Configurar e gerenciar modelos da Proteção de Informações do Azure

  • Artigo

Os modelos de proteção, também conhecidos como modelos do Rights Management, são um agrupamento de configurações de proteção definido pelo administrador para a Proteção de Informações do Azure. Essas configurações incluem os direitos de uso que você escolheu para os usuários autorizados e controles para acessos expirados ou offline. Esses modelos são integrados à política da Proteção de Informações do Azure:

Quando você tem uma assinatura que inclui classificação, rotulagem e proteção (Azure Proteção de Informações P1 ou P2):

  • Modelos que não estão integrados aos seus rótulos para seu locatário são exibidos na seção Modelos de Proteção após seus rótulos no painel Proteção de Informações do Azure – Rótulos. Para navegar até este painel, selecione a opção de menu Rótulos de Classificações>. É possível converter esses modelos em rótulos ou vincular a eles ao configurar a proteção para os rótulos.

Quando você tem uma assinatura que inclui somente proteção (uma assinatura Microsoft 365 que inclui o serviço Rights Management do Azure):

  • Os modelos do locatário são exibidos na seção Modelos de Proteção no painel Proteção de Informações do Azure – Rótulos. Para navegar até este painel, selecione a opção de menu Rótulos de Classificações>. Nenhum rótulo é exibido. Você também verá definições de configurações específicas para classificação e definição de rótulos, mas elas não terão nenhum efeito nos modelos ou não poderão ser configuradas.

Por exemplo, se os usuários relatarem que podem abrir conteúdo protegido, mas não têm os direitos necessários, o problema pode ser que o usuário não esteja no grupo correto configurado para um modelo de Rights Management. Ou o problema pode ser que o modelo precise de reconfiguração para o usuário ou grupo, conforme descrito neste artigo.

Observação

Em alguns aplicativos e serviços, você pode ver Não Encaminhar e criptografar somente (Criptografar) exibido como um modelo. Não são modelos que você pode editar ou excluir, mas sim opções fornecidas por padrão com o serviço do Exchange.

Modelos padrão

Quando você obtém sua assinatura para o Azure Proteção de Informações ou para uma assinatura de Microsoft 365 que inclui o serviço Rights Management do Azure, dois modelos padrão são criados automaticamente para seu locatário. Esses modelos restringem o acesso a usuários autorizados em sua organização. Quando esses modelos são criados, eles têm as permissões listadas na documentação configurando direitos de uso do Azure Proteção de Informações.

Além disso, os modelos são configurados para permitir acesso offline por sete dias e não têm uma data de expiração.

Observação

Você pode alterar essas configurações, bem como os nomes e as descrições dos modelos padrão. Isso não era possível no Portal Clássico do Azure e continua sem suporte para o PowerShell.

Esses modelos padrão permitem que você e as outras pessoas comecem imediatamente a proteger os dados confidenciais da organização com mais facilidade. Esses modelos podem ser usados com os rótulos da Proteção de Informações do Azure ou sozinhos com aplicativos e serviços que possam usar os modelos do Rights Management.

Você também pode criar seus próprios modelos personalizados. Embora provavelmente você precise apenas de alguns modelos, é possível ter no máximo 500 modelos personalizados salvos no Azure.

Direitos incluídos nos modelos padrão

A tabela a seguir lista os direitos de uso incluídos quando os modelos padrão são criados. Os direitos de uso são listados pelo nome comum.

Esses modelos padrão são criados quando sua assinatura foi comprada e os nomes e direitos de uso podem ser alterados no portal do Azure e com o PowerShell.

Nome de exibição do modelo Direitos de uso de 6 de outubro de 2017 até a data atual Direitos de uso antes de 6 de outubro de 2017
<nome> da organização – Somente Exibição Confidencial

ou

Altamente confidencial \ todos os funcionários		 Exibir, Abrir, Ler, Copiar, Exibir Direitos, Permitir Macros, Imprimir, Encaminhar, Responder, Responder a Todos, Salvar, Editar Conteúdo, Editar Exibir, Abrir, Ler
<nome da> organização - Confidencial

ou

Confidencial \ Todos os Funcionários		 Exibir, Abrir, Ler, Salvar Como, Exportar, Copiar, Exibir Direitos, Alterar Direitos, Permitir Macros, Imprimir, Encaminhar, Responder, Responder a Todos, Salvar, Editar Conteúdo, Editar, Controle Total Exibir, Abrir, Ler, Salvar Como, Exportar, Editar Conteúdo, Editar, Exibir Direitos, Permitir Macros, Encaminhar, Responder, Responder a Todos

Nomes de modelo padrão

Se você adquiriu sua assinatura recentemente, os modelos padrão foram criados com os seguintes nomes:

  • Confidencial\Todos os Funcionários

  • Altamente Confidencial\Todos os Funcionários

Se você obteve sua assinatura há algum tempo, seus modelos padrão poderão ser criados com os seguintes nomes:

  • <nome> da organização – Confidencial

  • <nome> da organização – Somente Exibição Confidencial

Você pode renomear (e reconfigurar) esses modelos padrão usando o Portal do Azure.

Observação

Se você não vir seus modelos padrão no painel Proteção de Informações do Azure – Rótulos, eles serão convertidos em rótulos ou vinculados a um rótulo. Eles ainda existem como modelos, mas, no Portal do Azure, você os vê como parte de uma configuração de rótulo que inclui configurações de proteção para uma chave de nuvem. Você sempre pode confirmar quais modelos seu locatário tem, executando o Get-AipServiceTemplate no módulo AIPService PowerShell.

É possível converter modelos manualmente, conforme explicado na próxima seção, Para converter modelos em rótulos e, em seguida, renomeá-los, se desejado. Ou eles serão convertidos automaticamente, se a sua política padrão da Proteção de Informações do Azure tiver sido criada recentemente e o serviço Azure Rights Management do seu locatário tiver sido ativado naquele momento.

Modelos que são arquivados são exibidos como indisponíveis no painel Proteção de Informações do Azure – Rótulos. Esses modelos não podem ser selecionados para rótulos, mas podem ser convertidos em rótulos.

Considerações para modelos no Portal do Azure

Antes de editar esses modelos ou convertê-los em rótulos, fique ciente das seguintes alterações e considerações. Devido às alterações de implementação, a lista a seguir será muito importante principalmente se você já gerenciava os modelos no Portal Clássico do Azure.

  • Depois de editar ou converter um modelo e salvar a política da Proteção de Informações do Azure, as seguintes alterações serão feitas nos direitos de uso originais. Se necessário, você poderá adicionar ou remover direitos de uso individuais usando o Portal do Azure. Ou use o PowerShell com os cmdlets New-AipServiceRightsDefinition e Set-AipServiceTemplateProperty .

    • Permitir Macros (nome comum) é adicionado automaticamente. Esse direito de uso é necessário para a barra da Proteção de Informações do Azure nos aplicativos do Office.

  • As configurações publicadas e arquivadas são exibidas como Habilitadas: Ativadas e Habilitadas: Desativadas, respectivamente, no painel Rótulo. Defina como Habilitado: Desativado os modelos que você deseja reter, mas não deseja que fiquem visíveis para usuários ou serviços.

  • Você não pode copiar nem excluir um modelo no Portal do Azure. Quando o modelo é convertido em um rótulo, você pode configurar o rótulo para parar de usar o modelo selecionando Não configurado para as permissões Definir para documentos e emails que contêm essa opção de rótulo . Ou você pode excluir o rótulo. No entanto, em ambos os cenários, o modelo não é excluído e permanece em um estado arquivado.

    Excluir modelos usando o cmdlet Remove-AipServiceTemplate do PowerShell é permanente. Também é possível usar este cmdlet do PowerShell para modelos que não foram convertidos em rótulos. No entanto, para garantir que o conteúdo já protegido possa aberto e usado como pretendido, geralmente é recomendado excluir modelos. Como prática recomendada, exclua modelos somente se você tiver certeza de que eles não foram usados para proteger documentos ou emails em produção. Como precaução antes de excluir permanentemente um modelo usando o PowerShell, considere exportar o modelo como um backup, usando o cmdlet Export-AipServiceTemplate .

  • Atualmente, se você editar e salvar um modelo departamental, a configuração de escopo será removida. O equivalente ao modelo de escopo na política da Proteção de Informações do Azure é a política de escopo. Se você converter o modelo em um rótulo, será possível selecionar um escopo existente.

    Além disso, não é possível definir a configuração de compatibilidade do aplicativo para um modelo de departamento por meio do Portal do Azure. Se necessário, você pode definir essa configuração de compatibilidade do aplicativo usando o cmdlet Set-AipServiceTemplateProperty e o parâmetro EnableInLegacyApps .

  • Quando um modelo é convertido ou vinculado a um rótulo, ele passa a não poder mais ser usado por outros rótulos. Além disso, o modelo deixa de ser exibido na seção Modelos de proteção.

  • Não é possível criar um novo modelo na seção Modelos de proteção. Em vez disso, crie um rótulo que tenha a configuração Proteger e configure os direitos de uso e as configurações do painel Proteção . Para obter as instruções completas, confira Para criar um novo modelo.

Para configurar os modelos na política da Proteção de Informações do Azure

  1. Se ainda não tiver feito isso, abra uma nova janela do navegador e entre no portal do Azure. Em seguida, navegue até o painel Proteção de Informações do Azure – Rótulos.

    Por exemplo, na caixa de pesquisa para recursos, serviços e documentos: Comece a digitar Informações e selecione a Proteção de Informações do Azure.

  2. Na opção de menuRótulos de Classificações>: no painel Proteção de Informações do Azure – Rótulos, expanda modelos de Proteção e localize o modelo que você deseja configurar.

  3. Selecione o modelo e, no painel Rótulo , você poderá alterar o nome do modelo e a descrição, se necessário, editando o nome de exibição rótulo e a descrição. Em seguida, selecione Proteção que tenha um valor do Azure (chave de nuvem) para abrir o painel Proteção .

  4. No painel Proteção , você pode alterar as permissões, a expiração de conteúdo e as configurações de acesso offline. Para obter mais informações de como definir as configurações de proteção, confira Como configurar um rótulo para a proteção do Rights Management

    Clique em OK para manter as alterações e, no painel Rótulo , clique em Salvar.

Observação

Você também pode editar um modelo usando o botão Editar Modelo no painel Proteção se tiver configurado um rótulo para usar um modelo predefinido. Desde que nenhum outro rótulo use o modelo selecionado, esse botão converterá o modelo em um rótulo e levará você para a etapa 5. Para obter mais informações sobre o que acontece quando modelos são convertidos em rótulos, consulte a próxima seção.

Para converter modelos em rótulos

Se você tem uma assinatura que inclui classificação, definição de rótulos e proteção, é possível converter um modelo em um rótulo. Ao converter um modelo, o modelo original é retido, mas, no Portal do Azure, ele passa a ser exibido como incluído em um novo rótulo.

Por exemplo, se você converter um rótulo chamado Marketing, que conceda direitos de uso para o grupo de marketing, ele será exibido no Portal do Azure como um rótulo chamado Marketing, apresentando as mesmas configurações de proteção. Se você alterar as configurações de proteção neste rótulo recém-criado, elas serão alteradas no modelo e qualquer usuário ou serviço que usar esse modelo obterá as novas configurações de proteção com a próxima atualização do modelo.

Não há um requisito para converter todos os modelos em rótulos, mas quando você faz isso, as configurações de proteção são totalmente integradas à funcionalidade completa dos rótulos e deixa de ser necessário manter as configurações separadamente.

Para converter um modelo em um rótulo, clique com o botão direito do mouse no modelo e selecione Converter em rótulo. Como alternativa, use o menu de contexto para selecionar essa opção.

Usando o botão Editar Modelo, você também pode converter um modelo em um rótulo ao configurar um rótulo para proteção e um modelo predefinido.

Quando você converte um modelo em um rótulo:

  • O nome do modelo é convertido em um novo nome de rótulo e a descrição do modelo é convertida na dica de ferramenta do rótulo.

  • Se o status do modelo for publicado, essa configuração será mapeada para Habilitado: Ativado para o rótulo, que será exibido como esse rótulo aos usuários na próxima publicação da política da Proteção de Informações do Azure. Se o status do modelo for arquivado, essa configuração será mapeada para Habilitado: Desativado para o rótulo, que não será exibido como um rótulo disponível aos usuários.

  • As configurações de proteção são retidas e poderão ser editadas se necessário. Você também poderá adicionar outras configurações de rótulo como marcadores visuais e condições.

  • O modelo original não será mais exibido em Modelos de proteção e não poderá ser selecionado como um modelo predefinido ao configurar a proteção para um rótulo. Para editar esse modelo no Portal do Azure, edite o rótulo que foi criado quando você converteu o modelo. O modelo permanece disponível para o serviço Azure Rights Management e ainda pode ser gerenciado usando comandos do PowerShell.

Para criar um novo modelo

Os modelos podem ser criados usando o portal ou usando o PowerShell.

Criação de modelo usando o PowerShell

Para criar um novo modelo de proteção usando o PowerShell com o nome, a descrição, a política e a configuração de status desejada especificadas, use o cmdlet Add-AipServiceTemplate .

Criação de modelo usando o portal

Quando você cria um novo rótulo usando o portal com a configuração de proteção do Azure (cloud key), essa ação cria um novo modelo personalizado que pode ser acessado por serviços e aplicativos que se integram a modelos de Rights Management.

  1. Na opção de menuRótulos de Classificações>: no painel Proteção de Informações do Azure – Rótulos, selecione Adicionar um novo rótulo.

  2. No painel Rótulo , mantenha o padrão habilitado: Ativado e insira um nome de rótulo e uma descrição para o nome e a descrição do modelo.

  3. Para Definir permissões para documentos e emails que contenham este rótulo, selecione Proteger e, em seguida, Proteção:

    Configure protection for an Azure Information Protection label

  4. No painel Proteção , você pode alterar as permissões, a expiração de conteúdo e as configurações de acesso offline. Para obter mais informações de como definir as configurações de proteção, confira Como configurar um rótulo para a proteção do Rights Management

    Clique em OK para manter as alterações e, no painel Rótulo , clique em Salvar.

    No painel Proteção de Informações do Azure – Rótulos, agora você verá seu novo rótulo exibido com a coluna PROTECTION para indicar que ele contém configurações de proteção. Essas configurações de proteção são exibidas como modelos para aplicativos e serviços que dão suporte ao serviço Azure Rights Management.

    Embora o rótulo esteja habilitado, por padrão, o modelo é arquivado. Para que os aplicativos e serviços possam usar o modelo para proteger documentos e emails, conclua a etapa final para publicar o modelo.

  5. Na opção de menuPolíticas deClassificações>, selecione a política para conter as novas configurações de proteção. Em seguida, selecione Adicionar ou remover rótulos. Na Política: adicione ou remova o painel de rótulos , selecione o rótulo recém-criado que contém as configurações de proteção, selecione OK e selecione Salvar.

Próximas etapas

O computador que executa o cliente da Proteção de Informações do Azure pode levar até 15 minutos para obter essas configurações alteradas. Para obter informações sobre como os computadores e serviços baixam e atualizam modelos, consulte Atualizar modelos para usuários e serviços.

Certifique-se de fornecer instruções aos usuários sobre quais modelos selecionar se o nome do modelo e a descrição não forem suficientes para escolher o certo.

Tudo que é possível configurar no Portal do Azure para criar e gerenciar modelos pode ser feito por meio do PowerShell. Além disso, o PowerShell fornece mais opções que não estão disponíveis no portal. Para obter mais informações, consulte Referência do PowerShell para modelos de proteção.

Para obter mais informações de como configurar a política da Proteção de Informações do Azure, use os links na seção Configurando a política da organização.