Configurazione dei criteri di Azure Information Protection
Per configurare la classificazione, l'etichettatura e la protezione per il client classico, è necessario configurare i criteri di Information Protection di Azure. Questi criteri vengono quindi scaricati nei computer in cui è installato il client di Azure Information Protection.
I criteri contengono etichette e impostazioni:
Le etichette applicano un valore di classificazione a documenti e a messaggi di posta elettronica e possono facoltativamente proteggerne il contenuto. Il client Azure Information Protection visualizza queste etichette nelle app di Office e quando gli utenti fanno clic con il pulsante destro del mouse in Esplora File. È possibile applicare queste etichette anche tramite PowerShell e l'analisi di Azure Information Protection.
Le impostazioni modificano il comportamento predefinito del client Azure Information Protection. È ad esempio possibile selezionare un'etichetta predefinita, se tutti i documenti e i messaggi di posta elettronica devono avere un'etichetta e se la barra di Azure Information Protection viene visualizzata nelle app di Office.
Supporto della sottoscrizione
Azure Information Protection supporta livelli diversi di sottoscrizioni:
Azure Information Protection P2: supporta tutte le funzionalità di classificazione, etichettatura e protezione.
Azure Information Protection P1: supporta la maggior parte delle funzionalità di classificazione, etichettatura e protezione, ad eccezione della classificazione automatica o di HYOK.
Microsoft 365 che include il servizio azure Rights Management: supporto per la protezione, ma non classificazione e etichettatura.
Le opzioni che richiedono una sottoscrizione di Azure Information Protection P2 sono identificate nel portale.
Se l'organizzazione dispone di varie sottoscrizioni, è responsabilità dell'organizzazione assicurarsi che gli utenti non usino funzionalità non concesse in licenza per l'uso al loro account. Il client Azure Information Protection non gestisce il controllo e l'applicazione delle licenze. Quando si configurano opzioni per le quali non tutti gli utenti hanno una licenza, usare criteri con ambito o un'impostazione del Registro di sistema per garantire che l'organizzazione mantenga la conformità con le licenze:
Se l'organizzazione dispone di una combinazione di licenze di Azure Information Protection P1 e Azure Information Protection P2: per gli utenti con licenza P2, creare e usare uno o più criteri con ambito quando si configurano le opzioni che richiedono una licenza di Azure Information Protection P2. Assicurarsi che i criteri globali non contengano opzioni che richiedono una licenza di Azure Information Protection P2.
Quando l'organizzazione ha una sottoscrizione per Azure Information Protection, ma alcuni utenti hanno solo una licenza per Microsoft 365 che include il servizio Azure Rights Management: per gli utenti che non hanno una licenza per Azure Information Protection , modificare il Registro di sistema nei computer in modo da non scaricare i criteri di Information Protection di Azure. Per istruzioni, vedere la personalizzazione seguente nella guida per l'amministratore: Applicare la modalità di sola protezione quando l'organizzazione dispone di licenze miste.
Per altre informazioni sulle sottoscrizioni, vedere Quale sottoscrizione è necessaria per Azure Information Protection e quali funzionalità sono incluse?
Accesso al portale di Azure
Per accedere al portale di Azure per configurare e gestire Azure Information Protection:
Usare il collegamento seguente: https://portal.azure.com
Usare un account Azure AD con uno dei ruoli di amministratore seguenti:
Amministratore di Azure Information Protection
Amministratore di conformità
Amministratore dati di conformità
Amministratore della sicurezza
Lettore - di sicurezza Solo analisi Information Protection di Azure
Lettore - globale Solo analisi Information Protection di Azure
Amministratore globale
Nota
Se il tenant si trova nella piattaforma di etichettatura unificata, il ruolo amministratore di Azure Information Protection (in precedenza "amministratore Information Protection") non è supportato per l'portale di Azure. Altre informazioni
Gli account Microsoft non possono gestire Information Protection di Azure.
Per accedere al riquadro Information Protection di Azure per la prima volta
Accedere al portale di Azure.
Selezionare + Crea una risorsa e quindi nella casella di ricerca per il Marketplace digitare Azure Information Protection.
Selezionare Azure Information Protection nell'elenco dei risultati. Nel riquadro Information Protection di Azure fare clic su Crea.
Suggerimento
Facoltativamente, selezionare Aggiungi al dashboard per creare un riquadro Azure Information Protection nel dashboard, in modo da ignorare la ricerca del servizio al successivo accesso al portale.
Fare di nuovo clic su Crea.
Quando ci si connette al servizio per la prima volta viene visualizzata automaticamente la pagina Avvio rapido. Consultare le risorse suggerite o usare le altre opzioni di menu. Usare la procedura seguente per configurare le etichette selezionabili dagli utenti.
Al successivo accesso al riquadro Information Protection di Azure, viene selezionata automaticamente l'opzione Etichette in modo da poter visualizzare e configurare le etichette per tutti gli utenti. È possibile tornare alla pagina Avvio rapido selezionandolo dal menu Generale .
Come configurare i criteri di Azure Information Protection
Assicurarsi di aver eseguito l'accesso al portale di Azure usando uno di questi ruoli amministrativi: amministratore di Azure Information Protection, amministratore della sicurezza o amministrazione globale. Vedere la sezione precedente per altre informazioni su questi ruoli amministrativi.
Se necessario, passare al riquadro Information Protection di Azure: ad esempio, nel menu dell'hub fare clic su Tutti i servizi e iniziare a digitare Information Protection nella casella Filtro. Selezionare Azure Information Protection nei risultati.
Il riquadro Azure Information Protection - Etichette viene aperto automaticamente per visualizzare e modificare le etichette disponibili. Le etichette possono essere rese disponibili per tutti gli utenti, per utenti selezionati o per nessun utente, aggiungendole o rimuovendole da un criterio.
Per visualizzare e modificare i criteri, selezionare Criteri nelle opzioni di menu. Per visualizzare e modificare il criterio ottenuto da tutti gli utenti, selezionare il criterio Globale. Per creare un criterio personalizzato per gli utenti selezionati, selezionare Aggiungi un nuovo criterio.
Introduzione di modifiche nei criteri
È possibile creare qualsiasi numero di etichette. Tuttavia, se le etichette diventano troppo numerose e non consentono agli utenti di individuare e selezionare l'etichetta appropriata con facilità, creare criteri con ambito in modo che gli utenti visualizzino solo le etichette rilevanti. Il limite massimo di etichette per l'applicazione della protezione è 500.
Quando si apportano modifiche in un riquadro di Information Protection di Azure, fare clic su Salva per salvare le modifiche oppure fare clic su Annulla per ripristinare le ultime impostazioni salvate. Quando si salvano le modifiche in un criterio o si apportano modifiche alle etichette aggiunte ai criteri, tali modifiche vengono pubblicate automaticamente. Non è presente un'opzione di pubblicazione separata.
Il client Azure Information Protection verifica la disponibilità di eventuali modifiche ogni volta che viene avviata un'applicazione di Office supportata e scarica le modifiche come criteri di Azure Information Protection più recenti. I criteri del client vengono aggiornati anche nei modi seguenti:
Quando si fa clic con il pulsante destro del mouse per classificare e proteggere un file o una cartella.
Quando si eseguono i cmdlet di PowerShell per l'etichettatura e la protezione (Get-AIPFileStatus, Set-AIPFileClassification e Set-AIPFileLabel).
Ogni 24 ore.
Per lo scanner di Azure Information Protection: all'avvio del servizio (se il criterio è antecedente a un'ora) e ogni ora durante le operazioni.
Nota
Quando il client scarica i criteri, prevedere un'attesa di alcuni minuti prima che ritorni completamente operativo. Il tempo effettivo varia a seconda di fattori quali le dimensioni e la complessità della configurazione dei criteri e la connettività di rete. Se l'azione risultante delle etichette non corrisponde alle ultime modifiche, attendere fino a 15 minuti e riprovare.
Configurazione dei criteri dell'organizzazione
Usare le informazioni seguenti per configurare i criteri di Azure Information Protection:
Come configurare un'etichetta per applicare i contrassegni visivi
Come configurare le condizioni per la classificazione automatica e consigliata
Come configurare i criteri per utenti specifici con i criteri con ambito
Come eseguire la migrazione delle etichette di Azure Information Protection a Microsoft 365
Etichettare le informazioni archiviate in documenti e messaggi di posta elettronica
Quando viene applicata un'etichetta a un documento o un messaggio di posta elettronica, l'etichetta viene archiviata nei metadati in modo che le applicazioni e i servizi possano leggerla:
Nei messaggi di posta elettronica queste informazioni vengono archiviate nell'intestazione x : msip_labels: MSIP_Label_<GUID>_Enabled=True
Per documenti word (.doc e .docx), fogli di calcolo Excel (.xls e .xlsx), presentazioni PowerPoint (.ppt e .pptx) e documenti PDF, questi metadati vengono archiviati nella proprietà personalizzata seguente: <MSIP_Label_GUID>_Enabled=True
Per i messaggi di posta elettronica, le informazioni sull'etichetta vengono archiviate quando viene inviato il messaggio di posta elettronica. Per i documenti, le informazioni sull'etichetta vengono archiviate quando il file viene salvato.
Per identificare il GUID per un'etichetta, individuare il valore ID etichetta nel riquadro Etichetta nel portale di Azure, quando si visualizzano o si configurano i criteri di Azure Information Protection. Per i file a cui sono state applicate etichette, è anche possibile eseguire il cmdlet di PowerShell Get-AIPFileStatus per identificare il GUID (MainLabelId o SubLabelId). Quando un'etichetta ha etichette secondarie, specificare sempre il GUID della sola etichetta secondaria e non dell'etichetta padre.
Passaggi successivi
Per esempi su come personalizzare i criteri di Azure Information Protection e osservare il comportamento risultante per gli utenti, eseguire le esercitazioni seguenti: