Configurazione e gestione dei modelli per Azure Information Protection

  • Articolo

I modelli di protezione, noti anche come modelli di Rights Management, sono un raggruppamento di impostazioni di protezione definite dall'amministratore per Azure Information Protection. Queste impostazioni includono i diritti di utilizzo scelti per gli utenti autorizzati e i controlli di accesso per l'accesso con scadenza e offline. Questi modelli sono ora integrati con i criteri di Azure Information Protection:

Quando si ha una sottoscrizione che include classificazione, etichettatura e protezione (Azure Information Protection P1 o P2):

  • I modelli non integrati con le etichette per il tenant vengono visualizzati nella sezione Modelli di protezione dopo le etichette nel riquadro Azure Information Protection - Etichette. Per passare a questo riquadro, selezionare l'opzione di menu Classificazioni>etichette . È possibile convertire questi modelli in etichette o collegarsi a essi quando si configura la protezione per le etichette.

Quando si ha una sottoscrizione che include solo la protezione (una sottoscrizione di Microsoft 365 che include il servizio Azure Rights Management):

  • I modelli per il tenant vengono visualizzati nella sezione Modelli di protezione nel riquadro Azure Information Protection - Etichette. Per passare a questo riquadro, selezionare l'opzione di menu Classificazioni>etichette . Non viene visualizzata alcuna etichetta. Sono visualizzate anche le impostazioni di configurazione specifiche per la classificazione e assegnazione di etichette, ma tali impostazioni non hanno alcun effetto sui modelli o non possono essere configurate.

Ad esempio, se gli utenti segnalano che possono aprire contenuto protetto ma non hanno i diritti necessari, il problema potrebbe essere che l'utente non si trova nel gruppo corretto configurato per un modello di Rights Management. In alternativa, il problema potrebbe essere che il modello deve essere riconfigurato per l'utente o il gruppo, come descritto in questo articolo.

Nota

In alcune applicazioni e servizi è possibile che venga visualizzato Non inoltrare e crittografare (Crittografa) come modello. Questi non sono modelli che è possibile modificare o eliminare, ma opzioni disponibili per impostazione predefinita con il servizio Exchange.

Modelli predefiniti

Quando si ottiene la sottoscrizione per Azure Information Protection o per una sottoscrizione di Microsoft 365 che include il servizio Azure Rights Management, vengono creati automaticamente due modelli predefiniti per il tenant. Questi modelli consentono di limitare l'accesso ai soli utenti autorizzati dell'organizzazione. Quando questi modelli vengono creati, hanno le autorizzazioni elencate nella documentazione Configurazione dei diritti di utilizzo per Azure Information Protection.

In aggiunta, i modelli sono configurati in modo da consentire l'accesso offline per sette giorni e non hanno una data di scadenza.

Nota

È possibile modificare queste impostazioni, i nomi e le descrizioni dei modelli predefiniti. Questa capacità non era attivata con il portale di Azure classico e non è supportata per PowerShell.

Questi modelli predefiniti semplificano l'attivazione immediata della protezione dei dati sensibili dell'organizzazione. Questi modelli possono essere usati con le etichette di Azure Information Protection o autonomamente con applicazioni e servizi che possono usare i modelli di Rights Management.

È possibile anche creare modelli personalizzati. Anche se è probabile che siano necessari solo alcuni modelli, è possibile configurare fino a 500 modelli personalizzati salvati in Azure.

Diritti inclusi nei modelli predefiniti

La tabella seguente elenca i diritti di utilizzo inclusi quando vengono creati i modelli predefiniti. I diritti di utilizzo sono elencati in base al nome comune.

Questi modelli predefiniti vengono creati al momento dell'acquisto della sottoscrizione e i nomi e i diritti di utilizzo possono essere modificati nel portale di Azure e con PowerShell.

Nome visualizzato del modello Diritti di utilizzo, dal 6 ottobre 2017 alla data corrente Diritti di utilizzo prima del 6 ottobre 2017
<nome> organizzazione - Solo visualizzazione riservata

oppure

Riservatezza elevata \ Tutti i dipendenti		 Visualizza, Apri, Leggi; Copia, Visualizza diritti; Consenti macro; Stampa; Inoltra; Rispondi; Rispondi a tutti; Salva; Modifica contenuto, Modifica Visualizza, Apri, Leggi
<nome> organizzazione- Riservato

oppure

Riservato \ Tutti i dipendenti		 Visualizza, Apri, Leggi; Salva con nome, Esporta, Copia; Visualizza diritti; Modifica diritti; Consenti macro; Stampa; Inoltra; Rispondi; Rispondi a tutti; Salva; Modifica contenuto, Modifica; Controllo completo Visualizza, Apri, Leggi; Salva con nome, Esporta; Modifica contenuto, Modifica; Visualizza diritti; Consenti macro; Inoltra; Rispondi; Rispondi a tutti

Nomi del modello predefinito

Se è stata attivata recentemente una sottoscrizione, i modelli predefiniti vengono creati con i nomi seguenti:

  • Riservato \ Tutti i dipendenti

  • Riservatezza elevata \ Tutti i dipendenti

Se la sottoscrizione è stata ottenuta qualche tempo fa, è possibile creare i modelli predefiniti con i nomi seguenti:

  • <nome> organizzazione - Riservato

  • <nome> organizzazione - Solo visualizzazione riservata

È possibile rinominare (e riconfigurare) questi modelli predefiniti quando si usa il portale di Azure.

Nota

Se i modelli predefiniti non vengono visualizzati nel riquadro Azure Information Protection - Etichette, vengono convertiti in etichette o collegati a un'etichetta. Continuano a esistere come modelli, ma nel portale di Azure essi vengono visualizzati come parte di una configurazione di etichetta che include le impostazioni di protezione per una chiave del cloud. È sempre possibile confermare i modelli del tenant eseguendo Get-AipServiceTemplate dal modulo PowerShell AIPService.

È possibile convertire manualmente i modelli, come illustrato nella sezione successiva, Per convertire i modelli in etichette, quindi rinominarli se si desidera. In alternativa, vengono convertiti automaticamente per l'utente se il criterio di Azure Information Protection è stato creato di recente e il servizio Azure Rights Management per il tenant è stato attivato in quel momento.

I modelli archiviati vengono visualizzati come non disponibili nel riquadro Azure Information Protection - Etichette. Non è possibile selezionare questi modelli per le etichette, ma è possibile convertirli in etichette.

Considerazioni sui modelli nel portale di Azure

Prima di modificare i modelli o convertirli in etichette, assicurarsi di essere a conoscenza delle seguenti modifiche e considerazioni. A causa delle modifiche di implementazione, l'elenco seguente è particolarmente importante se si sono stati gestiti in precedenza dei modelli nel portale di Azure classico.

  • Dopo aver modificato o convertito un modello e salvato i criteri di Azure Information Protection, vengono apportate le modifiche seguenti ai diritti di utilizzo originali. Se necessario, è possibile aggiungere o rimuovere i diritti di utilizzo individuali tramite il portale di Azure. In alternativa, usare PowerShell con i cmdlet New-AipServiceRightsDefinition e Set-AipServiceTemplateProperty .

    • Consenti macro (nome comune) viene aggiunto automaticamente. Questo diritto di utilizzo è obbligatorio per la barra di Azure Information Protection nelle app Office.

  • Le impostazioni pubblicate e archiviate vengono visualizzate come Abilitato: Attivato e Abilitato: Disattivato rispettivamente nel riquadro Etichetta . I modelli che si desidera mantenere ma che non devono essere visibili a utenti o servizi devono essere impostati su Abilitato: Disattivata.

  • Non è possibile copiare o eliminare un modello nel portale di Azure. Quando il modello viene convertito in un'etichetta, è possibile configurare l'etichetta per interrompere l'uso del modello selezionando Non configurato per l'opzione Imposta autorizzazioni per documenti e messaggi di posta elettronica contenenti questa etichetta . In alternativa, è possibile eliminare l'etichetta. In entrambi gli scenari, tuttavia, il modello non viene eliminato e rimane in uno stato archiviato.

    L'eliminazione di modelli tramite il cmdlet Remove-AipServiceTemplate di PowerShell è permanente. È anche possibile usare questo cmdlet di PowerShell per i modelli che non vengono convertiti in etichette. Tuttavia, per garantire che il contenuto protetto in precedenza possa essere aperto e usato come previsto, in genere è consigliabile evitare di eliminare i modelli. Come procedura consigliata, eliminare i modelli solo se si è certi che non sono stati usati per proteggere documenti o messaggi di posta elettronica nell'ambiente di produzione. Per precauzione prima di eliminare definitivamente un modello con PowerShell, è consigliabile esportare il modello come backup usando il cmdlet Export-AipServiceTemplate .

  • Attualmente, se si modifica e si salva un modello di reparto, la configurazione dell'ambito viene rimossa. L'equivalente di un modello con ambito nei criteri di Azure Information Protection sono i criteri con ambito. Se si converte il modello in etichetta, è possibile selezionare un ambito esistente.

    Inoltre, non è possibile specificare l'impostazione di compatibilità dell'applicazione per un modello di reparto tramite il portale di Azure. Se necessario, è possibile impostare questa impostazione di compatibilità dell'applicazione usando il cmdlet Set-AipServiceTemplateProperty e il parametro EnableInLegacyApps .

  • Durante la conversione o il collegamento di un modello a un'etichetta, questo non può più essere usato da altre etichette. In aggiunta, questo modello non viene più visualizzato nella sezione Protection templates (Modelli di protezione).

  • Non è possibile creare un nuovo modello dalla sezione Protection templates (Modelli di protezione). Creare invece un'etichetta con l'impostazione Proteggi e configurare i diritti di utilizzo e le impostazioni dal riquadro Protezione . Per istruzioni complete, vedere Per creare un nuovo modello.

Per configurare i modelli nei criteri di Azure Information Protection

  1. Aprire una nuova finestra del browser e accedere al portale di Azure, se questa operazione non è già stata eseguita. Passare quindi al riquadro Azure Information Protection - Etichette.

    Ad esempio, nella casella di ricerca di risorse, servizi e documentazione: iniziare a digitare Information e selezionare Azure Information Protection.

  2. Dall'opzione di menu Classificazioni>etichette: nel riquadro Azure Information Protection - Etichette espandere Modelli di protezione e quindi individuare il modello da configurare.

  3. Selezionare il modello e nel riquadro Etichetta è possibile modificare il nome e la descrizione del modello, se necessario, modificando il nome visualizzato etichetta e la descrizione. Selezionare quindi Protezione con un valore di Azure (chiave cloud) per aprire il riquadro Protezione .

  4. Nel riquadro Protezione è possibile modificare le autorizzazioni, la scadenza del contenuto e le impostazioni di accesso offline. Per maggiori informazioni sulla configurazione delle impostazioni di protezione, vedere Come configurare un'etichetta per la protezione di Rights Management

    Fare clic su OK per mantenere le modifiche e nel riquadro Etichetta fare clic su Salva.

Nota

È anche possibile modificare un modello usando il pulsante Modifica modello nel riquadro Protezione se è stata configurata un'etichetta per l'uso di un modello predefinito. Se nessun'altra etichetta usa il modello selezionato, questo pulsante converte il modello in un'etichetta e attiva il passaggio 5. Per maggiori informazioni su cosa accade quando i modelli vengono convertiti in etichette, vedere la sezione seguente.

Per convertire i modelli in etichette

Se si ha una sottoscrizione che include la classificazione, l'etichettatura e la protezione, è possibile convertire un modello in etichetta. Quando si converte un modello, il modello originale viene mantenuto nel portale di Azure, ma viene ora visualizzato come incluso in una nuova etichetta.

Ad esempio, se si converte un'etichetta denominata Marketing che concede diritti di utilizzo al gruppo marketing, nel portale di Azure viene visualizzata come etichetta denominata Marketing con le stesse impostazioni di protezione. Se si modificano le impostazioni di protezione nella nuova etichetta creata, la modifica viene eseguita nel modello e gli utenti o i servizi che usano il modello riceveranno le nuove impostazioni di protezione al successivo aggiornamento del modello.

Sebbene non sia necessario convertire tutti i modelli in etichette, se si esegue questa operazione le impostazioni di protezione saranno completamente integrate con la funzionalità delle etichette e non sarà necessario gestire le impostazioni separatamente.

Per convertire un modello in un'etichetta, fare clic con il pulsante destro del mouse sul modello e selezionare Converti in etichetta. In alternativa, usare il menu di scelta rapida per selezionare questa opzione.

È possibile anche convertire un modello in un'etichetta quando si configura un'etichetta per la protezione e un modello predefinito, usando il pulsante Modifica modello.

Quando si converte un modello in etichetta:

  • Il nome del modello viene convertito in un nuovo nome di etichetta e la descrizione del modello viene convertita nella descrizione comandi dell'etichetta.

  • Se lo stato del modello è pubblicato, questa impostazione viene mappata su Abilitato: Attivata per l'etichetta, la quale verrà visualizzata agli utenti alla successiva pubblicazione dei criteri di Azure Information Protection. Se lo stato del modello è archiviato, questa impostazione viene mappata su Abilitato: Disattivata per l'etichetta, la quale non viene visualizzata come etichetta disponibile agli utenti.

  • Le impostazioni di protezione vengono mantenute e, se necessario, è possibile modificarle e aggiungere altre impostazioni di etichetta, ad esempio gli indicatori visivi e le condizioni.

  • Il modello originale non viene più visualizzato in Protection templates (Modelli protezione) e non può essere selezionato come modello predefinito quando si configura la protezione per un'etichetta. Per modificare questo modello nel portale di Azure è ora possibile modificare l'etichetta che è stata creata durante la conversione del modello. Il modello rimane disponibile per il servizio Azure Rights Management e può essere gestito tramite i comandi di PowerShell.

Per creare un nuovo modello

I modelli possono essere creati usando il portale o usando PowerShell.

Creazione di modelli con PowerShell

Per creare un nuovo modello di protezione usando PowerShell con il nome, la descrizione, i criteri e l'impostazione di stato desiderata, usare il cmdlet Add-AipServiceTemplate .

Creazione di modelli usando il portale

Quando si crea una nuova etichetta usando il portale con l'impostazione di protezione di Azure (chiave cloud), questa azione crea un nuovo modello personalizzato che può quindi essere accessibile da servizi e applicazioni che si integrano con modelli di Rights Management.

  1. Nell'opzione di menu Classificazioni>etichette: nel riquadro Azure Information Protection - Etichette selezionare Aggiungi una nuova etichetta.

  2. Nel riquadro Etichetta mantenere l'impostazione predefinita Abilitata: attiva, quindi immettere un nome e una descrizione dell'etichetta per il nome e la descrizione del modello.

  3. Per Set permissions for documents and emails containing this label (Impostare le autorizzazioni per i documenti e messaggi di posta elettronica contenenti questa etichetta) selezionare Proteggi, quindi selezionare Protezione:

    Configure protection for an Azure Information Protection label

  4. Nel riquadro Protezione è possibile modificare le autorizzazioni, la scadenza del contenuto e le impostazioni di accesso offline. Per maggiori informazioni sulla configurazione delle impostazioni di protezione, vedere Come configurare un'etichetta per la protezione di Rights Management

    Fare clic su OK per mantenere le modifiche e nel riquadro Etichetta fare clic su Salva.

    Nel riquadro Azure Information Protection - Etichette viene ora visualizzata la nuova etichetta con la colonna PROTECTION per indicare che contiene le impostazioni di protezione. Queste impostazioni di protezione vengono visualizzate come modelli per le applicazioni e i servizi che supportano il servizio Azure Rights Management.

    Anche se l'etichetta è abilitata, per impostazione predefinita il modello viene archiviato. In modo che le applicazioni e i servizi possano usare il modello per proteggere documenti e messaggi di posta elettronica, completare il passaggio finale per pubblicare il modello.

  5. Nell'opzionedi menuCriteri classificazioni> selezionare i criteri per contenere le nuove impostazioni di protezione. Selezionare quindi Add or remove labels (Aggiungi o rimuovi etichette). Nel riquadro Criteri: aggiungere o rimuovere etichette selezionare l'etichetta appena creata che contiene le impostazioni di protezione, selezionare OK e quindi selezionare Salva.

Passaggi successivi

Potrebbero essere necessari fino a 15 minuti prima che un computer che esegue il client di Azure Information Protection ottenga queste impostazioni modificate. Per informazioni su come computer e servizi scaricano e aggiornano i modelli, consultare Aggiornamento dei modelli per utenti e servizi.

Assicurarsi di fornire istruzioni agli utenti su quali modelli selezionare se il nome del modello e la descrizione non sono sufficienti per scegliere quello giusto.

Tutte le operazioni che possono essere configurate nel portale di Azure per creare e gestire i modelli possono essere eseguite tramite PowerShell. In aggiunta, PowerShell fornisce maggiori opzioni, le quali non sono disponibili nel portale. Per maggiori informazioni, vedere la Guida di riferimento di PowerShell per i modelli di protezione.

Per altre informazioni sulla configurazione dei criteri di Azure Information Protection, usare i collegamenti nella sezione Configurazione dei criteri dell'organizzazione.