Domande frequenti sulla protezione dei dati in Azure Information Protection

Domande sul servizio di protezione dei dati, Azure Rights Management, di Azure Information Protection? Verifica se la risposta è disponibile qui.

I file devono essere nel cloud per essere protetti da Azure Rights Management?

No, questo è un errore comune. Il servizio Azure Rights Management (e Microsoft) non visualizza né archivia i dati nell'ambito del processo di protezione delle informazioni. Le informazioni che si proteggono non vengono mai inviate o archiviate in Azure, a meno che non vengano archiviate esplicitamente in Azure o non si usi un altro servizio cloud che lo archivia in Azure.

Per altre informazioni, vedere Funzionamento di Azure RMS Dietro le quinte per comprendere come una formula segreta di cola creata e archiviata in locale è protetta dal servizio Azure Rights Management ma rimane locale.

Qual è la differenza tra crittografia di Azure Rights Management e crittografia in altri servizi cloud Microsoft?

Microsoft offre più tecnologie di crittografia che consentono di proteggere i dati in scenari diversi e spesso complementari. Ad esempio, mentre Microsoft 365 offre la crittografia dei dati archiviati in Microsoft 365, il servizio Azure Rights Management di Azure Information Protection crittografa in modo indipendente i dati in modo che siano protetti indipendentemente dalla posizione o dalla modalità di trasmissione.

Queste tecnologie di crittografia sono complementari e il loro utilizzo richiede l'abilitazione e la configurazione in modo indipendente. In questo caso, potrebbe essere disponibile un'opzione per trasferire la propria chiave per la crittografia, uno scenario noto anche come "BYOK". L'abilitazione di BYOK per una di queste tecnologie non influisce sulle altre. Ad esempio, è possibile usare BYOK per Azure Information Protection e non BYOK per altre tecnologie di crittografia e viceversa. Le chiavi usate da queste tecnologie diverse potrebbero essere uguali o diverse, a seconda di come si configurano le opzioni di crittografia per ogni servizio.

È ora possibile usare BYOK con Exchange Online?

Sì, ora è possibile usare BYOK con Exchange Online seguendo le istruzioni in Configurare le nuove funzionalità di Microsoft 365 Message Encryption predefinite in Azure Information Protection. Queste istruzioni abilitano le nuove funzionalità in Exchange Online che supportano l'uso di BYOK per Azure Information Protection, nonché il nuovo Office 365 Message Encryption.

Per altre informazioni su questa modifica, vedere l'annuncio del blog: Office 365 Message Encryption con le nuove funzionalità

Dove è possibile trovare informazioni sulle soluzioni di terze parti che si integrano con Azure RMS?

Molti fornitori di software hanno già soluzioni o stanno implementando soluzioni che si integrano con Azure Rights Management e l'elenco sta crescendo rapidamente. Potrebbe essere utile controllare gli elenchi di applicazioni illuminate da RMS e ottenere gli aggiornamenti più recenti da Microsoft Mobility@MSFTMobility su Twitter. È possibile pubblicare eventuali domande specifiche sull'integrazione nel sito di Azure Information Protection Yammer.

Esiste un Management Pack o un meccanismo di monitoraggio simile per il connettore RMS?

Anche se il connettore Rights Management registra informazioni, avvisi e messaggi di errore nel registro eventi, non esiste un Management Pack che include il monitoraggio per questi eventi. Tuttavia, l'elenco degli eventi e le relative descrizioni, con altre informazioni che consentono di intraprendere azioni correttive, sono documentate in Monitorare il connettore Microsoft Rights Management.

Ricerca per categorie creare un nuovo modello personalizzato nel portale di Azure?

I modelli personalizzati sono stati spostati nella portale di Azure in cui è possibile continuare a gestirli come modelli o convertirli in etichette. Per creare un nuovo modello, creare una nuova etichetta e configurare le impostazioni di protezione dei dati per Azure RMS. In questo modo viene creato un nuovo modello accessibile da servizi e applicazioni che si integrano con i modelli di Rights Management.

Per altre informazioni sui modelli nel portale di Azure, vedere Configurazione e gestione dei modelli per Azure Information Protection.

Ho protetto un documento e ora voglio modificare i diritti di utilizzo o aggiungere utenti: devo proteggere nuovamente il documento?

Se il documento era protetto usando un'etichetta o un modello, non è necessario proteggerlo di nuovo. Modificare l'etichetta o il modello apportando le modifiche ai diritti di utilizzo o aggiungere nuovi gruppi (o utenti) e quindi salvare queste modifiche:

  • Quando un utente non ha eseguito l'accesso al documento prima di apportare le modifiche, le modifiche vengono applicate non appena l'utente apre il documento.

  • Quando un utente ha già eseguito l'accesso al documento, le modifiche vengono applicate alla scadenza della licenza per l'uso . Rimuovi nuovamente la protezione del documento solo se non è possibile aspettare la scadenza della licenza per l'uso. La protezione di nuovo crea in modo efficace una nuova versione del documento e quindi una nuova licenza per l'uso per l'utente.

In alternativa, se è già stato configurato un gruppo per le autorizzazioni richieste, è possibile modificare l'appartenenza ai gruppi per includere o escludere gli utenti e non è necessario modificare l'etichetta o il modello. L'applicazione delle modifiche potrebbe richiedere un piccolo ritardo perché l'appartenenza ai gruppi viene memorizzata nella cache del servizio Azure Rights Management.

Se il documento era protetto con autorizzazioni personalizzate, non è possibile modificare le autorizzazioni per il documento esistente. È necessario proteggere di nuovo il documento e specificare tutti gli utenti e tutti i diritti di utilizzo necessari per questa nuova versione del documento. Per proteggere nuovamente un documento protetto, è necessario disporre del diritto di utilizzo controllo completo.

Suggerimento: per verificare se un documento era protetto da un modello o usando autorizzazioni personalizzate, usare il cmdlet Get-AIPFileStatus powerShell. Viene sempre visualizzata una descrizione del modello Accesso limitato per le autorizzazioni personalizzate, con un ID modello univoco che non viene visualizzato quando si esegue Get-RMSTemplate.

È supportata una distribuzione ibrida di Exchange con alcuni utenti di Exchange Online e altri in Exchange Server: Azure RMS supporta questa funzionalità?

Assolutamente, e la cosa bella è che gli utenti sono in grado di proteggere e utilizzare facilmente messaggi di posta elettronica protetti e allegati nelle due distribuzioni Exchange. Per questa configurazione, attivare Azure RMS e abilitare IRM per Exchange Online, quindi distribuire e configurare il connettore RMS per Exchange Server.

Se si usa questa protezione per l'ambiente di produzione, la società viene bloccata nella soluzione o si rischia di perdere l'accesso al contenuto protetto con Azure RMS?

No, si rimane sempre in controllo dei dati e si può continuare ad accedervi, anche se si decide di non usare più il servizio Azure Rights Management. Per altre informazioni, vedere Rimozione e disattivazione di Azure Rights Management.

È possibile controllare quali utenti possono usare Azure RMS per proteggere il contenuto?

Sì, il servizio Azure Rights Management include controlli di onboarding degli utenti per questo scenario. Per altre informazioni, vedere la sezione Configurazione dei controlli di onboarding per una distribuzione in fasi nell'articolo Attivazione del servizio di protezione da Azure Information Protection.

È possibile impedire agli utenti di condividere documenti protetti con organizzazioni specifiche?

Uno dei principali vantaggi dell'uso del servizio Azure Rights Management per la protezione dei dati è che supporta la collaborazione business-to-business senza dover configurare trust espliciti per ogni organizzazione partner, perché Azure AD si occupa dell'autenticazione.

Non è disponibile un'opzione di amministrazione per impedire agli utenti di condividere documenti in modo sicuro con organizzazioni specifiche. Ad esempio, si vuole bloccare un'organizzazione che non si ritiene attendibile o che ha un'attività concorrente. Impedire al servizio Azure Rights Management di inviare documenti protetti agli utenti di queste organizzazioni non ha senso perché gli utenti condividerebbero quindi i loro documenti senza protezione, che è probabilmente l'ultima cosa che si vuole che accada in questo scenario. Ad esempio, non è possibile identificare chi condivide documenti aziendali riservati con quali utenti di queste organizzazioni, cosa che è possibile fare quando il documento (o messaggio di posta elettronica) è protetto dal servizio Azure Rights Management.

Quando si condivide un documento protetto con utenti esterni all'azienda, in che modo l'utente viene autenticato?

Per impostazione predefinita, il servizio Azure Rights Management usa un account di Azure Active Directory e un indirizzo di posta elettronica associato per l'autenticazione degli utenti, il che rende la collaborazione business-to-business semplificata per gli amministratori. Se l'altra organizzazione usa i servizi di Azure, gli utenti hanno già account in Azure Active Directory, anche se questi account vengono creati e gestiti in locale e quindi sincronizzati con Azure. Se l'organizzazione ha Microsoft 365, in copertura, questo servizio usa anche Azure Active Directory per gli account utente. Se l'organizzazione dell'utente non ha account gestiti in Azure, gli utenti possono iscriversi a RMS per singoli utenti, creando così un tenant e una directory di Azure non gestiti per l'organizzazione con un account per l'utente, in modo che l'utente (e gli utenti successivi) possa quindi essere autenticato per il servizio Azure Rights Management.

Il metodo di autenticazione per questi account può variare a seconda di come l'amministratore dell'altra organizzazione ha configurato gli account Azure Active Directory. Ad esempio, possono usare le password create per questi account, la federazione o le password create in Active Directory Domain Services e quindi sincronizzate con Azure Active Directory.

Altri metodi di autenticazione:

  • Se si protegge un messaggio di posta elettronica con un documento di Office allegato a un utente che non ha un account in Azure AD, il metodo di autenticazione cambia. Il servizio Azure Rights Management è federato con alcuni dei provider di identità social più diffusi, ad esempio Gmail. Se il provider di posta elettronica dell'utente è supportato, l'utente può accedere al servizio e il provider di posta elettronica è responsabile dell'autenticazione. Se il provider di posta elettronica dell'utente non è supportato o come preferenza, l'utente può richiedere un passcode monouso che li autentica e visualizza il messaggio di posta elettronica con il documento protetto in un Web browser.

  • Azure Information Protection può usare account Microsoft per le applicazioni supportate. Attualmente, non tutte le applicazioni possono aprire il contenuto protetto quando viene usato un account Microsoft per l'autenticazione. Altre informazioni

È possibile aggiungere utenti esterni (persone esterne alla società) ai modelli personalizzati?

Sì. Le impostazioni di protezione che è possibile configurare nel portale di Azure consentono di aggiungere autorizzazioni a utenti e gruppi esterni all'organizzazione e anche a tutti gli utenti di un'altra organizzazione. Può essere utile fare riferimento all'esempio dettagliato, Proteggere la collaborazione sui documenti usando Azure Information Protection.

Se si hanno etichette di Azure Information Protection, è necessario prima convertire il modello personalizzato in un'etichetta prima di poter configurare queste impostazioni di protezione nel portale di Azure. Per altre informazioni, vedere Configurazione e gestione dei modelli per Azure Information Protection.

In alternativa, è possibile aggiungere utenti esterni a modelli ed etichette personalizzati usando PowerShell. Questa configurazione richiede l'uso di un oggetto rights definition usato per aggiornare il modello:

  1. Specificare gli indirizzi di posta elettronica esterni e i relativi diritti in un oggetto rights definition usando il cmdlet New-AipServiceRightsDefinition per creare una variabile.

  2. Fornire questa variabile al parametro RightsDefinition con il cmdlet Set-AipServiceTemplateProperty .

    Quando si aggiungono utenti a un modello esistente, è necessario definire oggetti di definizione dei diritti per gli utenti esistenti nei modelli, oltre ai nuovi utenti. Per questo scenario, potrebbe essere utile l'esempio 3: Aggiungere nuovi utenti e diritti a un modello personalizzato dalla sezione Esempi per il cmdlet.

Che tipo di gruppi è possibile usare con Azure RMS?

Nella maggior parte degli scenari è possibile usare qualsiasi tipo di gruppo in Azure AD che ha un indirizzo di posta elettronica. Questa regola generale si applica sempre quando si assegnano i diritti di utilizzo, ma esistono alcune eccezioni per l'amministrazione del servizio Azure Rights Management. Per altre informazioni, vedere Requisiti di Azure Information Protection per gli account di gruppo.

Ricerca per categorie inviare un messaggio di posta elettronica protetto a un account Gmail o Hotmail?

Quando si usa Exchange Online e il servizio Azure Rights Management, è sufficiente inviare il messaggio di posta elettronica all'utente come messaggio protetto. Ad esempio, è possibile selezionare il nuovo pulsante Proteggi nella barra dei comandi in Outlook sul Web, usare l'opzione di menu o il pulsante Outlook Non inoltrare. In alternativa, è possibile selezionare un'etichetta di Azure Information Protection che applica automaticamente Non inoltrare e classifica il messaggio di posta elettronica.

Il destinatario vede un'opzione per accedere al proprio account Gmail, Yahoo o Microsoft e quindi può leggere il messaggio di posta elettronica protetto. In alternativa, possono scegliere l'opzione per un passcode monouso per leggere il messaggio di posta elettronica in un browser.

Per supportare questo scenario, è necessario abilitare Exchange Online per il servizio Azure Rights Management e le nuove funzionalità di Office 365 Message Encryption. Per altre informazioni su questa configurazione, vedere Exchange Online: Configurazione IRM.

Per altre informazioni sulle nuove funzionalità che includono il supporto di tutti gli account di posta elettronica in tutti i dispositivi, vedere il post di blog seguente: Annuncio di nuove funzionalità disponibili in Office 365 Message Encryption.

Quali dispositivi e quali tipi di file sono supportati da Azure RMS?

Per un elenco dei dispositivi che supportano il servizio Azure Rights Management, vedere Dispositivi client che supportano la protezione dei dati di Azure Rights Management. Poiché non tutti i dispositivi supportati possono attualmente supportare tutte le funzionalità di Rights Management, assicurati di controllare anche le tabelle per le applicazioni illuminate da RMS.

Il servizio Azure Rights Management può supportare tutti i tipi di file. Per i file di testo, immagini, Microsoft Office (Word, Excel, PowerPoint), file di .pdf e altri tipi di file dell'applicazione, Azure Rights Management offre protezione nativa che include la crittografia e l'applicazione dei diritti (autorizzazioni). Per tutte le altre applicazioni e tipi di file, la protezione generica fornisce l'incapsulamento e l'autenticazione dei file per verificare se un utente è autorizzato ad aprire il file.

Per un elenco delle estensioni di file supportate in modo nativo da Azure Rights Management, vedere Tipi di file supportati dal client Azure Information Protection. Le estensioni di file non elencate sono supportate dal client Azure Information Protection che applica automaticamente una protezione generica a questi file.

Quando si apre un documento di Office protetto da RMS, anche il file temporaneo associato diventa protetto da RMS?

No. In questo scenario, il file temporaneo associato non contiene dati del documento originale, ma solo ciò che l'utente immette mentre il file è aperto. A differenza del file originale, il file temporaneo non è ovviamente progettato per la condivisione e rimarrà nel dispositivo, protetto dai controlli di sicurezza locali, come BitLocker ed EFS.

Una funzionalità che sto cercando non sembra funzionare con SharePoint raccolte protette. Il supporto per la funzionalità è pianificato?

Attualmente Microsoft SharePoint supporta i documenti protetti da RMS usando raccolte protette da IRM, che non supportano i modelli rights management, la registrazione dei documenti e altre funzionalità. Per altre informazioni, vedere la sezione SharePoint in Microsoft 365 e SharePoint Server nell'articolo applicazioni e servizi Office.

Se sei interessato a una funzionalità specifica che non è ancora supportata, assicurati di tenere sotto controllo gli annunci nel blog Enterprise Sulla mobilità e la sicurezza.

Ricerca per categorie configurare One Drive in SharePoint, in modo che gli utenti possano condividere in modo sicuro i propri file con persone interne ed esterne all'azienda?

Per impostazione predefinita, come amministratore Microsoft 365, questa operazione non viene configurata dagli utenti.

Proprio come un amministratore del sito di SharePoint abilita e configura IRM per una raccolta di SharePoint di cui è proprietario, OneDrive è progettato per consentire agli utenti di abilitare e configurare IRM per la propria raccolta OneDrive. Tuttavia, usando PowerShell, è possibile farlo per loro. Per istruzioni, vedere SharePoint in Microsoft 365 e OneDrive: Configurazione IRM.

Hai suggerimenti o consigli per una distribuzione riuscita?

Dopo aver supervisionato molte distribuzioni e aver ascoltato clienti, partner, consulenti e tecnici del supporto tecnico, uno dei più grandi suggerimenti che possiamo trasmettere dall'esperienza: Progettare e distribuire criteri semplici.

Poiché Azure Information Protection supporta la condivisione in modo sicuro con chiunque, è possibile permettersi di essere ambiziosi con la portata della protezione dei dati. Ma sii prudente quando configuri le restrizioni di utilizzo dei diritti. Per molte organizzazioni, il maggiore impatto aziendale deriva dalla prevenzione della perdita di dati limitando l'accesso alle persone all'interno dell'organizzazione. Naturalmente, è possibile ottenere molto più granulare di quello se necessario, impedire agli utenti di stampare, modificare e così via. Ma mantieni le restrizioni più granulari come eccezione per i documenti che hanno davvero bisogno di una sicurezza di alto livello e non implementare questi diritti di utilizzo più restrittivi sin dal primo giorno, ma pianifica un approccio più graduale.

Come si recupera l'accesso ai file protetti da un dipendente che ha lasciato l'organizzazione?

Usare la caratteristica per utenti super, che concede i diritti di utilizzo Controllo completo agli utenti autorizzati per tutti i documenti e i messaggi di posta elettronica protetti dal tenant. Gli utenti esperti possono sempre leggere questo contenuto protetto e, se necessario, rimuovere la protezione o proteggerlo di nuovo per utenti diversi. Questa stessa funzionalità consente ai servizi autorizzati di indicizzare e analizzare i file in base alle esigenze.

Se il contenuto è archiviato in SharePoint o OneDrive, gli amministratori possono eseguire il cmdlet Unlock-SensitivityLabelEncryptedFile per rimuovere sia l'etichetta di riservatezza che la crittografia. Per altre informazioni, vedere la documentazione Microsoft 365.

Rights Management può impedire l'acquisizione dello schermo?

Non concedendo il diritto di copia, Rights Management può impedire l'acquisizione dello schermo da molti degli strumenti di acquisizione dello schermo di uso comune su piattaforme Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile e Windows 11). Tuttavia, i dispositivi iOS, Mac e Android non consentono ad alcuna app di impedire l'acquisizione dello schermo. Inoltre, i browser in qualsiasi dispositivo non possono impedire l'acquisizione dello schermo. L'uso del browser include Outlook sul web e Office per il web.

Nota

Ora la distribuzione nel Canale corrente (anteprima): in Office per Mac, Word, Excel e PowerPoint (ma non Outlook) ora supporta il diritto di utilizzo di Rights Management per impedire l'acquisizione dello schermo.

Impedire l'acquisizione dello schermo consente di evitare la divulgazione accidentale o negligente di informazioni riservate o sensibili. Tuttavia, esistono molti modi in cui un utente può condividere i dati visualizzati su uno schermo e l'acquisizione di uno screenshot è un solo metodo. Ad esempio, l'intento di un utente di condividere le informazioni visualizzate può scattare una foto usando il telefono della fotocamera, digitare di nuovo i dati o semplicemente inoltrarli verbalmente a qualcuno.

Come dimostrano questi esempi, anche se tutte le piattaforme e tutto il software supportano le API Rights Management per bloccare le acquisizioni dello schermo, la tecnologia da sola non può sempre impedire agli utenti di condividere dati che non dovrebbero. Rights Management può contribuire a proteggere i dati importanti usando criteri di autorizzazione e utilizzo, ma questa soluzione Enterprise Rights Management deve essere usata con altri controlli. Ad esempio, implementare la sicurezza fisica, controllare attentamente e monitorare le persone che hanno autorizzato l'accesso ai dati dell'organizzazione e investire nella formazione degli utenti in modo che gli utenti comprendano quali dati non devono essere condivisi.

Qual è la differenza tra un utente che protegge un messaggio di posta elettronica con Non inoltrare e un modello che non include il diritto Inoltra?

Nonostante il nome e l'aspetto, Non inoltrare non è l'opposto della destra in avanti o di un modello. Si tratta di un insieme di diritti che includono la limitazione della copia, la stampa e il salvataggio della posta elettronica all'esterno della cassetta postale, oltre a limitare l'inoltro dei messaggi di posta elettronica. I diritti vengono applicati dinamicamente agli utenti tramite i destinatari scelti e non vengono assegnati staticamente dall'amministratore. Per altre informazioni, vedere l'opzione Non inoltrare per i messaggi di posta elettronica in Configurazione dei diritti di utilizzo per Azure Information Protection.

Qual è la differenza tra Windows Server FCI e lo scanner Azure Information Protection?

Windows Server File Classification Infrastructure è sempre stata un'opzione per classificare i documenti e quindi proteggerli usando il connettore Rights Management (solo documenti Office) o uno script di PowerShell (tutti i tipi di file).

Ora è consigliabile usare lo scanner Azure Information Protection. Lo scanner usa il client Azure Information Protection e i criteri di Azure Information Protection per etichettare i documenti (tutti i tipi di file) in modo che questi documenti vengano classificati e facoltativamente protetti.

Le principali differenze tra queste due soluzioni:

FCI di Windows Server Azure Information Protection Scanner
Archivi dati supportati Cartelle locali in Windows Server - Windows le condivisioni file e lo spazio di archiviazione collegato alla rete

- SharePoint Server 2016 e SharePoint Server 2013. SharePoint Server 2010 è supportato anche per i clienti che dispongono del supporto Extended per questa versione di SharePoint.
Modalità operativa Tempo reale Esegue sistematicamente la ricerca per indicizzazione degli archivi dati una o più volte
Tipi di file supportati - Tutti i tipi di file sono protetti per impostazione predefinita

- Tipi di file specifici possono essere esclusi dalla protezione modificando il Registro di sistema
Supporto per i tipi di file:

- Office tipi di file e i documenti PDF sono protetti per impostazione predefinita

- È possibile includere altri tipi di file per la protezione modificando il Registro di sistema