Microsoft 365 Business: come configurare Azure Information Protection

Il termine protezione delle informazioni, o IP, viene generalmente utilizzato per comprendere gli standard del settore e le migliori pratiche per proteggere le informazioni dall'accesso non autorizzato. Nell'ecosistema Microsoft, Azure Information Protection, è un servizio cloud che consente alle organizzazioni di classificare i dati con etichette per controllare l'accesso. Azure Information Protection può essere acquistato come licenza autonoma o in bundle in una soluzione come Microsoft 365 Business.

Di seguito è riportata una ripartizione delle funzionalità incluse in ciascuna delle quattro versioni di Azure Information Protection . La licenza AIP Premium P1 è inclusa in Microsoft 365 Business.

L'evoluzione di Azure Information Protection

Azure Information Protection ha subito un'evoluzione negli ultimi anni e potresti aver incontrato questa tecnologia con un nome diverso. Alcuni dei vecchi nomi della tecnologia sono Azure Rights Management Service (Azure RMS), Azure Active Directory Rights Management (AADRM), Windows Azure Active Directory Rights Management, Information Rights Management (IRM) o, per alcuni, semplicemente "The New Microsoft RMS. " Farai un grande favore a te stesso e a Microsoft dimenticando tutti quei vecchi nomi e limitandoti ad Azure Information Protection .

L'ultima versione di questa tecnologia cloud offre ora funzionalità di classificazione ed etichettatura che possono, a loro volta, applicare la gestione dei diritti per proteggere i file. A un livello elevato, Azure Information Protection protegge i tuoi dati in tre passaggi chiave:

Innanzitutto, i dati vengono classificati ed etichettati . Ad esempio, se un documento è classificato come riservato e dovrebbe essere disponibile solo per i destinatari dell'e-mail, l'etichetta potrebbe essere Riservato - Solo destinatari".

Successivamente, i dati vengono protetti tramite crittografia, controllo degli accessi e criteri basati sull'etichetta. Continuando con l'esempio precedente, un documento contrassegnato con l' etichetta Riservato — Solo destinatari verrà crittografato in modo che solo i destinatari possano leggerlo.

Infine, i documenti possono essere tracciati e l'accesso può essere revocato se necessario. Dall'esempio precedente, il mittente dell'e-mail può decidere che uno dei destinatari non debba più avere accesso al documento. In tal caso, il mittente può revocare l'accesso per un utente specifico.

La crittografia dei messaggi di Office 365, o OME, è una delle funzionalità di Azure Information Protection. Se possiedi la licenza AIP Premium P2, puoi avvalerti di funzionalità aggiuntive, come la classificazione automatica per i dati cloud e on-premise. Qui scopri le funzionalità disponibili nella licenza AIP Premium P1.

Attivazione di Azure Information Protection

Per iniziare a usare Azure Information Protection, la prima cosa che devi fare come amministratore IT è attivare il servizio nel tuo tenant Microsoft 365 Business . Anche se pensi che il servizio sia già abilitato, non fa male verificare. Ecco come:

Accedi al portale di amministrazione di Microsoft con le tue credenziali di amministratore globale.

Nella navigazione a sinistra, nel gruppo Impostazioni, fai clic su Servizi e componente aggiuntivo.

Viene visualizzata la pagina Servizi e componenti aggiuntivi.

Passare alle impostazioni di Microsoft Azure Information Protection.

Seleziona Microsoft Azure Information Protection

La finestra di Microsoft Azure Information Protection viene visualizzata a destra.

Nella finestra Microsoft Azure Information Protection, fare clic su Gestisci impostazioni di Microsoft Azure Information Protection.

Confermare che Rights Management è attivato. In caso contrario, fai clic sul pulsante Attiva

In questo esempio, il tenant è già attivato per Azure Information Protection.

Un tenant con Rights Management attivato.

Dopo aver confermato lo stato delle impostazioni di Azure Information Protection, puoi chiudere in sicurezza la finestra del browser o tornare all'interfaccia di amministrazione di Microsoft 365 dall'icona di avvio delle app.

Acquisire familiarità con le etichette di Azure Information Protection

Azure Information Protection è preconfigurato con criteri ed etichette predefiniti applicabili per la maggior parte delle organizzazioni, incluse le piccole imprese. Prima di iniziare a pensare alla configurazione di etichette e criteri personalizzati per la tua organizzazione, prenditi il ​​tempo necessario per acquisire familiarità con le impostazioni predefinite di Azure Information Protection. Potresti risparmiare un sacco di lavoro creando e testando criteri personalizzati.

Se al tenant di Office 365 è stato eseguito il provisioning di Azure Information Protection dopo febbraio 2018, sono già disponibili le seguenti etichette e le descrizioni corrispondenti:

• Personale: dati non aziendali, solo per uso personale.
• Pubblico: dati aziendali specificamente preparati e approvati per il consumo pubblico.
• Generale: dati aziendali non destinati al consumo pubblico ma che possono essere condivisi con partner esterni secondo necessità. Gli esempi includono un elenco telefonico interno dell'azienda, organigrammi, standard interni e la maggior parte delle comunicazioni interne.
• Riservato: dati aziendali sensibili che potrebbero causare danni all'azienda se condivisi con persone non autorizzate. Gli esempi includono contratti, rapporti sulla sicurezza, riepiloghi di previsione e dati dell'account di vendita. L'etichetta Riservato è ulteriormente suddivisa in due sottoetichette:
  • Solo destinatari: dati riservati che richiedono protezione e che possono essere visualizzati solo dai destinatari. Questa etichetta verrà visualizzata solo in Outlook e applicherà il criterio Non inoltrare.
  • Tutti i dipendenti: dati riservati che richiedono una protezione che conceda a tutti i dipendenti le autorizzazioni complete. I proprietari dei dati possono tenere traccia e revocare i contenuti.
  • Chiunque (non protetto): Dati che non richiedono protezione. Utilizzare questa opzione con cautela e con una giustificazione aziendale adeguata.
• Altamente confidenziale. Dati aziendali molto sensibili che potrebbero causare danni all'azienda se condivisi con persone non autorizzate. Gli esempi includono informazioni su dipendenti e clienti, password, codice sorgente e rapporti finanziari preannunciati. L'etichetta Highly Confidential è ulteriormente suddivisa in tre sottoetichette:
  • Solo destinatari: dati altamente riservati che richiedono protezione e che possono essere visualizzati solo dai destinatari. Questa etichetta verrà visualizzata solo in Outlook e applicherà il criterio Non inoltrare.
  • Tutti i dipendenti: dati altamente riservati che consentono a tutti i dipendenti di visualizzare, modificare e rispondere alle autorizzazioni a questo contenuto. I proprietari dei dati possono tenere traccia e revocare i contenuti.
  • Chiunque (non protetto): Dati che non richiedono protezione. Utilizzare questa opzione con cautela e con una giustificazione aziendale adeguata.

Se è stato effettuato il provisioning del tenant di Office 365 prima del 21 marzo 2017, le etichette Generale e Riservatezza elevata sono mancanti. Il loro equivalente negli inquilini più anziani sono rispettivamente Interno e Segreto.

To further explore these labels and corresponding policies, you need to navigate to the Azure portal and access the Azure Information Protection service settings. Here’s how:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

Azure Information Protection — Labels page in Azure.

The Confidential and Highly Confidential labels are collapsed by default. To view their sublabels, click the arrow to the left of the label to expand the selection.

A few words about Azure Information Protection policies

On the Azure Information Protection — Labels page, note that the labels all have Global under the Policy column. By default, Azure Information Protection comes with a Global policy that is applied to all users in the tenant. You can edit this policy, but you can’t delete it. You can also create new policies and configure them to your heart’s content, but the Global policy will always be there.

To view the details of the Azure Information Protection Global policy, follow these steps:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

In the left menu, under the Classifications group, click Policies.

On the right, the Configure Administrative Name and Description for Each Policy blade is displayed.The Policy: Global blade is displayed.

The Policy: Global blade in Azure Information Protection.

Be careful about changing the default settings in the Global policy because it is applicable to everyone in your organization. You might want to create another policy first and test it out. If you decide to change the Global policy, make sure to save your changes. (If you forget and simply close the blade, the system will prompt you to save your changes.)

Putting Azure Information Protection Into Action

Implementing Azure Information Protection is not something you would do without thoughtful planning and the involvement of keys stakeholders in your organization. You need to make sure that the rollout is communicated to end users, training is delivered, and support is planned.

As an IT admin implementing Microsoft 365 Business, you should perform some testing and become familiar with the process before you implement Azure Information Protection for the entire organization. After you’ve explored the Azure Information Protection service in Microsoft Azure, the next step is to put what you know into action. In this phase, you need your end users to participate.

Installing the Azure Information Protection client

You can have the greatest policies and labels for Azure Information Protection in Azure, but they’ll be no good if your end users can’t see and apply them. The AIP client, a program that is run on the end users’ devices, solves this problem.

Before you install the AIP client, make sure Office ProPlus is already installed but not running on the device. When you’re ready to install the AIP client, do the following:

Navigate to the Azure Information Protection client download page.

The Microsoft Download Center appears.

Click the Download button.

The Choose the Download You Want window is displayed.

Select AzInfoProtection.exe by selecting the box and then click Next.

Downloading the Azure Information Protection client.

From the notification that pops up at the bottom of your screen, click (or double-click) Run.

The system performs a security check on the download. When the check is complete, the Microsoft Azure Information Protection window pops up.

Installation window for Azure Information Protection.

Click the I Agree button.

You can opt to install a demo policy (not recommended because it will clutter your user interface) or send usage statistics to Microsoft or both.

In the User Account Control window that displays, click Yes to start the installation.

You see the progress of the installation.

When the Microsoft Azure Information Protection window displays Completed Successfully, click the Close button.

The installation window disappears, and you’re now ready to check that the Azure Information Protection client was successfully installed.To verify the installation, open a blank document in Word. You see the labels below the ribbon.

Azure Information Protection labels displayed in Word.

Applying a label to a document

Now that the Azure Information Protection client is installed, and the labels are displayed in the Office applications, it’s time to put it to the test.

Create a Word document and pretend that it’s highly confidential.

On the Sensitivity bar, click Highly Confidential and select All Employees.

Applying the Highly Confidential/All Employees label.

The label is applied, and the other labels will disappear.

Run Outlook, start a new email, and attach the Word document.

Tieni presente che Outlook visualizza la barra della riservatezza con le stesse etichette che hai visto in Word.

Inserisci l'indirizzo email di un utente nella tua organizzazione.

Inserisci un indirizzo email esterno alla tua organizzazione, quindi fai clic su Invia.

Outlook invia l'e-mail ai destinatari con l'etichetta Altamente confidenziale/Tutti i dipendenti. In questo esercizio, l'e-mail verrà comunque inviata sia all'utente interno che a quello esterno. L'utente interno potrà aprire e leggere il documento dall'invito alla condivisione. L'utente esterno, tuttavia, non potrà aprire il documento e verrà presentato con il messaggio mostrato qui.

Un utente esterno bloccato da un documento sensibile.

Revocare l'accesso alle informazioni

Azure Information Protection protegge le informazioni della tua azienda dal cadere nelle mani sbagliate, anche dopo che sono finite nelle mani sbagliate.

Si supponga, ad esempio, di rendersi conto di aver inviato accidentalmente un documento alle persone sbagliate e di voler porre rimedio alla situazione revocando ogni accesso al documento. Ecco cosa puoi fare, continuando dall'esempio sopra:

Apri il documento Word protetto dell'esercizio precedente.

Viene visualizzata una barra gialla, che indica la riservatezza del documento e contiene un pulsante per visualizzare le autorizzazioni per il documento.

Sulla barra multifunzione, fare clic su Home, quindi sul pulsante Proteggi.

Viene visualizzato un sottomenu sotto il pulsante Proteggi.

Accesso al sito di tracciamento dei documenti.

Nel sottomenu, fare clic su Traccia e revoca per avviare il sito di monitoraggio dei documenti.

Il tuo browser si avvia per portarti al sito di tracciamento dei documenti.

Se è la prima volta che visiti il ​​sito, accedi con le tue credenziali di Microsoft 365 Business.

Dopo un accesso riuscito, il sito di monitoraggio dei documenti mostra un riepilogo delle visualizzazioni del documento. Esplora le schede per vedere le solide funzionalità di Azure Information Protection.

Il sito di monitoraggio dei documenti.

Nella parte inferiore del sito di monitoraggio dei documenti, fai clic sul pulsante Revoca accesso.

Viene visualizzata la pagina Revoca accesso.

Fare clic sul pulsante Conferma nella parte inferiore della pagina.

Viene visualizzata la finestra Revoca completata.

Fare clic su Continua per tornare alla pagina di monitoraggio del documento.

Nella vista Riepilogo, il documento mostra il timbro Revocato.

Una delle caratteristiche più sorprendenti di questa soluzione è che nella scheda Mappa puoi vedere dove gli utenti di tutto il mondo hanno cercato di accedere al tuo documento! Quindi, se dovessi mai scoprire che qualcuno proveniente, ad esempio, dalla Russia o da Timbuktu ha tentato di aprire il tuo documento anche se tutti i tuoi utenti si trovano negli Stati Uniti, saprai che l'accesso al documento dovrebbe essere revocato.