- Accedere al portale Azure con un utente definito come super-utente nell'account dell'organizzazione in Azure.
- Nel riquadro di navigazione a sinistra, selezionare Azure Active Directory Service e selezionare registrazioni app, nuova registrazione.
- Nella pagina registra un'applicazione , immettere le informazioni di registrazione dell'applicazione:
- Nome : immettere un nome di applicazione significativo visualizzato agli utenti del app.
- Tipi di account supportati : selezionare solo gli account nella directory dell'organizzazione.
Redirect URl (optional) : È possibile lasciare vuoto questo campo.
- Selezionare Registra. Azure AD assegna all'app un ID applicazione univoco (client) e si viene reindirizzati alla pagina Panoramica dell'applicazione.
- Copiare i valori di due campi: ID applicazione (client) ID e Directory (tenant). In seguito è necessario creare la configurazione del server Azure nei server ePO registrati.
- Fare clic su autorizzazioni API in Gestisci, quindi fare clic su Aggiungi un'autorizzazione. Viene visualizzata la pagina Richiedi autorizzazioni API.
- Aggiungere le API e le autorizzazioni MIP necessarie per l'applicazione in fase di esecuzione:
- Nella pagina selezionare un'API , fare clic su servizi di gestione dei diritti di Azure.
- Nella pagina API di Azure Rights Management Services , fare clic su autorizzazioni applicazioni.
- Nella sezione selezionare le autorizzazioni , espandere il nodo del contenuto e selezionare Content. DelegatedReader, Content. DelegatedWritere autorizzazioni per il contenuto .SuperUser. Questa opzione consente all'applicazione di creare e accedere a contenuti protetti per tutti gli utenti dell'account aziendale in Azure.
- Fare clic su Aggiungi autorizzazioni per salvare.
- Ripetere il passaggio 7 sopra e cercare l'API nella pagina selezionare un'API .
- Nella pagina selezionare un'API , fare clic su Apis utilizzato dall'organizzazione. Nel campo Cerca, digitare Microsoft Information Protection Sync Service e selezionarlo.
- Nella pagina Microsoft Information Protection Sync Service API , fare clic su autorizzazioni applicazioni.
- Espandere il nodo UnifiedPolicy e verificare UnifiedPolicy. tenant. Read.
- Fare clic su Aggiungi autorizzazioni per salvare.
- Nella pagina autorizzazioni API , fare clic su Consenti autorizzazione amministratore per (nome tenant), quindi fare clic su Sì. Questa selezione fornisce il pre-consenso all'applicazione che utilizza questa registrazione per accedere alle API in base alle autorizzazioni specificate. Se si effettua l'accesso come amministratore globale, il consenso viene registrato per tutti gli utenti del tenant che eseguono l'applicazione. In caso contrario, si applica solo all'account utente.
- Fare clic su
Certificates & secrets Gestisci e fare clic su nuovo segreto client:- Aggiungere una descrizione per il segreto client, selezionare una durata, quindi fare clic su Aggiungi.
- Copiare e salvare il valore segreto del client creato.
Configurazione di Azure MIP in Data Loss Prevention
Articoli tecnici ID:
KB91833
Ultima modifica: 2022-10-03 18:54:53 Etc/GMT
Ultima modifica: 2022-10-03 18:54:53 Etc/GMT
Ambiente
Endpoint 11.6.x DLP, 11.5.x
Riepilogo
Questo articolo fornisce informazioni sul supporto di Azure Microsoft Information Protection (MIP) in DLP Discover 11.4.x e DLP endpoint 11.6.x , 11.5.x. ma fornisce anche il processo di configurazione necessario per utilizzarlo.
Nota: Quando si registrano più server Azure in ePolicy Orchestrator (ePO), può verificarsi un rallentamento delle prestazioni. Si consiglia di aggiungere solo i server Azure di cui si ha bisogno.
Eseguire le attività seguenti:
Nota: Quando si registrano più server Azure in ePolicy Orchestrator (ePO), può verificarsi un rallentamento delle prestazioni. Si consiglia di aggiungere solo i server Azure di cui si ha bisogno.
Eseguire le attività seguenti:
- Registrazione di un'applicazione client con Active Directory Azure (AD):
Per utilizzare la funzione di Azure MIP nel server di rilevamento DLP, è necessario che l'applicazione client sia registrata con Azure AD. Per registrare l'applicazione client, attenersi alla seguente procedura:
Per utilizzare le funzioni Azure con l'endpoint DLP, è necessario che l'applicazione client sia registrata con Azure AD. Per registrare l'applicazione client, attenersi alla seguente procedura:
Nota: Attualmente, DLP supporta solo ambienti aziendali che utilizzano Hybrid Azure AD (Federation Services, password-hash Sync).
- Accedere al portale Azure con un utente definito come super-utente nell'account dell'organizzazione in Azure.
- Nel riquadro di navigazione a sinistra, selezionare Azure Active Directory Service e selezionare registrazioni app, nuova registrazione.
- Nella pagina registra un'applicazione, immettere le informazioni di registrazione dell'applicazione:
- Nome: Immettere un nome di applicazione significativo visualizzato agli utenti del app.
- Tipi di account supportati: Selezionare solo gli account nella directory dell'organizzazione.
Redirect URl (optional) : Questo campo può essere lasciato vuoto.
- Selezionare Registra. Azure AD assegna all'app un ID applicazione univoco (client) e si viene reindirizzati alla pagina Panoramica dell'applicazione.
- Copiare i valori di due campi: ID applicazione (client) ID e Directory (tenant). In seguito è necessario creare la configurazione del server Azure nei server ePO registrati.
- Nell'elenco di pagine per il app, selezionare manifestoed eseguire le operazioni riportate di seguito:
- Impostare la proprietà allowPublicClient su true nell'editor manifest.
- Fare clic su Salva nella barra sopra l'editor manifest.
- Verificare che signInAudience sia impostato su AzureADandPersonalMicrosoftAccount.
- Verificare che accessTokenAcceptedVersion sia impostato su 2.
- Fare clic su autorizzazioni API in Gestisci, quindi fare clic su Aggiungi un'autorizzazione. Viene visualizzata la pagina Richiedi autorizzazioni API .
- Aggiungere le API e le autorizzazioni MIP necessarie per l'applicazione in fase di esecuzione:
- Nella pagina selezionare un'API , fare clic su servizi di gestione dei diritti di Azure.
- Nella pagina API di Azure Rights Management Services , fare clic su autorizzazioni applicazioni.
- Nella sezione selezionare le autorizzazioni , espandere il nodo contenuto e selezionare Content. DelegatedReader, Content. DelegatedWriter, Content. Writer e Content. superuser. Questa opzione consente all'applicazione di creare e accedere a contenuti protetti per tutti gli utenti dell'account aziendale in Azure.
- Modificare il tipo di autorizzazioni per le autorizzazioni delegatee selezionare user_impersonation autorizzazione.
- Fare clic su Aggiungi autorizzazioni per salvare.
- Ripetere il passaggio 7 e cercare nell'API dalla pagina selezionare un'API :
- Nella pagina selezionare un'API , fare clic su Apis utilizzato dall'organizzazione. Nel campo Cerca, digitare Microsoft Information Protection Sync Service e selezionarlo.
- Nella pagina Microsoft Information Protection Sync Service API , fare clic su autorizzazioni applicazioni.
- Espandere il nodo UnifiedPolicy e selezionare UnifiedPolicy. tenant. Read.
- Modificare le autorizzazioni delegatee selezionare UnifiedPolicy. User. Read.
- Fare clic su Aggiungi autorizzazioni per salvare.
- Ripetere il passaggio 7 e cercare nell'API dalla pagina selezionare un'API :
- Nella pagina selezionare un'API , fare clic su Microsoft grafico.
- Nella pagina grafico Microsoft , fare clic su autorizzazioni applicazioni.
- Nella sezione selezionare le autorizzazioni , selezionare
utente. Read. All, policy. Read .All member. Read. Hidden, InformationProtectionPolicy. Read. All, Group. Read. All, Domain. ReadWrite. All, Device. ReadWrite. All, Application. ReadWrite. OwnedBye Application. ReadWrite. All Permissions. - Modificare il tipo di autorizzazioni per le autorizzazioni delegate, quindi selezionare
User. Read, User. Read. All, User. ReadBasic. Alle Group. Read. All Permissions. - Fare clic su Aggiungi autorizzazioni per salvare.
- Nella pagina autorizzazioni API , fare clic su Consenti autorizzazione amministratore per (nome tenant) e Sì. Questa selezione fornisce il pre-consenso all'applicazione che utilizza questa registrazione per accedere alle API in base alle autorizzazioni specificate. Se si effettua l'accesso come amministratore globale, il consenso viene registrato per tutti gli utenti del tenant che eseguono l'applicazione. In caso contrario, si applica solo all'account utente.
- Fare clic su
Certificates & secrets in Gestisci, quindi su nuovo segreto client:- Aggiungere una descrizione per il segreto client, selezionare la durata, quindi fare clic su Aggiungi.
- Copiare e salvare il valore segreto del client creato.
- Per configurare le etichette, consultare la sezione protezione delle informazioni ed eseguire le seguenti operazioni:
- Se l'etichetta è impostata su cifratura, assicurarsi che gli utenti che utilizzano l'etichetta dispongano almeno dei diritti di Co-proprietario sull'etichetta.
- Verificare che l'etichetta sia impostata sul policy utilizzato:
- Vai a policy etichette e controlla se l'etichetta è visibile nella sezione etichette pubblicate .
- Assegnare l'etichetta utilizzando l'opzione modifica policy nel caso in cui non sia visibile.
Per ulteriori informazioni su come creare e pubblicare etichette, consultare questo Microsoft documentazione.
- Registrare un server Azure nei server registrati da ePO.
Una volta creata l'applicazione client nel portale Azure, è necessario definire un server Azure nella configurazione ePO.
Nota: Assicurarsi che il titolare di Rights Management sia il proprietario app nel app in uso. È possibile visualizzarlo nella scheda proprietari sotto le impostazioni dell'applicazione.
Inoltre, le etichette utilizzate in Azure devono essere aggiunte manualmente alla definizione del server.
Queste etichette possono quindi essere selezionate quando si definisce una reazione RM policy per il server Azure. Per ulteriori informazioni su questa attività, consultare la Guida all'installazione di Data Loss Prevention per la versione del prodotto in uso.
- Registrare un server Azure per Microsoft protezione delle informazioni.
Nota: Questo argomento è applicabile a DLP Endpoint per l'utilizzo con MVISION ePO. L'endpoint DLP per l'utilizzo con MVISION ePO può essere integrato con Azure Microsoft Information Protection (MIP).
Registrare un server Azure e le etichette di protezione in modo che sia possibile selezionarlo per la protezione nelle reazioni delle regole.
- In MVISION ePO, selezionare menu, gestione policy DLP, definizioni.
- Nel riquadro a sinistra, nella categoria Server RM , selezionare Microsoft protezione delle informazioni. Fare clic su azioni, nuovo elemento.
- Immettere un nome per la configurazione del server e la descrizione facoltativa.
- Immettere l'ID applicazione (client) ID e Directory (tenant) come definito nei dettagli di registrazione dell'applicazione Azure.
- Immettere ogni nome di etichetta AIP e ID etichetta AIP come visualizzato nell'account Azure.
- Dopo aver completato la configurazione, fare clic su Salva .
Le etichette del server Azure e della protezione delle informazioni sono ora salvate.
È possibile creare una classificazione utilizzando le etichette di protezione delle informazioni di Azure e aggiungerla a una regola di protezione dei dati.
Per i documenti del prodotto, accedere al portale della documentazione del prodotto.
Informazioni correlate
Risoluzione dei problemi di acquisizione del token Azure
Individuare il seguente contenuto del registro di estrazione del testo DLP:
"... AcquireADALToken] Failed to acquire token, status:" <Status#>
Esempio: "AcquireADALToken] Impossibile acquisire token, stato: CAA20003"
codice di stato traduzione:
CAA2000C : la richiesta richiede l'interazione dell'utente.
Ciò significa che l'acquisizione in token invisibile non riesce.
Controllare quanto segue:
Questo errore indica il nome utente/password errato per l'autenticazione AD password. Assicurarsi che il nome utente e il password siano corretti.
CAA82EE7 : il nome del server non può essere risolto.
Per ulteriori informazioni, consultare la presente documentazione.
CAA90018 : non è possibile individuare l'area di autenticazione dell'utente.
Per ulteriori informazioni, consultare la documentazione Microsoft.
Errore durante la connessione a un endpoint di area di autenticazione utente ed esecuzione dell'individuazione dell'area di autenticazione. (Windows 10 versione 1809 e versioni successive).
Individuare il seguente contenuto del registro di estrazione del testo DLP:
Esempio: "AcquireADALToken] Impossibile acquisire token, stato: CAA20003"
codice di stato traduzione:
CAA2000C : la richiesta richiede l'interazione dell'utente.
Ciò significa che l'acquisizione in token invisibile non riesce.
Controllare quanto segue:
- Azure AD seamless Single Sign-on (SSO) viene selezionato come metodo di autenticazione.
- L'autenticazione a più facter (AMF) è disattivata per l'app.
- Nella sezione autorizzazioni, è necessario concedere il consenso dell'amministratore.
Questo errore indica il nome utente/password errato per l'autenticazione AD password. Assicurarsi che il nome utente e il password siano corretti.
CAA82EE7 : il nome del server non può essere risolto.
Per ulteriori informazioni, consultare la presente documentazione.
CAA90018 : non è possibile individuare l'area di autenticazione dell'utente.
Per ulteriori informazioni, consultare la documentazione Microsoft.
Errore durante la connessione a un endpoint di area di autenticazione utente ed esecuzione dell'individuazione dell'area di autenticazione. (Windows 10 versione 1809 e versioni successive).
- Il dispositivo deve avere accesso a Microsoft nel contesto di sistema. Questo accesso consente al dispositivo di eseguire il rilevamento di aree di autenticazione per il dominio verificato. È inoltre necessario determinare il tipo di dominio (gestito o federato).
- Se l'ambiente locale necessita di un proxy in uscita, è necessario assicurarsi che il contesto di sistema sul dispositivo possa individuare e autenticarsi in modo invisibile all'proxy in uscita.
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: