Rimozione e disattivazione della protezione per Azure Information Protection

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection viene ritirato e sostituito con le etichette integrate nelle app e nei servizi di Microsoft 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Il client Microsoft Purview Information Protection (senza il componente aggiuntivo) è disponibile a livello generale.

È sempre possibile controllare se l'organizzazione protegge il contenuto usando il servizio Azure Rights Management di Azure Information Protection. Se si decide di non voler più usare questo servizio di protezione delle informazioni, si ha la certezza di non essere bloccato fuori dal contenuto protetto in precedenza.

Se non è necessario l'accesso continuo a contenuti protetti in precedenza, disattivare il servizio e lasciare scadere la sottoscrizione di Azure Information Protection. Ad esempio, è opportuno adottare questa soluzione dopo aver completato i test di Azure Information Protection prima della distribuzione in un ambiente di produzione.

Tuttavia, se Azure Information Protection è stato distribuito in produzione, documenti e messaggi di posta elettronica protetti, assicurarsi di disporre di una copia della chiave del tenant di Azure Information Protection e del dominio di pubblicazione attendibile appropriato prima di disattivare il servizio Azure Rights Management. Assicurarsi di disporre di una copia della chiave e del TPD prima della scadenza della sottoscrizione per assicurarsi di poter mantenere l'accesso al contenuto protetto da Azure Rights Management dopo la disattivazione del servizio.

Se è stata usata la soluzione BYOK (Bring Your Own Key) in cui si genera e si gestisce la propria chiave in un modulo di protezione hardware, si ha già la chiave del tenant di Azure Information Protection. Si avrà anche un TPD appropriato se sono state seguite le istruzioni che preparano per un'uscita futura del cloud. Tuttavia, se la chiave del tenant è stata gestita da Microsoft (impostazione predefinita), vedere le istruzioni per l'esportazione della chiave del tenant in Operazioni per la chiave del tenant di Azure Information Protection.

Suggerimento

Anche dopo la scadenza della sottoscrizione, il tenant di Azure Information Protection rimane disponibile per l'utilizzo del contenuto per un periodo prolungato. Tuttavia, non sarà più possibile esportare la chiave del tenant.

Quando si dispone della chiave del tenant di Azure Information Protection e del tpd, è possibile distribuire Rights Management in locale (AD RMS) e importare la chiave del tenant come dominio di pubblicazione attendibile (TPD). Sono quindi disponibili le opzioni seguenti per rimuovere le autorizzazioni per la distribuzione di Azure Information Protection:

Se questo vale per te ... … eseguire questa operazione:
Si vuole che tutti gli utenti continuino a usare Rights Management, ma usano una soluzione locale anziché usare Azure Information Protection → Reindirizzare i client alla distribuzione locale usando la chiave del Registro di sistema LicensingRedirection per Office 2016 o Office 2013. Per istruzioni, vedere la sezione relativa all'individuazione dei servizi nelle note sulla distribuzione del client RMS.
Si vuole interrompere l'uso delle tecnologie Rights Management completamente → Concedere a un amministratore designato diritti utente con privilegi avanzati e installare il client Azure Information Protection per questo utente.

Questo amministratore può quindi usare il modulo di PowerShell da questo client per decrittografare in blocco i file nelle cartelle protette da Azure Information Protection. I file vengono ripristinati come non protetti e possono quindi essere letti senza una tecnologia Rights Management, ad esempio Azure Information Protection o AD RMS. Poiché questo modulo di PowerShell può essere usato sia con Azure Information Protection che con AD RMS, è possibile scegliere di decrittografare i file prima o dopo aver disattivato il servizio di protezione da Azure Information Protection o una combinazione.
Non è possibile identificare tutti i file protetti da Azure Information Protection. In alternativa, si vuole che tutti gli utenti possano leggere automaticamente tutti i file protetti che non sono stati rilevati → Distribuire un'impostazione del Registro di sistema in tutti i computer client usando la chiave del Registro di sistema LicensingRedirection per Office 2016 e Office 2013, come descritto nella sezione individuazione dei servizi nelle note sulla distribuzione del client RMS.
Si vuole un servizio di ripristino manuale controllato per tutti i file mancanti → Concedere agli utenti designati in un gruppo di recupero dati diritti utente con privilegi avanzati e installare il client Azure Information Protection per questi utenti in modo che possano rimuovere la protezione dei file quando questa azione viene richiesta dagli utenti standard.

In tutti i computer distribuire l'impostazione del Registro di sistema per impedire agli utenti di proteggere nuovi file impostando DisableCreation su 1, come descritto in Registro di sistema di Office Impostazioni.

Per altre informazioni sulle procedure in questa tabella, vedere le risorse seguenti:

  • Per informazioni sui riferimenti ad AD RMS e sulla distribuzione, vedere Panoramica di Active Directory Rights Management Services.

  • Per istruzioni su come importare la chiave del tenant di Azure Information Protection come file TPD, vedere Aggiungere un dominio di pubblicazione attendibile.

  • Per usare PowerShell con il client Azure Information Protection, vedere Uso di PowerShell con il client Azure Information Protection.

Quando si è pronti per disattivare il servizio di protezione da Azure Information Protection, usare le istruzioni seguenti.

Disattivazione del servizio di protezione

È necessario usare PowerShell per disattivare il servizio di protezione da Azure Information Protection. Non è più possibile attivare o disattivare questo servizio dai portali di amministrazione.

  1. Installare il modulo AIPService per configurare e gestire il servizio protezione. Per istruzioni, vedere Installazione del modulo PowerShell AIPService.

  2. Da una sessione di PowerShell eseguire Connessione-AipService e, quando richiesto, specificare i dettagli dell'account Amministrazione istrator globali per il tenant di Azure Information Protection.

  3. Eseguire Get-AipService per confermare lo stato corrente del servizio protezione. Lo stato Abilitato conferma l'attivazione; Disabled indica che il servizio è disattivato.

  4. Per disattivare il servizio, eseguire Disable-AipService.

  5. Eseguire di nuovo Get-AipService per verificare che il servizio di protezione sia ora disattivato. Questa volta, lo stato dovrebbe essere Disabilitato.

  6. Eseguire Disconnect-AipService per disconnettersi dal servizio e chiudere la sessione di PowerShell.