Esercitazione: migrazione dal client classico alla soluzione di etichettatura unificata di Azure Information Protection (AIP)

  • Articolo

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection per Office è ora in modalità di manutenzione e verrà ritirato aprile 2024. È invece consigliabile usare le etichette predefinite per le app e i servizi Office 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Per offrire un'esperienza cliente unificata e semplificata, Azure Information Protection client classico e Gestione etichette nel portale di Azure sono deprecati a partire dal 31 marzo 2021. Anche se il client classico continua a funzionare come configurato, non viene fornito ulteriore supporto e le versioni di manutenzione non verranno più rilasciate per il client classico.

È consigliabile eseguire la migrazione all'etichettatura unificata e eseguire l'aggiornamento al client di etichettatura unificata. Altre informazioni sono disponibili nell'aggiornamento recente sulla deprecazione.

Questa esercitazione illustra come eseguire la migrazione della distribuzione di Azure Information Protection dell'organizzazione, nonché delle etichette e della gestione dei criteri di etichettatura nel portale di Azure, dal client classico alla soluzione di etichettatura unificata e alle etichette di riservatezza di Microsoft 365.

Tempo necessario: il tempo necessario per completare una migrazione dipende dalla complessità dei criteri e dalle funzionalità AIP usate. È possibile continuare a lavorare con il client classico mentre si esegue la migrazione in background.

Questa esercitazione fornisce una descrizione generale di ogni passaggio, quindi fa riferimento alla sezione pertinente nella documentazione di Microsoft per altri dettagli.

In questa esercitazione si apprenderà come:

  • Informazioni sulla pianificazione della migrazione
  • Eseguire la migrazione delle etichette alla piattaforma di etichettatura unificata
  • Informazioni su come configurare le impostazioni avanzate nel Portale di conformità di Microsoft Purview
  • Copiare i criteri nella piattaforma di etichettatura unificata
  • Distribuire il client di etichettatura unificata

Perché eseguire la migrazione alla soluzione di etichettatura unificata?

Oltre al tramonto del client classico, la migrazione alla soluzione di etichettatura unificata consente di proteggere in modo efficace i dati sensibili nel digital estate. Dopo aver eseguito la migrazione, usare Microsoft Purview Information Protection nei servizi cloud di Microsoft 365, in locale, in applicazioni SaaS di terze parti e altro ancora.

MIP supporta servizi di etichettatura predefiniti per molte funzionalità di protezione delle informazioni di base, consentendo di riservare l'utilizzo del client solo per funzionalità aggiuntive non supportate dalle funzionalità di etichettatura predefinite.

  • Ridurre i costi di manutenzione, grazie alla possibilità di distribuire e gestire meno software aggiuntivo
  • Aumentare le prestazioni di Office, senza la necessità di ulteriori componenti aggiuntivi
  • Semplificare la gestione dei criteri di etichettatura e protezione in AIP, Office 365 e Windows usando il Portale di conformità di Microsoft Purview.

Per altre informazioni, vedere il post di blog Understanding unified labeling migration (Informazioni sulla migrazione all'etichettatura unificata).

Pianificazione della migrazione

Sebbene la maggior parte delle funzionalità disponibili per il client classico di AIP sia disponibile anche per il client di etichettatura unificata, alcune funzionalità non sono ancora completamente disponibili e alcune sono configurate in modo diverso per l'etichettatura unificata.

Leggere gli articoli seguenti per comprendere il modo in cui le funzionalità di Information Protection usate possono essere diverse nel client di etichettatura unificata:

Suggerimento

Se sono presenti differenze documentate tra i client con effetti sul comportamento degli utenti finali, è consigliabile comunicare tali modifiche in modo efficace agli utenti prima di distribuire il client di etichettatura unificata e pubblicare i nuovi criteri.

Dopo aver pianificato la migrazione e compreso le modifiche che si verificheranno, continuare con Migrazione delle etichette alla piattaforma di etichettatura unificata.

Migrazione delle etichette alla piattaforma di etichettatura unificata

Dopo aver pianificato la migrazione e valutato come gestire le differenze nei client, si è pronti per attivare l'etichettatura unificata ed eseguire la migrazione delle etichette.

Durante la migrazione, è possibile continuare a usare il client classico di AIP e i criteri nell'area Azure Information Protection del portale di Azure. I due client possono funzionare affiancati senza alcuna configurazione aggiuntiva.

  1. Accedere al portale di Azure come amministratore con uno dei ruoli seguenti:

    • Amministratore di conformità
    • Amministratore dati di conformità
    • Amministratore della sicurezza
    • Amministratore globale

  2. Nell'area Azure Information Protection, in Gestisci a sinistra, selezionare Etichettatura unificata.

    Nella parte superiore della pagina selezionare Attiva per attivare l'etichettatura unificata.

    Le etichette vengono copiate da Azure Information Protection alla piattaforma di etichettatura unificata e sono ora archiviate in entrambi i sistemi.

    Aprire il Portale di conformità di Microsoft Purview per confrontare le etichette visualizzate e nell'area Information Protection di Azure. I due elenchi devono essere identici. Ad esempio, quando si confronta con il Portale di conformità di Microsoft Purview:

    Confrontare le etichette migrate tra il portale di Azure e il Centro sicurezza & conformità

    Nota

    Se necessario, continuare a usare le etichette in entrambi i sistemi fino a quando non viene completata la migrazione. Per altre informazioni, vedere Sincronizzazione delle modifiche alle etichette.

Continuare con Copiare i criteri nella piattaforma di etichettatura unificata.

Sincronizzazione delle modifiche alle etichette

Dopo aver eseguito la migrazione delle etichette al Portale di conformità di Microsoft Purview, tutte le modifiche apportate alle etichette migrate nel portale di Azure vengono sincronizzate automaticamente con la stessa etichetta nell'oggetto Portale di conformità di Microsoft Purview.

Tuttavia, le modifiche apportate alle etichette di cui è stata eseguita la migrazione in Portale di conformità di Microsoft Purview non vengono sincronizzate con il portale di Azure. Se si apportano modifiche nel Portale di conformità di Microsoft Purview ed è necessario aggiornarle nel portale di Azure, tornare al portale per pubblicare l'aggiornamento.

Per pubblicare un'etichetta aggiornata nel portale di Azure:

  1. Nell'area Azure Information Protection, in Gestisci a sinistra, selezionare Etichettatura unificata.

  2. Selezionare Pubblica.

Nota

Questo passaggio è necessario solo se sono state apportate modifiche alle etichette migrate nella piattaforma di etichettatura unificata ed è necessario sincronizzarle nel portale di Azure.

Migrazione di etichette tramite PowerShell

È anche possibile usare PowerShell per eseguire la migrazione delle etichette esistenti, ad esempio per un ambiente GCC High.

Usare il cmdlet New-Label per eseguire la migrazione delle etichette di riservatezza esistenti.

Ad esempio, se l'etichetta di riservatezza include la crittografia, è possibile usare il cmdlet New-Label come segue:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Per altre informazioni sull'utilizzo degli ambienti GCC, GCC-High e DoD, vedere Descrizione del servizio Azure Information Protection Premium per enti pubblici.

Copiare i criteri nella piattaforma di etichettatura unificata

Copiare tutti i criteri archiviati nel portale di Azure che si vuole siano disponibili nella piattaforma di etichettatura unificata.

Questa funzionalità è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Nota

La copia dei criteri presenta alcune limitazioni. È anche possibile iniziare da zero e creare manualmente i criteri nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere la documentazione di Microsoft 365.

Per copiare i criteri:

  1. Valutare le considerazioni seguenti e confermare che si vogliono effettivamente copiare i criteri:

    Considerazioni Descrizione
    La copia di criteri copia tutti i criteri La copia dei criteri non supporta solo la copia di criteri specifici, ovvero vengono copiati tutti o nessuno.
    La copia automatica pubblica i criteri La copia automatica dei criteri nel client di etichettatura unificata li pubblica automaticamente in tutti i client supportati di etichettatura unificata.

    Importante: non copiare i criteri se non si vuole pubblicarli.
    La copia sovrascrive i criteri esistenti con lo stesso nome Se si dispone di un criterio con lo stesso nome già esistente nel Portale di conformità di Microsoft Purview, la copia dei criteri sovrascriverà tutte le impostazioni definite in tale criterio.

    Tutti i criteri copiati dal portale di Azure vengono denominati con la sintassi seguente: AIP_<policy name>.
    Alcune impostazioni client non vengono copiate Alcune impostazioni client non vengono copiate nella piattaforma di etichettatura unificata e devono essere configurate manualmente dopo la migrazione.

    Per altre informazioni, vedere Configurazione delle opzioni di etichettatura avanzate

  2. Accedere al portale di Azure come amministratore con uno dei ruoli seguenti:

    • Amministratore di conformità
    • Amministratore dati di conformità
    • Amministratore della sicurezza
    • Amministratore globale

  3. Nell'area Azure Information Protection, in Gestisci a sinistra, selezionare Etichettatura unificata.

  4. Selezionare Copia criteri (anteprima). Tutti i criteri archiviati nel portale di Azure vengono copiati nel Portale di conformità di Microsoft Purview.

    Se nel Portale di conformità di Microsoft Purview sono già presenti criteri con lo stesso nome, i criteri vengono sovrascritti con le impostazioni del portale di Azure.

    Importante

    Se attualmente si usano etichette Microsoft Defender for Cloud Apps e Azure Information Protection, verificare di aver pubblicato almeno un criterio con un set minimo di etichette nel Portale di conformità di Microsoft Purview, anche se il criterio ha come ambito un singolo utente.

    Questo criterio è necessario per Microsoft Defender for Cloud Apps identificare tutte le etichette nel Portale di conformità di Microsoft Purview e visualizzarle nel portale di Microsoft Defender for Cloud Apps.

Ora che è stata eseguita la migrazione delle etichette e dei criteri, continuare con Configurazione delle impostazioni di etichettatura avanzate per gestire eventuali configurazioni avanzate di cui non è stata eseguita la migrazione.

Configurazione delle impostazioni di etichettatura avanzate

Come spiegato durante la fase di pianificazione, alcune impostazioni di etichettatura avanzate non vengono incluse automaticamente nella migrazione e devono essere riconfigurate per la piattaforma di etichettatura unificata.

Per altre informazioni, vedere:

Configurare le impostazioni di etichettatura avanzate in PowerShell

  1. Connettersi al modulo PowerShell del Centro sicurezza & conformità. Per altre informazioni, vedere la documentazione di PowerShell del Centro sicurezza & conformità.

  2. Per definire un'impostazione di etichetta avanzata, usare il cmdlet Set-Label specificando il parametro AdvancedSettings, l'etichetta a cui si vuole applicare l'impostazione, nonché le coppie chiave/valore per definire l'impostazione.

    Usare la sintassi seguente:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}

    Dove:

    • <LabelGUIDorName> identifica l'etichetta usando il nome o il GUID dell'etichetta
    • <Key> è la chiave o il nome dell'impostazione avanzata che si vuole definire
    • <Value> è il valore dell'impostazione che si vuole definire. Racchiudere il valore tra virgolette e usare le virgole per separare più valori. Gli spazi vuoti non sono supportati.

  3. Per iniziare, configurare le impostazioni avanzate seguenti:

    Per altre informazioni sulle configurazioni avanzate disponibili, vedere Guida dell'amministratore: Configurazioni personalizzate per il client di etichettatura unificata di Azure Information Protection.

Nota

Per sfruttare le impostazioni definite per la piattaforma di etichettatura unificata, gli utenti finali devono avere installato il client di etichettatura unificata nei propri computer.

Queste impostazioni avanzate non sono disponibili per gli utenti che usano solo la funzionalità di etichettatura predefinita di Office 365.

Definire le condizioni delle etichette nel Portale di conformità di Microsoft Purview

Le condizioni di etichettatura unificata offrono maggiore flessibilità e maggiore accuratezza rispetto alle controparti create nel portale di Azure.

Per sfruttare le funzionalità di condizione di etichettatura unificata, creare manualmente le condizioni di etichettatura nel Portale di conformità di Microsoft Purview.

Per altre informazioni, vedere Operazioni eseguibili dalle etichette di riservatezza nella documentazione di Microsoft 365.

Suggerimento

Se sono stati creati tipi di informazioni sensibili personalizzati per l'uso con Office 365 DLP o Microsoft Defender for Cloud Apps, applicarli così come sono all'etichettatura unificata. Per altre informazioni, vedere la documentazione di Microsoft 365.

Distribuire un client di etichettatura unificata

Distribuire un client che supporta l'etichettatura unificata nei computer degli utenti per assicurarsi che siano in grado di usare le etichette e i criteri di etichettatura unificata.

Gli utenti devono avere un client supportato in grado di connettersi al Portale di conformità di Microsoft Purview ed eseguire il pull dei criteri di etichettatura unificata.

Per altre informazioni, vedere:

Piattaforme non Windows

Per gli utenti di piattaforme non Windows, le funzionalità di etichettatura unificata sono integrate direttamente nei client Office e tutte le etichette pubblicate sono utilizzabili immediatamente.

I client Office con funzionalità integrate per l'etichettatura unificata includono:

  • Client Office per macOS
  • Office per il Web (anteprima)
  • Outlook Web App
  • Outlook per dispositivi mobili

Per altre informazioni sull'etichettatura unificata in queste piattaforme, vedere Applicare etichette di sensitività ai file e alla posta elettronica in Office nel sito del supporto tecnico Microsoft.

piattaforme Windows

Per i computer Windows con Microsoft 365 Apps for enterprise, usare il supporto predefinito per l'etichettatura disponibile nelle versioni di Office 1910 e successive oppure installare il client di etichettatura unificata di Azure Information Protection per estendere le funzionalità di AIP a Esplora file o PowerShell.

Per altre informazioni, vedere:

Il client di etichettatura unificata di Azure Information Protection può essere scaricato dall'Area download Microsoft.

Per distribuire il client, assicurarsi di usare il file AzInfoProtection_UL. Se nel computer in uso è installato il client classico, l'installazione del client di etichettatura unificata esegue un aggiornamento sul posto.

Nota

Valutare le funzionalità AIP attualmente richieste dall'organizzazione per stabilire quando usare le funzionalità di etichettatura predefinite e quando usare il client di etichettatura unificata.

Differenze per gli utenti finali del client classico

La differenza principale e più visibile per gli utenti finali che usano il client classico di Azure Information Protection è che il pulsante Proteggi nelle app di Office viene sostituito dal pulsante Riservatezza.

Quando si sfruttano le funzionalità aggiuntive supportate dalle etichette di riservatezza e dall'etichettatura unificata, gli utenti finali visualizzeranno anche queste modifiche nelle app di Office.

Ad esempio:

  • Client classico di Windows AIP

    Pulsante di protezione nel client classico

  • Client di etichettatura unificata di Windows AIP

    Pulsante di esempio per il client di etichettatura unificata in Microsoft Office

Suggerimento

Se le etichette sono state pubblicate e i client con supporto incorporato non visualizzano il pulsante Riservatezza, vedere la guida alla risoluzione dei problemi appropriata in base alle esigenze.

Aggiornamento dello scanner dal client classico

Se attualmente si usa lo scanner di Azure Information Protection dal client classico di Azure Information Protection, è possibile aggiornarlo per usare i tipi di informazioni riservate e le etichette di riservatezza pubblicate da Portale di conformità di Microsoft Purview.

La modalità di aggiornamento dello scanner dipende dalla versione del client classico attualmente in esecuzione:

L'aggiornamento crea un nuovo database denominato AIPScannerUL_<profile_name> e il database dello scanner precedente viene mantenuto nel caso in cui sia necessario per la versione precedente. Quando si è certi che non è necessario il database dello scanner precedente, è possibile eliminarlo. Poiché l'aggiornamento crea un nuovo database, lo scanner esegue nuovamente l'analisi di tutti i file la prima volta che viene eseguita.

Eseguire l'aggiornamento da Azure Information Protection client classico versione 1.48.204.0 e versioni successive di questo client

Se lo scanner è stato aggiornato usando la versione di anteprima del client di etichettatura unificata, non è necessario eseguire di nuovo queste istruzioni.

  1. Nel computer dello scanner arrestare il servizio dello scanner Azure Information Protection Scanner.

  2. Eseguire l'aggiornamento al client di etichettatura unificata di Azure Information Protection scaricando e installando il client di etichettatura unificata dall'Area download Microsoft.

  3. In una sessione di PowerShell eseguire il comando Update-AIPScanner con il profilo dello scanner. Ad esempio: Update-AIPScanner –Profile Europe.

    Questo passaggio crea un nuovo database con il nome AIPScannerUL_<profile_name>

  4. Riavviare il servizio dello scanner di Azure Information Protection Scanner Azure Information Protection.

È ora possibile usare le altre istruzioni riportate in Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file, omettendo il passaggio per installare lo scanner. Poiché lo scanner è già installato, non c'è motivo di installarlo di nuovo.

Eseguire l'aggiornamento da Azure Information Protection versioni client classiche precedenti alla versione 1.48.204.0

Importante

Per un percorso di aggiornamento senza problemi, non installare il client di etichettatura unificata di Azure Information Protection nel computer che esegue lo scanner come primo passaggio per aggiornare lo scanner. Usare invece le istruzioni di aggiornamento seguenti.

A partire dalla versione 1.48.204.0, lo scanner ottiene le impostazioni di configurazione dal portale di Azure usando un profilo di configurazione. L'aggiornamento dello scanner include l'istruzione dello scanner di usare questa configurazione online e per il client di etichettatura unificata, la configurazione offline per lo scanner non è supportata.

  1. Usare il portale di Azure per creare un nuovo profilo di scanner che include le impostazioni per lo scanner e i repository di dati con le eventuali impostazioni necessarie. Per informazioni su questo passaggio, vedere Configurare lo scanner nella portale di Azure dalle istruzioni di distribuzione dello scanner.

  2. Nel computer dello scanner arrestare il servizio dello scanner Azure Information Protection Scanner.

  3. Eseguire l'aggiornamento al client di etichettatura unificata di Azure Information Protection scaricando e installando il client di etichettatura unificata dall'Area download Microsoft.

  4. In una sessione di PowerShell eseguire il comando Update-AIPScanner con lo stesso nome di profilo specificato nel passaggio 1. ad esempio Update-AIPScanner –Profile Europe

  5. Riavviare il servizio dello scanner di Azure Information Protection Scanner Azure Information Protection.

È ora possibile usare le altre istruzioni in Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file, omettendo il passaggio per installare lo scanner. Poiché lo scanner è già installato, non c'è motivo di installarlo di nuovo.

Passaggi successivi

Dopo aver eseguito la migrazione delle etichette, dei criteri e dei client distribuiti in base alle esigenze, continuare gestendo etichette e criteri di etichettatura solo nei Portale di conformità di Microsoft Purview.

Con la piattaforma di etichettatura unificata sarà necessario tornare all'area Azure Information Protection nel portale di Azure per:

Si consiglia agli utenti finali di sfruttare le funzionalità di etichettatura predefinite nelle app di Office più recenti per il Web, Mac, iOS e Android, nonché Microsoft 365 Apps for enterprise.

Per usare le funzionalità di AIP aggiuntive non ancora supportate dalle funzionalità di etichettatura predefinite, è consigliabile usare il client di etichettatura unificata più recente per Windows.