Configurazione della collaborazione per i documenti protetti con Azure Information ProtectionConfiguring secure document collaboration by using Azure Information Protection

Si applica a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Quando si usa Azure Information Protection, è possibile proteggere i documenti senza sacrificare la collaborazione per gli utenti autorizzati.When you use Azure Information Protection, you can protect your documents without sacrificing collaboration for authorized users. La maggior parte dei documenti creati da un utente e quindi condivisi con altri per la visualizzazione e la modifica è costituita da documenti di Office Word, Excel e PowerPoint.The majority of documents that one user creates and then shares with others to view and edit will be Office documents from Word, Excel, and PowerPoint. Questi documenti supportano la protezione nativa, ovvero oltre alle funzionalità di protezione di autorizzazione e crittografia, supportano anche l'autorizzazione limitata per un controllo più granulare.These documents support native protection, which means that in addition to the protection features of authorization and encryption, they also support restricted permission for more fine-grained control.

Queste autorizzazioni sono denominate anche diritti di utilizzo e includono autorizzazioni come visualizzazione, modifica e stampa.These permissions are called usage rights, and include permissions such as view, edit, print. È possibile definire singoli diritti di utilizzo quando un documento è protetto oppure è possibile definire un gruppo di diritti di utilizzo, denominato livello di autorizzazione.You can define individual usage rights when a document is protected, or you can define a grouping of usage rights, called permission levels. I livelli di autorizzazione semplificano la selezione dei diritti di utilizzo usati in genere insieme, ad esempio i diritti Revisore e Coautore.Permission levels make it easier to select usage rights that are typically used together, for example, Reviewer and Co-Author. Per ulteriori informazioni sui diritti di utilizzo e sui livelli di autorizzazione, vedere Configuring Usage Rights for Azure Information Protection.For more information about usage rights and permission levels, see Configuring usage rights for Azure Information Protection.

Quando si configurano queste autorizzazioni, è possibile specificare gli utenti cui sono destinate:When you configure these permissions, you can specify which users they are for:

  • Per gli utenti nella stessa organizzazione o in una organizzazione diversa che usa Azure Active Directory: è possibile specificare account utente Azure AD, gruppi Azure AD o tutti gli utenti nell'organizzazione.For users in your own organization or another organization that uses Azure Active Directory: You can specify Azure AD user accounts, Azure AD groups, or all users in that organization.

  • Per gli utenti che non hanno un account Azure Active Directory: specificare un indirizzo di posta elettronica che verrà usato con un account Microsoft.For users who do not have an Azure Active Directory account: Specify an email address that will be used with a Microsoft account. Questo account può esistere già oppure gli utenti possono crearlo quando aprono il documento protetto.This account can already exist, or users can create it at the time they open the protected document.

    Per aprire documenti con un account Microsoft, gli utenti devono usare app di Office 365 (A portata di clic).To open documents with a Microsoft account, users must use Office 365 apps (Click-to-Run). Le altre edizioni e versioni di Office non supportano ancora l'apertura di documenti protetti di Office con un account Microsoft.Other Office editions and versions do not yet support opening Office protected documents with a Microsoft account.

  • Per gli utenti autenticati: questa opzione è adatta quando non è necessario controllare chi accede al documento protetto, purché l'utente possa essere autenticato.For any authenticated user: This option is suitable for when you don't need to control who accesses the protected document, providing the user can be authenticated. L'autenticazione può essere eseguita da Azure AD, usando un account Microsoft, o anche da un provider di servizi di social networking federato o una passcode monouso quando il contenuto viene protetto dalle nuove funzionalità di Office 365 Message Encryption.The authentication can be by Azure AD, by using a Microsoft account, or even a federated social provider or one-time passcode when the content is protected by the new capabilities of Office 365 Message Encryption.

Un amministratore può configurare un'etichetta di Azure Information Protection per applicare le autorizzazioni e gli utenti autorizzati.As an administrator, you can configure an Azure Information Protection label to apply the permissions and authorized users. Questa configurazione semplifica notevolmente per gli utenti e altri amministratori l'applicazione delle corrette impostazioni di protezione, perché possono applicare semplicemente l'etichetta senza dover specificare alcun dettaglio.This configuration makes it very easy for users and other administrators to apply the correct protection settings, because they simply apply the label without having to specify any details. Le sezioni seguenti forniscono un esempio di procedura dettagliata per proteggere un documento che supporta la collaborazione sicura con utenti interni ed esterni.The following sections provide an example walk through to protect a document that supports secure collaboration with internal and external users.

Configurazione di esempio per un'etichetta per l'applicazione della protezione in modo da supportare la collaborazione interna ed esternaExample configuration for a label to apply protection to support internal and external collaboration

Questo esempio descrive in modo dettagliato la configurazione di un'etichetta esistente per applicare la protezione in modo che gli utenti dell'organizzazione possano collaborare a documenti con tutti gli utenti di un'altra organizzazione che usa Office 365 o Azure AD, con un gruppo di un'organizzazione diversa che usa Office 365 o Azure AD e con un utente che non ha un account in Azure AD e che usa invece il proprio indirizzo di posta elettronica Gmail.This example walks through configuring an existing label to apply protection so that users from your organization can collaborate on documents with all users from another organization that has Office 365 or Azure AD, a group from a different organization that has Office 365 or Azure AD, and a user who doesn't have an account in Azure AD and instead will use their Gmail email address.

Poiché lo scenario limita l'accesso a specifici utenti, non include l'impostazione per tutti gli utenti autenticati.Because the scenario restricts access to specific people, it does not include the setting for any authenticated users. Per un esempio di configurazione di un'etichetta con questa impostazione, vedere Esempio 5: Etichetta che crittografa il contenuto, ma non limita chi può accedervi.For an example of how you can configure a label with this setting, see Example 5: Label that encrypts content but doesn't restrict who can access it.

  1. Selezionare l'etichetta già inclusa nei criteri globali o in criteri con ambito.Select your label that's already in the global policy or a scoped policy. Nel riquadro Protezione verificare che sia selezionata l'opzione Azure (chiave cloud) .On the Protection pane, make sure Azure (cloud key) is selected.

  2. Verificare che sia selezionata l'opzione Configura le autorizzazioni e fare clic su Aggiungi autorizzazioni.Make sure Set permissions is selected, and select Add permissions.

  3. Nel riquadro Aggiungi autorizzazioni:On the Add permissions pane:

    • Per il gruppo interno: selezionare Cerca nella directory per selezionare il gruppo, che deve essere abilitato per la posta elettronica.For your internal group: Select Browse directory to select the group, which must be email-enabled.

    • Per tutti gli utenti nella prima organizzazione esterna: selezionare Immettere i dettagli e digitare il nome di un dominio nel tenant dell'organizzazione.For all users in the first external organization: Select Enter details and type the name of a domain in the organization's tenant. Ad esempio, fabrikam.com.For example, fabrikam.com.

    • Per il gruppo nella seconda organizzazione esterna: sempre nella scheda Immettere i dettagli, digitare l'indirizzo di posta elettronica del gruppo nel tenant dell'organizzazione.For the group in the second external organization: Still on the Enter details tab, type the email address of the group in the organization's tenant. Ad esempio, sales@contoso.comFor example, sales@contoso.com.

    • Per l'utente che non ha un account Azure AD: sempre nella scheda Immettere i dettagli, digitare l'indirizzo di posta elettronica dell'utente.For the user who doesn't have an Azure AD account: Still on the Enter details tab, type the user's email address. Ad esempio, bengi.turan@gmail.comFor example, bengi.turan@gmail.com.

  4. Per concedere le stesse autorizzazioni a tutti questi utenti: per Scegliere le autorizzazioni dai valori preimpostati selezionare Comproprietario, Coautore, Revisore o Personalizzate per selezionare le autorizzazioni che si vuole concedere.To grant the same permissions to all these users: For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    Ad esempio, le autorizzazioni configurate possono essere simili alle seguenti:For example, your configured permissions might look similar to the following:

    Configurazione delle autorizzazioni per la collaborazione sicura

  5. Fare clic su OK nel riquadro Aggiungi autorizzazioni.Click OK on the Add permissions pane.

  6. Nel riquadro protezione fare clic su OK.On the Protection pane, click OK.

  7. Nel riquadro Etichetta selezionare Salva.On the Label pane, select Save.

Applicazione dell'etichetta che supporta la collaborazione sicuraApplying the label that supports secure collaboration

Dopo aver configurato l'etichetta, questa può essere applicata ai documenti in diversi modi, tra cui i seguenti:Now that this label is configured, it can be applied to documents in a number of ways that include the following:

Metodi diversi per l'applicazione dell'etichettaDifferent ways to apply the label Altre informazioniMore information
Un utente seleziona manualmente l'etichetta quando il documento viene creato nell'applicazione di Office.A user manually selects the label when the document is created in their Office application. Gli utenti selezionano l'etichetta tramite il pulsante Proteggi sulla barra multifunzione di Office oppure sulla barra di Azure Information Protection.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar.
Agli utenti viene richiesto di selezionare un'etichetta quando viene salvato un nuovo documento.Users are prompted to select a label when a new document is saved. È stata configurata l'impostazione di criteri di Azure Information Protection denominata All documents and emails must have a label (Tutti i documenti e i messaggi di posta elettronica devono avere un'etichetta).You've configured the Azure Information Protection policy setting named All documents and emails must have a label.
Un utente condivide il documento tramite posta elettronica e seleziona manualmente l'etichetta in Outlook.A user shares the document by email and manually selects the label in Outlook. Gli utenti selezionano l'etichetta tramite il pulsante Proteggi sulla barra multifunzione di Office o sulla barra di Azure Information Protection e il documento allegato viene automaticamente protetto con le stesse impostazioni.Users select the label from the Protect button on the Office ribbon, or from the Azure Information Protection bar, and the attached document is automatically protected with the same settings.
Un amministratore applica l'etichetta al documento usando PowerShell.An administrator applies the label to the document by using PowerShell. Usare il cmdlet Set-AIPFileLabel per applicare l'etichetta a un documento specifico o a tutti i documenti in una cartella.Use the Set-AIPFileLabel cmdlet to apply the label to a specific document or all documents in a folder.
L'etichetta è stata configurata anche per applicare la classificazione automatica, che può ora essere applicata tramite lo scanner di Azure Information Protection o PowerShell.You have additionally configured the label to apply automatic classification that can now be applied by using the Azure Information Protection scanner, or PowerShell. Vedere Come configurare le condizioni per la classificazione automatica e consigliata per Azure Information Protection.See How to configure conditions for automatic and recommended classification for Azure Information Protection.

Per completare questa procedura dettagliata, applicare manualmente l'etichetta quando si crea il documento nell'applicazione di Office:To complete this walkthrough, manually apply the label when you create the document in your Office application:

  1. In un computer client, se l'applicazione di Office è già aperta, chiuderla e riaprirla per ottenere le ultime modifiche dei criteri che includono la nuova etichetta configurata.On a client computer, if you already have your Office application open, first close and reopen it to get the latest policy changes that include your newly configured label.

  2. Applicare l'etichetta a un documento e quindi salvare il documento.Apply the label to a document, and save it.

Condividere il documento protetto allegandolo a un messaggio di posta elettronica e inviarlo alle persone che sono state autorizzate a modificarlo.Share the protected document by attaching it to an email, and send it to the people you authorized to edit the document.

Apertura e modifica del documento protettoOpening and editing the protected document

Quando gli utenti autorizzati aprono il documento per la modifica, il documento viene aperto con un banner informativo che indica che le autorizzazioni sono limitate.When users that you authorized open the document for editing, the document opens with an information banner that informs them that permissions are restricted. Ad esempio:For example:

Banner informativo di esempio sulle autorizzazioni di Azure Information Protection

Se gli utenti selezionano il pulsante Visualizza autorizzazioni, potranno visualizzare le informazioni loro assegnate.If they select the View Permission button, they see the permissions that they have. Nell'esempio seguente l'utente può visualizzare e modificare il documento:In the following example, the user can view and edit the document:

Finestra di dialogo di esempio delle autorizzazioni di Azure Information Protection

Nota: se il documento viene aperto da utenti esterni che usano anche Azure Information Protection, l'applicazione Office non visualizza l'etichetta di classificazione per il documento, anche se rimangono i contrassegni visivi dall'etichetta.Note: If the document is opened by external users who are also using Azure Information Protection, the Office application does not display your classification label for the document, although any visual markings from the label remain. Gli utenti esterni possono invece applicare la propria etichetta in linea con la tassonomia di classificazione dell'organizzazione.Instead, external users can apply their own label in line with their organization's classification taxonomy. Se questi utenti esterni inviano quindi nuovamente il documento modificato all'utente, Office visualizza l'etichetta di classificazione originale quando si riapre il documento.If these external users then send back the edited document to you, Office displays your original classification label when you reopen the document.

Prima dell'apertura del documento protetto, viene avviato uno dei flussi di autenticazione seguenti:Before the protected document opens, one of the following authentication flows happen:

  • Gli utenti che hanno un account Azure AD usano le proprie credenziali per essere autenticati da Azure AD e quindi il documento viene aperto.For the users who have an Azure AD account, they use their Azure AD credentials to be authenticated by Azure AD, and the document opens.

  • Gli utenti che non hanno un account Azure AD e non hanno effettuato l'accesso a Office con un account che ha le autorizzazioni necessarie per aprire il documento visualizzeranno la pagina Account.For the user who doesn't have an Azure AD account, if they are not signed in to Office with an account that has permissions to open the document, they see the Accounts page.

    Nella pagina Account selezionare Aggiungi account:On the Accounts page, select Add Account:

    Aggiunta di un account Microsoft per aprire il documento protetto

    Nella pagina Accedi selezionare Creane unoOn the Sign in page, select Create one! e seguire le indicazioni per creare un nuovo account Microsoft con l'indirizzo di posta elettronica usato per concedere le autorizzazioni:and follow the prompts to create a new Microsoft account with the email address that was used to grant the permissions:

    Creazione di un account Microsoft per aprire il documento protetto

    Quando viene creato il nuovo account Microsoft, l'account locale passa a questo nuovo account Microsoft e l'utente può quindi aprire il documento.When the new Microsoft account is created, the local account switches to this new Microsoft account and the user can then open the document.

Scenari supportati per l'apertura di documenti protettiSupported scenarios for opening protected documents

La tabella seguente offre un riepilogo dei diversi metodi di autenticazione supportati per la visualizzazione e la modifica di documenti protetti.The following table summaries the different authentication methods that are supported for viewing and editing protected documents.

Anche gli scenari seguenti supportano la visualizzazione di documenti:In addition, the following scenarios support viewing documents:

  • Il visualizzatore Azure Information Protection per Windows e per iOS e Android può aprire file tramite un account Microsoft.The Azure Information Protection viewer for Windows, and for iOS and Android can open files by using a Microsoft account.

  • Un browser può aprire gli allegati protetti quando vengono usati i provider di servizi di social networking e le passcode monouso per l'autenticazione con Exchange Online e le nuove funzionalità di Office 365 Message Encryption.A browser can open protected attachments when social providers and one-time passcodes are used for authentication with Exchange Online and the new capabilities from Office 365 Message Encryption.

Piattaforme per la visualizzazione e la modifica di documenti:Platforms for viewing and editing documents:
Word, Excel, PowerPointWord, Excel, PowerPoint
Metodo di autenticazione:Authentication method:
Azure ADAzure AD
Metodo di autenticazione:Authentication method:
Account MicrosoftMicrosoft account
WindowsWindows [1]Yes [1] [2]Yes [2]
iOSiOS [1]Yes [1] NoNo
AndroidAndroid [1]Yes [1] NoNo
MacOSMacOS [1]Yes [1] NoNo
Nota 1Footnote 1

Supporta account utente, gruppi abilitati per la posta elettronica e tutti i membri.Supports user accounts, email-enabled groups, all members. Gli account utente e i gruppi abilitati per la posta elettronica possono includere account guest.User accounts and email-enabled groups can include guest accounts. Da tutti i membri sono esclusi gli account guest.All members exclude guest accounts.

Nota 2Footnote 2

Attualmente supportato solo da app di Office 365 (A portata di clic).Currently supported by Office 365 apps (Click-to-Run) only.

Passaggi successiviNext steps

Vedere altre configurazioni di esempio per informazioni sulle etichette per l'applicazione della protezione per alcuni scenari comuni.See other example configurations for labels to apply protection for common scenarios. Questo articolo contiene altre informazioni sulle impostazioni di protezione.This article also contains more details about the protection settings.

Per maggiori informazioni sulle altre opzioni e impostazioni che è possibile configurare per l'etichetta, vedere Configurazione dei criteri di Azure Information Protection.For more information about the other options and settings that you can configure for your label, see Configuring Azure Information Protection policy.

L'etichetta configurata in questo articolo crea anche un modello di protezione dallo stesso nome.The label that was configured in this article also creates a protection template by the same name. Se sono presenti applicazioni e servizi che si integrano con modelli di protezione di Azure Information Protection, possono applicare questo modello.If you have applications and services that integrate with protection templates from Azure Information Protection, they can apply this template. Ad esempio, le soluzioni DLP e le regole di flusso di posta.For example, DLP solutions and mail flow rules. Outlook sul Web visualizza automaticamente i modelli di protezione dai criteri globali di Azure Information Protection.Outlook on the web automatically displays protection templates from the Azure Information Protection global policy.