Guida amministratore: Tipi di file supportati dal client classico di Azure Information Protection
Il client classico di Azure Information Protection può applicare quanto segue ai documenti e ai messaggi di posta elettronica:
Solo classificazione
Classificazione e protezione
Solo protezione
Il client Azure Information Protection può anche esaminare il contenuto di alcuni tipi di file che usano tipi di informazioni riservate noti o espressioni regolari definite dall'utente.
Usare le informazioni seguenti per verificare quali tipi di file sono supportati dal client di Azure Information Protection, comprendere i diversi livelli di protezione e come modificare il livello di protezione predefinito e individuare quali file vengono automaticamente esclusi (ignorati) dalla classificazione e dalla protezione.
Per i tipi di file elencati, i percorsi WebDav non sono supportati.
Tipi di file supportati solo per la classificazione
I tipi di file seguenti possono essere classificati anche se non sono protetti.
Adobe Portable Document Format: .pdf
Microsoft Project: .mpp, .mpt
Microsoft Publisher: .pub
Microsoft XPS: .xps .oxps
Immagini: con estensione jpg, jpe, jpeg, jif, jfif, jfi, png, tif e tiff
Autodesk Design Review 2013: .dwfx
Adobe Photoshop: .psd
Digital Negative: .dng
Microsoft Office: i tipi di file nella tabella seguente.
I formati di file supportati per questi tipi di file sono i formati 97-2003 e Office Open XML per i programmi di Office seguenti: Word, Excel e PowerPoint.
Tipo di file Office Tipo di file Office doc
docm
docx
dot
dotm
dotx
potm
potx
pps
ppsm
ppsx
ppt
pptm
pptx
.vdw
vsd.vsdm
.vsdx
.vss
.vssm
.vst
.vstm
.vssx
.vstx
xls
xlsb
xlt
xlsm
xlsx
xltm
xltx
Tipi di file aggiuntivi supportano la classificazione anche quando sono protetti. Per altre informazioni su questi file, vedere la sezione Tipi di file supportati per la classificazione e la protezione.
Ad esempio, nei criteri predefiniti correnti l'etichetta Generale si applica alla classificazione e non alla protezione. È possibile applicare l'etichetta Generale a un file denominato sales.pdf, ma non a un file denominato sales.txt.
Anche nei criteri predefiniti correnti l'etichetta Riservato \ Tutti i dipendenti si applica a classificazione e protezione. È possibile applicare questa etichetta a un file denominato sales.pdf, ma non a un file denominato sales.txt. È possibile applicare solo la protezione a questi file, senza applicare la classificazione.
Tipi di file supportati per la protezione
Il client Azure Information Protection supporta la protezione a due livelli diversi, come descritto nella tabella seguente.
| Tipo di protezione | Nativo | Generico |
|---|---|---|
| Descrizione | Per file di testo e immagine, file di Microsoft Office (Word, Excel e PowerPoint), file con estensione pdf e altri tipi di file di applicazione che supportano un servizio Rights Management, la protezione nativa offre un forte livello di protezione che include crittografia e applicazione di diritti (autorizzazioni). | Per altri tipi di file supportati, la protezione generica offre un livello di protezione che include l'incapsulamento di entrambi i file usando il tipo di file con estensione pfile e l'autenticazione per verificare se un utente è autorizzato ad aprire il file. |
| Protezione | La protezione dei file viene applicata nei modi seguenti: - Prima di eseguire il rendering del contenuto protetto, è necessario che venga eseguita l'autenticazione per coloro che ricevono il file tramite posta elettronica o a cui viene concesso l'accesso al file tramite autorizzazioni di file o condivisione. - Vengono anche applicati tutti i diritti di utilizzo e i criteri impostati dal proprietario del contenuto al momento dell'applicazione della protezione ai file quando viene eseguito il rendering del contenuto nel visualizzatore Azure Information Protection (per i file di testo e immagine protetti) o nell'applicazione associata (per tutti gli altri tipi di file supportati). |
La protezione dei file viene applicata nei modi seguenti: - Prima di eseguire il rendering del contenuto protetto, è necessario che venga eseguita l'autenticazione per coloro che sono autorizzati ad aprire il file e a cui viene concesso l'accesso al file. Se l'autorizzazione non riesce, il file non viene aperto. - Vengono visualizzati i diritti di utilizzo e i criteri impostati dal proprietario del contenuto per comunicare agli utenti autorizzati i criteri di utilizzo previsti. - Viene effettuata la registrazione di controllo dell'apertura di file e dell'accesso a questi da parte di utenti autorizzati. I diritti di utilizzo, tuttavia, non vengono applicati. |
| Livello predefinito per tipi di file | Questo è il livello di protezione predefinito per i tipi di file seguenti: - File di testo e immagine - File di Microsoft Office (Word, Excel, PowerPoint) - Formato di documento portatile (.pdf) Per altre informazioni, vedere la sezione che segue, Tipi di file supportati per la classificazione e la protezione. |
Questa è la protezione predefinita per tutti gli altri tipi di file (ad esempio i file con estensione vsdx, rtf e così via) che non sono supportati dalla protezione nativa. |
È possibile modificare il livello di protezione predefinito applicato dal client Azure Information Protection. È possibile modificare il livello predefinito da nativo a generico, da generico a nativo e anche impedire al client Azure Information Protection di applicare la protezione. Per altre informazioni, vedere la sezione Modifica del livello di protezione predefinito dei file in questo articolo.
La protezione dei dati può essere applicata automaticamente quando un utente seleziona un'etichetta configurata da un amministratore oppure gli utenti possono specificare impostazioni di protezione personalizzate tramite livelli di autorizzazione.
Dimensioni dei file supportati per la protezione
Esistono dimensioni massime dei file supportati dal client Azure Information Protection per la protezione.
Per i file Office:
Applicazione di Office Dimensione massima del file supportata Word 2007 (supportato solo da AD RMS)
Word 2010
Word 2013
Word 201632 bit: 512 MB
64 bit: 512 MBExcel 2007 (supportato solo da AD RMS)
Excel 2010
Excel 2013
Excel 201632 bit: 2 GB
64 bit: limitato solo dalla memoria e dallo spazio disponibile su discoPowerPoint 2007 (supportato solo da AD RMS)
PowerPoint 2010
PowerPoint 2013
PowerPoint 201632 bit: limitato solo dalla memoria e dallo spazio disponibile su disco
64 bit: limitato solo dalla memoria e dallo spazio disponibile su discoPer tutti gli altri file:
Per proteggere altri tipi di file e aprire questi tipi di file nel visualizzatore Azure Information Protection: le dimensioni massime dei file sono limitate solo dalla memoria e dallo spazio su disco disponibili.
Per rimuovere la protezione dai file tramite il cmdlet Unprotect-RMSFile: le dimensioni massime del file supportate per i file con estensione pst sono 5 GB. Gli altri tipi di file sono limitati solo dalla memoria e dallo spazio disponibile su disco.
Suggerimento
Se è necessario cercare o recuperare elementi protetti in file pst di grandi dimensioni, vedere Rimozione della protezione nei file PST.
Tipi di file supportati per la classificazione e la protezione
La tabella seguente elenca un subset di tipi di file che supportano la protezione nativa in base al client di Azure Information Protection e che possono anche essere classificati.
Questi tipi di file vengono identificati separatamente perché quando sono protetti in modo nativo l'estensione del nome file originale viene modificata e i file diventano di sola lettura. Si noti che se i file sono protetti in modo generico, l'estensione del nome file originale viene sempre modificata in pfile.
Avviso
Se si dispone di firewall, proxy Web o software di protezione che esaminano e agiscono in base alle estensioni di file, potrebbe essere necessario riconfigurare tali software e dispositivi di rete per supportare queste nuove estensioni.
| Estensione del file originale | Estensione dei file protetti |
|---|---|
| .txt | ptxt |
| xml | pxml |
| jpg | pjpg |
| jpeg | pjpeg |
| .ppdf [1] | |
| png | ppng |
| tif | .ptif |
| tiff | ptiff |
| bmp | pbmp |
| gif | pgif |
| jpe | pjpe |
| jfif | pjfif |
| jt | pjt |
Nota 1
Con l'ultima versione del client Azure Information Protection, per impostazione predefinita l'estensione del documento PDF protetto rimane pdf.
La tabella successiva elenca i rimanenti tipi di file che supportano la protezione nativa in base al client di Azure Information Protection e che possono anche essere classificati. Questi sono riconoscibili come tipi di file delle app di Microsoft Office. I formati di file supportati per questi tipi di file sono i formati 97-2003 e Office Open XML per i programmi di Office seguenti: Word, Excel e PowerPoint.
Per questi file, l'estensione del nome di file rimane invariata dopo che il file è stato protetto da un servizio Rights Management.
| Tipi di file supportati da Office | Tipi di file supportati da Office |
|---|---|
| doc docm docx dot dotm dotx potm potx pps ppsm ppsx ppt pptm pptx .vsdm |
.vsdx .vssm .vssx .vstm .vstx xla xlam xls xlsb xlt xlsm xlsx xltm xltx xps |
Cambiare il livello di protezione predefinito dei file
È possibile modificare il modo in cui il client Azure Information Protection protegge i file modificando il Registro di sistema. Ad esempio, è possibile forzare la protezione generica da parte del client Azure Information Protection per i file che supportano la protezione nativa.
Ecco i motivi per cui si potrebbe scegliere questa opzione:
Per assicurarsi che tutti gli utenti possano aprire il file se non hanno un'applicazione che supporta la protezione nativa.
Per supportare sistemi di sicurezza che agiscono sui file in base alla relativa estensione e che possono essere riconfigurati per supportare l'estensione pfile ma non diverse estensioni di file per la protezione nativa.
Analogamente, è possibile forzare il client Azure Information Protection ad applicare la protezione nativa ai file ai quali, per impostazione predefinita, viene applicata la protezione generica. Questa azione potrebbe essere appropriata se si ha un'applicazione che supporta le API RMS, ad esempio, un'applicazione line-of-business scritta da sviluppatori interni oppure acquistata da un fornitore di software indipendente (ISV).
È anche possibile forzare il client Azure Information Protection a bloccare la protezione dei file, ovvero a non applicare la protezione nativa o quella generica. Ad esempio, questa azione potrebbe essere necessaria se si ha un'applicazione automatica o un servizio che deve essere in grado di aprire un file specifico per elaborare il relativo contenuto. Quando si blocca la protezione per un tipo di file, gli utenti non possono usare il client Azure Information Protection per proteggere un file del tipo specificato. Se ci provano, visualizzano un messaggio che indica che l'amministratore ha impedito la protezione e devono quindi annullare l'azione di protezione del file.
Per configurare il client Azure Information Protection per l'applicazione della protezione generica a tutti i file per impostazione predefinita, apportare le modifiche seguenti al Registro di sistema. Se la chiave FileProtection non esiste, è necessario crearla manualmente.
Creare una nuova chiave denominata * per il percorso del Registro di sistema seguente, che indica i file con qualsiasi estensione del nome file:
Per la versione a 32 bit di Windows: HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
Per la versione a 64 bit di Windows:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection e HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection
Nella chiave appena aggiunta (ad esempio, HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\*), creare un nuovo valore stringa (REG_SZ) denominato Encryption con il valore di dati Pfile.
Questa impostazione ha come risultato l'applicazione della protezione generica da parte del client Azure Information Protection.
Queste due impostazioni hanno come risultato l'applicazione della protezione generica da parte del client Azure Information Protection a tutti i file dotati di estensione. Se è questo l'obiettivo, non è necessario eseguire altre configurazioni. È tuttavia possibile definire eccezioni per specifici tipi di file, in modo che vengano comunque protetti in modo nativo. A tale scopo, è necessario apportare 3 (per Windows a 32 bit) o 6 (per Windows a 64 bit) modifiche aggiuntive del Registro di sistema per ogni tipo di file:
Per HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection e HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIPC\FileProtection (se applicabile): aggiungere una nuova chiave con il nome dell'estensione del nome file (senza il periodo precedente).
Ad esempio, i file con estensione del nome di file .docx, creano una chiave denominata DOCX.
nella nuova chiave aggiunta per il tipo di file, ad esempio HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\FileProtection\DOCX, creare un nuovo valore DWORD denominato AllowPFILEEncryption con valore 0.
Nella nuova chiave aggiunta per il tipo di file, ad esempio HKEY_LOCAL_MACHINE\Software\Microsoft\MSIPC\RmsSharingApp\FileProtection\DOCX, creare un nuovo valore stringa denominato Encryption con valore Native.
In seguito a queste impostazioni, tutti i file sono protetti in modo generico ad eccezione dei file con estensione docx, che sono protetti in modo nativo dal client di Azure Information Protection.
Ripetere questi tre passaggi per altri tipi di file da definire come eccezioni, in quanto supportano la protezione nativa e non si vuole vengano protetti in modo generico dal client Azure Information Protection.
È possibile applicare modifiche del Registro di sistema simili per altri scenari cambiando il valore della stringaEncryption che supporta i valori seguenti:
Pfile: Protezione generica
Nativo: Protezione nativa
Off: Protezione di blocco
Dopo aver apportato queste modifiche del Registro di sistema, non è necessario riavviare il computer. Tuttavia, se si usano i comandi di PowerShell per proteggere i file, è necessario avviare una nuova sessione di PowerShell per rendere effettive le modifiche.
Per fare riferimento alla protezione generica, questa documentazione per sviluppatori usa il termine "PFile".
Tipi di file esclusi dalla classificazione e dalla protezione
Per impedire agli utenti di modificare file critici per il funzionamento del computer, alcuni tipi di file e cartelle vengono automaticamente esclusi dalla classificazione e dalla protezione. Se gli utenti provano a classificare o proteggere questi file usando il client Azure Information Protection, viene visualizzato un messaggio per segnalare che sono esclusi.
Tipi di file esclusi: lnk, exe, com, cmd, bat, dll, ini, pst, sca, drm, sys, cpl, inf, drv, dat, tmp, msg, msp, msi, pdb, jar
Cartelle escluse:
- Windows
- Programmi (\Programmi e \Programmi (x86))
- ProgramData
- \AppData (per tutti gli utenti)
Tipi di file esclusi dalla classificazione e dalla protezione dallo scanner di Azure Information Protection
Per impostazione predefinita lo scanner esclude anche gli stessi tipi di file del client Azure Information Protection, con le eccezioni seguenti:
- Sono esclusi anche i file con estensione RTF e RAR
È possibile modificare i tipi di file inclusi o esclusi per l'analisi dei file eseguita dallo scanner:
- Configurare i tipi di file da analizzare nel profilo dello scanner usando il portale di Azure.
Nota
Se si includono nell'analisi i file con estensione rtf, monitorare attentamente lo scanner. Alcuni file con estensione rtf non possono essere controllati dallo scanner: per questi file l'ispezione non viene completata ed è necessario riavviare il servizio.
Per impostazione predefinita lo scanner protegge solo i tipi di file di Office e i file PDF se questi sono protetti usando lo standard ISO per la crittografia dei file PDF. Per modificare questo comportamento per lo scanner, modificare il Registro di sistema e specificare i tipi di file aggiuntivi da proteggere. Per istruzioni, vedere Usare il Registro di sistema per modificare i tipi di file protetti dalle istruzioni di distribuzione dello scanner.
File che non possono essere protetti per impostazione predefinita
Un file protetto da password non può essere protetto in modo nativo dal client Azure Information Protection a meno che il file non sia attualmente aperto nell'applicazione che applica la protezione. Spesso sono i file con estensione pdf ad essere protetti da password, ma anche altre applicazioni, come ad esempio le app di Office,offrono questa funzionalità.
Se si modifica il comportamento predefinito del client Azure Information Protection in modo che protegga i file PDF con un'estensione di file ppdf, il client non può proteggere in modo nativo o rimuovere la protezione per i file PDF in una della situazioni seguenti:
File PDF basato su modulo.
File PDF protetto con estensione pdf.
Il client di Azure Information Protection può proteggere un file PDF non protetto e può rimuovere la protezione di un file PDF protetto, o riproteggerlo, se il nome file ha estensione ppdf.
Limitazioni per i file contenitore (ad esempio, file con estensione zip)
Per altre informazioni, vedere la raccolta di limitazioni di Azure Information Protection.
Tipi di file supportati per il controllo
Senza alcuna configurazione aggiuntiva, il client Azure Information Protection usa Windows IFilter per esaminare il contenuto dei documenti. Windows IFilter viene usato da Windows Search per l'indicizzazione. Di conseguenza è possibile esaminare i tipi di file seguenti quando si usa lo scanner di Azure Information Protection o il comando di PowerShell Set-AIPFileClassification.
| Tipo di applicazione | Tipo file |
|---|---|
| Word | .doc; docx; .docm; .dot; .dotm; .dotx |
| Excel | .xls; .xlt; .xlsx; .xltx; .xltm; .xlsm; .xlsb |
| PowerPoint | .ppt; .pps; .pot; .pptx; .ppsx; .pptm; .ppsm; .potx; .potm |
| Testo | .txt; .xml; .csv |
Con impostazioni di configurazione aggiuntive è possibile esaminare anche altri tipi di file. Ad esempio, è possibile registrare un'estensione di file personalizzata per usare il gestore di filtro di Windows esistente per i file di testo, ed è anche possibile installare filtri aggiuntivi di produttori di software.
Per verificare quali filtri sono installati, vedere la sezione Finding a Filter Handler for a Given File Extension (Come trovare un gestore filtri per un'estensione di file data) nella Guida sviluppatori di Windows Search.
Le sezioni seguenti includono istruzioni di configurazione per il controllo dei file con estensione zip e tiff.
Per esaminare i file con estensione zip
Lo scanner di Azure Information Protection e il comando di PowerShell Set-AIPFileClassification consentono di esaminare i file con estensione zip se si seguono queste istruzioni:
Per il computer che esegue lo scanner o la sessione di PowerShell, installare Office 2010 Filter Pack SP2.
Per lo scanner: dopo aver trovato informazioni riservate, se il file .zip deve essere classificato e protetto con un'etichetta, aggiungere una voce del Registro di sistema per l'estensione del nome file per avere protezione generica (pfile), come descritto in Usare il Registro di sistema per modificare i tipi di file protetti dalle istruzioni di distribuzione dello scanner.
Scenario di esempio dopo avere eseguito questi passaggi:
Un file denominato accounts.zip contiene fogli di calcolo di Excel con i numeri di carta di credito. I criteri di Azure Information Protection includono un'etichetta denominata Confidential \ Finance, che è configurata per individuare i numeri di carta di credito e applicare automaticamente l'etichetta con una protezione che limita l'accesso al gruppo Finance.
Dopo aver controllato il file, lo scanner lo classifica come Confidential \ Finance, applica la protezione generica al file in modo che solo i membri dei gruppi Finance possano decomprimerlo e lo rinomina accounts.zip.pfile.
Per esaminare i file con estensione tiff tramite OCR
Lo scanner Azure Information Protection e il comando di PowerShell Set-AIPFileClassification possono anche usare una soluzione OCR (Optical Character Recognition) per esaminare immagini TIFF con estensione di file tiff quando si installa la funzionalità IFilter TIFF di Windows e quindi si configurano le impostazioni IFilter TIFF di Windows nel computer che esegue lo scanner o la sessione di PowerShell.
Per lo scanner: dopo aver trovato informazioni riservate, se il file con estensione tiff deve essere classificato e protetto con un'etichetta, aggiungere una voce del Registro di sistema per l'estensione del nome file in modo da avere la protezione nativa, come descritto in Usare il Registro di sistema per modificare i tipi di file protetti dalle istruzioni di distribuzione dello scanner.
Passaggi successivi
Dopo aver identificato i tipi di file supportati dal client di Azure Information Protection, vedere le risorse seguenti per altre informazioni che potrebbero essere necessarie per supportare il client: