratore È consigliabile non aggiungere account di amministratore ai criteri di accesso condizionale perché questi account non potranno accedere al riquadro Information Protection di Azure nel portale di Azure.
Collaborazione MFA e B2B Se si usa l'autenticazione a più fattori nei criteri di accesso condizionale per la collaborazione con altre organizzazioni (B2B), è necessario usare la collaborazione B2B di Azure AD e creare account guest per gli utenti con cui si vuole procedere alla condivisione nell'altra organizzazione.
Condizioni per l'uso delle richieste Con la versione di anteprima di dicembre 2018 di Azure AD, è ora possibile richiedere agli utenti di accettare condizioni di utilizzo prima di aprire un documento protetto per la prima volta.
App cloud Se si usano numerose app cloud per l'accesso condizionale, si potrebbe riscontrare che l'app Microsoft Azure Information Protection non viene visualizzata nell'elenco per la selezione.

In questo caso, usare la casella di ricerca nella parte superiore dell'elenco. Iniziare a digitare "Microsoft Azure Information Protection" per filtrare le app disponibili. Se si ha una sottoscrizione supportata, l'app Microsoft Azure Information Protection verrà quindi visualizzata per la selezione.

Nota

Il supporto di Azure Information Protection per l'accesso condizionale è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Azure Information Protection è disponibile in tutti i paesi?

Paesi diversi hanno normative e requisiti differenti. Per ottenere una risposta a questa domanda per l'organizzazione specifica, vedere Idoneità per paesi diversi.

In quale modo Azure Information Protection può essere utile per il Regolamento generale sulla protezione dei dati?

Nota

Se si è interessati a visualizzare o eliminare i dati personali, consultare le indicazioni di Microsoft in Microsoft Purview Compliance Manager e nella sezione GDPR del sito di conformità Microsoft 365 Enterprise. Se si cercano le informazioni generali sull'RGPD, vedere la sezione sull'RGPD del portale del servizio attendibile.

Vedere Informazioni su conformità e supporto per Azure Information Protection.

Come è possibile segnalare un problema o inviare commenti e suggerimenti per Azure Information Protection?

Per il supporto tecnico, usare i canali di supporto standard oppure contattare il supporto tecnico Microsoft.

È anche possibile rivolgersi al team di ingegneri nel sito di Yammer per Azure Information Protection.

Cosa faccio se la mia domanda non è qui?

Prima di tutto, esaminare le domande frequenti elencate di seguito, specifiche per la classificazione e l'etichettatura o specifiche per la protezione dei dati. Il servizio Azure Rights Management (Azure RMS) fornisce la tecnologia di protezione dei dati per Azure Information Protection. Azure RMS può essere usato con la classificazione e l'assegnazione di etichette o in modo indipendente.

Se la domanda non viene risposta, vedere i collegamenti e le risorse elencati in Informazioni e supporto per Azure Information Protection.