Distribuire la crittografia dei file di Office (passaggi dimostrativi)

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Reparto finanziario di Contoso ha un numero di file server che archiviano i propri documenti. che spaziano dalla documentazione generale a documenti ad alto impatto aziendale (HBI). Ad esempio, i documenti che contengono informazioni riservate sono classificati da Contoso come documenti HBI. L'azienda vuole che tutta la documentazione abbia un minimo di protezione e che tutta la documentazione HBI sia accessibile solo dalle persone autorizzate. A tale scopo, Contoso sta prendendo in considerazione utilizzando l'infrastruttura di classificazione File (FCI) e AD RMS è disponibile in Windows Server 2012. Infrastruttura di classificazione file consentirà a Contoso di classificare tutti i documenti archiviati nei file server in base al contenuto, mentre AD RMS consentirà di applicare i criteri per i diritti di utilizzo appropriati.

In questo scenario si eseguirà la procedura seguente:

Attività	Descrizione
Abilitare le proprietà delle risorse	Abilitare le proprietà delle risorse Impatto e Informazioni personali .
Creare regole di classificazione	Creare le regole di classificazione seguenti: Regola di classificazione HBI e Regola di classificazione PII.
Utilizzare l'attività di gestione file per proteggere automaticamente i documenti con AD RMS	Creare un'attività di gestione file che usa automaticamente AD RMS per proteggere i documenti che contengono informazioni personali (PII). Solo i membri del gruppo FinanceAdmin avranno accesso ai documenti classificati come High PII.
Visualizzare i risultati	Esaminare la classificazione dei documenti e osservare come cambia in base alla modifica del contenuto. Verificare inoltre la protezione applicata al documento tramite AD RMS.
Verificare la protezione di AD RMS	Verificare che il documento sia protetto con AD RMS.

Passaggio 1: Abilitare le proprietà delle risorse

Per abilitare le proprietà delle risorse

1. Nella console di gestione di Hyper-V connettersi al server ID_AD_DC1. Accedere al server usando contoso\administrator con la password pass@word1.

2. Aprire Centro di amministrazione di Active Directory e fare clic su Visualizzazione albero.

3. Espandere CONTROLLO DI ACCESSO DINAMICOe selezionare Proprietà risorse.

4. Scorrere fino alla proprietà Impatto nella colonna Nome visualizzato . Fare clic con il pulsante destro del mouse su Impattoe quindi scegliere Abilita.

5. Scorrere fino alla proprietà Informazioni personali nella colonna Nome visualizzato . Fare clic con il pulsante destro del mouse su Informazioni personalie quindi scegliere Abilita.

6. Per pubblicare le proprietà delle risorse in Elenco risorse globali, nel riquadro sinistro, fare clic su Elenchi proprietà risorsee quindi doppio clic su Elenco proprietà risorse globali.

7. Fare clic su Aggiungi, scorrere fino alla proprietà Impatto e selezionarla per aggiungerla all'elenco. Ripetere l'operazione per Informazioni personali. Fare clic su OK due volte per completare la procedura.

Comandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource Properties,CN=Claims Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"

Passaggio 2: Creare regole di classificazione

Questo passaggio spiega come creare la regola di classificazione High Impact . Questa regola cerca nel contenuto dei documenti e se viene trovata la stringa "Contoso Confidential", classifica il documento come ad alto impatto aziendale. Questa classificazione ha la precedenza su un'eventuale classificazione di basso impatto aziendale assegnata in precedenza.

In questo passaggio verrà creata anche una regola High PII . Questa regola cerca nel contenuto dei documenti e, se trova un codice fiscale, classifica il documento che lo contiene come High PII.

Per creare la regola di classificazione High Impact

1. Nella console di gestione di Hyper-V connettersi al server ID_AD_FILE1. Accedere al server usando contoso\administrator con la password pass@word1.

2. È necessario aggiornare le proprietà delle risorse globali da Active Directory. Aprire Windows PowerShell, digitare Update-FSRMClassificationPropertyDefinitione quindi premere INVIO. Chiudere Windows PowerShell.

3. Aprire Gestione risorse file server. Per aprire Gestione risorse file server, fare clic su Start, digitare gestione risorse file servere quindi fare clic su Gestione risorse file server.

4. Nel riquadro sinistro di Gestione risorse file server espandere Gestione classificazionie quindi selezionare Regole di classificazione.

5. Nel riquadro Azioni fare clic su Configura pianificazione classificazione. Nella scheda Classificazione automatica selezionare Abilita pianificazione fissa, selezionare un giorno in Giorno della settimana, quindi selezionare la casella di controllo Consenti classificazione continua per i nuovi file . Fare clic su OK.

6. Nel riquadro Azioni fare clic su Crea regola di classificazione. Verrà visualizzata la finestra di dialogo Crea regola di classificazione .

7. Nella casella Nome regola digitare High Business Impact.

8. Nel Descrizione digitare determina se il documento ha un alto impatto aziendale in base alla presenza della stringa "Contoso Confidential"

9. Nella scheda Ambito fare clic su Imposta proprietà di gestione cartelle, selezionare Utilizzo cartelle, fare clic su Aggiungie quindi su Sfoglia, individuare il percorso D:\Finance Documents, fare clic su OK, scegliere un valore di proprietà denominato File gruppo e infine fare clic su Chiudi. Una volta impostate le proprietà di gestione, nella scheda Ambito della regola selezionare File gruppo.

10. Fare clic sulla scheda Classificazione . In Scegliere un metodo per l'assegnazione di una proprietà ai fileselezionare Classificazione contenuto nell'elenco a discesa.

11. In Scegliere una proprietà da assegnare ai fileselezionare Impatto nell'elenco a discesa.

12. In Specificare un valoreselezionare Alto nell'elenco a discesa.

13. Fare clic su Configura in Parametri. Nella finestra di dialogo Parametri di classificazione selezionare Stringa nell'elenco Tipo espressione. Nella casella Espressione digitare: Contoso Confidential, quindi fare clic su OK.

14. Fare clic sulla scheda Tipo valutazione . Fare clic su Rivaluta i valori di proprietà esistenti, su Sovrascriviper sovrascrivere il valore esistente e quindi su OK per completare la procedura.

Comandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule $AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property "Impact_MS" -Description "Determines if the document has a high business impact based on the presence of the string 'Contoso Confidential'" -PropertyValue "3000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite

Per creare la regola di classificazione High PII

1. Nella console di gestione di Hyper-V connettersi al server ID_AD_FILE1. Accedere al server usando contoso\administrator con la password pass@word1.

2. Sul desktop aprire la cartella denominata Espressioni regolari, quindi aprire il documento di testo denominato RegEx-SSN. Evidenziare e copiare la stringa di espressione regolare seguente: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$. Poiché questa stringa verrà usata più avanti in questo passaggio, tenerla negli Appunti.

3. Aprire Gestione risorse file server. Per aprire Gestione risorse file server, fare clic su Start, digitare gestione risorse file servere quindi fare clic su Gestione risorse file server.

4. Nel riquadro sinistro di Gestione risorse file server espandere Gestione classificazionie quindi selezionare Regole di classificazione.

5. Nel riquadro Azioni fare clic su Configura pianificazione classificazione. Nella scheda Classificazione automatica selezionare Abilita pianificazione fissa, selezionare un giorno in Giorno della settimana, quindi selezionare la casella di controllo Consenti classificazione continua per i nuovi file . Fare clic su OK.

6. Nella casella Nome regola digitare High PII. Nella casella Descrizione digitare Determines if the document has a high PII based on the presence of a Social Security Number.

7. Fare clic sulla scheda Ambito e selezionare la casella di controllo File gruppo .

8. Fare clic sulla scheda Classificazione . In Scegliere un metodo per l'assegnazione di una proprietà ai fileselezionare Classificazione contenuto nell'elenco a discesa.

9. In Scegliere una proprietà da assegnare ai fileselezionare Informazioni personali nell'elenco a discesa.

10. In Specificare un valoreselezionare Alto nell'elenco a discesa.

11. Fare clic su Configura in Parametri. Nel riquadro Parametri di classificazioneselezionare Stringa nell'elenco Tipo espressione. Nel riquadro Espressione, incollare il testo dagli Appunti: ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$, quindi fare clic su OK.

    Nota

    Questa espressione consente di immettere codici fiscali non validi. In questo modo sarà possibile usare codici fiscali fittizi nella dimostrazione.

12. Fare clic sulla scheda Tipo valutazione . Selezionare Rivaluta i valori di proprietà esistenti, fare clic su Sovrascriviper sovrascrivere il valore esistente e quindi su OK per completare la procedura.

Comandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the document has a high PII based on the presence of a Social Security Number." -Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance Documents") -ClassificationMechanism "Content Classifier" -Parameters @("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite

A questo punto dovrebbero essere presenti due regole di classificazione:

• High Business Impact

• High PII

Passaggio 3: Usare le attività di gestione file per proteggere automaticamente i documenti con AD RMS

Ora che avete creato le regole per classificare automaticamente i documenti in base al contenuto, il passaggio successivo consiste nel creare un'attività di gestione di file che usa AD RMS per proteggere automaticamente determinati documenti in base alla relativa classificazione. In questo passaggio verrà creata un'attività di gestione file che protegge automaticamente i documenti classificati come High PII. Solo i membri del gruppo FinanceAdmin avranno accesso ai documenti classificati come High PII.

Per proteggere i documenti con AD RMS

1. Nella console di gestione di Hyper-V connettersi al server ID_AD_FILE1. Accedere al server usando contoso\administrator con la password pass@word1.

2. Aprire Gestione risorse file server. Per aprire Gestione risorse file server, fare clic su Start, digitare gestione risorse file servere quindi fare clic su Gestione risorse file server.

3. Nel riquadro sinistro selezionare Attività di gestione file. Nel riquadro Azioni selezionare Crea attività di gestione file.

4. Nel campo Nome attività digitare High PII. Nel campo Descrizione digitare Automatic RMS protection for high PII documents.

5. Fare clic sulla scheda Ambito e selezionare la casella di controllo File gruppo .

6. Fare clic sulla scheda Azione . In Tiposelezionare Crittografia RMS. Fare clic su Sfoglia per selezionare un modello, quindi selezionare il modello Contoso Finance Admin Only .

7. Fare clic sulla scheda Condizione e quindi su Aggiungi. In Proprietàselezionare Informazioni personali. In Operatoreselezionare Uguale. In Valoreselezionare Alto. Fare clic su OK.

8. Fare clic sulla scheda Pianificazione . Nella sezione Pianificazione fare clic su Settimanalee quindi selezionare Domenica. L'esecuzione settimanale dell'attività assicura l'individuazione di eventuali documenti che potrebbero essere sfuggiti a causa di un'interruzione del servizio o di altri eventi.

9. Nella sezione Esecuzione continua selezionare Esegui in modo continuo sui nuovi file, quindi fare clic su OK. A questo punto dovrebbe essere presente un'attività di gestione file denominata High PII.

Comandi equivalenti di Windows PowerShell

Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal' -Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS protection for high PII documents" -Namespace @('D:\Finance Documents') -Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition @($fmjCondition1)

Passaggio 4: Visualizzare i risultati

È necessario osservare la nuova classificazione automatica e regole di protezione di AD RMS in azione. In questo passaggio verrà esaminata la classificazione dei documenti e si osserverà come cambia in base alla modifica del contenuto.

Per visualizzare i risultati

1. Nella console di gestione di Hyper-V connettersi al server ID_AD_FILE1. Accedere al server usando contoso\administrator con la password pass@word1.

2. In Esplora risorse passare a D:\Finance Documents.

3. Fare clic con il pulsante destro del mouse sul documento Finance Memo e scegliere Proprietà. Fare clic sulla scheda Classificazione e notare che alla proprietà Impatto non è assegnato alcun valore. Fare clic su Annulla.

4. Fare clic con il pulsante destro del mouse sul documento Request for Approval to Hiree quindi scegliere Proprietà.

5. Fare clic sulla scheda Classificazione e notare che alla proprietà Informazioni personali non è assegnato alcun valore. Fare clic su Annulla.

6. Passare a CLIENT1. Disconnettere gli eventuali utenti collegati e quindi accedere come Contoso\MReid con la password pass@word1.

7. Sul desktop aprire la cartella condivisa Finance Documents .

8. Aprire il documento Finance Memo . Quasi in fondo al documento è presente la parola Confidential. Modificarla in: Contoso Confidential. Salvare il documento e chiuderlo.

9. Aprire il documento Request for Approval to Hire . Nella sezione Social Security#: digitare: 777-77-7777. Salvare il documento e chiuderlo.

   Nota

   L'applicazione della classificazione può richiedere circa 30 secondi.

10. Tornare a ID_AD_FILE1. In Esplora risorse passare a D:\Finance Documents.

11. Fare clic con il pulsante destro del mouse sul documento Finance Memo e scegliere Proprietà. Fare clic sulla scheda Classificazione . La proprietà Impatto è ora impostata su Alto. Fare clic su Annulla.

12. Fare clic con il pulsante destro del mouse sul documento Request for Approval to Hire e scegliere Proprietà.

13. . Fare clic sulla scheda Classificazione . La proprietà Informazioni personali è ora impostata su Alto. Fare clic su Annulla.

Passaggio 5: Verificare la protezione con AD RMS

Per verificare che il documento sia protetto

1. Tornare a ID_AD_CLIENT1.

2. Aprire il documento Request for Approval to Hire .

3. Fare clic su OK per consentire la connessione del documento al server AD RMS.

4. È ora possibile vedere che il documento è stato protetto con AD RMS poiché contiene un codice fiscale.