Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Prima di usare il servizio Azure Rights Management per crittografare il contenuto per l'organizzazione, comprendere il funzionamento del servizio con gli account per utenti e gruppi nell'ID Microsoft Entra.
Esistono diversi modi per creare questi account per utenti e gruppi, tra cui:
Creare gli utenti nel interfaccia di amministrazione di Microsoft 365 e i gruppi nell'interfaccia di amministrazione Exchange Online.
Gli utenti e i gruppi vengono creati nel portale di Azure.
È possibile creare gli utenti e il gruppo usando i cmdlet di PowerShell.
Gli utenti e i gruppi vengono creati nel Active Directory locale e sincronizzati con Microsoft Entra ID.
Gli utenti e i gruppi vengono creati in un'altra directory e sincronizzati con Microsoft Entra ID.
Quando si creano utenti e gruppi usando i primi tre metodi di questo elenco, con un'eccezione, vengono creati automaticamente nell'ID Microsoft Entra e il servizio Azure Rights Management può usare direttamente questi account. Tuttavia, alcune reti aziendali usano una directory locale per creare e gestire utenti e gruppi. Il servizio Azure Rights Management non può usare direttamente questi account. è necessario sincronizzarli con Microsoft Entra ID.
L'eccezione a cui si fa riferimento nel paragrafo precedente è rappresentato dalle liste di distribuzione dinamiche che è possibile creare per Exchange Online. A differenza delle liste di distribuzione statiche, questi gruppi non vengono replicati nell Microsoft Entra ID e quindi non possono essere usati dal servizio Azure Rights Management.
Modalità di utilizzo di utenti e gruppi da parte del servizio Azure Rights Management
Esistono due scenari per l'uso di utenti e gruppi con il servizio Azure Rights Management:
Per le impostazioni di crittografia quando si usa il servizio Azure Rights Management per crittografare documenti e messaggi di posta elettronica. Gli amministratori e gli utenti possono selezionare utenti e gruppi che possono aprire il contenuto crittografato e inoltre:
Diritti di utilizzo che determinano come possono usare il contenuto. Ad esempio, se possono solo leggerlo, leggerlo e stamparlo o leggerlo e modificarlo.
I controlli di accesso includono una data di scadenza e se è necessaria una connessione a Internet per l'accesso.
Per configurare il servizio Azure Rights Management per supportare scenari specifici e quindi solo gli amministratori selezionano questi gruppi. Gli esempi includono la configurazione di quanto segue:
Utenti con privilegi avanzati, in modo che i servizi o gli utenti designati possano aprire contenuto crittografato se necessario per eDiscovery o il ripristino dei dati.
Amministrazione delegata del servizio Azure Rights Management.
Onboarding dei controlli per supportare una distribuzione in più fasi.
Requisiti del servizio Azure Rights Management per gli account utente
Per le impostazioni di crittografia e la configurazione del servizio Azure Rights Management:
Per autorizzare gli utenti, vengono usati due attributi nell Microsoft Entra ID: proxyAddresses e userPrincipalName.
L'attributo Microsoft Entra proxyAddresses archivia tutti gli indirizzi di posta elettronica per un account e può essere popolato in modi diversi. Ad esempio, un utente di Microsoft 365 con una cassetta postale Exchange Online ha automaticamente un indirizzo di posta elettronica archiviato in questo attributo. Se si assegna un indirizzo di posta elettronica alternativo per un utente di Microsoft 365, viene salvato anche in questo attributo. Può anche essere popolato dagli indirizzi di posta elettronica sincronizzati dagli account locali.
Il servizio Azure Rights Management può usare qualsiasi valore in questo Microsoft Entra attributo proxyAddresses, a condizione che il dominio sia stato aggiunto al tenant (un "dominio verificato"). Per altre informazioni sulla verifica dei domini:
Per Microsoft Entra ID: Aggiungere un nome di dominio personalizzato all Microsoft Entra ID
Per Microsoft 365: Aggiungere un dominio a Microsoft 365
L'attributo Microsoft Entra userPrincipalName viene usato solo quando un account nel tenant non dispone di valori nell'attributo Microsoft Entra proxyAddresses. Ad esempio, si crea un utente nel portale di Azure o si crea un utente per Microsoft 365 che non dispone di una cassetta postale.
Impostazioni di crittografia per gli utenti esterni
Oltre a usare il Microsoft Entra proxyAddresses e Microsoft Entra userPrincipalName per gli utenti nel tenant, il servizio Azure Rights Management usa anche questi attributi allo stesso modo per autorizzare gli utenti da un altro tenant.
Altri metodi di autorizzazione:
Per gli indirizzi di posta elettronica non inclusi nell'ID Microsoft Entra, il servizio Azure Rights Management può autorizzarli quando vengono autenticati con un account Microsoft. Tuttavia, non tutte le applicazioni possono aprire contenuto crittografato quando viene usato un account Microsoft per l'autenticazione.
Quando un messaggio di posta elettronica viene inviato usando Microsoft Purview Message Encryption a un utente che non dispone di un account in Microsoft Entra ID, l'utente viene autenticato per la prima volta usando la federazione con un provider di identità di social networking o usando un passcode monouso. L'indirizzo di posta elettronica specificato nel messaggio di posta elettronica protetto viene quindi usato per autorizzare l'utente.
Requisiti del servizio Azure Rights Management per gli account di gruppo
Per l'assegnazione dei diritti di utilizzo e dei controlli di accesso:
- È possibile usare qualsiasi tipo di gruppo nell Microsoft Entra ID con un indirizzo di posta elettronica contenente un dominio verificato per il tenant dell'utente. Un gruppo con un indirizzo di posta elettronica viene spesso definito gruppo abilitato alla posta elettronica.
Per configurare il servizio Azure Rights Management:
È possibile usare qualsiasi tipo di gruppo nell Microsoft Entra ID con un indirizzo di posta elettronica da un dominio verificato nel tenant, con un'eccezione. Questa eccezione si verifica quando si configurano i controlli di onboarding per l'uso di un gruppo, che deve essere un gruppo di sicurezza nell'ID Microsoft Entra per il tenant.
È possibile usare qualsiasi gruppo in Microsoft Entra ID (con o senza indirizzo di posta elettronica) da un dominio verificato nel tenant per l'amministrazione delegata del servizio Azure Rights Management.
Impostazioni di crittografia per gruppi esterni
Oltre a usare il Microsoft Entra proxyAddresses per i gruppi nel tenant, il servizio Azure Rights Management usa anche questo attributo allo stesso modo per autorizzare i gruppi da un altro tenant.
Uso di account da Active Directory locale
Se si hanno account gestiti in locale che si vuole usare con il servizio Azure Rights Management, è necessario sincronizzarli con Microsoft Entra ID. Per semplificare la distribuzione, è consigliabile usare Microsoft Entra Connect. Tuttavia, è possibile usare qualsiasi metodo di sincronizzazione della directory che ottiene lo stesso risultato.
Quando si sincronizzano gli account, non è necessario sincronizzare tutti gli attributi. Per un elenco degli attributi che devono essere sincronizzati, vedere la sezione Azure RMS nella documentazione Microsoft Entra.
Dall'elenco degli attributi per Azure Rights Management si nota che per gli utenti, gli attributi AD locali di posta elettronica, proxyAddresses e userPrincipalName sono necessari per la sincronizzazione. I valori per mail e proxyAddresses vengono sincronizzati con l'attributo Microsoft Entra proxyAddresses. Per altre informazioni, vedere Come viene popolato l'attributo proxyAddresses nell Microsoft Entra ID
Considerazioni sulla modifica degli indirizzi di posta elettronica
Se si modifica l'indirizzo di posta elettronica di un utente o di un gruppo, è consigliabile aggiungere l'indirizzo di posta elettronica precedente come secondo indirizzo di posta elettronica (noto anche come indirizzo proxy, alias o indirizzo di posta elettronica alternativo) all'utente o al gruppo. Quando si esegue questa operazione, l'indirizzo di posta elettronica precedente viene aggiunto all'attributo Microsoft Entra proxyAddresses. Questa amministrazione dell'account garantisce la continuità aziendale per eventuali diritti di utilizzo o altre configurazioni che sono state salvate quando era in uso l'indirizzo di posta elettronica precedente.
Se non è possibile eseguire questa operazione, l'utente o il gruppo con il nuovo indirizzo di posta elettronica rischia di essere negato l'accesso a documenti e messaggi di posta elettronica precedentemente protetti con l'indirizzo di posta elettronica precedente. In questo caso, è necessario ripetere la configurazione della protezione per salvare il nuovo indirizzo di posta elettronica. Ad esempio, se all'utente o al gruppo sono stati concessi diritti di utilizzo in modelli o etichette, modificare tali modelli o etichette e specificare il nuovo indirizzo di posta elettronica con gli stessi diritti di utilizzo concessi all'indirizzo di posta elettronica precedente.
Si noti che è raro che un gruppo cambi il proprio indirizzo di posta elettronica e che se si assegnano diritti di utilizzo a un gruppo anziché a singoli utenti, non importa se l'indirizzo di posta elettronica dell'utente cambia. In questo scenario, i diritti di utilizzo vengono assegnati all'indirizzo di posta elettronica del gruppo e non agli indirizzi di posta elettronica dei singoli utenti. Questo è il metodo più probabile (e consigliato) per un amministratore per configurare i diritti di utilizzo che proteggono documenti e messaggi di posta elettronica. Tuttavia, gli utenti potrebbero in genere assegnare autorizzazioni personalizzate per i singoli utenti. Poiché non è sempre possibile sapere se un account utente o un gruppo è stato usato per concedere l'accesso, è più sicuro aggiungere sempre l'indirizzo di posta elettronica precedente come secondo indirizzo di posta elettronica.
Memorizzazione nella cache dell'appartenenza ai gruppi
Per motivi di prestazioni, il servizio Azure Rights Management memorizza nella cache l'appartenenza ai gruppi. Questa memorizzazione nella cache significa che le modifiche apportate all'appartenenza ai gruppi nell'ID Microsoft Entra possono richiedere fino a tre ore quando questi gruppi vengono usati dal servizio Azure Rights Management e questo periodo di tempo è soggetto a modifiche.
Ricordarsi di considerare questo ritardo in qualsiasi modifica o test eseguito quando si usano i gruppi per concedere i diritti di utilizzo o configurare il servizio Azure Rights Management.
Passaggi successivi
Dopo aver confermato che gli utenti e i gruppi possono essere usati con il servizio Azure Rights Management, verificare se è necessario attivare il servizio Azure Rights Management:
A partire da febbraio 2018: se la sottoscrizione che include Azure Rights Management o Microsoft Purview Information Protection è stata ottenuta durante o dopo questo mese, il servizio viene attivato automaticamente.
Se la sottoscrizione è stata ottenuta prima di febbraio 2018: è necessario attivare il servizio manualmente.
Per altre informazioni, inclusa la verifica dello stato di attivazione, vedere Attivare il servizio Azure Rights Management.