Informazioni su Microsoft Azure Rights Management

Azure Rights Management (Azure RMS) è la tecnologia di protezione basata sul cloud usata da Azure Information Protection.

Azure RMS consente di proteggere file e messaggi di posta elettronica in più dispositivi, tra cui telefoni, tablet e PC usando criteri di crittografia, identità e autorizzazione.

Ad esempio, quando i dipendenti eseguono la posta elettronica di un documento a una società partner o salvano un documento nell'unità cloud, la protezione permanente di Azure RMS consente di proteggere i dati.

  • Le impostazioni di protezione rimangono con i dati, anche quando esce dai limiti dell'organizzazione, mantenendo il contenuto protetto sia all'interno che all'esterno dell'organizzazione.

  • Azure RMS può essere legalmente richiesto per la conformità, i requisiti di individuazione legale o le procedure consigliate per la gestione delle informazioni.

  • Usare Azure RMS con sottoscrizioni o sottoscrizioni di Microsoft 365 per Azure Information Protection. Per altre informazioni, vedere la pagina relativa alle licenze di Microsoft 365 per la conformità alla sicurezza&.

Azure RMS assicura che le persone e i servizi autorizzati, ad esempio quelli di ricerca e indicizzazione, possano continuare a leggere e analizzare i dati protetti.

Questa possibilità, definita anche "ragionamento sui dati", riveste un ruolo di importanza cruciale nel mantenimento del controllo sui dati dell'organizzazione, un risultato non facilmente raggiungibile con altre soluzioni di protezione delle informazioni che usano la crittografia peer-to-peer.

Funzionalità di protezione

Funzionalità Descrizione
Protezione di più tipi di file Nelle prime implementazioni di Rights Management era possibile proteggere soltanto i file di Office con la protezione predefinita di Rights Management.

Azure Information Protection offre supporto per tipi di file aggiuntivi. Per altre informazioni, vedere Tipi di file supportati.
Proteggere i file ovunque Quando un file è protetto, la protezione rimane associata al file stesso anche se questo viene salvato o copiato in un'area di archiviazione non controllata dal reparto IT, ad esempio un servizio di archiviazione cloud.

Funzionalità di collaborazione

Funzionalità Descrizione
Condivisione sicura delle informazioni I file protetti possono essere condivisi in modo sicuro con altri utenti, come nel caso di un allegato a un messaggio di posta elettronica o un collegamento a un sito di SharePoint.

Se le informazioni riservate si trovano all'interno di un messaggio di posta elettronica, proteggere il messaggio di posta elettronica o usare l'opzione Non inoltrare da Outlook.
Supporto della collaborazione business-to-business Poiché Azure Rights Management è un servizio cloud, per poter condividere contenuti protetti con altre organizzazioni non è necessario configurare esplicitamente trust con queste ultime.

La collaborazione con altre organizzazioni che hanno già una directory di Microsoft 365 o Azure AD è supportata automaticamente.

Per le organizzazioni senza Microsoft 365 o una directory di Azure AD, gli utenti possono iscriversi alla sottoscrizione gratuita di RMS per utenti singoli o usare un account Microsoft per le applicazioni supportate.

Suggerimento

Allegare file protetti anziché proteggere un intero messaggio di posta elettronica, consente di lasciare in chiaro il testo del messaggio.

È possibile, ad esempio, includere le istruzioni per il primo utilizzo se il messaggio di posta elettronica viene inviato all'esterno dell'organizzazione. Se si allega un file protetto, chiunque può leggere le istruzioni, ma solo gli utenti autorizzati potranno aprire il documento, anche se il messaggio di posta elettronica o il documento viene inoltrato ad altre persone.

Funzionalità di supporto della piattaforma

Azure RMS supporta un'ampia varietà di piattaforme e applicazioni, tra cui:

Funzionalità Descrizione
Dispositivi
di uso comune non solo computer Windows
I dispositivi client includono:

- Computer e telefoni
Windows - Computer
Mac - tablet e telefoni
iOS - Tablet e telefoni Android
Servizi locali Oltre a lavorare facilmente con Office 365, usare Azure Rights Management con i servizi locali seguenti quando si distribuisce il connettore RMS:

- Exchange Server
- SharePoint Server
- Windows Server che esegue l'infrastruttura di classificazione file
Estendibilità dell'applicazione Azure Rights Management offre una stretta integrazione con le applicazioni e i servizi di Microsoft Office ed estende il supporto ad altre applicazioni tramite il client Azure Information Protection.

L'SDK di Microsoft Information Protection fornisce agli sviluppatori interni e ai fornitori di software api per scrivere applicazioni personalizzate che supportano Azure Information Protection.

Per altre informazioni, vedere Altre applicazioni che supportano le API rights management.

Funzionalità per l'infrastruttura

Azure RMS offre le funzionalità seguenti a supporto dei reparti IT e delle organizzazioni che si occupano di infrastrutture:

Nota

Le organizzazioni possono sempre decidere di sospendere l'uso del servizio Azure Rights Management senza perdere l'accesso al contenuto protetto in precedenza da Azure Rights Management.

Per altre informazioni, vedere Rimozione delle autorizzazioni e disattivazione di Azure Rights Management.

Possibilità di creare criteri semplici e flessibili

I modelli di protezione personalizzati forniscono agli amministratori una soluzione rapida e semplice per applicare i criteri e permettono agli utenti di usare il livello di protezione corretto per ciascun documento, nonché di limitare l'accesso al personale dell'organizzazione.

Ad esempio, per condividere a livello aziendale un documento sulle strategie, applicare a tutti i dipendenti interni un criterio di sola lettura. Nel caso di un documento più riservato, ad esempio un report finanziario, consentire l'accesso ai soli dirigenti dell'azienda.

Configurare i criteri di etichettatura nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere la documentazione relativa alle etichette di riservatezza per Microsoft 365.

Facilità di attivazione

Per le nuove sottoscrizioni, l'attivazione è automatica. Per le sottoscrizione esistenti, è possibile attivare il servizio Rights Management con solo pochi clic nel portale di gestione o due comandi di PowerShell.

Servizi di controllo e monitoraggio

È possibile controllare e monitorare l'utilizzo dei file protetti, anche all'esterno dell'organizzazione.

Ad esempio, se un dipendente di Contoso, Ltd lavora a un progetto comune con tre persone della società Fabrikam, Inc, potrebbe inviare ai partner Fabrikam un documento protetto e di sola lettura.

La funzionalità di controllo di Azure RMS può fornire le seguenti informazioni:

  • Se i partner Fabrikam hanno aperto il documento e quando.

  • Se altre persone, che non sono state specificate, hanno tentato senza successo di aprire il documento. Questo può accadere se il messaggio di posta elettronica è stato inoltrato oppure salvato in un percorso condiviso.

Gli amministratori di AIP possono tenere traccia dell'utilizzo dei documenti e revocare l'accesso per i file di Office. Gli utenti possono revocare l'accesso per i documenti protetti in base alle esigenze.

Scalabilità a livello dell'intera organizzazione

Poiché Azure Rights Management viene eseguito come servizio cloud e offre l'elasticità tipica di Azure in termini di scalabilità verticale e orizzontale, non è necessario effettuare il provisioning di server locali aggiuntivi o distribuire tali server.

Capacità di mantenere il controllo IT sui dati

Le organizzazioni possono usufruire di funzionalità di controllo IT, ad esempio:

Funzionalità Descrizione
Gestione della chiave del tenant Usare le soluzioni di gestione delle chiavi del tenant, ad esempio Bring Your Own Key (BYOK) o crittografia a chiave doppia (DKE).

Per altre informazioni, vedere:
- Pianificazione e implementazione della chiave del tenant AIP
- DKE nella documentazione di Microsoft 365.
Controllo e registrazione dell'utilizzo Usare le funzionalità di controllo e registrazione dell'utilizzo per eseguire analisi per ottenere informazioni aziendali dettagliate, monitorare i possibili abusi e, in caso di perdita di informazioni, eseguire analisi per scopi legali.
Delega dell'accesso È possibile delegare l'accesso mediante la funzionalità di utente con privilegi avanzati, assicurando che gli addetti del reparto IT possano sempre accedere ai contenuti protetti, anche nel caso di documenti protetti da un utente che non fa più parte dell'organizzazione.
In confronto, le soluzioni di crittografia peer-to-peer rischiano di perdere l'accesso ai dati aziendali.
Sincronizzazione di Active Directory Sincronizzazione solo degli attributi della directory richiesti da Azure RMS per supportare un'identità comune per gli account Active Directory locali usando una soluzione di identità ibrida, come Azure AD Connect.
Single Sign-On Abilitazione dell'accesso Single-Sign On senza replicare le password nel cloud usando AD FS.
Migrazione da AD RMS Se si è distribuito Active Directory Rights Management Services (AD RMS), è possibile eseguire la migrazione al servizio Azure Rights Management senza perdere l'accesso ai dati protetti in precedenza da AD RMS.

Requisiti di sicurezza, conformità e normativi

Azure Rights Management supporta i requisiti di sicurezza, conformità e normativi seguenti:

  • Uso di crittografia standard del settore e supporto per FIPS 140-2. Per altre informazioni, vedere Controlli crittografici usati in Azure RMS: algoritmi e lunghezze delle chiavi.

  • Supporto per moduli di protezione hardware (HSM) nCipher nShield per archiviare la chiave del tenant in data center di Microsoft Azure.

    Azure Rights Management usa ambienti di sicurezza separati per i propri data center in America del Nord, nei paesi EMEA (Europa, Medio Oriente e Africa) e in Asia, così da limitare l'uso delle chiavi all'area pertinente.

  • Certificazione per gli standard seguenti:

    • ISO/IEC 27001:2013 (include ISO/IEC 27018)
    • Attestazioni SOC 2 SSAE 16/ISAE 3402
    • HIPAA BAA
    • EU Model Clause
    • FedRAMP come parte di Azure Active Directory nella certificazione di Office 365, FedRAMP Agency ATO (Authority to Operate) rilasciato da HHS
    • PCI DSS Livello 1

Per altre informazioni su queste certificazioni esterne, vedere il Centro protezione Azure.

Passaggi successivi

Per altre informazioni tecniche sul funzionamento del servizio Azure Rights Management, vedere Funzionamento di Azure RMS.

Gli utenti che hanno già acquisito familiarità con la versione locale di Rights Management, Active Directory Rights Management Services (AD RMS), possono essere interessati alla tabella comparativa disponibile in Confronto tra Azure Rights Management e AD RMS.