Riepilogo: come funziona IRM in un ambiente ibrido di Exchange e come configurare IRM affinché funzioni tra i server Exchange locali ed Exchange Online.
Information Rights Management (IRM) consente di evitare la fuga di informazioni riservate fornendo una protezione continua online e offline dei messaggi di posta elettronica e relativi allegati. Sia l'organizzazione locale di Exchange che Exchange Online, in Microsoft 365 o Office 365 per le aziende, supportano IRM. Tuttavia, esistono delle differenze tra le due implementazioni ed è necessario configurare IRM nell'organizzazione di Exchange Online prima che gli utenti dell'organizzazione possano utilizzarlo.
IRM utilizza Active Directory Rights Management Services (AD RMS), che è un componente di Windows Server 2008 e versione successiva. AD RMS consente agli utenti di creare contenuto protetto da diritti, come ad esempio messaggi di posta elettronica e allegati, quindi definire come tale contenuto può essere utilizzato e a chi viene distribuito. Gli utenti possono specificare modelli che determinano come può essere utilizzato il contenuto. Ad esempio, un utente può specificare che un determinato messaggio di posta elettronica non può essere inviato ad altri destinatari e che le informazioni di quel messaggio non possono essere copiate.
Differenze tra IRM in Exchange locale ed Exchange Online
La funzionalità IRM disponibile nell'organizzazione Exchange locale potrebbe essere diversa da quella disponibile nell'organizzazione di Exchange Online. Nella tabella che segue è riportato un riepilogo delle funzionalità disponibili in ciascuna organizzazione. Per altre informazioni su queste funzionalità, vedere Information Rights Management.
Funzionalità IRM disponibili
Funzionalità
Disponibile in Exchange 2007 e versioni precedenti
Disponibile in Exchange 2010
Disponibile in Exchange Online ed Exchange 2013 e versioni successive
Protezione manuale dei messaggi in Outlook
Sì
Sì
Sì
Protezione manuale dei messaggi in Outlook Web App
No
Sì
Sì
Visualizzazione dei messaggi protetti tramite IRM in Outlook
Sì
Sì
Sì
Visualizzazione dei messaggi protetti tramite IRM in Outlook Web App
No
Sì
Sì
Agente di prelicenza IRM
Sì
Sì
Sì
Modelli dei criteri RMS
No
Sì
Sì
Decrittografia di trasporto
No
Sì
Sì
Decrittografia dei rapporti del journal
No
Sì
Sì
Decrittografia di ricerca e individuazione di Exchange
No
Sì
Sì
Regole di protezione automatiche di Outlook
No
No
Sì
Regole di protezione automatiche del trasporto
No
Sì
Sì
IRM nelle distribuzioni ibride
Exchange utilizza i server AD RMS nella foresta Active Directory nella quale è installato il server Exchange. Per i server Exchange locali viene utilizzato il server AD RMS locale. Per l'organizzazione Exchange Online, vengono usati i server AD RMS gestiti all'interno di Microsoft 365 e Office 365 data center. La configurazione di AD RMS utilizzata da ciascuna organizzazione di Exchange è indipendente da ogni altra distribuzione di AD RMS.
La configurazione di AD RMS, e pertanto anche la configurazione di IRM, non viene automaticamente replicata tra l'organizzazione di Exchange locale e l'organizzazione di Exchange Online. Gli eventuali modelli AD RMS definiti non vengono automaticamente copiati nell'organizzazione di Exchange Online. Se si desidera che gli stessi modelli di AD RMS siano disponibili nell'organizzazione Exchange Online, è necessario esportare manualmente i modelli dall'organizzazione locale e applicarli all'organizzazione microsoft 365 o Office 365. Vedere la sezione relativa alla Configurazione di IRM nelle distribuzioni ibride più avanti in questo argomento.
Esperienza utente
La configurazione di IRM che viene applicata a un utente dipende dal client utilizzato dall'utente e dal percorso della sua cassetta postale. Nella tabella che segue viene riportato il server AD RMS che verrà utilizzato da un utente.
Server AD RMS attivo
Client
Cassetta postale locale
Cassetta postale di Exchange Online
Client desktop di Outlook
AD RMS locale
AD RMS locale
Outlook sul Web
AD RMS locale
AD RMS di Exchange Online
Dispositivo ActiveSync
AD RMS locale
AD RMS di Exchange Online
A seconda della configurazione di AD RMS applicata alle organizzazioni locale e di Exchange Online, è possibile che un utente che utilizza Outlook 2007 e Outlook sul Web possa vedere modelli AD RMS differenti. Per questo motivo, si consiglia caldamente di applicare gli stessi modelli sia all'organizzazione locale che all'organizzazione di Exchange Online.
Non dovrebbero esserci differenze nell'esperienza IRM per gli utenti dei client Outlook, a prescindere che la loro cassetta postale si trovi nell'organizzazione locale o Exchange Online.
Un utente di Outlook sul Web la cui cassetta postale si trova su un server di Exchange locale sarà in grado di aprire i messaggi protetti da diritti soltanto dopo aver installato il componente aggiuntivo Rights Management per Internet Explorer. L'utente non potrà comunque rispondere ai messaggi o creare nuovi messaggi protetti da diritti.
Un utente di Outlook sul Web la cui cassetta postale si trova in Exchange Online potrà aprire i messaggi protetti da diritti senza dover installare alcun software aggiuntivo; potrà inoltre rispondere ai messaggi e creare nuovi messaggi protetti da diritti.
Funzionalità del server
I server Exchange locali utilizzano l'agente di prelicenza AD RMS per decrittografare i messaggi protetti da diritti, in modo tale che gli utenti non debbano fornire credenziali per aprire quei messaggi. Il server Exchange locale contatta il server AD RMS locale per verificare i criteri e diritti di utilizzo e per richiedere l'autorizzazione a decrittografare il messaggio.
L'organizzazione Exchange Online fornisce diverse funzionalità IRM aggiuntive che utilizzano AD RMS di Exchange Online. Queste funzionalità, come la decrittografia dei rapporti del journal, rendono il contenuto dei messaggi protetti da diritti disponibile per ulteriori elaborazioni da parte dei servizi Exchange. Ad esempio, il contenuto decrittografato di un messaggio inserito nel journal può essere salvato, insieme al messaggio protetto da diritti originale, per agevolare le attività di individuazione. Inoltre, i modelli IRM possono essere automaticamente applicati ai messaggi utilizzando le regole di protezione o le regole di trasporto di Outlook per garantire che i messaggi siano conformi ai criteri di protezione delle informazioni applicati dall'organizzazione.
Configurazione di IRM nelle distribuzioni ibride
IRM in Exchange richiede che AD RMS sia distribuito nella foresta di Active Directory nella quale risiede il server Exchange. La configurazione di AD RMS non viene automaticamente sincronizzata tra l'organizzazione locale e l'organizzazione Exchange Online. È necessario esportare manualmente la configurazione AD RMS, nota come dominio di pubblicazione trusted, dal server AD RMS locale e importarla nell'organizzazione Exchange Online. Il dominio di pubblicazione trusted contiene la configurazione di AD RMS, inclusi i modelli, necessaria all'organizzazione Exchange Online per utilizzare IRM.
Oltre ad applicare la configurazione AD RMS locale all'organizzazione Exchange Online, è necessario verificare che i server AD RMS possano essere contattati dai client Outlook e ActiveSync all'esterno della rete locale. Ciò è necessario se si desidera che questi client possano accedere ai messaggi protetti da diritti all'esterno della rete locale.
Una volta configurata la rete locale ed esportati i dati del dominio di pubblicazione trusted, occorre configurare l'organizzazione di Exchange Online importando i dati del dominio di pubblicazione trusted e abilitando IRM.
Nota
Ogni volta che si modifica la configurazione AD RMS locale, è necessario applicare manualmente la nuova configurazione all'organizzazione di Exchange Online. Per eseguire questa operazione, esportare i dati del dominio di pubblicazione trusted dal server AD RMS locale e importarli nell'organizzazione Exchange.
Configurazione di IRM nelle distribuzioni ibride di Exchange
Se si utilizza IRM nell'organizzazione di Exchange locale e si desidera che anche gli utenti di Exchange Online utilizzino IRM, è necessario eseguire le seguenti operazioni:
Configurare il server Active Directory Rights Management Services (AD RMS) locale.
Abilitare IRM nell'organizzazione di Exchange Online.
Distribuire i modelli AD RMS agli utenti nell'organizzazione di Exchange Online.
Come configurare i server AD RMS locali?
Per configurare IRM in una distribuzione ibrida è necessario utilizzare Windows PowerShell per accedere al server AD RMS locale. Per ulteriori informazioni, vedere: Utilizzo di Windows PowerShell per amministrare AD RMS
Procedere come segue per esportare i dati di un dominio di pubblicazione trusted (TPD) dal proprio server AD RMS locale e configurare l'accesso al server AD RMS per i client esterni.
Come distribuire modelli AD RMS nell'organizzazione di Exchange Online?
Dopo aver abilitato IRM nell'organizzazione di Exchange Online è necessario distribuire i modelli AD RMS importati. Gli utenti e le funzionalità di Exchange Online indicati di seguito utilizzano i modelli di AD RMS:
Utenti di Outlook sul Web
Utenti di Exchange ActiveSync
Regole di trasporto
Decrittografia dei report del journal
Regole di protezione di Outlook
Nell'organizzazione di Exchange Online, recuperare un elenco dei modelli AD RMS.
Get-RMSTemplate -Type All
Distribuire i modelli AD RMS agli utenti e alle funzionalità nell'organizzazione di Exchange Online.
Set-RMSTemplate <template name> -Type Distributed
Nota
Non è possibile modificare il modello AD RMS "Non inoltrare".
Ripetere il passo 2 per ciascun modello AD RMS che si vuole distribuire.
Come verificare se l'operazione ha avuto esito positivo?
Gli utenti di Outlook sul Web dovrebbero essere in grado di applicare i modelli AD RMS ai nuovi messaggi. Gli utenti di Outlook sul Web e Exchange ActiveSync dovrebbero essere in grado di leggere i messaggi a cui sono applicati modelli di AD RMS. Inoltre, tutti i modelli di AD RMS importati dall'organizzazione locale dovrebbero essere elencati quando si esegue il cmdlet Get-RMSTemplate.
Eseguire il comando seguente nell'organizzazione Exchange Online:
This module introduces Microsoft Purview Message Encryption, an online service that’s built on Microsoft Azure Rights Management and includes encryption, identity, and authorization policies to help organizations secure their email. MS-102
Illustrare i concetti fondamentali della protezione dei dati, della gestione del ciclo di vita, della protezione delle informazioni e della conformità per proteggere una distribuzione di Microsoft 365.