Come configurare i criteri di Azure Information Protection per utenti specifici attraverso criteri con ambito

  • Articolo

Quando i criteri di Azure Information Protection vengono scaricati nei computer in cui è installato il client di Azure Information Protection, a tutti gli utenti vengono applicate le impostazioni e le etichette dei criteri predefiniti o le modifiche configurate per i criteri globali. Se si vuole integrare questa configurazione per utenti specifici, con impostazioni e etichette diverse, è necessario creare criteri con ambito configurati per tali utenti.

Funzionamento dei criteri con ambito

Per le applicazioni che supportano il client di Azure Information Protection, tutti gli utenti ricevono i criteri globali, che contengono titolo della barra, descrizione comando, impostazioni globali ed etichette globali di Information Protection. Se sono stati configurati criteri con ambito per utenti specifici, tali utenti riceveranno le impostazioni e le etichette aggiuntive.

Si noti che oltre alle applicazioni desktop di Office che supportano il client di Azure Information Protection, le etichette sono supportate anche con PowerShell e lo scanner di Azure Information Protection. Ciò significa che è possibile creare e configurare criteri con ambito per gli account che eseguono i comandi di PowerShell o lo scanner.

I criteri con ambito, analogamente alle etichette, vengono ordinati nel portale di Azure. Se un utente è configurato per più ambiti, viene calcolato un criterio valido per tale utente prima del download. In base all'ordine dei criteri, viene applicata l'ultima impostazione dei criteri. Le etichette visualizzate dall'utente fanno parte dei criteri globali, mentre tutte le etichette aggiuntive fanno parte dei criteri con ambito a cui l'utente appartiene.

L'eccezione è quando un utente dal tenant apre un documento o un messaggio di posta elettronica etichettato e tale utente non è incluso nell'ambito dell'etichetta. In questo scenario, l'utente vede il nome dell'etichetta impostata, ma l'etichetta non viene visualizzata come disponibile per la selezione.

Poiché un criterio con ambito eredita sempre le etichette e le impostazioni dai criteri globali, tali etichette vengono visualizzate quando si crea o si modifica un criterio con ambito. Tuttavia, non è possibile modificare le etichette dei criteri globali quando si modifica un criterio con ambito, ma è comunque possibile aggiungere etichette secondarie a queste etichette ereditate.

Ad esempio, se si ha un'etichetta denominata Confidential (Confidenziale) nei criteri globali, l'etichetta sarà visibile a tutti gli utenti. Non è possibile rimuovere né riordinare le etichette con un criterio con ambito. È possibile tuttavia creare un criterio con ambito per il reparto Marketing che aggiunga una nuova etichetta secondaria a Confidential (Confidenziale), in modo che tali utenti visualizzino Confidential \ Promotions (Confidenziale \ Promozioni). Viene creato anche un altro criterio con ambito per il reparto Vendite, il quale aggiunge una nuova etichetta secondaria a Confidential (Confidenziale), in modo che gli utenti visualizzino Confidential \ Partners (Confidenziale \ Partner). Ogni etichetta secondaria può quindi essere configurata per diverse impostazioni ed è visibile solo agli utenti dei rispettivi reparti.

Configurare un criterio con ambito

  1. Aprire una nuova finestra del browser e accedere al portale di Azure, se questa operazione non è già stata eseguita. Quindi passare al riquadro Azure Information Protection.

    Ad esempio, nella casella di ricerca di risorse, servizi e documentazione: iniziare a digitare Informazioni e selezionare Azure Information Protection.

  2. Nell'opzionedi menuCriteri classificazioni>: nel riquadro Criteri di Azure Information Protection - Criteri selezionare Aggiungi un nuovo criterio. Viene quindi visualizzato il riquadro Criteri che visualizza i criteri globali esistenti, in cui è ora possibile configurare i nuovi criteri con ambito.

  3. Specificare un nome e una descrizione per il criterio visibile solo agli amministratori nel portale di Azure. ll nome deve essere univoco nel tenant. Selezionare Quindi Specificare quali utenti/gruppi ottengono questo criterio e nei riquadri successivi è possibile cercare e selezionare gli utenti e i gruppi per questo criterio. Le etichette e le impostazioni configurate in questo criterio con ambito verranno applicate solo a tali utenti.

    Per motivi di prestazioni, l'appartenenza ai gruppi per i criteri con ambito viene memorizzata nella cache.

    Nota

    Selezionare fino a 200 utenti o gruppi. Se sono necessari più di 200 utenti per ottenere i criteri con ambito, creare un nuovo gruppo, aggiungere utenti pertinenti al gruppo e quindi impostare l'ambito dei criteri sul nuovo gruppo.

  4. A questo punto aggiungere nuove etichette o configurare le impostazioni dei criteri con ambito. I criteri globali vengono sempre applicati per primi, pertanto è possibile integrare i criteri globali con nuove etichette ed eseguire l'override delle impostazioni globali. Ad esempio, i criteri globali potrebbero non avere alcuna etichetta predefinita specificata ed è possibile configurare un'etichetta predefinita diversa in criteri con ambito diversi per reparti specifici.

    Se è necessaria assistenza per la configurazione delle etichette o delle impostazioni, usare i collegamenti nella sezione Configurazione dei criteri dell'organizzazione .

  5. Come quando si modificano i criteri globali, quando si apportano modifiche in un riquadro di Information Protection di Azure, fare clic su Salva per salvare le modifiche oppure fare clic su Elimina per ripristinare le ultime impostazioni salvate.

  6. Al termine dell'esecuzione delle modifiche desiderate per questo criterio con ambito, nel riquadro iniziale di Azure Information Protection - Criteri assicurarsi che questo criterio con ambito sia nell'ordine desiderato applicato. Si tratta di un aspetto importante quando si seleziona lo stesso utente per più criteri con ambito. Per modificare l'ordine, selezionare il menu di scelta rapida (...) e scegliere Sposta su o Sposta giù.

Il client di Azure Information Protection ricerca eventuali modifiche ogni volta che viene avviata un'applicazione di Office supportata o viene aperto Esplora file. Il client scarica le eventuali modifiche dei criteri globali o dei criteri con ambito applicabili a tale utente.

Passaggi successivi

Per un esempio su come personalizzare i criteri predefiniti e osservare il comportamento risultante in un'applicazione di Office, seguire l'esercitazione Modificare i criteri e creare una nuova etichetta.