Estendere l'etichettatura di riservatezza in Windows

Il client Microsoft Purview Information Protection estende le etichette di riservatezza oltre le etichette integrate nelle app e nei servizi di Microsoft 365 e supporta una gamma più ampia di tipi di file.

Questo client viene eseguito solo in Windows e sostituisce il client di etichettatura unificata di Azure Information Protection (AIP). Ha i componenti seguenti:

Componente Descrizione
Scanner di protezione delle informazioni Usato per individuare, etichettare e crittografare i file in archivi dati, ad esempio condivisioni di rete e librerie di SharePoint Server.
Etichettatore file di protezione delle informazioni Usato per applicare le etichette di riservatezza e la crittografia usando Esplora file.
Visualizzatore di Information Protection Consente di visualizzare i file crittografati.
Modulo powershell di Microsoft Purview Information Protection Usato per regolare le etichette di riservatezza nei file e installare e configurare lo scanner di Microsoft Purview Information Protection.

Nessun componente aggiuntivo di Office con il client Microsoft Purview Information Protection perché questa funzionalità viene sostituita con etichette di riservatezza incorporate in Office.

Per le informazioni sulla versione più recenti e le sequenze temporali di supporto per ogni versione del client, vedere Client Microsoft Purview Information Protection - Gestione e supporto delle versioni.

Requisiti per la distribuzione del client di protezione delle informazioni

Per usare il client Microsoft Purview Information Protection, installare questo client nei computer Windows in cui si desidera usare i componenti client.

È inoltre necessario soddisfare i requisiti seguenti:

I sistemi operativi seguenti supportano il client Microsoft Purview Information Protection:

  • Windows 11
  • Windows 10 (x64) (la grafia non è supportata nella compilazione di Windows 10 RS4 e versioni successive).
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2 e Windows Server 2012

ARM64 non è supportato.

Installare o aggiornare il client di protezione delle informazioni

Se si installa il client Microsoft Purview Information in modo interattivo e viene rilevato il client di etichettatura unificata di Azure Information Protection (AIP), è possibile aggiornare il client precedente dopo aver riconosciuto che il componente aggiuntivo AIP per Office verrà rimosso.

Nota

Gli aggiornamenti tramite Microsoft Update Catalog o qualsiasi altra installazione non interattiva richiedono una configurazione della chiave del Registro di sistema se nel computer locale sono presenti versioni client di Azure Information Protection.

Sono disponibili due opzioni per l'installazione del client di protezione delle informazioni:

  • Installazione del client di protezione delle informazioni tramite il programma di installazione di.exe
  • Installazione del client di protezione delle informazioni tramite il programma di installazione di.msi

Se si aggiorna lo scanner di protezione delle informazioni, dal client di etichettatura unificata di Azure Information Protection (AIP) o da una versione precedente del client di protezione delle informazioni, vedere Aggiornare lo scanner Microsoft Purview Information Protection prima di usare queste istruzioni di installazione client.

Per installare il client information protection con il file .exe:

  1. Scaricare la versione eseguibile del client Microsoft Purview Information Protection dall'Area download Microsoft. Ad esempio, PurviewInfoProtection.exe.

    Importante

    Se è disponibile una versione di anteprima, usare tale versione solo per il test. Non è destinato agli utenti finali in un ambiente di produzione.

  2. Per un'installazione predefinita, eseguire semplicemente l'eseguibile. Per visualizzare tutte le opzioni di installazione, eseguire prima l'eseguibile con /help. Ad esempio:
    PurviewInfoProtection.exe **/help**

    1. Per installare in modo invisibile all'utente il client, eseguire:
      PurviewInfoProtection.exe /quiet
    2. Per installare in modo invisibile all'utente solo i cmdlet di PowerShell, eseguire:
      PurviewInfoProtection.exe PowerShellOnly=true /quiet

    Nota

    Per impostazione predefinita, l'opzione per inviare statistiche di utilizzo a Microsoft è abilitata. Per disabilitare questa opzione, assicurarsi di eseguire una delle operazioni seguenti:

    • Durante l'installazione specificare AllowTelemetry=0
    • Dopo l'installazione, aggiornare la chiave del Registro di sistema come segue: EnableTelemetry=0.
  3. Per completare l'installazione, riavviare tutte le istanze di Esplora file.

  4. Verificare che l'installazione sia stata completata correttamente controllando il file di log di installazione, creato nella cartella %temp% per impostazione predefinita.

    Il file di log di installazione ha il formato di denominazione seguente: Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

    Ad esempio: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

    Nel file di log cercare la stringa seguente: Product: Microsoft Purview Information Protection-- Installazione completata correttamente. Se l'installazione non è riuscita, questo file di log contiene i dettagli che consentono di identificare e risolvere eventuali problemi.

    Consiglio

    È possibile modificare il percorso del file di log di installazione con il parametro di installazione /log .

Percorsi dei file di registro

I file di log del client e dello scanner si trovano nei percorsi seguenti nel computer Windows:

  • \ProgramFiles (x86)\Microsoft Purview Information Protection (solo sistemi operativi a 64 bit)
  • \Programmi\Microsoft Purview Information Protection (solo sistemi operativi a 32 bit)
  • %localappdata%\Microsoft\MSIP

Lingue supportate

Il client di protezione delle informazioni supporta le stesse lingue supportate da Office 365. Per un elenco di queste lingue, vedere la pagina di disponibilità internazionale di Office.

Per queste lingue, le opzioni di menu, le finestre di dialogo e i messaggi del client Microsoft Purview Information Protection vengono visualizzati nella lingua dell'utente. È disponibile un singolo programma di installazione che rileva la lingua, quindi non è necessaria alcuna configurazione aggiuntiva per installare il client di protezione delle informazioni per lingue diverse.

Tuttavia, i nomi e le descrizioni delle etichette specificati non vengono tradotti automaticamente quando si configurano le etichette nel portale di amministrazione. Per consentire agli utenti di visualizzare le etichette nella lingua preferita, fornire traduzioni personalizzate e configurarle per le etichette usando PowerShell e il parametro LocaleSettings per Set-Label. Per altre informazioni, vedere Configurazione di esempio per configurare un'etichetta di riservatezza per lingue diverse.

Tipi di file supportati

Questa sezione elenca i tipi di file supportati dal client Microsoft Purview Information Protection. Per i tipi di file elencati, i percorsi WebDav non sono supportati.

Consiglio

Quando si crittografano i tipi di file che non dispongono del supporto predefinito per la crittografia e quindi si usa la crittografia generica, è consigliabile assegnare l'autorizzazione di comproprietario a questi file.

I tipi di file seguenti possono essere etichettati senza crittografia.

  • Formato documento portatile Adobe: .pdf

  • Microsoft Project: .mpp, .mpt

  • Microsoft Publisher: .pub

  • Microsoft XPS: .xps .oxps

  • Immagini: .jpg, jpe, .jpeg, jif, jfif, jfi. png, .tif, .tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Digital Negative: .dng

  • Microsoft Office: I tipi di file seguenti, inclusi i formati di file 97-2003 e i formati Office Open XML per Word, Excel e PowerPoint.

    Word Excel PowerPoint Visio
    .doc .xls .potm .vdw
    .docm .xlsb .potx .vsd
    .docx .xlst .pps .vsdm
    .dot .xlsm .ppsm .vsdx
    .doctm .xlsx .ppsx .Vss
    .dotx .xltm .vssm
    .xltx .vst
    .vstm
    .vssx
    .vstx

Cartelle e tipi di file esclusi

Per impedire agli utenti di modificare i file critici per le operazioni del computer, alcuni tipi di file e cartelle vengono esclusi automaticamente dalla classificazione e dall'etichettatura. Se gli utenti tentano di etichettare questi file usando il client di protezione delle informazioni, visualizzano un messaggio che informa che tali file sono esclusi.

Le cartelle seguenti sono escluse dalla classificazione e dall'etichettatura da parte del client di protezione delle informazioni:

  • Windows
  • Programmi (\Programmi e \Programmi (x86))
  • \ProgramData
  • \AppData (per tutti gli utenti)

Tipi di file che non possono essere crittografati per impostazione predefinita

Qualsiasi file protetto da password non può essere crittografato in modo nativo dal client a meno che il file non sia attualmente aperto nell'applicazione che applica la crittografia. Spesso vengono visualizzati file PDF protetti da password, ma anche altre applicazioni, ad esempio le app di Office, offrono questa funzionalità.

Tipi di file supportati per l'ispezione

Il client di protezione delle informazioni usa IFilter di Windows per esaminare il contenuto dei documenti. Windows IFilter viene usato da Windows Search per l'indicizzazione. Di conseguenza, è possibile controllare i tipi di file seguenti quando si usa il comando PowerShell Set-FileLabel -Autolabel .

Tipo di applicazione Tipo di file
Word .doc, .docx, docm, dot, dotx
Excel .xls, xlt, .xlsx, xlsm, xlsb
PowerPoint .ppt, .pps, pot, .pptx
PDF .pdf
Testo .txt, .xml, .csv

Analisi dei file .ZIP

È possibile usare lo scanner di protezione delle informazioni o il comando PowerShell Set-FileLabel per esaminare i file .zip.

Nota

Quando lo scanner di protezione delle informazioni è installato in un computer server Windows, è necessario installare anche Microsoft Office iFilter per analizzare i file .zip per individuare tipi di informazioni riservate. Per altre informazioni, vedere il sito di download Microsoft.

Dopo aver trovato informazioni riservate, se il file .zip deve essere etichettato e crittografato con un'etichetta, dalle istruzioni di distribuzione dello scanner specificare l'estensione del nome file .zip con l'impostazione avanzata PFileSupportedExtensions di PowerShell.

Scenario di esempio:

Un file denominato accounts.zip contiene fogli di calcolo di Excel con numeri di carta di credito. Si dispone di un'etichetta di riservatezza denominata Confidential \ Finance, configurata per individuare i numeri di carta di credito e applicare automaticamente l'etichetta con la crittografia che limita l'accesso al gruppo Finance.

Dopo aver esaminato il file, il client della sessione di PowerShell etichetta il file come Riservato \Finance. Il client applica quindi la crittografia generica al file in modo che solo i membri dei gruppi Finance possano decomprimerlo e rinomina il file accounts.zip.pfile.

Supporto per i computer disconnessi

Per impostazione predefinita, il client di protezione delle informazioni tenta automaticamente di connettersi a Internet per scaricare le etichette di riservatezza e le impostazioni dei criteri delle etichette di riservatezza da Microsoft Purview.

Se si dispone di computer che non possono connettersi a Internet per un certo periodo di tempo, è possibile esportare e copiare file che gestiscono manualmente i criteri per il client di protezione delle informazioni.

Per supportare i computer disconnessi dal client di protezione delle informazioni:

  1. Scegliere o creare un account utente in Microsoft Entra ID che verrà usato per scaricare le etichette e le impostazioni dei criteri da usare nel computer disconnesso.

  2. Come impostazione dei criteri di etichetta aggiuntiva per questo account, disattivare l'invio di dati di controllo a Microsoft Purview usando l'impostazione avanzata EnableAudit PowerShell con Set-LabelPolicy di Security & Compliance PowerShell.

    Questo passaggio è consigliabile perché se il computer disconnesso ha una connettività Internet periodica, invierà informazioni di registrazione a Microsoft Purview che includono il nome utente del passaggio 1. Tale account utente potrebbe essere diverso dall'account locale in uso nel computer disconnesso.

  3. Da un computer con connettività Internet in cui il client di protezione delle informazioni è installato e ha eseguito l'accesso con l'account utente dal passaggio 1, scaricare le etichette e le impostazioni dei criteri.

  4. Da questo computer esportare i file di log.

    Ad esempio, eseguire il cmdlet Export-DebugLogs oppure usare l'opzione Esporta log dalla finestra di dialogo Guida e feedback del client dall'etichetta file.

    I file di log vengono esportati come un singolo file compresso.

  5. Aprire il file compresso e dalla cartella MSIP copiare tutti i file con estensione .xml.

  6. Incollare questi file nella cartella %localappdata%\Microsoft\MSIP nel computer disconnesso.

  7. Se l'account utente scelto è in genere connesso a Internet, abilitare di nuovo l'invio dei dati di controllo impostando il valore EnableAudit su True.

Tenere presente che se un utente di questo computer seleziona l'opzione Reimposta impostazioni dalla Guida e dai commenti e suggerimenti nell'etichettatore di file, questa azione elimina i file dei criteri e lascia inutilizzabile il client fino a quando non si sostituiscono manualmente i file o il client si connette a Internet in modo che possa scaricare i file necessari.

Se il computer disconnesso esegue lo scanner di protezione delle informazioni, è necessario eseguire altri passaggi di configurazione. Per altre informazioni, vedere Restrizione: Il server scanner non può avere connettività Internet dalle istruzioni di distribuzione dello scanner.

Personalizzazioni supportate

Il client di protezione delle informazioni supporta le impostazioni avanzate di PowerShell e alcune impostazioni del Registro di sistema che potrebbero essere necessarie per scenari o utenti specifici.

Per le impostazioni avanzate di PowerShell supportate con New-Label o Set-Label e New-LabelPolicy o Set-LabelPolicy da Security & Compliance PowerShell, vedere Impostazioni avanzate per il client Microsoft Purview Information Protection.

Usare le sezioni seguenti per configurare il Registro di sistema per le personalizzazioni supportate.

Abilitare l'aggiornamento non interattivo dal client Azure Information Protection

Se si installa il client Microsoft Purview Information Protection e viene rilevato il client di etichettatura unificata di Azure Information Protection, un'installazione interattiva del client richiede di riconoscere che il componente aggiuntivo AIP per Office dal client precedente verrà rimosso.

Per usare un'installazione non interattiva per il client, ad esempio Microsoft Update Catalog, Criteri di gruppo o scripting, è necessario disinstallare prima il client Azure Information Protection oppure creare e configurare la chiave del Registro di sistema seguente per il computer locale:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)

Impostare il valore su 1 per consentire automaticamente l'aggiornamento e disinstallare il componente aggiuntivo di Office AIP; 0 blocca l'aggiornamento se è installato il client Azure Information Protection.

Modificare il livello di registrazione locale

Per impostazione predefinita, il client Purview Information Protection scrive i file di log client nella cartella %localappdata%\Microsoft\MSIP . Questi file sono progettati per la risoluzione dei problemi dal supporto tecnico Microsoft.

Per modificare il livello di registrazione per questi file, individuare il nome del valore seguente nel Registro di sistema e impostare i dati del valore sul livello di registrazione richiesto:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Impostare il livello di registrazione su uno dei valori seguenti:

  • Disattivato: nessuna registrazione locale.

  • Errore: solo errori.

  • Avviso: errori e avvisi.

  • Info: registrazione minima, che non include ID evento (impostazione predefinita per lo scanner).

  • Debug: informazioni complete.

  • Traccia: registrazione dettagliata (impostazione predefinita per i client).

Questa impostazione del Registro di sistema non modifica le informazioni inviate al controllo di Microsoft Purview.

Abilitare le impostazioni dei limiti dei dati

In seguito all'impegno di Microsoft nei confronti dei limiti dei dati dell'UE, i clienti dell'UE che usano il client Microsoft Purview Information Protection possono inviare i propri dati all'UE per essere archiviati ed elaborati.

Attivare questa funzionalità nel client di protezione delle informazioni modificando la chiave del Registro di sistema seguente che specifica il percorso in cui inviare gli eventi:

  • Chiave del Registro di sistema:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
  • Valori:
    • Default = 0
    • North_America = 1
    • European_Union = 2

Abilitare il browser predefinito del sistema per l'autenticazione

Usare il browser predefinito del sistema per l'autenticazione nel client Microsoft Purview Information Protection. Per impostazione predefinita, il client di protezione delle informazioni apre Microsoft Edge per l'autenticazione.

Attivare questa funzionalità nel client di protezione delle informazioni abilitando la chiave del Registro di sistema seguente:

  • Chiave del Registro di sistema:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
  • Valori:
    • Disabled = 0
    • Enabled = 1

Nascondere l'opzione di menu "Applica etichetta di riservatezza con Microsoft Purview" in Esplora file

Per nascondere l'opzione di menu Applica etichetta di riservatezza con Microsoft Purview in Esplora file, creare la chiave del Registro di sistema DWORD seguente con il nome del valore LegacyDisable e i dati dei valori:

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick

Come applicare etichette di riservatezza usando il client di protezione delle informazioni

Dopo aver installato il client Microsoft Purview Information Protection, è possibile applicare le etichette di riservatezza create e pubblicate usando:

Per visualizzare i documenti crittografati, vedere Visualizzare i file protetti con il visualizzatore Microsoft Purview Information Protection.