Panoramica
Azure Information protection (AIP) è la soluzione Microsoft “cloud based” per il controllo e la protezione di messaggi di posta elettronica, documenti e dati sensibili che vengono condivisi fuori dall’azienda. E’ una soluzione capace sia di classificare con delle semplici etichette, incluse nelle applicazioni di Microsoft Office, sia di fornire le autorizzazioni che verranno applicate e incorporate ai documenti indipendentemente da dove sono archiviati e da come e con chi vengono condivisi. Infatti si può facilmente condividere i dati in modo sicuro con colleghi, clienti e partner. In pratica si definisce chi può accedere ai dati e quali operazioni possono essere eseguite. Si può ad esempio consentire la visualizzazione e la modifica dei file, ma non la stampa o l’inoltro. Le etichette possono essere applicate automaticamente dagli amministratori, che definiscono regole e condizioni, manualmente dagli utenti oppure da entrambi, quando gli utenti ricevono raccomandazioni dagli amministratori.
Inoltre AIP consente di tenere traccia delle attività sui dati condivisi e revocare l’accesso, se necessario. Il Reparto IT può usare le potenti funzionalità di registrazione e monitoraggio per monitorare, analizzare ed esaminare i dati.
Requisiti per Azure Information Protection
Per le funzionalità di classificazione, etichettatura e protezione: è necessario un piano di Azure Information Protection.
Per la sola funzionalità di protezione: è necessario un piano di Office 365 che include Azure Information Protection.
Per assicurarsi che la sottoscrizione dell’organizzazione includa le funzionalità di Azure Information Protection da usare, esaminare l’elenco delle funzionalità nella pagina Prezzi di Azure Information Protection.
Azure Active Directory
Per supportare l’autenticazione e l’autorizzazione utente per Azure Information Protection, l’organizzazione deve avere Azure Active Directory. Inoltre, se si vuole usare gli account utente dalla directory locale (ADDS), è necessario anche configurare l’integrazione delle directory.
Sono supportati in AIP:
- L’accesso Single Sign-On (SSO) , in modo che agli utenti non vengono richieste ripetutamente le credenziali.
- Multi-Factor Authentication (MFA).
- L’accesso condizionale è supportato, al momento, solo in preview per i documenti protetti da Azure Information Protection.
Dispositivi client
Gli utenti devono avere dispositivi client, quali computer o dispositivi mobili, che eseguono un sistema operativo che supporta Azure Information Protection.I dispositivi seguenti supportano il client di Azure Information Protection, che consente agli utenti di classificare ed etichettare i messaggi di posta elettronica e i documenti:
-
Windows 10 (x86, x64)
-
Windows 8.1 (x86, x64)
-
Windows 8 (x86, x64)
-
Windows 7 Service Pack 1 (x86, x64)
-
Windows Server 2016
-
Windows Server 2012 R2 e Windows Server 2012
-
Windows Server 2008 R2
Per le versioni server elencate, il client Azure Information Protection è supportato per Servizi Desktop remoto. Se si eliminano profili utente quando si usa il client Azure Information Protection con Servizi Desktop remoto, non eliminare la cartella %Appdata%\Microsoft\Protect.
Applicazioni
Il client Azure Information Protection consente di etichettare e proteggere documenti e messaggi di posta elettronica usando le applicazioni di Office Word, Excel, PowerPoint e Outlook delle edizioni di Office seguenti:
-
Office 365 ProPlus con le app di Office 2016 o 2013 (installazione basata su A portata di clic o Windows Installer)
Queste edizioni di Office sono incluse nella maggior parte, ma non in tutte le sottoscrizione di Office 365 che includono la protezione dati di Azure Information Protection. Controllare le informazioni sulla sottoscrizione per verificare se Office 365 ProPlus è incluso. Queste informazioni si possono trovare anche nel foglio dati di Azure Information Protection.
-
Office Professional Plus 2016
-
Office Professional Plus 2013 con Service Pack 1
-
Office Professional Plus 2010 con Service Pack 2
Con le altre edizioni di Office non è possibile proteggere i documenti e i messaggi di posta elettronica usando un servizio Rights Management. Per queste edizioni Azure Information Protection è supportato solo per la classificazione. Di conseguenza, le etichette che applicano la protezione non vengono visualizzate dagli utenti sulla barra di Azure Information Protection o dal pulsante Proteggi sulla barra multifunzione di Office.
IMPORTANTE: Il client di Azure Information Protection non supporta il passaggio tra gli account utente in Office.
Il client Azure Information Protection ha altri prerequisiti elencati nella guida dell’amministratore.
Firewall e infrastruttura di rete
Se si ha un firewall o simili dispositivi di rete intermedi che devono essere configurati per consentire connessioni specifiche, i requisiti di connettività di rete sono inclusi nell’articolo di Office Office 365 URLs and IP address ranges (URL e intervalli di indirizzi IP per Office 365). Vedere la sezione Microsoft 365 Common and Office Online (Comuni per Microsoft 365 e Office Online).
Oltre alle informazioni nell’articolo di Office, le istruzioni seguenti sono specifiche per Azure Information Protection:
-
Consentire il traffico HTTPS sulla porta TCP 443 per api.informationprotection.azure.com.
-
Se si usa un proxy Web che richiede l’autenticazione, configurarlo per l’uso dell’autenticazione integrata di Windows con le credenziali di accesso di Active Directory dell’utente.
-
Non terminare la connessione TLS dal client al servizio, ad esempio per il controllo a livello di pacchetti, all’URL aadrm.com. In questo modo viene interrotta l’associazione del certificato usata dai client RMS con le autorità di certificazione gestite da Microsoft per la protezione delle comunicazioni con il servizio Azure Rights Management.
-
Suggerimento: grazie alla modalità di visualizzazione delle connessioni protette in Chrome, è possibile usare questo browser per verificare rapidamente se la connessione client viene terminata prima di raggiungere il servizio Azure Rights Management. Immettere l’URL seguente nella barra degli indirizzi del browser:
https://admin.na.aadrm.com/admin/admin.svc
Non preoccuparsi di ciò che viene visualizzato nella finestra del browser. Fare invece clic sull’icona a forma di lucchetto nella barra degli indirizzi per visualizzare le informazioni sul sito. Le informazioni sul sito consentono di visualizzare l’autorità di certificazione (CA) emittente. Se il certificato non è emesso da una CA Microsoft, è molto probabile che la connessione protetta dal client al servizio venga terminata e richieda interventi di riconfigurazione nel firewall. L’immagine seguente mostra un esempio di CA emittente Microsoft. Se risulta che il certificato è emesso da una CA interna, questa configurazione non è compatibile con Azure Information Protection.
-
Server locali
Se si vuole usare il servizio Azure Rights Management di Azure Information Protection con server locali, sono supportati i prodotti seguenti:
-
Exchange Server
-
SharePoint Server
-
File server di Windows Server che supportano la funzionalità Infrastruttura di classificazione file
Per informazioni sui requisiti aggiuntivi per questo scenario, vedere Server locali che supportano la protezione dati di Azure Rights Management.
Dettagli prezzi
È possibile acquistare Microsoft Azure Information Protection in modalità autonoma oppure tramite una delle suite di licenze Microsoft seguenti:
- Enterprise Mobility + Security
- Microsoft 365 Enterprise
La soluzione Azure Information Protection è offerta come licenza di sottoscrizione utente. Per il dettaglio dei prezzi fare riferimento a questo link.
Link utili
Guida di orientamento per la distribuzione di Azure Information Protection
Attivare il servizio Azure Rights Management
Modalità di classificazione in base alle etichette
Client Azure Information Protection per Windows
Guida dell’amministratore del client Azure Information Protection
Protezione RMS con Infrastruttura di classificazione file per Windows Server