Aplicar um rótulo de confidencialidade automaticamente ao conteúdo

Diretrizes de licenciamento do Microsoft 365 para segurança e conformidade.

Observação

Para obter informações sobre como aplicar automaticamente um rótulo de confidencialidade no mapa de dados, consulte Rotulagem no Mapa de Dados do Microsoft Purview.

Quando você cria um rótulo de confidencialidade, é possível atribuir automaticamente esse rótulo a arquivos e emails quando ele corresponder às condições que você especificar.

A capacidade de aplicar rótulos de confidencialidade automaticamente ao conteúdo é importante porque:

• Você não precisa treinar seus usuários quando usar cada uma de suas classificações.

• Você não precisa depender dos usuários para classificar corretamente o conteúdo.

• Os usuários não precisam mais conhecer as suas políticas. Em vez disso, eles podem se concentrar no próprio trabalho.

Há dois métodos diferentes para aplicar automaticamente um rótulo de confidencialidade ao conteúdo no Microsoft 365::

• Rotulagem do lado do cliente quando os usuários editam documentos ou compõem (além de responder ou encaminhar) emails: Use um rótulo configurado para rotular automaticamente os aplicativos do Office (Word, Excel, PowerPoint e Outlook).

  Este método suporta a recomendação de um rótulo para os usuários, bem como a aplicação automática de um rótulo. Mas em ambos os casos, o usuário decide se aceita ou rejeita o rótulo, para ajudar a garantir a rotulagem correta do conteúdo. Essa rotulagem do lado do cliente possui um atraso mínimo para os documentos, pois o rótulo pode ser aplicado mesmo antes de o documento ser salvo. No entanto, nem todos os aplicativos cliente dão suporte à rotulagem automática.

  Para obter instruções de configuração, confira Como configurar a rotulamento automática para aplicativos do Office nesta página.

• Rotulagem do lado do serviço quando o conteúdo já foi salvo (no SharePoint ou no OneDrive) ou enviado por email (processado pelo Exchange Online): Use uma política de rotulação automática.

  Esse método pode ser chamado de rotulagem automática de dados em repouso (em documentos no SharePoint e OneDrive) e dados em trânsito (em email enviado ou recebido pelo Exchange). No caso do Exchange, ele não inclui emails em repouso (caixas de correio).

  Como essa rotulagem é aplicada por serviços e não por aplicativos, você não precisa se preocupar com os aplicativos que os usuários têm e qual versão. Como resultado, esse recurso está imediatamente disponível em toda a organização e apropriado para rotular em escala. As políticas de rotulagem automática não oferecem suporte à rotulagem recomendada porque o usuário não interage com o processo de rotulagem. Em vez disso, o administrador executa as políticas em simulação para ajudar a garantir a rotulagem correta do conteúdo antes de realmente aplicar o rótulo.

  Para obter instruções de configuração, confira Como configurar as políticas de rotulagem automática para o SharePoint, OneDrive e Exchange nesta página.

  Específico para rotulagem automática para o SharePoint e OneDrive:

  • Há suporte para documentos PDF e arquivos do Office para Word (.docx), PowerPoint (.pptx) e Excel (.xlsx).
    • Esses arquivos podem ser rotulados automaticamente em repouso, antes ou depois da criação das políticas de rotulagem automática. Os arquivos não poderão ser rotulados automaticamente se fizerem parte de uma sessão aberta (o arquivo está aberto).
    • Atualmente, anexos em itens de lista não são suportados e não são rotulados automaticamente.
  • Máximo de 25.000 arquivos rotulados automaticamente no seu locatário por dia.
  • No máximo 100 políticas de rotulagem automática por locatário, cada uma direcionada a até 100 locais (sites do SharePoint ou usuários ou grupos individuais do OneDrive) quando você especifica locais específicos usando as opções Incluído ou Excluído . Se você mantiver a configuração padrão de Todos, essa configuração será isenta do máximo de 100 locais.
  • Os valores existentes para modificado, modificado por e a data não são alterados como resultado das políticas de rotulagem automática. Tanto para o modo de simulação, quanto quando os rótulos são aplicados.
  • Quando o rótulo aplica criptografia, o emissor de Gerenciamento de Direitos e proprietário de Gerenciamento de Direitos é a conta que modificou o arquivo pela última vez.

  Específico para rotulagem automática do Exchange:

  • Anexos PDF e anexos do Office são verificados para as condições especificadas em sua política de rotulagem automática. Quando há uma correspondência, o email é rotulado, mas não o anexo.
    • Para arquivos PDF, se o rótulo aplica criptografia, esses arquivos são criptografados usando a Criptografia de Mensagens quando o seu locatário é habilitado para anexos PDF.
    • Para esses arquivos do Office, há suporte para Word, PowerPoint e Excel. Se o rótulo aplicar criptografia e esses arquivos estão descriptografados, eles agora serão criptografados usando a Criptografia de mensagem. As configurações de criptografia são herdadas do email.
  • Para rotular e proteger emails que contêm mensagens de caixa postal do Teams, consulte as instruções de configuração em Habilitar caixa postal protegida em sua organização.
  • Se você possui regras de fluxo de mensagens do Exchange ou políticas de Prevenção Contra Perda de Dados (DLP) do Microsoft Purview que aplicam a criptografia de IRM: Quando o conteúdo é identificado por essas regras ou políticas e por uma política de rotulagem automática, o rótulo é aplicado. Se esse rótulo aplicar a criptografia, as configurações de IRM das regras de fluxo de email do Exchange ou políticas DLP serão ignoradas. No entanto, se esse rótulo não aplicar criptografia, as configurações de IRM das regras de fluxo de email ou políticas DLP serão aplicadas além do rótulo.
  • Um email com criptografia de IRM sem rótulo será substituído por um rótulo com todas as configurações de criptografia quando houver uma correspondência usando rotulagem automática.
  • O email de entrada é rotulado quando há uma correspondência com suas condições de rotulagem automática. Para que esse resultado se aplique a remetentes fora de sua organização, o local do Exchange deve ser definido como Todos incluídos e Nenhum excluído. Se o rótulo estiver configurado para criptografia:
    • Essa criptografia sempre é aplicada quando o remetente é da sua organização.
    • Por padrão, essa criptografia não é aplicada quando o remetente está fora da organização, mas pode ser aplicada ao definir Configurações adicionais para email e especificando um proprietário do Gerenciamento de Direitos.
  • Quando o rótulo aplica criptografia, o emissor do Gerenciamento de Direitos e o proprietário do Gerenciamento de Direitos é a pessoa que envia o email quando o remetente é de sua própria organização. Quando o remetente for de fora da organização, você pode especificar um proprietário de Gerenciamento de Direitos para emails de entrada rotulados e criptografados por sua política.
  • Se o rótulo estiver configurado para aplicar marcações dinâmicas, esteja ciente de que, para emails de entrada, essa configuração pode resultar em nomes de pessoas de fora da organização.

Observação

Para alguns novos clientes, estamos oferecendo a configuração automática das configurações de rotulagem automática padrão para rotulagem do lado do cliente e rotulagem do lado do serviço. Mesmo que você não seja elegível para essa configuração automática, pode ser útil fazer referência à configuração deles. Por exemplo, você pode configurar manualmente os rótulos existentes e criar suas próprias políticas de rotulagem automática com as mesmas configurações para ajudar a acelerar a implantação de rotulagem.

Para obter mais informações, consulte Rótulos e políticas padrão para a Proteção de Informações do Microsoft Purview.

Dica

Se não for um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como as capacidades adicionais do Purview podem ajudar a sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no Hub de avaliações do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Comparar rotulagem automática para aplicativos do Office com políticas de rotulagem automática

Use a tabela a seguir para ajudá-lo a identificar as diferenças no comportamento dos dois métodos complementares de rotulagem automática:

Recurso ou comportamento	Definição da etiqueta: Auto-rotulagem para arquivos e emails	Política: Rotulagem automática
Dependência de aplicativos	Sim (versões mínimas)	Não*
Restringir por local	Não	Sim
Condições: Opções de compartilhamento e opções adicionais para email	Não	Sim
Condições: exceções	Não	Sim
Suporte para arquivos PDF	Não	Sim
Suporte para imagens	Não	Sim
Recomendações, dica de ferramenta da política e substituições de usuário	Sim	Não
Modo de simulação	Não	Sim
Anexos do Exchange verificados quanto a condições	Não	Sim
Aplicar marcações visuais	Sim	Sim (somente email)
Substituir a criptografia de IRM aplicada sem um rótulo	Sim, se o usuário tiver o direito mínimo de uso do Exportar	Sim (somente email)
Rótulo de email de entrada	Não	Sim
Atribuir um proprietário de Gerenciamento de Direitos para emails enviados de outra organização	Não	Sim
Para emails, substitua o rótulo existente que tenha prioridade igual ou inferior	Não	Sim (configurável)

* A rotulagem automática não está disponível atualmente em todas as regiões devido a uma dependência do Azure de back-end. Se o locatário não puder dar suporte a essa funcionalidade, a página de rotulagem automática não estará visível no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte a Disponibilidade de dependência do Azure por país/região.

Como várias condições são avaliadas quando elas se aplicam a mais de um rótulo

Os rótulos são ordenados para avaliação de acordo com a posição que você especifica no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview: o rótulo posicionado primeiro tem a posição mais baixa (menos sensível, portanto, menor prioridade) e o rótulo posicionado por último tem a posição mais alta (mais sensível, portanto, prioridade mais alta). O rótulo com o número de pedido mais alto é selecionado.

Esse comportamento também é verdadeiro para rotulagem automática do lado do serviço (políticas de rotulagem automática) quando os sub-rótulos compartilham o mesmo rótulo pai: se após a avaliação e ordenação, mais de um sub-rótulo do mesmo rótulo pai atende às condições de rotulagem automática, o sub-rótulo com o número de pedido mais alto é selecionado e aplicado.

No entanto, o comportamento é um pouco diferente para a rotulagem automática do lado do cliente (configurações de rotulagem automática no rótulo). Se vários sub-rótulos do mesmo rótulo pai corresponderem às condições:

• Se um arquivo ainda não estiver rotulado, o sub-rótulo de ordem mais alto configurado para rotulagem automática será sempre selecionado, em vez do sub-rótulo de ordem mais alto configurado para rotulagem recomendada. Se nenhum desses sub-rótulos estiver configurado para rotulagem automática, mas apenas rotulagem recomendada, o sub-rótulo de ordem mais alta será selecionado e recomendado.

• Se um arquivo já estiver rotulado com um sub-rótulo do mesmo pai, nenhuma ação será tomada e o sub-rótulo existente permanecerá. Esse comportamento se aplica mesmo se o sub-rótulo existente fosse um rótulo padrão ou aplicado automaticamente.

Para obter mais informações sobre a prioridade do rótulo, consulte Prioridade de rótulo (questões de ordem).

Considerações sobre configurações de rótulo

As considerações a seguir se aplicam à rotulagem do lado do cliente e à rotulagem do lado do serviço.

Não configure uma etiqueta pai para ser aplicada automaticamente ou recomendada

Lembre-se de que você não pode aplicar um rótulo pai (um rótulo com sub-rótulos) ao conteúdo. Certifique-se de não configurar um rótulo pai para ser aplicado automaticamente ou recomendado nos aplicativos do Office, e não clique em um rótulo pai para uma política de etiquetagem automática. Se o fizer, o rótulo principal não será aplicado ao conteúdo.

Para usar a rotulagem automática com subrótulos, certifique0-se de publicar o rótulo pai e o subrótulo.

Confira mais informações em rótulos de pai e sub-rótulosSub-rótulos (agrupamento de rótulos).

Escopo de rótulo que exclui arquivos ou emails

Para aplicar automaticamente um rótulo de confidencialidade ao conteúdo, o escopo do rótulo deve incluir Itens. Se você refinar ainda mais essa seleção, deverá incluir Arquivos se quiser aplicar automaticamente um rótulo a documentos e Emails para aplicar automaticamente um rótulo a emails.

Para obter mais informações sobre como refinar o escopo do rótulo Itens, consulte Rótulos de escopo para apenas arquivos ou emails.

Será que um rótulo existente será substituído?

Observação

Uma configuração adicionada recentemente para as polícias de rotulagem automática de email permite especificar que um rótulo de confidencialidade correspondente sempre substituirá um rótulo existente.

Comportamento padrão se a rotulagem automática substituir um rótulo existente:

• Quando o conteúdo é rotulado manualmente, esse rótulo não será substituído pela rotulagem automática.

• A rotulagem automática substituirá um rótulo de confidencialidade de prioridade mais baixa que foi aplicado automaticamente, mas não um rótulo de prioridade mais alta.

  Dica

  Por exemplo, o rótulo de confidencialidade na parte superior da lista no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview é nomeado Public com um número de ordem (prioridade) de 0, e o rótulo de confidencialidade na parte inferior da lista é chamado altamente confidencial com um número de pedido (prioridade de 4). O rótulo Altamente Confidencial pode substituir o rótulo Público, mas não o contrário.

Somente para políticas de rotulagem automática de email, você pode selecionar uma configuração para sempre substituir um rótulo de confidencialidade existente, independentemente de como ele foi aplicado.

Rótulo existente	Substituir pela configuração de rótulo: rotulagem automática para arquivos e emails	Substituir pela política: rotulagem automática
Aplicada manualmente e qualquer prioridade	Word, Excel, PowerPoint: Não Outlook: Não	SharePoint e OneDrive: Não Exchange: Não por padrão, mas configurável
Rótulo aplicada automaticamente ou padrão da política, prioridade mais baixa	Word, Excel, PowerPoint: Sim * Outlook: Sim *	SharePoint e OneDrive: Sim Exchange: Sim
Rótulo aplicado automaticamente ou padrão da política, prioridade mais alta	Word, Excel, PowerPoint: Não Outlook: Não	SharePoint e OneDrive: Não Exchange: Não por padrão, mas configurável

* Há uma exceção para sub-rótulos que compartilham o mesmo rótulo pai

A definição configurável para políticas de rotulagem automática de email está na página Configurações adicionais para email. Esta página é exibida depois que você seleciona um rótulo de confidencialidade para uma política de rotulagem automática que inclui o Exchange local.

Como configurar rotulagem automática para aplicativos do Office

Para rotulagem integrada em aplicativos Office, verifique as versões mínimas necessárias para rotulagem automática em aplicativos Office.

As configurações de rotulagem automática para aplicativos do Office estão disponíveis quando você cria ou edita um rótulo de confidencialidade. Verifique se Itens estão selecionados para o escopo do rótulo. Em seguida, verifique se os arquivos também estão selecionados para rotular documentos automaticamente e os emails são selecionados para rotular automaticamente emails. Por exemplo:

À medida que você passa pela configuração, você vê a página Rotulagem automática para arquivos e emails, onde você pode escolher entre uma lista de tipos de informações confidenciais ou classificadores treináveis:

Quando esse rótulo de confidencialidade é aplicado automaticamente, o usuário vê uma notificação no aplicativo do Office. Por exemplo:

Configurar tipos de informações confidenciais para um rótulo

Ao selecionar a opção Tipos de informações confidenciais , você verá a mesma lista de tipos de informações confidenciais que quando cria uma política de DLP (prevenção contra perda de dados). Assim, você pode, por exemplo, aplicar automaticamente um rótulo Altamente Confidencial a qualquer conteúdo que contenha informações pessoais dos clientes, como números de cartão de crédito, números de previdência social ou números de passaporte:

Da mesma forma que quando você configura políticas de DLP, você pode refinar sua condição alterando a contagem de instâncias e a precisão da correspondência. Por exemplo:

Você pode saber mais sobre os níveis de confiança com a documentação do DLP: mais sobre os níveis de confiança

Importante

Os tipos de informações confidenciais têm duas maneiras diferentes de definir os parâmetros máximos de contagem de instâncias exclusivas. Para saber mais, confira Valores com suporte de contagem de instâncias para SIT.

Também de forma semelhante à configuração da política DLP, você pode escolher se uma condição deve detectar todos os tipos de informações confidenciais ou apenas um deles. E para tornar suas condições mais flexíveis ou complexas, você pode adicionar grupos e usar operadores lógicos entre os grupos.

Tipos de informações confidenciais personalizados com Correspondência Exata de Dados

Você pode configurar um rótulo de confidencialidade para usar tipos de informações confidenciais baseadas em correspondência exata de dados para tipos de informações confidenciais personalizados. No entanto, atualmente, você também deve especificar pelo menos um tipo de informação confidencial que não use o EDM. Por exemplo, um dos tipos de informações confidenciais internas, como Número do cartão de crédito.

Se você configurar um rótulo de confidencialidade com apenas EDM para suas condições de tipo de informação confidencial, a configuração de rotulagem automática será desativada automaticamente para o rótulo.

Configurar classificadores treináveis para um rótulo

Se você usar essa opção com aplicativos do Microsoft 365 para Windows versão 2106 ou inferior, ou aplicativos do Microsoft 365 para Mac versão 16.50 ou inferior, verifique se publicou em seu locatário pelo menos um outro rótulo de confidencialidade configurado para rotulagem automática e opção de tipos de informações confidenciais. Esse requisito não é necessário quando você usa versões posteriores nessas plataformas.

Ao selecionar a opção Classificadores treináveis , selecione um ou mais dos classificadores treináveis pré-treinados ou personalizados:

Os classificadores pré-treinados disponíveis geralmente são atualizados, portanto, pode haver mais entradas a serem selecionadas do que as exibidas nesta captura de tela.

Para saber mais sobre esses classificadores, confira Saiba mais sobre classificadores de treinamento.

Recomendar ao usuário que ele aplique um rótulo de confidencialidade

Se preferir, você pode recomendar aos usuários que apliquem o rótulo. Com essa opção, seus usuários podem aceitar a classificação e qualquer proteção associada ou descartar a recomendação se o rótulo não for adequado para seu conteúdo.

Quando você usa rotulagem interna com as versões da área de trabalho do Word, os usuários têm uma opção adicional para Mostrar conteúdo confidencial com o prompt de rótulo recomendado. Quando eles selecionam esse botão, o painel Editor orienta o usuário por meio de cada detecção. Em seguida, o usuário pode remover os dados confidenciais ou deixá-los com uma melhor compreensão de por que o rótulo de confidencialidade foi recomendado. Quando eles têm essas informações extras, os usuários têm mais confiança para selecionar o botão Aplicar confidencialidade . Por exemplo:

Este exemplo mostra o prompt de rótulo recomendado padrão, mas, assim como acontece com a rotulagem automática, você pode personalizar esse texto para ser mais significativo ou específico para seus usuários. Por exemplo, inclua o nome da sua organização ou referencie seu departamento de TI para aumentar a visibilidade e dar aos usuários mais confiança de que essa não é uma mensagem genérica que pode não ser aplicável a eles.

Dica

Embora recomendar um rótulo de confidencialidade interrompa o fluxo de trabalho de um usuário, é uma maneira muito eficiente de educar os usuários no momento sobre dados confidenciais com os quais eles trabalham. Para ver isso em ação, watch o vídeo: classificar automaticamente & proteger documentos & dados

A rotulagem recomendada é particularmente poderosa quando é associada a essa opção de passar os usuários por cada instância de conteúdo confidencial detectado. Ele pode levar a rotulagem mais precisa, não apenas para o item imediato, mas também para itens futuros que exigem rotulagem manual ou para itens modificados que agora podem precisar de relançamento.

Quando rótulos automáticos ou recomendados são aplicados

Nem todos os aplicativos do Office dão suporte à rotulagem automática e recomendada. Para saber mais, confira Suporte para recursos de rótulo de confidencialidade em aplicativos.

Outras considerações:

• Você não pode usar a rotulagem automática para documentos e e-mails rotulados anteriormente manualmente ou rotulados automaticamente com uma confidencialidade mais alta. Lembre-se de que você só pode aplicar um único rótulo de confidencialidade a um documento ou e-mail (além de um único rótulo de retenção).

• Não é possível usar a rotulagem recomendada nos documentos ou emails que foram rotulados anteriormente com uma confidencialidade mais alta. Quando o conteúdo já estiver rotulado com uma confidencialidade mais alta, o usuário não verá o aviso com a recomendação e a dica de política.

• Para obter os rótulos recomendados nas versões de área de trabalho do Word, o conteúdo confidencial que disparou a recomendação é sinalizado para que os usuários podem analisar e remover o conteúdo confidencial, em vez de aplicar o rótulo de confidencialidade recomendado.

Para saber mais sobre como esses rótulos são aplicados aos aplicativos do Office, capturas de tela de exemplo e como as informações confidenciais são detectadas, confira Aplicar ou recomendar rótulos de confidencialidade automaticamente aos seus arquivos e emails no Office.

Converter as configurações de rótulo em uma política de rotulagem automática

Se o rótulo incluir tipos de informações confidenciais para as condições configuradas, você verá uma opção no final do processo de criação ou edição de rótulos para criar automaticamente uma política de rotulagem automática baseada nas mesmas configurações de rotulagem automática.

No entanto, se o rótulo contiver classificadores treináveis como uma condição de rótulo:

• Quando as condições de rótulo contiverem apenas classificadores treináveis, você não verá a opção de criar automaticamente uma política de rotulagem automática.

• Quando as condições de rótulo contiverem classificadores treináveis e tipos de informações de confidencialidade, uma política de rotulagem automática será criada apenas para os tipos de informações confidenciais.

Embora uma política de rotulagem automática seja criada automaticamente para você, preenchendo automaticamente os valores que você teria que selecionar manualmente se criasse a política do zero, ainda é possível exibir e editar os valores antes que eles sejam salvos.

Por padrão, todos os locais do SharePoint, do OneDrive e do Exchange são incluídos na política de rótulo automático e, quando a política é salva, ela é executada no modo de simulação. Não há verificação de que você habilitou rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive, que é um dos pré-requisitos para a rotulagem automática ser aplicada ao conteúdo no SharePoint e no OneDrive.

Como configurar as políticas de rotulagem automática para o SharePoint, OneDrive e Exchange

Observação

Não use políticas de rotulagem automática do Exchange para enviar emails criptografados para distribuições de email em massa. Essas políticas não são projetadas para essa finalidade e podem resultar no envio de falhas e recibos de não entrega. Para esse cenário, a configuração do rótulo para enviar emails automaticamente é mais adequada.

Certifique-se de que você está ciente dos pré-requisitos antes de configurar as políticas de rotulação automática.

Pré-requisitos para políticas de rotulagem automática

• Modo de simulação:

  • A auditoria do Microsoft 365 deve ser ativada. Se você precisar ativar a auditoria ou não tiver certeza se a auditoria já está ativada, confira Ativar ou desativar a pesquisa de log de auditoria.
  • Para exibir conteúdo de arquivo ou email no modo de exibição de origem, você deve ter a função Visualizador de Conteúdo de Classificação de Dados, que está incluída no grupo de funções Visualizador de Conteúdo Explorer conteúdo ou grupos de função Proteção de Informações e Proteção de Informações Investigadores. Sem a função necessária, você não verá o painel de visualização ao selecionar um item na guia Itens a serem revisados . Os administradores globais não têm essa função por padrão.

• Para rotular arquivos automaticamente no Microsoft Office SharePoint Online e no Microsoft OneDrive:

  • Você deve habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive .
  • No momento em que a política de rotulagem automática é executada, o arquivo não deve estar aberto por outro processo ou usuário. Um arquivo que foi retirado para edição se enquadra nessa categoria.
  • Se você planeja usar tipos de informações confidenciais:
    • Os tipos de informações confidenciais selecionados serão aplicados somente ao conteúdo criado ou modificado depois que esses tipos de informações forem criados ou modificados. Essa restrição se aplica a todos os tipos de informações confidenciais personalizados e a todos os novos tipos de informações internos.
    • Para testar novos tipos de informações confidenciais personalizadas, crie-os antes de criar a política de rotulagem automática e crie novos documentos com dados de exemplo para teste.
  • Se você planeja usar propriedades do documento como condição (a propriedade Document é), essa opção usará propriedades gerenciadas do SharePoint. A preparação para políticas DLP também se aplica quando você usa essa condição com políticas de rotulagem automática.

• Um ou mais rótulos de confidencialidade criados e publicados (para pelo menos um usuário) que você pode selecionar para suas políticas de rotulagem automática. Para esses rótulos:

  • Não importa se a rotulagem automática na configuração de rótulo dos aplicativos do Office está ativada ou desativada, porque essa configuração complementa as políticas de rotulagem automática, conforme explicado na introdução.
  • Se os rótulos que você deseja usar para rotulagem automática estiverem configurados para usar marcações visuais (cabeçalhos, rodapés, marcas d'água), observe que eles não são aplicados a documentos.
  • Se os rótulos aplicarem criptografia:
    • Quando a política de auto-rotulagem inclui locais para SharePoint ou OneDrive, o rótulo deve ser definido para a configuração Atribuir permissões agora, e o Acesso do usuário ao conteúdo expira deve ser configurado para Nunca.
    • Quando a política de rótulo automático é somente para o Exchange, o rótulo pode ser configurado para Atribuir permissões agora ou Permitir que os usuários atribuam permissões (para as opções Não Encaminhar ou Criptografar Apenas). Você não pode aplicar automaticamente um rótulo que é configurado para aplicar a proteção S/MIME.

Saiba mais sobre o modo de simulação

O modo de simulação tem suporte para políticas de rotulagem automática e é tecida no fluxo de trabalho. Você não pode rotular automaticamente documentos e emails até que a política execute pelo menos uma simulação.

O modo de simulação dá suporte a um máximo de 1.000.000 arquivos equiparados. Se um número de arquivos superior a esse for equiparado a partir de uma política de rotulagem automática, você não conseguirá ativar a política para aplicar os rótulos. Nesse caso, você deve reconfigurar a política de rotulagem automática para que menos arquivos sejam equiparados e executar novamente a simulação. Esse máximo de 1.000.000 arquivos equiparados aplica-se apenas ao modo de simulação e não a uma política de rotulagem automática que já esteja ativada para aplicar rótulos de confidencialidade.

Fluxo de trabalho para uma política de rotulagem automática:

1. Crie e configure uma política de rotulagem automática.

2. Execute a política no modo de simulação, que pode levar 12 horas para ser concluída. A simulação concluída dispara uma notificação por e-mail que é enviada ao usuário configurado para receber alertas de atividade.

3. Examine os resultados e, se necessário, refine a política. Por exemplo, talvez seja necessário editar as regras da política para reduzir os falsos positivos ou remover alguns sites, de forma que o número de arquivos equiparados não exceda 1.000.000. Execute o modo de simulação novamente e espere que ele seja concluído novamente.

4. Repita a etapa 3 conforme necessário.

5. Implante na produção.

A implantação simulada é executada como o parâmetro WhatIf para PowerShell, para um ponto específico no tempo. Você vê os resultados relatados como se a política de rotulagem automática tivesse aplicado o rótulo selecionado, usando as regras que você definiu. Você pode refinar as regras de precisão, se necessário, e executar novamente a simulação. No entanto, como a rotulagem automática para o Exchange se aplica a emails enviados e recebidos, em vez de emails armazenados em caixas de correio, não espere que os resultados de email em uma simulação sejam consistentes, a menos que você possa enviar e receber exatamente as mesmas mensagens de email.

O modo de simulação também permite aumentar gradualmente o escopo da política de rotulagem automática antes da implantação. Por exemplo, você pode começar com um único local, como um site do SharePoint, com uma única biblioteca de documentos. Em seguida, com alterações iterativas, aumente o escopo para vários sites e depois para outro local, como o OneDrive.

Por fim, você pode usar o modo de simulação para fornecer uma aproximação do tempo necessário para executar a política de rotulagem automática, para ajudá-lo a planejar e agendar quando executá-la sem o modo de simulação.

Observação

Se os resultados da simulação não incluirem arquivos esperados, com base em suas condições de política automática configuradas e no conteúdo do arquivo atual, pode ser porque os arquivos foram atualizados após a execução da simulação. Verifique se os arquivos foram atualizados e execute a simulação novamente para confirmar se eles serão rotulados.

Criar uma política de rotulagem automática

Para essa configuração, você pode usar o portal do Microsoft Purview ou o portal de conformidade do Microsoft Purview.

1. Dependendo do portal que estiver usando, navegue até um dos seguintes locais:

   • Entrar no portal> do Microsoft PurviewProteção de Informaçõespolíticas de rotulagem automáticade políticas> de cartão>.

     Se a solução Proteção de Informações cartão não for exibida, selecione Exibir todas as soluções e selecione Proteção de Informações na seção Segurança de Dados.

   • Entre no portal de conformidade do Microsoft Purview>Solutions>Proteçãoautomáticade informações:>

   Observação

   Se você não vir a opção de rotulagem automática, essa funcionalidade não está disponível atualmente em sua região devido a uma dependência do Azure de back-end. Para obter mais informações, consulte a Disponibilidade de dependência do Azure por país/região.

2. Selecione + Criar uma política de rotulamento automático. Isso iniciará a nova configuração de política:

   

3. Para a página Escolher as informações às quais você deseja aplicar esse rótulo: Selecione um dos modelos, como Financeiro ou Privacidade. Você pode refinar sua pesquisa usando a caixa suspensa ou pesquisa para países ou regiões. Ou selecionar Política personalizada se os modelos não atenderem aos seus requisitos. Selecione Avançar.

4. Para a página Nomear política de rotulagem automática: Forneça um nome exclusivo e, opcionalmente, uma descrição para ajudar a identificar o rótulo, os locais e as condições automaticamente aplicados que identificam o conteúdo a ser rotulado.

5. Para a página Atribuir unidades de administrador: se sua organização estiver usando unidades administrativas em Microsoft Entra ID, as políticas de rotulagem automática para Exchange e OneDrive poderão ser automaticamente restritas a usuários específicos selecionando unidades administrativas. Se sua conta foi atribuída a unidades administrativas, você deve selecionar uma ou mais unidades administrativas.

   Se não quiser restringir a política usando unidades administrativas ou se a sua organização não tiver configurado unidades administrativas, mantenha o padrão de Diretório completo.

   Observação

   Se você estiver editando uma política existente e alterar as unidades administrativas, agora deverá reconfigurar os locais na próxima etapa.

6. Quanto à página Escolher os locais você quer aplicar o rótulo: selecione e especifique os locais do Exchange, sites do SharePoint e OneDrive. Se você não quiser manter o padrão de Todos para seus locais escolhidos, selecione o link para escolher instâncias específicas para incluir ou selecione o link para escolher instâncias específicas a serem excluídas. Em seguida, selecione Avançar.

   

   Observação

   Para organizações que estão usando unidades administrativas:

   • Se você selecionou a opção de usar unidades administrativas na etapa anterior, o local para sites do SharePoint ficará indisponível. Somente as políticas de rotulagem automática para unidades administrativas de suporte do Exchange e do OneDrive.
   • Ao usar as opções Incluído ou Excluído , você verá e poderá selecionar apenas usuários das unidades administrativas selecionadas na etapa anterior.

   Se você usar as opções Incluídas ou Excluídas :

   • Para o local do Exchange , a política é aplicada de acordo com o endereço remetente dos destinatários especificados. Na maioria das vezes, convém manter o padrão de Tudo incluído com Nada excluído. Essa configuração é adequada mesmo se você estiver testando um subconjunto de usuários. Em vez de especificar seu subconjunto de usuários aqui, use as regras avançadas na próxima etapa para configurar condições para incluir ou excluir destinatários em sua organização. Caso contrário, quando você alterar as configurações padrão aqui:

     • Se você alterar o padrão de Todos incluídos e, em vez disso, escolher usuários ou grupos específicos, os emails enviados de fora da sua organização serão isentos da política.
     • Se você manter o padrão de Todos incluídos, mas especificar usuários ou grupos a serem excluídos, os emails enviados por esses usuários excluídos serão isentos da política, mas não os emails que receberem.

   • Implantação: para o local do OneDrive, você deve especificar usuários ou grupos. Anteriormente, você precisava especificar sites por URLs. Todos os sites de URL do OneDrive existentes em políticas de rotulagem automática continuarão funcionando, mas antes de especificar novos locais do OneDrive ou para administradores restritos, primeiro você deve excluir quaisquer URLs de site existentes. Grupos com suporte: grupos de distribuição, grupos do Microsoft 365, grupos de segurança habilitados para email e grupos de segurança.

7. Para a página Configurar regras comuns ou avançadas: Mantenha o padrão das Regras comuns para definir regras que identificam o conteúdo a ser rotulado em todos os locais selecionados. Se você precisar de regras diferentes por local, incluindo algumas regras que só estão disponíveis para o Exchange ou sites do SharePoint e contas do OneDrive, selecione Regras avançadas. Em seguida, selecione Avançar.

   As regras usam condições que incluem tipos de informações confidenciais, classificadores treináveis, opções de compartilhamento e outras condições:

   • Para selecionar um tipo de informação confidencial ou um classificador treinável como condição, em Conteúdo contém, selecione Adicionar e escolha Tipos de informações confidenciais ou classificadores treináveis.
   • Para selecionar opções de compartilhamento como condição, em Conteúdo é compartilhado, escolha apenas com pessoas dentro da minha organização ou com pessoas fora da minha organização.
   • Outras condições que você pode selecionar:
     • Anexo ou extensão de arquivo é
     • O nome do anexo ou do documento contém palavras ou frases
     • A propriedade Attachment ou document é
     • O tamanho do anexo ou do documento é igual ou maior que

   Se sua localização for Exchange e você tiver selecionado regras avançadas, haverá condições adicionais que você pode selecionar:

   • O endereço IP do remetente é
   • O domínio do destinatário é
   • O destinatário é
   • O anexo é protegido por senha
   • Nenhum conteúdo do anexo de email pôde ser verificado
   • Nenhum conteúdo do anexo de email concluiu a verificação
   • O cabeçalho corresponde aos padrões
   • O assunto corresponde aos padrões
   • O endereço do destinatário contém palavras
   • O endereço do destinatário corresponde aos padrões
   • O endereço do remetente corresponde aos padrões
   • O domínio do remetente é
   • O destinatário é um membro do
   • O remetente é

   Se sua localização for sites do SharePoint ou contas do OneDrive e você selecionou regras avançadas, há uma outra condição que você pode selecionar:

   • Documento criado por

8. Dependendo das opções anteriores, você terá a oportunidade de criar novas regras usando condições e exceções.

   As opções de configuração para tipos de informações confidenciais são as mesmas que você seleciona para rotular automaticamente os aplicativos do Office. Se você precisar de mais informações, confira Configurar tipos de informações confidenciais para um rótulo.

   Depois de definir todas as regras necessárias e confirmar que o status está ativado, selecione Avançar para passar a escolher um rótulo para aplicar automaticamente.

9. Para a página Escolher um rótulo de aplicação automática: Selecione + Escolher um rótulo, selecione um rótulo no painel Escolher um rótulo de confidencialidade e selecione Avançar.

10. Se sua política incluir o local do Exchange: Especifique configurações opcionais na página Configurações adicionais para email:

    • Substitua automaticamente os rótulos existentes que tenham a mesma prioridade ou menor: aplicável para emails de entrada e de saída, quando você seleciona essa configuração, isso garante que um rótulo de confidencialidade correspondente sempre será aplicado. Se você não selecionar essa configuração, um rótulo de confidencialidade correspondente não será aplicado a emails que tenham um rótulo de confidencialidade existente com uma prioridade mais alta ou que tenham sido rotulados manualmente.

    • Aplicar criptografia a emails recebidos de fora da organização: ao selecionar essa opção, você deve atribuir um proprietário de Gerenciamento de Direitos para garantir que uma pessoa autorizada da organização tenha direitos de uso de Controle Total para emails enviados de fora da sua organização e seus rótulos de política com criptografia. Essa função pode ser necessária para remover posteriormente a criptografia ou atribuir direitos de uso diferentes para usuários em sua organização.

      Para Atribuir um proprietário de Gerenciamento de Direitos, especifique um único usuário por um endereço de email pertencente à sua organização. Não especifique um contato de email, uma caixa de correio compartilhada ou qualquer tipo de grupo, porque não há suporte para essa função.

11. Para a página Decida se deseja testar a política agora ou mais tarde: selecione Executar política no modo de simulação se você estiver pronto para executar a política de rotulagem automática agora, no modo de simulação. Depois decida se a política dever ser ativada automaticamente se ela não for editada por 7 dias:

    

    Se você não está pronto para executar a simulação, selecione Deixar a política desativada.

12. Para a página Resumo: revise a configuração da política de rotulagem automática e faça as alterações necessárias e conclua a configuração.

Agora, em Proteção de informações>, na página Rotulagem automática, você verá a política de rotulagem automática na seção Simulação ou Desativar, dependendo se você optou por executá-la no modo de simulação ou não. Selecione a política para ver os detalhes da configuração e do status (por exemplo, a Simulação da política ainda está sendo executada). Para políticas no modo de simulação, selecione a guia Itens a serem revisados para ver quais emails ou documentos correspondem às regras especificadas.

Você pode modificar sua política diretamente nesta interface:

• Para uma política na seção Desativar, selecione o botão Editar política.

• Para política na seção Simulação , selecione a opção Editar política na parte superior da página, em qualquer guia.

  

  Quando estiver pronto para executar a política sem simulação, selecione a opção Ativar política.

As políticas de rotulagem automática são executados continuamente até que elas sejam excluídas. Por exemplo, arquivos novos e modificados serão incluídos nas configurações de política atuais.

Monitorar a política de rotulagem automática

Depois que a política de rotulagem automática for ativada, você poderá visualizar o progresso de rotulagem para arquivos em seus locais escolhidos do SharePoint e do OneDrive. Os emails não são incluídos no progresso da rotulagem porque são rotulados automaticamente à medida que são enviados.

O progresso da rotulagem inclui os arquivos a serem rotulados pela política, os arquivos rotulados nos últimos sete dias e o total de arquivos rotulados. Devido ao limite de rotulagem de 25.000 arquivos por dia, essas informações proporcionam visibilidade ao progresso de rotulagem atual para sua política e quantos arquivos ainda devem ser rotulados.

Quando você ativa sua política pela primeira vez, inicialmente vê um valor de 0 para os arquivos a serem rotulados até que os dados mais recentes sejam recuperados. Essas informações de progresso são atualizadas a cada 48 horas, então você verá os dados mais atuais de dois em dois dias. Quando você seleciona uma política de rotulagem automática, você pode ver mais detalhes sobre a política em um painel de submenu, que inclui o progresso de rotulagem pelos 10 sites principais. As informações neste painel de submenu podem ser mais atuais do que as informações de política agregadas exibidas na página principal de rotulagem automática.

Você também pode ver os resultados da política de rotulagem automática usando o explorador de conteúdo quando tiver as permissões apropriadas:

• O grupo de função Visualizador de Lista do Explorador de Conteúdo permite visualizar o rótulo de um arquivo, mas não o conteúdo do arquivo.
• Conteúdo Explorer grupo de funções visualizador de conteúdo e grupos de funções Proteção de Informações e Proteção de Informações Investigadores permitem que você veja o conteúdo do arquivo.

No entanto, atualmente, os administradores restritos não poderão ver atividades de rotulagem para o OneDrive no gerenciador de atividades.

Dica

Você também pode usar o gerenciador de conteúdo para identificar os locais que têm documentos com informações confidenciais, mas que não são rotulados. Usando essas informações, considere adicionar esses locais à política de rotulagem automática e inclua os tipos de informações confidenciais identificadas como regras.

Usar o PowerShell para políticas de rotulamento automático

Você pode usar a Segurança e Conformidade do PowerShell para criar e configurar políticas de rotulagem automática. Isso significa que você pode script completo a criação e manutenção de suas políticas de rotulagem automática, que também fornece um método mais eficiente de especificar vários locais para SharePoint e OneDrive.

Antes de executar os comandos no PowerShell, você deve primeiro conectar-se a Segurança e Conformidade do PowerShell.

Para criar uma nova política de rotulamento automático:

New-AutoSensitivityLabelPolicy -Name <AutoLabelingPolicyName> -SharePointLocation "<SharePointSiteLocation>" -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Esse comando cria uma política de rotulamento automático para um site do SharePoint especificado por você. Para um local do OneDrive, em vez disso, use o parâmetro OneDriveLocation.

Para adicionar mais sites a uma política de rotulagem automática existente:

$spoLocations = @("<SharePointSiteLocation1>","<SharePointSiteLocation2>")
Set-AutoSensitivityLabelPolicy -Identity <AutoLabelingPolicyName> -AddSharePointLocation $spoLocations -ApplySensitivityLabel <Label> -Mode TestWithoutNotifications

Esse comando especifica as novas URLs do SharePoint em uma variável que é adicionada a uma política de rotulagem automática existente. Se em vez disso quiser adicionar locais do OneDrive, use o parâmetro AddOneDriveLocation com uma variável diferente, como $OneDriveLocations.

Para criar uma nova regra de rotulamento automático:

New-AutoSensitivityLabelRule -Policy <AutoLabelingPolicyName> -Name <AutoLabelingRuleName> -ContentContainsSensitiveInformation @{"name"= "a44669fe-0d48-453d-a9b1-2cc83f2cba77"; "mincount" = "2"} -Workload SharePoint

Para uma política de rotulamento automático existente, esse comando cria uma nova regra de política para detectar o tipo de informações confidenciais do Número de seguridade social dos EUA (SSN), que tem uma ID de entidade a44669fe-0d48-453d-a9b1-2cc83f2cba77. Para encontrar as IDs de entidade para outros tipos de informações confidenciais, confira Definições da entidade de tipo de informações confidenciais.

Para mais informações sobre os cmdlets do PowerShell que oferecem suporte a políticas de rotulação automática, seus parâmetros disponíveis e alguns exemplos, confira a ajuda do cmdlet a seguir:

• Get-AutoSensitivityLabelPolicy
• New-AutoSensitivityLabelPolicy
• New-AutoSensitivityLabelRule
• Remove-AutoSensitivityLabelPolicy
• Remove-AutoSensitivityLabelRule
• Set-AutoSensitivityLabelPolicy
• Set-AutoSensitivityLabelRule

Dicas para aumentar o alcance da rotulagem

Embora a rotulagem automática seja uma das maneiras mais eficientes de classificar, rotular e proteger arquivos Office e PDF que sua organização possui, marcar se você pode complementá-lo com qualquer um dos seguintes métodos para aumentar seu alcance de rotulagem:

• Para bibliotecas de documentos do SharePoint, você pode aplicar um rótulo de confidencialidade padrão para arquivos novos e editados. Para obter mais informações, consulte Configurar um rótulo de confidencialidade padrão para uma biblioteca de documentos do SharePoint.

• Com Microsoft Syntex, você pode aplicar um rótulo de confidencialidade a um modelo de compreensão de documento para que documentos identificados em uma biblioteca de documentos do SharePoint sejam rotulados automaticamente.

• Para mensagens do Outlook, você pode aplicar um rótulo de confidencialidade com base em anexos rotulados.

• Quando você usa o cliente Proteção de Informações do Microsoft Purview:

  • Para arquivos em armazenamentos de dados locais, como compartilhamentos de rede e bibliotecas do SharePoint Server: use o verificador para descobrir informações confidenciais nesses arquivos e rotulá-las adequadamente. Se você estiver planejando migrar ou carregar esses arquivos para o SharePoint no Microsoft 365, use o verificador para rotular os arquivos antes de movê-los para a nuvem.

• Incentive a rotulagem manual depois de fornecer aos usuários treinamento sobre quais rótulos de confidencialidade aplicar. Quando você tiver certeza de que os usuários entendem qual rótulo aplicar, considere configurar um rótulo padrão e a rotulagem obrigatória como configurações de política.

Além disso, considere marcar novos arquivos como confidenciais por padrão no SharePoint para impedir que os convidados acessem arquivos recém-adicionados até que pelo menos uma política DLP examine o conteúdo do arquivo.