Che cos'è Azure Information Protection?What is Azure Information Protection?

Si applica a: Azure Information ProtectionApplies to: Azure Information Protection

Azure Information Protection, noto anche come AIP, è una soluzione basata sul cloud che consente alle organizzazioni di classificare e facoltativamente proteggere documenti e messaggi di posta elettronica tramite l'applicazione di etichette.Azure Information Protection (sometimes referred to as AIP) is a cloud-based solution that helps an organization to classify and optionally, protect its documents and emails by applying labels. Le etichette possono essere applicate automaticamente dagli amministratori, che definiscono regole e condizioni, manualmente dagli utenti oppure da entrambi, quando gli utenti ricevono raccomandazioni dagli amministratori.Labels can be applied automatically by administrators who define rules and conditions, manually by users, or a combination where users are given recommendations.

L'immagine seguente mostra un esempio di Azure Information Protection in azione nel computer di un utente.The following picture shows an example of Azure Information Protection in action on a user's computer. L'amministratore ha configurato un'etichetta con regole che rilevano i dati sensibili e in questo esempio si tratta delle informazioni di carta di credito.The administrator has configured a label with rules that detect sensitive data and in our example, this is credit card information. Quando un utente salva un documento di Word che contiene un numero di carta di credito vede una descrizione comando personalizzata che consiglia di applicare l'etichetta configurata dall'amministratore.When a user saves a Word document that contains a credit card number, she sees a custom tooltip that recommends the label that the administrator has configured. Questa etichetta classifica il documento e lo protegge.This label classifies the document and protects it.

Esempio di classificazione consigliata per Azure Information Protection

Screenshot dal client di Azure Information Protection (classico)Screenshot from the Azure Information Protection client (classic)

Dopo che il contenuto è stato classificato (e facoltativamente protetto), è possibile rilevare e controllare come viene usato.After your content is classified (and optionally protected), you can then track and control how it is used. È possibile analizzare i flussi di dati per ottenere informazioni sulle attività aziendali, rilevare comportamenti a rischio e adottare misure correttive, tenere traccia dell'accesso ai documenti, impedire la perdita o l'uso improprio di dati e così via.You can analyze data flows to gain insight into your business, detect risky behaviors and take corrective measures, track access to documents, prevent data leakage or misuse, and so on.

Modalità di classificazione in base alle etichetteHow labels apply classification

Le etichette di Azure Information Protection consentono di applicare la classificazione a documenti e messaggi di posta elettronica.You use Azure Information Protection labels to apply classification to documents and emails. In questo modo, la classificazione è identificabile indipendentemente dalla posizione di archiviazione dei dati o dagli utenti con cui è condivisa.When you do this, the classification is identifiable regardless of where the data is stored or with whom it’s shared. Le etichette possono includere contrassegni visivi, ad esempio un'intestazione, un piè di pagina o una filigrana.The labels can include visual markings such as a header, footer, or watermark. I metadati vengono aggiunti a file e intestazioni di messaggi di posta elettronica come testo non crittografato.Metadata is added to files and email headers in clear text. Il testo non crittografato consente ad altri servizi, ad esempio le soluzioni di prevenzione della perdita di dati, di identificare la classificazione e adottare le misure appropriate.The clear text ensures that other services, such as data loss prevention solutions, can identify the classification and take appropriate action.

Ad esempio il messaggio di posta elettronica seguente è stato classificato come "General" (Generale).For example, the following email message has been classified as "General". L'etichetta ha aggiunto il piè di pagina "Sensitivity: General" (Riservatezza: Generale) al messaggio di posta elettronica.The label has added a footer of "Sensitivity: General" to the email message. Il piè di pagina è un indicatore visivo che segnala a tutti i destinatari dati aziendali generici, che non devono essere inviati fuori dall'organizzazione.This footer is a visual indicator for all recipients that it's intended for general business data that should not be sent outside the organization. L'etichetta viene incorporata nelle intestazioni dei messaggi di posta elettronica, in modo che i servizi di posta elettronica possano esaminare questo valore e creare una voce di controllo o impedirne l'invio all'esterno dell'organizzazione.The label is embedded in the email headers so that email services can inspect this value and could create an audit entry or prevent it from being sent outside the organization.

Piè di pagina e intestazioni del messaggio di posta elettronica di esempio che mostrano la classificazione di Azure Information Protection

Screenshot dal client di Azure Information Protection (classico)Screenshot from the Azure Information Protection client (classic)

Modalità di protezione dei datiHow data is protected

Per la protezione viene usata la tecnologia Azure Rights Management (spesso abbreviata in Azure RMS).The protection technology uses Azure Rights Management (often abbreviated to Azure RMS). Questa tecnologia è integrata in altri servizi e applicazioni cloud Microsoft, ad esempio Office 365 e Azure Active Directory.This technology is integrated with other Microsoft cloud services and applications, such as Office 365 and Azure Active Directory. Il servizio può essere usato anche con proprie applicazioni line-of-business e soluzioni di protezione dei dati di fornitori software in locale o sul cloud.It can also be used with your own line-of-business applications and information protection solutions from software vendors, whether these applications and solutions are on-premises, or in the cloud.

Questa tecnologia di protezione usa criteri di crittografia, identità e autorizzazione.This protection technology uses encryption, identity, and authorization policies. Analogamente alle etichette, la protezione applicata tramite Rights Management rimane associata ai documenti e ai messaggi di posta elettronica indipendentemente dalla posizione: all'interno o all'esterno dell'organizzazione, in reti, file server o applicazioni.Similarly to the labels that are applied, protection that is applied by using Rights Management stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications. Questa soluzione per la protezione delle informazioni favorisce il controllo dei propri dati, anche quando sono condivisi con altre persone.This information protection solution keeps you in control of your data, even when it is shared with other people.

È ad esempio possibile configurare un documento di report o un foglio di calcolo di previsione delle vendite in modo che possano accedervi solo le persone appartenenti all'organizzazione e per controllare se tale documento può essere modificato oppure se può essere impostato come file di sola lettura o non stampabile.For example, you can configure a report document or sales forecast spreadsheet so that it can be accessed only by people in your organization, and control whether that document can be edited, or restricted to read-only, or prevent it from being printed. È possibile configurare in modo analogo i messaggi di posta elettronica e anche impedire che vengano inoltrati o che venga usata l'opzione Rispondi a tutti.You can configure emails similarly, and also prevent them from being forwarded or prevent the use of the Reply All option.

Queste impostazioni di protezione possono essere parte della configurazione di etichetta in modo che gli utenti classifichino e proteggano i documenti e i messaggi di posta elettronica semplicemente applicando l'etichetta.These protection settings can be part of your label configuration, so that users both classify and protect documents and emails simply by applying a label. Le stesse impostazioni di protezione, tuttavia, possono essere usate dalle applicazioni e dai servizi che supportano la protezione ma non l'assegnazione di etichette.However, the same protection settings can also be used by applications and services that support protection, but not labeling. Per le applicazioni e i servizi di questo tipo, le impostazioni di protezione diventano disponibili come modelli di Rights Management.For these applications and services, the protection settings become available as Rights Management templates.

Modelli di Rights ManagementRights Management templates

Non appena viene attivato il servizio Azure Rights Management, sono disponibili due modelli predefiniti che limitano l'accesso ai dati agli utenti all'interno dell'organizzazione.As soon as the Azure Rights Management service is activated, two default templates are available for you that restrict data access to users within your organization. È possibile usare questi modelli per evitare immediatamente la perdita di dati dell'organizzazione.You can use these templates to immediately help prevent data leaking from your organization. È anche possibile integrare questi modelli predefiniti configurando impostazioni di protezione personalizzate che applicano controlli più restrittivi.You can also supplement these default templates by configuring your own protection settings that apply more restrictive controls.

Quando si crea un'etichetta per Azure Information Protection che include le impostazioni di protezione, viene automaticamente creato un modello di Rights Management corrispondente.When you create a label for Azure Information Protection that includes protection settings, under the covers, this action creates a corresponding Rights Management template. Il modello può quindi essere usato anche con le applicazioni e i servizi che supportano Azure Rights Management.You can then additionally use that template with applications and services that support Azure Rights Management.

Ad esempio, dall'interfaccia di amministrazione di Exchange è possibile configurare le regole del flusso di posta elettronica di Exchange Online per l'uso di questi modelli:For example, from the Exchange admin center, you can configure Exchange Online mail flow rules to use these templates:

Esempio di selezione di modelli per Exchange Online

Per altre informazioni sulla tecnologia di protezione Azure Rights Management, vedere Informazioni su Microsoft Azure Rights ManagementFor more information about Azure Rights Management protection, see What is Azure Rights Management?

Integrazione con i flussi di lavoro dell'utente finale per i documenti e i messaggi di posta elettronicaIntegration with end-user workflows for documents and emails

Azure Information Protection si integra con i flussi di lavoro esistenti degli utenti finali quando viene installato il client di Azure Information Protection.Azure Information Protection integrates with end users' existing workflows when the Azure Information Protection client is installed. Il client installa la barra di Information Protection nelle applicazioni di Office, come illustrato nella prima immagine che visualizza la barra in Word.This client installs the Information Protection bar to Office applications, which we saw in the first picture that showed this bar in Word. La stessa barra di Information Protection viene aggiunta a Excel, PowerPoint e Outlook.The same Information Protection bar is added to Excel, PowerPoint, and Outlook. Ad esempio:For example:

Esempio di barra di Azure Information Protection in Excel

Screenshot dal client per l'etichettatura unificata Azure Information ProtectionScreenshot from the Azure Information Protection unified labeling client

La barra di Information Protection rende più semplice per gli utenti finali la selezione delle etichette per la classificazione corretta.This Information Protection bar makes it easy for end users to select labels for the correct classification. Se necessario è anche possibile applicare automaticamente le etichette, per eliminare le possibilità di errori o per garantire la conformità con i criteri dell'organizzazione.If required, labels can also be applied automatically to remove the guesswork for users, or to comply with your organization's policies.

Per classificare e proteggere tipi di file e per supportare più file contemporaneamente, gli utenti possono fare clic con il pulsante destro del mouse sui file o su una cartella in Esplora file di Windows:To classify and protect additional file types, and to support multiple files at once, users can right-click files or a folder from Windows File Explorer:

Comando Classifica e proteggi nel menu di scelta rapida in Esplora file con Azure Information Protection

Quando l'utente sceglie l'opzione di menu Classifica e proteggi in Esplora file, può quindi selezionare un'etichetta in modo analogo a quando si usa la barra di Information Protection nelle app desktop di Office.When users select the Classify and protect menu option from File Explorer, they can then select a label similarly to how they use the Information Protection bar in their Office desktop apps. Se necessario, è anche possibile impostare autorizzazioni personalizzate.They can also set their own custom permissions, if required.

Gli utenti esperti (e gli amministratori) potrebbero trovare più comodo usare i comandi di PowerShell per gestire e impostare in modo più efficiente la classificazione e la protezione per più file.Power users (and administrators) might find using PowerShell commands more efficient for managing and setting classification and protection for multiple files. I comandi di PowerShell per queste operazioni sono inclusi automaticamente nel client, ma è anche possibile installare il modulo di PowerShell separatamente.The PowerShell commands to do these actions are automatically included with the client, although you can also install the PowerShell module separately.

Quando un documento viene protetto, utenti e amministratori possono usare un sito di rilevamento dei documenti per monitorare gli utenti che accedono ai documenti e gli orari di accesso.After a document has been protected, users and administrators can use a document tracking site to monitor who is accessing these documents and when. Se sospettano un uso improprio, possono anche revocare l'accesso ai documenti:If they suspect misuse, they can also revoke access to these documents:

Icona per la revoca dell'accesso nel sito di rilevamento dei documenti

Integrazione aggiuntiva per la posta elettronicaAdditional integration for email

Quando si usa Azure Information Protection con Exchange Online, si ottiene un vantaggio aggiuntivo: la possibilità di inviare messaggi di posta elettronica protetti a qualsiasi utente, con la certezza che possano essere letti in qualsiasi dispositivo.When you use Azure Information Protection with Exchange Online, you get an additional benefit: The ability to send protected emails to any user, with the assurance that they can read it on any device.

Ad esempio, gli utenti hanno l'esigenza di inviare informazioni riservate a indirizzi di posta elettronica personali Gmail, Hotmail o MicrosoftFor example, users need to send sensitive information to personal email addresses that use a Gmail, Hotmail, or a Microsoft account. oppure a utenti che non hanno un account in Office 365 o Azure AD.Or, to users who don't have an account in Office 365 or Azure AD. Questi messaggi di posta elettronica deve essere crittografati sia nella posizione di archiviazione che in transito e devono essere letti solo dai destinatari originali.These emails should be encrypted at rest and in transit, and be read only by the original recipients.

Questo scenario richiede le nuove funzionalità di Crittografia messaggi di Office 365.This scenario requires the new capabilities from Office 365 Message Encryption. Se i destinatari non possono aprire il messaggio di posta elettronica protetto nel client di posta elettronica nativo, possono usare un passcode monouso per leggere le informazioni riservate in un browser.If the recipients cannot open the protected email in their native email client, they can use a one-time passcode to read the sensitive information in a browser.

Un utente di Gmail, ad esempio, visualizza quanto segue in un messaggio di posta elettronica:For example, a Gmail user sees the following in an email message:

Esperienza per i destinatari Gmail per Crittografia messaggi di Office 365 e Azure Information Protection

Per gli utenti che inviano il messaggio di posta elettronica, il flusso di lavoro è uguale a quello previsto per l'invio di un messaggio di posta elettronica protetto a un utente nella propria organizzazione.For the users sending the email, their workflow is no different from sending a protected email to a user in their own organization. Ad esempio, possono selezionare il pulsante Non inoltrare che il client di Azure Information Protection consente di aggiungere alla barra multifunzione di Outlook.For example, they can select the Do Not Forward button that the Azure Information Protection client can add to the Outlook ribbon. Questa funzionalità Non inoltrare può anche essere integrata in un'etichetta selezionabile dagli utenti, in modo che il messaggio di posta elettronica venga classificato oltre che protetto.Or, this Do Not Forward functionality can be integrated into a label that users select, so that the email is classified as well as protected. Ad esempio:For example:

Selezione di un'etichetta configurata per Non inoltrare

Screenshot dal client per l'etichettatura unificata Azure Information ProtectionScreenshot from the Azure Information Protection unified labeling client

In alternativa, è possibile fornire automaticamente protezione agli utenti, usando regole del flusso di posta elettronica che applicano la protezione dei diritti.Alternatively, you can automatically provide the protection for users, by using mail flow rules that apply rights protection.

Quando si allegano documenti di Office a questi messaggi di posta elettronica, anche i documenti allegati vengono protetti automaticamente.When you attach Office documents to these emails, these documents are automatically protected as well.

Classificazione e protezione dei documenti esistentiClassifying and protecting existing documents

Idealmente, i documenti e i messaggi di posta elettronica vengono etichettati al momento della creazione.Ideally, documents and emails are labeled when they are first created. Ma è probabile che esistano già molti documenti negli archivi dati e che si voglia classificare e proteggere anche questi documenti.But you likely have many existing documents in data stores and want to classify and protect these documents as well. Questi archivi dati potrebbero essere in locale o nel cloud.These data stores could be on-premises or in the cloud.

Per gli archivi dati locali, usare lo scanner di Azure Information Protection per individuare, classificare e proteggere i documenti in cartelle locali, condivisioni di rete e siti e raccolte di SharePoint Server.For your on-premises data stores, use the Azure Information Protection scanner to discover, classify, and protect documents on local folders, network shares, and SharePoint Server sites and libraries. Lo scanner viene eseguito come servizio in Windows Server.The scanner runs as a service on Windows Server. È possibile usare le stesse regole nei criteri per rilevare le informazioni sensibili e applicare etichette specifiche ai documenti.You can use the same rules in the policy to detect sensitive information and apply specific labels to documents. Oppure è possibile applicare un'etichetta predefinita a tutti i documenti in un archivio dati senza esaminare il contenuto dei file.Or you can apply a default label to all documents in a data repository without inspecting the file contents. È anche possibile usare lo scanner in modalità solo report, per facilitare l'individuazione di informazioni sensibili che potrebbero non essere note.You can also use the scanner in reporting mode only, to help you discover sensitive information that you might not know you had.

Per altre informazioni sulla distribuzione e l'uso dello scanner, vedere Distribuzione dello scanner di Azure Information Protection per classificare e proteggere automaticamente i file.For more information about deploying and using the scanner, see Deploying the Azure Information Protection scanner to automatically classify and protect files.

Per gli archivi dati nel cloud, usare Microsoft Cloud App Security per applicare le etichette ai documenti in Box, SharePoint Online e OneDrive for Business.For your cloud data stores, use Microsoft Cloud App Security to apply your labels to documents in Box, SharePoint Online, and OneDrive for Business. Per altre informazioni, vedere Applicare automaticamente etichette di classificazione di Azure Information Protection e Integrazione di Azure Information Protection.For more information, see Automatically apply Azure Information Protection classification labels and Azure Information Protection integration.

Ultimi aggiornamenti di etichettatura per Microsoft 365Latest labeling updates for Microsoft 365

Vedere le informazioni più recenti su come Azure Information Protection consente di individuare, classificare e proteggere e monitorare le informazioni riservate, ovunque si trovino:See the latest information about how Azure Information Protection helps you to discover, classify, protect, and monitor your sensitive information, wherever it lives:

Risorse per Azure Information ProtectionResources for Azure Information Protection

Risorse aggiuntive: Informazioni e supporto per Azure Information ProtectionAdditional resources: Information and support for Azure Information Protection

Microsoft IgniteMicrosoft Ignite

Microsoft Ignite 2019 a Orlando è stato un ottimo successo.Microsoft Ignite 2019 in Orlando was a great success! L'evento ha offerto molte informazioni utili su Azure Information Protection, con gli aggiornamenti e miglioramenti più recenti.There was lots of good information about Azure Information Protection with the latest updates and improvements. Per chi non ha potuto partecipare, le sessioni sono state registrate per essere visualizzate in un secondo momento.If you couldn't join us, sessions are recorded for viewing later.

L'elenco seguente indicate le cinque sessioni principali consigliate:See the following list for our top five sessions that we recommend:

Ultimo post di blog: Individuare i dati sensibili e proteggerli in modo intelligente con Microsoft 365Latest blog post: Understand where your sensitive data is located and intelligently protect it with Microsoft 365

Passaggi successiviNext steps

Configurare e provare a usare Azure Information Protection con l'esercitazione introduttiva e le esercitazioni.Configure and see Azure Information Protection for yourself, with our quickstarts and tutorials. Se invece si è pronti a distribuire il servizio nella propria organizzazione, vedere le guide procedurali.Or, if you're ready to deploy this service for your organization, head over to the how-to guides.