Limitare l'accesso al contenuto utilizzando la crittografia nelle etichette di riservatezza
Indicazioni per l'assegnazione di licenze di Microsoft 365 per sicurezza e conformità.
Quando si crea un'etichetta di riservatezza, è possibile limitare l'accesso al contenuto a cui verrà applicata l'etichetta. Ad esempio, con le impostazioni di crittografia di un'etichetta di riservatezza, è possibile proteggere i contenuti per determinare le condizioni seguenti:
- Solo gli utenti all'interno dell'organizzazione possono aprire un documento riservato o un messaggio di posta elettronica.
- Solo gli utenti del reparto marketing possono modificare e stampare il documento di annuncio promozione o i messaggi di posta elettronica; tutti gli altri utenti dell'organizzazione possono solo leggerli.
- Gli utenti non possono inoltrare un messaggio di posta elettronica o copiare informazioni da esso contenenti notizie riguardo una riorganizzazione interna.
- Il listino prezzi corrente inviato ai partner commerciali non può essere aperto dopo una data specificata.
Quando un documento o un messaggio di posta elettronica è crittografato, l'accesso al contenuto è limitato per fare in modo che si verifichino le condizioni seguenti:
- Può essere decrittografato solo dagli utenti autorizzati in base alle impostazioni di crittografia dell'etichetta.
- Il contenuto rimane crittografato indipendentemente da dove risiede il file, all'interno o all'esterno dell'organizzazione, anche nel caso in cui il file venisse rinominato.
- Il contenuto resta crittografato sia se il file è archiviato (ad esempio, in un account OneDrive) sia se è in transito (ad esempio, un messaggio di posta elettronica che viaggia in Internet).
Infine, quando si configura la crittografia nelle etichette di riservatezza come amministratore, è possibile scegliere di:
- Assegnare le autorizzazioni adesso, in modo da determinare esattamente quali utenti ottengono le autorizzazioni per il contenuto con tale etichetta.
- Consentire agli utenti di assegnare le autorizzazioni quando applicano l'etichetta al contenuto. In questo modo è possibile consentire agli utenti dell'organizzazione una certa flessibilità, che potrebbe essere necessaria per collaborare e svolgere il proprio lavoro.
Le impostazioni di crittografia sono disponibili quando si crea un'etichetta di riservatezza nel Portale di conformità di Microsoft Purview.
Nota
Ora in fase di implementazione in anteprima, un'etichetta di riservatezza in Outlook può applicare la protezione S/MIME anziché la crittografia e le autorizzazioni dal servizio Rights Management di Azure. Per altre informazioni, vedere Configurare un'etichetta per applicare la protezione S/MIME in Outlook.
Come funziona la crittografia
La crittografia usa il servizio Azure Rights Management (Azure RMS) di Azure Information Protection. Questa soluzione di protezione usa criteri di crittografia, identità e autorizzazione. Per ulteriori informazioni, vedere Informazioni su Azure Rights Management nella documentazione di Azure Information Protection.
Se si usa questa soluzione di crittografia, la caratteristica utente con privilegi avanzati garantisce che le persone e i servizi autorizzati possano sempre leggere e controllare i dati crittografati per l'organizzazione. Se necessario, la crittografia può essere rimossa o modificata. Per altre informazioni, vedere Configurazione di utenti con privilegi avanzati per Azure Information Protection e servizi di individuazione o di ripristino dei dati.
Prerequisiti importanti
Prima di utilizzare la crittografia, potrebbe essere necessario eseguire alcune attività di configurazione. Per la configurazione delle impostazioni di crittografia, non è disponibile alcun controllo per convalidare che questi prerequisiti siano soddisfatti.
Attivazione della protezione di Azure Information Protection
Per la crittografia nelle etichette di riservatezza, il servizio di protezione (Azure Rights Management) di Azure Information Protection deve essere attivato per il tenant. Nei tenant più recenti, questa è l'impostazione predefinita, ma potrebbe essere necessario attivare il servizio manualmente. Per altre informazioni, vedere Attivazione del servizio di protezione di Azure Information Protection.
Verificare i requisiti di rete
Potrebbe essere necessario apportare alcune modifiche nei dispositivi di rete, ad esempio ai firewall. Per maggiori dettagli, vedere Firewall e infrastruttura di rete dalla documentazione di Azure Information Protection.
Configurare Exchange per Azure Information Protection
Non è necessario configurare Exchange per Azure Information Protection prima che gli utenti possano applicare etichette in Outlook per crittografare i propri messaggi di posta elettronica. Tuttavia, se Exchange non è configurato per Azure Information Protection, non si hanno a disposizione le funzionalità complete offerte dall'uso della protezione di Microsoft Azure AD Rights Management con Exchange.
Ad esempio, gli utenti non possono visualizzare i messaggi di posta elettronica crittografati sui telefoni cellulari o con Outlook sul Web, i messaggi di posta elettronica crittografati non possono essere indicizzati per la ricerca e non è possibile configurare i criteri di prevenzione della perdita dei dati di Exchange Online per la protezione di Rights Management.
Per assicurarsi che Exchange possa supportare questi ulteriori scenari:
- Per Exchange Online, vedere le istruzioni per Exchange Online: configurazione di IRM.
- Per Exchange locale, è necessario distribuire il connettore RMS e configurare i server Exchange.
Come configurare un'etichetta per la crittografia
Seguire le istruzioni generali per creare o modificare un'etichetta di riservatezza e verificare che sia selezionata l'opzione Elementi per l'ambito dell'etichetta:
Quindi, nella pagina Scegliere le impostazioni di protezione per gli elementi etichettati, assicurarsi di selezionare Crittografa elementi
Nella pagina Crittografia, selezionare una delle opzioni seguenti:
Rimuovi crittografia se il file è crittografato: questa opzione è supportato solo dal client di etichettatura unificata di Azure Information Protection. Quando si seleziona questa opzione e si usa l'etichettatura predefinita, l'etichetta potrebbe non venire visualizzata nelle app, oppure potrebbe essere visualizzata ma non apportare alcuna modifica crittografia.
Per altre informazioni su questo scenario, vedere la sezione Cosa succede alla crittografia esistente quando viene applicata un'etichetta. È importante comprendere che questa impostazione può generare un'etichetta di riservatezza che gli utenti potrebbero non essere in grado di applicare quando non dispongono di autorizzazioni sufficienti.
Configurare le impostazioni di crittografia: attiva la crittografia e rende visibili le impostazioni di crittografia:
Le istruzioni relative a queste impostazioni si trovano nella seguente sezioneConfigurare le impostazioni di crittografia.
Cosa accade alla crittografia esistente in seguito all'applicazione di un'etichetta
Se viene applicata un'etichetta di riservatezza a contenuto non crittografato, il risultato delle opzioni di crittografia selezionabili sarà di chiara interpretazione. Se ad esempio non è stata selezionata Crittografa file ed e-mail, il contenuto rimane non crittografato.
Tuttavia, il contenuto potrebbe essere già crittografato. Ad esempio, un altro utente può aver applicato:
- Le proprie autorizzazioni, che includono le autorizzazioni definite dall'utente quando l'etichetta lo richiede, le autorizzazioni personalizzate del client di Azure Information Protection e la protezione del documento Accesso limitato da un'app di Office.
- Un modello di protezione Azure Rights Management che consente di crittografare il contenuto in modo indipendente dall'etichetta. Questa categoria include le regole del flusso di posta che applicano la crittografia tramite protezione con diritti.
- Un'etichetta che applica la crittografia con le autorizzazioni assegnate dall'amministratore.
La tabella seguente identifica cosa accade alla crittografia esistente quando si applica un'etichetta di riservatezza a tale contenuto:
| Crittografia: non selezionata | Crittografia: configurata | Crittografia: rimuovere * | |
|---|---|---|---|
| Autorizzazioni specificate da un utente | La crittografia originale viene mantenuta | Viene applicata una nuova crittografia dell'etichetta | La crittografia originale viene rimossa |
| Modello di protezione | La crittografia originale viene mantenuta | Viene applicata una nuova crittografia dell'etichetta | La crittografia originale viene rimossa |
| Etichetta con autorizzazioni definite dall'amministratore | La crittografia originale viene rimossa | Viene applicata una nuova crittografia dell'etichetta | La crittografia originale viene rimossa |
Nota a piè di pagina:
* Supportata solo dal client di etichettatura unificata di Azure Information Protection
Nei casi in cui viene applicata la nuova crittografia dell'etichetta o la crittografia originale viene rimossa, ciò si verifica solo se l'utente che applica l'etichetta dispone di un ruolo o diritto di utilizzo che supporta questa azione:
- Il diritto di utilizzo Esportazione o Controllo completo.
- Il ruolo di emittente di Rights Management o proprietario di Rights Management o utente con privilegi avanzati.
Se l'utente non dispone di uno di questi diritti o ruoli, l'etichetta non può essere applicata, quindi la crittografia originale viene mantenuta. L'utente visualizza il messaggio seguente: Non si dispone dell'autorizzazione per apportare questa modifica all'etichetta di riservatezza. Contattare il proprietario del contenuto.
Ad esempio, l'utente che applica Non inoltrare a un messaggio di posta elettronica può riapplicare l'etichetta al thread per sostituire o rimuovere la crittografia, perché è proprietario di Rights Management per il messaggio di posta elettronica. Tuttavia, ad eccezione degli utenti con privilegi avanzati, i destinatari di questo messaggio di posta elettronica non possono etichettarlo di nuovo perché non hanno i diritti di utilizzo richiesti.
Allegati di posta elettronica per messaggi di posta elettronica crittografati
Quando un messaggio di posta elettronica viene crittografato con un metodo, tutti i documenti di Office non crittografati allegati al messaggio erediteranno automaticamente le stesse impostazioni di crittografia.
I documenti già crittografati e aggiunti come allegati mantengono sempre la crittografia originale.
Configurare le impostazioni di crittografia
Se si seleziona Configura le impostazioni di crittografia nella pagina Crittografia per creare o modificare un'etichetta di riservatezza, scegliere una delle opzioni seguenti:
- Assegnare le autorizzazioni adesso, in modo da determinare esattamente quali utenti ottengono le autorizzazioni per il contenuto con applicata l'etichetta. Per altre informazioni, vedere la sezione successiva Assegnare le autorizzazioni adesso.
- Consentire agli utenti di assegnare le autorizzazioni quando applicano l'etichetta al contenuto. Con tale opzione è possibile consentire agli utenti dell'organizzazione una certa flessibilità, che potrebbe essere necessaria per collaborare e svolgere il proprio lavoro. Per altre informazioni, vedere la sezione Consentire agli utenti di assegnare le autorizzazioni in questa pagina.
Ad esempio, se si ha un'etichetta di riservatezza denominata Riservatezza elevata da applicare al contenuto più riservato, è consigliabile decidere ora chi ottiene quali autorizzazioni per il contenuto.
In alternativa, se si ha un'etichetta di riservatezza denominata Contratti commerciali e il flusso di lavoro dell'organizzazione richiede che le persone collaborino a questo contenuto con persone diverse su base non pianificata, è consigliabile consentire agli utenti di decidere chi ottiene le autorizzazioni quando assegnano l'etichetta. Questa flessibilità consente di migliorare la produttività degli utenti e ridurre le richieste rivolte agli amministratori per l’aggiornamento o la creazione di nuove etichette di riservatezza per situazioni specifiche.
Scegliere di assegnare le autorizzazioni adesso o consentire agli utenti di assegnare le autorizzazioni:
Assegnare le autorizzazioni adesso
Usare le opzioni seguenti per controllare chi può accedere ai documenti e ai messaggi di posta elettronica a cui verrà applicata tale etichetta. È possibile:
Consentire l'accesso al contenuto etichettato solo entro una determinata scadenza, che può essere una data specifica o un determinato numero di giorni dopo che è stata applicata l'etichetta. Al termine di questo periodo, gli utenti non potranno aprire l'elemento etichettato. Se si specifica una data, sarà rispettato il proprio fuso orario corrente. Alcuni client di posta elettronica potrebbero non applicare la scadenza e mostrare messaggi di posta elettronica che hanno superato la data di scadenza a causa dei meccanismi di memorizzazione nella cache.
Non consentire l'accesso offline mai, sempre o per un numero specifico di giorni dopo l'applicazione dell'etichetta. Usare questa impostazione per bilanciare i requisiti di sicurezza con la possibilità per gli utenti di aprire il contenuto crittografato quando non hanno una connessione Internet. Se si limita l'accesso offline sempre oppure a un numero di giorni, quando viene raggiunta tale soglia, gli utenti devono essere autenticati di nuovo e il loro accesso viene registrato. Per altre informazioni sul funzionamento di questo processo, vedere la sezione seguente sulla licenza d'uso Rights Management.
Impostazioni per il controllo di accesso del contenuto crittografato:
Consigli per le impostazioni di scadenza e accesso offline:
| Impostazione | Impostazione consigliata |
|---|---|
| L'accesso dell'utente al contenuto scade. | Mai a meno che il contenuto non abbia un requisito specifico associato al tempo. |
| Consenti accesso offline. | Dipende dalla riservatezza del contenuto: - Solo per un numero di giorni = 7 per i dati aziendali sensibili che potrebbero causare danni all'azienda se condivisi con persone non autorizzate. Questa raccomandazione offre un compromesso bilanciato tra flessibilità e sicurezza. Ad esempio, contratti, report sulla sicurezza, riepiloghi delle previsioni e dati dell'account di vendita. - Mai per dati aziendali molto sensibili che potrebbero causare danni all'azienda se venisse condiviso con persone non autorizzate. Questa raccomandazione assegna la priorità alla sicurezza rispetto alla flessibilità e garantisce che, se si rimuove l'accesso di uno o più utenti al documento, non potranno aprirlo. Ad esempio, informazioni su dipendenti e clienti, password, codice sorgente e report finanziari preannunciati. - Sempre per contenuti meno sensibili in cui non è importante se gli utenti possono continuare ad aprire il contenuto crittografato per un massimo di 30 giorni (o il periodo di validità della licenza d'uso configurato per il tenant) dopo che l'accesso è stato rimosso e il contenuto crittografato è stato aperto in precedenza. |
Solo le etichette configurate per l'assegnazione delle autorizzazioni ora supportano valori diversi per l'accesso offline. Le etichette che consentono agli utenti di assegnare le autorizzazioni usano automaticamente il periodo di validità della licenza d’uso del Rights Management del tenant. Ad esempio, le etichette configurate per Non inoltrare, Crittografa solo e richiedono agli utenti di specificare le proprie autorizzazioni. Il valore predefinito per questa impostazione è 30 giorni.
Licenza d'uso di Rights Management per l'accesso offline
Nota
Anche se è possibile configurare l'impostazione di crittografia per consentire l'accesso offline, alcune app potrebbero non supportare l'accesso offline per il contenuto crittografato. Ad esempio, i file etichettati e crittografati in Power BI Desktop non verranno aperti se si è offline.
Quando un utente apre un documento o un messaggio di posta elettronica protetto dalla crittografia del servizio Microsoft Azure AD Rights Management, gli viene concessa una licenza d'uso di Azure Rights Management per quel contenuto. Questa licenza d'uso è un certificato che contiene i diritti di utilizzo dell'utente per il documento o il messaggio di posta elettronica e la chiave di crittografia usata per crittografare il contenuto. La licenza d'uso contiene anche una data di scadenza, se impostata, e la durata della validità.
Se non è stata impostata alcuna data di scadenza, il periodo di validità predefinito del contratto di licenza con l'utente finale per un tenant è di 30 giorni. Per la durata della licenza d'uso, all'utente non viene richiesto di ripetere l'autenticazione o specificare una nuova autorizzazione per il contenuto. Questo processo consente all'utente di continuare ad aprire il documento o il messaggio di posta elettronica protetto senza una connessione Internet. Quando scade il periodo di validità della licenza d'uso, al successivo accesso al documento o al messaggio di posta elettronica protetto, l'utente deve ripetere l'autenticazione o specificare una nuova autorizzazione.
Oltre al nuovo processo di autenticazione, vengono valutati nuovamente il gruppo a cui appartiene l'utente e le impostazioni di crittografia. Questo significa che se dopo l'ultimo accesso sono cambiati i criteri o il gruppo di appartenenza dell'utente, anche le autorizzazioni per accedere allo stesso documento o messaggio di posta elettronica potrebbero essere cambiate.
Per ulteriori informazioni su come modificare l'impostazione predefinita di 30 giorni, vedere Licenza d'uso di Rights Management.
Assegnare autorizzazioni a utenti o gruppi specifici
È possibile concedere autorizzazioni a utenti specifici in modo che solo essi possano interagire con il contenuto etichettato:
Prima di tutto, aggiungere gli utenti o i gruppi a cui verranno assegnate le autorizzazioni per il contenuto etichettato.
Quindi scegliere quali autorizzazioni assegnare agli utenti per il contenuto etichettato.
Assegnazione delle autorizzazioni:
Aggiungere utenti o gruppi
Quando si assegnano le autorizzazioni, è possibile scegliere:
Tutti gli utenti dell'organizzazione (tutti i membri del tenant). Questa impostazione include gli account Guest.
Tutti gli utenti autenticati. Accertarsi di comprendere i requisiti e le limitazioni di questa impostazione prima di selezionarla.
Qualsiasi utente specifico o gruppo di sicurezza abilitato alla posta elettronica, gruppo di distribuzione o gruppo di Microsoft 365 in Azure AD. Il gruppo Microsoft 365 può avere un'appartenenza statica o un'appartenenza dinamica. Non è possibile utilizzare un gruppo di distribuzione dinamico da Exchange perché questo tipo di gruppo non è sincronizzato con Azure AD. Non è inoltre possibile usare un gruppo di sicurezza non abilitato per la posta elettronica.
Sebbene sia possibile specificare i gruppi che contengono i contatti di posta come metodo conveniente per concedere l'accesso a più persone al di fuori dell'organizzazione, attualmente esiste un problema noto con questa configurazione. Per altre informazioni, vedere I contatti di Posta elettronica nei gruppi hanno accesso intermittente al contenuto crittografato.
Qualsiasi indirizzo di posta elettronica o dominio. Usare questa opzione per specificare tutti gli utenti di un'altra organizzazione che usa Azure AD, immettendo qualsiasi nome di dominio di tale organizzazione. Si può usare questa opzione anche per i provider di servizi di social networking immettendo il nome di dominio, ad esempio gmail.com, hotmail.com o outlook.com.
Nota
Se si specifica un dominio di un'organizzazione che usa Azure AD, non è possibile limitare l'accesso a quello specifico dominio. Ciò che accade è che vengono automaticamente inclusi tutti i domini verificati in Azure AD per il tenant che possiede il nome di dominio specificato.
Quando si scelgono tutti gli utenti e i gruppi nell'organizzazione o si sfoglia la directory, gli utenti e i gruppi devono avere lo stesso indirizzo di posta elettronica.
È consigliabile utilizzare i gruppi anziché gli utenti, così da mantenere la configurazione più semplice.
Requisiti e limitazioni per "Aggiungere tutti gli utenti autenticati"
Questa opzione non limita gli utenti che possono accedere al contenuto crittografato dall'etichetta, anche se crittografa il contenuto e specifica le opzioni per limitare il modo in cui è possibile usarlo (autorizzazioni) e accedervi (scadenza e accesso offline). Tuttavia, l'applicazione che apre il contenuto crittografato deve essere in grado di supportare l'autenticazione in uso. Per questo motivo, i provider di servizi di social networking federati, come Google, e l'autenticazione tramite passcode monouso funzionano solo per la posta elettronica e solo quando si usa Exchange Online. È possibile usare gli account Microsoft con le app di Office 365 e il visualizzatore Azure Information Protection.
Nota
È consigliabile usare questa impostazione con l'integrazione di SharePoint e OneDrive con Azure AD B2B quando le etichette di riservatezza sono abilitate per i file di Office in SharePoint e OneDrive.
Alcuni scenari tipici per l'impostazione di qualsiasi utente autenticate:
- Non interessa chi visualizza il contenuto, ma si vuole limitare il modo in cui viene usato. Ad esempio, non si vuole che il contenuto venga modificato, copiato o stampato.
- Non è necessario limitare gli utenti che possono accedere al contenuto, ma si desidera confermare chi può aprirlo.
- Esiste il requisito che il contenuto deve essere crittografato quando inattivo e in transito, ma non sono richiesti controlli di accesso.
Scegliere le autorizzazioni
Quando si sceglie quali autorizzazioni assegnare agli utenti o ai gruppi, è possibile selezionare:
- Un livello di autorizzazione predefinito con un gruppo di diritti preimpostato, ad esempio Coautore o Revisore.
- Autorizzazioni personalizzate, in cui è possibile scegliere uno o più diritti di utilizzo.
Per altre informazioni su come selezionare le autorizzazioni appropriate, vedere Diritti di utilizzo e relative descrizioni.
Si noti che la stessa etichetta può concedere autorizzazioni diverse a vari utenti. Ad esempio, una singola etichetta può assegnare alcuni utenti come Revisore e un altro utente come Coautore, come mostrato nello screenshot seguente.
Per eseguire questa operazione, aggiungere utenti o gruppi, assegnargli le autorizzazioni e salvare le impostazioni. Quindi ripetere questi passaggi, aggiungendo utenti e assegnando loro le autorizzazioni, salvando le impostazioni ogni volta. È possibile ripetere questa configurazione con la frequenza desiderata, in modo da poter definire autorizzazioni diverse per utenti diversi.
L'emittente di Rights Management (l'utente che applica l'etichetta di riservatezza) dispone sempre dell'autorizzazione Controllo completo
La crittografia per un'etichetta di riservatezza usa il servizio Microsoft Azure AD Rights Management di Azure Information Protection. Quando un utente applica un'etichetta di riservatezza per proteggere un documento o un messaggio di posta elettronica utilizzando la crittografia, l'utente diventa l'emittente di Rights Management per quel contenuto.
All'emittente di Rights Management sono sempre concesse le autorizzazioni di controllo completo per il documento o messaggio di posta elettronica. Inoltre:
- Se le impostazioni di crittografia includono una data di scadenza, l'emittente di Rights Management può comunque aprire e modificare il documento o il messaggio di posta elettronica in seguito a tale data.
- L'emittente di Rights Management può sempre accedere offline al documento o al messaggio di posta elettronica.
- L'emittente di Rights Management può aprire un documento anche se è stato revocato.
Per ulteriori informazioni, vedere Emittente di Rights Management e proprietario di Rights Management.
Crittografia a chiave doppia
Nota
Al momento la funzionalità è supportata solo dal client di etichettatura unificata di Azure Information Protection.
Selezionare questa opzione solo dopo aver configurato il servizio di crittografia a chiave doppia e sarà necessario usare questa crittografia a chiave doppia per i file a cui è applicata questa l'etichetta. Dopo aver configurato e salvato l’etichetta, non sarà possibile modificarla.
Per altre informazioni, prerequisiti e istruzioni di configurazione, vedere Crittografia a chiave doppia.
Consentire agli utenti di assegnare le autorizzazioni
Importante
Non tutti i client di etichettatura supportano tutte le opzioni che consentono agli utenti di assegnare le loro autorizzazioni. Usare questa sezione per altre informazioni.
È possibile usare le opzioni seguenti per consentire agli utenti di assegnare autorizzazioni quando applicano manualmente un'etichetta di riservatezza al contenuto:
In Outlook, un utente può selezionare restrizioni equivalenti all'opzione Non inoltrare o Solo crittografia per determinati destinatari.
L'opzione Non inoltrare è supportata da tutti i client di posta elettronica che supportano le etichette di riservatezza. Tuttavia, l'applicazione dell'opzione Solo crittografia con un'etichetta di riservatezza è una versione più recente supportata solo dall'etichettatura predefinita e non dal client di etichettatura unificata Azure Information Protection. L'etichetta non sarà visibile per i client di posta elettronica che non supportano questa funzionalità.
Per controllare la versione minima delle app di Outlook che usano l'etichettatura integrata per supportare l'applicazione dell'opzione Solo crittografia con un'etichetta di riservatezza, usare la tabella funzionalità per Outlook e la riga Consenti agli utenti di assegnare autorizzazioni: Solo crittografia.
In Word, PowerPoint ed Excel, agli utenti viene chiesto di selezionare le autorizzazioni personalizzate per utenti, gruppi oppure organizzazioni specifici.
Questa opzione è supportata dal client di etichettatura unificata di Azure Information Protection e da altre app che usano l'etichettatura integrata. Per le app che non supportano questa funzionalità, l'etichetta non sarà visibile agli utenti o sarà visibile per coerenza, ma non potrà essere applicata con un messaggio di spiegazione agli utenti.
Per controllare quali app che usano l'etichettatura integrata supportino questa opzione, usare la tabella funzionalità per Word, Excel e PowerPoint e le righe Consenti agli utenti di assegnare autorizzazioni.
Se le opzioni sono supportate, usare la tabella seguente per accertarsi se gli utenti visualizzano l'etichetta di riservatezza:
| Impostazione | Etichetta visibile in Outlook | Etichetta visibile in Word, Excel, PowerPoint |
|---|---|---|
| In Outlook, applicare restrizioni con le opzioni Non inoltrare o Solo crittografia | Sì | No |
| In Word, PowerPoint ed Excel, chiedere agli utenti di specificare le autorizzazioni | No | Sì |
Se sono selezionate entrambe le impostazioni, l'etichetta sarà visibile sia in Outlook che in Word, Excel e PowerPoint.
Un'etichetta di riservatezza che consente agli utenti di assegnare autorizzazioni deve essere applicata al contenuto manualmente dagli utenti. Non può essere applicata automaticamente o usata come etichetta consigliata.
Configurazione delle autorizzazioni assegnate dall'utente:
Restrizioni di Outlook
In Outlook, quando un utente applica un'etichetta di riservatezza che consente di assegnare autorizzazioni a un messaggio, è possibile scegliere l'opzione Non inoltrare o Solo crittografia. Gli utenti vedranno il nome e la descrizione dell'etichetta nella parte superiore del messaggio, il che indica che il contenuto è protetto. Diversamente da Word, PowerPoint ed Excel (vedere la sezione successiva), agli utenti non viene chiesto di selezionare autorizzazioni specifiche.
Se una delle due opzioni viene applicata a un messaggio di posta elettronica, il messaggio viene crittografato e i destinatari devono essere autenticati. Quindi, i destinatari dispongono automaticamente di diritti di accesso con limitazioni:
Non inoltrare: i destinatari non possono inoltrare il messaggio di posta elettronica, stamparlo o copiarlo. Ad esempio, nel client Outlook il pulsante Inoltra non è disponibile, le opzioni di menu Salva con nome e Stampa non sono disponibili e non è possibile aggiungere o modificare i destinatari nelle caselle A, Cc o Ccn.
Per altre informazioni su come funziona questa opzione, vedere Opzione Non inoltrare per i messaggi di posta elettronica.
Solo crittografia: i destinatari dispongono di tutti i diritti di utilizzo tranne Salva come, Esporta e Controllo completo. Questa combinazione di diritti di utilizzo significa che i destinatari non hanno restrizioni, tranne quella di non poter rimuovere la protezione. Ad esempio, un destinatario può copiare dall'e-mail, stampare o inoltrare.
Per altre informazioni su come funzioni questa opzione, vedere Opzione Solo crittografia per i messaggi di posta elettronica.
I documenti di Office non crittografati allegati al messaggio di posta elettronica ereditano automaticamente le stesse restrizioni. Per Non inoltrare, i diritti di utilizzo applicati a questi documenti sono Modifica contenuto, Modifica, Salva, Visualizza, Apri, Leggi e Consenti macro. Se l'utente vuole avere diritti di utilizzo diversi per un allegato, o se l'allegato non è un documento di Office che supporta questa protezione ereditata, l'utente deve crittografare il file prima di allegarlo al messaggio di posta elettronica.
Autorizzazioni per Word, PowerPoint ed Excel
In Word, PowerPoint ed Excel, quando un utente applica un'etichetta di riservatezza che consente di assegnare le autorizzazioni a un documento, all'utente viene richiesto di specificare la scelta degli utenti e le autorizzazioni per la crittografia.
Ad esempio, con il client di etichettatura unificata di Azure Information Protection, a meno che non sia abilitata la creazione condivisa, gli utenti possono:
- Selezionare un livello di autorizzazione, ad esempio Visualizzatore, che assegna l'autorizzazione Solo visualizzazione, o Coautore, che assegna le autorizzazioni di visualizzazione, modifica, copia e stampa.
- Selezionare utenti, gruppi o organizzazioni. Questo può includere persone sia interne che esterne alle organizzazioni.
- Impostare una data di scadenza, dopodiché gli utenti selezionati non potranno accedere al contenuto. Per altre informazioni, vedere la sezione precedente Licenza d’uso di Rights Management per l'accesso offline.
Per l'etichettatura predefinita e per il client di etichettatura unificata di Azure Information Protection, quando è abilitata la creazione condivisa, gli utenti visualizzano la stessa finestra di dialogo come se avessero selezionato gli elementi seguenti:
Windows: scheda File > Info > Proteggi documento > Limita l'accesso > Accesso limitato
MacOS: scheda Revisione > Protezione > Autorizzazioni > Accesso limitato
Suggerimento
Se gli utenti avevano familiarità con la configurazione delle autorizzazioni personalizzate con il client di etichettatura unificata di Azure Information Protection prima che fosse abilitata la creazione condivisa, potrebbe essere utile esaminare il mapping dei livelli di autorizzazione ai singoli diritti di utilizzo: Diritti inclusi nei livelli di autorizzazione.
Supporto per le autorizzazioni personalizzate a livello di organizzazione
Ora in fase di implementazione in anteprima per l'etichettatura predefinita in Windows, gli utenti possono specificare un nome di dominio che verrà applicato a tutti gli utenti di un'organizzazione proprietaria del dominio ed è in Azure Active Directory. Questa funzionalità offre parità con il client di etichettatura unificata Azure Information Protection:
Ad esempio, un utente digita "@contoso.com" (o "contoso.com") e concede l'accesso in lettura. Poiché Contoso Corporation è proprietaria del dominio contoso.com, a tutti gli utenti di tale dominio e a tutti gli altri domini di cui l'organizzazione è proprietaria in Azure Active Directory verrà concesso l'accesso in lettura.
È importante comunicare agli utenti che l'accesso non è limitato solo agli utenti nel dominio specificato. Ad esempio, "@sales.contoso.com" non limiterebbe l'accesso agli utenti solo nel sottodominio sales, ma concederebbe anche l'accesso agli utenti nel dominio marketing.contoso.com e anche agli utenti con uno spazio dei nomi disgiunto nello stesso tenant di Azure Active Directory.
Configurazioni di esempio per le impostazioni di crittografia
Per ogni esempio che segue, eseguire la configurazione dalla pagina Crittografia quando la sezione Configura impostazioni crittografia è selezionata:
Esempio 1: etichetta che applica Non inoltrare per inviare un messaggio di posta elettronica crittografato a un account Gmail
Questa etichetta viene visualizzata solo in Outlook e Outlook sul Web ed è necessario usare Exchange Online. Indicare agli utenti di selezionare questa etichetta quando devono inviare un messaggio di posta elettronica crittografato a persone che usano un account di Gmail o qualsiasi altro account di posta elettronica all'esterno dell'organizzazione.
Gli utenti digitano l'indirizzo di posta elettronica di Gmail nella casella A. Quindi, selezionano l'etichetta e l'opzione Non inoltrare viene aggiunta automaticamente al messaggio. Il risultato è che i destinatari non possono inoltrare il messaggio di posta elettronica né stamparlo, copiarlo o salvarlo all'esterno della propria cassetta postale usando l'opzione Salva con nome.
Nella pagina Crittografia: per Assegnare le autorizzazioni ora o consentire agli utenti di decidere? selezionare Consentire agli utenti di assegnare le autorizzazioni quando applicano l'etichetta.
Selezionare la casella di controllo: .In Outlook, applicare le restrizioni equivalenti all'opzione Non inoltrare.
Se è selezionata, deselezionare la casella di controllo Richiedere agli utenti di specificare le autorizzazioni in Word, PowerPoint ed Excel.
Selezionare Avanti e completare la configurazione.
Esempio 2: etichetta che limita l'autorizzazione di sola lettura a tutti gli utenti di un'altra organizzazione
Questa etichetta è adatta per la condivisione di documenti molto sensibili come di sola lettura e per la visualizzazione dei documenti è sempre richiesta una connessione Internet.
Questa etichetta non è adatta ai messaggi di posta elettronica.
Nella pagina Crittografia: per Assegnare le autorizzazioni ora o consentire agli utenti di decidere? selezionare Assegnare ora le autorizzazioni.
Per Consentire accesso offline, selezionare Mai.
Selezionare Assegna autorizzazioni.
Nel riquadro Assegna autorizzazioni selezionare Aggiungi indirizzi di posta elettronica o domini specifici.
Nella casella di testo immettere il nome di un dominio dell'altra organizzazione, ad esempio fabrikam.com, quindi selezionare Aggiungi.
Fare clic su Scegli autorizzazioni.
Nel riquadro Scegli autorizzazioni, selezionare la casella a discesa, selezionare Visualizzatore e quindi scegliere Salva.
Tornare al riquadro Assegna autorizzazioni e selezionare Salva.
Nella pagina Crittografia selezionare Avanti e completare la configurazione.
Esempio 3: aggiungere utenti esterni a un'etichetta esistente che crittografa il contenuto
I nuovi utenti aggiunti potranno aprire i documenti e i messaggi di posta elettronica che sono già stati protetti con questa etichetta. Le autorizzazioni concesse a questi utenti possono essere diverse da quelle degli utenti esistenti.
Nella pagina Crittografia: per Assegnare le autorizzazioni ora o consentire agli utenti di decidere? assicurarsi che sia selezionato Assegnare ora le autorizzazioni.
Selezionare Assegna autorizzazioni.
Nel riquadro Assegna autorizzazioni selezionare Aggiungi indirizzi di posta elettronica o domini specifici.
Nella casella di testo immettere l'indirizzo di posta elettronica del primo utente o gruppo da aggiungere e quindi selezionare Aggiungi.
Fare clic su Scegli autorizzazioni.
Nel riquadro Scegli autorizzazioni, selezionare le autorizzazioni per questo utente o gruppo e quindi scegliere Salva.
Tornare al riquadro Assegna autorizzazioni e ripetere i passaggi da 3 a 6 per ogni utente o gruppo che si vuole aggiungere all'etichetta. Fare clic su Salva.
Nella pagina Crittografia selezionare Avanti e completare la configurazione.
Esempio 4: etichetta che crittografa il contenuto, ma non limita gli utenti che possono accedervi
Questa configurazione offre il vantaggio che non è necessario specificare utenti, gruppi o domini per crittografare un messaggio di posta elettronica o un documento. Il contenuto continuerà a essere crittografato e sarà comunque possibile specificare i diritti di utilizzo, una data di scadenza e l'accesso offline.
Usare questa configurazione solo se non è necessario limitare l'accesso al documento o al messaggio di posta elettronica protetto. Vedere Altre informazioni su questa impostazione.
Nella pagina Crittografia: per Assegnare le autorizzazioni ora o consentire agli utenti di decidere? assicurarsi che sia selezionato Assegnare ora le autorizzazioni.
Configurare le impostazioni per L'accesso utente al contenuto scade e Consentire accesso offline se necessario.
Selezionare Assegna autorizzazioni.
Nel riquadro Assegna autorizzazioni selezionare Aggiungi qualsiasi utente autenticato.
Per Utenti e gruppi, vengono visualizzati gli Utenti autenticati aggiunti automaticamente. Non è possibile modificare questo valore, ma solo eliminarlo, annullando di conseguenza la selezione Aggiungi qualsiasi utente autenticato.
Fare clic su Scegli autorizzazioni.
Nel riquadro Scegli autorizzazioni, selezionare la casella a discesa, selezionare le autorizzazioni e quindi selezionare Salva.
Tornare al riquadro Assegna autorizzazioni e selezionare Salva.
Nella pagina Crittografia selezionare Avanti e completare la configurazione.
Considerazioni sul contenuto crittografato
La crittografia dei documenti e dei messaggi di posta elettronica più sensibili aiuta a garantire che solo gli utenti autorizzati possano accedere a tali dati. Esistono tuttavia alcune considerazioni da tenere presente:
Se l'organizzazione non ha abilitato le etichette di riservatezza per i file di Office in SharePoint e OneDrive:
- L'opzione di ricerca, eDiscovery e Delve non funzioneranno con i file crittografati.
- I criteri di prevenzione della perdita dei dati funzionano per i metadati dei file crittografati, incluse le informazioni sulle etichette di conservazione, ma non con il contenuto dei file, ad esempio i numeri di carta di credito all'interno dei file.
- Gli utenti non possono aprire file crittografati con Office sul Web. Quando le etichette di riservatezza per i file di Office in SharePoint e in OneDrive sono abilitate, gli utenti possono usare Office sul Web per aprire file crittografati, con alcune limitazioni che includono la crittografia che è stata applicata con una chiave locale, nota come "Hold Your Own Key" o HYOK, la crittografia a chiave doppia e la crittografia applicata in modo indipendente da un'etichetta di riservatezza.
Se vengono condivisi documenti crittografati con utenti esterni all'organizzazione, potrebbe essere necessario creare account guest e modificare i criteri di accesso condizionale. Per altre informazioni, vedere Condivisione di documenti crittografati con utenti esterni.
Quando gli utenti autorizzati aprono documenti crittografati nelle app Office, visualizzano il nome e la descrizione dell'etichetta in una barra dei messaggi gialla nella parte superiore dell'app. Quando le autorizzazioni di crittografia si estendono a persone esterne all'organizzazione, esaminare attentamente i nomi e le descrizioni dell’etichetta che saranno visibili nella barra dei messaggi all'apertura del documento.
Per consentire a più utenti di modificare un file crittografato contemporaneamente, è necessario che tutti utilizzino Office per il web o che sia stata abilitata la creazione condivisa per i file crittografati con etichette di riservatezza e tutti gli utenti dispongano di app Office che supportano questa funzionalità. In caso contrario e se il file è già aperto:
- Nelle app di Office (Windows, Mac, Android e iOS), gli utenti visualizzano il messaggio File in uso con il nome della persona che ha estratto il file. Possono quindi visualizzare una copia di sola lettura o salvare e modificare una copia del file e ricevere una notifica quando il file sarà disponibile.
- In Office per il Web, gli utenti vedono un messaggio di errore che indica che non è possibile modificare il documento con altre persone. Possono quindi selezionare Apri in visualizzazione di lettura.
Se non è stata abilitata la creazione condivisa per i file crittografati con etichette di riservatezza, la funzionalità Salvataggio automatico nelle app Office è disabilitata per i file crittografati. Gli utenti visualizzano un messaggio che indica che il file dispone di autorizzazioni limitate che è necessario rimuovere prima di poter attivare il salvataggio automatico.
Office per Windows supporta etichette che applicano la crittografia quando gli utenti non sono connessi a Internet. Tuttavia, per le altre piattaforme (macOS, iOS, Android), gli utenti devono essere online per applicare queste etichette nelle app Office. Anche il client di etichettatura unificata di Azure Information Protection deve essere online per applicare queste etichette in Esplora file e PowerShell. Non è necessario che gli utenti siano online per aprire il contenuto crittografato. Per altre informazioni, vedere la sezione precedente Licenza d’uso di Rights Management per l'accesso offline.
L'apertura di file crittografati nelle app Office (Windows, Mac, Android e iOS) potrebbe richiedere più tempo.
Se un'etichetta che applica la crittografia viene aggiunta con un'app Office quando il documento viene estratto da SharePoint e l'utente ignora l'estrazione, il documento resta etichettato e crittografato.
A meno che non sia stata abilitata la creazione condivisa per i file crittografati con etichette di riservatezza, le azioni seguenti per i file crittografati non saranno supportate dalle app di Office (Windows, Mac, Android e iOS) e gli utenti visualizzeranno un messaggio di errore. Tuttavia, le funzionalità di SharePoint possono essere usate come alternativa:
- Visualizzare, ripristinare e salvare copie delle versioni precedenti. In alternativa, gli utenti possono eseguire queste azioni usando Office sul Web per abilitare e configurare il controllo delle versioni per un elenco o una raccolta.
- Modificare il nome o il percorso dei file. In alternativa, gli utenti possono rinominare un file, una cartella o un collegamento in una raccolta documenti in SharePoint.
Per un'esperienza di collaborazione in file crittografati con etichetta di riservatezza ottimale, si consiglia di usare etichette di riservatezza per file di Office in SharePoint e OneDrive e Office per il Web.
Passaggi successivi
È necessario condividere i propri documenti etichettati e crittografati con persone esterne all’organizzazione? Vedere Condivisione di documenti crittografati con utenti esterni.