Azure Information Protection – Protezione delle informazioni e dei dati aziendali

Il termine Informatica deriva dalla fusione delle due parole Informazione e Automatica. Le informazioni che gestiamo ogni giorno rappresentano, per gli utenti e per le aziende, delle importanti risorse per il business. Uno degli obiettivi più importanti che ci dobbiamo prefissare è quello relativo alla protezione dei dati e di tutte le informazioni aziendali. Tantissime informazioni vengono condivise ogni giorno dagli utenti, a volte anche in maniera sbagliata perché possono essere sensibili per l’azienda.

Per evitare che informazioni importanti vengano inviate dai nostri utenti a persone non autorizzate, anche per sbaglio, abbiamo a disposizione uno strumento davvero potente: Azure Information Protection.

Azure Information Protection (AIP) è un servizio cloud che permette di proteggere e classificare documenti ed inviare messaggi di posta elettronica con contenuti che saranno disponibili solo per i destinatari. La protezione delle informazioni è basata sulla gestione dei diritti sul file, che includono copia, stampa, modifica e controllo completo.

Le informazioni e i dati vengono protetti grazie alla crittografia e le autorizzazioni che concediamo permettono di accedere al file ed interagire con lo stesso anche a chi non fa parte del nostro Tenant Azure AD, come ad esempio aziende partner con cui vogliamo collaborare. La protezione che applichiamo tramite i Rights Management Services (Azure RMS) rimane associata ai documenti e ai messaggi di posta elettronica indipendentemente che si trovino all’interno o all’esterno della nostra infrastruttura. La condivisione diventa quindi allo stesso tempo semplice e sicura.

Un altro grande vantaggio di Azure Information Protection è rappresentato anche dalla possibilità di poter essere usato su più dispositivi, inclusi telefoni, tablet e PC. Questo rende di fatto possibile mantenere il file protetto indipendentemente dalla piattaforma dalla quale viene usufruito.

Come ottenere Azure Information Protection

Per utilizzare Azure Information Protection è necessario disporre di:

Azure Information Protection è disponibile in due piani: Azure Information Protection P1 e Azure Information Protection P2

I piani possono essere acquistati in modalità standalone (come licenze aggiuntive se già possedete una licenza di Microsoft 365), mentre sono già contenuti in alcune licenze:

Alla pagina https://azure.microsoft.com/en-us/pricing/details/information-protection/ trovare tutti dettagli relativi ai prezzi e alle differenze tra Azure Information Protection P1 e Azure Information Protection P2

Attivazione di Azure Information Protection

Accedete al portale di Azure usando l’account di amministratore globale per il tenant. Selezionate + Crea una risorsa e quindi nella casella di ricerca per il Marketplace digitate Azure Information Protection. Selezionate Azure Information Protection nell’elenco dei risultati e fate clic su Crea.

Figura 1: Azure Information Protection nel portale di Azure

Figura 2: Attivazione di Azure Information Protection

Figura 3: Pagina di Overview di Azure Information Protection

Azure Information Protection è attivato di default per i nuovi tenant. Per verificare che sia stato attivato spostatevi nel nodo Protection Activation e verificate lo stato di attivazione.

Figura 4: Verifica dello stato di attivazione di Azure Information Protection

Creare e pubblicare etichette in Azure Information Protection

Per classificare e proteggere i documenti è necessario utilizzare le etichette. Cliccando su Labels sarà possibile visualizzare le etichette già create, creare le etichette di default e aggiungere nuove etichette. Utilizzo delle etichette permette di semplificare enormemente il processo di classificazione del file e permette di poter associare permessi per l’apertura e l’eventuale modifica del file.

Figura 5: Generazione delle etichette predefinite in Azure Information Protection

Dopo pochi secondi, le etichette predefinite saranno disponibili nel portale di Azure.

Figura 6: Creazione delle etichette predefinite di Azure Information Protection completata

Le etichette predefinite per la classificazione sono PersonalPublicGeneralConfidential e Highly Confidential. Le ultime due etichette si espandono per visualizzare le etichette secondarie in quanto una classificazione può avere sottocategorie.

Creare una nuova etichetta per la protezione

Per creare una nuova etichetta per la protezione è sufficiente, nel nodo Labels, cliccare sulla voce Add a new label

Figura 7: Aggiunta di una nuova etichetta in Azure Information Protection

Date un nome ed una descrizione all’etichetta e sceglietene il colore. Per Configurare le autorizzazioni per documenti e messaggi di posta elettronica contenenti questa etichetta, selezionate Proteggi, che apre automaticamente il riquadro Protezione:

Figura 8: Configurazione delle autorizzazioni per documenti e messaggi di posta elettronica che conterranno l’etichetta

Nel riquadro Protezione verificate che l’opzione Azure (chiave cloud) sia selezionata. Questa opzione usa il servizio Azure Rights Management (Azure RMS) per proteggere documenti e messaggi di posta elettronica. Nel riquadro Aggiungi autorizzazioni selezionare Aggiungi <nome organizzazione > – Tutti i membri. Se invece si seleziona l’opzione Immettere i dettagli, è possibile specificare singoli indirizzi di posta elettronica o anche tutti gli utenti di un’altra organizzazione. Per le autorizzazioni, selezionate Revisore dalle opzioni predefinite. Come si può notare, questo livello di autorizzazione concede automaticamente alcune delle autorizzazioni elencate ma non tutte. È possibile selezionare diversi livelli di autorizzazione o specificare singoli diritti di utilizzo usando l’opzione Personalizzato.

Figura 9: Aggiunta dei permessi di Revisore utilizzando Azure RMS

Terminata la configurazione della protezione potete salvare e pubblicare la nuova etichetta creata.

Figura 10: Salvataggio della nuova etichetta creata

Figura 11: La nuova etichetta è visibile e disponibile in Azure Information Protection

Modificare i criteri (policies) di Azure Information Protection

Le Policies di Azure Information Protection stabiliscono quali etichette devono essere visibili agli utenti della nostra organizzazione. Azure Information Protection ha la possibilità di utilizzare alcune policy per poter applicare le protezioni ed i diritti di utilizzo per i nostri documenti.

Figura 12: Policy globale di Azure Information Protection

Potete aggiungere o rimuovere delle etichette dalla policy globale cliccando sul pulsante Add or remove labels.

Figura 13: Aggiunta delle etichette alla global policy di Azure Information Protection

Modificate a vostro piacimento le altre configurazioni presenti nella Global policy e fate clic su Save per effettuare il salvataggio e la pubblicazione.

Figura 14: Salvataggio della global policy di Azure Information Protection

Per maggiori informazioni su come configurare le impostazioni dei criteri di Azure Information Protection e creare una nuova etichetta vi rimando alla lettura della guida ufficiale https://docs.microsoft.com/it-it/azure/information-protection/infoprotect-quick-start-tutorial

Installazione del client di Azure Information Protection

Per poter creare file protetti con Azure Information Protection e per applicare le etichette è necessario utilizzare un client. Il client permetterà di far apparire un nuovo pulsante sulla barra di Office e ci permetterà di visualizzare le etichette create ed applicare le policy configurate. Il client si integra anche con il sistema operativo e vi permetterà di poter rendere sicuri anche file diversi da quelli classici di Office, come ad esempio i file .PDF.

I client Azure Information Protection possono etichettare e proteggere documenti e messaggi di posta elettronica usando Microsoft WordExcelPowerPointOutlook da una delle edizioni di Office seguenti:

  • Microsoft 365 Apps versione minima 1805, Build 9330,2078 da Office 365 Business o Microsoft 365 business.

Questa edizione è supportata solo quando all’utente viene assegnata una licenza per Azure Rights Management, nota anche come Azure Information Protection per Office 365.

  • Office 365 ProPlus
  • Office Professional Plus 2019
  • Office Professional Plus 2016
  • Office Professional Plus 2013 con Service Pack 1
  • Office Professional Plus 2010 con Service Pack 2

Con le altre edizioni di Office non è possibile proteggere i documenti e i messaggi di posta elettronica usando un servizio Rights Management. Per queste edizioni, Azure Information Protection è supportato solo per la classificazione e le etichette che applicano la protezione non vengono visualizzate per gli utenti.

Scaricate il client di Azure Information Protection e installatelo.

Figura 15: Download del client di Azure Information Protection

Figura 16: Installazione del client di Azure Information Protection

All’apertura di uno dei programmi Office sarà possibile visualizzare un nuovo pulsante nei ribbon. Si tratta del pulsante Proteggi, come la relativa barra, dove soaranno mostrate le etichete che avete deciso di distribuire tramite policy agli utenti della vostra organizzazione:

Figura 17: In Word è presente il nuovo pulsante Proteggi

Per applicare una nuova etichetta e quindi associare la relativa protezione è sufficiente cliccare sull’apposito pulsante presente sulla barra di Office. Nel mio caso ho scelto di applicare l’etichetta ICTPower Sensitive Informations.

Figura 18: Applicazione dell’etichetta e relativa protezione

Da questo momento in poi, dopo aver effettuato il salvataggio, il file potrà essere aperto e modificato soltanto dagli utenti che si trovano nella organizzazione di Microsoft 365, in base alle configurazioni che abbiamo precedentemente scelto per l’etichetta ICTPower Sensitive Informations.

Il client di Azure Information Protection si integra anche con Esplora Risorse ed è quindi possibile classificare e proteggere i file semplicemente cliccando col tasto destro sul file e scegliendo Classify and protect

Figura 19: Protezione del file utilizzando Windows Explorer

Nel menu che si aprirà sarà possibile scegliere una delle etichette che sono gestite da Azure Information Protection

Figura 20: Applicazione dell’etichetta di Azure Information Protection

Figura 21: Applicazione dell’etichetta di Azure Information Protection completata

Distribuzione di file protetti da Azure Information Protection e relativa apertura e modifica

Prima di poter visualizzare il file protetto, il servizio Azure Rights Management (Azure RMS) usato per proteggere il file deve verificare che siano presenti le autorizzazioni necessarie per la visualizzazione del file. Il servizio esegue tale controllo verificando il nome utente e la password. In alcuni casi, le credenziali possono essere memorizzate nella cache e non verrà visualizzato un messaggio che richiede di eseguire l’accesso, altrimenti verrà richiesto di immettere le credenziali.

Nel caso il file venga condiviso sia all’interno che all’esterno dell’organizzazione, alla sua apertura verrà mostrata una schermata che indica che il file è stato protetto con Azure information Protection e che sarà quindi necessario procedere alla autenticazione prima di poter aprire il file. Nella schermata sotto è mostrato cosa accade se apriamo un file .PDF protetto con AIP e, mancando un lettore pdf predefinito, venga aperto con Microsoft Edge. La pagina invita l’utente a scaricare Azure information Protection Viewer.

Figura 22: Apertura del file in caso manchi un lettore PDF nel client

Figura 23: Pagina di download di Azure Information Protection viewer

Dopo aver installato Microsoft Azure Information Protection Viewer l’utente sarà in grado di visualizzare il file, dopo essersi correttamente autenticato e ovviamente soltanto se avrà le autorizzazioni necessarie.

Figura 24: Apertura del file utilizzando il Microsoft Azure Information Protection Viewer

Se nel computer è installato Adobe Acrobat Reader sarà lo stesso programma a notificarvi che il file è protetto con Azure Information Protection e quindi è necessario installare un componente aggiuntivo. Questa funzionalità è molto interessante perchè dimostra che Azure Information Protection è ormai uno standard de facto per proteggere i documenti e anche gli altri vendor si sono integrati con la funzionalità.

Figura 25: Adobe Acrobat Reader notifica all’utente cheil file è protetto con Azure Information Protection

Seguite quindi le indicazioni per scaricare il plugin di Microsoft Azure Information Protection per Adobe Acrobat Reader DC.

Figura 26: Download e installazione del plugin per Azure Information Protection in Adobe Acrobat Reader DC

Nelle figure sotto sono mostrate tutte le operazioni che dovrà eseguire l’utente prima di poter aprire il file. Gli verrà chiesto di autenticarsi con le credenziali di un utente autorizzato ad aprile il file e dopo la autenticazione il file potrà essere visualizzato.

Figura 27: Richiesta dell’autenticazione con un account di Microsoft 365

Figura 28: Autenticazione da parte dell’utente

Figura 29: Richiesta di accesso rapido ai file protetti

Figura 30: Conferma dell’autorizzazione dell’utente all’accesso rapido ai file

Figura 31: Apertura del file protetto da Azure Information Protection completata

Condivisione dei file protetti con Microsoft Azure Information Protection all’esterno dell’azienda

Tra le domande che più spesso mi vengono fattec’è sicuramente quella riguardante la possibilità di condividere file protetti con Azure Information Protection all’esterno dell’azienda e se i destinatari che hanno indirizzi email non ospitate in Microsoft 365 potranno aprire il file, se gli abbiamo concesso le giuste autorizzazioni. La risposta è SI. Possiamo condividere a autorizzare all’apertura anche utenti con mail GMAIL, Libero, Domini proprietari non ospitati in Microosft 365.

Per condividere file protetti con Microsoft Azure Information Protection all’esterno dell’azienda è sufficiente utilizzare come indirizzi per la condivisione degli indirizzi di posta elettronica associati ad un Microsoft Account. Per poter utilizzare dei permessi di condivisione personalizzati sarà necessario però prima modificare la policy globale di Azure Information Protection e consentire che gli utenti possano creare delle opzioni di condivisione personalizzate, come mostrato in figura:

Figura 32: Modifica della Global Policy di Azure Information Protection

Nel ribbon di Office e nel client di Information Protection sarà questo punto possibile proteggere i file con autorizzazioni personalizzate, inserendo permessi di apertura e/o modifica del file per utenti all’asterno della nostra organizzazione.

Figura 33: Adesso è possibile proteggere il file con autorizzazioni personalizzate

Nell’esempio sotto ho deciso di consentire l’accesso al file a un utente che ha un indirizzo @gmail.com. È necessario però che quell’account @gmail.com sia associato ad un Microsoft Account, altrimenti l’utente non sarà in grado di aprire il file.

Figura 34: Permesso di accesso consentito ad un account esterno all’organizzazione

Al momento dell’apertura del file verrà chiesto di inserire le credenziali. L’utente dovrà mettere il suo indirizzo Gmail assicurandosi però di averlo già associato ad un Microsoft Account. Nel caso questa operazione non sia stata fatta precedentemente, sarà necessario fare clic su Creane uno per poter associare l’account Gmail ad un Microsoft Account. Perciò nulla di impegnativo 🙂

Figura 35: Apertura del file protetto e login con un Microsoft Account

Se l’utente non ha i permessi per poter accedere al file, riceverà l’errore è mostrato nella figura 36. Facendo clic sul pulsante Richiedi autorizzazione potrà inviare un’e-mail al proprietario del file per farsi concedere l’autorizzazione all’apertura e all’eventuale modifica del file protetto. Non sarà necessario dover scambiare nuovamente i file perché le autorizzazioni sono memorizzate in Azure e vengono scaricate ogni volta che viene effettuato l’accesso al file protetto da Azure Information Protection.

Figura 36: Messaggio di errore per l’utente non autorizzato all’apertura del file

Azure Information Protection e la posta elettronica

Con Azure Information Protection è anche possibile proteggere i messaggi di posta elettronica e in particolar modo impedire che possano essere inoltrati. I messaggi verranno visualizzati soltanto dai legittimi destinatari e non sarà possibile nemmeno utilizzare la cattura schermo per poterli poi riutilizzare, magari inviando lo screenshot della mail.

Modificando la policy nel portale di Azure Information Protection è infatti possibile fare in modo tale che è in Outlook appaia il pulsante Non inoltrare. Ho proceduto a modificare la Global policy e ho effettuato il salvataggio.

Figura 37: Modifica della Azure Information Protection Policy per la configurazione di Outlook

Aprendo Outlook e scrivendo un nuovo messaggio verrà visualizzato il pulsante Proteggi, con tutte le etichette che sono stati assegnati dalla policy all’utente, e il pulsante Non inoltrare.

Figura 38: In Oulook è visibile il pulsante Non inoltrare

Se decidiamo di inviare una mail e scegliamo di utilizzare la funzionalità di Non inoltrare, al messaggio verranno applicate tutte le limitazioni che avremo scelto e gli verrà mostrato un messaggio che lo avvisa dell’applicazione della policy, come mostrato nella figura 39.

Figura 39: Al messaggio vengono applicate le limitazioni imposte da Azure Information Protection

Al destinatario del messaggio al momento della ricezione ed apertura della mail verrà chiesto di autenticarsi con le proprie credenziali di Microsoft 365 o con il Microsoft Account associato all’indirizzo di posta elettronica di destinazione per poter utilizzare Azure Information Protection. Come si può vedere dalla figura 40 il pulsante Inoltra è disabilitato e un banner avvisa il destinatario delle limitazioni applicate al messaggio.

Figura 40: Il destinatario non può inoltrare il messaggio

Conclusioni

Azure Information Protection per Windows consente di proteggere i documenti e i messaggi di posta elettronica importanti dagli utenti che non sono autorizzati a visualizzarli, anche se il messaggio di posta elettronica viene inoltrato o se il documento viene salvato in un altro percorso. In questo modo siamo capaci di gestire e limitare l’accesso alle nostre informazioni sensibili anche se queste dovessero essere condivise all’esterno dell’organizzazione per errore oppure essere aperte da persone non autorizzate.