Azure Information Protection: panoramica e requisiti

Panoramica

Azure Information protection (AIP) è la soluzione Microsoft “cloud based” per il controllo e la protezione di messaggi di posta elettronica, documenti e dati sensibili che vengono condivisi fuori dall’azienda. E’ una soluzione capace sia di classificare con delle semplici etichette, incluse nelle applicazioni di Microsoft Office, sia di fornire le autorizzazioni che verranno applicate e incorporate ai documenti indipendentemente da dove sono archiviati e da come e con chi vengono condivisi. Infatti si può facilmente condividere i dati in modo sicuro con colleghi, clienti e partner. In pratica si definisce chi può accedere ai dati e quali operazioni possono essere eseguite. Si può ad esempio consentire la visualizzazione e la modifica dei file, ma non la stampa o l’inoltro. Le etichette possono essere applicate automaticamente dagli amministratori, che definiscono regole e condizioni, manualmente dagli utenti oppure da entrambi, quando gli utenti ricevono raccomandazioni dagli amministratori.

Inoltre AIP consente di tenere traccia delle attività sui dati condivisi e revocare l’accesso, se necessario. Il Reparto IT può usare le potenti funzionalità di registrazione e monitoraggio per monitorare, analizzare ed esaminare i dati.

Requisiti per Azure Information Protection

Per le funzionalità di classificazione, etichettatura e protezione: è necessario un piano di Azure Information Protection.

Per la sola funzionalità di protezione: è necessario un piano di Office 365 che include Azure Information Protection.

Per assicurarsi che la sottoscrizione dell’organizzazione includa le funzionalità di Azure Information Protection da usare, esaminare l’elenco delle funzionalità nella pagina Prezzi di Azure Information Protection.

Azure Active Directory

Per supportare l’autenticazione e l’autorizzazione utente per Azure Information Protection, l’organizzazione deve avere Azure Active Directory. Inoltre, se si vuole usare gli account utente dalla directory locale (ADDS), è necessario anche configurare l’integrazione delle directory.

Sono supportati in AIP:

  • L’accesso Single Sign-On (SSO) , in modo che agli utenti non vengono richieste ripetutamente le credenziali.
  • Multi-Factor Authentication (MFA).
  • L’accesso condizionale è supportato, al momento, solo in preview per i documenti protetti da Azure Information Protection.

Dispositivi client

Gli utenti devono avere dispositivi client, quali computer o dispositivi mobili, che eseguono un sistema operativo che supporta Azure Information Protection.I dispositivi seguenti supportano il client di Azure Information Protection, che consente agli utenti di classificare ed etichettare i messaggi di posta elettronica e i documenti:

  • Windows 10 (x86, x64)

  • Windows 8.1 (x86, x64)

  • Windows 8 (x86, x64)

  • Windows 7 Service Pack 1 (x86, x64)

  • Windows Server 2016

  • Windows Server 2012 R2 e Windows Server 2012

  • Windows Server 2008 R2

Per le versioni server elencate, il client Azure Information Protection è supportato per Servizi Desktop remoto. Se si eliminano profili utente quando si usa il client Azure Information Protection con Servizi Desktop remoto, non eliminare la cartella %Appdata%\Microsoft\Protect.

Applicazioni

Il client Azure Information Protection consente di etichettare e proteggere documenti e messaggi di posta elettronica usando le applicazioni di Office Word, Excel, PowerPoint e Outlook delle edizioni di Office seguenti:

  • Office 365 ProPlus con le app di Office 2016 o 2013 (installazione basata su A portata di clic o Windows Installer)

    Queste edizioni di Office sono incluse nella maggior parte, ma non in tutte le sottoscrizione di Office 365 che includono la protezione dati di Azure Information Protection. Controllare le informazioni sulla sottoscrizione per verificare se Office 365 ProPlus è incluso. Queste informazioni si possono trovare anche nel foglio dati di Azure Information Protection.

  • Office Professional Plus 2016

  • Office Professional Plus 2013 con Service Pack 1

  • Office Professional Plus 2010 con Service Pack 2

Con le altre edizioni di Office non è possibile proteggere i documenti e i messaggi di posta elettronica usando un servizio Rights Management. Per queste edizioni Azure Information Protection è supportato solo per la classificazione. Di conseguenza, le etichette che applicano la protezione non vengono visualizzate dagli utenti sulla barra di Azure Information Protection o dal pulsante Proteggi sulla barra multifunzione di Office.

IMPORTANTE: Il client di Azure Information Protection non supporta  il passaggio tra gli account utente in Office.

Il client Azure Information Protection ha altri prerequisiti elencati nella guida dell’amministratore.

Firewall e infrastruttura di rete

Se si ha un firewall o simili dispositivi di rete intermedi che devono essere configurati per consentire connessioni specifiche, i requisiti di connettività di rete sono inclusi nell’articolo di Office Office 365 URLs and IP address ranges (URL e intervalli di indirizzi IP per Office 365). Vedere la sezione Microsoft 365 Common and Office Online (Comuni per Microsoft 365 e Office Online).

Oltre alle informazioni nell’articolo di Office, le istruzioni seguenti sono specifiche per Azure Information Protection:

  • Consentire il traffico HTTPS sulla porta TCP 443 per api.informationprotection.azure.com.

  • Se si usa un proxy Web che richiede l’autenticazione, configurarlo per l’uso dell’autenticazione integrata di Windows con le credenziali di accesso di Active Directory dell’utente.

  • Non terminare la connessione TLS dal client al servizio, ad esempio per il controllo a livello di pacchetti, all’URL aadrm.com. In questo modo viene interrotta l’associazione del certificato usata dai client RMS con le autorità di certificazione gestite da Microsoft per la protezione delle comunicazioni con il servizio Azure Rights Management.

    • Suggerimento: grazie alla modalità di visualizzazione delle connessioni protette in Chrome, è possibile usare questo browser per verificare rapidamente se la connessione client viene terminata prima di raggiungere il servizio Azure Rights Management. Immettere l’URL seguente nella barra degli indirizzi del browser:https://admin.na.aadrm.com/admin/admin.svc

      Non preoccuparsi di ciò che viene visualizzato nella finestra del browser. Fare invece clic sull’icona a forma di lucchetto nella barra degli indirizzi per visualizzare le informazioni sul sito. Le informazioni sul sito consentono di visualizzare l’autorità di certificazione (CA) emittente. Se il certificato non è emesso da una CA Microsoft, è molto probabile che la connessione protetta dal client al servizio venga terminata e richieda interventi di riconfigurazione nel firewall. L’immagine seguente mostra un esempio di CA emittente Microsoft. Se risulta che il certificato è emesso da una CA interna, questa configurazione non è compatibile con Azure Information Protection.

      Controllo del certificato emesso per le connessioni di Azure Information Protection

Server locali

Se si vuole usare il servizio Azure Rights Management di Azure Information Protection con server locali, sono supportati i prodotti seguenti:

  • Exchange Server

  • SharePoint Server

  • File server di Windows Server che supportano la funzionalità Infrastruttura di classificazione file

Per informazioni sui requisiti aggiuntivi per questo scenario, vedere Server locali che supportano la protezione dati di Azure Rights Management.

Dettagli prezzi

È possibile acquistare Microsoft Azure Information Protection in modalità autonoma oppure tramite una delle suite di licenze Microsoft seguenti:

  • Enterprise Mobility + Security
  • Microsoft 365 Enterprise

La soluzione Azure Information Protection è offerta come licenza di sottoscrizione utente. Per il dettaglio dei prezzi fare riferimento a questo link.

Link utili

Guida di orientamento per la distribuzione di Azure Information Protection

Attivare il servizio Azure Rights Management

Modalità di classificazione in base alle etichette

Client Azure Information Protection per Windows

Guida dell’amministratore del client Azure Information Protection

Protezione RMS con Infrastruttura di classificazione file per Windows Server