Domande frequenti su Azure Information Protection (AIP)
Nota
Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?
Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.
Il client Microsoft Purview Information Protection (senza il componente aggiuntivo) è disponibile a livello generale.
Domande su Azure Information Protection (AIP) o sul servizio Azure Rights Management (Azure RMS)?
Verificare se la risposta è riportata di seguito o nelle pagine successive, più specifiche, domande frequenti.
Qual è la differenza tra Azure Information Protection e Microsoft Purview Information Protection?
A differenza di Azure Information Protection, Microsoft Purview Information Protection non è una sottoscrizione o un prodotto che è possibile acquistare. Si tratta invece di un framework per prodotti e funzionalità integrate che consentono di proteggere le informazioni riservate dell'organizzazione.
I prodotti Microsoft Purview Information Protection includono:
- Azure Information Protection
- Microsoft 365 Information Protection, ad esempio Microsoft 365 DLP
- Windows Information Protection
- Microsoft Defender for Cloud Apps
Le funzionalità di Microsoft Purview Information Protection includono:
- Gestione unificata delle etichette
- Esperienze di etichettatura degli utenti finali integrate in app Office
- La possibilità per Windows di comprendere le etichette unificate e applicare la protezione ai dati
- The Microsoft Information Protection SDK
- Funzionalità in Adobe Acrobat Reader per visualizzare pdf etichettati e protetti
Per altre informazioni, vedere Funzionalità di protezione delle informazioni per proteggere i dati sensibili.
Qual è la differenza tra Azure Information Protection e Azure Rights Management?
Azure Information Protection (AIP) fornisce classificazione, etichettatura e protezione per i documenti e i messaggi di posta elettronica di un'organizzazione.
Il contenuto è protetto tramite il servizio Azure Rights Management, che è ora un componente di AIP.
Per altre informazioni, vedere Come AIP protegge i dati e Che cos'è Azure Rights Management?.
Quale sottoscrizione è necessaria per Azure Information Protection e quali funzionalità sono incluse?
Per altre informazioni sulle sottoscrizioni AIP, vedere:
- Linee guida sulle licenze di Microsoft 365 per la sicurezza e la conformità
- Confronto tra piani di lavoro moderni (download PDF)
È necessario essere un amministratore globale per configurare Azure Information Protection è possibile delegare ad altri amministratori?
Gli amministratori globali per un tenant di Microsoft 365 o un tenant di Microsoft Entra possono ovviamente eseguire tutte le attività amministrative per Azure Information Protection.
Tuttavia, se si vogliono assegnare autorizzazioni amministrative ad altri utenti, usare i ruoli seguenti:
- Amministratore di Azure Information Protection
- Amministratore della conformità o amministratore dei dati di conformità
- Amministratore della sicurezza
- Azure Rights Management Global Amministrazione istrator e Connessione or Amministrazione istrator
Quando si gestiscono attività e ruoli amministrativi, tenere presente quanto segue:
Problema | Dettagli |
---|---|
Tipi di account supportati | Gli account Microsoft non sono supportati per l'amministrazione delegata di Azure Information Protection, anche se questi account vengono assegnati a uno dei ruoli amministrativi elencati. |
Controlli di onboarding | Se sono stati configurati controlli di onboarding, questa configurazione non influisce sulla possibilità di amministrare Azure Information Protection, ad eccezione del connettore RMS. Ad esempio, se sono stati configurati controlli di onboarding in modo che la possibilità di proteggere il contenuto sia limitata al gruppo di reparto IT, l'account usato per installare e configurare il connettore RMS deve essere un membro di tale gruppo. |
Rimozione della protezione | Amministrazione istrator non può rimuovere automaticamente la protezione da documenti o messaggi di posta elettronica protetti da Azure Information Protection. Solo gli utenti assegnati come utenti con privilegi avanzati possono rimuovere la protezione e solo quando la funzionalità utente con privilegi avanzati è abilitata. Qualsiasi utente con autorizzazioni amministrative per Azure Information Protection può abilitare la funzionalità utente con privilegi avanzati e assegnare gli utenti come utenti con privilegi avanzati, incluso il proprio account. Queste azioni vengono registrate in un log di amministratore. Per altre informazioni, vedere la sezione Procedure consigliate per la sicurezza in Configurazione di utenti con privilegi avanzati per Azure Information Protection e servizi di individuazione o ripristino dei dati. Suggerimento: se il contenuto viene archiviato in SharePoint o OneDrive, gli amministratori possono eseguire il cmdlet Unlock-SensitivityLabelEncryptedFile per rimuovere sia l'etichetta di riservatezza che la crittografia. Per altre informazioni, vedere la documentazione di Microsoft 365. |
Migrazione all'archivio di etichettatura unificata | Se si esegue la migrazione delle etichette di Azure Information Protection all'archivio di etichettatura unificata, leggere la sezione seguente dalla documentazione sulla migrazione delle etichette: Amministrazione ruoli amministrativi che supportano la piattaforma di etichettatura unificata. |
Amministratore di Azure Information Protection
Questo ruolo di amministratore di Microsoft Entra consente a un amministratore di configurare Azure Information Protection ma non di altri servizi.
Amministrazione istrator con questo ruolo può:
- Attivare e disattivare il servizio di protezione di Azure Rights Management
- Configurare le impostazioni e le etichette di protezione
- Configurare i criteri di Azure Information Protection
- Eseguire tutti i cmdlet di PowerShell per il client Azure Information Protection e dal modulo AIPService
Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Microsoft Entra ID.
Amministratore della conformità o amministratore dei dati di conformità
Questi ruoli di amministratore di Microsoft Entra consentono agli amministratori di:
- Configurare Azure Information Protection, inclusa l'attivazione e la disattivazione del servizio di protezione di Azure Rights Management
- Configurare le impostazioni e le etichette di protezione
- Configurare i criteri di Azure Information Protection
- Eseguire tutti i cmdlet di PowerShell per il client Azure Information Protection e dal modulo AIPService.
Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Microsoft Entra ID.
Per vedere quali altre autorizzazioni hanno un utente con questi ruoli, vedere la sezione Ruoli disponibili nella documentazione di Microsoft Entra.
Nota
Questi ruoli non supportano il rilevamento e la revoca dei documenti per gli utenti.
Amministratore della sicurezza
Questo ruolo di amministratore di Microsoft Entra consente agli amministratori di configurare Azure Information Protection nei portale di Azure e in alcuni aspetti di altri servizi di Azure.
Amministrazione istrator con questo ruolo non può eseguire alcuna delle Cmdlet di PowerShell dal modulo AIPService oppure tenere traccia e revocare i documenti per gli utenti.
Per assegnare un utente a questo ruolo amministrativo, vedere Assegnare un utente ai ruoli di amministratore in Microsoft Entra ID.
Per visualizzare le altre autorizzazioni di cui dispone un utente con questo ruolo, vedere la sezione Ruoli disponibili nella documentazione di Microsoft Entra.
Azure Rights Management Global Amministrazione istrator e Connessione or Amministrazione istrator
Il ruolo Global Amministrazione istrator consente agli utenti di eseguire tutti i cmdlet di PowerShell dal modulo AIPService senza renderli un amministratore globale per altri servizi cloud.
Il ruolo Connessione or Amministrazione istrator consente agli utenti di eseguire solo il connettore Rights Management (RMS).
Questi ruoli amministrativi non concedono autorizzazioni alle console di gestione. Il ruolo Connessione or Amministrazione istrator non supporta anche il rilevamento e la revoca dei documenti per gli utenti.
Per assegnare uno di questi ruoli amministrativi, usare il cmdlet di PowerShell AIPService Add-AipServiceRoleBased Amministrazione istrator.
Azure Information Protection supporta scenari locali e ibridi?
Sì. Anche se Azure Information Protection è una soluzione basata sul cloud, può classificare, etichettare e proteggere documenti e messaggi di posta elettronica archiviati in locale, nonché nel cloud.
Se si dispone di exchange Server, SharePoint Server e file server Windows, utilizzare uno o entrambi i metodi seguenti:
- Distribuire il connettore Rights Management in modo che questi server locali possano usare il servizio Azure Rights Management per proteggere i messaggi di posta elettronica e i documenti
- Sincronizzare e federate i controller di dominio di Active Directory con Microsoft Entra ID per un'esperienza di autenticazione più semplice per gli utenti. Ad esempio, usare Microsoft Entra Connessione.
Il servizio Azure Rights Management genera e gestisce automaticamente i certificati XrML in base alle esigenze, quindi non usa un'infrastruttura a chiave pubblica locale.
Per altre informazioni sull'uso dei certificati da parte di Azure Rights Management, vedere Procedura dettagliata sul funzionamento di Azure RMS: first use, content protection, content consumption (Procedura dettagliata sul funzionamento di Azure RMS: first use, content protection, content consumption).
Quali tipi di dati possono classificare e proteggere Azure Information Protection?
Azure Information Protection può classificare e proteggere messaggi di posta elettronica e documenti, sia che si trovino in locale che nel cloud. Questi documenti includono documenti di Word, fogli di calcolo di Excel, presentazioni di PowerPoint, documenti PDF, file basati su testo e file di immagine.
Per altre informazioni, vedere i tipi di file di elenco completi supportati.
Nota
Azure Information Protection non può classificare e proteggere dati strutturati, ad esempio file di database, elementi del calendario, post di Yammer, contenuto Sway e blocchi appunti di OneNote.
Suggerimento
Power BI supporta la classificazione usando le etichette di riservatezza e può applicare la protezione da tali etichette ai dati esportati nei formati di file seguenti: .pdf, .xls e .ppt. Per altre informazioni, vedere Protezione dei dati in Power BI.
Azure Information Protection viene elencato come un'app cloud disponibile per l'accesso condizionale, come funziona?
Sì, è possibile configurare l'accesso condizionale Microsoft Entra per Azure Information Protection.
Quando un utente apre un documento protetto da Azure Information Protection, gli amministratori possono ora bloccare o concedere l'accesso agli utenti nel tenant in base ai controlli di accesso condizionale standard. La richiesta di autenticazione a più fattori (MFA) è una delle condizioni più comuni richieste. Un altro è che i dispositivi devono essere conformi ai criteri di Intune in modo che, ad esempio, i dispositivi mobili soddisfino i requisiti delle password e una versione minima del sistema operativo e che i computer siano aggiunti a un dominio.
Per altre informazioni, vedere Criteri di accesso condizionale e documenti crittografati.
Informazioni aggiuntive:
Argomento | Dettagli |
---|---|
Frequenza di valutazione | Per i computer Windows e la versione di anteprima corrente, i criteri di accesso condizionale per Azure Information Protection vengono valutati quando l'ambiente utente viene inizializzato (questo processo è noto anche come bootstrap) e quindi ogni 30 giorni. Per ottimizzare la frequenza con cui vengono valutati i criteri di accesso condizionale, configurare la durata del token. |
account Amministrazione istrator | È consigliabile non aggiungere account di amministratore ai criteri di accesso condizionale perché questi account non potranno accedere al riquadro Azure Information Protection nel portale di Azure. |
Collaborazione MFA e B2B | Se si usa MFA nei criteri di accesso condizionale per collaborare con altre organizzazioni (B2B), è necessario usare Microsoft Entra B2B Collaboration e creare account guest per gli utenti con cui si vuole condividere nell'altra organizzazione. |
Richieste per le condizioni per l'utilizzo | Con la versione di anteprima di Microsoft Entra dicembre 2018, è ora possibile richiedere agli utenti di accettare le condizioni per l'utilizzo prima di aprire un documento protetto per la prima volta. |
App cloud | Se si usano molte app cloud per l'accesso condizionale, potrebbe non essere visualizzato Microsoft Information Protection Sync Service e Microsoft Rights Management Service nell'elenco da selezionare. In questo caso, usare la casella di ricerca nella parte superiore dell'elenco. Iniziare a digitare "Microsoft Information Protection Sync Service" e "Microsoft Rights Management Service" per filtrare le app disponibili. Se si dispone di una sottoscrizione supportata, queste opzioni verranno quindi visualizzate e saranno in grado di selezionarle. |
Nota
Il supporto di Azure Information Protection per l'accesso condizionale è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
Azure Information Protection è adatto per il mio paese?
Diversi paesi hanno requisiti e normative diversi. Per rispondere a questa domanda per l'organizzazione, vedere Idoneità per diversi paesi.
In che modo Azure Information Protection può essere utile per il GDPR?
Nota
Se si è interessati a visualizzare o eliminare i dati personali, consultare le indicazioni di Microsoft in Microsoft Purview Compliance Manager e nella sezione GDPR del sito Microsoft 365 Enterprise Compliance . Se si cercano le informazioni generali sull'RGPD, vedere la sezione sull'RGPD del portale del servizio attendibile.
Dove è possibile trovare informazioni di supporto per Azure Information Protection, ad esempio legali, conformità e contratti di servizio?
Vedere Conformità e informazioni di supporto per Azure Information Protection.
Come è possibile segnalare un problema o inviare commenti e suggerimenti per Azure Information Protection?
Per il supporto tecnico, usare i canali di supporto standard o contattare supporto tecnico Microsoft.
Invitiamo anche l'utente a collaborare con il team di progettazione nel sito di Yammer di Azure Information Protection.
Cosa faccio se la mia domanda non è qui?
Prima di tutto, esaminare le domande frequenti elencate di seguito, specifiche per la classificazione e l'etichettatura o specifiche per la protezione dei dati. Il servizio Azure Rights Management (Azure RMS) fornisce la tecnologia di protezione dei dati per Azure Information Protection. Azure RMS può essere usato con la classificazione e l'etichettatura o da sola.