Roadmap per la distribuzione di AIP per la classificazione, l'etichettatura e la protezione

Nota

Si sta cercando Microsoft Purview Information Protection, in precedenza Microsoft Information Protection (MIP)?

Il componente aggiuntivo Azure Information Protection per Office è ora in modalità di manutenzione e verrà ritirato aprile 2024. È invece consigliabile usare etichette integrate nelle app e nei servizi di Office 365. Altre informazioni sullo stato di supporto di altri componenti di Azure Information Protection.

Seguire questa procedura come consigli per prepararsi, implementare e gestire Azure Information Protection per l'organizzazione, quando si vuole classificare, etichettare e proteggere i dati.

Questa roadmap è consigliata per tutti i clienti con una sottoscrizione di supporto. Le funzionalità aggiuntive includono l'individuazione di informazioni riservate e l'etichettatura di documenti e messaggi di posta elettronica per la classificazione.

Le etichette possono anche applicare la protezione, semplificando questo passaggio per gli utenti.

Processo di distribuzione

Procedi come segue:

  1. Confermare la sottoscrizione e assegnare licenze utente
  2. Preparare il tenant per l'uso di Azure Information Protection
  3. Configurare e distribuire la classificazione e l'etichettatura
  4. Preparare la protezione dei dati
  5. Configurare etichette e impostazioni, applicazioni e servizi per la protezione dei dati
  6. Usare e monitorare le soluzioni di protezione dei dati
  7. Amministrazione ister il servizio di protezione per l'account tenant in base alle esigenze

Suggerimento

Usare già la funzionalità di protezione di Azure Information Protection? È possibile ignorare molti di questi passaggi e concentrarsi sui passaggi 3 e 5.1.

Confermare la sottoscrizione e assegnare licenze utente

Verificare che l'organizzazione abbia una sottoscrizione che includa le funzionalità e le funzionalità previste. Per altre informazioni, vedere la pagina relativa alle licenze di Microsoft 365 per la sicurezza e la conformità .

Assegnare quindi licenze da questa sottoscrizione a ogni utente dell'organizzazione che classifica, etichetta e protegge documenti e messaggi di posta elettronica.

Importante

Non assegnare manualmente licenze utente dalla sottoscrizione di RMS gratuita per utenti singoli e non usare questa licenza per amministrare il servizio Azure Rights Management per l'organizzazione.

Queste licenze vengono visualizzate come Adhoc di Rights Management nella interfaccia di amministrazione di Microsoft 365 e RIGHTSMANAGEMENT_ADHOC quando si esegue il cmdlet di Azure AD PowerShell Get-MsolAccountSku.

Per altre informazioni, vedere RMS per utenti singoli e Azure Information Protection.

Preparare il tenant per l'uso di Azure Information Protection

Prima di iniziare a usare Azure Information Protection, assicurarsi di avere account utente e gruppi in Microsoft 365 o microsoft Entra ID che AIP può usare per autenticare e autorizzare gli utenti.

Se necessario, creare questi account e gruppi o sincronizzarli dalla directory locale.

Per altre informazioni, vedere Preparazione di utenti e gruppi per Azure Information Protection.

Configurare e distribuire la classificazione e l'etichettatura

Procedi come segue:

  1. Analizzare i file (facoltativo ma consigliato)

    Distribuire il client Azure Information Protection, quindi installare ed eseguire lo scanner per individuare le informazioni riservate presenti negli archivi dati locali.

    Le informazioni trovate dallo scanner possono essere utili per la tassonomia di classificazione, fornire informazioni preziose sulle etichette necessarie e sui file da proteggere.

    La modalità di individuazione dello scanner non richiede alcuna configurazione o tassonomia delle etichette ed è quindi adatta in questa fase iniziale della distribuzione. È anche possibile usare questa configurazione dello scanner in parallelo con i passaggi di distribuzione seguenti, fino a quando non si configura l'etichettatura consigliata o automatica.

  2. Personalizzare i criteri AIP predefiniti.

    Se non si ha ancora una strategia di classificazione, usare un criterio predefinito come base per determinare le etichette necessarie per i dati. Personalizzare queste etichette in base alle esigenze.

    Ad esempio, è possibile riconfigurare le etichette con i dettagli seguenti:

    • Assicurarsi che le etichette supportino le decisioni di classificazione.
    • Configurare i criteri per l'etichettatura manuale da parte degli utenti
    • Scrivere indicazioni per gli utenti per spiegare quale etichetta deve essere applicata in ogni scenario.
    • Se i criteri predefiniti sono stati creati con etichette che applicano automaticamente la protezione, è possibile rimuovere temporaneamente le impostazioni di protezione o disabilitare l'etichetta durante il test delle impostazioni.

    Le etichette di riservatezza e i criteri di etichettatura per il client di etichettatura unificata vengono configurati nel Portale di conformità di Microsoft Purview. Per altre informazioni, vedere Informazioni sulle etichette di riservatezza.

  3. Distribuire il client per gli utenti

    Dopo aver configurato un criterio, distribuire il client Azure Information Protection per gli utenti. Fornire istruzioni specifiche e di formazione per gli utenti quando selezionare le etichette.

    Per altre informazioni, vedere la guida dell'amministratore client di etichettatura unificata.

  4. Introdurre configurazioni più avanzate

    Attendere che gli utenti diventino più comodi con le etichette nei documenti e nei messaggi di posta elettronica. Quando si è pronti, introdurre configurazioni avanzate, ad esempio:

    • Applicazione di etichette predefinite
    • Richiesta di giustificazione agli utenti se hanno scelto un'etichetta con un livello di classificazione inferiore o rimuovere un'etichetta
    • Mandando che tutti i documenti e i messaggi di posta elettronica abbiano un'etichetta
    • Personalizzazione di intestazioni, piè di pagina o filigrane
    • Etichettatura consigliata e automatica

    Per altre informazioni, vedere guida Amministrazione: configurazioni personalizzate.

    Suggerimento

    Se sono state configurate etichette per l'etichettatura automatica, eseguire di nuovo lo scanner di Azure Information Protection negli archivi dati locali in modalità di individuazione e soddisfare i criteri.

    L'esecuzione dello scanner in modalità di individuazione indica quali etichette verranno applicate ai file, che consentono di ottimizzare la configurazione dell'etichetta e prepararsi per la classificazione e la protezione dei file in blocco.

Preparare la protezione dei dati

Introdurre la protezione dei dati per i dati più sensibili una volta che gli utenti diventano familiari con l'etichettatura di documenti e messaggi di posta elettronica.

Per preparare la protezione dei dati, seguire questa procedura:

  1. Determinare come si vuole gestire la chiave del tenant.

    Decidere se si vuole che Microsoft gestisca la chiave del tenant (impostazione predefinita) o generi e gestisca manualmente la chiave del tenant (nota come Bring Your Own Key o BYOK).

    Per altre informazioni e opzioni per una protezione aggiuntiva locale, vedere Pianificazione e implementazione della chiave del tenant di Azure Information Protection.

  2. Installare PowerShell per AIP.

    Installare il modulo PowerShell per AIPService in almeno un computer con accesso a Internet. È possibile eseguire questo passaggio ora o versione successiva.

    Per altre informazioni, vedere Installazione del modulo PowerShell AIPService.

  3. Solo AD RMS: eseguire la migrazione di chiavi, modelli e URL nel cloud.

    Se si usa AD RMS, eseguire una migrazione per spostare le chiavi, i modelli e gli URL nel cloud.

    Per altre informazioni, vedere Migrazione da AD RMS a Information Protection.

  4. Attivare la protezione.

    Assicurarsi che il servizio di protezione sia attivato in modo da poter iniziare a proteggere documenti e messaggi di posta elettronica. Se si esegue la distribuzione in più fasi, configurare i controlli di onboarding degli utenti per limitare la capacità degli utenti di applicare la protezione.

    Per altre informazioni, vedere Attivazione del servizio di protezione da Azure Information Protection.

  5. Prendere in considerazione la registrazione dell'utilizzo (facoltativo).

    Prendere in considerazione la registrazione dell'utilizzo per monitorare il modo in cui l'organizzazione usa il servizio di protezione. È possibile eseguire questo passaggio ora o versione successiva.

    Per altre informazioni, vedere Registrazione e analisi dell'utilizzo della protezione da Azure Information Protection.

Configurare etichette e impostazioni, applicazioni e servizi per la protezione dei dati

Procedi come segue:

  1. Aggiornare le etichette per applicare la protezione

    Per altre informazioni, vedere Limitare l'accesso al contenuto usando la crittografia nelle etichette di riservatezza.

    Importante

    Gli utenti possono applicare etichette in Outlook che applicano la protezione Rights Management anche se Exchange non è configurato per Information Rights Management (IRM).

    Tuttavia, fino a quando Exchange non è configurato per IRM o Microsoft 365 Message Encryption con nuove funzionalità, l'organizzazione non otterrà la funzionalità completa dell'uso della protezione di Azure Rights Management con Exchange. Questa configurazione aggiuntiva è inclusa nell'elenco seguente (2 per Exchange Online e 5 per Exchange locale).

  2. Configurare app Office licazioni e servizi

    Configurare app Office licazioni e servizi per le funzionalità di Information Rights Management (IRM) in Microsoft SharePoint o Exchange Online.

    Per altre informazioni, vedere Configurazione di applicazioni per Azure Rights Management.

  3. Configurare la funzionalità utente con privilegi avanzati per il ripristino dei dati

    Se si dispone di servizi IT esistenti che devono esaminare i file protetti da Azure Information Protection, ad esempio soluzioni di prevenzione della perdita dei dati (DLP), gateway di crittografia del contenuto (CEG) e prodotti antimalware, configurare gli account del servizio come utenti con privilegi avanzati per Azure Rights Management.

    Per altre informazioni, vedere Configurazione di utenti con privilegi avanzati per Azure Information Protection e servizi di individuazione o ripristino dei dati.

  4. Classificare e proteggere i file esistenti in blocco

    Per gli archivi dati locali, eseguire ora lo scanner di Azure Information Protection in modalità di imposizione in modo che i file vengano etichettati automaticamente.

    Per i file nei PC, usare i cmdlet di PowerShell per classificare e proteggere i file. Per altre informazioni, vedere Uso di PowerShell con il client di etichettatura unificata di Azure Information Protection.

    Per gli archivi dati basati sul cloud, usare Microsoft Defender per il cloud App.

    Suggerimento

    Durante la classificazione e la protezione dei file esistenti in blocco non è uno dei casi d'uso principali per le app Defender per il cloud, le soluzioni alternative documentate consentono di ottenere i file classificati e protetti.

  5. Distribuire il connettore per le librerie protette da IRM in SharePoint Server e messaggi di posta elettronica protetti da IRM per Exchange locale

    Se si dispone di SharePoint ed Exchange in locale e si vogliono usare le funzionalità di Information Rights Management (IRM), installare e configurare il connettore Rights Management.

    Per altre informazioni, vedere Distribuzione del connettore Microsoft Rights Management.

Usare e monitorare le soluzioni di protezione dei dati

A questo punto è possibile monitorare il modo in cui l'organizzazione usa le etichette configurate e verificare di proteggere le informazioni riservate.

Per ulteriori informazioni, vedere i seguenti argomenti:

Amministrazione ister il servizio di protezione per l'account tenant in base alle esigenze

Quando si inizia a usare il servizio protezione, è possibile che PowerShell sia utile per creare script o automatizzare le modifiche amministrative. PowerShell potrebbe anche essere necessario per alcune configurazioni avanzate.

Per altre informazioni, vedere Amministrazione istering protection di Azure Information Protection tramite PowerShell.

Passaggi successivi

Quando si distribuisce Azure Information Protection, potrebbe risultare utile controllare le domande frequenti, i problemi noti e la pagina informazioni e supporto tecnico per altre risorse.