Configurare i diritti di utilizzo per Azure Information Protection

Questo articolo descrive i diritti di utilizzo che è possibile configurare per essere applicati automaticamente quando un'etichetta o un modello viene selezionato da utenti, amministratori o servizi configurati.

I diritti di utilizzo vengono selezionati quando si configurano etichette di riservatezza o modelli di protezione per la crittografia. Ad esempio, è possibile selezionare i ruoli che configurano un raggruppamento logico dei diritti di utilizzo o configurare i singoli diritti separatamente. In alternativa, gli utenti possono selezionare e applicare i diritti di utilizzo stessi.

Per motivi di completezza, questo articolo include valori derivanti dal portale di Azure classico che è stato ritirato l'8 gennaio 2018.

Importante

Usare questo articolo per comprendere in che modo i diritti di utilizzo sono progettati per essere interpretati dalle applicazioni.

Le applicazioni possono variare in base al modo in cui implementano i diritti di utilizzo ed è consigliabile consultare la documentazione dell'applicazione ed eseguire test personalizzati per verificare il comportamento dell'applicazione prima della distribuzione nell'ambiente di produzione.

Diritti di utilizzo e descrizioni

La tabella seguente elenca e descrive i diritti di utilizzo supportati da Rights Management e illustra come vengono usati e interpretati. Sono elencati in base al nome comune, ovvero al nome con cui viene usato o si fa riferimento al diritto di utilizzo nella sua versione descrittiva, e non alla parola singola usata nel codice (valore in Codifica nei criteri).

In questa tabella:

  • La costante API o il valore è il nome dell'SDK per una chiamata API MSIPC o Microsoft Purview Information Protection SDK, usata quando si scrive un'applicazione che verifica il diritto di utilizzo o aggiunge un diritto di utilizzo a un criterio.

  • L'interfaccia di amministrazione dell'etichettatura è la Portale di conformità di Microsoft Purview, in cui si configurano le etichette di riservatezza.

Diritto di utilizzo Descrizione Implementazione
Nome comune: Modifica contenuto, Modifica

Codifica nei criteri: DOCEDIT
Consente all'utente di modificare, riorganizzare, formattare o ordinare il contenuto all'interno dell'applicazione, che include Office sul web. Non concede il diritto per il salvataggio della copia modificata.

In Word, a meno che non si disponga di Office 365 ProPlus con una versione minima di 1807, questo diritto non è sufficiente per attivare o disattivare Track Changes o per usare tutte le funzionalità di rilevamento delle modifiche come revisore. Per usare tutte le opzioni di rilevamento delle modifiche è invece necessario il diritto seguente: Controllo completo.
Diritti personalizzati di Office: come parte delle opzioni Cambia e Controllo completo.

Nome nel portale di Azure classico: Modifica contenuto

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Modifica contenuto, Modifica (DOCEDIT)

Nome nei modelli di AD RMS: Modifica

Valore o costante API:
MSIPC: non applicabile.
MIP SDK: DOCEDIT
Nome comune: Salva

Codifica nei criteri: EDIT
Consente all'utente di salvare il documento nel percorso corrente. In Office sul web consente anche all'utente di modificare il contenuto.

In app Office licazioni, questo diritto consente all'utente di salvare il file in un nuovo percorso e con un nuovo nome se il formato di file selezionato dispone del supporto predefinito per la protezione di Rights Management. La restrizione del formato di file garantisce che la protezione originale non possa essere rimossa dal file.
Diritti personalizzati di Office: come parte delle opzioni Cambia e Controllo completo.

Nome nel portale di Azure classico: Salva file

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Salva (MODIFICA)

Nome nei modelli di AD RMS: Salva

Valore o costante API:
MSIPC: IPC_GENERIC_WRITE L"EDIT"
MIP SDK: EDIT
Nome comune: Commento

Codifica nei criteri: COMMENT
Abilita l'opzione per l'aggiunta di annotazioni o commenti al contenuto.

Questo diritto è disponibile nell'SDK, è disponibile come criterio ad hoc nel modulo Azure Information Protection e protezione RMS per Windows PowerShell ed è stato implementato in alcune applicazioni di fornitori di software. Tuttavia, non è ampiamente usato e non è supportato dalle app Office licazioni.
Diritti personalizzati di Office: non implementato.

Nome nel portale di Azure classico: non implementato.

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: non implementato.

Nome nei modelli di AD RMS: non implementato.

Valore o costante API:
MSIPC: IPC_GENERIC_COMMENT L"COMMENT
MIP SDK: COMMENT
Nome comune: Salva con nome, Esporta

Codifica nei criteri: EXPORT
Abilita l'opzione per salvare il contenuto con un nome file diverso (Salva con nome).

Per il client Azure Information Protection, il file può essere salvato senza protezione e riprotetto anche con nuove impostazioni e autorizzazioni. Queste azioni consentite indicano che un utente con questo diritto può modificare o rimuovere un'etichetta di Azure Information Protection da un documento o un messaggio di posta elettronica protetto.

Questo diritto consente inoltre all'utente di eseguire altre opzioni di esportazione nelle applicazioni, come l'operazione Invia a OneNote.
Diritti personalizzati di Office: come parte dell'opzione Controllo completo.

Nome nel portale di Azure classico: Esporta contenuto (Salva con nome)

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Salva con nome, Esporta (EXPORT)

Nome nei modelli di AD RMS: Esporta (Salva con nome)

Valore o costante API:
MSIPC: IPC_GENERIC_EXPORT L"EXPORT"
MIP SDK: EXPORT
Nome comune: Inoltra

Codifica nei criteri: FORWARD
Abilita l'opzione per inoltrare un messaggio di posta elettronica e per aggiungere i destinatari nelle righe A e Cc. Questo diritto non si applica ai documenti, ma solo ai messaggi di posta elettronica.

Non consente all'autore dell'inoltro di concedere diritti ad altri utenti come parte dell'azione di inoltro.

Quando si concede questo diritto, concedere anche il diritto Modifica contenuto, Modifica diritto (nome comune) e concedere inoltre il diritto Salva (nome comune) per assicurarsi che il messaggio di posta elettronica protetto non venga recapitato come allegato. Specificare anche questi diritti quando si invia un messaggio di posta elettronica a un'altra organizzazione che utilizza il client Outlook o Outlook Web App. In alternativa, per gli utenti dell'organizzazione esentati dall'uso della protezione di Rights Management perché sono stati implementati controlli di onboarding.
Diritti personalizzati di Office: negato se sono in uso i criteri standard Non inoltrare.

Nome nel portale di Azure classico: Inoltra

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Inoltra (FORWARD)

Nome nei modelli di AD RMS: Inoltra

Valore o costante API:
MSIPC: IPC_EMAIL_FORWARD L"FORWARD"
MIP SDK: FORWARD
Nome comune: Controllo completo

Codifica nei criteri: OWNER
Concede tutti i diritti al documento ed è possibile eseguire tutte le azioni disponibili.

Permette di rimuovere la protezione e quindi di applicarla nuovamente a un documento.

Si noti che questo diritto di utilizzo è diverso da Proprietario di Rights Management.
Diritti personalizzati di Office: come l'opzione personalizzata Controllo completo.

Nome nel portale di Azure classico: Controllo completo

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: controllo completo (OWNER)

Nome nei modelli di AD RMS: Controllo completo

Valore o costante API:
MSIPC: IPC_GENERIC_ALL L"OWNER"
MIP SDK: OWNER
Nome comune: Stampa

Codifica nei criteri: PRINT
Abilita le opzioni per stampare il contenuto. Diritti personalizzati di Office: come l'opzione Stampa contenuto nelle autorizzazioni personalizzate. Non è un'impostazione per destinatario.

Nome nel portale di Azure classico: Stampa

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Stampa (STAMPA)

Nome nei modelli di AD RMS: Stampa

Valore o costante API:
MSIPC: IPC_GENERIC_PRINT L"PRINT"
MIP SDK: PRINT
Nome comune: Rispondi

Codifica nei criteri: REPLY
Abilita l'opzione Rispondi nel client di posta elettronica, senza consentire modifiche alle righe A e Cc.

Quando si concede questo diritto, concedere anche il diritto Modifica contenuto, Modifica diritto (nome comune) e concedere inoltre il diritto Salva (nome comune) per assicurarsi che il messaggio di posta elettronica protetto non venga recapitato come allegato. Specificare anche questi diritti quando si invia un messaggio di posta elettronica a un'altra organizzazione che utilizza il client Outlook o Outlook Web App. In alternativa, per gli utenti dell'organizzazione esentati dall'uso della protezione di Rights Management perché sono stati implementati controlli di onboarding.
Diritti personalizzati di Office: non applicabile.

Nome nel portale di Azure classico: Rispondi

Nome nel portale di Azure classico: Rispondi (REPLY)

Nome nei modelli di AD RMS: Rispondi

Valore o costante API:
MSIPC: IPC_EMAIL_REPLY
MIP SDK: REPLY
Nome comune: Rispondi a tutti

Codifica nei criteri: REPLYALL
Abilita l'opzione Rispondi a tutti nel client di posta elettronica, ma non consente all'utente di aggiungere destinatari nelle righe A o Cc.

Quando si concede questo diritto, concedere anche il diritto Modifica contenuto, Modifica diritto (nome comune) e concedere inoltre il diritto Salva (nome comune) per assicurarsi che il messaggio di posta elettronica protetto non venga recapitato come allegato. Specificare anche questi diritti quando si invia un messaggio di posta elettronica a un'altra organizzazione che utilizza il client Outlook o Outlook Web App. In alternativa, per gli utenti dell'organizzazione esentati dall'uso della protezione di Rights Management perché sono stati implementati controlli di onboarding.
Diritti personalizzati di Office: non applicabile.

Nome nel portale di Azure classico: Rispondi a tutti

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Rispondi a tutti (REPLY ALL)

Nome nei modelli di AD RMS: Rispondi a tutti

Valore o costante API:
MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"
MIP SDK: REPLYALL
Nome comune: Visualizza, Apri, Leggi

Codifica nei criteri: VIEW
Consente all'utente di aprire il documento e visualizzare il contenuto.

In Excel, questo diritto non è sufficiente per ordinare i dati, che richiede il diritto seguente: Modifica contenuto, Modifica. Per filtrare i dati in Excel, sono necessari i due diritti seguenti: Modifica contenuto, Modifica e Copia.
Diritti personalizzati di Office: come i criteri personalizzati Lettura, opzione Visualizza.

Nome nel portale di Azure classico: Visualizza

Nome nella Portale di conformità di Microsoft Purview e portale di Azure: Visualizza, Apri, Lettura (VIEW)

Nome nei modelli di AD RMS: Lettura

Valore o costante API:
MSIPC: IPC_GENERIC_READ L"VIEW"
MIP SDK: VIEW
Nome comune: Copia

Codifica nei criteri: EXTRACT
Abilita le opzioni per copiare i dati, incluse le catture di schermata, dal documento nello stesso o in un altro documento.

In alcune applicazioni consente inoltre di salvare l'intero documento in formato non protetto.

In Skype for Business e in applicazioni simili per la condivisione dello schermo, il relatore deve disporre di questo diritto per presentare correttamente un documento protetto. Se il relatore non dispone di questo diritto, i partecipanti non possono visualizzare il documento e vengono visualizzati come neri.
Diritti personalizzati di Office: come nell'opzione dei criteri personalizzati Consenti agli utenti con accesso in lettura di copiare il contenuto.

Nome nel portale di Azure classico: Copia ed estrai il contenuto

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Copia (EXTRACT)

Nome nei modelli di AD RMS: Estrai

Valore o costante API:
MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"
MIP SDK: EXTRACT
Nome comune: Visualizza diritti

Codifica nei criteri: VIEWRIGHTSDATA
Consente all'utente di visualizzare i criteri applicati al documento.

Non supportato da app Office o dai client di Azure Information Protection.
Diritti personalizzati di Office: non implementato.

Nome nel portale di Azure classico: Visualizza diritti assegnati

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: View Rights (VIEWRIGHTSDATA).

Nome nei modelli di AD RMS: Visualizza diritti

Valore o costante API:
MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
MIP SDK: VIEWRIGHTSDATA
Nome comune: Modifica diritti

Codifica nei criteri: EDITRIGHTSDATA
Consente all'utente di modificare i criteri applicati al documento. Consente di rimuovere la rimozione.

Non supportato da app Office o dai client di Azure Information Protection.
Diritti personalizzati di Office: non implementato.

Nome nel portale di Azure classico: Modifica diritti

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Modifica diritti (EDITRIGHTSDATA).

Nome nei modelli di AD RMS: Modifica diritti

Valore o costante API:
MSIPC:PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
MIP SDK: EDITRIGHTSDATA
Nome comune: Consenti macro

Codifica nei criteri: OBJMODEL
Abilita l'opzione per eseguire macro o accedere a livello di codice o in modalità remota al contenuto in un documento. Diritti personalizzati di Office: come l'opzione dei criteri personalizzati Consenti l'accesso a livello di programmazione. Non è un'impostazione per destinatario.

Nome nel portale di Azure classico: Consenti macro

Nome nel Portale di conformità di Microsoft Purview e portale di Azure: Consenti macro (OBJMODEL)

Nome nei modelli di AD RMS: Consenti macro

Costante o valore API: MSIPC: non implementato. MIP SDK: OBJMODEL

Diritti inclusi nei livelli di autorizzazione

Alcune applicazioni raggruppano i diritti di utilizzo in livelli di autorizzazione, per semplificare la selezione dei diritti di utilizzo che vengono generalmente usati insieme. I livelli di autorizzazioni permettono di astrarre un livello di complessità dagli utenti, per consentire loro di scegliere opzioni basate su ruoli. Ad esempio: Revisore e Coautore. Sebbene queste opzioni spesso mostrino agli utenti un riepilogo dei diritti, potrebbero non includere tutti i diritti elencati nella tabella precedente.

Usare la tabella seguente per un elenco dei livelli di autorizzazione e per un elenco completo dei diritti di utilizzo in essi contenuti. I diritti di utilizzo sono elencati in base al nome comune.

Livello di autorizzazioni Applicazioni Diritti di utilizzo inclusi
Visualizzatore Portale di Azure classico

Azure portal

Client di Azure Information Protection per Windows
Visualizza, Apri, Leggi; Visualizza diritti; Rispondi [1]; Rispondi a tutti [1]; Consenti macro [2]

Nota: per i messaggi di posta elettronica, usare il diritto Revisore anziché questo livello di autorizzazione per assicurarsi che la risposta venga ricevuta come messaggio di posta e non come allegato. Il diritto Revisore è necessario anche quando si invia un messaggio di posta elettronica a un'altra organizzazione che usa il client di Outlook o Outlook Web App. Oppure, per gli utenti dell'organizzazione che sono esentati dall'uso del servizio Azure Rights Management perché sono stati implementati controlli di onboarding.
Reviewer Portale di Azure classico

Azure portal

Client di Azure Information Protection per Windows
Visualizza, Apri, Leggi; Salva; Modifica contenuto, Modifica; Visualizza diritti; Rispondi; Rispondi a tutti [3]; Inoltra [3]; Consenti macro [2]
Coautore Portale di Azure classico

Azure portal

Client di Azure Information Protection per Windows
Visualizza, Apri, Leggi; Salva; Modifica contenuto, Modifica; Copia; Visualizza diritti; Consenti macro; Salva con nome, Esporta [4]; Stampa; Rispondi [3]; Rispondi a tutti [3]; Inoltra [3]
Comproprietario Portale di Azure classico

Azure portal

Client di Azure Information Protection per Windows
Visualizza, Apri, Leggi; Salva; Modifica contenuto, Modifica; Copia; Visualizza diritti; Modifica diritti; Consenti macro; Salva con nome, Esporta; Stampa; Rispondi [3]; Rispondi a tutti [3]; Inoltra [3]; Controllo completo
Nota 1

Non incluso nel Portale di conformità di Microsoft Purview o nell'portale di Azure.

Nota 2

Per il client Azure Information Protection per Windows, questo diritto è necessario per la barra di Information Protection in app Office s.

Nota a piè di pagina 3

Non applicabile al client Azure Information Protection per Windows.

Nota a piè di pagina 4

Non incluso nel Portale di conformità di Microsoft Purview, nell'portale di Azure o nel client Azure Information Protection per Windows.

Opzione Non inoltrare per i messaggi di posta elettronica

I client e i servizi di Exchange (ad esempio, il client Outlook, Outlook sul web, le regole del flusso di posta di Exchange e le azioni DLP per Exchange) hanno un'opzione aggiuntiva di protezione dei diritti di informazione per i messaggi di posta elettronica: Non inoltrare.

Sebbene questa opzione sia mostrata agli utenti e agli amministratori di Exchange come se fosse un modello di Rights Management predefinito che è possibile selezionare, Non inoltrare non è un modello. Questo spiega perché non è possibile visualizzarlo nella portale di Azure quando si visualizzano e gestiscono i modelli di protezione. L'opzione Non inoltrare è invece un set di diritti di utilizzo applicati dinamicamente dagli utenti ai destinatari di posta elettronica.

Quando l'opzione Non inoltrare viene applicata a un messaggio di posta elettronica, il messaggio di posta elettronica viene crittografato e i destinatari devono essere autenticati. Quindi, i destinatari non possono inoltrarlo, stamparlo o copiarlo da esso. Ad esempio, nel client outlook il pulsante Inoltra non è disponibile, le opzioni di menu Salva con nome e Stampa non sono disponibili e non è possibile aggiungere o modificare i destinatari nelle caselle A, Cc o Ccn .

I documenti di Office non protetti allegati al messaggio di posta elettronica ereditano automaticamente le stesse restrizioni. I diritti di utilizzo applicati a questi documenti sono Modifica contenuto, Modifica; Salva; Visualizzare, aprire, leggere e consentire macro. Se si desiderano diritti di utilizzo diversi per un allegato o l'allegato non è un documento di Office che supporta questa protezione ereditata, proteggere il file prima di allegarlo al messaggio di posta elettronica. È quindi possibile assegnare i diritti di utilizzo specifici necessari per il file.

Differenza tra Non inoltrare e non concedere il diritto di utilizzo inoltro

Esiste una distinzione importante tra l'applicazione dell'opzione Non inoltrare e l'applicazione di un modello che non concede il diritto di utilizzo Inoltra a un messaggio di posta elettronica: l'opzione Non inoltrare usa un elenco dinamico di utenti autorizzati basati sui destinatari scelti dall'utente del messaggio di posta elettronica originale, mentre i diritti nel modello hanno un elenco statico di utenti autorizzati specificati in precedenza dall'amministratore. Qual è la differenza? Ecco un esempio:

Un utente vuole inviare un messaggio di posta elettronica a destinatari specifici del reparto Marketing con informazioni che non devono essere condivise con altri utenti. Deve proteggere il messaggio tramite un modello che limita i diritti (visualizzazione, risposta e salvataggio) del reparto Marketing? Oppure deve scegliere l'opzione Non inoltrare? Con entrambe le opzioni i destinatari non potranno inoltrare il messaggio di posta elettronica.

  • Se applica il modello, i destinatari possono comunque condividere le informazioni con altri utenti del reparto Marketing. Ad esempio, un destinatario può usare Esplora file per trascinare il messaggio in un percorso condiviso o su un'unità USB. Chiunque nel reparto Marketing (e il proprietario del messaggio) ha accesso a questo percorso può visualizzare le informazioni contenute nel messaggio.

  • Applicando invece l'opzione Non inoltrare, i destinatari non potranno condividere le informazioni con altri del reparto Marketing spostando il messaggio in un altro percorso. In questo scenario solo i destinatari originali del messaggio (e il proprietario del messaggio) potranno visualizzare le informazioni in esso contenute.

Nota

Usare l'opzione Non inoltrare quando è essenziale che solo i destinatari scelti dal mittente possano visualizzare le informazioni contenute nel messaggio. Usare un modello per i messaggi di posta elettronica per limitare i diritti di un gruppo di persone specificate anticipatamente dall'amministratore, indipendentemente dai destinatari scelti dal mittente.

Opzione di sola crittografia per i messaggi di posta elettronica

Quando Exchange Online usa le nuove funzionalità per La crittografia dei messaggi di Office 365, una nuova opzione Crittografa la posta elettronica diventa disponibile per crittografare i dati senza restrizioni aggiuntive.

Questa opzione è disponibile per i tenant che usano Exchange Online e possono essere selezionati come segue:

  • In Outlook sul web con l'opzione Crittografa o un'etichetta di riservatezza configurata per Consenti agli utenti di assegnare le autorizzazioni e l'opzione Solo crittografia
  • Come un'altra opzione di protezione dei diritti per una regola del flusso di posta
  • Come azione DLP di Office 365
  • Dall'app Outlook per desktop e dispositivi mobili:

Per altre informazioni sull'opzione solo crittografia, vedere il post di blog seguente quando è stato annunciato per la prima volta dal team di Office: Crittografare solo l'implementazione in Crittografia messaggi di Office 365.

Quando questa opzione è selezionata, il messaggio di posta elettronica viene crittografato e i destinatari devono essere autenticati. I destinatari hanno quindi tutti i diritti di utilizzo, ad eccezione di Salva con nome , Esporta e Controllo completo. Questa combinazione di diritti di utilizzo significa che i destinatari non hanno restrizioni, ad eccezione del fatto che non possono rimuovere la protezione. Ad esempio, un destinatario può copiare dal messaggio di posta elettronica, stamparlo e inoltrarlo.

Analogamente, per impostazione predefinita, i documenti di Office non protetti allegati al messaggio di posta elettronica ereditano le stesse autorizzazioni. Questi documenti vengono protetti automaticamente e, quando vengono scaricati, possono essere salvati, modificati, copiati e stampati da app Office licazioni dai destinatari. Quando il documento viene salvato da un destinatario, può essere salvato in un nuovo nome e anche in un formato diverso. Tuttavia, solo i formati di file che supportano la protezione sono disponibili in modo che il documento non possa essere salvato senza la protezione originale. Se si desiderano diritti di utilizzo diversi per un allegato o l'allegato non è un documento di Office che supporta questa protezione ereditata, proteggere il file prima di allegarlo al messaggio di posta elettronica. È quindi possibile assegnare i diritti di utilizzo specifici necessari per il file.

In alternativa, è possibile modificare questa ereditarietà di protezione dei documenti specificando Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true con PowerShell di Exchange Online. Usare questa configurazione quando non è necessario conservare la protezione originale per il documento dopo l'autenticazione dell'utente. Quando i destinatari aprono il messaggio di posta elettronica, il documento non è protetto.

Se è necessario un documento allegato per conservare la protezione originale, vedere Proteggere la collaborazione dei documenti con Azure Information Protection.

Nota

Se vengono visualizzati riferimenti a DecryptAttachmentFromPortal, questo parametro è ora deprecato per Set-IRMConfiguration. A meno che questo parametro non sia stato impostato in precedenza, non è disponibile.

Crittografare automaticamente i documenti PDF con Exchange Online

Quando Exchange Online usa le nuove funzionalità per Office 365 Message Encryption, è possibile crittografare automaticamente i documenti PDF non protetti quando sono allegati a un messaggio di posta elettronica crittografato. Il documento eredita le stesse autorizzazioni di quelle per il messaggio di posta elettronica. Per abilitare questa configurazione, impostare EnablePdfEncryption $True con Set-IRMConfiguration.

I destinatari che non hanno già installato un lettore che supporta lo standard ISO per la crittografia PDF possono installare uno dei lettori elencati nei lettori PDF che supportano Microsoft Purview Information Protection. In alternativa, i destinatari possono leggere il documento PDF protetto nel portale OME.

Emittente di Rights Management e proprietario di Rights Management

Quando un documento o un messaggio di posta elettronica viene protetto tramite il servizio Azure Rights Management, l'account che protegge il contenuto diventa automaticamente l'emittente di Rights Management per il contenuto in questione. Questo account è registrato come campo issuer nei log di utilizzo.

All'emittente di Rights Management è sempre concesso il diritto di utilizzo Controllo completo per il documento o il messaggio di posta elettronica e inoltre:

  • Se le impostazioni di protezione includono una data di scadenza, l'emittente di Rights Management può comunque aprire e modificare il documento o il messaggio anche dopo tale data.

  • L'emittente di Rights Management può sempre accedere offline al documento o al messaggio di posta elettronica.

  • L'emittente di Rights Management può comunque aprire un documento anche dopo la sua revoca.

Per impostazione predefinita, questo account è anche il proprietario di Rights Management per il contenuto in questione. Questo è il caso in cui l'utente che ha creato il documento o il messaggio avvia la protezione. Esistono alcuni scenari in cui un amministratore o un servizio può proteggere il contenuto per conto degli utenti. Ad esempio:

  • Un amministratore protegge in blocco i file in una condivisione file: l'account amministratore in Microsoft Entra ID protegge i documenti per gli utenti.

  • Il connettore Rights Management protegge i documenti di Office in una cartella di Windows Server: l'account dell'entità servizio in Microsoft Entra ID creato per il connettore RMS protegge i documenti per gli utenti.

In questi scenari l'emittente di Rights Management può assegnare il ruolo proprietario di Rights Management a un altro account tramite gli SDK di Azure Information Protection o PowerShell. Ad esempio, quando si usa il cmdlet Protect-RMSFile di PowerShell con il client Azure Information Protection è possibile specificare il parametro OwnerEmail per assegnare il ruolo proprietario di Rights Management a un altro account.

Quando l'emittente di Rights Management applica la protezione per conto degli utenti, l'assegnazione del ruolo proprietario di Rights Management garantisce che il proprietario originale del documento o del messaggio di posta elettronica disponga dello stesso livello di controllo per il contenuto protetto come se avesse avviato la protezione.

Ad esempio, l'utente che ha creato il documento può stamparlo anche se ora risulta protetto con un modello che non include il diritto di utilizzo Stampa. Lo stesso utente potrà sempre accedere al documento, indipendentemente dall'impostazione per l'accesso offline o dalla data di scadenza configurata nel modello. Inoltre, poiché il proprietario di Rights Management dispone del diritto di utilizzo Controllo completo, l'utente può proteggere di nuovo il documento per consentire l'accesso ad altri utenti, nel qual caso l'utente diventa l'emittente di Rights Management nonché il proprietario di Rights Management, e può persino rimuovere la protezione. Tuttavia, solo l'emittente di Rights Management può tracciare e revocare un documento.

Il proprietario di Rights Management per un documento o un messaggio di posta elettronica è registrato come il campo owner-email nei log di utilizzo.

Nota

Il proprietario di Rights Management è indipendente dal proprietario del file system di Windows. Spesso coincidono, ma possono essere diversi, anche se non si usano gli SDK o PowerShell.

Licenza d'uso di Rights Management

Quando un utente apre un documento o un messaggio di posta elettronica protetto tramite Azure Rights Management, gli viene concessa una licenza d'uso di Rights Management per il contenuto. Questa licenza d'uso è un certificato che contiene i diritti di utilizzo dell'utente per il documento o il messaggio di posta elettronica e la chiave di crittografia usata per crittografare il documento. La licenza d'uso include anche una data di scadenza, se è stata impostata, e indica la durata di validità di tale licenza.

Un utente deve avere una licenza d'uso valida per aprire il contenuto oltre al certificato dell'account di diritti (RAC), ovvero un certificato concesso quando l'ambiente utente viene inizializzato e quindi rinnovato ogni 31 giorni.

Per la durata della licenza d'uso, l'utente non viene riautenticato o riautormente autorizzato per il contenuto. Ciò consente all'utente di continuare ad aprire il documento protetto o la posta elettronica senza una connessione Internet. Quando il periodo di validità della licenza d'uso scade, la volta successiva che l'utente accede al documento o al messaggio di posta elettronica protetto, l'utente deve essere riautenticato e riautorizzato.

Quando i documenti e i messaggi di posta elettronica vengono protetti tramite un'etichetta o un modello che definisce le impostazioni di protezione, è possibile modificare queste impostazioni nell'etichetta o nel modello senza dover proteggere di nuovo il contenuto. Se l'utente ha già eseguito l'accesso al contenuto, le modifiche diventano effettive dopo la scadenza della licenza d'uso. Tuttavia, quando gli utenti applicano autorizzazioni personalizzate, note anche come criteri per i diritti ad hoc, e tali autorizzazioni devono essere modificate dopo aver protetto il documento o il messaggio di posta elettronica, è necessario proteggere di nuovo il contenuto con le nuove autorizzazioni. Le autorizzazioni personalizzate per un messaggio di posta elettronica sono implementate con l'opzione Non inoltrare.

Il periodo di validità predefinito della licenza per un tenant è di 30 giorni ed è possibile configurare questo valore usando il cmdlet di PowerShell Set-AipServiceMaxUseLicenseValidityTime. È possibile configurare un'impostazione più restrittiva per quando viene applicata la protezione usando un'etichetta di riservatezza configurata per assegnare le autorizzazioni ora o un modello:

  • Quando si configura un'etichetta di riservatezza, il periodo di validità della licenza use accetta il relativo valore dall'impostazione Consenti accesso offline.

    Per altre informazioni e indicazioni su come configurare questa impostazione per un'etichetta di riservatezza, vedere la tabella delle raccomandazioni nelle istruzioni su come configurare le autorizzazioni ora per un'etichetta di riservatezza.

  • Quando si configura un modello usando PowerShell, il periodo di validità della licenza use accetta il valore del parametro LicenseValidityDuration nei cmdlet Set-AipServiceTemplateProperty e Add-AipServiceTemplate .

    Per altre informazioni e indicazioni su come configurare questa impostazione con PowerShell, vedere la Guida per ogni cmdlet.

Vedi anche