Perguntas frequentes sobre a proteção de dados na Proteção de Informações do Azure

Aplica-se a: Proteção de Informações do Azure, Office 365

*Relevante para: o cliente de rotulamento unificado do AIP e cliente clássico. Para obter mais informações, consulte também as perguntas frequentes para o cliente clássico. *

Observação

Para unificar e simplificar a experiência do cliente, o cliente clássico da Proteção de Informações do Azure e o Gerenciamento de Rótulo no portal do Azure foram preteridos em 31 de março de 2021. Embora o cliente clássico continue a funcionar como configurado, não haverá mais suporte para ele nem o lançamento de versões de manutenção.

Recomendamos que você migre para o rotulagem unificada e atualize para o cliente de rotulagem unificada. Saiba mais no recente blog sobre substituição.

Alguma dúvida sobre o serviço de proteção de dados, Azure Rights Management, da Proteção de Informações do Azure? Veja se ela foi respondida aqui.

Os arquivos precisam estar na nuvem para serem protegidos pelo Azure Rights Management?

Não, isso é um equívoco comum. O serviço do Azure Rights Management (e a Microsoft) não vê nem armazena seus dados como parte do processo de proteção de informações. As informações que você protege nunca são enviadas ou armazenadas no Azure, a menos que as armazene explicitamente no Azure ou utilize outro serviço de nuvem que as armazene no Azure.

Para obter mais informações, consulte como funciona Azure RMS? Nos bastidores para entender como uma fórmula de cola secreta criada e armazenada localmente é protegida pelo serviço de Rights Management do Azure, mas permanece no local.

Qual é a diferença entre a criptografia de Rights Management do Azure e a criptografia em outros serviços de nuvem da Microsoft?

A Microsoft fornece várias tecnologias de criptografia que permitem que você proteja seus dados para cenários diferentes e geralmente complementares. Por exemplo, embora Microsoft 365 ofereça criptografia em repouso para dados armazenados no Microsoft 365, o serviço de Rights Management do Azure da proteção de informações do Azure criptografa de forma independente seus dados para que eles sejam protegidos, independentemente de onde estão localizados ou como são transmitidos.

Essas tecnologias de criptografia são complementares. Para usá-las, você deve habilitá-las e configurá-las de forma independente. Ao fazer isso, você terá a opção Bring Your Own Key de criptografia, um cenário também conhecido como "BYOK". Habilitar o BYOK para uma dessas tecnologias não afeta as outras. Por exemplo, você pode usar o BYOK para a Proteção de Informações do Azure e não usá-lo para outras tecnologias de criptografia e vice-versa. As chaves usadas por essas diferentes tecnologias podem ser iguais ou diferentes, dependendo de como você configura as opções de criptografia para cada serviço.

Agora posso usar o BYOK com o Exchange Online?

Sim, agora você pode usar o BYOK com o Exchange Online ao seguir as instruções em configurar novos Microsoft 365 recursos de criptografia de mensagem criados com base na proteção de informações do Azure. Estas instruções habilitam os novos recursos no Exchange Online que dão suporte ao uso de BYOK para a Proteção de Informações do Azure, bem como a nova criptografia de mensagens do Office 365.

Para obter mais informações sobre essa alteração, consulte o comunicado do blog: Criptografia de mensagens do Office 365 com os novos recursos

Onde posso encontrar informações sobre soluções de terceiros que se integram ao Azure RMS?

Vários fornecedores de software já dispõem de soluções ou estão implementando soluções que se integram ao Azure Rights Management e a lista continua crescendo rapidamente. Talvez você ache útil verificar as listas de aplicativos habilitados para RMS e obter as atualizações mais recentes da Microsoft Mobility@MSFTMobility no Twitter. Você pode e postar perguntas de integração específicas no site do Yammerda proteção de informações do Azure.

Há um pacote de gerenciamento ou mecanismo de monitoramento semelhante para o conector RMS?

Embora o conector de Rights Management Registre informações, avisos e mensagens de erro no log de eventos, não há um pacote de gerenciamento que inclui o monitoramento para esses eventos. No entanto, a lista de eventos e suas descrições, com mais informações para ajudá-lo a tomar medidas corretivas, estão documentadas em monitorar o conector do Microsoft Rights Management.

Como faço para criar um novo modelo personalizado no Portal do Azure?

Os modelos personalizados migraram para o Portal do Azure, no qual é possível continuar gerenciando-os como modelos ou convertê-los em rótulos. Para criar um novo modelo, crie um novo rótulo e defina as configurações de proteção de dados do Azure RMS. Nos bastidores, isso cria um novo modelo que pode ser acessado por aplicativos e serviços que se integram aos modelos do Rights Management.

Para obter mais informações sobre modelos no Portal do Azure, consulte Configurar e gerenciar modelos da Proteção de Informações do Azure.

Eu protegi um documento e agora desejo alterar os direitos de uso ou adicionar usuários. É necessário proteger novamente o documento?

Se o documento tiver sido protegido usando um rótulo ou um modelo, não será necessário proteger novamente o documento. Modifique o rótulo ou o modelo fazendo suas alterações aos direitos de uso ou adicionando novos grupos (ou usuários) e, em seguida, salve essas alterações:

  • Quando um usuário não tiver acessado o documento antes de você fazer as alterações, as alterações entrarão em vigor assim que o usuário abrir o documento.

  • Quando um usuário já tiver acessado o documento, essas alterações entrarão em vigor quando sua licença de uso expirar. Proteja novamente o documento apenas se não puder aguardar a licença de uso expirar. Proteger novamente cria de fato uma nova versão do documento e, portanto, uma nova licença de uso para o usuário.

Como alternativa, se você já tiver configurado um grupo para as permissões necessárias, poderá alterar a associação de grupo para incluir ou excluir usuários e não será necessário alterar o rótulo ou o modelo. Pode haver um pequeno atraso antes que as alterações entrem em vigor, pois a associação de grupo é armazenada em cache pelo serviço do Azure Rights Management.

Se o documento tiver sido protegido usando permissões personalizadas, você não poderá alterar as permissões para o documento existente. Você deverá proteger o documento novamente e especificar todos os usuários e todos os direitos de uso necessários para essa nova versão do documento. Para proteger novamente um documento protegido, você deve ter o direito de uso de Controle Total.

Dica: para verificar se um documento foi protegido por um modelo ou usando uma permissão personalizada, use o cmdlet do PowerShell Get-AIPFileStatus. Uma descrição do modelo de Acesso Restrito para permissões personalizadas sempre estará visível, com uma ID de modelo exclusiva que não será exibida quando você executar Get-RMSTemplate.

Eu tenho uma implantação híbrida do Exchange com alguns usuários no Exchange Online e com outros no Exchange Server — isto é compatível com o Azure RMS?

Com certeza, e o melhor é que os usuários podem proteger e consumir emails e anexos protegidos entre as duas implantações do Exchange. Para essa configuração, ative o Azure RMS e habilite o IRM para o Exchange Onlinee, em seguida, implante e configure o conector RMS para o Exchange Server.

Se eu usar essa proteção para meu ambiente de produção, minha empresa ficará então bloqueada na solução ou correrá o risco de perder o acesso ao conteúdo que protegemos com o Azure RMS?

Não, você sempre permanecerá no controle de seus dados e poderá continuar a acessá-los, mesmo se decidir não usar mais o serviço do Azure Rights Management. Para obter mais informações, consulte encerramento e desativação do Azure Rights Management.

É possível controlar quais dos meus usuários podem usar o Azure RMS para proteger o conteúdo?

Sim, o serviço do Azure Rights Management tem controles de integração do usuário para esse cenário. Para obter mais informações, consulte a seção Configurando controles de integração para uma implantação em fases no artigo ativando o serviço de proteção do Azure Information Protection .

Posso impedir os usuários de compartilharem documentos protegidos com organizações específicas?

Um dos maiores benefícios de usar o serviço do Azure Rights Management para proteção de dados é que ele dá suporte para colaboração de empresas sem precisar configurar confianças explícitas para cada organização parceira, pois o Azure AD cuida da autenticação para você.

Não há nenhuma opção de administração para impedir que os usuários compartilhem com segurança os documentos com organizações específicas. Por exemplo, você deseja bloquear uma organização que não confia ou que tenha uma empresa concorrente. Impedir que o serviço de Rights Management do Azure Envie documentos protegidos para os usuários nessas organizações não faz sentido, pois seus usuários compartilharam seus documentos desprotegidos, o que é provavelmente a última coisa que você deseja que aconteça nesse cenário. Por exemplo, você não conseguiria identificar quem está compartilhando documentos confidenciais da empresa com os usuários dessas organizações, o que você pode fazer quando o documento (ou email) é protegido pelo serviço de Rights Management do Azure.

Ao compartilhar um documento protegido com alguém fora da minha empresa, como o usuário é autenticado?

Por padrão, o serviço do Azure Rights Management usa uma conta do Azure Active Directory e um endereço de email associado para autenticação de usuário, o que torna a colaboração entre empresas perfeita para administradores. Se a outra organização usar os serviços do Azure, os usuários já terão contas no Azure Active Directory, mesmo que essas contas sejam criadas e gerenciadas no local e, em seguida, sincronizadas com o Azure. Se a organização tiver Microsoft 365, nos bastidores, esse serviço também usará Azure Active Directory para as contas de usuário. Se a organização do usuário não tiver contas gerenciadas no Azure, os usuários poderão se inscrever no RMS para pessoas físicas, o que cria um locatário do Azure não gerenciado e um diretório para a organização com uma conta para o usuário, para que esse usuário (e os usuários subsequentes) possa ser autenticado para o serviço de Rights Management do Azure.

O método de autenticação para essas contas pode variar, dependendo de como o administrador na outra organização configurou as contas do Azure Active Directory. Por exemplo, seria possível usar senhas que foram criadas para essas contas, usar federação ou senhas que foram criadas no Active Directory Domain Services e depois sincronizadas com o Azure Active Directory.

Outros métodos de autenticação:

  • Se você proteger um email com um anexo de documento do Office para um usuário que não tem uma conta no Azure AD, o método de autenticação será alterado. O serviço do Azure Rights Management é federado com alguns provedores de identidade social populares, como Gmail. Se o provedor de email do usuário for compatível, o usuário poderá entrar no serviço e seu provedor de email será responsável por autenticá-lo. Se não houver suporte para o provedor de email do usuário ou for uma preferência, o usuário poderá solicitar uma senha única que o autentica e exibe o email com o documento protegido em um navegador da Web.

  • A Proteção de Informações do Azure pode usar contas da Microsoft para aplicativos com suporte. No momento, nem todos os aplicativos podem abrir o conteúdo protegido quando uma conta da Microsoft é usada para autenticação. Mais informações

Posso adicionar usuários externos (pessoas de fora da minha empresa) aos modelos personalizados?

Sim. As configurações de proteção que você pode definir no Portal do Azure permitem que você adicione permissões a usuários e grupos de fora da sua organização, e inclusive a todos os usuários em outra organização. Talvez seja útil consultar o exemplo passo a passo, Proteger a colaboração de documentos usando a Proteção de Informações do Azure.

Observe que se você tiver rótulos de Proteção de Informações do Azure, deverá primeiro converter o modelo personalizado em um rótulo antes de configurar essas configurações de proteção no Portal do Azure. Para obter mais informações, consulte Configurar e gerenciar modelos da Proteção de Informações do Azure.

Como alternativa, você pode adicionar usuários externos a modelos personalizados (e rótulos) usando o PowerShell. Essa configuração exige que você use um objeto de definição de direitos usado para atualizar seu modelo:

  1. Especifique os endereços de email externos e seus direitos em um objeto de definição de direitos, usando o cmdlet New-AipServiceRightsDefinition para criar uma variável.

  2. Forneça essa variável para o parâmetro RightsDefinition com o cmdlet set-AipServiceTemplateProperty .

    Quando você adiciona usuários a um modelo existente, deve definir os objetos de definição de direitos para os usuários existentes nos modelos, além de novos usuários. Para este cenário, você pode achar útil o Exemplo 3: adicionar novos usuários e direitos para um modelo personalizado da seção Exemplos para o cmdlet.

Qual tipo de grupos posso usar com o Azure RMS?

Na maioria dos cenários, você pode usar qualquer tipo de grupo no Azure AD que tenha um endereço de email. Esta regra geral sempre se aplica quando você atribui direitos de uso, mas há algumas exceções para administrar o serviço do Azure Rights Management. Para obter mais informações, consulte Requisitos da Proteção de Informações do Azure para contas de grupo.

Como envio um email protegido para uma conta do Gmail ou do Hotmail?

Quando você usa o Exchange Online e o serviço do Azure Rights Management, basta enviar o email para o usuário como uma mensagem protegida. Por exemplo, você pode selecionar o novo botão Proteger na barra de comandos no Outlook na Web, usar o botão ou a opção de menu Não Encaminhar do Outlook. Ou, você pode selecionar um rótulo de Proteção de Informações do Azure que aplica automaticamente a opção Não Encaminhar para você e classifica o email.

O destinatário vê uma opção para entrar em sua conta do Gmail, Yahoo ou Microsoft e, em seguida, pode ler o email protegido. Como alternativa, ele pode escolher a opção para uma senha única para ler o email em um navegador.

Para dar suporte a esse cenário, o Exchange Online deve estar habilitado para o serviço do Azure Rights Management e os novos recursos de Criptografia de mensagens do Office 365. Para obter mais informações sobre essa configuração, consulte Exchange Online: configuração de IRM.

Para obter mais informações sobre os novos recursos que incluem suporte a todas as contas de email em todos os dispositivos, consulte a seguinte publicação do blog: Announcing new capabilities available in Office 365 Message Encryption (Apresentando novos recursos disponíveis na Criptografia de mensagens do Office 365).

A quais dispositivos e tipos de arquivos o Azure RMS dá suporte?

Para obter uma lista de dispositivos que dão suporte ao serviço Azure Rights Management, confira Dispositivos cliente que dão suporte à proteção de dados do Azure Rights Management. Como nem todos os dispositivos com suporte podem atualmente dar suporte a todos os Rights Management recursos, certifique-se também de verificar as tabelas para aplicativos baseados em RMS.

O serviço do Azure Rights Management pode dar suporte a todos os tipos de arquivos. Para arquivos de texto, de imagem, do Microsoft Office (Word, Excel, PowerPoint), .pdf e para tipos de arquivo de alguns outros aplicativos, o Azure Rights Management oferece proteção nativa que inclui criptografia e aplicação de direitos (permissões). Para todos os outros aplicativos e tipos de arquivo, a proteção genérica oferece encapsulamento de arquivos e autenticação para verificar se um usuário está autorizado a abrir o arquivo.

Para obter uma lista de extensões de nome de arquivo com suporte nativo do Azure Rights Management, veja Tipos de arquivo com suporte no cliente de Proteção de Informações do Azure. As extensões de nome de arquivo não listadas têm suporte através do uso do cliente de Proteção de Informações do Azure, que automaticamente aplica a proteção genérica a esses arquivos.

Ao abrir um documento do Office protegido pelo RMS, o arquivo temporário associado também ficará protegido pelo RMS?

Não. Nesse cenário, o arquivo temporário associado não contém dados do documento original, mas em vez disso, apenas o que o usuário insere enquanto o arquivo está aberto. Ao contrário do arquivo original, o arquivo temporário, obviamente, não se destina a compartilhamento e permanecerá no dispositivo, protegido por controles de segurança locais, como BitLocker e EFS.

Um recurso que estou procurando não parece funcionar com as bibliotecas protegidas do SharePoint – o suporte ao meu recurso está planejado?

Atualmente, o Microsoft SharePoint oferece suporte a documentos protegidos por RMS usando bibliotecas protegidas por IRM, que não dão suporte a modelos de Rights Management, rastreamento de documentos e outros recursos. Para obter mais informações, consulte a seção SharePoint no Microsoft 365 e no SharePoint Server no artigo aplicativos e serviços do Office .

Se você estiver interessado em uma funcionalidade específica para a qual ainda não há suporte, fique atento aos anúncios no blog de Segurança e Mobilidade Corporativa.

Como fazer configurar uma unidade no SharePoint para que os usuários possam compartilhar com segurança seus arquivos com pessoas dentro e fora da empresa?

Por padrão, como um administrador Microsoft 365, você não configura isso; os usuários fazem.

Assim como um administrador de site do SharePoint habilita e configura o IRM para uma biblioteca do SharePoint que ele possui, o OneDrive é projetado para que os usuários habilitem e configurem o IRM para sua própria biblioteca do OneDrive. No entanto, usando o PowerShell, você pode fazer isso por eles. Para obter instruções, consulte SharePoint no Microsoft 365 e onedrive: configuração do IRM.

Você tem alguma dica ou truque para uma implantação bem-sucedida?

Após supervisionar várias implantações e ouvir nossos clientes, parceiros, consultores e engenheiros de suporte: uma das melhores dicas que podemos passar por experiência é: projetar e implantar políticas simples.

Como a Proteção de Informações do Azure dá suporte ao compartilhamento seguro com qualquer um, você pode se dar ao luxo de ser ambicioso com o alcance da sua proteção de dados. Mas seja conservador ao configurar as restrições de uso de direitos. Para muitas organizações, o maior impacto nos negócios vem da prevenção de vazamento de dados restringindo o acesso às pessoas na organização. É claro que você pode obter muito mais granular do que isso se precisar – impedir que pessoas imprimam, editem, etc. Mas mantenha as restrições mais granulares como a exceção para documentos que realmente precisam de segurança de alto nível e não implemente esses direitos de uso mais restritivos no primeiro dia, mas planeje uma abordagem mais em fases.

Como podemos recuperar o acesso a arquivos que foram protegidos por um funcionário que saiu da organização?

Use o recurso de superusuário, que concede os direitos de uso de Controle total a usuários autorizados para todos os documentos e emails que são protegidos pelo seu locatário. Superusuários podem sempre ler este conteúdo protegido e, se necessário, remover a proteção ou proteger novamente para outros usuários. Esse mesmo recurso permite a serviços autorizados criarem índices e inspecionarem arquivos, conforme necessário.

Se o conteúdo for armazenado no SharePoint ou no OneDrive, os administradores poderão executar o cmdlet Unlock-SensitivityLabelEncryptedFile para remover o rótulo de confidencialidade e a criptografia. Para obter mais informações, confira a documentação do Microsoft 365.

O Rights Management pode prevenir capturas de tela?

Ao não conceder o direito de usode cópia , Rights Management pode impedir capturas de tela de muitas das ferramentas de captura de tela comumente usadas em plataformas Windows (Windows 7, Windows 8.1, Windows 10 e Windows 10 Mobile). No entanto, os dispositivos iOS, Mac e Android não permitem que nenhum aplicativo impeça capturas de tela. Além disso, os navegadores em qualquer dispositivo não podem impedir as capturas de telas. O uso do navegador inclui o Outlook na Web e no Office para a Web.

A prevenção de capturas de tela pode ajudar a evitar a divulgação acidental ou negligente de informações confidenciais ou sigilosas. Mas há muitas maneiras pelas quais um usuário pode compartilhar dados que são exibidos em uma tela, e fazer uma captura é apenas um método. Por exemplo, um usuário com intenção de compartilhar informações exibidas pode tirar uma foto delas usando a câmera do celular, digitando os dados novamente ou, simplesmente, retransmitindo-a verbalmente a alguém.

Como esses exemplos demonstram, mesmo se todas as plataformas e todo o software derem suporte às APIs do Rights Management para bloquear as capturas de tela, a tecnologia sozinha nem sempre poderá impedir que os usuários compartilhem dados que não deveriam. O Rights Management pode ajudar a proteger seus dados importantes usando autorização e políticas de uso, mas esta solução de gerenciamento de direitos de empresa deve ser usada com outros controles. Por exemplo, implementar a segurança física, monitorar cuidadosamente as pessoas com acesso autorizado aos dados de sua organização e investir na educação do usuário para que eles entendam quais dados não devem ser compartilhados.

Qual é a diferença entre um usuário proteger um email com Não Encaminhar e um modelo que não inclui o direito de Encaminhar?

Apesar do nome e da aparência, Não Encaminhar não é o oposto do direito de Encaminhar nem é um modelo. Na verdade, é um conjunto de direitos que incluem a restrição de copiar, imprimir e salvar o email fora da caixa de correio, além de restringir o encaminhamento de emails. Os direitos são aplicados dinamicamente aos usuários por meio dos destinatários escolhidos e não estaticamente atribuídos pelo administrador. Para obter mais informações, consulte a seção da opção não encaminhar para emails em Configurando direitos de uso da proteção de informações do Azure.