Tutorial: Configurar a Proteção de Informações do Azure para controlar o oversharing de informações usando o Outlook

  • Artigo

O email é um dos métodos mais comuns pelos quais os usuários inadequadamente compartilham informações, seja na mensagem de email propriamente dita ou em anexos. Você pode usar soluções de DLP (prevenção contra perda de dados) que podem identificar informações confidenciais conhecidas e ajudar a impedir que elas ultrapassem os limites da organização. No entanto, você também pode usar o cliente da Proteção de Informações do Azure com algumas configurações de cliente avançadas para ajudar a evitar oversharing e também para instruir os usuários com mensagens interativas que fornecem comentários em tempo real.

Este tutorial orienta você por meio de uma configuração básica que usa apenas um rótulo para ilustrar as mensagens de aviso, justificativa e bloqueio que os usuários podem ver e às quais podem responder.

Neste tutorial, você aprenderá como:

  • Definir as configurações que implementam mensagens pop-up de aviso, justificativa ou bloqueio no Outlook
  • Ver as configurações em ação
  • Revise as mensagens do usuário conectado e as ações no Log de Eventos

Você pode concluir este tutorial em aproximadamente 15 minutos.

Pré-requisitos

Para concluir este tutorial, você precisa do seguinte:

  1. Uma assinatura que inclui o Plano 2 da Proteção de Informações do Azure.

    Se você não tiver uma assinatura que inclua esse plano, pode criar uma conta gratuita para a sua organização.

  2. O painel de Proteção de Informações do Azure é adicionado ao portal do Azure, e você tem pelo menos um rótulo publicado na política global de Proteção de Informações do Azure.

    Embora este tutorial use o rótulo padrão, Geral, você poderá substituir esse rótulo por outro se assim preferir. Se você precisar de ajuda para adicionar o painel da Proteção de Informações do Azure ou ainda não tiver nenhum rótulo publicado na política global, confira Início Rápido: Adicionar a Proteção de Informações do Azure ao portal do Azure e exibir a política.

  3. Um computador executando o Windows (no mínimo, o Windows 7 com Service Pack 1) e, nesse computador, você pode entrar no Outlook. Esteja preparado para reiniciar o Outlook várias vezes durante este tutorial.

  4. O cliente clássico da Proteção de Informações do Azure instalado no seu computador Windows (no mínimo, Windows 7 com Service Pack 1).

Dica

Para acessar a lista completa de requisitos para usar a Proteção de Informações do Azure, confira Requisitos da Proteção de Informações do Azure.

Vamos começar. Continue com Identificar uma ID de rótulo para teste.

Cliente de rotulagem unificada

Se você estiver usando o cliente de rotulagem unificada em vez do cliente clássico, confira as seguintes instruções que explicam como usar as configurações avançadas do PowerShell para as configurações equivalentes neste tutorial:

Identificar uma ID de rótulo para teste

Para este tutorial, usaremos apenas um rótulo para ver o comportamento resultante para usuários. Você pode usar qualquer rótulo, mas um bom exemplo para teste é o rótulo padrão denominado Geral, que é normalmente adequado para dados de negócios que não se destinam para consumo público e que não aplica proteção.

Para especificar o rótulo escolhido, você precisa conhecer a respectiva ID, que é identificada no portal do Azure:

  1. Abra uma nova janela do navegador e entre no portal do Azure como administrador global. Em seguida, navegue até a Proteção de Informações do Azure.

    Por exemplo, na caixa de pesquisa para recursos, serviços e documentos: Comece a digitar Informações e selecione a Proteção de Informações do Azure.

    Se você não for o administrador global, use o seguinte link para funções alternativas: Entrar no portal do Azure

  2. Selecione Classificações>Rótulos e, em seguida, selecione o rótulo Geral para abrir a folha: Rótulo: Geral.

  3. Localize a ID do rótulo na parte inferior do painel:

    Azure Information Protection tutorial - locate the label ID

  4. Copie e cole o valor da ID do rótulo em um arquivo temporário para que esse valor possa ser facilmente copiado para uma etapa posterior. Em nosso exemplo, é esse valor de ID do rótulo 0e421e6d-ea17-4fdb-8f01-93a3e71333b8.

  5. Feche a folha Rótulo: Geral, mas não feche o portal do Azure.

Criar uma política com escopo para testar as novas configurações avançadas de cliente

Vamos criar uma nova política com escopo, de modo que as novas configurações avançadas de cliente se apliquem apenas a você, para fins de teste.

  1. No painel Proteção de Informações do Azure – Políticas, selecione Adicionar uma nova política. Você verá o painel Política, que exibe rótulos e configurações de sua política global existente.

  2. Especifique o nome da política de Oversharing tutorial e, opcionalmente, uma descrição das Configurações avançadas do cliente para controlar o oversharing usando o Outlook.

  3. Selecione Especificar quais usuários/grupos obtêm esta política e, usando os painéis subsequentes, especifique sua própria conta de usuário.

  4. Com o nome da sua conta agora exibido no painel Política, selecione Salvar sem fazer nenhuma alteração adicional nos rótulos ou configurações nesse painel. Pode ser solicitado que você confirme sua escolha.

Essa política com escopo agora está pronta para adicionar configurações avançadas de cliente. Feche a folha Política: tutorial sobre compartilhamento excessivo, mas não feche o portal do Azure.

Configurar e testar as configurações avançadas do cliente para avisar, solicitar justificativa ou bloquear emails que têm o rótulo Geral

Para esta etapa do tutorial, vamos especificar as seguintes configurações avançadas de cliente e testar cada uma delas por sua vez:

  • OutlookWarnUntrustedCollaborationLabel
  • OutlookJustifyUntrustedCollaborationLabel
  • OutlookBlockUntrustedCollaborationLabel

Criar a configuração avançada de cliente para avisar os usuários se um email ou anexo tem o rótulo Geral

Usando a política com escopo criada recentemente, adicionaremos uma nova configuração avançada de cliente nomeada OutlookWarnUntrustedCollaborationLabel com a ID do seu rótulo Geral:

  1. De volta ao painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado do Tutorial sobre compartilhamento excessivo. Em seguida, selecione Configurações avançadas.

  2. No painel Configurações avançadas, digite o nome da configuração avançada, OutlookWarnUntrustedCollaborationLabel, e cole sua própria ID de rótulo para o valor. Usando nossa ID de rótulo de exemplo:

    Azure Information Protection tutorial - create OutlookWarnUntrustedCollaborationLabel advanced client setting

  3. Selecione Salvar e fechar.

Não feche o painel Políticas ou o portal do Azure.

Teste a configuração avançada do cliente para avisar os usuários se um email ou anexo tem o rótulo Geral

No computador cliente, agora, veremos os resultados de definir essa configuração avançada do cliente.

  1. No computador cliente, abra o Outlook.

    Se o Outlook já estiver aberto, reinicie-o. A reinicialização é necessária para baixar a alteração que acabamos de fazer.

  2. Crie uma mensagem de email e aplique o rótulo Geral. Por exemplo, da guia Arquivo, selecione o botão Proteger e, em seguida, selecione Geral.

  3. Especifique seu próprio endereço de email para o campo Para e, para o assunto, digite Testando o rótulo Geral para a mensagem de aviso. Depois, envie o email.

  4. Como resultado da configuração avançada do cliente, consulte o seguinte aviso, solicitando que você confirme antes de enviar o email. Por exemplo:

    Azure Information Protection tutorial - see OutlookWarnUntrustedCollaborationLabel advanced client setting

  5. Como se você fosse um usuário que tentou por engano enviar por email algo rotulado como Geral, selecione Cancelar. Você vê que o email não é enviado, mas a mensagem de email permanece para que você possa fazer alterações, tais como alterar o conteúdo ou o rótulo.

  6. Sem fazer alterações, selecione Enviar novamente. Neste momento, como se você fosse um usuário que confirma que o conteúdo é apropriado para o envio, selecione Confirmar e Enviar. O email é enviado.

Alterar a configuração avançada de cliente para solicitar que os usuários forneçam uma justificativa se um email tem o rótulo Geral

Editaremos a configuração avançada existente do cliente para manter sua ID do rótulo Geral, mas alteraremos o nome para OutlookJustifyUntrustedCollaborationLabel:

  1. No painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado do Tutorial sobre compartilhamento excessivo. Em seguida, selecione Configurações avançadas.

  2. No painel Configurações avançadas, substitua o nome da configuração avançada anterior que você criou, OutlookWarnUntrustedCollaborationLabel, pelo novo nome de OutlookJustifyUntrustedCollaborationLabel:

    Azure Information Protection tutorial - create OutlookJustifyUntrustedCollaborationLabel advanced client setting

  3. Selecione Salvar e fechar.

Não feche o painel Políticas ou o portal do Azure.

Testar a configuração avançada de cliente para solicitar que os usuários forneçam uma justificativa se um email tem o rótulo Geral

No computador cliente, agora, veremos os resultados dessa nova configuração avançada do cliente.

  1. No computador cliente, reinicie o Outlook para baixar a alteração que acabamos de fazer.

  2. Crie uma mensagem de email e, como anteriormente, aplique o rótulo Geral. Por exemplo, da guia Arquivo, selecione o botão Proteger e, em seguida, selecione Geral.

  3. Especifique seu próprio endereço de email para o campo Para e, para o assunto, digite Testando o rótulo Geral para a mensagem de justificativa. Depois, envie o email.

  4. Neste momento, você verá a seguinte mensagem, solicitando que você forneça uma justificativa antes de enviar o email. Por exemplo:

    Azure Information Protection tutorial - see OutlookJustifyUntrustedCollaborationLabel advanced client setting

  5. Como se você fosse um usuário que tentou por engano enviar por email algo rotulado como Geral, selecione Cancelar. Você vê que o email não é enviado, mas a mensagem de email propriamente dita permanece para que você possa fazer alterações, tais como alterar o conteúdo ou o rótulo.

  6. Sem fazer alterações, selecione Enviar novamente. Desta vez, selecione uma das opções de justificativa, tais como confirmar se os destinatários são aprovados para compartilhar esse conteúdo e, em seguida, selecione Confirmar e Enviar. O email é enviado.

Alterar a configuração avançada de cliente para bloquear o envio, pelos usuários, de um email com o rótulo Geral

Editaremos mais uma vez a configuração avançada existente do cliente para manter sua ID do rótulo Geral, mas alteraremos o nome para OutlookBlockUntrustedCollaborationLabel:

  1. No portal do Azure, no painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado do Tutorial sobre compartilhamento excessivo. Em seguida, selecione Configurações avançadas.

  2. No painel Configurações avançadas, substitua o nome da configuração avançada anterior que você criou, OutlookJustifyUntrustedCollaborationLabel, pelo novo nome de OutlookBlockUntrustedCollaborationLabel:

    Azure Information Protection tutorial - create OutlookBlockUntrustedCollaborationLabel advanced client setting

  3. Selecione Salvar e fechar.

Não feche o painel Políticas ou o portal do Azure.

Teste a configuração avançada de cliente para bloquear o envio, pelos usuários, de um email com o rótulo Geral

No computador cliente, agora, veremos os resultados dessa nova configuração avançada do cliente.

  1. No computador cliente, reinicie o Outlook para baixar a alteração que acabamos de fazer.

  2. Crie uma mensagem de email e, como anteriormente, aplique o rótulo Geral. Por exemplo, da guia Arquivo, selecione o botão Proteger e, em seguida, selecione Geral.

  3. Especifique seu próprio endereço de email para o campo Para e, para o assunto, digite Testando o rótulo Geral para a mensagem de bloqueio. Depois, envie o email.

  4. Neste momento, você vê a mensagem a seguir, que impede que o email seja enviado. Por exemplo:

    Azure Information Protection tutorial - block email popup message

  5. Atuando como seu usuário, você vê que a única opção disponível é OK, que leva você de volta à mensagem de email em que você pode fazer alterações. Selecione OK e cancele essa mensagem de email.

Use o Log de Eventos para identificar as mensagens e as ações do usuário para o rótulo Geral

Antes de passarmos ao próximo cenário, criado para quando um email ou anexo não tem um rótulo, inicie o Visualizador de Eventos e navegue até Logs de Aplicativos e Serviços>Proteção de Informações do Azure.

Para cada um dos testes que você fez, eventos de informações são criados para registrar a mensagem e a resposta do usuário:

  • Mensagens de aviso: ID da informação 301

  • Justificar mensagens: ID da informação 302

  • Mensagens de bloqueio: ID da informação 303

Por exemplo, o primeiro teste foi para avisar o usuário e você selecionou Cancelar, portanto, a resposta do usuário exibe Ignorado no primeiro evento 301. Por exemplo:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Warn message.msg
Item Name: Testing the General label for the Warn message
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Dismissed

No entanto, você então selecionou Confirmar e Enviar, que é refletido no próximo evento 301, em que a Resposta do Usuário exibe Confirmado:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Warn message.msg
Item Name: Testing the General label for the Warn message
Process Name: OUTLOOK
Action: Warn
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source: 
User Response: Confirmed

O mesmo padrão é repetido para a mensagem de justificativa, que tem um evento 302. O primeiro evento tem uma Resposta do Usuário de Ignorado, enquanto o segundo mostra a justificativa que foi selecionada. Por exemplo:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Justify message.msg
Item Name: Testing the General label for the Justify message
Process Name: OUTLOOK
Action: Justify
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
User Justification: I confirm the recipients are approved for sharing this content
Action Source: 
User Response: Confirmed

Na parte superior do log de eventos, você vê a mensagem de bloqueio registrada, a qual tem um evento 303. Por exemplo:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing the General label for the Block message.msg
Item Name: Testing the General label for the Block message
Process Name: OUTLOOK
Action: Block
Label After Action: General
Label ID After Action: 0e421e6d-ea17-4fdb-8f01-93a3e71333b8
Action Source:

Opcional: Criar uma configuração do cliente avançada adicional para dispensar o envio dessas mensagens no caso de destinatários internos

Você testou as mensagens de aviso, justificativa e bloqueio usando seu próprio endereço de email como o destinatário. Em um ambiente de produção, você pode optar por exibir essas mensagens para rótulos especificados somente se os destinatários forem externos à sua organização. Você pode estender essa isenção a parceiros com os quais sua organização trabalha regularmente.

Para ilustrar como isso funciona, criaremos uma configuração do cliente avançada adicional denominada OutlookBlockTrustedDomains e especificaremos seu próprio nome de domínio com base no seu endereço de email. Isso impedirá que a mensagem de bloqueio que você viu anteriormente seja exibida para destinatários que compartilham seu nome de domínio no endereço de email deles, mas ela ainda será mostrada para outros destinatários. Da mesma forma, você pode criar configurações do cliente avançadas adicionais para OutlookWarnTrustedDomains e OutlookJustifyTrustedDomains.

  1. No portal do Azure, no painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado do Tutorial sobre compartilhamento excessivo. Em seguida, selecione Configurações avançadas.

  2. No painel Configurações avançadas, digite o nome da configuração avançada, OutlookBlockTrustedDomains, e cole o nome de domínio do seu endereço de email para o valor. Por exemplo:

    Azure Information Protection tutorial - create OutlookBlockTrustedDomains advanced client setting

  3. Selecione Salvar e fechar. Não feche o painel Políticas ou o portal do Azure.

  4. Agora, repita o teste anterior para impedir que os usuários enviem um email com o rótulo Geral, e você não verá mais a mensagem de bloqueio ao usar seu próprio endereço de email. O email é enviado sem interrupção.

    Para confirmar que a mensagem de bloqueio ainda é mostrada para destinatários externos, repita o teste mais uma vez, mas especifique um destinatário de fora da sua organização. Desta vez, você vê a mensagem de bloqueio novamente, listando o novo endereço de destinatário como não confiável.

Configurar e testar uma configuração avançada do cliente para avisar, solicitar justificativa ou bloquear emails que não têm rótulo

Para esta etapa do tutorial, especificaremos uma nova configuração avançada de cliente com diferentes valores e testaremos cada um deles por sua vez:

  • OutlookUnlabeledCollaborationAction

Criar a configuração do cliente avançada para avisar aos usuários se um email não tem rótulo

Essa nova configuração do cliente avançada nomeada OutlookUnlabeledCollaborationAction não requer uma ID de rótulo, mas especifica a ação a ser tomada para o conteúdo sem rótulo:

  1. No portal do Azure, novamente no painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado do Tutorial sobre compartilhamento excessivo. Em seguida, selecione Configurações avançadas.

  2. No painel Configurações avançadas, digite o nome da configuração avançada, OutlookUnlabeledCollaborationAction. Para o valor, especifique Aviso:

    Azure Information Protection tutorial - create OutlookUnlabeledCollaborationAction advanced client setting with Warn value

  3. Selecione Salvar e fechar.

Não feche o painel Políticas ou o portal do Azure.

Testar a configuração do cliente avançada para avisar aos usuários se um email não tem rótulo

No computador cliente, agora, veremos os resultados de definir essa nova configuração avançada do cliente para quando o conteúdo não tem um rótulo:

  1. No computador cliente, reinicie o Outlook para baixar a alteração que acabamos de fazer.

  2. Crie uma mensagem de email e, desta vez, não aplique um rótulo.

  3. Especifique seu próprio endereço de email para o campo Para e, para o assunto, digite Testando o envio de um email sem rótulo para a mensagem de aviso. Depois, envie o email.

  4. Neste momento, você verá uma mensagem de Confirmação Necessária que você pode Confirmar e Enviar ou Cancelar:

    Azure Information Protection tutorial - see OutlookUnlabeledCollaborationAction advanced client setting with Warn value

  5. Selecione Confirmar e Enviar.

Alterar a configuração avançada de cliente para solicitar que os usuários forneçam uma justificativa se um email não tem rótulo

Editaremos a configuração avançada do cliente existente para manter o nome da OutlookUnlabeledCollaborationAction, mas alteraremos o valor para Justificativa:

  1. No painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado do Tutorial sobre compartilhamento excessivo. Em seguida, selecione Configurações avançadas.

  2. No painel Configurações avançadas, localize a configuração OutlookUnlabeledCollaborationAction e substitua o valor anterior, Aviso, pelo novo valor, Justificativa:

    Azure Information Protection tutorial - change OutlookUnlabeledCollaborationAction advanced client setting to Justify value

  3. Selecione Salvar e fechar.

Não feche o painel Políticas ou o portal do Azure.

Testar a configuração avançada de cliente para solicitar que os usuários forneçam uma justificativa se um email não está rotulado

No computador cliente, agora, veremos os resultados de alterar o valor dessa configuração avançada do cliente.

  1. No computador cliente, reinicie o Outlook para baixar a alteração que acabamos de fazer.

  2. Crie uma mensagem de email e, assim como anteriormente, não aplique um rótulo.

  3. Especifique seu próprio endereço de email para o campo Para e, para o assunto, digite Testando o envio de um email sem rótulo para a mensagem de justificativa. Depois, envie o email.

  4. Neste momento, você verá uma mensagem de Justificativa Necessária com opções diferentes:

    Azure Information Protection tutorial - see OutlookUnlabeledCollaborationAction advanced client setting with Justify value

  5. Selecione uma opção como Meu gerente aprovou o compartilhamento deste conteúdo. Em seguida, selecione Confirmar e Enviar.

Alterar a configuração avançada de cliente para bloquear o envio, pelos usuários, de um email sem rótulo

Assim como anteriormente, editaremos a configuração avançada do cliente existente para manter o nome da OutlookUnlabeledCollaborationAction, mas alteraremos o valor para Bloqueio:

  1. No painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado do Tutorial sobre compartilhamento excessivo. Em seguida, selecione Configurações avançadas.

  2. No painel Configurações avançadas, localize a configuração OutlookUnlabeledCollaborationAction e substitua o valor anterior, Justificativa, pelo novo valor, Bloqueio:

    Azure Information Protection tutorial - change OutlookUnlabeledCollaborationAction advanced client setting to Block value

  3. Selecione Salvar e fechar.

Não feche o painel Políticas ou o portal do Azure.

Testar a configuração avançada de cliente para bloquear o envio, pelos usuários, de um email sem rótulo

No computador cliente, agora, veremos os resultados de alterar o valor dessa configuração avançada do cliente.

  1. No computador cliente, reinicie o Outlook para baixar a alteração que acabamos de fazer.

  2. Crie uma mensagem de email e, assim como anteriormente, não aplique um rótulo.

  3. Especifique seu próprio endereço de email para o campo Para e, para o assunto, digite Testando o envio de um email sem rótulo para a mensagem de Bloqueio. Depois, envie o email.

  4. Neste momento, você vê a mensagem a seguir, que impede que o email seja enviado e fornece uma explicação ao usuário. Por exemplo:

    Azure Information Protection tutorial - see OutlookWarnUntrustedCollaborationLabel advanced client setting with Block value

  5. Atuando como seu usuário, você vê que a única opção disponível é OK, que leva você de volta à mensagem de email em que você pode selecionar um rótulo.

    Selecione OK e cancele essa mensagem de email.

Use o Log de Eventos para identificar as mensagens e as ações do usuário para o email sem rótulo

Como antes, as mensagens e as respostas do usuário são registradas no Visualizador de Eventos Logs de Serviços e Aplicativos>Proteção de Informações do Azure, com as mesmas IDs de evento.

  • Mensagens de aviso: ID da informação 301

  • Justificar mensagens: ID da informação 302

  • Mensagens de bloqueio: ID da informação 303

Por exemplo, os resultados de nossa solicitação de justificativa quando o email não tinha um rótulo:

Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Testing send an email without a label for the Justify message.msg
Item Name: Testing send an email without a label for the Justify message
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source: 
User Response: Confirmed

Limpar os recursos

Se você não quiser manter as alterações feitas neste tutorial, faça o seguinte:

  1. No portal do Azure, no painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado do Tutorial sobre compartilhamento excessivo. Em seguida, selecione Excluir política.

  2. Se for solicitado a confirmar, selecione OK.

Reinicie o Outlook para que ele não use mais as configurações que definimos neste tutorial.

Próximas etapas

Para testes mais rápidos, este tutorial usou uma mensagem de email para um único destinatário, sem anexos. Mas você pode aplicar o mesmo método com vários destinatários, vários rótulos e também aplicar a mesma lógica aos anexos de email cujo status de rotulação geralmente é menos óbvio para os usuários. Por exemplo, a mensagem de email é rotulada como Público, mas a apresentação do PowerPoint em anexo é rotulada como Geral. Para obter mais informações sobre as opções de configuração, veja a seguinte seção do guia de administração: Implementar mensagens pop-up no Outlook que avisam, justificam ou bloqueiam emails que estão sendo enviados

O guia de administração também contém informações sobre outras configurações do cliente avançadas que você pode usar para personalizar o comportamento do cliente. Para uma lista completa, veja Configurações do cliente avançadas disponíveis.