Attivazione del servizio di protezione da Azure Information Protection

Nota

Stai cercando Microsoft Information Protection? Il client di etichettatura unificata di Azure Information Protection è attualmente in modalità di manutenzione. È consigliabile abilitare l'etichettatura predefinita di Microsoft Information Protection per le applicazioni Office 365. Altre informazioni.

Questo articolo descrive come gli amministratori possono attivare il servizio di protezione Azure Rights Management per Azure Information Protection (AIP). Quando il servizio di protezione è attivato per l'organizzazione, gli amministratori e gli utenti possono iniziare a proteggere i dati importanti usando applicazioni e servizi che supportano questa soluzione di protezione delle informazioni. Gli amministratori possono anche gestire e monitorare i documenti protetti e i messaggi di posta elettronica di cui l'organizzazione è proprietaria.

Queste informazioni di configurazione contenute in questo articolo sono destinate agli amministratori responsabili di un servizio applicabile a tutti gli utenti di un'organizzazione. Se si cercano informazioni e informazioni sull'uso della funzionalità Rights Management per un'applicazione specifica o su come aprire un file o un messaggio di posta elettronica protetto da diritti, usare la Guida e le indicazioni fornite con l'applicazione.

Ad esempio, per Office applicazioni, fare clic sull'icona ? e immettere i termini di ricerca, ad esempio Rights Management o IRM. Per il client azure Information Protection per Windows, vedere il Manuale dell'utente del client Azure Information Protection.

Per il supporto tecnico e altre domande sul servizio, vedere opzioni di supporto e informazioni sulle risorse della community .

Attivazione automatica per Azure Rights Management

Quando si ha un piano di servizio che include Azure Rights Management, potrebbe non essere necessario attivare il servizio:

  • Se l'abbonamento che include Azure Rights Management o Azure Information Protection è stato ottenuto verso la fine di febbraio 2018 o versione successiva: il servizio viene attivato automaticamente. Non è necessario attivare il servizio a meno che l'utente o un altro amministratore globale dell'organizzazione non abbia disattivato Azure Rights Management.

  • Se l'abbonamento che include Azure Rights Management o Azure Information Protection è stato ottenuto prima o nel mese di febbraio 2018: Microsoft attiva il servizio Azure Rights Management per queste sottoscrizioni se il tenant usa Exchange Online. Per queste sottoscrizioni, il servizio verrà attivato automaticamente, a meno che non si veda che AutomaticServiceUpdateEnabled è impostato su false quando si esegue Get-IRMConfiguration.

Se nessuno degli scenari elencati è applicabile, è necessario attivare manualmente il servizio di protezione.

Quando il servizio è attivato, tutti gli utenti dell'organizzazione possono applicare la protezione delle informazioni ai propri documenti e messaggi di posta elettronica e tutti gli utenti possono aprire (utilizzare) documenti e messaggi di posta elettronica protetti dal servizio Azure Rights Management. Tuttavia, se si preferisce, è possibile limitare gli utenti autorizzati ad applicare la protezione delle informazioni usando i controlli di onboarding per una distribuzione a fasi. Per altre informazioni, vedere la sezione Configurazione dei controlli di onboarding per una distribuzione a fasi in questo articolo.

Come attivare o confermare lo stato del servizio di protezione

Importante

Non attivare il servizio di protezione se è stato distribuito Active Directory Rights Management Services (AD RMS) per l'organizzazione. Altre informazioni

Per usare questa soluzione di protezione dei dati, l'organizzazione deve avere un piano di servizio che include il servizio Azure Rights Management di Azure Information Protection. Senza questo, il servizio di protezione non può essere attivato. È necessario disporre di una delle opzioni seguenti:

Quando il servizio di protezione è attivato, tutti gli utenti dell'organizzazione possono applicare la protezione delle informazioni ai propri documenti e messaggi di posta elettronica e tutti gli utenti possono aprire (utilizzare) documenti e messaggi di posta elettronica protetti da questo servizio. Tuttavia, se si preferisce, è possibile limitare gli utenti autorizzati ad applicare la protezione delle informazioni usando i controlli di onboarding per una distribuzione a fasi. Per altre informazioni, vedere la sezione Configurazione dei controlli di onboarding per una distribuzione a fasi in questo articolo.

Attivare la protezione tramite PowerShell

Questa procedura descrive come attivare il servizio di protezione rights management (Azure RMS) con PowerShell.

  1. Installare il modulo AIPService per configurare e gestire il servizio di protezione. Per istruzioni, vedere Installazione del modulo AIPService PowerShell.

  2. Da una sessione di PowerShell eseguire Connessione-AipService e, quando richiesto, specificare i dettagli dell'account amministratore globale per il tenant di Azure Information Protection.

  3. Eseguire Get-AipService per verificare se il servizio di protezione è attivato. Lo stato Abilitato conferma l'attivazione; Disabilitato indica che il servizio è stato disattivato.

  4. Per attivare il servizio, eseguire Enable-AipService.

Attivare la protezione dal portale di Azure

Questa procedura descrive come attivare il servizio di protezione rights management (Azure RMS) dal portale di Azure.

  1. Vai a e accedi alla portale di Azure. Passare quindi al riquadro Information Protection di Azure.

    Ad esempio, nella casella di ricerca per risorse, servizi e documenti: Iniziare a digitare Informazioni e selezionare Azure Information Protection.

    Se non è ancora stato eseguito l'accesso al riquadro di Azure Information Protection, vedere i passaggi aggiuntivi una tantum per aggiungere questo riquadro al portale.

    Per aprire il riquadro di Azure Information Protection, è necessario disporre di un piano di Azure Information Protection Premium o di un piano di Office 365 che include Rights Management. Se si ha uno di questi abbonamenti ma viene visualizzato un messaggio che indica che non è possibile trovare un abbonamento valido, contattare supporto tecnico Microsoft o usare i canali di supporto standard.

  2. Individua le opzioni del menu Gestisci e seleziona Attivazione della protezione.

    Fare clic su Attiva e quindi confermare l'azione.

Al termine dell'attivazione, sulla barra delle informazioni viene visualizzato il messaggio Attivazione completata.

Configurazione dei controlli di onboarding per una distribuzione a fasi

Se non si vuole che tutti gli utenti siano in grado di proteggere documenti e messaggi di posta elettronica immediatamente con Azure Information Protection, è possibile configurare i controlli di onboarding degli utenti usando il comando PowerShell Set-AipServiceOnboardingControlPolicy. È possibile eseguire questo comando prima o dopo l'attivazione del servizio Azure Rights Management.

Ad esempio, se inizialmente si vuole che solo gli amministratori del gruppo "reparto IT" (che ha un ID oggetto fbb99ded-32a0-45f1-b038-38b519009503) siano in grado di proteggere il contenuto a scopo di test, usare il comando seguente:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False -SecurityGroupObjectId "fbb99ded-32a0-45f1-b038-38b519009503"

Si noti che per questa opzione di configurazione è necessario specificare un gruppo; non è possibile specificare singoli utenti. Per ottenere l'ID oggetto per il gruppo, è possibile usare Azure AD PowerShell, ad esempio per la versione 1.0 del modulo, usare il comando Get-MsolGroup. In alternativa, è possibile copiare il valore ID oggetto del gruppo dal portale di Azure.

In alternativa, se si vuole garantire che solo gli utenti con una licenza corretta per l'uso di Azure Information Protection possano proteggere il contenuto:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $True

Quando non hai più bisogno di usare i controlli di onboarding, sia che tu abbia usato il gruppo o l'opzione di licenza, esegui:

Set-AipServiceOnboardingControlPolicy -UseRmsUserLicense $False

Per altre informazioni su questo cmdlet e altri esempi, vedere la Guida di Set-AipServiceOnboardingControlPolicy .

Quando si usano questi controlli onboarding, tutti gli utenti dell'organizzazione possono sempre utilizzare contenuto protetto che è stato protetto dal sottoinsieme di utenti, ma non potranno applicare la protezione delle informazioni dalle applicazioni client. Ad esempio, non vedrà nelle app di Office i modelli di protezione predefiniti pubblicati automaticamente quando il servizio di protezione è attivato o i modelli personalizzati che è possibile configurare. Le applicazioni lato server, ad esempio Exchange, possono implementare controlli specifici per utente per ottenere lo stesso risultato. Ad esempio, per impedire agli utenti di proteggere i messaggi di posta elettronica in Outlook sul web, usare Set-OwaMailboxPolicy per impostare il parametro IRMEnabled su $false.

Passaggi successivi

Quando il servizio di protezione è attivato per l'organizzazione, usare la roadmap della distribuzione di Azure Information Protection per verificare se potrebbero essere necessari altri passaggi di configurazione prima di distribuire Azure Information Protection a utenti e amministratori.

Ad esempio, è consigliabile usare i modelli per semplificare l'applicazione della protezione ai file da parte degli utenti, connettere i server locali per usare il servizio di protezione installando il connettore Rights Management e distribuire il client Azure Information Protection che supporta la protezione di tutti i tipi di file in tutti i dispositivi.

Office servizi, ad esempio Exchange Online e Microsoft SharePoint richiedono una configurazione aggiuntiva prima di poter usare le relative caratteristiche Information Rights Management (IRM). Per informazioni sul funzionamento delle applicazioni con il servizio di protezione, Azure Rights Management, vedere Come le applicazioni supportano il servizio Azure Rights Management.