Proteggere i dati aziendali con Azure Information Protection

Il termine Informatica deriva dalla fusione delle due parole Informazione e Automatica. Le informazioni che gestiamo ogni giorno rappresentano, per gli utenti e per le aziende, delle importanti risorse per il business. Uno degli obiettivi più importanti che ci dobbiamo prefissare è quello relativo alla protezione dei dati. Tantissime informazioni vengono condivise ogni giorno dagli utenti, a volte anche in maniera sbagliata.

Per evitare che informazioni importanti vengano inviate dai nostri utenti a persone non autorizzate, anche per sbaglio, abbiamo a disposizione uno strumento davvero potente: Azure Information Protection.

Azure Information Protection (AIP) è il nuovo nome scelto da Microsoft per un servizio che è disponibile da diversi anni: Azure RMS (Rights Management Services). Tramite questo servizio basato sul Cloud è possibile proteggere e classificare documenti ed inviare messaggi di posta elettronica con contenuti che saranno disponibili solo per il destinatario. La protezione delle informazioni è basata sulla gestione dei diritti sul file, che includono copia, stampa, modifica e controllo completo.

Le informazioni (I dati) vengono protette grazie alla crittografia e le autorizzazioni che concediamo permettono di accedere al file ed interagire con lo stesso anche a chi non fa parte del nostro Tenant Azure AD, come ad esempio aziende partner con cui vogliamo collaborare. La protezione che applichiamo tramite i Rights Management Services rimane associata ai documenti e ai messaggi di posta elettronica indipendentemente che si trovino all’interno o all’esterno della nostra infrastruttura. La condivisione diventa quindi allo stesso tempo semplice e sicura.

Un altro grande vantaggio di Azure Information Protection è rappresentato anche dalla possibilità di poter essere usato su più dispositivi, inclusi telefoni, tablet e PC. Questo rende di fatto possibile mantenere il file protetto indipendentemente dalla piattaforma dalla quale viene usufruito.

Figura 1: Protezione del documento con Azure Information Protection

Prequisiti per l’implementazione e l’utilizzo di Azure Information Protection

Prima di distribuire Azure Information Protection per la nostra organizzazione è necessario verificare di possedere alcuni prerequisiti. È necessario quindi che la nostra azienda abbia:

  • Una sottoscrizione di Azure Information Protection (verificare le informazioni sulla sottoscrizione e l’elenco delle funzionalità nel sito Azure Information Protection)
  • Tenant di Azure Active Directory (necessaria per accedere al portale di Azure e configurare i criteri di Azure Information Protection)
  • Dispositivi client supportati (Windows 7, Windows 8, Windows 8.1, Windows 10)

Come attivare il servizio Rights Management?

È possibile attivare il servizio Right Management in vari modi, inclusi l’uso di Windows PowerShell e il portale di amministrazione di Office365.

Se preferite utilizzare PowerShell potete semplicemente installare il modulo Windows PowerShell per Microsoft Azure Rights Management scaricando l’Azure Rights Management Administration Tool.

Dopo aver installato il tool vi basterà eseguire la cmdlet Connect-AadrmService e, quando richiesto, specificare i dati dell’account dell’amministratore globale per il Tenant di Azure Information Protection. Eseguendo la cmdlet  Enable-Aadrm verrà attivato il servizio Azure Rights Management.

Figura 3: Attivazione del servizio Rights Management tramite PowerShell

Se preferite utilizzare l’interfaccia grafica vi basterà collegarvi al portale https://portal.office.com e dall’Office Admin Center dovrete cercare RMS nel campo di ricerca presente nella pagina principale. Verrete quindi reindirizzati alla pagina Manage Microsoft Azure Information Protection settings.

Figura 4: Pagina Manage Microsoft Azure Information Protection settings del portale di Office365

Nella pagina Rights Management fate clic su attiva. Se questo pulsante visualizza il testo deactivate, vuol dire che il servizio è già attivato.

Figura 5: Attivazione del servizio Rights management dal portale di Azure

Configurare e pubblicare le policy di Azure Information Protection

Azure Information Protection ha la possibilità di utilizzare alcune policy per poter applicare le protezioni ed i diritti di utilizzo per i nostri documenti.

Il passaggio successivo all’attivazione consiste infatti nella configurazione di queste policy.

Per poter modificare le policy, o per crearne di nuove, dovete accedere al portale di Azure come amministratore globale del Tenant e dal Marketplace scegliete Security + Identity e successivamente Azure Information Protection. Fate clic su Create per abilitare la funzionalità.

Figura 6: Abilitazione della funzionalità di Azure Information Protection dal portale di Azure

La creazione dura pochissimi istanti. Vi basta poi riaprire il blade di Azure Information Protection per poter visualizzare la Global policy. Come potete notare dalla figura sotto ci sono 5 etichette predefinite per la classificazione dei documenti: PersonalPublicGeneralConfidential, and Highly Confidential.

Figura 7: Global Policy di Azure Information Protection

All’interno della Global Policy troverete una serie di Label che vi serviranno ad individuare il grado di riservatezza da dare ai vostri file ed a definire i livelli di accesso ai file.

Se volete creare un’etichetta personalizzata (Label) è sufficiente cliccare sul pulsante Add a New Label e nel blade che vi si aprirà configurate i parametri che vi interessano (Label Name, Description Color, Permission, ecc.). Nella figura sotto è mostrata la creazione della nuova Label chiamata ICTPower Sensitive Informations, che prevede che venga applicato un Template di Azure RMS chiamato Nicola Ferrini 365 – Confidential. La creazione e la personalizzazione dei Template esula da questa guida. Maggiori informazioni sono disponibili alla pagina Configurazione di modelli personalizzati per il servizio Azure Rights Management.

Figura 8: Creazione di un’etichetta personalizzata

Cliccate su Save e verificate che la nuova Label sia disponibile tra quelle già presenti nella Global Policy.

Figura 9: Aggiunta della nuova label alla Global Policy

Terminata la modifica della Global Policy basta chiudete il blade e confermate di voler pubblicare cliccando su Publish.

Figura 10: Pubblicazione della Global Policy aggiornata

Installazione del client di Azure Information Protection

Per poter utilizzare Azure Information Protection è necessario utilizzare un client. Il client permetterà di far apparire un nuovo pulsante sulla barra di Office e ci permetterà di visualizzare le etichette create ed applicare le policy configurate. Il client si integra anche con il sistema operativo e vi permetterà di poter rendere sicuri anche file diversi da quelli classici di Office, come ad esempio i file .PDF. Scaricate il client di Azure Information Protection e installatelo.

Figura 11: Installazione del client di Azure Information Protection

Al termine dell’installazione, se apriamo un’applicazione Office, riceveremo il messaggio che è possibile etichettare e proteggere le informazioni contenute nel documento, come mostrato in figura:

Figura 12: Messaggio che ci avvisa che è possibile etichettare e proteggere le informazioni

Nella barra degli strumenti di Word (o di Excel e Powerpoint) sarà anche disponibile il pulsante Proteggi e le Label che abbiamo impostato nella Global Policy saranno visibili in una barra subito sopra l’area di lavoro, come mostrato in figura:

Figura 13: Barra degli strumenti creata dal client di Azure Information Protection

Fate clic su Proteggi –> Guida e commenti e suggerimenti e nella finestra di dialogo Microsoft Azure Information Protection verificate lo stato del client, che vi darà informazioni relative all’ account con cui siete connessi, data e ora dell’ultima connessione, data di installazione del client.

Figura 14: Informazioni fornite dal client di Azure Information Protection

Classificazione, aggiunta di etichette (Label) e protezione dei file

Per poter cambiare la Label è sufficiente cliccare sulla barra di Azure Information Protection e modificare la Sensitivity. Nel mio caso ho scelto di utilizzare la Label che ho aggiunto alla Global Policy. Se per errore sbagliate ad impostare la Label (e quindi il livello di Riservatezza) potete cliccare sul simbolo a forma di matita e utilizzare il simbolo a forma di cestino per eliminarla.

Figura 15: Applicazione della Label scelta per proteggere il documento

Nel mio esempio la Label permetteva anche di applicare il Template RMS. Il documento è quindi protetto dal modello di Azure Rights Management che ho specificato quando ho creato la nuova Label. Cliccando sulla scheda File si possono infatti visualizzare le informazioni in Proteggi documento e verificare il Template che è stato automaticamente utilizzato.

Figura 16: Modello di Azure Right Management applicato

Condivisione di file protetti e tracciamento del documento

Per proteggere un documento con Azure Information Protection non è necessario utilizzare Office. È possibile fare clic in Esplora Risorse col tasto destro sull’icona del file e scegliere Classifica e proteggi. Verrà visualizzata la finestra di dialogo Classifica e proteggi – Azure Information Protection, come mostrato in figura:

Figura 17: Protezione del documento da Esplora Risorse

Aggiungete al documento la Sensitivity desiderata e definite le Permission. Selezionate Proteggi con autorizzazioni personalizzate per visualizzare opzioni aggiuntive e per definire delle Permission personalizzate non previste dalla Label scelta. Gli utenti o i gruppi a cui vorrete aggiungere le permission devono essere indicati come indirizzi di posta elettronica, come mostrato in figura:

Figura 18: Scelta delle opzioni di protezione per il documento

Dopo aver applicato la protezione noterete anche che l’icona del file è stata modificata. Nel mio caso ho protetto un file .PDF e come si può vedere è stata modificata anche l’estensione del file in .PPDF

Se fate doppio clic sul file vi si aprirà Azure Information Protection Viewer invece che il vostro lettore PDF preferito.

Figura 19: Azure Information Protection Viewer

Spesso abbiamo bisogno di condividere i nostri documenti anche all’esterno dell’azienda. Se spedite il documento inviandolo come allegato di posta elettronica o semplicemente utilizzate un disco esterno, un pendrive USB o un servizio per la condivisione dei file, il documento non perderà la protezione che gli avete assegnato.

Figura 20: Invio del documento protetto

La prima volta che il destinatario vorrà accedere ad un documento protetto con Azure Information Protection dovrà seguire le istruzioni riportate alla pagina https://aka.ms/rms-signup. Per poter aprire il documento protetto con RMS bisogna immettere l’indirizzo di posta elettronica aziendale che è stato indicato da chi ha applicato la protezione prima dell’invio del file, che identifica di fatto chi è legittimato all’utilizzo del file.

Figura 21: richiesta di inserimento dell’indirizzo di posta elettronica aziendale autorizzato all’apertura del documento

Una volta effettuato l’accesso con l’account aziendale basta cliccare su Inizio, come mostrato in figura:

Figura 22: Accesso effettuato con l’account aziendale

Esistono diversi tipi di client di Azure Information Protection, disponibili per computer e per dispositivi mobili (Microsoft, Apple, Android). Dal sito sarà possibile scegliere quello più adatto dalla pagina che si aprirà automaticamente, come mostrato in figura:

Figura 23: Client di Azure Information Protection disponibili

Scegliete il client che volete installare, a seconda del sistema operativo da cui state visualizzando l’allegato di posta o il file in generale. Verrete quindi reindirizzati alla pagina per il download di Microsoft Azure Information Protection Viewer.

Figura 24: download di Microsoft Azure Information Protection Viewer

Dopo il download e l’installazione potrete finalmente visualizzare il file.

Figura 25: Visualizzazione del file tramite Azure Information Protection Viewer

È anche possibile tenere traccia del file, cioè sapere chi e quando lo ha aperto e modificato. Vi basta cliccare sull’icona Proteggi dell’applicazione Office e scegliere Rileva e Revoca. Se state visualizzando il file dall’Azure Information Protection Viewer potete anche fare clic sul pulsante Track and Revoke. Sarà necessario però avere una licenza di Azure Rights Management Premium per accedere al sito di tracciamento dei documenti.

Figura 26: Richiesta delle credenziali per poter accedere al Tracking del file

Conclusioni

Azure Information Protection ci permette di poter proteggere e soprattutto condividere i nostri file in sicurezza, utilizzando una serie di template già pronti e facili da usare. I documenti e i dati sensibili che vogliamo condividere all’esterno dell’azienda saranno dotati di una protezione contro l’accesso non autorizzato indipendentemente da dove sono archiviati o con chi vengono condivisi.

Per maggiori informazioni potete visitare le pagine