Come configurare le impostazioni dei criteri per Azure Information Protection

  • Articolo

Oltre al titolo della barra e alla descrizione comando di Information Protection, nei criteri di Azure Information Protection sono disponibili alcune impostazioni che è possibile configurare indipendentemente dalle etichette:

Azure Information Protection policy global settings

Si noti che le impostazioni dei criteri potrebbero avere valori predefiniti diversi, a seconda di quando è stata acquistata la sottoscrizione di Azure Information Protection. Alcune impostazioni potrebbero derivare anche da un'impostazione client personalizzata.

Per configurare le impostazioni dei criteri

  1. Aprire una nuova finestra del browser e accedere al portale di Azure, se questa operazione non è già stata eseguita. Quindi passare al riquadro Azure Information Protection.

    Ad esempio, nella casella di ricerca di risorse, servizi e documentazione: iniziare a digitare Informazioni e selezionare Azure Information Protection.

  2. Dall'opzionedi menuCriteri classificazioni>: nel riquadro Criteri di Azure Information Protection - Criteri selezionare Globale se le impostazioni da configurare verranno applicate a tutti gli utenti.

    Se le impostazioni da configurare si trovano in un criterio con ambito per essere applicate solo a utenti selezionati, selezionare invece il criterio con ambito.

  3. Nel riquadro Criteri configurare le impostazioni:

    • Select the default label (Selezionare l'etichetta predefinita): quando si seleziona questa opzione, selezionare l'etichetta da assegnare ai documenti e ai messaggi di posta elettronica che non hanno un'etichetta. Non è possibile impostare un'etichetta come predefinita se contiene etichette secondarie.

      Questa impostazione si applica alle app di Office e allo scanner. Non è applicabile a Esplora file o PowerShell.

    • Inviare i dati di controllo ad Azure Information Protection analytics: prima di creare un'area di lavoro di Azure Log Analytics per Analisi delle informazioni di Azure, i valori per questa impostazione vengono visualizzati disattivati e non configurati. Quando si crea l'area di lavoro, i valori diventano No e .

      Quando l'impostazione è Attiva, i client che supportano la creazione di report centrali inviano dati al servizio di Information Protection di Azure. Queste informazioni includono le etichette applicate e quando un utente seleziona un'etichetta con una classificazione inferiore o rimuove un'etichetta. Impostare questa impostazione di criterio su Disattivato per impedire l'invio di questi dati.

      Nota

      Il log di controllo AIP e il tramonto dell'analisi vengono annunciati a partire dal 18 marzo 2022, con una data di ritiro completa del 31 settembre 2022. Per altre informazioni, vedere Rimuovere e ritirare i servizi.

    • All documents and emails must have a label (Tutti i documenti e i messaggi di posta elettronica devono avere un'etichetta): quando si imposta questa opzione su , a tutti i documenti e messaggi di posta elettronica inviati deve essere applicata un'etichetta. L'etichetta può essere assegnata manualmente da un utente, automaticamente o come risultato di una condizione oppure per impostazione predefinita selezionando l'opzione Select the default label (Selezionare l'etichetta predefinita).

      Se al momento del salvataggio di un documento o dell'invio di un messaggio di posta elettronica non è assegnata un'etichetta, viene chiesto all'utente di selezionarne una. Ad esempio:

      Azure Information Protection prompt if labeling is enforced

      Questa opzione non viene applicata quando si rimuove un'etichetta con il cmdlet Set-AIPFileLabel di PowerShell con il parametro RemoveLabel.

    • Users must provide justification to set a lower classification label, remove a label, or remove protection (Gli utenti devono specificare una giustificazione per impostare un'etichetta di classificazione inferiore, rimuovere un'etichetta o rimuovere la protezione): quando questa opzione viene impostata su On (Attiva) e l'utente esegue una qualsiasi di queste azioni, ad esempio modifica l'etichetta Public in Personal, viene chiesto di specificare una spiegazione per questa azione. L'utente può ad esempio spiegare che il documento non contiene informazioni riservate. L'azione e il relativo motivo di giustificazione vengono registrati nel registro eventi locale Windows: applicazioni e servizi log>di Azure Information Protection.

      Azure Information Protection prompt if new classification is lower

      Questa opzione non è applicabile per abbassare la classificazione delle etichette secondarie sotto la stessa etichetta padre.

    • For email messages with attachments, apply a label that matches the highest classification of those attachments (Per i messaggi di posta elettronica con allegati, applica un'etichetta che corrisponda alla classificazione più elevata di tali elementi): quando questa opzione viene impostata su Recommended (Consigliata), viene richiesto di applicare un'etichetta ai messaggi di posta elettronica. L'etichetta viene scelta in modo dinamico, in base alle etichette di classificazione che vengono applicate agli allegati, e viene selezionata l'etichetta di classificazione più elevata. L'allegato deve essere un file fisico e non può essere un collegamento a un file, ad esempio un collegamento a un file in Microsoft SharePoint o OneDrive. Gli utenti possono accettare il suggerimento o ignorarlo. Quando si imposta questa opzione su Automatico, l'etichetta viene applicata automaticamente, ma gli utenti possono rimuoverla o selezionarne un'altra prima di inviare il messaggio di posta elettronica.

      Per prendere in considerazione l'ordine delle etichette secondarie quando si usa questa impostazione dei criteri, è necessario configurare un'impostazione client avanzata.

      Quando l'allegato con l'etichetta di classificazione più alta è configurato per la protezione con l'impostazione di anteprima delle autorizzazioni definite dall'utente: quando le autorizzazioni definite dall'etichetta includono Outlook (Non inoltrare), tale etichetta viene applicata e Non inoltrare la protezione viene applicata al messaggio di posta elettronica. Quando le autorizzazioni definite dall'utente dell'etichetta sono solo per Word, Excel, PowerPoint ed Esplora file, non si applica né tale etichetta né un tipo di protezione al messaggio di posta elettronica.

    • Display the Information Protection bar in Office apps (Visualizza la barra di Information Protection nelle app di Office) : quando questa impostazione è disattivata, gli utenti non possono selezionare etichette da una barra in Word, Excel, PowerPoint e Outlook. Gli utenti devono invece selezionare le etichette dal pulsante Proteggi sulla barra multifunzione. Quando questa impostazione è attivata, gli utenti possono selezionare le etichette dalla barra o dal pulsante.

      Quando questa impostazione è attivata, può essere usata in combinazione con un'impostazione client avanzata, in modo che gli utenti possano nascondere in modo permanente la barra di Azure Information Protection se scelgono di non visualizzare la barra. A tale scopo, deselezionare l'opzione Mostra barra dal pulsante Proteggi .

    • Add the Do Not Forward button to the Outlook ribbon (Aggiungi il pulsante Non inoltrare alla barra multifunzione Outlook): quando questa impostazione è attivata, gli utenti possono selezionare questo pulsante dal gruppo Protezione sulla barra multifunzione di Outlook oltre a selezionare l'opzione Non inoltrare dai menu di Outlook. Per garantire che gli utenti classificano i messaggi di posta elettronica e li proteggono, è consigliabile non aggiungere questo pulsante, ma configurare un'etichetta per la protezione e un'autorizzazione user=defined per Outlook. Dal punto di vista funzionale, questa impostazione equivale a selezionare il pulsante Non inoltrare, ma quando questa funzionalità viene inclusa con un'etichetta, i messaggi di posta elettronica vengono classificati e protetti.

      Questa impostazione dei criteri può essere configurata anche con un'impostazione client avanzata come personalizzazione client.

    • Make the custom permissions option available to users (Rendi disponibile l'opzione per le autorizzazioni personalizzate): quando questa impostazione è attivata, gli utenti visualizzano le opzioni per specificare impostazioni di protezione personalizzate che possono sostituire eventuali impostazioni di protezione incluse con una configurazione di etichetta. Gli utenti possono visualizzare anche un'opzione per rimuovere la protezione. Quando questa impostazione è disattivata, queste opzioni non vengono visualizzate agli utenti.

      Si noti che questa impostazione dei criteri non influisce sulle autorizzazioni personalizzate che gli utenti possono configurare dalle opzioni dei menu di Office. Tuttavia, questa impostazione può essere configurata anche con un'impostazione client avanzata come personalizzazione client.

      Le opzioni per le autorizzazioni personalizzate si trovano nelle posizioni seguenti:

      • Nelle applicazioni di Office: dalla barra multifunzione, il gruppo >Protezione schede >HomeProteggi>autorizzazioni personalizzate

      • Da Esplora file: fare clic con il pulsante destro del mouse su >Classifica e proteggere>le autorizzazioni personalizzate

    • Provide a custom URL for the Azure Information Protection client "Tell me more" web page (Specifica un URL personalizzato per la pagina Web "Ulteriori informazioni" del client di Azure Information Protection): questo collegamento viene visualizzato nella finestra di dialogo Microsoft Azure Information Protection della sezione Guida e commenti dopo aver selezionato Proteggi>Guida e commenti dalla scheda Home di un'applicazione Office. Per impostazione predefinita, questo collegamento indirizza l'utente al sito Web di Azure Information Protection. Se si preferisce che questo collegamento indirizzi l'utente a un'altra pagina Web, è possibile immettere un URL HTTP o HTTPS (consigliato). Non viene effettuato alcun controllo per verificare che l'URL personalizzato sia accessibile o venga correttamente visualizzato su tutti i dispositivi.

      Ad esempio, per l'help desk, è possibile immettere la pagina della documentazione Microsoft che include informazioni sull'installazione e l'uso del client: https://docs.microsoft.com/information-protection/rms-client/info-protect-client. O le informazioni sulla versione di rilascio: https://docs.microsoft.com/information-protection/rms-client/client-version-release-history. In alternativa, è possibile pubblicare una pagina Web personalizzata con informazioni sulle modalità di contatto dell'help desk o con un video che illustra agli utenti come usare le etichette configurate in precedenza.

  4. Per salvare le modifiche e renderle disponibili agli utenti, fare clic su Salva.

Quando fa clic su Salva, le modifiche diventano automaticamente disponibili per utenti e servizi. Non è più presente un'opzione di pubblicazione separata.

Passaggi successivi

Per vedere come alcune delle impostazioni relative ai criteri possano interagire, seguire l'esercitazione Configurare impostazioni dei criteri di Azure Information Protection che interagiscono tra loro.

Per altre informazioni sulla configurazione dei criteri di Azure Information Protection, usare i collegamenti nella sezione Configurazione dei criteri dell'organizzazione.