Como configurar a colaboração em documentos seguros usando a Proteção de Informações do Azure

  • Artigo

Ao usar a Proteção de Informações do Azure, você pode proteger seus documentos sem sacrificar a colaboração de usuários autorizados. A maioria dos documentos que um usuário cria e depois compartilha com outras pessoas para exibição e edição será de documentos Office Word, Excel e PowerPoint. Esses documentos dão suporte à proteção nativa, ou seja, além dos recursos de proteção de autorização e criptografia, eles também dão suporte à permissão restrita para um controle mais refinado.

Essas permissões são chamadas de direitos de uso e incluem exibição, edição, impressão. Você pode definir direitos de uso individuais quando um documento estiver protegido, ou você pode definir um agrupamento de direitos de uso chamado de níveis de permissão. Os níveis de permissão facilitam a seleção dos direitos de uso que normalmente são usados em conjunto, por exemplo, Revisor e Coautor. Para obter mais informações sobre os direitos de uso e os níveis de permissão, consulte Configurar direitos de uso para Proteção de Informações do Azure.

Quando você configura essas permissões, também especifica para quais usuários elas servem:

  • Para usuários em sua própria organização, ou de outra organização, que usam o Azure Active Directory: especifique contas de usuário do Azure AD, grupos do Azure AD ou todos os usuários na organização.

  • Para usuários que não têm uma conta do Azure Active Directory: especifique um endereço de email que será usado com uma conta da Microsoft. Essa conta pode existir, ou os usuários podem criá-la quando abrirem o documento protegido.

    Para abrir documentos com uma conta da Microsoft, os usuários devem usar Microsoft 365 aplicativos (Clique para Executar). Outras edições e versões do Office ainda não dão suporte à abertura de documentos protegidos do Office com uma conta da Microsoft.

  • Para qualquer usuário autenticado: essa opção será adequada quando você não precisar controlar quem acessa o documento protegido, contanto que o usuário possa ser autenticado. A autenticação pode ser feita pelo Azure AD, usando uma conta Microsoft ou até mesmo um provedor social federado ou senha de uso único quando o conteúdo for protegido pelos novos recursos da Criptografia de Mensagens do Office 365.

Como administrador, você pode configurar um rótulo da Proteção de Informações do Azure para aplicar as permissões e os usuários autorizados. Essa configuração facilita a aplicação das configurações de proteção corretas pelos usuários e outros administradores, pois simplesmente aplica o rótulo sem a necessidade de especificar os detalhes. As seções a seguir fornecem um exemplo de passo a passo para proteger um documento que dá suporte à colaboração segura com usuários internos e externos.

Exemplo de configuração de um rótulo para aplicar a proteção e dar suporte à colaboração interna e externa

Este exemplo explica como configurar um rótulo existente para aplicar proteção para que os usuários de sua organização possam colaborar em documentos com todos os usuários de outra organização que tenha Microsoft 365 ou Azure AD, um grupo de uma organização diferente que tenha Microsoft 365 ou Azure AD e um usuário que não tenha uma conta Azure AD e, em vez disso, usará seu endereço de email do Gmail.

Como o cenário restringe o acesso a pessoas específicas, ele não inclui a configuração de usuários autenticados. Para obter um exemplo de como você pode definir um rótulo com essa configuração, consulte Exemplo 5: rótulo que criptografa o conteúdo, mas não restringe quem pode acessá-lo.

  1. Selecione o rótulo que já está em uma política global ou política com escopo. No painel Proteção, verifique se Azure (chave de nuvem) está selecionado.

  2. Certifique-se de que Definir permissões esteja selecionada e selecione Adicionar permissões.

  3. No painel Adicionar permissões:

    • Para seu grupo interno: selecione Procurar diretório para selecionar o grupo, que deve ser habilitado para email.

    • Para todos os usuários na primeira organização externa: selecione Inserir detalhes e digite o nome de um domínio no locatário da organização. Por exemplo, fabrikam.com.

    • Para o grupo na segunda organização externa: ainda na guia Inserir detalhes, digite o endereço de email do grupo no locatário da organização. Por exemplo, sales@contoso.com.

    • Para o usuário que não tem uma conta do Azure AD: ainda na guia Inserir detalhes, digite o endereço de email do usuário. Por exemplo, bengi.turan@gmail.com.

  4. Para conceder as mesmas permissões a todos esses usuários: em Escolher permissões predefinidas, selecione Coproprietário, Coautor, Revisor ou Personalizado para selecionar as permissões que você deseja conceder.

    Por exemplo, as permissões configuradas podem parecer semelhantes às seguintes:

    Configuring permissions for secure collaboration

  5. Clique em OK no painel Adicionar permissões.

  6. No painel Proteção , clique em OK.

  7. No painel Rótulo, selecione Salvar.

Aplicar o rótulo que dá suporte à colaboração segura

Agora que este rótulo está configurado, ele pode ser aplicado a documentos de várias maneiras, entre elas as seguinte:

Diferentes maneiras de aplicar o rótulo Mais informações
Um usuário seleciona manualmente o rótulo quando o documento é criado em seu aplicativo do Office. Os usuários selecionam o rótulo com o botão Proteger na faixa de opções do Office, ou na barra da Proteção de Informações do Azure.
Os usuários recebem uma solicitação para selecionar um rótulo quando um novo documento é salvo. Você definiu a configuração de política da Proteção de Informações do Azure chamada Todos os documentos e emails devem ter um rótulo.
Um usuário compartilha o documento por email e seleciona manualmente o rótulo no Outlook. Os usuários selecionam o rótulo com o botão Proteger na faixa de opções do Office, ou na barra de ferramentas da Proteção de Informações do Azure e o documento em anexo é protegido automaticamente com as mesmas configurações.
Um administrador aplica o rótulo ao documento usando o PowerShell. Use o cmdlet Set-AIPFileLabel para aplicar o rótulo a um documento específico ou a todos os documentos em uma pasta.
Além disso, você configurou o rótulo para aplicar a classificação automática que agora pode ser aplicada usando o scanner da Proteção de Informações do Azure, ou o PowerShell. Confira Como configurar condições para classificação automática e recomendada da Proteção de Informações do Azure.

Para concluir este passo a passo, aplique manualmente o rótulo ao criar o documento em seu aplicativo do Office:

  1. Em um computador cliente, se você já tiver o aplicativo do Office aberto, primeiro feche e reabra para obter as alterações de política mais recentes que incluem seu rótulo recém-configurado.

  2. Aplique o rótulo a um documento e salve-o.

Compartilhe o documento protegido anexando-o a um email e envie-o para as pessoas com autorização para editar o documento.

Abrir e editar o documento protegido

Quando os usuários autorizados abrirem o documento para edição, o documento é aberto com uma faixa informando que as permissões são restritas. Por exemplo:

Azure Information Protection permissions example information banner

Se selecionarem o botão Permissão de Exibição, eles verão suas permissões atuais. No exemplo a seguir, o usuário pode exibir e editar o documento:

Azure Information Protection permissions example dialog box

Observação: se o documento for aberto por usuários externos que também estão usando a Proteção de Informações do Azure, o aplicativo do Office não exibirá o rótulo de classificação para o documento, embora qualquer marcação visual do rótulo permaneça. Em vez disso, os usuários externos podem aplicar seu próprios rótulos alinhados com a taxonomia de classificação da própria organização. Se esses usuários externos enviarem novamente o documento editado para você, o Office exibirá o rótulo de classificação original quando você reabrir o documento.

Antes de o documento protegido abrir, um dos fluxos de autenticação a seguir ocorrerá:

  • Os usuários que têm uma conta do Azure AD usam as credenciais dessa conta para autenticação pelo Azure AD, e o documento é aberto.

  • O usuário que não tem uma conta do Azure AD, se não tiver entrado no Office com uma conta que tenha permissões para abrir o documento, verá a página Contas.

    Na página Contas, selecione Adicionar Conta:

    Adding an Microsoft account to open protected document

    Na página Entrar , selecione Criar um! e siga os prompts para criar uma nova conta da Microsoft com o endereço de email que foi usado para conceder as permissões:

    Creating a Microsoft account to open protected document

    Quando a nova conta da Microsoft for criada, a conta local alterna para essa nova conta da Microsoft, e o usuário pode, em seguida, abrir o documento.

Cenários com suporte para abrir documentos protegidos

A tabela a seguir resume os diferentes métodos de autenticação com suporte para ver e editar documentos protegidos.

Além disso, os cenários a seguir dão suporte à visualização de documentos:

  • O visualizador da Proteção de Informações do Azure para Windows, iOS e Android pode abrir arquivos usando uma conta Microsoft.

  • Um navegador pode abrir anexos protegidos quando provedores sociais e senhas de uso único são usadas para autenticação com o Exchange Online e os novos recursos da Criptografia de Mensagens do Office 365.

Plataformas para exibir e editar documentos:
Word, Excel, PowerPoint		 Método de autenticação:
AD do Azure		 Método de autenticação:
Conta da Microsoft
Windows Sim [1] Sim (Microsoft 365 aplicativos e Microsoft Office 2019)
iOS Sim [1] Sim (versão 2.42 e superior)
Android Sim [1] Sim (versão 16.0.13029 e superior)
MacOS Sim [1] Sim (Microsoft 365 aplicativos, versão 16.42 e superior)
Nota de rodapé 1

Oferece suporte a contas de usuário, grupos habilitados para email, todos os membros. Contas de usuário e grupos habilitados para email podem incluir contas de convidado. Todos os membros excluem as contas de convidado.

Próximas etapas

Consulte outros exemplos de configuração de rótulos para aplicar a proteção em cenários comuns. Este artigo também contém mais detalhes sobre as configurações de proteção.

Para saber mais sobre as opções e configurações possíveis para o rótulo, consulte Configurar a política da Proteção de Informações do Azure.

O rótulo configurado neste artigo também cria um modelo de proteção com o mesmo nome. Se você tiver aplicativos e serviços que se integram aos modelos de proteção da Proteção de Informações do Azure, eles poderão aplicar esse modelo. Por exemplo, as soluções de DLP e regras de fluxo de email. O Outlook na Web exibe automaticamente os modelos de proteção da política global da Proteção de Informações do Azure.