Roadmap di distribuzione di Azure Information Protection solo per la protezione
Usare la procedura seguente come consigli per preparare, implementare e gestire Azure Information Protection per l'organizzazione, quando si vuole implementare solo la protezione dei dati.
Questa roadmap è consigliata per i clienti con una sottoscrizione che non supporta sia la classificazione che le etichette, ma supporta la protezione senza etichette. È necessario installare il client classico di AIP.
Processo di distribuzione
Eseguire questa procedura:
- Verificare di avere una sottoscrizione che include il servizio protezione AIP
- Preparare il tenant per l'uso di Azure Information Protection
- Installare azure Information Protection versione classica e client configurare applicazioni e servizi per Rights Management
- Usare e monitorare le soluzioni di protezione dei dati
- Amministrare il servizio di protezione per l'account tenant in base alle esigenze
Verificare di avere una sottoscrizione che include il servizio protezione AIP
Verificare che l'organizzazione disponga di una sottoscrizione che include le funzionalità e le funzionalità previste. Assegnare una licenza da questa sottoscrizione a ogni utente dell'organizzazione che proteggerà documenti e messaggi di posta elettronica.
Importante
non assegnare manualmente licenze utente dalla sottoscrizione gratuita di RMS per singoli utenti e non usare questa licenza per amministrare il servizio Azure Rights Management per la propria organizzazione.
Queste licenze vengono visualizzate come Rights Management Adhoc (Ad-hoc per Rights Manager) nell'interfaccia di amministrazione di Microsoft 365 e come RIGHTSMANAGEMENT_ADHOC quando si esegue il cmdlet di PowerShell per Azure AD, Get-MsolAccountSku.
Per altre informazioni sulle modalità in cui la sottoscrizione di RMS per singoli utenti viene automaticamente concessa e assegnata agli utenti, vedere RMS per utenti singoli e Azure Information Protection.
Preparare il tenant per l'uso di Azure Information Protection
Prima di iniziare a usare il servizio di protezione di Azure Information Protection, eseguire le attività di preparazione seguenti:
Configurare gli account utente e i gruppi per AIP
Assicurarsi che il tenant Microsoft 365 contenga gli account utente e i gruppi che verranno usati da Azure Information Protection per autenticare e autorizzare gli utenti dell'organizzazione. Se necessario, creare questi account e gruppi o sincronizzarli dalla directory locale.
Per altre informazioni, vedere Preparazione di utenti e gruppi per Azure Information Protection.
Decidere come gestire la chiave del tenant
Decidere se si desidera che Microsoft gestisca la chiave del tenant (impostazione predefinita) oppure generare e gestire personalmente la chiave del tenant. Questo servizio è noto come BYOK (Bring Your Own Key). Per maggiore sicurezza, implementare la protezione "tenere la propria chiave" (HYOK).
Per altre informazioni, vedere Planning and implementing your Azure Information Protection tenant key (Pianificazione e implementazione della chiave del tenant Azure Information Protection).
Installare PowerShell per AIP
Installare il modulo PowerShell per AIPService in almeno un computer con accesso a Internet. È possibile eseguire questo passaggio subito o più avanti.
Per altre informazioni, vedere Installazione del modulo PowerShell di AIPService.
Solo AD RMS: Eseguire la migrazione dei dati nel cloud
Se attualmente si usa AD RMS, eseguire una migrazione per spostare le chiavi, i modelli e gli URL nel cloud.
Per altre informazioni, vedere Migrazione da AD RMS ad Azure Information Protection.
Attivare la protezione
Verificare che il servizio di protezione sia attivato in modo che sia possibile iniziare a proteggere documenti e messaggi di posta elettronica. Se si distribuisce in fasi, configurare i controlli di onboarding utente per limitare la capacità degli utenti di applicare la protezione.
Per altre informazioni, vedere Attivazione del servizio di protezione da Azure Information Protection.
Configurare le funzionalità facoltative in base alle esigenze
È consigliabile configurare una delle funzionalità seguenti, ora o versioni successive.
Funzionalità Descrizione Modelli personalizzati per le impostazioni di protezione Se i modelli predefiniti non sono sufficienti per l'organizzazione, configurare modelli personalizzati.
Per altre informazioni, vedere Configurazione e gestione dei modelli per Azure Information Protection.Registrazione dell'utilizzo Configurare la registrazione dell'utilizzo per monitorare il modo in cui l'organizzazione usa il servizio protezione.
Per altre informazioni, vedere Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection.
Installare azure Information Protection versione classica e client configurare applicazioni e servizi per Rights Management
Eseguire questa procedura:
Distribuire il client classico di Azure Information Protection
Installare il client classico per gli utenti per proteggere i file diversi da Office documenti e messaggi di posta elettronica e per tenere traccia dei documenti protetti e fornire formazione utente per questo client. Per altre informazioni, vedere Azure Information Protection client classico per Windows.
Configurare le applicazioni e i servizi di Office
Configurare applicazioni e servizi di Office per le funzionalità di Information Rights Management (IRM) in SharePoint o Exchange Online.
Per altre informazioni, vedere Configurazione delle applicazioni per Azure Rights Management.
Configurare la funzionalità relativa agli utenti con privilegi avanzati per il ripristino dei dati
Se sono presenti servizi IT che prevedono l'analisi dei file che verranno protetti da Azure Information Protection, ad esempio soluzioni di prevenzione della perdita di dati, gateway con crittografia del contenuto e prodotti antimalware, configurare gli account di tali servizi come utenti con privilegi avanzati per Azure Rights Management.
Per altre informazioni, vedere Configurazione di utenti avanzati per servizi di Information Protection e individuazione di Azure o ripristino dei dati.
Proteggere i file esistenti in blocco
È possibile usare i cmdlet di PowerShell per proteggere o rimuovere la protezione per più tipi di file in blocco.
Per altre informazioni, vedere Uso di PowerShell con il client di Azure Information Protection dalla guida di amministrazione.
Per i file nei file server basati su Windows, è possibile usare questi cmdlet con uno script e Infrastruttura di classificazione file per Windows Server. Per altre informazioni, vedere Protezione RMS con Infrastruttura di classificazione file per Windows Server.
Distribuire il connettore per i server locali
Se si prevede di usare servizi locali con il servizio di protezione, installare e configurare il connettore di Rights Management.
Per altre informazioni, vedere Distribuzione del connettore Microsoft Rights Management.
Usare e monitorare le soluzioni di protezione dei dati
È ora possibile proteggere i dati e registrare il modo in cui l'azienda usa il servizio protezione.
Per altre informazioni, vedere:
- Consentire agli utenti di proteggere i file mediante il servizio Azure Rights Management
- Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection
Amministrare il servizio di protezione per l'account tenant in base alle esigenze
Quando si inizia a usare il servizio di protezione, PowerShell può essere utile per facilitare l'esecuzione di script o l'automazione di modifiche di carattere amministrativo. Per alcune delle configurazioni avanzate potrebbe essere richiesto anche PowerShell.
Per altre informazioni, vedere Amministrazione della protezione da Azure Information Protection tramite PowerShell.
Passaggi successivi
Quando si distribuisce Azure Information Protection, è possibile che sia utile controllare le domande frequenti e le informazioni e la pagina di supporto per altre risorse.