Esercitazione: Migrazione dal client classico di Azure Information Protection (AIP) alla soluzione di etichettatura unificata

  • Articolo

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Il nuovo client Microsoft Information Protection (senza il componente aggiuntivo) è attualmente in anteprima e pianificato per la disponibilità generale.

Per offrire un'esperienza cliente unificata e semplificata, il client classico e la gestione delle etichette di Azure Information Protection nel portale di Azure sono deprecati a partire dal 31 marzo 2021. Mentre il client classico continua a funzionare come configurato, non viene fornito ulteriore supporto e le versioni di manutenzione non verranno più rilasciate per il client classico.

È consigliabile eseguire la migrazione all'etichettatura unificata ed eseguire l'aggiornamento al client di etichettatura unificata. Altre informazioni sono disponibili nell'aggiornamento recente sulla deprecazione.

Questa esercitazione descrive come eseguire la migrazione della distribuzione di Azure Information Protection dell'organizzazione dal client classico e la gestione dei criteri di etichetta/etichetta nel portale di Azure, alla soluzione di etichettatura unificata e alle etichette di riservatezza di Microsoft 365.

Tempo necessario: il tempo necessario per completare una migrazione dipende dalla complessità dei criteri e dalle funzionalità di AIP usate. È possibile continuare a usare il client classico durante la migrazione in background.

Questa esercitazione fornisce una descrizione generale di ogni passaggio e quindi fa riferimento alla sezione pertinente altrove nella documentazione Microsoft per altri dettagli.

In questa esercitazione si apprenderà come:

  • Informazioni sulla pianificazione della migrazione
  • Eseguire la migrazione delle etichette alla piattaforma di etichettatura unificata
  • Informazioni su come configurare le impostazioni avanzate nel Portale di conformità di Microsoft Purview
  • Copiare i criteri nella piattaforma di etichettatura unificata
  • Distribuire il client di etichettatura unificata

Perché eseguire la migrazione alla soluzione di etichettatura unificata?

Oltre al tramonto del client classico, la migrazione alla soluzione di etichettatura unificata consente di proteggere in modo efficace i dati sensibili nel digital estate. Dopo aver eseguito la migrazione, usare Microsoft Purview Information Protection nei servizi cloud di Microsoft 365, in locale, nelle applicazioni SaaS di terze parti e altro ancora.

MIP supporta i servizi di etichettatura predefiniti per molte funzionalità di protezione delle informazioni di base, consentendo di riservare l'utilizzo del client solo per funzionalità aggiuntive non supportate dall'etichettatura predefinita.

  • Ridurre i costi di manutenzione, distribuendo e mantenendo meno software aggiuntivo
  • Aumentare le prestazioni di Office, senza la necessità di ulteriori componenti aggiuntivi
  • Semplificare la gestione dei criteri di etichettatura e protezione in AIP, Office 365 e Windows usando il Portale di conformità di Microsoft Purview.

Per altre informazioni, vedere il blog Informazioni sulla migrazione delle etichette unificate.

Pianificazione della migrazione

Anche se la maggior parte delle funzionalità disponibili per il client classico AIP è disponibile anche per il client di etichettatura unificata, alcune funzionalità non sono ancora completamente disponibili e alcune sono configurate in modo diverso per l'etichettatura unificata.

Esaminare gli articoli seguenti per comprendere in che modo le funzionalità di Information Protection usate possono differire quando si usa il client di etichettatura unificata:

Suggerimento

Se esistono differenze documentate tra i client che influiscono sul comportamento degli utenti finali, è consigliabile comunicare queste modifiche in modo efficace agli utenti prima di distribuire il client di etichettatura unificata e pubblicare i nuovi criteri.

Dopo aver pianificato la migrazione e aver compreso le modifiche che si verificheranno, continuare con Migrazione delle etichette alla piattaforma di etichettatura unificata.

Migrazione delle etichette alla piattaforma di etichettatura unificata

Dopo aver pianificato la migrazione e aver considerato come gestire le differenze nei client, è possibile attivare l'etichettatura unificata ed eseguire la migrazione delle etichette.

Durante la migrazione, è possibile continuare a usare il client classico AIP e i criteri nell'area Azure Information Protection nel portale di Azure. I due client possono funzionare affiancati senza alcuna configurazione aggiuntiva.

  1. Accedere al portale di Azure come amministratore con uno dei ruoli seguenti:

    • Amministratore della conformità
    • Amministratore dei dati di conformità
    • Amministratore della sicurezza
    • Amministratore globale

  2. Nell'area Azure Information Protection, in Gestisci a sinistra, selezionare Etichettatura unificata.

    Nella parte superiore della pagina selezionare Attiva per attivare l'etichettatura unificata.

    Le etichette vengono copiate da Azure Information Protection alla piattaforma di etichettatura unificata e ora vengono archiviate in entrambi i sistemi.

    Aprire il Portale di conformità di Microsoft Purview per confrontare le etichette visualizzate e nell'area Azure Information Protection. I due elenchi devono essere identici. Ad esempio, quando si confronta con il Portale di conformità di Microsoft Purview:

    Confrontare le etichette migrate tra il portale di Azure e il Centro sicurezza e conformità

    Nota

    Se necessario, continuare a usare le etichette in entrambi i sistemi fino al termine della migrazione. Per altre informazioni, vedere Sincronizzazione delle modifiche di etichettatura.

Continuare con Copiare i criteri nella piattaforma di etichettatura unificata.

Sincronizzazione delle modifiche di etichettatura

Dopo aver eseguito la migrazione delle etichette al Portale di conformità di Microsoft Purview, tutte le modifiche apportate alle etichette di cui è stata eseguita la migrazione nel portale di Azure vengono sincronizzate automaticamente con la stessa etichetta nella Portale di conformità di Microsoft Purview.

Tuttavia, le modifiche apportate alle etichette migrate in Portale di conformità di Microsoft Purview non vengono sincronizzate con il portale di Azure. Se si apportano modifiche nel Portale di conformità di Microsoft Purview ed è necessario aggiornarle nella portale di Azure, tornare al portale per pubblicare l'aggiornamento.

Per pubblicare un'etichetta aggiornata nel portale di Azure:

  1. Nell'area Azure Information Protection, in Gestisci a sinistra, selezionare Etichettatura unificata.

  2. Selezionare Pubblica

Nota

Questo passaggio è obbligatorio solo se sono state apportate modifiche alle etichette di cui è stata eseguita la migrazione nella piattaforma di etichettatura unificata e queste modifiche sono state sincronizzate con il portale di Azure.

Migrazione delle etichette tramite PowerShell

È anche possibile usare PowerShell per eseguire la migrazione delle etichette esistenti, ad esempio per un ambiente GCC High.

Usare il cmdlet New-Label per eseguire la migrazione delle etichette di riservatezza esistenti.

Ad esempio, se l'etichetta di riservatezza ha la crittografia, è possibile usare il cmdlet New-Label come indicato di seguito:

New-Label -Name 'aipscopetest' -Tooltip 'aipscopetest' -Comment 'admin notes' -DisplayName 'aipscopetest' -Identity 'b342447b-eab9-ea11-8360-001a7dda7113' -EncryptionEnabled $true -EncryptionProtectionType 'template' -EncryptionTemplateId 'a32027d7-ea77-4ba8-b2a9-7101a4e44d89' -EncryptionAipTemplateScopes "['allcompany@labelaction.onmicrosoft.com','admin@labelaction.onmicrosoft.com']"

Per altre informazioni sull'uso in ambienti GCC, GCC-High e DoD, vedere La descrizione del servizio Azure Information Protection Premium per enti pubblici.

Copiare i criteri nella piattaforma di etichettatura unificata

Copiare tutti i criteri archiviati nella portale di Azure che si desidera avere a disposizione perché si trovano nella piattaforma di etichettatura unificata.

La funzionalità è attualmente disponibile in ANTEPRIMA. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Nota

La copia dei criteri presenta alcune limitazioni. È anche possibile iniziare da zero e creare manualmente i criteri nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere la documentazione di Microsoft 365.

Per copiare i criteri:

  1. Prendere in considerazione gli elementi seguenti e verificare di voler copiare i criteri in questo momento:

    Considerazione Descrizione
    La copia dei criteri copia tutti i criteri La copia dei criteri non supporta solo la copia di criteri specifici, ovvero tutti i criteri o nessuno di essi ora.
    La copia pubblica automaticamente i criteri La copia dei criteri nel client di etichettatura unificata li pubblica automaticamente in tutti i client supportati dall'etichettatura unificata.

    Importante: non copiare i criteri se non si vuole pubblicarli.
    La copia sovrascrive i criteri esistenti con lo stesso nome Se si dispone di un criterio con lo stesso nome già esistente nella Portale di conformità di Microsoft Purview, la copia dei criteri sovrascriverà tutte le impostazioni definite in tale criterio.

    Tutti i criteri copiati dal portale di Azure vengono denominati con la sintassi seguente: AIP_<policy name>.
    Alcune impostazioni client non vengono copiate Alcune impostazioni client non vengono copiate nella piattaforma di etichettatura unificata e devono essere configurate manualmente dopo la migrazione.

    Per altre informazioni, vedere Configurazione delle impostazioni avanzate di etichettatura

  2. Accedere al portale di Azure come amministratore con uno dei ruoli seguenti:

    • Amministratore della conformità
    • Amministratore dei dati di conformità
    • Amministratore della sicurezza
    • Amministratore globale

  3. Nell'area Azure Information Protection, in Gestisci a sinistra, selezionare Etichettatura unificata.

  4. Selezionare Copia criteri (anteprima) . Tutti i criteri archiviati nel portale di Azure vengono copiati nella Portale di conformità di Microsoft Purview.

    Se nella Portale di conformità di Microsoft Purview sono già presenti criteri con lo stesso nome, i criteri vengono sovrascritti con le impostazioni del portale di Azure.

    Importante

    Se attualmente si usano app di Microsoft Defender per il cloud e le etichette di Azure Information Protection, verificare di aver pubblicato almeno un criterio con un set minimo di etichette nel Portale di conformità di Microsoft Purview, anche se l'ambito dei criteri è un singolo utente.

    Questo criterio è necessario per Microsoft Defender per il cloud App per identificare tutte le etichette nel Portale di conformità di Microsoft Purview e visualizzarle nel portale delle app di Microsoft Defender per il cloud.

Ora che è stata eseguita la migrazione delle etichette e dei criteri, continuare con Configurazione delle impostazioni avanzate di etichettatura per coprire eventuali configurazioni avanzate non migrate.

Configurazione delle impostazioni avanzate di etichettatura

Come spiegato durante la fase di pianificazione, alcune impostazioni avanzate di etichettatura non vengono migrate automaticamente e devono essere riconfigurate per la piattaforma di etichettatura unificata.

Per altre informazioni, vedi:

Configurare le impostazioni avanzate di etichettatura in PowerShell

  1. Connessione al modulo PowerShell del Centro sicurezza e conformità. Per altre informazioni, vedere La documentazione di PowerShell del Centro sicurezza e conformità.

  2. Per definire un'impostazione di etichetta avanzata, usare il cmdlet Set-Label, specificando il parametro Advanced Impostazioni, l'etichetta a cui applicare l'impostazione, nonché le coppie chiave/valore per definire l'impostazione.

    Usare la sintassi seguente:

    Set-Label -Identity <LabelGUIDorName> -AdvancedSettings @{<Key>="<value1>,<value2>"}

    Dove:

    • <LabelGUIDorName> identifica l'etichetta usando il nome dell'etichetta o il GUID
    • <Key> è la chiave o il nome dell'impostazione avanzata che si vuole usare per il dispositivo
    • <Value> è il valore dell'impostazione che si desidera definire. Racchiudere il valore tra virgolette e separare più valori in base a virgole. Gli spazi vuoti non sono supportati.

  3. Per iniziare, configurare le impostazioni avanzate seguenti:

    Per altre informazioni sulle configurazioni avanzate disponibili, vedere Amministrazione Guida: Configurazioni personalizzate per il client di etichettatura unificata di Azure Information Protection.

Nota

Per sfruttare le impostazioni definite per la piattaforma di etichettatura unificata, gli utenti finali devono avere installato il client di etichettatura unificata nei computer.

Queste impostazioni avanzate non sono disponibili per gli utenti che dispongono solo di etichette predefinite fornite da Office 365.

Definire le condizioni delle etichette nel Portale di conformità di Microsoft Purview

Le condizioni di etichettatura unificata offrono maggiore flessibilità e precisione rispetto alle controparti create nel portale di Azure.

Per sfruttare le funzionalità di condizione di etichettatura unificata, creare manualmente le condizioni di etichettatura nel Portale di conformità di Microsoft Purview.

Per altre informazioni, vedere Informazioni sulle etichette di riservatezza disponibili nella documentazione di Microsoft 365.

Suggerimento

Se sono stati creati tipi di informazioni sensibili personalizzati per l'uso con Office 365 DLP o app Microsoft Defender per il cloud, applicarli così come sono all'etichettatura unificata. Per altre informazioni, vedere la documentazione di Microsoft 365.

Distribuire un client di etichettatura unificata

Distribuire un client che supporta l'etichettatura unificata tra i computer degli utenti per assicurarsi che possano usare i criteri di etichettatura unificata e le etichette.

Gli utenti devono disporre di un client supportato in grado di connettersi al Portale di conformità di Microsoft Purview ed eseguire il pull dei criteri di etichettatura unificata.

Per altre informazioni, vedi:

Piattaforme non Windows

Per gli utenti su piattaforme non Windows, le funzionalità di etichettatura unificata sono integrate direttamente nei client Office e possono usare tutte le etichette pubblicate immediatamente.

I client Office con funzionalità di etichettatura unificata integrate includono:

  • Client office per macOS
  • Office per il web (anteprima)
  • The Outlook Web App
  • Outlook per dispositivi mobili

Per altre informazioni sull'etichettatura unificata in queste piattaforme, vedere Applicare etichette di riservatezza ai file e alla posta elettronica in Office nel sito di supporto tecnico Microsoft.

Piattaforme di Windows

Per i computer Windows con Microsoft 365 Apps for Enterprise, usare il supporto di etichettatura predefinito fornito nelle versioni di Office 1910 e successive oppure installare il client di etichettatura unificata di Azure Information Protection per estendere la funzionalità AIP alla Esplora file o PowerShell.

Per altre informazioni, vedi:

Il client di etichettatura unificata di Azure Information Protection può essere scaricato dall'Area download Microsoft.

Assicurarsi di usare il file AzInfoProtection_UL per distribuire il client. Se nel computer è installato il client classico, l'installazione del client di etichettatura unificata esegue un aggiornamento sul posto.

Nota

Prendere in considerazione la funzionalità AIP attualmente richiesta dall'organizzazione quando si determina quando usare l'etichettatura predefinita e quando usare il client di etichettatura unificata.

Quali sono le modifiche per gli utenti finali del client classico?

La differenza principale e più visibile per gli utenti finali che usano il client classico di Azure Information Protection è che il pulsante Proteggi in app Office s viene sostituito dal pulsante Riservatezza.

Dopo aver sfruttato le funzionalità aggiuntive supportate dalle etichette di riservatezza e dall'etichettatura unificata, gli utenti finali vedranno anche queste modifiche nelle app Office.

Ad esempio:

  • Client classico di Windows AIP

    Pulsante Protezione nel client classico

  • Client di etichettatura unificata windows AIP

    Pulsante di esempio per il client di etichettatura unificata in Microsoft Office

Suggerimento

Se sono state pubblicate le etichette e i client con supporto predefinito non vengono visualizzati il pulsante Riservatezza , consultare la guida alla risoluzione dei problemi pertinente in base alle esigenze.

Aggiornamento dello scanner dal client classico

Se attualmente si usa lo scanner di Azure Information Protection dal client classico di Azure Information Protection, è possibile aggiornarlo per usare i tipi di informazioni riservate e le etichette di riservatezza pubblicate dal Portale di conformità di Microsoft Purview.

La modalità di aggiornamento dello scanner dipende dalla versione del client classico attualmente in esecuzione:

L'aggiornamento crea un nuovo database denominato AIPScannerUL_<profile_name> e il database dello scanner precedente viene mantenuto nel caso in cui sia necessario per la versione precedente. Quando si è certi che non è necessario il database dello scanner precedente, è possibile eliminarlo. Poiché l'aggiornamento crea un nuovo database, lo scanner esegue nuovamente l'analisi di tutti i file la prima volta che viene eseguita.

Eseguire l'aggiornamento dal client classico di Azure Information Protection versione 1.48.204.0 e versioni successive di questo client

Se lo scanner è stato aggiornato usando la versione di anteprima del client di etichettatura unificata, non è necessario eseguire di nuovo queste istruzioni.

  1. Nel computer dello scanner arrestare il servizio scanner, Lo scanner di Azure Information Protection.

  2. Eseguire l'aggiornamento al client di etichettatura unificata di Azure Information Protection scaricando e installando il client di etichettatura unificata dall'Area download Microsoft.

  3. In una sessione di PowerShell eseguire il comando Update-AIPScanner con il profilo dello scanner. Ad esempio: Update-AIPScanner –Profile Europe.

    Questo passaggio crea un nuovo database con il nome AIPScannerUL_<profile_name>

  4. Riavviare il servizio Scanner di Azure Information Protection, Azure Information Protection Scanner.

È ora possibile usare le altre istruzioni riportate in Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file, omettendo il passaggio per installare lo scanner. Poiché lo scanner è già installato, non esiste alcun motivo per installarlo di nuovo.

Eseguire l'aggiornamento dalle versioni client classiche di Azure Information Protection precedenti alla versione 1.48.204.0

Importante

Per un percorso di aggiornamento uniforme, non installare il client di etichettatura unificata di Azure Information Protection nel computer che esegue lo scanner come primo passaggio per aggiornare lo scanner. Usare invece le istruzioni di aggiornamento seguenti.

A partire dalla versione 1.48.204.0, lo scanner ottiene le impostazioni di configurazione dal portale di Azure usando un profilo di configurazione. L'aggiornamento dello scanner include istruzioni allo scanner per l'uso di questa configurazione online e per il client di etichettatura unificata, la configurazione offline per lo scanner non è supportata.

  1. Usare il portale di Azure per creare un nuovo profilo dello scanner che include le impostazioni per lo scanner e i repository di dati con le impostazioni necessarie. Per informazioni su questo passaggio, vedere Configurare lo scanner nella portale di Azure dalle istruzioni di distribuzione dello scanner.

  2. Nel computer dello scanner arrestare il servizio scanner, Lo scanner di Azure Information Protection.

  3. Eseguire l'aggiornamento al client di etichettatura unificata di Azure Information Protection scaricando e installando il client di etichettatura unificata dall'Area download Microsoft.

  4. In una sessione di PowerShell eseguire il comando Update-AIPScanner con lo stesso nome di profilo specificato nel passaggio 1. Ad esempio: Update-AIPScanner –Profile Europe

  5. Riavviare il servizio Scanner di Azure Information Protection, Azure Information Protection Scanner.

È ora possibile usare le altre istruzioni riportate in Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file, omettendo il passaggio per installare lo scanner. Poiché lo scanner è già installato, non esiste alcun motivo per installarlo di nuovo.

Passaggi successivi

Dopo aver eseguito la migrazione di etichette, criteri e client distribuiti in base alle esigenze, continuare gestendo le etichette e i criteri di etichettatura solo nei Portale di conformità di Microsoft Purview.

Con la piattaforma di etichettatura unificata, è sufficiente tornare all'area di Azure Information Protection nel portale di Azure per:

È consigliabile che gli utenti finali sfruttano le funzionalità di etichettatura predefinite nelle app Office più recenti per Web, Mac, iOS e Android, oltre a Microsoft 365 Apps for Enterprise.

Per usare funzionalità AIP aggiuntive non ancora supportate dall'etichettatura predefinita, è consigliabile usare il client di etichettatura unificata più recente per Windows.