Guida di orientamento per la distribuzione di Azure Information ProtectionAzure Information Protection deployment roadmap

Si applica a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Per preparare l'ambiente e per implementare e gestire Azure Information Protection per l'organizzazione, eseguire questa procedura.Use the following steps to prepare for, implement, and manage Azure Information Protection for your organization.

Tuttavia, se si vuole provare rapidamente Azure Information Protection per conto proprio, anziché implementarlo in un ambiente di produzione, vedere Esercitazione introduttiva di Azure Rights Management.However, if you just want to quickly try Azure Information Protection for yourself, rather than roll it out in a production environment, see Quick start tutorial for Azure Information Protection.

Importante

Prima di eseguire questa procedura, assicurarsi di aver letto Requisiti per Azure Information Protection.Before you do the following steps, make sure that you have reviewed Requirements for Azure Information Protection.

Scegliere la guida di orientamento per la distribuzione che sia applicabile alla propria organizzazione e che corrisponda alle caratteristiche e funzionalità della sottoscrizione richieste:Choose the deployment roadmap that's applicable for your organization and that matches the subscription functionality and features that you need:

Guida di orientamento per la distribuzione delle funzionalità di classificazione, assegnazione di etichette e protezioneDeployment roadmap for classification, labeling, and protection

Nota

Se si usa già il servizio Azure Rights Management per la protezione dei dati,Already using the Azure Rights Management service for data protection? è possibile ignorare molti di questi passaggi e concentrare l'attenzione sui passaggi 3 e 5.1.You can skip many of these steps and focus on steps 3 and 5.1.

Passaggio 1: Verificare la sottoscrizione e assegnare licenze utenteStep 1: Confirm your subscription and assign user licenses

Esaminare le informazioni sulle sottoscrizioni e l'elenco delle funzionalità nel sito Azure Information Protection per verificare che l'organizzazione abbia una sottoscrizione che include le caratteristiche e le funzionalità previste.Review the subscription information and feature list from the Azure Information Protection site to confirm that your organization has a subscription that includes the functionality and features that you expect. Assegnare quindi una licenza da tale sottoscrizione a ogni utente dell'organizzazione, che potrà così classificare, etichettare e proteggere documenti e messaggi di posta elettronica.Then, assign a license from this subscription to each user in your organization who will classify, label, and protect documents and emails.

Nota: non assegnare manualmente licenze utente dalla sottoscrizione gratuita di RMS per singoli utenti e non usare questa licenza per amministrare il servizio Azure Rights Management per la propria organizzazione.Note: Do not manually assign user licenses from the free RMS for individuals subscription and do not use this license to administer the Azure Rights Management service for your organization. Queste licenze vengono visualizzate come Rights Management Adhoc (Ad-hoc per Rights Manager) nell'interfaccia di amministrazione di Office 365 e come RIGHTSMANAGEMENT_ADHOC quando si esegue il cmdlet di PowerShell per Azure AD, Get-MsolAccountSku.These licenses display as Rights Management Adhoc in the Office 365 admin center, and RIGHTSMANAGEMENT_ADHOC when you run the Azure AD PowerShell cmdlet, Get-MsolAccountSku. Per altre informazioni sulle modalità in cui la sottoscrizione di RMS per singoli utenti viene automaticamente concessa e assegnata agli utenti, vedere RMS per utenti singoli e Azure Information Protection.For more information about how the RMS for individuals subscription is automatically granted and assigned to users, see RMS for individuals and Azure Information Protection.

Passaggio 2: Preparare il tenant per l'uso di Azure Information ProtectionStep 2: Prepare your tenant to use Azure Information Protection

Prima di iniziare a usare Azure Information Protection, eseguire le attività di preparazione seguenti:Before you begin using Azure Information Protection, do the following preparation:

  • In Office 365 o in Azure Active Directory verificare che siano presenti account utente e gruppi utilizzabili da Azure Information Protection per l'autenticazione e l'autorizzazione degli utenti dell'organizzazione.Make sure that you have user accounts and groups in Office 365 or Azure Active Directory that will be used by Azure Information Protection to authenticate and authorize users from your organization. Se necessario, creare questi account e gruppi o sincronizzarli dalla directory locale.If necessary, create these account and groups, or synchronize them from your on-premises directory. Per altre informazioni, vedere Preparazione di utenti e gruppi per Azure Information Protection.For more information, see Preparing users and groups for Azure Information Protection.

Passaggio 3: Configurare e distribuire le funzionalità di classificazione e assegnazione di etichetteStep 3: Configure and deploy classification and labeling

Se non si è ancora definita una strategia di classificazione, esaminare i criteri predefiniti di Azure Information Protection e usarli come base per decidere quali etichette di classificazione assegnare ai dati dell'organizzazione.If you do not already have a classification strategy, review the default Azure Information Protection policy and use this as the basis for deciding what classification labels to assign to your organization data. È possibile personalizzare questi criteri in base ai requisiti aziendali.You can customize these to meet your business requirements.

Riconfigurare le etichette predefinite di Azure Information Protection per apportare le modifiche necessarie per supportare le decisioni di classificazione.Reconfigure the default Azure Information Protection labels to make any changes you need to support your classification decisions. Configurare i criteri per l'assegnazione manuale di etichette da parte degli utenti e scrivere istruzioni per gli utenti che consentono di decidere quale etichetta applicare e in quali casi.Configure the policy for manual labeling by users, and write user guidance that explains which label to apply and when. Per altre informazioni su come configurare i criteri di Azure Information Protection, vedere Configurazione dei criteri di Azure Information Protection.For more information about how to configure Azure Information Protection policy, see Configuring Azure Information Protection policy.

Distribuire quindi il client di Azure Information Protection per gli utenti e fornire loro istruzioni per l'uso e indicazioni per la selezione delle etichette.Then deploy the Azure Information Protection client for users, and support it by providing user training and your instructions for when to select the labels. Per altre informazioni sull'installazione e il supporto del client, vedere la Guida dell'amministratore del client Azure Information Protection.For more information about installing and supporting the client, see the Azure Information Protection client administrator guide.

Dopo un certo periodo di tempo, quando gli utenti sono in grado di assegnare etichette a documenti e messaggi di posta elettronica, introdurre configurazioni più avanzate,After a period of time, when users are comfortable labeling their documents and emails, introduce more advanced configurations. ad esempio:These might include the following:

  • Applicare un'etichetta predefinitaApply a default label

  • Richiedere agli utenti di indicare il motivo per cui hanno scelto un'etichetta con un livello di classificazione più bassoPrompt users for justification if they chose a label with a lower classification level

  • Imporre l'assegnazione di un'etichetta a tutti i documenti e i messaggi di posta elettronicaMandate that all documents and emails have a label

  • Personalizzare le intestazioni, i piè di pagina o le filigraneCustomized headers, footers, or watermarks

  • Definire le condizioni per il supporto delle azioni consigliate e l'assegnazione automatica di etichetteConditions to support recommendations and automatic labeling

In questa fase, non selezionare l'opzione per proteggere documenti e messaggi di posta elettronica.At this stage, do not select the option to protect documents and emails.

Passaggio 4: Preparare per la protezione dei dati di Rights ManagementStep 4: Prepare for Rights Management data protection

Quando gli utenti sono in grado di assegnare etichette ai documenti e ai messaggi di posta elettronica, si è pronti per iniziare a introdurre la protezione dei dati più sensibili.When users are comfortable labeling documents and emails, you're ready to start introducing data protection for your most sensitive data. Questa fase richiede le attività di preparazione seguenti per il servizio Azure Rights Management:This stage requires the following preparation for the Azure Rights Management service:

  1. Decidere se si desidera che Microsoft gestisca la chiave del tenant (impostazione predefinita) oppure generare e gestire personalmente la chiave del tenant. Questo servizio è noto come BYOK (Bring Your Own Key).Decide whether you want Microsoft to manage your tenant key (the default), or generate and manage your tenant key yourself (known as bring your own key, or BYOK). Si noti che attualmente non è possibile usare il servizio BYOK se si usa Exchange Online.Note that currently, you cannot use BYOK if you use Exchange Online. Per altre informazioni, vedere Pianificazione e implementazione della chiave del tenant di Azure Information Protection.For more information, see Planning and implementing your Azure Information Protection tenant key.

  2. Installare il modulo di Windows PowerShell per Rights ManagementRights Management in almeno un computer dotato di accesso a Internet.Install the Windows PowerShell module for Rights ManagementRights Management on at least one computer that has Internet access. È possibile eseguire questo passaggio subito o più avanti.You can do this step now, or later. Per altre informazioni, vedere Installazione di Windows PowerShell per il servizio Azure Rights Management.For more information, see Installing Windows PowerShell for the Azure Rights Management service.

  3. Se attualmente si stanno usando i servizi Rights Management locali: eseguire una migrazione per spostare le chiavi, i modelli e gli URL sul cloud.If you are currently using on-premises Rights Management services: Perform a migration to move the keys, templates, and URLs to the cloud. Per altre informazioni, vedere Migrazione da AD RMS a Information Protection.For more information, see Migrating from AD RMS to Information Protection.

  4. Attivare il servizio Azure Rights Management in modo che sia possibile iniziare a proteggere documenti e messaggi di posta elettronica.Activate the Azure Rights Management service so that you can begin to protect documents and emails. Se è richiesta una distribuzione graduale, configurare i controlli di selezione utenti per limitare l'utilizzo a utenti specifici.If a phased deployment is required, configure user onboarding controls to restrict usage to specific users. Per ulteriori informazioni, vedere l'articolo relativo all'attivazione di Azure Rights Management.For more information, see Activating Azure Rights Management.

Facoltativamente, considerare la possibilità di configurare quanto segue:Optionally, consider configuring the following:

Passaggio 5: Configurare i criteri, le applicazioni e i servizi di Azure Information Protection per la protezione dei dati di Rights ManagementStep 5: Configure your Azure Information Protection policy, applications, and services for Rights Management data protection

  1. Aggiornare i criteri di Azure Information Protection per applicare la protezione dei datiUpdate your Azure Information Protection policy to apply data protection

    Modificare i criteri di Azure Information Protection in modo da usare una o più etichette per applicare la protezione di Rights Management.Modify your Azure Information Protection policy so that one or more labels apply Rights Management protection. Per altre informazioni, vedere Come configurare un'etichetta per la protezione di Rights Management.For more information, see How to configure a label for Rights Management protection.

    Si noti che in Outlook gli utenti possono applicare etichette per attivare la protezione di Rights Management anche se Exchange non è configurato per i servizi Information Rights Management (IRM).Note that users can apply labels in Outlook that apply Rights Management protection even if Exchange is not configured for information rights management (IRM). Tuttavia, fino a quando Exchange non sarà configurato per IRM, l'organizzazione non potrà usufruire della funzionalità completa della protezione di Rights Management di Azure con Exchange.However, until Exchange is configured for IRM, your organization will not get the full functionality of using Azure Rights Management protection with Exchange. Questa configurazione aggiuntiva è inclusa nell'elenco seguente, 2 per Exchange Online e 5 per Exchange locale.This additional configuration is included in the following list (2 for Exchange Online, and 5 for Exchange on-premises).

  2. Configurare le applicazioni e i servizi di Office per IRMConfigure Office applications and services for IRM

    Configurare le applicazioni e i servizi di Office per le funzionalità di IRM (Information Rights Management) in SharePoint Online o Exchange Online.Configure Office applications and services for the information rights management (IRM) features in SharePoint Online or Exchange Online. Per ulteriori informazioni, vedere Configurazione delle applicazioni per Azure Rights Management.For more information, see Configuring applications for Azure Rights Management.

  3. Configurare la funzionalità relativa agli utenti con privilegi avanzati per il ripristino dei datiConfigure the super user feature for data recovery

    Se sono presenti servizi IT che prevedono l'analisi di file che verranno protetti da Azure Rights Management, ad esempio soluzioni di prevenzione per la perdita di dati, gateway con crittografia del contenuto e prodotti antimalware, configurare gli account di tali servizi come utenti con privilegi avanzati per Azure Rights Management.If you have existing IT services that need to inspect files that Azure Rights Management will protect—such as data leak prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products—configure the service accounts to be super users for Azure Rights Management. Per ulteriori informazioni, vedere Configurazione degli utenti con privilegi avanzati per Rights Management di Azure e servizi di individuazione o ripristino dei dati.For more information, see Configuring super users for Azure Rights Management and discovery services or data recovery.

  4. Classificare e proteggere file in blocco in base alle esigenzeClassify and protect files in bulk - as needed

    I cmdlet di PowerShell che consentono di classificare e proteggere i file, oltre che di rimuovere la classificazione e la protezione, vengono installati automaticamente con il client Azure Information Protection.The PowerShell cmdlets that let you classify and protect files, as well as remove classification and protection, are automatically installed with the Azure Information Protection client. Per altre informazioni, vedere Uso di PowerShell con il client Azure Information Protection nella guida dell'amministratore.For more information, see Using PowerShell with the Azure Information Protection client from the admin guide.

  5. Distribuire il connettore per i server localiDeploy the connector for on-premises servers

    Se si prevede di usare servizi locali con il servizio Azure Rights Management, installare e configurare il connettore di Rights Management.If you have on-premises services that you want to use with the Azure Rights Management service, install and configure the Rights Management connector. Per ulteriori informazioni, vedere Distribuzione del connettore di Azure Rights Management.For more information, see Deploying the Azure Rights Management connector.

Passaggio 6: Usare e monitorare le soluzioni di protezione dei datiStep 6: Use and monitor your data protection solutions

È ora possibile proteggere i dati e registrare come vengono usate in azienda le etichette configurate e la protezione dei dati di Rights Management.You’re now ready to protect your data, and log how your company is using the labels that you've configured and the Rights Management data protection. Per altre informazioni a supporto di questa fase di distribuzione, vedere gli argomenti seguenti:For addition information to support this deployment phase, see the following:

Se si vuole proteggere automaticamente i file usando Infrastruttura di classificazione file in un file server basato su Windows, vedere Protezione RMS con Infrastruttura di classificazione file per Windows Server.If you're interested in automatically protecting files using File Classification Infrastructure on a Windows-based file server, see RMS protection with Windows Server File Classification Infrastructure (FCI).

Passaggio 7: Amministrare il servizio Rights Management per l'account tenant in base alle esigenzeStep 7: Administer the Rights Management service for your tenant account as needed

Quando si inizia a usare il servizio Azure Rights Management, è possibile avvalersi di Windows PowerShell per eseguire tramite script o automatizzare le modifiche di carattere amministrativo.As you begin to use the Azure Rights Management service, you might find Windows PowerShell useful to help script or automate administrative changes. Per altre informazioni, vedere Amministrazione del servizio Azure Rights Management mediante Windows PowerShell.For more information, see Administering the Azure Rights Management service by using Windows PowerShell.

Guida di orientamento per la distribuzione della sola funzionalità di protezioneDeployment roadmap for data protection only

Passaggio 1: Confermare di avere una sottoscrizione che include Azure Rights ManagementStep 1: Confirm that you have a subscription that includes Azure Rights Management

Esaminare le informazioni sulle sottoscrizioni e l'elenco delle funzionalità nel sito Azure Information Protection per verificare che l'organizzazione abbia una sottoscrizione che include le caratteristiche e le funzionalità previste.Review the subscription information and feature list from the Azure Information Protection site to confirm that your organization has a subscription that includes the functionality and features that you expect. Assegnare quindi una licenza da tale sottoscrizione a ogni utente dell'organizzazione, che potrà così proteggere documenti e messaggi di posta elettronica usando il servizio Azure Rights Management.Then, assign a license from this subscription to each user in your organization who will protect documents and emails by using the Azure Rights Management service.

Nota: non assegnare manualmente licenze utente dalla sottoscrizione gratuita di RMS per singoli utenti e non usare questa licenza per amministrare il servizio Azure Rights Management per la propria organizzazione.Note: Do not manually assign user licenses from the free RMS for individuals subscription and do not use this license to administer the Azure Rights Management service for your organization. Queste licenze vengono visualizzate come Rights Management Adhoc (Ad-hoc per Rights Manager) nell'interfaccia di amministrazione di Office 365 e come RIGHTSMANAGEMENT_ADHOC quando si esegue il cmdlet di PowerShell per Azure AD, Get-MsolAccountSku.These licenses display as Rights Management Adhoc in the Office 365 admin center, and RIGHTSMANAGEMENT_ADHOC when you run the Azure AD PowerShell cmdlet, Get-MsolAccountSku. Per altre informazioni sulle modalità in cui la sottoscrizione di RMS per singoli utenti viene automaticamente concessa e assegnata agli utenti, vedere RMS per utenti singoli e Azure Information Protection.For more information about how the RMS for individuals subscription is automatically granted and assigned to users, see RMS for individuals and Azure Information Protection.

Passaggio 2: Preparare il tenant per l'uso del servizio Azure Rights ManagementStep 2: Prepare your tenant to use the Azure Rights Management service

Prima di iniziare a usare Rights ManagementRights Management, effettuare la seguente preparazione:Before you begin using Rights ManagementRights Management, do the following preparation:

  1. Verificare che il tenant di Office 365 contenga gli account utente e i gruppi che Azure Information Protection dovrà usare per autenticare gli utenti dell'organizzazione.Make sure that your Office 365 tenant contains the user accounts and groups that will be used by Azure Information Protection to authenticate and authorize users from your organization. Se necessario, creare questi account e gruppi o sincronizzarli dalla directory locale.If necessary, create these account and groups, or synchronize them from your on-premises directory. Per altre informazioni, vedere Preparazione di utenti e gruppi per Azure Information Protection.For more information, see Preparing users and groups for Azure Information Protection.

  2. Decidere se si desidera che Microsoft gestisca la chiave del tenant (impostazione predefinita) oppure generare e gestire personalmente la chiave del tenant. Questo servizio è noto come BYOK (Bring Your Own Key).Decide whether you want Microsoft to manage your tenant key (the default), or generate and manage your tenant key yourself (known as bring your own key, or BYOK). Si noti che attualmente non è possibile usare il servizio BYOK se si usa Exchange Online.Note that currently, you cannot use BYOK if you use Exchange Online. Per altre informazioni, vedere Pianificazione e implementazione della chiave del tenant di Azure Information Protection.For more information, see Planning and implementing your Azure Information Protection tenant key.

  3. Installare il modulo di Windows PowerShell per Rights ManagementRights Management in almeno un computer dotato di accesso a Internet.Install the Windows PowerShell module for Rights ManagementRights Management on at least one computer that has Internet access. È possibile eseguire questo passaggio subito o più avanti.You can do this step now, or later. Per ulteriori informazioni, vedere Installazione di Windows PowerShell per Azure Rights Management.For more information, see Installing Windows PowerShell for Azure Rights Management.

  4. Se attualmente si stanno usando i servizi Rights Management locali: eseguire una migrazione per spostare le chiavi, i modelli e gli URL sul cloud.If you are currently using on-premises Rights Management services: Perform a migration to move the keys, templates, and URLs to the cloud. Per altre informazioni, vedere Migrazione da AD RMS ad Azure Information Protection.For more information, see Migrating from AD RMS to Azure Information Protection.

  5. Attivare Rights Management in modo da poter iniziare a usare il servizio.Activate Rights Management so that you can begin to use the service. Se è richiesta una distribuzione graduale, configurare i controlli di selezione utenti per limitare l'utilizzo a utenti specifici.If a phased deployment is required, configure user onboarding controls to restrict usage to specific users. Per ulteriori informazioni, vedere l'articolo relativo all'attivazione di Azure Rights Management.For more information, see Activating Azure Rights Management.

Facoltativamente, considerare la possibilità di configurare quanto segue:Optionally, consider configuring the following:

Passaggio 3: Installare il client e configurare le applicazioni e i servizi per Rights ManagementStep 3: Install the client and configure applications and services for Rights Management

  1. Distribuire il client Azure Information ProtectionDeploy the Azure Information Protection client

    Installare Azure Information Protection per gli utenti, per supportare Office 2010, per proteggere file diversi dai messaggi di posta elettronica e dai documenti di Office e per tenere traccia dei documenti protetti.Install the Azure Information Protection for users, to support Office 2010, to protect files other than Office documents and emails, and to track protected documents. Fornire agli utenti istruzioni per l'uso di questo client.Provide user training for this client. Per altre informazioni, vedere Client Azure Information Protection per Windows.For more information, see Azure Information Protection client for Windows.

  2. Configurare le applicazioni e i servizi di Office per IRMConfigure Office applications and services for IRM

    Configurare le applicazioni e i servizi di Office per le funzionalità di IRM (Information Rights Management) in SharePoint Online o Exchange Online.Configure Office applications and services for the information rights management (IRM) features in SharePoint Online or Exchange Online. Per ulteriori informazioni, vedere Configurazione delle applicazioni per Azure Rights Management.For more information, see Configuring applications for Azure Rights Management.

  3. Configurare la funzionalità relativa agli utenti con privilegi avanzati per il ripristino dei datiConfigure the super user feature for data recovery

    Se sono presenti servizi IT che prevedono l'analisi di file che verranno protetti da Azure Rights Management, ad esempio soluzioni di prevenzione per la perdita di dati, gateway con crittografia del contenuto e prodotti antimalware, configurare gli account di tali servizi come utenti con privilegi avanzati per Azure Rights Management.If you have existing IT services that need to inspect files that Azure Rights Management will protect—such as data leak prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products—configure the service accounts to be super users for Azure Rights Management. Per ulteriori informazioni, vedere Configurazione degli utenti con privilegi avanzati per Rights Management di Azure e servizi di individuazione o ripristino dei dati.For more information, see Configuring super users for Azure Rights Management and discovery services or data recovery.

  4. Proteggere file in blocco in base alle esigenzeProtect files in bulk - as needed

    I cmdlet di PowerShell che consentono di proteggere più tipi di file in blocco, oltre che di annullare la protezione, vengono installati automaticamente con il client Azure Information Protection.The PowerShell cmdlets that let you bulk protect or bulk unprotect multiple file types are automatically installed with the Azure Information Protection client. Per altre informazioni, vedere Uso di PowerShell con il client Azure Information Protection nella guida dell'amministratore.For more information, see Using PowerShell with the Azure Information Protection client from the admin guide.

  5. Distribuire il connettore per i server localiDeploy the connector for on-premises servers

    Se si prevede di usare servizi locali con il servizio Azure Rights Management, installare e configurare il connettore di Rights Management.If you have on-premises services that you want to use with the Azure Rights Management service, install and configure the Rights Management connector. Per ulteriori informazioni, vedere Distribuzione del connettore di Azure Rights Management.For more information, see Deploying the Azure Rights Management connector.

Passaggio 4: Usare e monitorare le soluzioni di protezione dei datiStep 4: Use and monitor your data protection solutions

È ora possibile proteggere i dati e registrare come viene usato Rights Management nella propria società.You’re now ready to protect your data, and log how your company is using Rights Management. Per altre informazioni utili per questa fase di distribuzione, vedere Consentire agli utenti di proteggere i file mediante il servizio Azure Rights Management e Registrazione e analisi dell'utilizzo del servizio Azure Rights Management.For addition information to support this deployment phase, see Helping users to protect files by using the Azure Rights Management service and Logging and analyzing usage of the Azure Rights Management service.

Se si vuole proteggere automaticamente i file usando Infrastruttura di classificazione file in un file server basato su Windows, vedere Protezione RMS con Infrastruttura di classificazione file per Windows Server.If you're interested in automatically protecting files using File Classification Infrastructure on a Windows-based file server, see RMS protection with Windows Server File Classification Infrastructure (FCI).

Passaggio 5: Amministrare il servizio Rights Management per l'account tenant in base alle esigenzeStep 5: Administer the Rights Management service for your tenant account as needed

Quando si inizia a usare il servizio Azure Rights Management, è possibile avvalersi di Windows PowerShell per eseguire tramite script o automatizzare le modifiche di carattere amministrativo.As you begin to use the Azure Rights Management service, you might find Windows PowerShell useful to help script or automate administrative changes. Per altre informazioni, vedere Amministrazione del servizio Azure Rights Management mediante Windows PowerShell.For more information, see Administering the Azure Rights Management service by using Windows PowerShell.

CommentiComments

Prima di inserire i commenti, esaminare le regole interne.Before commenting, we ask that you review our House rules.