Guida dell'amministratore: Configurazioni personalizzate per il client Azure Information ProtectionAdmin Guide: Custom configurations for the Azure Information Protection client

Si applica a: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, windows server 2019, windows server 2016, windows Server 2012 R2, windows Server 2012Applies to: Active Directory Rights Management Services, Azure Information Protection, Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Istruzioni per: client di Azure Information Protection per WindowsInstructions for: Azure Information Protection client for Windows

Usare le informazioni seguenti per le configurazioni avanzate che possono essere necessarie per scenari specifici o per un subset di utenti quando si gestisce il client di Azure Information Protection.Use the following information for advanced configurations that you might need for specific scenarios or a subset of users when you manage the Azure Information Protection client.

Alcune di queste impostazioni richiedono la modifica del Registro di sistema e alcune usano impostazioni avanzate che è necessario configurare nel Portale di Azure e quindi pubblicare perché i client possano scaricarle.Some of these settings require editing the registry and some use advanced settings that you must configure in the Azure portal, and then publish for clients to download.

Come configurare le impostazioni avanzate di configurazione del client nel portaleHow to configure advanced client configuration settings in the portal

  1. Se non è ancora stato fatto, in una nuova finestra del browser accedere alla portale di Azure, quindi passare al riquadro Azure Information Protection .If you haven't already done so, in a new browser window, sign in to the Azure portal, and then navigate to the Azure Information Protection pane.

  2. Dall'opzione di menu Classificazioni > Etichette: selezionare Criteri.From the Classifications > Labels menu option: Select Policies.

  3. Nel riquadro Azure Information Protection-criteri selezionare il menu di scelta rapida ( ... ) accanto al criterio per contenere le impostazioni avanzate.On the Azure Information Protection - Policies pane, select the context menu (...) next to the policy to contain the advanced settings. Selezionare quindi Impostazioni avanzate.Then select Advanced settings.

    È possibile configurare le impostazioni avanzate per i criteri globali e per i criteri con ambito.You can configure advanced settings for the Global policy, as well as for scoped policies.

  4. Nel riquadro Impostazioni avanzate Digitare il nome e il valore dell'impostazione avanzata e quindi selezionare Salva e Chiudi.On the Advanced settings pane, type the advanced setting name and value, and then select Save and close.

  5. Assicurarsi che gli utenti interessati da questi criteri riavviino le applicazioni di Office eventualmente aperte.Make sure that users for this policy restart any Office applications that they had open.

  6. Se l'impostazione non è più necessaria e si desidera ripristinare il comportamento predefinito: nel riquadro Impostazioni avanzate selezionare il menu di scelta rapida ( ... ) accanto all'impostazione non più necessaria, quindi selezionare Elimina.If you no longer need the setting and want to revert to the default behavior: On the Advanced settings pane, select the context menu (...) next to the setting you no longer need, and then select Delete. Fare clic su Salva e chiudi.Then click Save and close.

Impostazioni client avanzate disponibiliAvailable advanced client settings

ImpostazioniSetting Scenario e istruzioniScenario and instructions
DisableDNFDisableDNF Nascondere o visualizzare il pulsante Non inoltrare in OutlookHide or show the Do Not Forward button in Outlook
DisableMandatoryInOutlookDisableMandatoryInOutlook Esentare i messaggi di Outlook da un'etichetta obbligatoriaExempt Outlook messages from mandatory labeling
CompareSubLabelsInAttachmentActionCompareSubLabelsInAttachmentAction Abilitare il supporto dell'ordinamento delle etichette secondarieEnable order support for sublabels
ContentExtractionTimeoutContentExtractionTimeout Modificare le impostazioni di timeout per lo scannerChange the timeout settings for the scanner
EnableBarHidingEnableBarHiding Nascondere in modo permanente la barra di Azure Information ProtectionPermanently hide the Azure Information Protection bar
EnableCustomPermissionsEnableCustomPermissions Rendere disponibili o non disponibili agli utenti le opzioni relative alle autorizzazioni personalizzateMake the custom permissions options available or unavailable to users
EnableCustomPermissionsForCustomProtectedFilesEnableCustomPermissionsForCustomProtectedFiles Per i file protetti con autorizzazioni personalizzate, rendere sempre le autorizzazioni personalizzate visualizzabili dagli utenti in Esplora fileFor files protected with custom permissions, always display custom permissions to users in File Explorer
EnablePDFv2ProtectionEnablePDFv2Protection Non proteggere i file PDF usando lo standard ISO per la crittografia dei file PDFDon't protect PDF files by using the ISO standard for PDF encryption
FileProcessingTimeoutFileProcessingTimeout Modificare le impostazioni di timeout per lo scannerChange the timeout settings for the scanner
LabelbyCustomPropertyLabelbyCustomProperty Eseguire la migrazione di etichette da Secure Islands e altre soluzioni per l'assegnazione di etichetteMigrate labels from Secure Islands and other labeling solutions
LabelToSMIMELabelToSMIME Configurare un'etichetta per applicare la protezione S/MIME in OutlookConfigure a label to apply S/MIME protection in Outlook
LogLevelLogLevel Modificare il livello di registrazione localeChange the local logging level
LogMatchedContentLogMatchedContent Disabilitare l'invio delle corrispondenze per i tipi di informazioni per un subset di utentiDisable sending information type matches for a subset of users
OutlookBlockTrustedDomainsOutlookBlockTrustedDomains Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookBlockUntrustedCollaborationLabelOutlookBlockUntrustedCollaborationLabel Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookDefaultLabelOutlookDefaultLabel Impostare un'etichetta predefinita diversa per OutlookSet a different default label for Outlook
OutlookJustifyTrustedDomainsOutlookJustifyTrustedDomains Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookJustifyUntrustedCollaborationLabelOutlookJustifyUntrustedCollaborationLabel Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookRecommendationEnabledOutlookRecommendationEnabled Abilitare la classificazione consigliata in OutlookEnable recommended classification in Outlook
OutlookOverrideUnlabeledCollaborationExtensionsOutlookOverrideUnlabeledCollaborationExtensions Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorOutlookUnlabeledCollaborationActionOverrideMailBodyBehavior Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookWarnTrustedDomainsOutlookWarnTrustedDomains Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent
OutlookWarnUntrustedCollaborationLabelOutlookWarnUntrustedCollaborationLabel Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent
PostponeMandatoryBeforeSavePostponeMandatoryBeforeSave Rimuovere "Non ora" per i documenti quando si usa l'etichettatura obbligatoriaRemove "Not now" for documents when you use mandatory labeling
ProcessUsingLowIntegrityProcessUsingLowIntegrity Disabilitare il livello di integrità basso per lo scannerDisable the low integrity level for the scanner
PullPolicyPullPolicy Supporto per i computer disconnessiSupport for disconnected computers
RemoveExternalContentMarkingInAppRemoveExternalContentMarkingInApp Rimuovere intestazioni e piè di pagina da altre soluzioni di assegnazione etichetteRemove headers and footers from other labeling solutions
ReportAnIssueLinkReportAnIssueLink Aggiungere "Segnala un problema" per gli utentiAdd "Report an Issue" for users
RunAuditInformationTypesDiscoveryRunAuditInformationTypesDiscovery Disabilitare l'invio di informazioni riservate individuate nei documenti a Azure Information Protection AnalyticsDisable sending discovered sensitive information in documents to Azure Information Protection analytics
RunPolicyInBackgroundRunPolicyInBackground Attivare l'esecuzione continua della classificazione in backgroundTurn on classification to run continuously in the background
ScannerConcurrencyLevelScannerConcurrencyLevel Limitare il numero di thread usati dallo scannerLimit the number of threads used by the scanner
SyncPropertyNameSyncPropertyName Etichettare un documento di Office usando una proprietà personalizzata esistenteLabel an Office document by using an existing custom property
SyncPropertyStateSyncPropertyState Etichettare un documento di Office usando una proprietà personalizzata esistenteLabel an Office document by using an existing custom property

Evitare le richieste di accesso per i computer solo AD RMSPrevent sign-in prompts for AD RMS only computers

Per impostazione predefinita, il client Azure Information Protection prova automaticamente a connettersi al servizio Azure Information Protection.By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service. Per i computer che comunicano solo con AD RMS questa configurazione può comportare una richiesta di accesso non necessaria per gli utenti.For computers that only communicate with AD RMS, this configuration can result in a sign-in prompt for users that is not necessary. È possibile evitare questa richiesta di accesso modificando il Registro di sistema.You can prevent this sign-in prompt by editing the registry.

  • Individuare il nome di valore seguente e quindi impostare i dati del valore su 0:Locate the following value name, and then set the value data to 0:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Indipendentemente da questa impostazione, il client Azure Information Protection segue comunque il processo standard di individuazione del servizio RMS per trovare il proprio cluster AD RMS.Regardless of this setting, the Azure Information Protection client still follows the standard RMS service discovery process to find its AD RMS cluster.

Accedere come utente diversoSign in as a different user

In un ambiente di produzione, in genere gli utenti non hanno bisogno di accedere con un nome utente diverso quando usano il client Azure Information Protection.In a production environment, users wouldn't usually need to sign in as a different user when they are using the Azure Information Protection client. Per un amministratore, tuttavia, può essere necessario accedere con le credenziali di un altro utente durante una fase di testing.However, as an administrator, you might need to sign in as a different user during a testing phase.

È possibile verificare con quale account è stato eseguito l'accesso usando la finestra di dialogo di Microsoft Azure Information Protection: nell'applicazione di Office, nel gruppo Protezione della scheda Home fare clic su Proteggi e quindi su Guida e commenti.You can verify which account you're currently signed in as by using the Microsoft Azure Information Protection dialog box: Open an Office application and on the Home tab, in the Protection group, click Protect, and then click Help and feedback. Il nome dell'account verrà visualizzato nella sezione Stato del client.Your account name is displayed in the Client status section.

Assicurarsi di controllare anche il nome di dominio dell'account di accesso che viene visualizzato.Be sure to also check the domain name of the signed in account that's displayed. Può essere facile non notare che è stato effettuato l'accesso con il nome dell'account giusto, ma con il dominio errato.It can be easy to miss that you're signed in with the right account name but wrong domain. Un sintomo dell'uso di un account non corretto è l'impossibilità di scaricare i criteri di Azure Information Protection, di visualizzare le etichette corrette o di ottenere il comportamento previsto.A symptom of using the wrong account includes failing to download the Azure Information Protection policy, or not seeing the labels or behavior that you expect.

Per accedere come utente diverso:To sign in as a different user:

  1. Passare a %localappdata%\Microsoft\MSIP ed eliminare il file TokenCache.Navigate to %localappdata%\Microsoft\MSIP and delete the TokenCache file.

  2. Riavviare tutte le applicazioni Office aperte e accedere con l'account utente diverso.Restart any open Office applications and sign in with your different user account. Se non viene visualizzato un prompt dei comandi nell'applicazione Office per accedere al servizio Azure Information Protection, tornare alla finestra di dialogo Microsoft Azure Information Protection e fare clic su Accedi dalla sezione Stato del client aggiornata.If you do not see a prompt in your Office application to sign in to the Azure Information Protection service, return to the Microsoft Azure Information Protection dialog box and click Sign in from the updated Client status section.

Inoltre:Additionally:

  • Se l'accesso al client Azure Information Protection risulta ancora con l'account precedente dopo aver completato questi passaggi, eliminare tutti i cookie di Internet Explorer e quindi ripetere i passaggi 1 e 2.If the Azure Information Protection client is still signed in with the old account after completing these steps, delete all cookies from Internet Explorer, and then repeat steps 1 and 2.

  • Se si usa la funzione Single Sign-On, è necessario uscire da Windows e accedere con un account utente diverso dopo aver eliminato il file del token.If you are using single sign-on, you must sign out from Windows and sign in with your different user account after deleting the token file. Il client di Azure Information Protection esegue quindi automaticamente l'autenticazione tramite l'account utente usato per l'accesso.The Azure Information Protection client then automatically authenticates by using your currently signed in user account.

  • Questa soluzione è supportata per l'accesso come utente diverso dallo stesso tenant.This solution is supported for signing in as another user from the same tenant. Non è supportata per l'accesso come utente diverso da un diverso tenant.It is not supported for signing in as another user from a different tenant. Per testare Azure Information Protection con più tenant, usare computer diversi.To test Azure Information Protection with multiple tenants, use different computers.

  • È possibile usare l'opzione Ripristina le impostazioni in Guida e commenti per disconnettersi ed eliminare i criteri di Azure Information Protection scaricati.You can use the Reset settings option from Help and Feedback to sign out and delete the currently downloaded Azure Information Protection policy.

Applicare la modalità di sola protezione quando l'organizzazione dispone di licenze misteEnforce protection-only mode when your organization has a mix of licenses

Se l'organizzazione non ha alcuna licenza per Azure Information Protection, ma dispone di licenze per Office 365 che includono il servizio Azure Rights Management per la protezione dei dati, il client Azure Information Protection per Windows viene eseguito automaticamente in modalità di sola protezione.If your organization does not have any licenses for Azure Information Protection, but does have licenses for Office 365 that include the Azure Rights Management service for protecting data, the Azure Information Protection client for Windows automatically runs in protection-only mode.

Tuttavia, se l'organizzazione ha una sottoscrizione per Azure Information Protection, tutti i computer Windows possono scaricare i criteri di Azure Information Protection per impostazione predefinita.However, if your organization has a subscription for Azure Information Protection, by default all Windows computers can download the Azure Information Protection policy. Il client Azure Information Protection non gestisce il controllo e l'applicazione delle licenze.The Azure Information Protection client does not do license checking and enforcement.

Se alcuni utenti non dispongono di una licenza di Azure Information Protection, ma hanno una licenza per Office 365 che include il servizio Azure Rights Management, modificare il Registro di sistema nei computer degli utenti per impedire loro di eseguire le funzionalità di classificazione ed etichettatura senza licenza da Azure Information Protection.If you have some users who do not have a license for Azure Information Protection but do have a license for Office 365 that includes the Azure Rights Management service, edit the registry on these users' computers to prevent users from running the unlicensed classification and labeling features from Azure Information Protection.

Individuare il nome di valore seguente e impostare i dati del valore su 0:Locate the following value name and set the value data to 0:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Controllare inoltre che in questi computer non esista un file denominato Policy.msip nella cartella %LocalAppData%\Microsoft\MSIP.In addition, check that these computers do not have a file named Policy.msip in the %LocalAppData%\Microsoft\MSIP folder. Se il file esiste, eliminarlo.If this file exists, delete it. Questo file contiene i criteri di Azure Information Protection e potrebbe essere stato scaricato prima della modifica del Registro di sistema o se il client Azure Information Protection è stato installato con l'opzione demo.This file contains the Azure Information Protection policy and might have downloaded before you edited the registry, or if the Azure Information Protection client was installed with the demo option.

Aggiungere "Segnala un problema" per gli utentiAdd "Report an Issue" for users

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Quando si specifica la seguente impostazione client avanzata, gli utenti visualizzano l'opzione Segnala un problema, che può essere selezionata dalla finestra di dialogo Guida e commenti del client.When you specify the following advanced client setting, users see a Report an Issue option that they can select from the Help and Feedback client dialog box. Specificare una stringa HTTP per il collegamento.Specify an HTTP string for the link. Ad esempio, una pagina Web personalizzata in cui gli utenti possono segnalare i problemi o un indirizzo di posta elettronica che rimanda all'help desk.For example, a customized web page that you have for users to report issues, or an email address that goes to your help desk.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: ReportAnIssueLinkKey: ReportAnIssueLink

  • Valore: <stringa HTTP>Value: <HTTP string>

Valore di esempio per un sito Web: https://support.contoso.comExample value for a website: https://support.contoso.com

Valore di esempio per un indirizzo di posta elettronica: mailto:helpdesk@contoso.comExample value for an email address: mailto:helpdesk@contoso.com

Nascondere l'opzione di menu Classifica e proteggi in Esplora file di WindowsHide the Classify and Protect menu option in Windows File Explorer

Creare il nome del valore DWORD seguente (con i dati associati):Create the following DWORD value name (with any value data):

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisableHKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable

Supporto per i computer disconnessiSupport for disconnected computers

Per impostazione predefinita, il client Azure Information Protection prova automaticamente a connettersi al servizio Azure Information Protection per scaricare i criteri più recenti.By default, the Azure Information Protection client automatically tries to connect to the Azure Information Protection service to download the latest Azure Information Protection policy. Se si dispone di computer che non saranno in grado di connettersi a Internet per un certo periodo di tempo, è possibile impedire che il client tenti di connettersi al servizio modificando il registro di sistema.If you have computers that you know will not be able to connect to the internet for a period of time, you can prevent the client from attempting to connect to the service by editing the registry.

Si noti che senza una connessione Internet, il client non può applicare la protezione (o rimuovere la protezione) usando la chiave basata sul cloud dell'organizzazione.Note that without an internet connection, the client cannot apply protection (or remove protection) by using your organization's cloud-based key. Il client può invece usare esclusivamente le etichette che applicano solo la classificazione o la protezione che usa HYOK.Instead, the client is limited to using labels that apply classification only, or protection that uses HYOK.

È possibile evitare una richiesta di accesso al servizio Azure Information Protection tramite un'impostazione client avanzata che è necessario configurare nel portale di Azure, per poi scaricare i criteri per i computer.You can prevent a sign-in prompt to the Azure Information Protection service by using an advanced client setting that you must configure in the Azure portal and then download the policy for computers. In alternativa, è possibile evitare questa richiesta di accesso modificando il Registro di sistema.Or, you can prevent this sign-in prompt by editing the registry.

  • Per configurare l'impostazione client avanzata:To configure the advanced client setting:

    1. Immettere le stringhe seguenti:Enter the following strings:

      • Chiave: PullPolicyKey: PullPolicy

      • Valore: FalseValue: False

    2. Scaricare i criteri con questa impostazione e installarli nei computer seguendo le istruzioni che seguono.Download the policy with this setting and install it on computers by using the instructions that follow.

  • In alternativa, modificare il Registro di sistema:Alternatively, to edit the registry:

    • Individuare il nome di valore seguente e quindi impostare i dati del valore su 0:Locate the following value name, and then set the value data to 0:

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownloadHKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload

Il client deve avere un file di criteri validi denominato Policy.msip nella cartella %LocalAppData%\Microsoft\MSIP.The client must have a valid policy file named Policy.msip, in the %LocalAppData%\Microsoft\MSIP folder.

È possibile esportare i criteri globali o i criteri con ambito dal portale di Azure e copiare il file esportato nel computer client.You can export the global policy or a scoped policy from the Azure portal, and copy the exported file to the client computer. È anche possibile usare questo metodo per sostituire un file di criteri non aggiornato con i criteri più recenti.You can also use this method to replace an-out-of-date policy file with the latest policy. Esportare i criteri, tuttavia, non supporta lo scenario in cui un utente appartiene a più di un criterio con ambito.However, exporting the policy does not support the scenario where a user belongs to more than one scoped policy. Tenere anche presente che se gli utenti selezionano l'opzione Ripristina le impostazioni in Guida e commenti, questa azione elimina il file dei criteri e rende il client inutilizzabile fino a quando non si sostituisce manualmente il file dei criteri o il client si connette al servizio per scaricare i criteri.Also be aware that if users select the Reset Settings option from Help and feedback, this action deletes the policy file and renders the client inoperable until you manually replace the policy file or the client connects to the service to download the policy.

Quando si esportano i criteri dal portale di Azure, viene scaricato un file ZIP che contiene più versioni dei criteri.When you export the policy from the Azure portal, a zipped file is downloaded that contains multiple versions of the policy. Queste versioni dei criteri corrispondono a versioni diverse del client Azure Information Protection:These policy versions correspond to different versions of the Azure Information Protection client:

  1. Decomprimere il file e usare la tabella seguente per identificare il file di criteri necessario.Unzip the file and use the following table to identify which policy file you need.

    Nome del fileFile name Versione del client corrispondenteCorresponding client version
    Policy1.1.msipPolicy1.1.msip versione 1.2version 1.2
    Policy1.2.msipPolicy1.2.msip versione 1.3 - 1.7version 1.3 - 1.7
    Policy1.3.msipPolicy1.3.msip versione 1.8 - 1.29version 1.8 - 1.29
    Policy1.4.msipPolicy1.4.msip versione 1.32 e successiveversion 1.32 and later
  2. Rinominare il file identificato come Policy.msip, quindi copiarlo nella cartella %LocalAppData%\Microsoft\MSIP nei computer in cui è installato il client Azure Information Protection.Rename the identified file to Policy.msip, and then copy it to the %LocalAppData%\Microsoft\MSIP folder on computers that have the Azure Information Protection client installed.

Se il computer disconnesso esegue la versione corrente di GA dello scanner di Azure Information Protection, è necessario eseguire ulteriori operazioni di configurazione.If your disconnected computer is running the current GA version of the Azure Information Protection scanner, there are additional configuration steps you must take. Per altre informazioni, vedere restrizione: il server dello scanner non può avere connettività Internet dalle istruzioni per la distribuzione dello scanner.For more information, see Restriction: The scanner server cannot have internet connectivity from the scanner deployment instructions.

Nascondere o visualizzare il pulsante Non inoltrare in OutlookHide or show the Do Not Forward button in Outlook

Il metodo consigliato per configurare questa opzione è tramite l' impostazione dei criteri Aggiungi il pulsante non inviare alla barra multifunzione di Outlook.The recommended method to configure this option is by using the policy setting Add the Do Not Forward button to the Outlook ribbon. Tuttavia, è possibile configurare questa opzione anche tramite un'impostazione client avanzata configurata nel portale di Azure.However, you can also configure this option by using an advanced client setting that you configure in the Azure portal.

Quando è configurata, questa impostazione nasconde o visualizza il pulsante Non inoltrare sulla barra multifunzione in Outlook.When you configure this setting, it hides or shows the Do Not Forward button on the ribbon in Outlook. Questa impostazione non influisce sull'opzione Non inoltrare nei menu di Office.This setting has no effect on the Do Not Forward option from Office menus.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: DisableDNFKey: DisableDNF

  • Valore: True per nascondere il pulsante o False per visualizzarloValue: True to hide the button, or False to show the button

Rendere disponibili o non disponibili agli utenti le opzioni relative alle autorizzazioni personalizzateMake the custom permissions options available or unavailable to users

Il metodo consigliato per configurare questa opzione è tramite l' impostazione criterio rendere disponibile l'opzione autorizzazioni personalizzate per gli utenti.The recommended method to configure this option is by using the policy setting Make the custom permissions option available for users. Tuttavia, è possibile configurare questa opzione anche tramite un'impostazione client avanzata configurata nel portale di Azure.However, you can also configure this option by using an advanced client setting that you configure in the Azure portal.

Quando si configura questa impostazione e si pubblicano i criteri per gli utenti, le opzioni per le autorizzazioni personalizzate diventano visibili per gli utenti in modo che possano selezionare impostazioni di protezione personali oppure sono nascoste e quindi gli utenti non possono selezionare impostazioni di protezione personali, se non richiesto.When you configure this setting and publish the policy for users, the custom permissions options become visible for users to select their own protection settings, or they are hidden so that users can't select their own protection settings unless prompted.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: EnableCustomPermissionsKey: EnableCustomPermissions

  • Valore: True per rendere visibile l'opzione per le autorizzazioni personalizzate o False per nasconderlaValue: True to make the custom permissions option visible, or False to hide this option

Per i file protetti con autorizzazioni personalizzate, rendere sempre le autorizzazioni personalizzate visualizzabili dagli utenti in Esplora fileFor files protected with custom permissions, always display custom permissions to users in File Explorer

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal. Questa impostazione è in anteprima e potrebbe cambiare.This setting is in preview and might change.

Quando si configura l' impostazione criterio rendere disponibile l'opzione autorizzazioni personalizzate per gli utenti o l'impostazione client avanzata equivalente nella sezione precedente, gli utenti non sono in grado di visualizzare o modificare le autorizzazioni personalizzate già impostate in un documento protetto.When you configure the policy setting Make the custom permissions option available for users or the equivalent advanced client setting in the previous section, users are not able to see or change custom permissions that are already set in a protected document.

Quando si crea e configura questa impostazione client avanzata, gli utenti possono visualizzare e modificare le autorizzazioni personalizzate per un documento protetto quando usano Esplora file e fare clic con il pulsante destro del mouse sul file.When you create and configure this advanced client setting, users can see and change custom permissions for a protected document when they use File Explorer, and right-click the file. L'opzione Autorizzazioni personalizzate del pulsante Proteggi sulla barra multifunzione di Office rimane nascosta.The Custom Permissions option from the Protect button on the Office ribbon remains hidden.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: EnableCustomPermissionsForCustomProtectedFilesKey: EnableCustomPermissionsForCustomProtectedFiles

  • Valore: TrueValue: True

Nascondere in modo permanente la barra di Azure Information ProtectionPermanently hide the Azure Information Protection bar

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal. Usare questa opzione solo quando l' impostazione dei criteri visualizza la barra Information Protection nelle app di Office è impostata su on.Use it only when the policy setting Display the Information Protection bar in Office apps is set to On.

Per impostazione predefinita, se un utente cancella l'opzione Mostra barra dalla scheda Pagina iniziale, il gruppo Protezione, il pulsante Proteggi, la barra di Information Protection non viene più visualizzata in quell'app Office.By default, if a user clears the Show Bar option from the Home tab, Protection group, Protect button, the Information Protection bar no longer displays in that Office app. La barra viene tuttavia automaticamente visualizzata di nuovo alla successiva apertura di un'app Office.However, the bar automatically displays again the next time an Office app is opened.

Per impedire che la barra sia nuovamente visualizzata in automatico se è stato scelto di nasconderla, usare l'impostazione client.To prevent the bar from displaying again automatically after a user has chosen to hide it, use this client setting. Questa impostazione non ha alcun effetto se l'utente chiude la barra tramite l'icona Chiudi questa barra.This setting has no effect if the user closes the bar by using the Close this bar icon.

Anche se la barra di Azure Information Protection rimane nascosta, gli utenti possono visualizzarla temporaneamente per selezionare un'etichetta, se è stata configurata la classificazione consigliata o se un documento o un messaggio di posta elettronica deve avere un'etichetta.Even though the Azure Information Protection bar remains hidden, users can still select a label from a temporarily displayed bar if you have configured recommended classification, or when a document or email must have a label.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: EnableBarHidingKey: EnableBarHiding

  • Valore: TrueValue: True

Abilitare il supporto dell'ordinamento delle etichette secondarie per gli allegatiEnable order support for sublabels on attachments

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Usare questa impostazione quando sono disponibili etichette secondarie ed è stata configurata l'impostazione di criteri seguente:Use this setting when you have sublabels and you have configured the following policy setting:

  • Per i messaggi di posta elettronica con allegati, applica un'etichetta corrispondente alla classificazione più elevata di questi allegatiFor email messages with attachments, apply a label that matches the highest classification of those attachments

Configurare le stringhe seguenti:Configure the following strings:

  • Chiave: CompareSubLabelsInAttachmentActionKey: CompareSubLabelsInAttachmentAction

  • Valore: TrueValue: True

Senza questa impostazione, al messaggio di posta elettronica viene applicata la prima etichetta con la classificazione più alta individuata dall'etichetta padre.Without this setting, the first label that's found from the parent label with the highest classification is applied to the email.

Con questa impostazione, al messaggio di posta elettronica viene applicata l'etichetta secondaria con la classificazione più alta ordinata per ultima dall'etichetta padre.With this setting, the sublabel that's ordered last from the parent label with the highest classification is applied to the email. Se occorre riordinare le etichette per applicare quella desiderata per questo scenario, vedere Come eliminare o riordinare un'etichetta per Azure Information Protection.If you need to reorder your labels to apply the label that you want for this scenario, see How to delete or reorder a label for Azure Information Protection.

Esentare i messaggi di Outlook da un'etichetta obbligatoriaExempt Outlook messages from mandatory labeling

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Per impostazione predefinita, quando si Abilita l' impostazione dei criteri tutti i documenti e i messaggi di posta elettronica devono avere un'etichetta, a tutti i documenti salvati e ai messaggi di posta elettronica inviati deve essere applicata un'etichetta.By default, when you enable the policy setting All documents and emails must have a label, all saved documents and sent emails must have a label applied. Quando si configura l'impostazione avanzata seguente, l'impostazione dei criteri si applica solo ai documenti di Office e non ai messaggi di Outlook.When you configure the following advanced setting, the policy setting applies only to Office documents and not to Outlook messages.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: DisableMandatoryInOutlookKey: DisableMandatoryInOutlook

  • Valore: TrueValue: True

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal. Questa impostazione è in anteprima e potrebbe cambiare.This setting is in preview and might change.

Quando si configura un'etichetta per la classificazione consigliata, agli utenti viene richiesto di accettare o ignorare l'etichetta consigliata in Word, Excel e PowerPoint.When you configure a label for recommended classification, users are prompted to accept or dismiss the recommended label in Word, Excel, and PowerPoint. Questa impostazione estende questa indicazione per l'etichetta anche per la visualizzazione in Outlook.This setting extends this label recommendation to also display in Outlook.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: OutlookRecommendationEnabledKey: OutlookRecommendationEnabled

  • Valore: TrueValue: True

Implementare messaggi popup in Outlook che avvisano, giustificano o bloccano l'invio di messaggi di posta elettronicaImplement pop-up messages in Outlook that warn, justify, or block emails being sent

Questa configurazione usa più impostazioni client avanzate che devono essere configurate nel portale di Azure.This configuration uses multiple advanced client settings that you must configure in the Azure portal.

Quando si creano e configurano le impostazioni client avanzate seguenti, gli utenti visualizzano messaggi popup di Outlook che possono avvertirli prima dell'invio di un messaggio di posta elettronica, chiedere di giustificare il motivo dell'invio o impedire l'invio di un messaggio di posta elettronica per uno degli scenari seguenti:When you create and configure the following advanced client settings, users see pop-up messages in Outlook that can warn them before sending an email, or ask them to provide justification why they are sending an email, or prevent them from sending an email for either of the following scenarios:

  • Il messaggio di posta elettronica o un suo allegato hanno un'etichetta specifica:Their email or attachment for the email has a specific label:

    • L'allegato può essere qualsiasi tipo di fileThe attachment can be any file type
  • Il messaggio di posta elettronica o l'allegato non hanno un'etichetta:Their email or attachment for the email doesn't have a label:

    • L'allegato può essere un documento di Office o un documento PDFThe attachment can be an Office document or PDF document

Quando vengono soddisfatte queste condizioni, l'utente visualizza un messaggio popup con una delle azioni seguenti:When these conditions are met, the user sees a pop-up message with one of the following actions:

  • Avviso: l'utente può confermare e inviare o annullare.Warn: The user can confirm and send, or cancel.

  • Giustifica: all'utente viene richiesta la giustificazione (opzioni predefinite o formato libero).Justify: The user is prompted for justification (predefined options or free-form). L'utente può quindi inviare o annullare il messaggio di posta elettronica.The user can then send or cancel the email. Il testo della giustificazione è scritto nell'intestazione X- del messaggio di posta elettronica in modo da poter essere letto dagli altri sistemi.The justification text is written to the email x-header, so that it can be read by other systems. Ad esempio, servizi di prevenzione della perdita di dati.For example, data loss prevention (DLP) services.

  • Block: l'utente non è in grado di inviare il messaggio di posta elettronica mentre la condizione rimane.Block: The user is prevented from sending the email while the condition remains. Il messaggio include il motivo del blocco del messaggio di posta elettronica in modo che l'utente possa risolvere il problema,The message includes the reason for blocking the email, so the user can address the problem. ad esempio rimuovendo destinatari specifici o assegnando un'etichetta al messaggio di posta elettronica.For example, remove specific recipients, or label the email.

Quando i messaggi popup sono per un'etichetta specifica, è possibile configurare le eccezioni per i destinatari in base al nome di dominio.When the popup-messages are for a specific label, you can configure exceptions for recipients by domain name.

Le azioni risultanti dai messaggi popup vengono registrate nel registro eventi di Windows locale registri applicazioni e servizi > Azure Information Protection:The resulting actions from the pop-up messages are logged to the local Windows event log Applications and Services Logs > Azure Information Protection:

  • Messaggi di avviso: ID informazioni 301Warn messages: Information ID 301

  • Giustifica messaggi: ID informazioni 302Justify messages: Information ID 302

  • Bloccare i messaggi: ID informazioni 303Block messages: Information ID 303

Voce dell'evento di esempio di un messaggio di giustificazione:Example event entry from a justify message:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

Le sezioni seguenti contengono istruzioni di configurazione per ogni impostazione client avanzata, che possono essere visualizzate in modo autonomo con esercitazione: configurare Azure Information Protection per controllare la sovracondivisione delle informazioni mediante Outlook.The following sections contain configuration instructions for each advanced client setting, and you can see them in action for yourself with Tutorial: Configure Azure Information Protection to control oversharing of information using Outlook.

Per implementare i messaggi popup di avviso, giustificazione o blocco per etichette specifiche:To implement the warn, justify, or block pop-up messages for specific labels:

Per implementare i messaggi popup per etichette specifiche, è necessario conoscere l'ID etichetta per tali etichette.To implement the pop-up messages for specific labels, you must know the label ID for those labels. Il valore ID etichetta viene visualizzato nel riquadro etichetta , quando si visualizzano o si configurano i criteri di Azure Information Protection nel portale di Azure.The label ID value is displayed on the Label pane, when you view or configure the Azure Information Protection policy in the Azure portal. Per i file a cui sono state applicate etichette, è anche possibile eseguire il cmdlet di PowerShell Get-AIPFileStatus per identificare l'ID etichetta (MainLabelId o SubLabelId).For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the label ID (MainLabelId or SubLabelId). Quando un'etichetta ha etichette secondarie, specificare sempre l'ID della sola etichetta secondaria e non dell'etichetta padre.When a label has sublabels, always specify the ID of just a sublabel and not the parent label.

Creare una o più delle impostazioni client avanzate seguenti con le chiavi seguenti.Create one or more of the following advanced client settings with the following keys. Per i valori, specificare una o più etichette in base ai rispettivi ID separandoli con una virgola.For the values, specify one or more labels by their IDs, each one separated by a comma.

Valore di esempio per più ID etichetta sotto forma di stringa delimitata da virgole: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813fExample value for multiple label IDs as a comma-separated string: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f

  • Messaggi di avviso:Warn messages:

    • Chiave: OutlookWarnUntrustedCollaborationLabelKey: OutlookWarnUntrustedCollaborationLabel

    • Valore: <ID etichetta, delimitato da virgole>Value: <label IDs, comma-separated>

  • Messaggi di giustificazione:Justification messages:

    • Chiave: OutlookJustifyUntrustedCollaborationLabelKey: OutlookJustifyUntrustedCollaborationLabel

    • Valore: <ID etichetta, delimitato da virgole>Value: <label IDs, comma-separated>

  • Messaggi di blocco:Block messages:

    • Chiave: OutlookBlockUntrustedCollaborationLabelKey: OutlookBlockUntrustedCollaborationLabel

    • Valore: <ID etichetta, delimitato da virgole>Value: <label IDs, comma-separated>

Per esentare i nomi di dominio per i messaggi popup configurati per etichette specificheTo exempt domain names for pop-up messages configured for specific labels

Per le etichette specificate con questi messaggi popup, è possibile esentare i nomi di dominio specifici in modo che gli utenti non visualizzino i messaggi per i destinatari che hanno il nome di dominio incluso nell'indirizzo di posta elettronica.For the labels that you've specified with these pop-up messages, you can exempt specific domain names so that users do not see the messages for recipients who have that domain name included in their email address. In questo caso, i messaggi di posta elettronica vengono inviati senza interruzioni.In this case, the emails are sent without interruption. Per specificare più domini, aggiungerli come stringa singola, delimitata da virgole.To specify multiple domains, add them as a single string, separated by commas.

Una configurazione tipica consiste nel rendere visualizzabili i messaggi popup solo dai destinatari che sono esterni all'organizzazione o che non sono partner autorizzati dell'organizzazione.A typical configuration is to display the pop-up messages only for recipients who are external to your organization or who aren't authorized partners for your organization. In questo caso, specificare tutti i domini di posta elettronica usati dall'organizzazione e dai partner.In this case, you specify all the email domains that are used by your organization and by your partners.

Creare le seguenti impostazioni client avanzate e, per il valore, specificare uno o più domini, ciascuno separato da una virgola.Create the following advanced client settings and for the value, specify one or more domains, each one separated by a comma.

Valore di esempio per più domini sotto forma di stringa delimitata da virgole: contoso.com,fabrikam.com,litware.comExample value for multiple domains as a comma-separated string: contoso.com,fabrikam.com,litware.com

  • Messaggi di avviso:Warn messages:

    • Chiave: OutlookWarnTrustedDomainsKey: OutlookWarnTrustedDomains

    • Valore: < nomi di dominio, delimitati da virgole >Value: < domain names, comma separated**>**

  • Messaggi di giustificazione:Justification messages:

    • Chiave: OutlookJustifyTrustedDomainsKey: OutlookJustifyTrustedDomains

    • Valore: < nomi di dominio, delimitati da virgole >Value: < domain names, comma separated**>**

  • Messaggi di blocco:Block messages:

    • Chiave: OutlookBlockTrustedDomainsKey: OutlookBlockTrustedDomains

    • Valore: < nomi di dominio, delimitati da virgole >Value: < domain names, comma separated**>**

Ad esempio, è stata specificata l'impostazione OutlookBlockUntrustedCollaborationLabel Advanced client per l'etichetta Confidential \ All Employees .For example, you have specified the OutlookBlockUntrustedCollaborationLabel advanced client setting for the Confidential \ All Employees label. È ora possibile specificare l'impostazione client avanzata aggiuntiva di OutlookBlockTrustedDomains e contoso.com.You now specify the additional advanced client setting of OutlookBlockTrustedDomains and contoso.com. Di conseguenza, un utente può inviare un messaggio di posta elettronica a john@sales.contoso.com quando viene etichettato come riservato \ tutti i dipendenti , ma l'invio di un messaggio di posta elettronica con la stessa etichetta a un account Gmail verrà bloccato.As a result, a user can send an email to john@sales.contoso.com when it is labeled Confidential \ All Employees but will be blocked from sending an email with the same label to a Gmail account.

Per implementare i messaggi popup di avviso, giustificazione o blocco per i messaggi di posta elettronica o gli allegati senza etichetta:To implement the warn, justify, or block pop-up messages for emails or attachments that don't have a label:

Creare l'impostazione client avanzata seguente con uno dei valori seguenti:Create the following advanced client setting with one of the following values:

  • Messaggi di avviso:Warn messages:

    • Chiave: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • Valore: avvisoValue: Warn

  • Messaggi di giustificazione:Justification messages:

    • Chiave: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • Valore: giustificaValue: Justify

  • Messaggi di blocco:Block messages:

    • Chiave: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • Valore: bloccoValue: Block

  • Disattivare questi messaggi:Turn off these messages:

    • Chiave: OutlookUnlabeledCollaborationActionKey: OutlookUnlabeledCollaborationAction

    • Valore: disattivatoValue: Off

Per definire estensioni di file specifiche per i messaggi popup di avviso, giustificazione o blocco per gli allegati di posta elettronica che non hanno un'etichettaTo define specific file name extensions for the warn, justify, or block pop-up messages for email attachments that don't have a label

Per impostazione predefinita, i messaggi popup avvisa, giustifica o blocca si applicano a tutti i documenti di Office e PDF.By default, the warn, justify, or block pop-up messages apply to all Office documents and PDF documents. È possibile affinare questo elenco specificando quali estensioni di file devono visualizzare i messaggi di avviso, di giustificazione o di blocco con una proprietà client avanzata aggiuntiva e un elenco delimitato da virgole di estensioni di file.You can refine this list by specifying which file name extensions should display the warn, justify, or block messages with an additional advanced client property and a comma-separated list of file name extensions.

Valore di esempio per più estensioni di file da definire come stringa delimitata da virgole: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTMExample value for multiple file name extensions to define as a comma-separated string: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM

In questo esempio un documento PDF senza etichetta non comporterà l'avviso, la giustificazione o il blocco dei messaggi popup.In this example, an unlabeled PDF document will not result in warn, justify, or block pop-up messages.

  • Chiave: OutlookOverrideUnlabeledCollaborationExtensionsKey: OutlookOverrideUnlabeledCollaborationExtensions

  • Valore: < estensioni di file per visualizzare i messaggi, delimitati da virgole >Value: < file name extensions to display messages, comma separated**>**

Per specificare un'azione diversa per i messaggi di posta elettronica senza allegatiTo specify a different action for email messages without attachments

Per impostazione predefinita, il valore specificato per OutlookUnlabeledCollaborationAction per avvisare, giustificare o bloccare i messaggi popup si applica ai messaggi di posta elettronica o agli allegati che non hanno un'etichetta.By default, the value that you specify for OutlookUnlabeledCollaborationAction to warn, justify, or block pop-up messages applies to emails or attachments that don't have a label. È possibile perfezionare questa configurazione specificando un'altra impostazione client avanzata per i messaggi di posta elettronica che non dispongono di allegati.You can refine this configuration by specifying another advanced client setting for email messages that don't have attachments.

Creare l'impostazione client avanzata seguente con uno dei valori seguenti:Create the following advanced client setting with one of the following values:

  • Messaggi di avviso:Warn messages:

    • Chiave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • Valore: avvisoValue: Warn

  • Messaggi di giustificazione:Justification messages:

    • Chiave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • Valore: giustificaValue: Justify

  • Messaggi di blocco:Block messages:

    • Chiave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • Valore: bloccoValue: Block

  • Disattivare questi messaggi:Turn off these messages:

    • Chiave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehaviorKey: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior

    • Valore: disattivatoValue: Off

Se non si specifica questa impostazione client, il valore specificato per OutlookUnlabeledCollaborationAction viene usato per i messaggi di posta elettronica senza etichetta senza allegati, nonché per i messaggi di posta elettronica senza etichetta con allegati.If you don't specify this client setting, the value that you specify for OutlookUnlabeledCollaborationAction is used for unlabeled email messages without attachments as well as unlabeled email messages with attachments.

Impostare un'etichetta predefinita diversa per OutlookSet a different default label for Outlook

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Quando si configura questa impostazione, Outlook non applica l'etichetta predefinita configurata nei criteri di Azure Information Protection per l'impostazione Selezionare l'etichetta predefinita.When you configure this setting, Outlook doesn't apply the default label that is configured in the Azure Information Protection policy for the setting Select the default label. In alternativa, Outlook può applicare un'etichetta predefinita diversa o non applicare alcuna etichetta.Instead, Outlook can apply a different default label, or no label.

Per applicare un'etichetta diversa, è necessario specificare il relativo ID.To apply a different label, you must specify the label ID. Il valore ID etichetta viene visualizzato nel riquadro etichetta , quando si visualizzano o si configurano i criteri di Azure Information Protection nel portale di Azure.The label ID value is displayed on the Label pane, when you view or configure the Azure Information Protection policy in the Azure portal. Per i file a cui sono state applicate etichette, è anche possibile eseguire il cmdlet di PowerShell Get-AIPFileStatus per identificare l'ID etichetta (MainLabelId o SubLabelId).For files that have labels applied, you can also run the Get-AIPFileStatus PowerShell cmdlet to identify the label ID (MainLabelId or SubLabelId). Quando un'etichetta ha etichette secondarie, specificare sempre l'ID della sola etichetta secondaria e non dell'etichetta padre.When a label has sublabels, always specify the ID of just a sublabel and not the parent label.

Per fare in modo che Outlook non applichi l'etichetta predefinita, specificare Nessuna.So that Outlook doesn't apply the default label, specify None.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: OutlookDefaultLabelKey: OutlookDefaultLabel

  • Valore: <ID etichetta> o NessunaValue: <label ID> or None

Configurare un'etichetta per applicare la protezione S/MIME in OutlookConfigure a label to apply S/MIME protection in Outlook

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Usare questa impostazione solo se è disponibile una distribuzione di S/MIME funzionante e si vuole che un'etichetta applichi automaticamente questo metodo di protezione per i messaggi di posta elettronica anziché la protezione di Rights Management da Azure Information Protection.Use this setting only when you have a working S/MIME deployment and want a label to automatically apply this protection method for emails rather than Rights Management protection from Azure Information Protection. La protezione risultante è identica a quella applicata quando un utente seleziona manualmente le opzioni di S/MIME da Outlook.The resulting protection is the same as when a user manually selects S/MIME options from Outlook.

Per questa configurazione è necessario specificare un'impostazione client avanzata denominata LabelToSMIME per ogni etichetta di Azure Information Protection a cui si vuole applicare la protezione S/MIME.This configuration requires you to specify an advanced client setting named LabelToSMIME for each Azure Information Protection label that you want to apply S/MIME protection. Per ogni voce impostare quindi il valore usando la sintassi seguente:Then for each entry, set the value by using the following syntax:

[Azure Information Protection label ID];[S/MIME action]

Il valore ID etichetta viene visualizzato nel riquadro etichetta , quando si visualizzano o si configurano i criteri di Azure Information Protection nel portale di Azure.The label ID value is displayed on the Label pane, when you view or configure the Azure Information Protection policy in the Azure portal. Per usare S/MIME con un'etichetta secondaria, è necessario specificare sempre l'ID solo dell'etichetta secondaria e non dell'etichetta padre.To use S/MIME with a sublabel, always specify the ID of just the sublabel and not the parent label. Quando si specifica un'etichetta secondaria, l'etichetta padre deve essere nello stesso ambito o nei criteri globali.When you specify a sublabel, the parent label must be in the same scope, or in the global policy.

L'azione S/MIME può essere:The S/MIME action can be:

  • Sign;Encrypt: per applicare una firma digitale e la crittografia S/MIMESign;Encrypt: To apply a digital signature and S/MIME encryption

  • Encrypt: per applicare solo la crittografia S/MIMEEncrypt: To apply S/MIME encryption only

  • Sign: per applicare solo una firma digitaleSign: To apply a digital signature only

Valori di esempio per l'ID etichetta dcf781ba-727f-4860-b3c1-73479e31912b:Example values for a label ID of dcf781ba-727f-4860-b3c1-73479e31912b:

  • Per applicare una firma digitale e la crittografia S/MIME:To apply a digital signature and S/MIME encryption:

    dcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encryptdcf781ba-727f-4860-b3c1-73479e31912b;Sign;Encrypt

  • Per applicare solo la crittografia S/MIME:To apply S/MIME encryption only:

    dcf781ba-727f-4860-b3c1-73479e31912b;Encryptdcf781ba-727f-4860-b3c1-73479e31912b;Encrypt

  • Per applicare solo una firma digitale:To apply a digital signature only:

    dcf781ba-727f-4860-b3c1-73479e31912b;Signdcf781ba-727f-4860-b3c1-73479e31912b;Sign

Come risultato di questa configurazione, quando viene applicata l'etichetta per un messaggio di posta elettronica, al messaggio di posta elettronica viene applicata la protezione S/MIME oltre alla classificazione dell'etichetta.As a result of this configuration, when the label is applied for an email message, S/MIME protection is applied to the email in addition to the label's classification.

Se l'etichetta specificata è configurata per la protezione di Rights Management nel portale di Azure, la protezione S/MIME sostituisce la protezione di Rights Management solo in Outlook.If the label you specify is configured for Rights Management protection in the Azure portal, S/MIME protection replaces the Rights Management protection only in Outlook. Per tutti gli altri scenari che supportano l'etichettatura, verrà applicata la protezione di Rights Management.For all other scenarios that support labeling, Rights Management protection will be applied.

Se si vuole che l'etichetta sia visibile solo in Outlook, configurare l'etichetta per applicare la singola azione definita dall'utente Non inoltrare, come descritto in Guida introduttiva: Configurare un'etichetta che consente di proteggere facilmente i messaggi di posta elettronica contenenti informazioni riservate.If you want the label to be visible in Outlook only, configure the label to apply the single user-defined action of Do Not Forward, as described in the Quickstart: Configure a label for users to easily protect emails that contain sensitive information.

Rimuovere "Non ora" per i documenti quando si usa l'etichettatura obbligatoriaRemove "Not now" for documents when you use mandatory labeling

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Se si usa l'impostazione dei criteriTutti i documenti e i messaggi di posta elettronica devono avere un'etichetta, agli utenti viene richiesto di selezionare un'etichetta quando salvano per la prima volta un documento di Office e quando inviano un messaggio di posta elettronica.When you use the policy setting of All documents and emails must have a label, users are prompted to select a label when they first save an Office document and when they send an email. Per i documenti, gli utenti possono selezionare Non ora per chiudere temporaneamente la richiesta di selezionare un'etichetta e tornare al documento.For documents, users can select Not now to temporarily dismiss the prompt to select a label and return to the document. Non possono però chiudere il documento salvato senza etichettarlo.However, they cannot close the saved document without labeling it.

Quando si configura questa impostazione l'opzione Non ora viene rimossa. In questo modo, quando il documento viene salvato per la prima volta gli utenti sono obbligati a selezionare un'etichetta.When you configure this setting, it removes the Not now option so that users must select a label when the document is first saved.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: PostponeMandatoryBeforeSaveKey: PostponeMandatoryBeforeSave

  • Valore: FalseValue: False

Attivare l'esecuzione continua della classificazione in backgroundTurn on classification to run continuously in the background

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal. Questa impostazione è in anteprima e potrebbe cambiare.This setting is in preview and might change.

Quando si configura questa impostazione, cambia il comportamento predefinito del client Azure Information Protection rispetto all'applicazione delle etichette automatiche e consigliate ai documenti:When you configure this setting, it changes the default behavior of how the Azure Information Protection client applies automatic and recommended labels to documents:

  • Per Word, Excel e PowerPoint, la classificazione automatica viene eseguita in modo continuo in background.For Word, Excel, and PowerPoint, automatic classification runs continuously in the background.

Il comportamento rimane invariato per Outlook.The behavior does not change for Outlook.

Quando il client di Azure Information Protection verifica periodicamente nei documenti le regole di condizione specificate, questo comportamento abilita la classificazione automatica e consigliata e la protezione dei documenti archiviati in SharePoint Online.When the Azure Information Protection client periodically checks documents for the condition rules that you specify, this behavior enables automatic and recommended classification and protection for documents that are stored in SharePoint Online. I file di grandi dimensioni vengono salvati più rapidamente perché le regole di condizione sono già state eseguite.Large files also save more quickly because the condition rules have already run.

Le regole di condizione non vengono eseguite in tempo reale durante la digitazione.The condition rules do not run in real time as a user types. Vengono eseguite periodicamente come attività in background se il documento viene modificato.Instead, they run periodically as a background task if the document is modified.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave: RunPolicyInBackgroundKey: RunPolicyInBackground

  • Valore: TrueValue: True

Non proteggere i file PDF usando lo standard ISO per la crittografia dei file PDFDon't protect PDF files by using the ISO standard for PDF encryption

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Quando un file PDF è protetto con l'ultima versione del client Azure Information Protection, l'estensione risultante rimane pdf ed è conforme allo standard ISO per la crittografia dei file PDF.When the latest version of the Azure Information Protection client protects a PDF file, the resulting file name extension remains as .pdf and adheres to the ISO standard for PDF encryption. Per altre informazioni su questo standard, vedere la sezione 7.6 Encryption (Crittografia) del documento derivato dalla specifica ISO 32000-1 e pubblicato da Adobe Systems Incorporated.For more information about this standard, see section 7.6 Encryption from the document that is derived from ISO 32000-1 and published by Adobe Systems Incorporated.

Se è necessario che il client ripristini il comportamento delle versioni precedenti, ovvero protezione dei file PDF con un'estensione di file ppdf, usare l'impostazione avanzata seguente immettendo questa stringa:If you need the client to revert to the behavior in older versions of the client that protected PDF files by using a .ppdf file name extension, use the following advanced setting by entering the following string:

  • Chiave: EnablePDFv2ProtectionKey: EnablePDFv2Protection

  • Valore: FalseValue: False

Questa impostazione, ad esempio, può essere necessaria per tutti gli utenti se si usa un lettore di file PDF che non supporta lo standard ISO per la crittografia dei file PDF.For example, you might need this setting for all users if you use a PDF reader that doesn't support the ISO standard for PDF encryption. Oppure può essere necessario configurare questa impostazione per alcuni utenti durante l'introduzione graduale di un lettore di file PDF che supporta il nuovo formato.Or, you might need to configure it for some users as you gradually phase in a change of PDF reader that supports the new format. Un altro possibile motivo per l'uso di questa impostazione è la necessità di aggiungere protezione a documenti PDF firmati.Another potential reason to use this setting is if you need to add protection to signed PDF documents. È possibile aggiungere ulteriore protezione ai documenti PDF con il formato con estensione ppdf, poiché questa protezione viene implementata come wrapper per i file.Signed PDF documents can be additionally protected with the .ppdf format because this protection is implemented as a wrapper for the file.

Per fare in modo che lo scanner Azure Information Protection usi la nuova impostazione, è necessario riavviare il servizio scanner.For the Azure Information Protection scanner to use the new setting, the scanner service must be restarted. Inoltre, lo scanner non proteggerà più i documenti PDF per impostazione predefinita.In addition, the scanner will no longer protect PDF documents by default. Se si vuole che i documenti PDF siano protetti dallo scanner quando EnablePDFv2Protection è impostata su False, è necessario modificare il Registro di sistema.If you want PDF documents to be protected by the scanner when EnablePDFv2Protection is set to False, you must edit the registry.

Per altre informazioni sulla nuova crittografia PDF, vedere il post del blog New support for PDF encryption with Microsoft Information Protection (Nuovo supporto della crittografia PDF con Microsoft Azure Information Protection).For more information about the new PDF encryption, see the blog post New support for PDF encryption with Microsoft Information Protection.

Per un elenco dei lettori di file PDF che supportano lo standard ISO per la crittografia dei file PDF e i lettori che supportano formati precedenti, vedere Lettori di file PDF supportati per Microsoft Information Protection.For a list of PDF readers that support the ISO standard for PDF encryption, and readers that support older formats, see Supported PDF readers for Microsoft Information Protection.

Per convertire i file con estensione ppdf esistenti in file con estensione pdf protettiTo convert existing .ppdf files to protected .pdf files

Dopo che il client Azure Information Protection ha scaricato i criteri client con la nuova impostazione, è possibile usare i comandi di PowerShell per convertire i file con estensione ppdf esistenti in file con estensione pdf protetti, che usano lo standard ISO per la crittografia PDF.When the Azure Information Protection client has downloaded the client policy with the new setting, you can use PowerShell commands to convert existing .ppdf files to protected .pdf files that use the ISO standard for PDF encryption.

Per usare le istruzioni seguenti per i file ai quali la protezione non è stata applicata dall'utente, è necessario avere diritti di utilizzo di Rights Management per rimuovere la protezione dai file oppure essere un utente con privilegi avanzati.To use the following instructions for files that you didn't protect yourself, you must have a Rights Management usage right to remove protection from files, or be a super user. Per abilitare questa funzionalità e configurare l'account come utente con privilegi avanzati, vedere Configurazione degli utenti con privilegi avanzati per Azure Rights Management e servizi di individuazione o ripristino dei dati.To enable the super user feature and configure your account to be a super user, see Configuring super users for Azure Rights Management and Discovery Services or Data Recovery.

Inoltre quando l'utente usa queste istruzioni per file protetti da altri utenti, diventa l'autorità di certificazione RMS.In addition, when you use these instructions for files that you didn't protect yourself, you become the RMS Issuer. In questo scenario, l'utente che ha protetto il documento in origine non può più tenerne traccia né revocarlo.In this scenario, the user who originally protected the document can no longer track and revoke it. Se gli utenti hanno l'esigenza di tenere traccia e revocare i loro documenti PDF protetti, chiedere loro di rimuovere manualmente e quindi riapplicare l'etichetta usando Esplora file e facendo clic con il pulsante destro del mouse.If users need to track and revoke their protected PDF documents, ask them to manually remove and then reapply the label by using File Explorer, right-click.

Per usare i comandi di PowerShell per convertire file con estensione ppdf esistenti in file con estensione pdf protetti che usano lo standard ISO per la crittografia PDF:To use PowerShell commands to convert existing .ppdf files to protected .pdf files that use the ISO standard for PDF encryption:

  1. Usare Get-AIPFileStatus con il file con estensione ppdf.Use Get-AIPFileStatus with the .ppdf file. Ad esempio:For example:

     Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdf
    
  2. Nell'output, prendere nota dei valori dei parametri seguenti:From the output, take a note of the following parameter values:

    • Il valore (GUID) di SubLabelId, se presente.The value (GUID) for SubLabelId, if there is one. Se questo valore è vuoto, non è stata usata un'etichetta secondaria. In questo caso prendere nota del valore di MainLabelId.If this value is blank, a sublabel wasn't used, so note the value for MainLabelId instead.

      Nota: se non è presente neanche un valore per MainLabelId, il file non è provvisto di etichetta.Note: If there is no value for MainLabelId either, the file isn't labeled. In questo caso è possibile usare i comandi Unprotect-RMSFile e Protect-RMSFile invece dei comandi nei passaggi 3 e 4.In this case, you can use the Unprotect-RMSFile command and Protect-RMSFile command instead of the commands in step 3 and 4.

    • Valore di RMSTemplateId.The value for RMSTemplateId. Se questo valore è Accesso limitato, un utente ha protetto il file usando autorizzazioni personalizzate anziché le impostazioni di protezione configurate per l'etichetta.If this value is Restricted Access, a user has protected the file using custom permissions rather than the protection settings that are configured for the label. Se si continua, tali autorizzazioni personalizzate verranno sovrascritte dalle impostazioni di protezione dell'etichetta.If you continue, those custom permissions will be overwritten by the label's protection settings. Decidere se continuare o chiedere all'utente (valore visualizzato per RMSIssuer) di rimuovere l'etichetta e riapplicarla, con le relative autorizzazioni personalizzate originali.Decide whether to continue or ask the user (value displayed for the RMSIssuer) to remove the label and reapply it, together with their original custom permissions.

  3. Rimuovere l'etichetta usando Set-AIPFileLabel con il parametro RemoveLabel.Remove the label by using Set-AIPFileLabel with the RemoveLabel parameter. Se si usa l'impostazione criteriGli utenti devono offrire una giustificazione per la configurazione di un'etichetta di classificazione più bassa, la rimozione di un'etichetta o la rimozione della protezione, è necessario specificare anche il parametro Giustificazione con il motivo.If you are using the policy setting of Users must provide justification to set a lower classification label, remove a label, or remove protection, you must also specify the Justification parameter with the reason. Ad esempio:For example:

     Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'
    
  4. Riapplicare l'etichetta originale, specificando il valore dell'etichetta identificato nel passaggio 1.Reapply the original label, by specifying the value for the label that you identified in step 1. Ad esempio:For example:

     Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
    

Il file mantiene l'estensione pdf ma viene classificato come in precedenza ed è protetto tramite lo standard ISO per la crittografia PDF.The file retains the .pdf file name extension but is classified as before, and it is protected by using the ISO standard for PDF encryption.

Supporto di file protetti da Secure IslandsSupport for files protected by Secure Islands

Questa opzione di configurazione è in anteprima e potrebbe cambiare.This configuration option is in preview and might change.

Se è stato usato Secure Islands è possibile che siano stati protetti file di testo, file immagine e file generici.If you used Secure Islands to protect documents, you might have protected text and picture files, and generically protected files as a result of this protection. Sono esempi i file con estensione ptxt, pjpeg o pfile.For example, files that have a file name extension of .ptxt, .pjpeg, or .pfile. Quando si modifica il registro di sistema come indicato di seguito, Azure Information Protection può decrittografare questi file:When you edit the registry as follows, Azure Information Protection can decrypt these files:

Aggiungere il seguente valore DWORD di EnableIQPFormats al percorso del registro seguente e impostare i dati del valore su 1:Add the following DWORD value of EnableIQPFormats to the following registry path, and set the value data to 1:

  • Per una versione di Windows a 64 bit: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPFor a 64-bit version of Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP

  • Per una versione di Windows a 32 bit: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIPFor a 32-bit version of Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP

In seguito a questa modifica del registro sono supportati gli scenari seguenti:As a result of this registry edit, the following scenarios are supported:

  • Il visualizzatore Azure Information Protection può aprire questi file protetti.The Azure Information Protection viewer can open these protected files.

  • Lo scanner Azure Information Protection può verificare la presenza di informazioni riservate in questi file.The Azure Information Protection scanner can inspect these files for sensitive information.

  • Esplora file, PowerShell e lo scanner Azure Information Protection possono assegnare etichette a questi file.File Explorer, PowerShell, and the Azure Information Protection scanner can label these files. È quindi possibile applicare un'etichetta di Azure Information Protection che applica la nuova protezione da Azure Information Protection o che rimuove la protezione esistente di Secure Islands.As a result, you can apply an Azure Information Protection label that applies new protection from Azure Information Protection, or that removes the existing protection from Secure Islands.

  • È possibile usare la personalizzazione client per la migrazione delle etichette per convertire automaticamente l'etichetta Secure Islands di questi file protetti in un'etichetta di Azure Information Protection.You can use the labeling migration client customization to automatically convert the Secure Islands label on these protected files to an Azure Information Protection label.

Eseguire la migrazione di etichette da Secure Islands e altre soluzioni per l'assegnazione di etichetteMigrate labels from Secure Islands and other labeling solutions

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Questa configurazione non è attualmente compatibile con il nuovo comportamento predefinito che protegge i file PDF usando lo standard ISO per la crittografia PDF.This configuration is currently not compatible with the new default behavior that protects PDF files by using the ISO standard for PDF encryption. In questo scenario non è possibile aprire i file PPDF usando Esplora file, PowerShell o lo scanner.In this scenario, .ppdf files cannot be opened by File Explorer, PowerShell, or the scanner. Per risolvere questo problema, usare l'impostazione client avanzata per non usare lo standard ISO per la crittografia PDF.To resolve this, use the advanced client setting to don't use the ISO standard for PDF encryption.

Per i documenti di Office e i documenti PDF con etichette assegnate da Secure Islands, è possibile riassegnare etichette di Azure Information Protection a questi documenti usando un mapping definito appositamente.For Office documents and PDF documents that are labeled by Secure Islands, you can relabel these documents with an Azure Information Protection label by using a mapping that you define. È anche possibile usare questo metodo per riutilizzare le etichette da altre soluzioni quando sono applicate a documenti di Office.You also use this method to reuse labels from other solutions when their labels are on Office documents.

Nota

Se sono presenti file diversi dai documenti Office e PDF protetti da Secure Islands, questi possono essere rietichettati dopo la modifica del registro, come descritto nella sezione precedente.If you have files other than PDF and Office documents that are protected by Secure Islands, these can be relabeled after you edit the registry as described in the preceding section.

Con questa opzione di configurazione, la nuova etichetta di Azure Information Protection viene applicata mediante il client di Azure Information Protection come indicato di seguito:As a result of this configuration option, the new Azure Information Protection label is applied by the Azure Information Protection client as follows:

  • Per i documenti di Office: quando il documento viene aperto nell'app desktop, la nuova etichetta di Azure Information Protection viene visualizzata come impostata e viene applicata quando il documento viene salvato.For Office documents: When the document is opened in the desktop app, the new Azure Information Protection label is shown as set and is applied when the document is saved.

  • Per Esplora file: nella finestra di dialogo Azure Information Protection, la nuova etichetta di Azure Information Protection viene visualizzata come impostata e viene applicata quando l'utente seleziona Applica.For File Explorer: In the Azure Information Protection dialog box, the new Azure Information Protection label is shown as set and is applied when the user selects Apply. Se l'utente seleziona Annulla la nuova etichetta non viene applicata.If the user selects Cancel, the new label is not applied.

  • Per PowerShell: Set-AIPFileLabel applica la nuova etichetta di Azure Information Protection.For PowerShell: Set-AIPFileLabel applies the new Azure Information Protection label. Get-AIPFileStatus non visualizza la nuova etichetta di Azure Information Protection finché non viene impostata da un altro metodo.Get-AIPFileStatus doesn't display the new Azure Information Protection label until it is set by another method.

  • Per lo scanner di Azure Information Protection: l'individuazione segnala quando la nuova etichetta di Azure Information Protection viene impostata e può essere applicata con la modalità di imposizione.For the Azure Information Protection scanner: Discovery reports when the new Azure Information Protection label would be set and this label can be applied with the enforce mode.

Per questa configurazione è necessario specificare un'impostazione client avanzata denominata LabelbyCustomProperty per ogni etichetta di Azure Information Protection che si vuole mappare all'etichetta precedente.This configuration requires you to specify an advanced client setting named LabelbyCustomProperty for each Azure Information Protection label that you want to map to the old label. Per ogni voce impostare quindi il valore usando la sintassi seguente:Then for each entry, set the value by using the following syntax:

[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]

Il valore ID etichetta viene visualizzato nel riquadro etichetta , quando si visualizzano o si configurano i criteri di Azure Information Protection nel portale di Azure.The label ID value is displayed on the Label pane, when you view or configure the Azure Information Protection policy in the Azure portal. Per specificare un'etichetta secondaria, l'etichetta padre deve essere nello stesso ambito o nei criteri globali.To specify a sublabel, the parent label must be in the same scope, or in the global policy.

Specificare un nome di regola di migrazione a propria scelta.Specify your choice of a migration rule name. Usare un nome descrittivo che consente di identificare come deve essere eseguito il mapping di una o più etichette dalla soluzione precedente imprevisto a un'etichetta di Azure Information Protection.Use a descriptive name that helps you to identify how one or more labels from your previous labeling solution should be mapped to an Azure Information Protection label. Il nome viene visualizzato nei report dello scanner e nel Visualizzatore eventi.The name displays in the scanner reports and in Event Viewer. Si noti che questa impostazione non comporta la rimozione dell'etichetta originale dal documento o di tutti i contrassegni visivi nel documento che l'etichetta originale potrebbe aver applicato.Note that this setting does not remove the original label from the document or any visual markings in the document that the original label might have applied. Per rimuovere le intestazioni e i piè di pagina, vedere la sezione successiva Rimuovere intestazioni e piè di pagina da altre soluzioni di assegnazione etichette.To remove headers and footers, see the next section, Remove headers and footers from other labeling solutions.

Esempio 1: Mapping uno-a-uno con lo stesso nome di etichettaExample 1: One-to-one mapping of the same label name

Requisito: i documenti con un'etichetta di isole sicure "riservato" devono essere rietichettati come "riservati" da Azure Information Protection.Requirement: Documents that have a Secure Islands label of "Confidential" should be relabeled as "Confidential" by Azure Information Protection.

In questo esempio:In this example:

  • L'etichetta di Azure Information Protection da usare è Riservato e ha l'ID etichetta 1ace2cc3-14bc-4142-9125-bf946a70542c.The Azure Information Protection label that you want to use is named Confidential and has a label ID of 1ace2cc3-14bc-4142-9125-bf946a70542c.

  • L'etichetta di Secure Islands è Riservato ed è archiviata nella proprietà personalizzata denominata Classificazione.The Secure Islands label is named Confidential and stored in the custom property named Classification.

L'impostazione client avanzata è la seguente:The advanced client setting:

NameName ValueValue
LabelbyCustomPropertyLabelbyCustomProperty 1ace2cc3-14bc-4142-9125-bf946a70542c, "L'etichetta Secure Islands è Riservato",Classificazione,Riservato1ace2cc3-14bc-4142-9125-bf946a70542c,"Secure Islands label is Confidential",Classification,Confidential

Esempio 2: Mapping uno-a-uno per un altro nome di etichettaExample 2: One-to-one mapping for a different label name

Requisito: i documenti contrassegnati come "sensibili" dalle isole sicure devono essere rietichettati come "riservatezza elevata" da Azure Information Protection.Requirement: Documents labeled as "Sensitive" by Secure Islands should be relabeled as "Highly Confidential" by Azure Information Protection.

In questo esempio:In this example:

  • L'etichetta di Azure Information Protection da usare è Riservatezza elevata e ha l'ID etichetta 3e9df74d-3168-48af-8b11-037e3021813f.The Azure Information Protection label that you want to use is named Highly Confidential and has a label ID of 3e9df74d-3168-48af-8b11-037e3021813f.

  • L'etichetta di Secure Islands è Sensibile ed è archiviata nella proprietà personalizzata denominata Classificazione.The Secure Islands label is named Sensitive and stored in the custom property named Classification.

L'impostazione client avanzata è la seguente:The advanced client setting:

NameName ValueValue
LabelbyCustomPropertyLabelbyCustomProperty 3e9df74d-3168-48af-8b11-037e3021813f, "L'etichetta Secure Islands è Sensibile",Classificazione,Sensibile3e9df74d-3168-48af-8b11-037e3021813f,"Secure Islands label is Sensitive",Classification,Sensitive

Esempio 3: Mapping molti-a-uno di nomi di etichettaExample 3: Many-to-one mapping of label names

Requisito: sono presenti due etichette di isole sicure che includono la parola "Internal" e si vuole che i documenti che contengono una di queste etichette di isole sicure vengano rietichettati come "generale" da Azure Information Protection.Requirement: You have two Secure Islands labels that include the word "Internal" and you want documents that have either of these Secure Islands labels to be relabeled as "General" by Azure Information Protection.

In questo esempio:In this example:

  • L'etichetta di Azure Information Protection da usare è Generale e ha l'ID etichetta 2beb8fe7-8293-444c-9768-7fdc6f75014d.The Azure Information Protection label that you want to use is named General and has a label ID of 2beb8fe7-8293-444c-9768-7fdc6f75014d.

  • Le etichette di Secure Islands includono la parola Interno e sono archiviate nella proprietà personalizzata denominata Classificazione.The Secure Islands labels include the word Internal and are stored in the custom property named Classification.

L'impostazione client avanzata è la seguente:The advanced client setting:

NameName ValueValue
LabelbyCustomPropertyLabelbyCustomProperty 2beb8fe7-8293-444c-9768-7fdc6f75014d,"L'etichetta Secure Islands contiene Interno",Classificazione,.*Interno.*2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.*

Rimuovere intestazioni e piè di pagina da altre soluzioni di assegnazione etichetteRemove headers and footers from other labeling solutions

Questa configurazione usa più impostazioni client avanzate che devono essere configurate nel portale di Azure.This configuration uses multiple advanced client settings that you must configure in the Azure portal. Queste impostazioni sono di anteprima e potrebbero cambiare.These settings are in preview and might change.

Le impostazioni consentono di rimuovere o sostituire le intestazioni o i piè di pagina basati su testo nei documenti, quando questi contrassegni visivi sono stati applicati da un'altra soluzione di etichettatura.The settings let you remove or replace text-based headers or footers from documents when those visual markings have been applied by another labeling solution. Ad esempio, il piè di pagina precedente contiene il nome di un'etichetta precedente di cui è stata eseguita la migrazione ad Azure Information Protection con un nuovo nome di etichetta e un proprio piè di pagina.For example, the old footer contains the name of an old label that you have now migrated to Azure Information Protection with a new label name and its own footer.

Quando il client ottiene questa configurazione nei relativi criteri, le intestazioni e i piè di pagina precedenti vengono rimossi o sostituiti quando il documento viene aperto nell'app di Office e al documento vengono applicate le etichette di Azure Information Protection.When the client gets this configuration in its policy, the old headers and footers are removed or replaced when the document is opened in the Office app and any Azure Information Protection label is applied to the document.

Questa configurazione non è supportata per Outlook e tenere presente che quando viene usata con Word, Excel e PowerPoint, può influire negativamente sulle prestazioni di queste app per gli utenti.This configuration is not supported for Outlook, and be aware that when you use it with Word, Excel, and PowerPoint, it can negatively affect the performance of these apps for users. La configurazione consente di definire le impostazioni per ogni applicazione, ad esempio la ricerca di testo nelle intestazioni e nei piè di pagina di documenti di Word, ma non nei fogli di calcolo di Excel o nelle presentazioni di PowerPoint.The configuration lets you define settings per application, for example, search for text in the headers and footers of Word documents but not Excel spreadsheets or PowerPoint presentations.

Poiché la corrispondenza dei criteri influiscono sulle prestazioni degli utenti, è consigliabile limitare i tipi di applicazioni di Office (WOrd, EXcel, PowerPoint) solo a quelli che devono essere cercati:Because the pattern matching affects the performance for users, we recommend that you limit the Office application types (Word, EXcel, PowerPoint) to just those that need to be searched:

  • Chiave: RemoveExternalContentMarkingInAppKey: RemoveExternalContentMarkingInApp

  • Valore: <tipi di applicazioni di Office WXP>Value: <Office application types WXP>

Di seguito sono riportati alcuni esempi.Examples:

  • Per eseguire la ricerca solo in documenti di Word, specificare W.To search Word documents only, specify W.

  • Per eseguire la ricerca in documenti di Word e presentazioni di PowerPoint, specificare WP.To search Word documents and PowerPoint presentations, specify WP.

Sarà necessaria almeno un'altra impostazione client avanzata, ExternalContentMarkingToRemove, per specificare il contenuto dell'intestazione o del piè di pagina e il modo in cui rimuoverlo o sostituirlo.You then need at least one more advanced client setting, ExternalContentMarkingToRemove, to specify the contents of the header or footer, and how to remove or replace them.

Come configurare ExternalContentMarkingToRemoveHow to configure ExternalContentMarkingToRemove

Quando si specifica il valore stringa per la chiave ExternalContentMarkingToRemove, sono disponibili tre opzioni che usano le espressioni regolari:When you specify the string value for the ExternalContentMarkingToRemove key, you have three options that use regular expressions:

  • Corrispondenza parziale per rimuovere tutto il contenuto dell'intestazione o del piè di pagina.Partial match to remove everything in the header or footer.

    Esempio: le intestazioni o i piè di pagina contengono la stringa TEXT TO REMOVE.Example: Headers or footers contain the string TEXT TO REMOVE. Per rimuovere completamente le intestazioni o i piè di pagina,You want to completely remove these headers or footers. specificare il valore: *TEXT*.You specify the value: *TEXT*.

  • Corrispondenza completa per rimuovere solo determinate parole nell'intestazione o nel piè di pagina.Complete match to remove just specific words in the header or footer.

    Esempio: le intestazioni o i piè di pagina contengono la stringa TEXT TO REMOVE.Example: Headers or footers contain the string TEXT TO REMOVE. Per rimuovere solo la parola TEXT, lasciando la stringa TO REMOVE nell'intestazione o nel piè di pagina,You want to remove the word TEXT only, which leaves the header or footer string as TO REMOVE. specificare il valore: TEXT.You specify the value: TEXT.

  • Corrispondenza completa per rimuovere tutto il contenuto dell'intestazione o del piè di pagina.Complete match to remove everything in the header or footer.

    Esempio: le intestazioni o i piè di pagina contengono la stringa TEXT TO REMOVE.Example: Headers or footers have the string TEXT TO REMOVE. Per rimuovere le intestazioni o i piè di pagina che contengono esattamente questa stringa,You want to remove headers or footers that have exactly this string. specificare il valore: ^TEXT TO REMOVE$.You specify the value: ^TEXT TO REMOVE$.

I criteri di ricerca per la stringa specificata non fanno distinzione tra maiuscole e minuscole.The pattern matching for the string that you specify is case-insensitive. La lunghezza massima della stringa è 255 caratteri.The maximum string length is 255 characters.

Poiché alcuni documenti potrebbero includere caratteri invisibili o tipi diversi di spazi o tabulazioni, la stringa specificata per una frase potrebbe non essere rilevata.Because some documents might include invisible characters or different kinds of spaces or tabs, the string that you specify for a phrase or sentence might not be detected. Quando possibile, specificare una singola parola distintiva per il valore e assicurarsi di testare i risultati prima della distribuzione nell'ambiente di produzione.Whenever possible, specify a single distinguishing word for the value and be sure to test the results before you deploy in production.

  • Chiave: ExternalContentMarkingToRemoveKey: ExternalContentMarkingToRemove

  • Valore: <stringa da confrontare, definita come espressione regolare>Value: <string to match, defined as regular expression>

Intestazioni o piè di pagina su più righeMultiline headers or footers

Se il testo di un'intestazione o un piè di pagina è su più righe, creare una chiave e un valore per ogni riga.If a header or footer text is more than a single line, create a key and value for each line. Si supponga, ad esempio, di avere il piè di pagina seguente con due righe:For example, you have the following footer with two lines:

The file is classified as ConfidentialThe file is classified as Confidential

Label applied manuallyLabel applied manually

Per rimuovere il piè di pagina su più righe, creare le due voci seguenti:To remove this multiline footer, you create the following two entries:

  • Chiave 1: ExternalContentMarkingToRemoveKey 1: ExternalContentMarkingToRemove

  • Valore chiave 1: *Confidential*Key Value 1: *Confidential*

  • Chiave 2: ExternalContentMarkingToRemoveKey 2: ExternalContentMarkingToRemove

  • Valore chiave 2: *Label applied*Key Value 2: *Label applied*

Ottimizzazione per PowerPointOptimization for PowerPoint

I piè di pagina in PowerPoint vengono implementati come forme.Footers in PowerPoint are implemented as shapes. Per evitare la rimozione di forme che contengono il testo specificato ma non sono intestazioni o piè di pagina, usare un'impostazione client avanzata aggiuntiva denominata PowerPointShapeNameToRemove.To avoid removing shapes that contain the text that you have specified but are not headers or footers, use an additional advanced client setting named PowerPointShapeNameToRemove. È consigliabile usare questa impostazione anche per evitare di controllare il testo in tutte le forme, essendo un processo a elevato utilizzo di risorse.We also recommend using this setting to avoid checking the text in all shapes, which is a resource-intensive process.

Se non si specifica questa impostazione client avanzata aggiuntiva e PowerPoint è incluso nel valore della chiave RemoveExternalContentMarkingInApp, il testo specificato nel valore ExternalContentMarkingToRemove verrà ricercato in tutte le forme.If you do not specify this additional advanced client setting, and PowerPoint is included in the RemoveExternalContentMarkingInApp key value, all shapes will be checked for the text that you specify in the ExternalContentMarkingToRemove value.

Per trovare il nome della forma usata come intestazione o piè di pagina:To find the name of the shape that you're using as a header or footer:

  1. In PowerPoint visualizzare il riquadro Selezione: scheda Formato > gruppo Disponi > Riquadro di selezione.In PowerPoint, display the Selection pane: Format tab > Arrange group > Selection Pane.

  2. Selezionare la forma sulla diapositiva contenente l'intestazione o il piè di pagina.Select the shape on the slide that contains your header or footer. Il nome della forma selezionata viene evidenziato nel riquadro Selezione.The name of the selected shape is now highlighted in the Selection pane.

Usare il nome della forma per specificare un valore stringa per la chiave PowerPointShapeNameToRemove.Use the name of the shape to specify a string value for the PowerPointShapeNameToRemove key.

Esempio: il nome della forma è fc.Example: The shape name is fc. Per rimuovere la forma con questo nome, specificare il valore: fc.To remove the shape with this name, you specify the value: fc.

  • Chiave: PowerPointShapeNameToRemoveKey: PowerPointShapeNameToRemove

  • Valore: <nome delle forma di PowerPoint>Value: <PowerPoint shape name>

Quando si hanno più forme di PowerPoint da rimuovere, creare tante chiavi PowerPointShapeNameToRemove quante sono le forme da rimuovere.When you have more than one PowerPoint shape to remove, create as many PowerPointShapeNameToRemove keys as you have shapes to remove. Per ogni voce specificare il nome della forma da rimuovere.For each entry, specify the name of the shape to remove.

Per impostazione predefinita, il testo delle intestazioni e dei piè di pagina viene cercato solo negli schemi diapositiva.By default, only the Master slides are checked for headers and footers. Per estendere la ricerca a tutte le diapositive, che è un processo con un utilizzo maggiore di risorse, usare un'impostazione client avanzata aggiuntiva denominata RemoveExternalContentMarkingInAllSlides:To extend this search to all slides, which is a much more resource-intensive process, use an additional advanced client setting named RemoveExternalContentMarkingInAllSlides:

  • Chiave: RemoveExternalContentMarkingInAllSlidesKey: RemoveExternalContentMarkingInAllSlides

  • Valore: TrueValue: True

Etichettare un documento di Office usando una proprietà personalizzata esistenteLabel an Office document by using an existing custom property

Nota

Se si usa questa configurazione e la configurazione per eseguire la migrazione di etichette da Secure Islands e altre soluzioni per l'assegnazione di etichette, l'impostazione di migrazione delle etichette ha la precedenza.If you use this configuration and the configuration to migrate labels from Secure Islands and other labeling solutions, the labeling migration setting takes precedence.

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Quando si configura questa impostazione, è possibile classificare e, facoltativamente, proteggere un documento di Office quando dispone di una proprietà personalizzata esistente con un valore corrispondente a uno dei nomi di etichetta.When you configure this setting, you can classify (and optionally, protect) an Office document when it has an existing custom property with a value that matches one of your label names. Questa proprietà personalizzata può essere impostata da un'altra soluzione di classificazione o può essere impostata come proprietà da SharePoint.This custom property can be set from another classification solution, or can be set as a property by SharePoint.

In seguito a questa configurazione, quando un documento senza un'etichetta di Azure Information Protection viene aperto e salvato da un utente in un'app di Office, il documento viene quindi etichettato in modo che corrisponda al valore della proprietà corrispondente.As a result of this configuration, when a document without an Azure Information Protection label is opened and saved by a user in an Office app, the document is then labeled to match the corresponding property value.

Per questa configurazione è necessario specificare due impostazioni avanzate che interagiscono tra di loro.This configuration requires you to specify two advanced settings that work together. La prima è denominata SyncPropertyName, ovvero il nome della proprietà personalizzata che è stata impostata dall'altra soluzione di classificazione o una proprietà impostata da SharePoint.The first is named SyncPropertyName, which is the custom property name that has been set from the other classification solution, or a property that is set by SharePoint. La seconda è denominata SyncPropertyState e deve essere impostata su OneWay.The second is named SyncPropertyState and must be set to OneWay.

Per configurare questa impostazione avanzata, immettere le stringhe seguenti:To configure this advanced setting, enter the following strings:

  • Chiave 1: SyncPropertyNameKey 1: SyncPropertyName

  • Valore chiave 1 : <nome proprietà>Key 1 Value: <property name>

  • Chiave 2: SyncPropertyStateKey 2: SyncPropertyState

  • Valore chiave 2: OneWayKey 2 Value: OneWay

Usare queste chiavi e i valori corrispondenti per una sola proprietà personalizzata.Use these keys and corresponding values for only one custom property.

Si supponga, ad esempio, di avere una colonna di SharePoint denominata Classificazione con i valori possibili Pubblico, Generale e Riservatezza elevata\Tutti i dipendenti.As an example, you have a SharePoint column named Classification that has possible values of Public, General, and Highly Confidential All Employees. I documenti vengono archiviati in SharePoint, con i valori Pubblico, Generale o Riservatezza elevata\Tutti i dipendenti impostati per la proprietà Classificazione.Documents are stored in SharePoint and have Public, General, or Highly Confidential All Employees as values set for the Classification property.

Per etichettare un documento di Office con uno di questi valori di classificazione, impostare SyncPropertyName su Classificazione e SyncPropertyState a OneWay.To label an Office document with one of these classification values, set SyncPropertyName to Classification, and SyncPropertyState to OneWay.

A questo punto, quando un utente apre e salva uno di questi documenti di Office, il documento viene etichettato come Pubblico, Generale o Riservatezza elevata\Tutti i dipendenti se sono presenti etichette con questi nomi nei criteri di Azure Information Protection.Now, when a user opens and saves one of these Office documents, it is labeled Public, General, or Highly Confidential \ All Employees if you have labels with these names in your Azure Information Protection policy. In assenza di etichette con questi nomi, il documento rimane senza etichetta.If you do not have labels with these names, the document remains unlabeled.

Disabilitare l'invio di informazioni riservate individuate nei documenti a Azure Information Protection AnalyticsDisable sending discovered sensitive information in documents to Azure Information Protection analytics

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Quando il client Azure Information Protection viene usato nelle app di Office, Cerca informazioni riservate nei documenti quando vengono salvate per la prima volta.When the Azure Information Protection client is used in Office apps, it looks for sensitive information in documents when they are first saved. Se si specifica che il client non è configurato per l'invio di informazioni di controllo, i tipi di informazioni riservate trovate (predefinite o personalizzate) vengono quindi inviati a Azure Information Protection Analytics.Providing the client isn't configured to not sent audit information, any sensitive information types found (predefined or custom) are then sent to Azure Information Protection analytics.

La configurazione che controlla se il client invia le informazioni di controllo è l' impostazione dei criteri Invia dati di controllo a Azure Information Protection log Analytics.The configuration that controls whether the client sends audit information is the policy setting of Send audit data to Azure Information Protection log analytics. Quando questa impostazione dei criteri è attiva perché si desidera inviare informazioni di controllo che includono azioni di assegnazione di etichette ma non si desidera inviare tipi di informazioni riservate individuate dal client, immettere le stringhe seguenti:When this policy setting is On because you want to send audit information that includes labeling actions but you don't want to send sensitive information types found by the client, enter the following strings:

  • Chiave: RunAuditInformationTypesDiscoveryKey: RunAuditInformationTypesDiscovery

  • Valore: FalseValue: False

Se si imposta questa impostazione client avanzata, le informazioni di controllo possono comunque essere inviate dal client, ma le informazioni sono limitate all'attività di assegnazione di etichette.If you set this advanced client setting, auditing information can still be sent from the client but the information is limited to labeling activity.

Ad esempio:For example:

  • Con questa impostazione è possibile vedere che un utente ha eseguito l'accesso a Financial. docx con etichetta Confidential \ Sales.With this setting, you can see that a user accessed Financial.docx that is labeled Confidential \ Sales.

  • Senza questa impostazione, è possibile notare che Financial. docx contiene 6 numeri di carta di credito.Without this setting, you can see that Financial.docx contains 6 credit card numbers.

Disabilitare l'invio delle corrispondenze per i tipi di informazioni per un subset di utentiDisable sending information type matches for a subset of users

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Quando si seleziona la casella di controllo Azure Information Protection Analytics che Abilita l'analisi più approfondita nei dati sensibili raccoglie le corrispondenze di contenuto per i tipi di informazioni riservate o le condizioni personalizzate, per impostazione predefinita queste informazioni vengono inviate da tutti gli utenti, inclusi gli account del servizio che eseguono lo scanner di Azure Information Protection.When you select the checkbox for Azure Information Protection analytics that enables deeper analytics into your sensitive data collects the content matches for your sensitive information types or your custom conditions, by default, this information is sent by all users, which includes service accounts that run the Azure Information Protection scanner. In presenza di utenti che non devono inviare questi dati, creare l'impostazione client avanzata seguente in un criterio con ambito per questi utenti:If you have some users who should not send this data, create the following advanced client setting in a scoped policy for these users:

  • Chiave: LogMatchedContentKey: LogMatchedContent

  • Valore: DisabilitaValue: Disable

Limitare il numero di thread usati dallo scannerLimit the number of threads used by the scanner

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Per impostazione predefinita, lo scanner usa tutte le risorse del processore disponibili nel computer che esegue il servizio scanner.By default, the scanner uses all available processor resources on the computer running the scanner service. Se è necessario limitare l'utilizzo della CPU mentre questo servizio esegue l'analisi, creare la seguente impostazione avanzata.If you need to limit the CPU consumption while this service is scanning, create the following advanced setting.

Come valore specificare il numero di thread simultanei che lo scanner può eseguire in parallelo.For the value, specify the number of concurrent threads that the scanner can run in parallel. Lo scanner usa un thread separato per ogni file analizzato, quindi questa configurazione della limitazione definisce anche il numero di file che possono essere analizzati in parallelo.The scanner uses a separate thread for each file that it scans, so this throttling configuration also defines the number of files that can be scanned in parallel.

Quando si configura il valore per il test per la prima volta, è consigliabile specificare 2 per ogni core e quindi monitorare i risultati.When you first configure the value for testing, we recommend you specify 2 per core, and then monitor the results. Se ad esempio si esegue lo scanner in un computer con 4 core, impostare prima il valore su 8.For example, if you run the scanner on a computer that has 4 cores, first set the value to 8. Se necessario, aumentare o diminuire questo numero, in base alle prestazioni risultanti richieste per il computer dello scanner e la velocità di analisi.If necessary, increase or decrease that number, according to the resulting performance you require for the scanner computer and your scanning rates.

  • Chiave: ScannerConcurrencyLevelKey: ScannerConcurrencyLevel

  • Valore: <numero massimo di utenti simultanei>Value: <number of concurrent threads>

Disabilitare il livello di integrità basso per lo scannerDisable the low integrity level for the scanner

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Per impostazione predefinita, lo scanner di Azure Information Protection viene eseguito con un livello di integrità basso.By default, the Azure Information Protection scanner runs with a low integrity level. Questa impostazione offre un maggiore isolamento di sicurezza, ma influisce negativamente sulle prestazioni.This setting provides higher security isolation but at the cost of performance. Il livello di integrità basso è appropriato se si esegue lo scanner con un account con privilegi (ad esempio un account amministratore locale) in quanto questa impostazione aiuta a proteggere il computer che esegue lo scanner.A low integrity level is suitable if you run the scanner with an account that has privileged rights (such as a local administrator account) because this setting helps to protect the computer running the scanner.

Quando, tuttavia, l'account del servizio che esegue lo scanner ha solo i diritti indicati nei prerequisiti dello scanner, il livello di integrità basso non è necessario e non è consigliato perché influisce negativamente sulle prestazioni.However, when the service account that runs the scanner has only the rights documented in the scanner prerequisites, the low integrity level is not necessary and is not recommended because it negatively affects performance.

Per altre informazioni sui livelli di integrità di Windows, vedere What is the Windows Integrity Mechanism? (Informazioni sul meccanismo di integrità di Windows)For more information about the Windows integrity levels, see What is the Windows Integrity Mechanism?

Per configurare questa impostazione avanzata in modo che lo scanner venga eseguito con un livello di integrità assegnato automaticamente da Windows (un account utente standard viene eseguito con un livello di integrità medio), immettere le stringhe seguenti:To configure this advanced setting so that the scanner runs with an integrity level that's automatically assigned by Windows (a standard user account runs with a medium integrity level), enter the following strings:

  • Chiave: ProcessUsingLowIntegrityKey: ProcessUsingLowIntegrity

  • Valore: FalseValue: False

Modificare le impostazioni di timeout per lo scannerChange the timeout settings for the scanner

Questa configurazione USA Impostazioni client avanzate che è necessario configurare nel portale di Azure.This configuration uses advanced client settings that you must configure in the Azure portal.

Per impostazione predefinita, lo scanner Azure Information Protection ha un periodo di timeout di 00:15:00 (15 minuti) per esaminare ogni file per i tipi di informazioni riservate o per le espressioni Regex configurate per le condizioni personalizzate.By default, the Azure Information Protection scanner has a timeout period of 00:15:00 (15 minutes) to inspect each file for sensitive information types or the regex expressions that you've configured for custom conditions. Quando viene raggiunto il periodo di timeout per questo processo di estrazione del contenuto, vengono restituiti tutti i risultati prima del timeout e l'ulteriore ispezione del file viene arrestata.When the timeout period is reached for this content extraction process, any results before the timeout are returned and further inspection for the file stops. In questo scenario, il messaggio di errore seguente viene registrato in%LocalAppData% \ Microsoft\MSIP\Logs\MSIPScanner.Iplog (compresso se sono presenti più log): GetContentParts non riuscito con l'operazione annullata nei dettagli.In this scenario, the following error message is logged in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs): GetContentParts failed with The operation was canceled in the details.

Se si verifica questo problema di timeout a causa di file di grandi dimensioni, è possibile aumentare questo periodo di timeout per l'estrazione del contenuto completo:If you experience this timeout problem because of large files, you can increase this timeout period for full content extraction:

  • Chiave: ContentExtractionTimeoutKey: ContentExtractionTimeout

  • Valore: <HH: min: sec >Value: <hh:min:sec>

Il tipo di file può influire sul tempo necessario per eseguire la scansione di un file.The file type can influence how long it takes to scan a file. Tempi di analisi di esempio:Example scanning times:

  • Un file di Word 100 MB tipico: 0,5-5 minutiA typical 100 MB Word file: 0.5-5 minutes

  • Un file PDF di 100 MB tipico: 5-20 minutiA typical 100 MB PDF file: 5-20 minutes

  • Un file di Excel di 100 MB tipico: 12-30 minutiA typical 100 MB Excel file: 12-30 minutes

Per alcuni tipi di file di dimensioni molto elevate, ad esempio file video, è consigliabile escluderli dall'analisi aggiungendo l'estensione del nome di file all'opzione tipi di file da analizzare nel profilo dello scanner.For some file types that are very large, such as video files, consider excluding them from the scan by adding the file name extension to the File types to scan option in the scanner profile.

Inoltre, lo scanner Azure Information Protection ha un periodo di timeout di 00:30:00 (30 minuti) per ogni file elaborato.In addition, the Azure Information Protection scanner has a timeout period of 00:30:00 (30 minutes) for each file that it processes. Questo valore prende in considerazione il tempo richiesto per recuperare un file da un repository e salvarlo temporaneamente localmente per le azioni che possono includere la decrittografia, l'estrazione del contenuto per l'ispezione, l'assegnazione di etichette e la crittografia.This value takes into account the time it can take to retrieve a file from a repository and temporarily save it locally for actions that can include decryption, content extraction for inspection, labeling, and encryption.

Sebbene lo scanner di Azure Information Protection possa analizzare dozzine di centinaia di file al minuto, se si dispone di un repository di dati con un numero elevato di file di grandi dimensioni, lo scanner può superare questo periodo di timeout predefinito e, nel portale di Azure, sembra arrestarsi dopo 30 minuti.Although the Azure Information Protection scanner can scan dozens to hundreds of files per minute, if you have a data repository that has a high number of very large files, the scanner can exceed this default timeout period and in the Azure portal, seem to stop after 30 minutes. In questo scenario, il messaggio di errore seguente viene registrato in%LocalAppData% \ Microsoft\MSIP\Logs\MSIPScanner.Iplog (compresso se sono presenti più log) e nel file di log scanner. csv: l'operazione è stata annullata.In this scenario, the following error message is logged in %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (zipped if there are multiple logs) and the scanner .csv log file: The operation was canceled.

Uno scanner con 4 processori core per impostazione predefinita dispone di 16 thread per l'analisi e la probabilità che si verifichino 16 file di grandi dimensioni in un periodo di tempo di 30 minuti dipende dal rapporto dei file di grandi dimensioni.A scanner with 4 core processors by default has 16 threads for scanning and the probability of encountering 16 large files in a 30 minute time period depends on the ratio of the large files. Se, ad esempio, la frequenza di analisi è di 200 file al minuto e l'1% dei file supera il timeout di 30 minuti, esiste una probabilità superiore al 85% che lo scanner rileverà la situazione di timeout di 30 minuti.For example, if the scanning rate is 200 files per minute, and 1% of files exceed the 30 minute timeout, there is a probability of more than 85% that the scanner will encounter the 30 minute timeout situation. Questi timeout possono causare tempi di analisi più lunghi e un maggiore consumo di memoria.These timeouts can result in longer scanning times and higher memory consumption.

In questa situazione, se non è possibile aggiungere più processori di base al computer dello scanner, provare a ridurre il periodo di timeout per ottenere una migliore frequenza di analisi e ridurre il consumo di memoria, ma con il riconoscimento che alcuni file verranno esclusi.In this situation, if you cannot add more core processors to the scanner computer, consider decreasing the timeout period for better scanning rates and lower memory consumption, but with the acknowledgment that some files will be excluded. In alternativa, provare ad aumentare il periodo di timeout per ottenere risultati di analisi più accurati, ma con il riconoscimento che questa configurazione comporterà probabilmente una riduzione delle frequenze di analisi e un maggiore consumo di memoria.Alternatively, consider increasing the timeout period for more accurate scanning results but with the acknowledgment that this configuration will likely result in lower scanning rates and higher memory consumption.

Per modificare il periodo di timeout per l'elaborazione dei file, configurare l'impostazione client avanzata seguente:To change the timeout period for file processing, configure the following advanced client setting:

  • Chiave: FileProcessingTimeoutKey: FileProcessingTimeout

  • Valore: <HH: min: sec >Value: <hh:min:sec>

Modificare il livello di registrazione localeChange the local logging level

Questa configurazione usa un'impostazione avanzata del client che deve essere configurata nel Portale di Azure.This configuration uses an advanced client setting that you must configure in the Azure portal.

Per impostazione predefinita, il client Azure Information Protection scrive i file di log del client nella cartella %localappdata%\Microsoft\MSIP.By default, the Azure Information Protection client writes client log files to the %localappdata%\Microsoft\MSIP folder. Questi file sono destinati al supporto tecnico Microsoft per la risoluzione dei problemi.These files are intended for troubleshooting by Microsoft Support.

Per modificare il livello di registrazione per questi file, configurare l'impostazione client avanzata seguente:To change the logging level for these files, configure the following advanced client setting:

  • Chiave: LogLevelKey: LogLevel

  • Valore: <livello di registrazione>Value: <logging level>

Impostare il livello di registrazione su uno dei valori seguenti:Set the logging level to one of the following values:

  • Disattivato: nessuna registrazione locale.Off: No local logging.

  • Errore: solo errori.Error: Errors only.

  • Info: registrazione minima, che non include ID evento (impostazione predefinita per lo scanner).Info: Minimum logging, which includes no event IDs (the default setting for the scanner).

  • Debug: informazioni complete.Debug: Full information.

  • Trace: registrazione dettagliata (impostazione predefinita per i client).Trace: Detailed logging (the default setting for clients). Per lo scanner, questa impostazione ha un impatto significativo sulle prestazioni e deve essere abilitata solo se richiesto dal supporto tecnico Microsoft.For the scanner, this setting has a significant performance impact and should be enabled for the scanner only if requested by Microsoft Support. Se viene richiesto di impostare questo livello di registrazione per lo scanner, ricordarsi di impostare un valore diverso dopo aver raccolto i log rilevanti.If you are instructed to set this level of logging for the scanner, remember to set a different value when the relevant logs have been collected.

Questa impostazione client avanzata non modifica le informazioni inviate ad Azure Information Protection per reporting centralizzato o le informazioni scritte nel registro eventi locale.This advanced client setting does not change the information that's sent to Azure Information Protection for central reporting, or change the information that's written to the local event log.

Integrazione con la classificazione dei messaggi di Exchange per una soluzione di etichettatura dei dispositivi mobiliIntegration with Exchange message classification for a mobile device labeling solution

Outlook sul Web supporta ora l'assegnazione di etichette incorporata per Exchange Online, che è il metodo consigliato per etichettare i messaggi di posta elettronica in Outlook sul Web.Outlook on the web now supports built-in labeling for Exchange Online, which is the recommended method to label emails in Outlook on the web. Tuttavia, se non si usano ancora le etichette di riservatezza pubblicate dal Centro sicurezza e conformità di Office 365, il Centro sicurezza Microsoft 365 o Microsoft Compliance Center, è possibile usare la classificazione dei messaggi di Exchange per estendere le informazioni di Azure Etichette di protezione per gli utenti mobili quando usano Outlook sul Web.However, if you're not yet using sensitivity labels that are published from the Office 365 Security & Compliance Center, Microsoft 365 security center, or Microsoft compliance center, you can use Exchange message classification to extend Azure Information Protection labels to your mobile users when they use Outlook on the web. È inoltre possibile utilizzare questo metodo per Exchange Server.You can also use this method for Exchange Server.

Outlook Mobile non supporta la classificazione dei messaggi di Exchange.Outlook Mobile does not support Exchange message classification.

Per ottenere questa soluzione:To achieve this solution:

  1. Usare il cmdlet New-MessageClassification di Exchange PowerShell per creare le classificazioni dei messaggi con la proprietà Name che esegue il mapping ai nomi di etichetta nei criteri di Azure Information Protection.Use the New-MessageClassification Exchange PowerShell cmdlet to create message classifications with the Name property that maps to your label names in your Azure Information Protection policy.

  2. Creare una regola del flusso di posta di Exchange per ogni etichetta: applicare la regola quando le proprietà del messaggio includono la classificazione configurata e modificare le proprietà del messaggio per impostare un'intestazione del messaggio.Create an Exchange mail flow rule for each label: Apply the rule when the message properties include the classification that you configured, and modify the message properties to set a message header.

    Per l'intestazione del messaggio, è possibile trovare le informazioni da specificare controllando le intestazioni Internet di un messaggio di posta elettronica inviato e classificato tramite l'etichetta Azure Information Protection.For the message header, you find the information to specify by inspecting the internet headers of an email that you sent and classified by using your Azure Information Protection label. Cercare l'intestazione msip_labels e la stringa che segue immediatamente, fino ed escludendo il punto e virgola.Look for the header msip_labels and the string that immediately follows, up to and excluding the semicolon. Ad esempio:For example:

    msip_labels: MSIP_Label_0e421e6d-ea17-4FDB-8f01-93a3e71333b8_Enabled = truemsip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True

    Quindi, per l'intestazione del messaggio nella regola, specificare msip_labels per l'intestazione e la parte rimanente della stringa per il valore dell'intestazione.Then, for the message header in the rule, specify msip_labels for the header, and the remainder of this string for the header value. Ad esempio:For example:

    Regola del flusso di posta di Exchange Online di esempio che imposta l'intestazione del messaggio per un'etichetta di Azure Information Protection specifica

    Nota: quando l'etichetta è un'etichetta secondaria, è necessario specificare anche l'etichetta padre prima dell'etichetta secondaria nel valore di intestazione, usando lo stesso formato.Note: When the label is a sublabel, you must also specify the parent label before the sublabel in the header value, using the same format. Ad esempio, se il GUID dell'etichetta secondaria è 27efdf94-80a0-4d02-b88c-b615c12d69a9, il valore potrebbe essere simile al seguente: MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=TrueFor example, if your sublabel has a GUID of 27efdf94-80a0-4d02-b88c-b615c12d69a9, your value might look like the following: MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True

Prima di eseguire il test della configurazione, tenere presente che spesso si verifica un ritardo quando vengono create o modificate le regole del flusso di posta. Ad esempio, può essere necessario attendere un'ora.Before you test this configuration, remember that there is often a delay when you create or edit mail flow rules (for example, wait an hour). Se la regola è attiva, quando gli utenti usano Outlook sul Web, si verificano gli eventi seguenti:When the rule is in effect, the following events now happen when users use Outlook on the web:

  • Gli utenti selezionano la classificazione dei messaggi di Exchange e inviano il messaggio di posta elettronica.Users select the Exchange message classification and send the email.

  • La regola di Exchange rileva la classificazione di Exchange e di conseguenza modifica l'intestazione del messaggio per aggiungere la classificazione di Azure Information Protection.The Exchange rule detects the Exchange classification and accordingly modifies the message header to add the Azure Information Protection classification.

  • Se i destinatari interni visualizzano il messaggio di posta elettronica in Outlook e hanno installato il client di Azure Information Protection, vedono l'etichetta di Azure Information Protection assegnata.When internal recipients view the email in Outlook and they have the Azure Information Protection client installed, they see the Azure Information Protection label assigned.

Se le etichette di Azure Information Protection applicano la protezione, aggiungere questa protezione alla configurazione della regola: selezionare l'opzione per modificare la sicurezza del messaggio, applicare la protezione dei diritti e quindi selezionare il modello di protezione o l'opzione non inoltrare.If your Azure Information Protection labels apply protection, add this protection to the rule configuration: Selecting the option to modify the message security, apply rights protection, and then select the protection template or Do Not Forward option.

È anche possibile configurare regole del flusso di posta per eseguire il mapping inverso.You can also configure mail flow rules to do the reverse mapping. Quando viene rilevata un'etichetta di Azure Information Protection, impostare una classificazione dei messaggi di Exchange corrispondente:When an Azure Information Protection label is detected, set a corresponding Exchange message classification:

  • Per ogni etichetta di Azure Information Protection, creare una regola del flusso di posta da applicare quando l'intestazione msip_labels include il nome dell'etichetta (ad esempio, General) e applicare una classificazione dei messaggi che esegua il mapping a questa etichetta.For each Azure Information Protection label: Create a mail flow rule that is applied when the msip_labels header includes the name of your label (for example, General), and apply a message classification that maps to this label.

Passaggi successiviNext steps

Dopo aver personalizzato il client di Azure Information Protection, vedere le risorse seguenti per altre informazioni eventualmente necessarie per supportare il client:Now that you've customized the Azure Information Protection client, see the following resources for additional information that you might need to support this client: