Domande frequenti per Azure Information Protection (AIP)
Nota
Stai cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?
Il componente aggiuntivo di Azure Information Protection per Office è ora in modalità di manutenzione e si consiglia di usare le etichette predefinite per le app e i servizi Office 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.
Domande su Azure Information Protection (AIP) o sul servizio Azure Rights Management (Azure RMS)?
Vedere se è risposto di seguito o nelle pagine successive, più specifiche e frequenti.
Qual è la differenza tra Azure Information Protection e Microsoft Purview Information Protection?
A differenza di Azure Information Protection, Microsoft Purview Information Protection non è una sottoscrizione o un prodotto che è possibile acquistare. È invece un framework per i prodotti e le funzionalità integrate che consentono di proteggere le informazioni sensibili dell'organizzazione.
Microsoft Purview Information Protection prodotti includono:
- Azure Information Protection
- Microsoft 365 Information Protection, ad esempio Microsoft 365 DLP
- Windows Information Protection
- Microsoft Defender for Cloud Apps
Microsoft Purview Information Protection funzionalità includono:
- Gestione delle etichette unificata
- Esperienze di etichettatura degli utenti finali incorporate nelle app di Office
- La possibilità per Windows di comprendere le etichette unificate e applicare la protezione ai dati
- SDK di Microsoft Information Protection
- Funzionalità in Adobe Acrobat Reader per visualizzare pdf etichettati e protetti
Per altre informazioni, vedere Funzionalità di protezione delle informazioni per proteggere i dati sensibili.
Come è possibile determinare se il tenant si trova nella piattaforma di etichettatura unificata?
Quando il tenant si trova nella piattaforma di etichettatura unificata, supporta le etichette di riservatezza che possono essere usate dai client e dai servizi che supportano l'etichettatura unificata. Se è stata ottenuta la sottoscrizione per Azure Information Protection a giugno 2019 o versioni successive, il tenant si trova automaticamente nella piattaforma di etichettatura unificata e non è necessaria alcuna ulteriore azione. Il tenant potrebbe anche trovarsi in questa piattaforma perché qualcuno ha eseguito la migrazione delle etichette di Azure Information Protection.
Se il tenant non si trova nella piattaforma di etichettatura unificata, verrà visualizzato il banner informativo seguente nel portale di Azure, nei riquadri di Azure Information Protection:
È anche possibile controllare passando ad Azure Information Protection>Manage>Unified labeling e visualizzare lo stato di etichettatura unificata:
| Stato | Descrizione |
|---|---|
| Attivato | Il tenant si trova nella piattaforma di etichettatura unificata. È possibile creare, configurare e pubblicare etichette dal Portale di conformità di Microsoft Purview. |
| Non attivato | Il tenant non è nella piattaforma di etichettatura unificata. Per istruzioni e indicazioni sulla migrazione, vedere Come eseguire la migrazione delle etichette di Azure Information Protection alle etichette di riservatezza unificata. |
Quale è la differenza tra Azure Information Protection e Azure Rights Management?
Azure Information Protection (AIP) fornisce classificazione, etichettatura e protezione per i documenti e i messaggi di posta elettronica di un'organizzazione.
Il contenuto è protetto usando il servizio Azure Rights Management, che è ora un componente di AIP.
Per altre informazioni, vedere Come AIP protegge i dati e Che cos'è Azure Rights Management?.
Qual è il ruolo della gestione delle identità per Azure Information Protection?
Gestione delle identità è un componente importante di AIP, poiché gli utenti devono avere un nome utente e una password validi per accedere al contenuto protetto.
Per altre informazioni su come Azure Information Protection consente di proteggere i dati, vedere Il ruolo di Azure Information Protection nella protezione dei dati.
Quale sottoscrizione è necessaria per Azure Information Protection e quali funzionalità sono incluse?
Per altre informazioni sulle sottoscrizioni AIP, vedere:
- Linee guida sulle licenze di Microsoft 365 per la conformità alla sicurezza &
- Confronto piano di lavoro moderno (download PDF)
È necessario essere un amministratore globale per configurare Azure Information Protection oppure tale configurazione può essere delegata ad altri amministratori?
Gli amministratori globali per un tenant di Microsoft 365 o un tenant di Azure AD possono ovviamente eseguire tutte le attività amministrative per Azure Information Protection.
Tuttavia, se si desidera assegnare autorizzazioni amministrative ad altri utenti, usare i ruoli seguenti:
- Amministratore di Azure Information Protection
- Amministratore conformità o amministratore dei dati di conformità
- Amministratore della sicurezza
- Amministratore globale di Azure Rights Management e Amministratore connettore
Si noti inoltre quanto segue quando si gestiscono attività amministrative e ruoli:
| Problema | Dettagli |
|---|---|
| Tipi di account supportati | Gli account Microsoft non sono supportati per l'amministrazione delegata di Azure Information Protection, anche se questi account vengono assegnati a uno dei ruoli amministrativi elencati. |
| Controlli di onboarding | Se i controlli di onboarding sono stati configurati, ciò non influisce sulla possibilità di amministrare Azure Information Protection, fatta eccezione per il connettore RMS. Ad esempio, se sono stati configurati controlli di onboarding in modo che la possibilità di proteggere il contenuto sia limitata al gruppo di reparto IT , l'account usato per installare e configurare il connettore RMS deve essere un membro di tale gruppo. |
| Rimozione della protezione | Gli amministratori non possono rimuovere automaticamente la protezione da documenti o messaggi di posta elettronica protetti da Azure Information Protection. Solo gli utenti assegnati come utenti avanzati possono rimuovere la protezione e solo quando la funzionalità utente superiore è abilitata. Qualsiasi utente con autorizzazioni amministrative per Azure Information Protection può abilitare la funzionalità utente superutente e assegnare utenti come utenti avanzati, incluso il proprio account. Queste azioni vengono registrate in un registro amministratore. Per altre informazioni, vedere la sezione Procedure consigliate per la sicurezza in Configurazione di utenti avanzati per i servizi di Information Protection e individuazione di Azure o il ripristino dei dati. Suggerimento: se il contenuto viene archiviato in SharePoint o OneDrive, gli amministratori possono eseguire il cmdlet Unlock-SensitivityLabelEncryptedFile per rimuovere sia l'etichetta di riservatezza che la crittografia. Per altre informazioni, vedere la documentazione di Microsoft 365. |
| Migrazione all'archivio di etichettatura unificata | Se si esegue la migrazione delle etichette di Azure Information Protection all'archivio di etichettatura unificata, assicurarsi di leggere la sezione seguente dalla documentazione sulla migrazione delle etichette: Ruoli amministrativi che supportano la piattaforma di etichettatura unificata. |
Amministratore di Azure Information Protection
Questo ruolo di amministratore di Azure Active Directory consente a un amministratore di configurare Azure Information Protection ma non ad altri servizi.
Gli amministratori con questo ruolo possono:
- Attivare e disattivare il servizio protezione di Azure Rights Management
- Configurare le impostazioni e le etichette di protezione
- Configurare i criteri di Azure Information Protection
- Eseguire tutti i cmdlet di PowerShell per il client di Azure Information Protection e dal modulo AIPService
Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Azure Active Directory.
Nota
Questo ruolo non è supportato nella portale di Azure se il tenant si trova nella piattaforma di etichettatura unificata.
Amministratore conformità o amministratore dei dati di conformità
Questi ruoli di amministratore di Azure Active Directory consentono agli amministratori di:
- Configurare Information Protection di Azure, inclusa l'attivazione e la disattivazione del servizio protezione di Azure Rights Management
- Configurare le impostazioni e le etichette di protezione
- Configurare i criteri di Azure Information Protection
- Eseguire tutti i cmdlet di PowerShell per il client di Azure Information Protection e dal modulo AIPService.
Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Azure Active Directory.
Per vedere quali altre autorizzazioni hanno un utente con questi ruoli, vedere la sezione Ruoli disponibili nella documentazione di Azure Active Directory.
Nota
Questi ruoli non supportano il rilevamento e la revoca dei documenti per gli utenti.
Amministratore della sicurezza
Questo ruolo di amministratore di Azure Active Directory consente agli amministratori di configurare l'Information Protection di Azure nei portale di Azure e alcuni aspetti di altri servizi di Azure.
Gli amministratori con questo ruolo non possono eseguire uno dei cmdlet di PowerShell dal modulo AIPService o tenere traccia e revocare documenti per gli utenti.
Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Azure Active Directory.
Per conoscere le altre autorizzazioni di cui dispone un utente con questo ruolo, vedere la sezione Ruoli disponibili della documentazione di Azure Active Directory.
Amministratore globale di Azure Rights Management e Amministratore connettore
Il ruolo Amministratore globale consente agli utenti di eseguire tutti i cmdlet di PowerShell dal modulo AIPService senza renderli un amministratore globale per altri servizi cloud.
Il ruolo Amministratore connettore consente agli utenti di eseguire solo il connettore Rights Management (RMS).
Questi ruoli amministrativi non concedeno autorizzazioni alle console di gestione. Il ruolo Amministratore connettore non supporta anche il rilevamento e la revoca dei documenti per gli utenti.
Per assegnare uno di questi ruoli amministrativi, usare il cmdlet di PowerShell AIPService, Add-AipServiceRoleBasedAdministrator.
Azure Information Protection supporta scenari locali e ibridi?
Sì. Anche se è una soluzione basata sul cloud, Azure Information Protection può classificare, etichettare e proteggere documenti e messaggi di posta elettronica archiviati in locale, oltre che nel cloud.
Se si dispone di Exchange Server, SharePoint Server e file server Windows, usare uno o entrambi i metodi seguenti:
- Distribuire il connettore Rights Management in modo che questi server locali possano usare il servizio Azure Rights Management per proteggere i messaggi di posta elettronica e i documenti
- Sincronizzare e federate i controller di dominio Active Directory con Azure AD per un'esperienza di autenticazione più semplice per gli utenti. Ad esempio, usare Azure AD Connect.
Il servizio Azure Rights Management genera automaticamente e gestisce automaticamente i certificati XrML in base alle esigenze, pertanto non usa un'infrastruttura PKI locale.
Per altre informazioni sul modo in cui Azure Rights Management usa i certificati, vedere la procedura dettagliata relativa al funzionamento di Azure RMS: prima uso, protezione del contenuto, utilizzo del contenuto.
Quali tipi di dati è possibile classificare e proteggere tramite Azure Information Protection?
Azure Information Protection consente di classificare e proteggere messaggi di posta elettronica e documenti, sia in locale che nel cloud. Questi documenti includono documenti di Word, fogli di calcolo di Excel, presentazioni di PowerPoint, documenti PDF, file di testo e file di immagine.
Per altre informazioni, vedere i tipi di file di elenco completi supportati.
Nota
Azure Information Protection non è in grado di classificare e proteggere dati strutturati, ad esempio file di database, elementi del calendario, post di Yammer, Sway contenuto e notebook di OneNote.
Suggerimento
Power BI supporta la classificazione usando le etichette di riservatezza e può applicare la protezione da tali etichette ai dati esportati nei formati di file seguenti: .pdf, .xls e .ppt. Per altre informazioni, vedere Protezione dei dati in Power BI.
Azure Information Protection è elencata come un'app cloud disponibile per l'accesso condizionale, come funziona?
Sì, come offerta di anteprima, è possibile configurare l'accesso condizionale di Azure AD per Azure Information Protection.
Quando un utente apre un documento protetto da Azure Information Protection, gli amministratori possono ora bloccare o concedere l'accesso agli utenti nel tenant, in base ai controlli di accesso condizionale standard. La richiesta di autenticazione a più fattori (MFA) è una delle condizioni più comunemente richieste. Un altro è che i dispositivi devono essere conformi ai criteri di Intune in modo che, ad esempio, i dispositivi mobili soddisfino i requisiti della password e una versione minima del sistema operativo e i computer devono essere aggiunti al dominio.
Per altre informazioni ed esempi di procedura dettagliata, vedere il post del blog Conditional Access policies for Azure Information Protection (Criteri di accesso condizionale per Azure Information Protection).
Altre informazioni:
| Argomento | Dettagli |
|---|---|
| Frequenza di valutazione | Per i computer Windows e la versione di anteprima corrente, i criteri di accesso condizionale per Azure Information Protection vengono valutati quando l'ambiente utente viene inizializzato (questo processo è noto anche come bootstrapping) e quindi ogni 30 giorni. Per ottimizzare la frequenza con cui vengono valutati i criteri di accesso condizionale, configurare la durata del token. |
| Account amministratore | È consigliabile non aggiungere account di amministratore ai criteri di accesso condizionale perché questi account non potranno accedere al riquadro Information Protection di Azure nel portale di Azure. |
| Collaborazione MFA e B2B | Se si usa l'autenticazione a più fattori nei criteri di accesso condizionale per la collaborazione con altre organizzazioni (B2B), è necessario usare la collaborazione B2B di Azure AD e creare account guest per gli utenti con cui si vuole procedere alla condivisione nell'altra organizzazione. |
| Condizioni per l'uso delle richieste | Con la versione di anteprima di dicembre 2018 di Azure AD, è ora possibile richiedere agli utenti di accettare condizioni di utilizzo prima di aprire un documento protetto per la prima volta. |
| App cloud | Se si usano numerose app cloud per l'accesso condizionale, si potrebbe riscontrare che l'app Microsoft Azure Information Protection non viene visualizzata nell'elenco per la selezione. In questo caso, usare la casella di ricerca nella parte superiore dell'elenco. Iniziare a digitare "Microsoft Azure Information Protection" per filtrare le app disponibili. Se si ha una sottoscrizione supportata, l'app Microsoft Azure Information Protection verrà quindi visualizzata per la selezione. |
Nota
Il supporto di Azure Information Protection per l'accesso condizionale è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Azure Information Protection è disponibile in tutti i paesi?
Paesi diversi hanno normative e requisiti differenti. Per ottenere una risposta a questa domanda per l'organizzazione specifica, vedere Idoneità per paesi diversi.
In quale modo Azure Information Protection può essere utile per il Regolamento generale sulla protezione dei dati?
Nota
Se si è interessati a visualizzare o eliminare i dati personali, consultare le indicazioni di Microsoft in Microsoft Purview Compliance Manager e nella sezione GDPR del sito di conformità Microsoft 365 Enterprise. Se si cercano le informazioni generali sull'RGPD, vedere la sezione sull'RGPD del portale del servizio attendibile.
Dov'è possibile reperire le informazioni di supporto per Azure Information Protection, ad esempio le note legali, le informazioni sulla conformità e i contratti di servizio?
Vedere Informazioni su conformità e supporto per Azure Information Protection.
Come è possibile segnalare un problema o inviare commenti e suggerimenti per Azure Information Protection?
Per il supporto tecnico, usare i canali di supporto standard oppure contattare il supporto tecnico Microsoft.
È anche possibile rivolgersi al team di ingegneri nel sito di Yammer per Azure Information Protection.
Cosa faccio se la mia domanda non è qui?
Prima di tutto, esaminare le domande frequenti elencate di seguito, specifiche per la classificazione e l'etichettatura o specifiche per la protezione dei dati. Il servizio Azure Rights Management (Azure RMS) fornisce la tecnologia di protezione dei dati per Azure Information Protection. Azure RMS può essere usato con la classificazione e l'assegnazione di etichette o in modo indipendente.
Se la domanda non viene risposta, vedere i collegamenti e le risorse elencati in Informazioni e supporto per Azure Information Protection.