Como migrar rótulos de proteção da informação do Azure para rótulos de sensibilidade unificados

Aplica-se a: Azure Information Protection, Office 365

Relevante para clientes de Proteção de Informação Azure para Windows

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente clássico da Azure Information Protection e a Label Management no Portal Azure são depreciados a partir de 31 de março de 2021. Enquanto o cliente clássico continua a funcionar como configurado, não é fornecido mais suporte, e as versões de manutenção deixarão de ser lançadas para o cliente clássico.

Recomendamos que emigre para a rotulagem unificada e faça upgrade para o cliente de rotulagem unificado. Saiba mais no nosso recente blog de depreciação.

Migrar as etiquetas de proteção da informação da Azure para a plataforma de rotulagem unificada para que possa usá-las como rótulos de sensibilidade por clientes e serviços que suportem a rotulagem unificada.

Nota

Se a sua subscrição de Proteção de Informação Azure for bastante nova, poderá não precisar de migrar rótulos porque o seu inquilino já se encontra na plataforma de rotulagem unificada. Para mais informações, como posso determinar se o meu inquilino está na plataforma de rotulagem unificada?

Depois de migrar as suas etiquetas, não verá qualquer diferença com o cliente clássico da Azure Information Protection, porque este cliente continua a descarregar as etiquetas com a política de Proteção de Informação Azure do portal Azure. No entanto, agora pode utilizar as etiquetas com o cliente unificado da Azure Information Protection e outros clientes e serviços que utilizam etiquetas de sensibilidade.

Antes de ler as instruções para migrar as suas etiquetas, poderá encontrar as seguintes perguntas frequentemente úteis:

Funções administrativas que apoiam a plataforma de rotulagem unificada

Se utilizar funções de administração para administração delegada na sua organização, poderá ter de fazer algumas alterações para a plataforma de rotulagem unificada:

O papel de Azure AD do administrador de proteção da informação da Azure (anterior administrador de proteção da informação) não é suportado pela plataforma de rotulagem unificada. Se esta função administrativa for utilizada na sua organização para gerir a Proteção de Informação Azure, adicione os utilizadores que tenham esta função às funções Azure AD do administrador de conformidade, administrador de dados de conformidade, ou administrador de segurança. Se precisar de ajuda com este passo, consulte dar aos utilizadores acesso ao Microsoft 365 Security & Compliance Center. Também pode atribuir estas funções no portal AD Azure e no centro de conformidade Microsoft 365.

Em alternativa, a utilização de funções, no centro de conformidade Microsoft 365, pode criar um novo grupo de funções para estes utilizadores e adicionar ao administrador de etiquetas de sensibilidade ou à configuração da organização este grupo.

Se não der acesso a estes utilizadores ao centro de conformidade Microsoft 365 utilizando uma destas configurações, não conseguirão configurar a Proteção de Informação Azure no portal Azure após a migração das suas etiquetas.

Os administradores globais do seu inquilino podem continuar a gerir rótulos e políticas tanto no portal Azure como no centro de conformidade Microsoft 365 após a migração das suas etiquetas.

Antes de começar

A migração de rótulos tem muitos benefícios, mas é irreversível. Antes de migrar, certifique-se de que está ciente das seguintes alterações e considerações:

Apoio ao cliente para rotulagem unificada

Certifique-se de que tem clientes que suportam etiquetas unificadas e, se necessário, esteja preparado para a administração tanto no portal Azure (para clientes que não suportam etiquetas unificadas) como no centro de conformidade Microsoft 365 (para cliente que suporta etiquetas unificadas).

Configuração da política

As políticas, incluindo as definições de políticas e quem tem acesso a elas (políticas de mira), e todas as definições avançadas do cliente não são migradas. As suas opções para configurar estas definições após a migração da sua etiqueta incluem o seguinte:

Importante

Nem todas as definições de uma etiqueta migrada são suportadas pelo centro de conformidade Microsoft 365. Utilize a tabela nas definições de Etiqueta que não são suportadas na secção do centro de conformidade Microsoft 365 para ajudá-lo a identificar estas definições e o curso de ação recomendado.

Modelos de proteção

  • Os modelos que usam uma chave baseada na nuvem e que fazem parte de uma configuração de etiqueta também são migrados com a etiqueta. Outros modelos de proteção não são migrados.

  • Se tiver etiquetas configuradas para um modelo predefinido, edite estas etiquetas e selecione a opção de definição de permissões para configurar as mesmas definições de proteção que tinha no seu modelo. As etiquetas com modelos predefinidos não bloqueiam a migração da etiqueta, mas esta configuração da etiqueta não é suportada no centro de conformidade Microsoft 365.

    Dica

    Para ajudá-lo a reconfigurar estas etiquetas, poderá achar útil ter duas janelas de navegador: Uma janela na qual seleciona o botão de Modelo de Edição para a etiqueta para visualizar as definições de proteção e a outra janela para configurar as mesmas definições quando selecionar permissões de definição.

  • Depois de migrar uma etiqueta com definições de proteção baseadas na nuvem, o âmbito resultante do modelo de proteção é o âmbito definido no portal Azure (ou utilizando o módulo AIPService PowerShell) e o âmbito que é definido no centro de conformidade 365 doMicrosoft.

Nomes de exibição

Para cada etiqueta, o portal Azure apresenta apenas o nome de visualização da etiqueta, que pode editar. Os utilizadores vêem este nome da etiqueta nas suas apps.

O centro de conformidade Microsoft 365 mostra este nome de exibição para uma etiqueta e o nome da etiqueta. O nome da etiqueta é o nome inicial que especifica quando a etiqueta é criada pela primeira vez e esta propriedade é utilizada pelo serviço back-end para fins de identificação. Quando migrar as suas etiquetas, o nome do visor permanece o mesmo e o nome da etiqueta é renomeado para o ID da etiqueta a partir do portal Azure.

Nomes de exibição conflituosos

Antes de migrar, certifique-se de que não terá nomes de exibição conflituosos após a conclusão da migração. Os nomes de exposição no mesmo local da hierarquia de rotulagem devem ser únicos.

Por exemplo, considere a seguinte lista de rótulos:

  • Público
  • Geral
  • Confidencial
    • Confidencial\HR
    • Confidencial\Finanças
  • Segredo
    • Segredo\HR
    • Segredo\Finanças

Nesta lista, o Público, General, Confidencial e Secreto são todos os rótulos dos pais, e não podem ter nomes duplicados. Além disso, Confidencial\HR e Confidencial\Finanças estão no mesmo lugar da hierarquia, e também não podem ter nomes duplicados.

No entanto, sub-rótulos entre diferentes pais, tais como Confidential\HR e Secret\HR não estão no mesmo lugar da hierarquia, e, portanto, podem ter os mesmos nomes individuais.

Cordas localizadas em etiquetas

As cordas localizadas para as etiquetas não são migradas. Defina novas cordas localizadas para as etiquetas migradas utilizando o Office 365 Security & Compliance PowerShell e o parâmetro LocaleSettings para Set-Label.

Edição de etiquetas migratórias no centro de conformidade Microsoft 365

Após a migração, quando edita uma etiqueta migratória no portal Azure, a mesma alteração reflete-se automaticamente no centro de conformidade Microsoft 365.

No entanto, quando editar uma etiqueta migratória no centro de conformidade Microsoft 365, deve regressar ao portal Azure, Azure Information Protection - Painel de rotulagem unificado e selecionar Publicar.

Esta ação adicional é necessária para que os clientes da Azure Information Protection (clássico) apanhem as alterações da etiqueta.

Definições de etiquetas que não são suportadas no centro de conformidade Microsoft 365

Utilize a tabela seguinte para identificar quais as definições de configuração de uma etiqueta migrada que não são suportadas pelo centro de conformidade Microsoft 365. Se tiver etiquetas com estas definições, quando a migração estiver completa, utilize a orientação de administração na coluna final antes de publicar as suas etiquetas no centro de conformidade Microsoft 365.

Se não tiver a certeza de como as suas etiquetas estão configuradas, veja as suas definições no portal Azure. Se precisar de ajuda com este passo, consulte a política de proteção de informação Azure.

Os clientes da Azure Information Protection (clássico) podem utilizar todas as definições de etiquetas listadas sem qualquer problema, uma vez que continuam a descarregar as etiquetas do portal Azure.

Configuração do rótulo Apoiado por clientes de rotulagem unificada Orientação para o centro de conformidade Microsoft 365
Estado de ativação ou desativação

Este estado não é sincronizado com o centro de conformidade Microsoft 365
Não aplicável O equivalente é se a etiqueta é publicada ou não.
Etiquetar a cor que seleciona a partir da lista ou especificar usando o código RGB Yes Nenhuma opção de configuração para cores de etiquetas. Em vez disso, pode configurar as cores da etiqueta no portal Azure ou utilizar o PowerShell.
Proteção baseada em nuvem ou proteção baseada em HYOK usando um modelo predefinido No Nenhuma opção de configuração para modelos predefinidos. Não recomendamos que publique uma etiqueta com esta configuração.
Proteção baseada na nuvem usando permissões definidas pelo utilizador para Word, Excel e PowerPoint Yes O centro de conformidade Microsoft 365 suporta uma opção de configuração para permissões definidas pelo utilizador.

Se publicar uma etiqueta com esta configuração, verifique os resultados da aplicação da etiqueta na tabela seguinte.
Proteção baseada em HYOK utilizando permissões definidas pelo utilizador para Outlook (Não avançar) No Nenhuma opção de configuração para HYOK. Não recomendamos que publique uma etiqueta com esta configuração. Se o fizer, os resultados da aplicação da etiqueta estão listados na tabela seguinte.
Nome de fonte personalizado, tamanho e cor de fonte personalizada por código RGB para marcações visuais (cabeçalho, rodapé, marca de água) Yes A configuração para marcações visuais está limitada a uma lista de cores e tamanhos de fonte. Pode publicar esta etiqueta sem alterações, embora não possa ver os valores configurados no centro de conformidade Microsoft 365.

Para alterar estas opções, utilize o Cmdlet do Centro de Segurança 365 & de Segurança. Para uma administração mais fácil, considere mudar a cor para uma das opções listadas no centro de conformidade Microsoft 365.

Nota: O centro de conformidade Microsoft 365 suporta uma lista predefinida de definições de fonte. Os tipos de letra e cores personalizados são suportados apenas através do cmdlet New-Label.

Se estiver a trabalhar com o cliente clássico, faça estas alterações na sua etiqueta no portal Azure.
Variáveis em marcações visuais (cabeçalho, rodapé) Yes Esta configuração da etiqueta é suportada pelos clientes AIP e pela rotulagem incorporada do Office para aplicações selecionadas.

Se estiver a trabalhar com a rotulagem incorporada utilizando uma aplicação que não suporta esta configuração e publique esta etiqueta sem alterações, as variáveis exibem como texto nos clientes, em vez de exibir o valor dinâmico.

Para mais informações, consulte a documentação da Microsoft 365.
Marcações visuais por app Yes Esta configuração da etiqueta é suportada apenas pelos clientes AIP, e não pela rotulagem incorporada do Office.

Se estiver a trabalhar com a rotulagem incorporada e publicar este rótulo sem alterações, a configuração de marcação visual apresenta-se como texto variável em vez das marcas visuais que configura para exibir em cada aplicação.
Proteção "Só para mim" Yes O centro de conformidade Microsoft 365 não permite guardar as definições de encriptação que aplica agora, sem especificar nenhum utilizadores. No portal Azure, esta configuração resulta numa etiqueta que aplica a proteção "Só para mim".

Como alternativa, crie um rótulo que aplique encriptação e especifique um utilizador com quaisquer permissões e, em seguida, edite o modelo de proteção associado utilizando o PowerShell. Em primeiro lugar, utilize o cmdlet New-AipServiceRightsDefinition (ver Exemplo 3) e, em seguida, Set-AipServiceTemplateProperty com o parâmetro RightsDefinitions.
Condições e configurações associadas

Inclui rotulagem automática e recomendada, e suas pontas de ferramentas
Não aplicável Reconfigure as suas condições utilizando a rotulagem automática como configuração separada das definições da etiqueta.

Comparando o comportamento das definições de proteção de um rótulo

Utilize a tabela seguinte para identificar como a mesma definição de proteção para uma etiqueta se comporta de forma diferente, dependendo se é usada pelo cliente clássico da Azure Information Protection, o cliente unificado de rotulagem Azure Information Protection, ou por aplicações do Office que têm etiquetagem incorporada (também conhecida como "etiquetagem nativa do Office"). As diferenças no comportamento do rótulo podem mudar a sua decisão de publicar as etiquetas, especialmente quando tem uma mistura de clientes na sua organização.

Se não tiver a certeza de como as definições de proteção estão configuradas, veja as suas definições no painel de proteção, no portal Azure. Se precisar de ajuda com este passo, consulte Configurar uma etiqueta para definições de proteção.

As definições de proteção que se comportam da mesma forma não constam da tabela, com as seguintes exceções:

  • Quando utiliza aplicações do Office com etiqueta incorporada, as etiquetas não são visíveis no File Explorer, a menos que também instale o cliente unificado da Azure Information Protection.
  • Quando utiliza aplicações do Office com rotulagem incorporada, se a proteção foi previamente aplicada independentemente de um rótulo, essa proteção é preservada [1].
Definição de proteção para uma etiqueta Cliente clássico do Azure Information Protection Azure Information Protection unified labeling client (Cliente de etiquetagem unificada do Azure Information Protection) Aplicativos de escritório com rotulagem incorporada
HYOK (AD RMS) com um modelo: Visível em Word, Excel, PowerPoint, Outlook e File Explorer

Quando este rótulo é aplicado:

- A proteção HYOK é aplicada a documentos e e-mails
Visível em Word, Excel, PowerPoint, Outlook e File Explorer

Quando este rótulo é aplicado:

- Não é aplicada qualquer proteção e a proteção é removida [2] se tiver sido previamente aplicada por um rótulo

- Se a proteção foi previamente aplicada independentemente de um rótulo, essa proteção é preservada
Visível em Word, Excel, PowerPoint e Outlook

Quando este rótulo é aplicado:

- Não é aplicada qualquer proteção e a proteção é removida [2] se tiver sido previamente aplicada por um rótulo

- Se a proteção tiver sido previamente aplicada independentemente de um rótulo, essa proteção é preservada [1]
HYOK (AD RMS) com permissões definidas pelo utilizador para Word, Excel, PowerPoint e File Explorer: Visível em Word, Excel, PowerPoint e Explorador de Ficheiros

Quando este rótulo é aplicado:

- A proteção HYOK é aplicada a documentos e e-mails
Visível em Word, Excel e PowerPoint

Quando este rótulo é aplicado:

- A proteção não é aplicada e a proteção é removida [2] se tiver sido previamente aplicada por um rótulo

- Se a proteção foi previamente aplicada independentemente de um rótulo, essa proteção é preservada
Visível em Word, Excel e PowerPoint

Quando este rótulo é aplicado:

- A proteção não é aplicada e a proteção é removida [2] se tiver sido previamente aplicada por um rótulo

- Se a proteção foi previamente aplicada independentemente de um rótulo, essa proteção é preservada
HYOK (AD RMS) com permissões definidas pelo utilizador para o Outlook: Visível no Outlook

Quando este rótulo é aplicado:

- Não encaminhar a proteção HYOK é aplicada a e-mails
Visível no Outlook

Quando este rótulo é aplicado:

- A proteção não é aplicada e removida [2] se tiver sido previamente aplicada por um rótulo

- Se a proteção foi previamente aplicada independentemente de um rótulo, essa proteção é preservada
Visível no Outlook

Quando este rótulo é aplicado:

- A proteção não é aplicada e removida [2] se tiver sido previamente aplicada por um rótulo

- Se a proteção tiver sido previamente aplicada independentemente de um rótulo, essa proteção é preservada [1]
Nota de rodapé 1

No Outlook, a proteção é preservada com uma exceção: Quando um e-mail foi protegido apenas com a opção encriptada (Encrypt), essa proteção é removida.

Nota de rodapé 2

A proteção é removida se o utilizador tiver um direito de utilização ou uma função que suporte esta ação:

Se o utilizador não tiver um destes direitos ou funções de utilização, o rótulo não é aplicado e a proteção original é preservada.

Para migrar rótulos de proteção de informação Azure

Utilize as seguintes instruções para migrar o seu inquilino e etiquetas de proteção de informação Azure para utilizar a loja de rotulagem unificada.

Tem de ser administrador de Compliance, administrador de dados de conformidade, administrador de segurança ou administrador global para migrar as suas etiquetas.

  1. Se ainda não o fez, abra uma nova janela no browser e inicie sessão no Portal do Azure. Em seguida, navegue para o painel de proteção de informação Azure.

    Por exemplo, na caixa de pesquisa de recursos, serviços e docs: Comece a digitar informações e selecione Azure Information Protection.

  2. Na opção do menu Gerir, selecione Etiquetagem unificada.

  3. No painel de proteção de informação Azure - Painel de rotulagem unificado, selecione Ative e siga as instruções on-line.

    Se a opção de ativação não estiver disponível, verifique o estado de rotulagem Unificado: Se vir Ativado, o seu inquilino já está a utilizar a loja de rotulagem unificada e não há necessidade de migrar as suas etiquetas.

Para os rótulos que migraram com sucesso, podem agora ser utilizados por clientes e serviços que suportam a rotulagem unificada. No entanto, deve primeiro publicar estas etiquetas no centro de conformidade Microsoft 365.

Importante

Se editar as etiquetas fora do portal Azure, para clientes Azure Information Protection (clássico), volte a este painel de Proteção de Informação Azure - Painel de rotulagem unificado e selecione Publicar.

Copiar políticas

Depois de migrar as suas etiquetas, pode selecionar uma opção para copiar políticas. Se selecionar esta opção, uma cópia única das suas políticas com as suas definições de política e quaisquer definições avançadas do cliente é enviada para o centro de conformidade Microsoft 365.

As políticas copiadas com sucesso com as suas definições e etiquetas são então automaticamente publicadas para os utilizadores e grupos que foram atribuídos às políticas no portal Azure. Note que para a política global, isto significa todos os utilizadores. Se não estiver pronto para que os rótulos migrados nas políticas copiadas sejam publicados, depois de as políticas serem copiadas, pode remover os rótulos das políticas de etiquetas no seu centro de rotulagem de administração.

Antes de selecionar a opção Copy policies (pré-visualização) no painel de proteção de informação Azure - Painel de rotulagem unificado, esteja ciente do seguinte:

  • A opção Copy policies (Preview) não está disponível até que a rotulagem unificada seja ativada para o seu inquilino.

  • Não é possível escolher seletivamente políticas e configurações para copiar. Todas as políticas (a política global e quaisquer políticas de âmbito) são automaticamente selecionadas para serem copiadas, e todas as configurações que são suportadas como definições de política de etiquetas são copiadas. Se já tiver uma política de etiquetas com o mesmo nome, será substituída com as definições de política no portal Azure.

  • Algumas configurações avançadas do cliente não são copiadas porque para o cliente unificado de rotulagem Azure Information Protection, estes são suportados como configurações avançadas de etiquetas em vez de definições de política. Pode configurar estas definições avançadas da etiqueta com o Microsoft 365 Security & Compliance Center PowerShell. As definições avançadas do cliente que não são copiadas:

  • Ao contrário da migração de etiquetas onde as alterações subsequentes aos rótulos são sincronizadas, a ação das políticas copy não sincroniza quaisquer alterações subsequentes às suas políticas ou definições de políticas. Pode repetir a ação da política de cópias depois de efec se alterar o portal Azure, e quaisquer políticas existentes e suas definições serão novamente substituídas. Ou, utilize os Set-LabelPolicy ou Set-Label cmdlets com o parâmetro AdvancedSettings do Office 365 Security & Compliance Center PowerShell.

  • A ação das políticas copy verifica o seguinte para cada política antes de ser copiada:

    • Os utilizadores e grupos atribuídos à apólice encontram-se atualmente no Azure AD. Se faltar uma ou mais contas, a apólice não é copiada. A adesão ao grupo não é verificada.

    • A política global contém pelo menos um rótulo. Como os centros de rotulagem de administração não suportam políticas de etiquetas sem rótulos, uma política global sem rótulos não é copiada.

  • Se copiar as políticas e, em seguida, eliminá-las do seu centro de rotulagem de administração, aguarde pelo menos duas horas antes de voltar a utilizar a ação das políticas Copy para garantir tempo suficiente para a eliminação se replicar.

  • As políticas copiadas da Azure Information Protection não terão o mesmo nome, em vez disso serão nomeadas com um prefixo de AIP_. Os nomes das políticas não podem ser posteriormente alterados.

Para obter mais informações sobre a configuração das definições de política, definições avançadas do cliente e definições de etiquetas para o cliente de rotulagem unificada da Azure Information Protection, consulte configurações personalizadas para o cliente de rotulagem unificada da Azure Information Protection a partir do guia de administração.

Nota

O suporte para a proteção de informação Azure para as políticas de cópia está atualmente em PREVIEW. Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.

Clientes e serviços que suportam rotulagem unificada

Para confirmar se os clientes e serviços que utiliza suportam a rotulagem unificada de suporte, consulte a sua documentação para verificar se podem usar etiquetas de sensibilidade que são publicadas no centro de conformidade Microsoft 365.

Os clientes que suportam atualmente a rotulagem unificada incluem:
Os serviços que atualmente suportam a rotulagem unificada incluem:

Passos seguintes

Orientação e dicas da nossa equipa de Experiência do Cliente:

Sobre rótulos de sensibilidade:

Implementar o cliente de rotulagem unificado da AIP:

Se ainda não o fez, instale o cliente unificado da Azure Information Protection.

Para obter mais informações, consulte: