Domande frequenti sulla protezione dati in Azure Information Protection
In caso di domande relative al servizio di protezione dati, Azure Rights Management, da Azure Information Protection, vedere se la risposta è disponibile qui.
I file devono trovarsi nel cloud per essere protetti da Azure Rights Management?
No, questo è un malinteso comune. Il servizio Azure Rights Management e Microsoft non vedono e non archiviano i dati come parte del processo di protezione delle informazioni. Le informazioni protette non vengono mai inviate o archiviate in Azure, a meno che non si archivino in Azure in modo esplicito o si usi un altro servizio cloud che le archivia in Azure.
Per altre informazioni, vedere Funzionamento di Azure RMS In background per comprendere in che modo una formula segreta cola creata e archiviata in locale è protetta dal servizio Azure Rights Management, ma rimane in locale.
Qual è la differenza tra crittografia e crittografia di Azure Rights Management in altri servizi cloud Microsoft?
Microsoft offre varie tecnologie di crittografia che consentono di proteggere i dati per scenari differenti e spesso complementari. Ad esempio, mentre Microsoft 365 offre la crittografia dei dati inattivi archiviati in Microsoft 365, il servizio Azure Rights Management di Azure Information Protection crittografa in modo indipendente i dati in modo che sia protetto indipendentemente dalla posizione o dalla modalità di trasmissione.
Queste tecnologie di crittografia sono complementari e per usarle è necessario abilitarle e configurarle in modo indipendente. In questo caso, potrebbe essere possibile usare la propria chiave per la crittografia, uno scenario noto anche come "BYOK". L'abilitazione della modalità BYOK per una di queste tecnologie non influisce sugli altri. Ad esempio, è possibile usare la modalità BYOK di Azure Information Protection e non usare la modalità BYOK per altre tecnologie di crittografia e viceversa. Le chiavi utilizzate da queste tecnologie diverse potrebbero essere uguali o diverse, a seconda della modalità di configurazione delle opzioni di crittografia per ogni servizio.
Attualmente è possibile usare BYOK con Exchange Online?
Sì, è ora possibile usare BYOK con Exchange Online quando si seguono le istruzioni riportate in Configurare le nuove funzionalità di Crittografia messaggi di Microsoft 365 basate su Azure Information Protection. Queste istruzioni abilitano le nuove funzionalità di Exchange Online che supportano l'uso della modalità BYOK per Azure Information Protection, nonché la nuova crittografia Office 365.
Per altre informazioni su questa modifica, vedere l'annuncio sul blog Office 365 Message Encryption with the new capabilities (La crittografia Office 365 con le nuove funzionalità)
Esiste un Management Pack o un meccanismo di monitoraggio simile per il connettore RMS?
Anche se il connettore Rights Management registra informazioni, avvisi e messaggi di errore nel registro eventi, non esiste un Management Pack che include il monitoraggio per questi eventi. Tuttavia, l'elenco degli eventi e le relative descrizioni, con altre informazioni utili per intraprendere azioni correttive è documentato in Monitorare il connettore Microsoft Rights Management.
Come si crea un nuovo modello personalizzato nel portale di Azure?
I modelli personalizzati sono stati spostati nel portale di Azure dove è possibile continuare a gestirli come modelli o convertirli in etichette. Per creare un nuovo modello, creare una nuova etichetta e configurare le impostazioni di protezione dati per Azure RMS. Dietro le quinte viene creato un nuovo modello a cui possono accedere servizi e applicazioni che si integrano con i modelli di Rights Management.
Per altre informazioni sui modelli nel portale di Azure, vedere Configurazione e gestione dei modelli per Azure Information Protection.
È stato protetto un documento e si decide di modificare i diritti di utilizzo o aggiungere utenti: è necessario proteggere nuovamente il documento?
Se il documento è stato protetto usando un'etichetta o un modello, non è necessario proteggerlo nuovamente. Modificare l'etichetta o il modello apportando le modifiche ai diritti di utilizzo o aggiungendo nuovi gruppi (o utenti) e quindi salvare queste modifiche:
Se un utente non ha avuto accesso al documento prima che venissero apportate le modifiche, le modifiche diventano effettive non appena l'utente apre il documento.
Se un utente ha già avuto accesso al documento, le modifiche diventano effettive dopo la scadenza della sua licenza d'uso. Proteggere nuovamente il documento solo se non è possibile attendere la scadenza della licenza d'uso. Proteggendo nuovamente il documento ne viene creata una nuova versione e pertanto una nuova licenza d'uso per l'utente.
In alternativa, se è già stato configurato un gruppo con le autorizzazioni necessarie, è possibile modificare l'appartenenza al gruppo per includere o escludere utenti e non è necessario modificare l'etichetta o il modello. Potrebbe verificarsi un piccolo ritardo prima che le modifiche abbiano effetto, poiché l'appartenenza al gruppo viene memorizzata nella cache dal servizio Azure Rights Management.
Se il documento è stato protetto usando autorizzazioni personalizzate, è possibile modificare le autorizzazioni per il documento esistente. È necessario proteggere di nuovo il documento e specificare tutti gli utenti e tutti i diritti di utilizzo che sono necessari per questa nuova versione del documento. Per proteggere nuovamente un documento protetto, è necessario possedere il diritto di utilizzo Controllo completo.
Suggerimento: per verificare se un documento è stato protetto da un modello o tramite l'autorizzazione personalizzata, usare il cmdlet PowerShell Get-AIPFileStatus . Per le autorizzazioni personalizzate è sempre presente la descrizione Accesso limitato con un ID modello univoco che non viene visualizzato quando si esegue Get-RMSTemplate.
Si ha una distribuzione ibrida di Exchange con alcuni utenti su Exchange Online e altri su Exchange Server: questa configurazione è supportata da Azure RMS?
Assolutamente, e la cosa interessante è, gli utenti sono in grado di proteggere e utilizzare facilmente messaggi di posta elettronica e allegati protetti tra le due distribuzioni di Exchange. Per questa configurazione attivare Azure RMS e abilitare IRM per Exchange Online, quindi distribuire e configurare il connettore RMS per Exchange Server.
Se si usa questo tipo di protezione per l'ambiente di produzione, l'azienda è bloccata in questa soluzione o rischia di perdere l'accesso ai contenuti protetti con Azure RMS?
No, si mantiene sempre il controllo dei dati e si può continuare ad accedervi, anche se si decide di non usare più il servizio Azure Rights Management. Per altre informazioni, vedere Rimozione delle autorizzazioni e disattivazione della protezione per Azure Information Protection.
È possibile controllare quali utenti possono usare Azure RMS per proteggere i contenuti?
Sì, il servizio Azure Rights Management include controlli di onboarding degli utenti per questo scenario. Per altre informazioni, vedere la sezione Configurazione dei controlli di onboarding per una distribuzione in più fasi nell'articolo Attivazione del servizio di protezione da Azure Information Protection .
È possibile impedire agli utenti di condividere documenti protetti con organizzazioni specifiche?
Uno dei principali vantaggi dell'uso del servizio Azure Rights Management per la protezione dei dati è che supporta la collaborazione business-to-business senza dover configurare trust espliciti per ogni organizzazione partner, perché Microsoft Entra ID si occupa dell'autenticazione per l'utente.
Non sono disponibili opzioni di amministrazione per impedire agli utenti di condividere i documenti in modo sicuro con organizzazioni specifiche. Ad esempio, si vuole bloccare un'organizzazione che non si considera attendibile o che dispone di un'azienda concorrente. Impedire al servizio Azure Rights Management di inviare documenti protetti agli utenti di queste organizzazioni non avrebbe senso perché gli utenti condividerebbero quindi i documenti non protetti, probabilmente l'ultima cosa che si vuole eseguire in questo scenario. Ad esempio, non sarà possibile identificare chi condivide documenti riservati dell'azienda con i quali gli utenti di queste organizzazioni, che è possibile eseguire quando il documento (o il messaggio di posta elettronica) è protetto dal servizio Azure Rights Management.
Quando si condivide un documento protetto con qualcuno all'esterno dell'azienda, come viene autenticato questo utente?
Per impostazione predefinita, il servizio Azure Rights Management usa un account Microsoft Entra e un indirizzo di posta elettronica associato per l'autenticazione utente, che rende la collaborazione business-to-business senza problemi per gli amministratori. Se l'altra organizzazione usa i servizi di Azure, gli utenti hanno già account in Microsoft Entra ID, anche se questi account vengono creati e gestiti in locale e quindi sincronizzati con Azure. Se l'organizzazione ha Microsoft 365, sotto le quinte, questo servizio usa anche l'ID Microsoft Entra per gli account utente. Se l'organizzazione dell'utente non dispone di account gestiti in Azure, gli utenti possono iscriversi a RMS per utenti singoli, che crea un tenant e una directory di Azure non gestiti per l'organizzazione con un account per l'utente, in modo che questo utente (e gli utenti successivi) possa essere autenticato per il servizio Azure Rights Management.
Il metodo di autenticazione per questi account può variare, a seconda del modo in cui l'amministratore dell'altra organizzazione ha configurato gli account Microsoft Entra. Ad esempio, potrebbero usare le password create per questi account, la federazione o le password create nei servizi di Dominio di Active Directory e quindi sincronizzate con Microsoft Entra ID.
Altri metodi di autenticazione:
Se si protegge un messaggio di posta elettronica con un allegato di documento di Office a un utente che non dispone di un account in Microsoft Entra ID, il metodo di autenticazione cambia. Il servizio Azure Rights Management è federato con alcuni provider di identità di social networking diffusi, ad esempio Gmail. Se il provider di posta elettronica dell'utente è supportato, l'utente può accedere al servizio e il suo provider di posta elettronica è responsabile della sua autenticazione. Se il provider di posta elettronica dell'utente non è supportato, o è supportato ma si preferisce quest'altra soluzione, l'utente può richiedere un passcode monouso per la propria autenticazione e visualizzare il messaggio di posta elettronica con il documento protetto in un Web browser.
Azure Information Protection può usare gli account Microsoft per le applicazioni supportate. Attualmente, non tutte le applicazioni possono aprire contenuto protetto quando viene usato un account Microsoft per l'autenticazione. Ulteriori informazioni
È possibile aggiungere utenti esterni, ovvero persone esterne all'azienda, ai modelli personalizzati?
Sì. Le impostazioni di protezione che è possibile configurare nel portale di Azure consentono di aggiungere autorizzazioni per utenti e gruppi esterni all'organizzazione e anche tutti gli utenti di un'altra organizzazione. Potrebbe essere utile fare riferimento all'esempio dettagliato secure document collaboration usando Azure Information Protection.
Si noti che se si dispone di etichette di Azure Information Protection, è necessario convertire il modello personalizzato in un'etichetta prima di poter configurare queste impostazioni di protezione nel portale di Azure. Per altre informazioni, vedere Configurazione e gestione dei modelli per Azure Information Protection.
In alternativa è possibile aggiungere utenti esterni a modelli personalizzati ed etichette tramite PowerShell. In questa configurazione è necessario usare un oggetto di definizione dei diritti che consenta di aggiornare il modello:
Specificare gli indirizzi di posta elettronica esterni e i relativi diritti in un oggetto di definizione dei diritti usando il cmdlet New-AipServiceRightsDefinition per creare una variabile.
Fornire questa variabile al parametro RightsDefinition con il cmdlet Set-AipServiceTemplateProperty .
Quando si aggiungono utenti a un modello esistente, è necessario definire gli oggetti di definizione dei diritti per gli utenti esistenti nei modelli, oltre ai nuovi utenti. Per questo scenario potrebbe risultare utile l'esempio 3: aggiungere nuovi utenti e diritti a un modello personalizzato della sezione relativa agli esempi del cmdlet.
Quali tipi di gruppo è possibile usare con Azure RMS?
Per la maggior parte degli scenari, è possibile usare qualsiasi tipo di gruppo in Microsoft Entra ID con un indirizzo di posta elettronica. Questa regola empirica vale sempre quando si assegnano diritti di utilizzo, ma esistono alcune eccezioni per l'amministrazione del servizio Azure Rights Management. Per altre informazioni, vedere Requisiti di Azure Information Protection per gli account di gruppo.
Come si invia un messaggio di posta elettronica protetto a un account Gmail o Hotmail?
Quando si usa Exchange Online e il servizio Azure Rights Management, si invia semplicemente il messaggio di posta elettronica all'utente come messaggio protetto. Ad esempio, è possibile selezionare il nuovo pulsante Proteggi nella barra dei comandi di Outlook sul Web, usare il pulsante o l'opzione di Outlook Non inoltrare. In alternativa è possibile selezionare un'etichetta di Azure Information Protection che applica automaticamente l'opzione Non inoltrare e classifica il messaggio di posta elettronica.
Il destinatario visualizza un'opzione per accedere al proprio account Gmail, Yahoo o Microsoft e quindi può leggere il messaggio di posta elettronica protetto. In alternativa si può scegliere l'opzione di un passcode monouso per leggere il messaggio di posta elettronica in un browser.
Per supportare questo scenario, Exchange Online deve essere abilitato per il servizio Azure Rights Management e le nuove funzionalità di crittografia Office 365. Per altre informazioni su questa configurazione, vedere Exchange Online: configurazione di IRM.
Per altre informazioni sulle nuove funzionalità che includono il supporto di tutti gli account di posta elettronica in tutti i dispositivi, vedere il seguente post di blog: Announcing new capabilities available in Office 365 Message Encryption (Annuncio di nuove funzionalità di crittografia Office 365).
Quali dispositivi e quali tipi di file sono supportati da Azure RMS?
Il servizio Azure Rights Management può supportare tutti i tipi di file. Per i file di testo, immagini, Microsoft Office (Word, Excel, PowerPoint), PDF e quelli di altri tipi di applicazione, Azure Rights Management offre la protezione nativa che include crittografia e applicazione dei diritti (autorizzazioni). Per tutte le altre applicazioni e tipi di file, la protezione generica fornisce l'incapsulamento e l'autenticazione del file per verificare se un utente è autorizzato ad aprirlo.
Per un elenco delle estensioni di file supportate in modo nativo da Azure Rights Management, vedere Tipi di file supportati dal client Azure Information Protection. Le estensioni di file non elencate sono supportate tramite il client Azure Information Protection che applica automaticamente la protezione generica a tali file.
Quando si apre un documento Office protetto da RMS, anche il file temporaneo associato diventa protetto con RMS?
No. In questo scenario, il file temporaneo associato non contiene dati del documento originale, ma solo quello immesso dall'utente mentre il file è aperto. A differenza del file originale, il file temporaneo ovviamente non è progettato per la condivisione e rimarrà disponibile nel dispositivo, protetto dai controlli di sicurezza locale, ad esempio BitLocker ed EFS.
Una funzionalità che sto cercando non sembra funzionare con le librerie protette di SharePoint: è previsto il supporto per la funzionalità?
Attualmente, Microsoft SharePoint supporta documenti protetti da RMS usando le raccolte protette da IRM, che non supportano i modelli di Rights Management, il rilevamento dei documenti e altre funzionalità. Per altre informazioni, vedere la sezione SharePoint in Microsoft 365 e SharePoint Server nell'articolo app Office licazioni e servizi.
Se si è interessati a una funzionalità specifica che non è ancora supportata, tenere d'occhio gli annunci del blog su Enterprise Mobility e la sicurezza.
Ricerca per categorie configurare One Drive in SharePoint, in modo che gli utenti possano condividere in modo sicuro i propri file con persone all'interno e all'esterno dell'azienda?
Per impostazione predefinita, come amministratore di Microsoft 365, non è possibile configurare questo comportamento; gli utenti lo fanno.
Proprio come un amministratore del sito di SharePoint abilita e configura IRM per una raccolta di SharePoint di cui sono proprietari, OneDrive è progettato per consentire agli utenti di abilitare e configurare IRM per la propria raccolta di OneDrive. Tuttavia un amministratore può farlo per gli utenti usando PowerShell. Per istruzioni, vedere SharePoint in Microsoft 365 e OneDrive: Configurazione IRM.
Ci sono suggerimenti o trucchi per una distribuzione corretta?
Dall'esperienza acquisita supervisionando molte distribuzioni e ascoltando molti clienti, partner, consulenti e tecnici, uno dei principali suggerimenti che ne derivano è quello di progettare e distribuire criteri semplici.
Poiché Azure Information Protection supporta la condivisione in modo sicuro con altri utenti, è possibile ambire a livelli di protezione dati molto elevati. Tuttavia, è necessario essere cauti nella configurazione delle restrizioni ai diritti di utilizzo. Per molte organizzazioni l'impatto maggiore sull'attività deriva dal prevenire la perdita di dati limitando l'accesso alle persone nell'organizzazione. Naturalmente, è possibile ottenere molto più granulare di quello se è necessario , impedire agli utenti di stampare, modificare e così via. Tuttavia, mantenere le restrizioni più granulari come eccezione per i documenti che richiedono una sicurezza di alto livello e non implementare questi diritti di utilizzo più restrittivi al giorno uno, ma pianificare un approccio più graduale.
Come si riottiene l'accesso ai file che sono stati protetti da un dipendente che ora ha lasciato l'organizzazione?
Usare la funzionalità relativa agli utenti con privilegi avanzati, che garantisce i diritti di utilizzo Controllo completo agli utenti autorizzati per tutti i documenti e messaggi di posta elettronica che sono protetti dal tenant. Gli utenti con privilegi avanzati possono sempre leggere questo contenuto protetto e, se necessario, rimuovere la protezione o riproteggerla per utenti diversi. Questa stessa funzionalità consente ai servizi autorizzati di indicizzare e analizzare i file, in base alle esigenze.
Se il contenuto viene archiviato in SharePoint o OneDrive, gli amministratori possono eseguire il cmdlet Unlock-SensitivityLabelEncryptedFile per rimuovere sia l'etichetta di riservatezza che la crittografia. Per altre informazioni, vedere la documentazione di Microsoft 365.
Rights Management può impedire le catture di schermata?
Non concedendo il diritto di utilizzo della copia, Rights Management può impedire l'acquisizione di schermate da molti degli strumenti di acquisizione dello schermo comunemente usati nelle piattaforme Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile e Windows 11). Tuttavia, i dispositivi iOS, Mac e Android non consentono ad alcuna app di impedire l'acquisizione dello schermo. Inoltre, i browser in qualsiasi dispositivo non possono impedire l'acquisizione dello schermo. L'uso del browser include Outlook sul web e Office per il web.
Nota
A questo punto l'implementazione nel canale corrente (anteprima): in Office per Mac, Word, Excel e PowerPoint (ma non in Outlook) ora supportano il diritto di utilizzo di Rights Management per impedire l'acquisizione di schermate.
Impedire l'acquisizione di schermate consente di evitare la diffusione accidentale o non appropriata di informazioni riservate o sensibili. Esistono tuttavia molti modi in cui un utente può condividere i dati visualizzati su una schermata e acquisire uno screenshot è un solo metodo. Ad esempio, un utente che desidera condividere informazioni visualizzate può scattare una foto usando la fotocamera del telefono, digitare nuovamente i dati o semplicemente comunicarli verbalmente a qualcuno.
Come illustrano in questi esempi, anche se tutte le piattaforme e tutto il software supportassero le API di Rights Management per bloccare l'acquisizione di schermate, la sola tecnologia non può impedire sempre agli utenti di condividere dati che non dovrebbero. Rights Management può contribuire a salvaguardare i dati importanti tramite autorizzazioni e criteri di utilizzo, ma questa soluzione enterprise Rights Management deve essere usata con altri controlli. Ad esempio, implementare la sicurezza fisica, selezionare e monitorare con cura gli utenti che sono autorizzati all'accesso ai dati dell'organizzazione e investire nella formazione degli utenti in modo che sappiano quali dati non devono essere condivisi.
Qual è la differenza tra un utente che protegge un messaggio di posta elettronica con Non inoltrare e un modello che non include il diritto Inoltra?
Nonostante il nome, Non inoltrare non è l'opposto del diritto Inoltra o un modello. Si tratta in realtà di un set di diritti che includono la limitazione della copia, della stampa e del salvataggio del messaggio di posta elettronica all'esterno della cassetta postale, oltre a limitare l'inoltro dei messaggi di posta elettronica. I diritti sono applicati dinamicamente agli utenti tramite i destinatari scelti e non assegnati staticamente dall'amministratore. Per altre informazioni, vedere la sezione Non inoltrare i messaggi di posta elettronica in Configurazione dei diritti di utilizzo per Azure Information Protection.
Qual è la differenza tra l'istanza del cluster di failover di Windows Server e lo scanner di Azure Information Protection?
L'infrastruttura di classificazione file di Windows Server è stata storicamente un'opzione per classificare i documenti e proteggerli usando il connettore Rights Management (solo documenti di Office) o uno script di PowerShell (tutti i tipi di file).
È ora consigliabile usare lo scanner di Azure Information Protection. Lo scanner usa il client Azure Information Protection e i criteri di Azure Information Protection per etichettare i documenti (tutti i tipi di file) in modo che questi documenti vengano quindi classificati e, facoltativamente, protetti.
Le principali differenze tra queste due soluzioni:
Istanza del cluster di failover di Windows Server | Strumento di analisi di Azure Information Protection | |
---|---|---|
Archivi dati supportati | Cartelle locali in Windows Server | - Condivisioni file di Windows e archiviazione collegata alla rete - SharePoint Server 2016 e SharePoint Server 2013. SharePoint Server 2010 è supportato anche per i clienti che hanno esteso il supporto per questa versione di SharePoint. |
Modalità operativa | Motore | Esegue sistematicamente la ricerca per indicizzazione degli archivi dati una volta o più volte |
Tipi di file supportati | - Tutti i tipi di file sono protetti per impostazione predefinita - I tipi di file specifici possono essere esclusi dalla protezione modificando il Registro di sistema |
Supporto per i tipi di file: - I tipi di file di Office e i documenti PDF sono protetti per impostazione predefinita - È possibile includere altri tipi di file per la protezione modificando il Registro di sistema |