Informazioni su come le applicazioni e i servizi di Office supportano Azure Rights Management

Le applicazioni di Office e i servizi Office possono usare il servizio Azure Rights Management di Azure Information Protection per proteggere i dati dell'organizzazione. Le applicazioni di Office sono Word, Excel, PowerPoint e Outlook. I servizi di Office sono Exchange e Microsoft SharePoint. Le configurazioni di Office che supportano il servizio Azure Rights Management spesso usano il termine Information Rights Management (IRM).

Applicazioni Office: Word, Excel, PowerPoint, Outlook

Queste applicazioni supportano Azure Rights Management incorporato e consentono agli utenti di applicare la protezione a un documento salvato o a un messaggio di posta elettronica da inviare. Gli utenti possono applicare alcuni modelli di protezione. In alternativa, per Word, Excel e PowerPoint, possono scegliere impostazioni personalizzate per limitare l'accesso, i diritti e l'utilizzo.

Ad esempio, gli utenti possono configurare un documento di Word in modo che possano accedervi solo persone interne all'organizzazione. In alternativa, è possibile controllare se un foglio di calcolo di Excel può essere modificato o limitato alla sola lettura o impedire che venga stampato. Per i file soggetti a vincoli temporali, è possibile configurare un'ora di scadenza per stabilire il momento in cui non è più possibile accedere al file. Questa configurazione può essere effettuata direttamente dagli utenti oppure applicando un modello di protezione. Per Outlook, gli utenti possono anche scegliere l'opzione Non inoltrare per impedire la perdita di dati.

Se si è pronti per configurare le app di Office, vedere App di Office: Configurazione per i client.

Per i problemi noti rilevanti, vedere Problemi noti di AIP nelle applicazioni di Office.

Exchange Online ed Exchange Server

Quando si usa Exchange Online o Exchange Server, è possibile configurare le opzioni per Azure Information Protection. Questa configurazione consente a Exchange di offrire le soluzioni di protezione seguenti:

  • Exchange ActiveSync IRM per proteggere dispositivi mobili e usare messaggi e-mail protetti.

  • Supporto di protezione della posta elettronica per Outlook sul Web, implementato in modo analogo al client Outlook. Questa configurazione consente agli utenti di proteggere i messaggi di posta elettronica tramite opzioni o modelli di protezione. Gli utenti possono leggere e usare messaggi di posta elettronica protetti ricevuti.

  • Regole di protezione per client Outlook che un amministratore configura per applicare automaticamente opzioni e modelli di protezione ai messaggi di posta elettronica per destinatari specifici. Quando ad esempio vengono inviati messaggi e-mail interni all'ufficio legale dell'organizzazione, è possibile configurare tali messaggi in modo che possano essere letti solo dai membri dell'ufficio e che non possano essere inoltrati. Prima di inviare il messaggio di posta elettronica gli utenti vedono la regola di protezione applicata e, per impostazione predefinita, possono rimuovere la protezione se ritengono non sia necessaria. I messaggi e-mail vengono crittografati prima dell'invio. Per altre informazioni, vedere Regole di protezione di Outlook e Creare una regola di protezione di Outlook nella libreria di Exchange.

  • Regole del flusso di posta che un amministratore configura per applicare automaticamente opzioni o modelli di protezione ai messaggi di posta elettronica. Queste regole sono basate su proprietà quali il mittente, il destinatario, l'oggetto e il contenuto del messaggio. Queste regole sono concettualmente analoghe a quelle di protezione, ma non consentono agli utenti di rimuovere la protezione perché quest'ultima viene impostata dal servizio Exchange anziché dal client. Dal momento che la protezione viene impostata dal servizio, non importa quale dispositivo o quale sistema operativo abbiano gli utenti. Per altre informazioni, vedere Regole del flusso di posta (regole di trasporto) in Exchange Online e Creare una regola di protezione del trasporto per Exchange locale.

  • Criteri di prevenzione della perdita dei dati che contengono set di condizioni per filtrare i messaggi di posta elettronica e intraprendere azioni, in modo da prevenire la perdita di dati nel caso di informazioni riservate o sensibili. Una delle azioni che è possibile specificare consiste nell'applicare la crittografia come protezione, specificando una delle opzioni o dei modelli di protezione. Quando si rilevano dati sensibili, è possibile usare i suggerimenti relativi ai criteri per avvertire gli utenti che potrebbe essere necessario applicare la protezione. Per altre informazioni, vedere Prevenzione della perdita di dati nella documentazione di Exchange Online.

  • Crittografia messaggi che supporta l'invio di un messaggio di posta elettronica protetto e documenti di Office protetti come allegati a qualsiasi indirizzo di posta elettronica in qualsiasi dispositivo. Per gli account utente che non usano Azure AD. Questa esperienza Web supporta i provider di identità basati su social network e un passcode monouso. Per altre informazioni, vedere Configurare nuove funzionalità di Crittografia messaggi di Microsoft 365 basate su Azure Information Protection dalla documentazione di Microsoft 365. Per informazioni aggiuntive correlate a questa configurazione, vedere Crittografia messaggi di Microsoft 365.

Se si usa Exchange locale, è possibile usare le funzionalità IRM con il servizio Azure Rights Management distribuendo il connettore Microsoft Rights Management. Il connettore funziona come un relè tra i server locali e il servizio di Azure Rights Management.

Per altre informazioni sulle opzioni di posta elettronica che è possibile usare per proteggere i messaggi di posta elettronica, vedere L'opzione Non inoltrare messaggi di posta elettronica e crittografare solo i messaggi di posta elettronica.

Se si è pronti per configurare Exchange per la protezione dei messaggi di posta elettronica:

SharePoint in Microsoft 365 e SharePoint Server

Quando si usa SharePoint in Microsoft 365 o SharePoint Server, è possibile proteggere i documenti usando la funzionalità IRM (SharePoint Information Rights Management). Questa funzionalità consente agli amministratori di proteggere elenchi o raccolte in modo che, se un utente estrae un documento, il file scaricato sia protetto e solo le persone autorizzate possano visualizzarlo e usarlo in base ai criteri di protezione delle informazioni specificati. Il file ad esempio potrebbe essere di sola lettura, potrebbe esserne stata disabilitata la copia del testo oppure potrebbe esserne stato impedito il salvataggio di una copia locale e la stampa.

I documenti di Word, PowerPoint, Excel e PDF supportano questo tipo di protezione IRM SharePoint. Per impostazione predefinita, la protezione è limitata alla persona che scarica il documento, È possibile modificare questa impostazione predefinita con un'opzione di configurazione denominata Consenti protezione gruppo, che estende la protezione a un gruppo specificato. Ad esempio, è possibile specificare un gruppo autorizzato a modificare i documenti nella raccolta in modo che lo stesso gruppo di utenti possa modificare il documento all'esterno di SharePoint, indipendentemente dall'utente che ha scaricato il documento. In alternativa, è possibile specificare un gruppo senza le autorizzazioni in SharePoint, ma gli utenti in questo gruppo devono accedere al documento all'esterno di SharePoint. La protezione delle informazioni per elenchi e raccolte di SharePoint viene sempre configurata da un amministratore e mai da un utente finale. Le autorizzazioni vengono impostate a livello di sito e per impostazione predefinita vengono ereditate da qualsiasi elenco o raccolta in tale sito. Se si usa SharePoint in Microsoft 365, gli utenti possono anche configurare la libreria Microsoft OneDrive per la protezione IRM.

Per ottenere un controllo più granulare, è possibile configurare un elenco o una raccolta nel sito in modo che non erediti più le autorizzazioni dal relativo padre. È quindi possibile configurare le autorizzazioni IRM a tale livello (elenco o libreria) e vengono quindi definite "autorizzazioni univoche". Tuttavia, le autorizzazioni vengono sempre impostate a livello di contenitore; non è possibile impostare le autorizzazioni per singoli file.

È necessario inoltre che il servizio IRM sia abilitato per SharePoint. Quindi, si specificano le autorizzazioni IRM per una raccolta. Per SharePoint e OneDrive, gli utenti possono anche specificare le autorizzazioni IRM per la libreria di OneDrive. SharePoint non usa modelli di criteri per i diritti, anche se è possibile selezionare impostazioni di configurazione di SharePoint molto simili ad alcune impostazioni che si possono specificare nei modelli.

Se si usa SharePoint Server, è possibile usare questa protezione IRM distribuendo il connettore Microsoft Rights Management. Il connettore funziona come un relè tra i server locali e il servizio cloud di Rights Management. Per altre informazioni, vedere Distribuzione del connettore Microsoft Rights Management.

Nota

Esistono alcune limitazioni quando si usa SharePoint IRM:

  • Non è possibile usare i modelli di protezione predefiniti o personalizzati gestiti nel portale di Azure.

  • I file con un'estensione di file .ppdf per i file PDF protetti non sono supportati. Per altre informazioni sulla visualizzazione di documenti PDF protetti, vedere Lettori PDF protetti per Microsoft Purview Information Protection.

  • La creazione condivisa, ovvero la modifica di un documento da parte di più utenti contemporaneamente, non è supportata. Per modificare un documento in una libreria protetta tramite IRM, è innanzitutto necessario estrarre il documento, scaricarlo e quindi modificarlo nell'applicazione Office. Di conseguenza, solo un utente alla volta può modificare il documento.

Per le librerie che non sono protette da IRM, se si applica solo la protezione a un file che si carica in SharePoint o OneDrive, le operazioni seguenti non funzionano con questo file: creazione condivisa, Office per il web, ricerca, anteprima del documento, anteprima del documento, anteprima, eDiscovery e prevenzione della perdita di dati .

Importante

SharePoint IRM può essere usato in combinazione con le etichette di riservatezza che applicano la protezione. Quando si usano entrambe le funzionalità insieme, il comportamento cambia per i file protetti. Per altre informazioni, vedere Abilitare le etichette di riservatezza per i file di Office in SharePoint e OneDrive.

Quando si usa la protezione IRM per SharePoint il servizio Azure Rights Management applica restrizioni d'uso e crittografia dei dati ai documenti quando questi vengono scaricati da SharePoint, e non quando il documento viene creato per la prima volta in SharePoint o caricato nella raccolta. Per informazioni sul modo in cui i documenti vengono protetti prima del download, vedere Crittografia dati in OneDrive e SharePoint dalla documentazione di SharePoint.

Per le modifiche in arrivo, vedere Aggiornamenti in Sicurezza, amministrazione e migrazione di SharePoint.

Se si è pronti per la configurazione di SharePoint per IRM:

Passaggi successivi

Se si dispone di Microsoft 365, potrebbe essere utile esaminare Soluzioni di protezione file in Microsoft 365, che offre funzionalità consigliate per la protezione dei file in Microsoft 365.

Per informazioni su come altri servizi e applicazioni supportano il servizio Azure Rights Management di Azure Information Protection, vedere Supporto del servizio Azure Rights Management da parte delle applicazioni.

Se si è pronti per avviare la distribuzione, che include la configurazione di queste applicazioni e servizi, vedere la roadmap di distribuzione di AIP per la classificazione, l'etichettatura e la protezione.