Como configurar uma etiqueta para a proteção do Rights ManagementHow to configure a label for Rights Management protection

Aplica-se a: Proteção de informações do AzureApplies to: Azure Information Protection

Instruções para: Cliente de proteção de informações do Azure para WindowsInstructions for: Azure Information Protection client for Windows

Você pode proteger seus documentos e emails mais confidenciais usando um serviço Rights Management.You can protect your most sensitive documents and emails by using a Rights Management service. Esse serviço usa políticas de criptografia, identidade e autorização para ajudar a evitar a perda de dados.This service uses encryption, identity, and authorization policies to help prevent data loss. A proteção é aplicada com um rótulo que é configurado para usar a proteção de Rights Management para documentos e emails, e os usuários também podem selecionar o botão não encaminhar no Outlook.The protection is applied with a label that is configured to use Rights Management protection for documents and emails, and users can also select the Do not forward button in Outlook.

Quando o rótulo é configurado com a configuração de proteção do Azure (chave de nuvem) , nos bastidores, essa ação cria e configura um modelo de proteção que pode ser acessado por serviços e aplicativos que se integram ao Rights Management modelo.When your label is configured with the protection setting of Azure (cloud key), under the covers, this action creates and configures a protection template that can then be accessed by services and applications that integrate with Rights Management templates. Por exemplo, Exchange Online e regras de fluxo de mensagens e o Outlook na Web.For example, Exchange Online and mail flow rules, and Outlook on the web.

Como funciona a proteçãoHow the protection works

Quando um documento ou email é protegido por um serviço de Rights Management, ele é criptografado em repouso e em trânsito.When a document or email is protected by a Rights Management service, it is encrypted at rest and in transit. Em seguida, ele pode ser descriptografado somente por usuários autorizados.It can then be decrypted only by authorized users. Esta encriptação permanece com o documento ou com o e-mail, mesmo que o nome seja alterado.This encryption stays with the document or email, even if it is renamed. Além disso, pode configurar direitos e restrições de utilização, tal como nos exemplos seguintes:In addition, you can configure usage rights and restrictions, such as the following examples:

  • Apenas os utilizadores dentro da organização podem abrir o documento ou o e-mail confidencial da empresa.Only users within your organization can open the company-confidential document or email.

  • Somente os usuários no departamento de marketing podem editar e imprimir o documento ou email de comunicado de promoção, enquanto todos os outros usuários em sua organização só podem ler este documento ou email.Only users in the marketing department can edit and print the promotion announcement document or email, while all other users in your organization can only read this document or email.

  • Os utilizadores não podem reencaminhar um e-mail ou copiar informações do mesmo com notícias sobre uma reorganização interna.Users cannot forward an email or copy information from it that contains news about an internal reorganization.

  • A lista de preços atual enviada para os parceiros de negócios não pode ser aberta após uma data especificada.The current price list that is sent to business partners cannot be opened after a specified date.

Para obter mais informações sobre a proteção de Rights Management do Azure e como ela funciona, consulte o que é o Rights Management do Azure?For more information about the Azure Rights Management protection and how it works, see What is Azure Rights Management?

Importante

Para configurar um rótulo para aplicar essa proteção, o serviço de Rights Management do Azure deve ser ativado para sua organização.To configure a label to apply this protection, the Azure Rights Management service must be activated for your organization. Para obter mais informações, consulte ativando o serviço de proteção da proteção de informações do Azure.For more information, see Activating the protection service from Azure Information Protection.

Quando o rótulo aplica a proteção, um documento protegido não é adequado para ser salvo no SharePoint ou no OneDrive.When the label applies protection, a protected document is not suitable to be saved on SharePoint or OneDrive. Esses locais não dão suporte aos seguintes recursos para arquivos protegidos: Coautoria, Office para a Web, pesquisa, visualização de documentos, miniatura, descoberta eletrônica e prevenção de perda de dados (DLP).These locations do not support the following features for protected files: Co-authoring, Office for the web, search, document preview, thumbnail, eDiscovery, and data loss prevention (DLP).

O Exchange não precisa ser configurado para a proteção de informações do Azure antes que os usuários possam aplicar rótulos no Outlook para proteger seus emails.Exchange does not have to be configured for Azure Information Protection before users can apply labels in Outlook to protect their emails. No entanto, até que o Exchange seja configurado para a proteção de informações do Azure, você não obtém a funcionalidade completa de usar a proteção de Rights Management do Azure com o Exchange.However, until Exchange is configured for Azure Information Protection, you do not get the full functionality of using Azure Rights Management protection with Exchange. Por exemplo, os usuários não podem exibir emails protegidos em telefones celulares ou com o Outlook na Web, os emails protegidos não podem ser indexados para pesquisa e você não pode configurar o DLP do Exchange Online para proteção de Rights Management.For example, users cannot view protected emails on mobile phones or with Outlook on the web, protected emails cannot be indexed for search, and you cannot configure Exchange Online DLP for Rights Management protection. Para garantir que o Exchange possa dar suporte a esses cenários adicionais, consulte os seguintes recursos:To ensure that Exchange can support these additional scenarios, see the following resources:

Para configurar um rótulo para as configurações de proteçãoTo configure a label for protection settings

  1. Se você ainda não tiver feito isso, abra uma nova janela do navegador e entre no portal do Azure.If you haven't already done so, open a new browser window and sign in to the Azure portal. Em seguida, navegue para o painel Azure Information Protection.Then navigate to the Azure Information Protection blade.

    Por exemplo, no menu Hub, clique em todos os serviços e comece a digitar informações na caixa de filtro.For example, on the hub menu, click All services and start typing Information in the Filter box. Selecione Azure Information Protection.Select Azure Information Protection.

  2. Na opção > de menu classificaçõesRótulos : Na folha proteção de informações do Azure – rótulos , selecione o rótulo que você deseja alterar.From the Classifications > Labels menu option: On the Azure Information Protection - Labels blade, select the label you want to change.

  3. Na folha rótulo , localize definir permissões para documentos e emails que contenham este rótuloe selecione uma das seguintes opções:On the Label blade, locate Set permissions for documents and emails containing this label, and select one of the following options:

    • Não configurado: Selecione esta opção se o rótulo estiver atualmente configurado para aplicar a proteção e você não quiser mais que o rótulo selecionado aplique a proteção.Not configured: Select this option if the label is currently configured to apply protection and you no longer want the selected label to apply protection. Em seguida, avance para o passo 11.Then go to step 11.

      As configurações de proteção configuradas anteriormente são mantidas como um modelo de proteção arquivado e serão exibidas novamente se você alterar a opção de volta para proteger.The previously configured protection settings are retained as an archived protection template, and will be displayed again if you change the option back to Protect. Você não vê esse modelo no portal do Azure, mas, se necessário, você ainda pode gerenciar o modelo usando o PowerShell.You do not see this template in the Azure portal but if necessary, you can still manage the template by using PowerShell. Esse comportamento significa que o conteúdo permanecerá acessível se tiver esse rótulo com as configurações de proteção aplicadas anteriormente.This behavior means that content remains accessible if it has this label with the previously applied protection settings.

      Quando um rótulo com essa configuração de proteção não configurada é aplicado:When a label with this Not configured protection setting is applied:

      • Se o conteúdo tiver sido protegido anteriormente sem usar um rótulo, essa proteção será preservada.If the content was previously protected without using a label, that protection is preserved.

      • Se o conteúdo tiver sido protegido anteriormente com um rótulo, essa proteção será removida se o usuário que estiver aplicando o rótulo tiver permissões para remover a proteção de Rights Management.If the content was previously protected with a label, that protection is removed if the user applying the label has permissions to remove Rights Management protection. Esse requisito significa que o usuário deve ter o direito de uso Exportar ou controle total .This requirement means that the user must have the Export or Full Control usage right. Ou, seja o proprietário do Rights Management (que concede automaticamente o direito de uso de controle total) ou um superusuário para o Azure Rights Management.Or, be the Rights Management owner (which automatically grants the Full Control usage right), or a super user for Azure Rights Management.

        Se o usuário não tiver permissões para remover a proteção, o rótulo não poderá ser aplicado e a seguinte mensagem será exibida: A proteção de informações do Azure não pode aplicar este rótulo. Se esse problema persistir, contate o administrador.If the user doesn't have permissions to remove protection, the label cannot be applied and the following message is displayed: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

    • Proteger: Selecione esta opção para aplicar a proteção e vá para a etapa 4.Protect: Select this option to apply protection, and then go to step 4.

    • Remover proteção: Selecione esta opção para remover a proteção se um documento ou email estiver protegido.Remove Protection: Select this option to remove protection if a document or email is protected. Em seguida, avance para o passo 11.Then go to step 11.

      Se a proteção tiver sido aplicada com um rótulo ou modelo de proteção, as configurações de proteção serão mantidas como um modelo de proteção arquivado e serão exibidas novamente se você alterar a opção novamente para proteger.If the protection was applied with a label or protection template, the protection settings are retained as an archived protection template, and will be displayed again if you change the option back to Protect. Você não vê esse modelo no portal do Azure, mas, se necessário, você ainda pode gerenciar o modelo usando o PowerShell.You do not see this template in the Azure portal but if necessary, you can still manage the template by using PowerShell. Esse comportamento significa que o conteúdo permanecerá acessível se tiver esse rótulo com as configurações de proteção aplicadas anteriormente.This behavior means that content remains accessible if it has this label with the previously applied protection settings.

      Observe que para que um usuário aplique com êxito um rótulo que tenha essa opção, esse usuário deve ter permissões para remover a proteção de Rights Management.Note that for a user to successfully apply a label that has this option, that user must have permissions to remove Rights Management protection. Esse requisito significa que o usuário deve ter o direito de uso Exportar ou controle total .This requirement means that the user must have the Export or Full Control usage right. Ou, seja o proprietário do Rights Management (que concede automaticamente o direito de uso de controle total) ou um superusuário para o Azure Rights Management.Or, be the Rights Management owner (which automatically grants the Full Control usage right), or a super user for Azure Rights Management.

      Se o usuário que está aplicando o rótulo com essa configuração não tiver permissões para remover Rights Management proteção, o rótulo não poderá ser aplicado e a seguinte mensagem será exibida: A proteção de informações do Azure não pode aplicar este rótulo. Se este problema persistir, contacte o seu administrador.If the user applying the label with this setting does not have permissions to remove Rights Management protection, the label cannot be applied and the following message is displayed: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

  4. Se você selecionou proteger, a folha proteção será aberta automaticamente se uma das outras opções tiver sido selecionada anteriormente.If you selected Protect, the Protection blade automatically opens if one of the other options were previously selected. Se essa nova folha não abrir automaticamente, selecione proteção:If this new blade does not automatically open, select Protection:

    Configurar a proteção para uma etiqueta do Azure Information Protection

  5. Na folha proteção , selecione Azure (chave de nuvem) ou HYOK (AD RMS) .On the Protection blade, select Azure (cloud key) or HYOK (AD RMS).

    Na maioria dos casos, selecione Azure (chave de nuvem) para suas configurações de permissão.In most cases, select Azure (cloud key) for your permission settings. Não selecione HYOK (AD RMS) , a menos que tenha lido e compreendido os pré-requisitos e as restrições que acompanham esta configuração de "tenha a sua própria chave" (HYOK).Do not select HYOK (AD RMS) unless you have read and understood the prerequisites and restrictions that accompany this "hold your own key" (HYOK) configuration. Para obter mais informações, veja Requisitos e restrições de Tenha a sua própria chave (HYOK) para proteção do AD RMS.For more information, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection. Para continuar a configuração para HYOK (AD RMS), avance para o passo 9.To continue the configuration for HYOK (AD RMS), go to step 9.

  6. Selecione uma das seguintes opções:Select one of the following options:

    • Definir permissões: Para definir novas configurações de proteção neste portal.Set permissions: To define new protection settings in this portal.

    • Definir permissões definidas pelo usuário (versão prévia) : Para permitir que os usuários especifiquem quem deve receber permissões e quais são essas permissões.Set user-defined permissions (Preview): To let users specify who should be granted permissions and what those permissions are. Você pode refinar essa opção e escolher somente o Outlook ou o Word, o Excel, o PowerPoint e o explorador de arquivos.You can then refine this option and choose Outlook only, or Word, Excel, PowerPoint, and File Explorer. Essa opção não tem suporte e não funciona quando um rótulo é configurado para classificação automática.This option is not supported, and does not work, when a label is configured for automatic classification.

      Se você escolher a opção para o Outlook: O rótulo é exibido no Outlook e o comportamento resultante quando os usuários aplicam o rótulo é o mesmo que a opção não encaminhar .If you choose the option for Outlook: The label is displayed in Outlook and the resulting behavior when users apply the label is the same as the Do Not Forward option.

      Se você escolher a opção para Word, Excel, PowerPoint e explorador de arquivos: Quando essa opção é definida, o rótulo é exibido nesses aplicativos.If you choose the option for Word, Excel, PowerPoint, and File Explorer: When this option is set, the label is displayed in these applications. O comportamento resultante quando os usuários aplicam o rótulo é exibir a caixa de diálogo para que os usuários selecionem permissões personalizadas.The resulting behavior when users apply the label is to display the dialog box for users to select custom permissions. Nessa caixa de diálogo, os usuários escolhem um dos níveis de permissõespredefinidos, procuram ou especificam os usuários ou grupos e, opcionalmente, definem uma data de expiração.In this dialog box, users choose one of the predefined permissions levels, browse to or specify the users or groups, and optionally, set an expiry date. Verifique se os usuários têm instruções e orientações sobre como fornecer esses valores.Make sure that users have instructions and guidance how to supply these values.

    • Selecione um modelo predefinido: Para usar um dos modelos padrão ou um modelo personalizado que você configurou.Select a predefined template: To use one of the default templates or a custom template that you've configured. Observe que essa opção não exibe novos rótulos, ou se você estiver editando um rótulo que anteriormente usava a opção set Permissions .Note that this option does not display for new labels, or if you are editing a label that previously used the Set permissions option.

      Para selecionar um modelo predefinido, o modelo deve ser publicado (não arquivado) e já não deve estar vinculado a outro rótulo.To select a predefined template, the template must be published (not archived) and must not be linked already to another label. Ao selecionar essa opção, você pode usar um botão Editar modelo para converter o modelo em um rótulo.When you select this option, you can use an Edit Template button to convert the template into a label.

      Se você estiver acostumado a criar e editar modelos personalizados, talvez seja útil fazer referência a tarefas que você costumava fazer com o portal clássico do Azure.If you are used to creating and editing custom templates, you might find it useful to reference Tasks that you used to do with the Azure classic portal.

  7. Se você selecionou definir permissões para o Azure (chave de nuvem) , essa opção permite selecionar usuários e direitos de uso.If you selected Set permissions for Azure (cloud key), this option lets you select users and usage rights.

    Se você não selecionar nenhum usuário e selecionar OK nessa folha, seguido por salvar na folha rótulo : O rótulo é configurado para aplicar proteção, de modo que apenas a pessoa que aplica o rótulo possa abrir o documento ou email sem restrições.If you don't select any users and select OK on this blade, followed by Save on the Label blade: The label is configured to apply protection such that only the person who applies the label can open the document or email with no restrictions. Essa configuração às vezes é conhecida como "apenas para mim" e pode ser o resultado necessário, para que um usuário possa salvar um arquivo em qualquer local e ter certeza de que apenas eles podem abri-lo.This configuration is sometimes referred to as "Just for me" and might be the required outcome, so that a user can save a file to any location and be assured that only they can open it. Se esse resultado corresponder ao seu requisito e outros não forem solicitados a colaborar com o conteúdo protegido, não selecione adicionar permissões.If this outcome matches your requirement and others are not required to collaborate on the protected content, do not select Add permissions. Depois de salvar o rótulo, na próxima vez que abrir essa folha de proteção , você verá IPC_USER_ID_OWNER exibido para os usuáriose coproprietário exibido para permissões para refletir essa configuração.After saving the label, the next time you open this Protection blade, you see IPC_USER_ID_OWNER displayed for Users, and Co-Owner displayed for Permissions to reflect this configuration.

    Para especificar os usuários que você deseja que sejam capazes de abrir documentos e emails protegidos, selecione adicionar permissões.To specify the users you want to be able to open protected documents and emails, select Add permissions. Em seguida, na folha adicionar permissões , selecione o primeiro conjunto de usuários e grupos que terão direitos para usar o conteúdo que será protegido pelo rótulo selecionado:Then on the Add permissions blade, select the first set of users and groups who will have rights to use the content that will be protected by the selected label:

    • Escolha selecionar na lista em que você pode adicionar todos os usuários da sua organização selecionando Adicionar <nome da Organização >-todos os membros.Choose Select from the list where you can then add all users from your organization by selecting Add <organization name> - All members. Essa configuração exclui contas de convidado.This setting excludes guest accounts. Ou, você pode selecionar adicionar qualquer usuário autenticadoou procurar o diretório.Or, you can select Add any authenticated users, or browse the directory.

      Quando você escolhe todos os membros ou procura o diretório, os usuários ou grupos devem ter um endereço de email.When you choose all members or browse the directory, the users or groups must have an email address. Em um ambiente de produção, os usuários e grupos quase sempre têm um endereço de email, mas em um ambiente de teste simples, talvez seja necessário adicionar endereços de email a grupos ou contas de usuário.In a production environment, users and groups nearly always have an email address, but in a simple testing environment, you might need to add email addresses to user accounts or groups.

      Mais informações sobre como adicionar qualquer usuário autenticadoMore information about Add any authenticated users

      Essa configuração não restringe quem pode acessar o conteúdo que o rótulo protege, enquanto ainda está criptografando o conteúdo e fornecendo opções para restringir como o conteúdo pode ser usado (permissões) e acessado (expiração e acesso offline).This setting doesn't restrict who can access the content that the label protects, while still encrypting the content and providing you with options to restrict how the content can be used (permissions), and accessed (expiry and offline access). No entanto, o aplicativo que abre o conteúdo protegido deve ser capaz de dar suporte à autenticação que está sendo usada.However, the application opening the protected content must be able to support the authentication being used. Por esse motivo, provedores sociais federados, como o Google, e a autenticação de senha de OneTime devem ser usados somente para email e somente quando você usa o Exchange Online e os novos recursos da criptografia de mensagens do Office 365.For this reason, federated social providers such as Google, and onetime passcode authentication should be used for email only, and only when you use Exchange Online and the new capabilities from Office 365 Message Encryption. As contas da Microsoft podem ser usadas com o Visualizador da proteção de informações do Azure e os aplicativos do Office 365 (clique para executar).Microsoft accounts can be used with the Azure Information Protection viewer and Office 365 apps (Click-to-Run).

      Alguns cenários típicos para a configuração de qualquer usuário autenticado:Some typical scenarios for the any authenticated users setting:

      • Você não se importa com quem exibe o conteúdo, mas deseja restringir como ele é usado.You don't mind who views the content, but you want to restrict how it is used. Por exemplo, você não deseja que o conteúdo seja editado, copiado ou impresso.For example, you do not want the content to be edited, copied, or printed.
      • Você não precisa restringir quem acessa o conteúdo, mas deseja poder controlar quem o abre e, potencialmente, revogá-lo.You don't need to restrict who accesses the content, but you want to be able to track who opens it and potentially, revoke it.
      • Você tem um requisito de que o conteúdo deve ser criptografado em repouso e em trânsito, mas não requer controles de acesso.You have a requirement that the content must be encrypted at rest and in transit, but it doesn't require access controls.
    • Escolha Inserir detalhes para especificar manualmente os endereços de email para usuários individuais ou grupos (internos ou externos).Choose Enter details to manually specify email addresses for individual users or groups (internal or external). Ou use essa opção para especificar todos os usuários em outra organização, inserindo qualquer nome de domínio dessa organização.Or, use this option to specify all users in another organization by entering any domain name from that organization. Você também pode usar essa opção para provedores sociais, inserindo seu nome de domínio, como gmail.com, hotmail.comou Outlook.com.You can also use this option for social providers, by entering their domain name such as gmail.com, hotmail.com, or outlook.com.

      Nota

      Se um endereço de email for alterado depois que você selecionar o usuário ou grupo, consulte a seção considerações se os endereços de email mudarem da documentação de planejamento.If an email address changes after you select the user or group, see the Considerations if email addresses change section from the planning documentation.

      Como prática recomendada, use grupos em vez de usuários.As a best practice, use groups rather than users. Essa estratégia mantém sua configuração mais simples e torna menos provável que você precise atualizar sua configuração de rótulo posteriormente e, em seguida, proteger novamente o conteúdo.This strategy keeps your configuration simpler and makes it less likely that you have to update your label configuration later and then reprotect content. No entanto, se fizer alterações ao grupo, tenha em atenção que, por motivos de desempenho, o Azure Rights Management coloca a associação do grupo em cache.However, if you make changes to the group, keep in mind that for performance reasons, Azure Rights Management caches the group membership.

    Quando você tiver especificado o primeiro conjunto de usuários e grupos, selecione as permissões para conceder esses usuários e grupos.When you have specified the first set of users and groups, select the permissions to grant these users and groups. Para obter mais informações sobre as permissões que você pode selecionar, consulte Configuring Usage Rights for Azure Information Protection.For more information about the permissions that you can select, see Configuring usage rights for Azure Information Protection. No entanto, os aplicativos que dão suporte a essa proteção podem variar em como implementam essas permissões.However, applications that support this protection might vary in how they implement these permissions. Veja a respetiva documentação e faça os seus próprios testes com as aplicações que os utilizadores usam para verificar o comportamento antes de implementar o modelo para os utilizadores.Consult their documentation and do your own testing with the applications that users use to check the behavior before you deploy the template for users.

    Se necessário, agora você pode adicionar um segundo conjunto de usuários e grupos com direitos de uso.If required, you can now add a second set of users and groups with usage rights. Repita até que você tenha especificado todos os usuários e grupos com suas respectivas permissões.Repeat until you have specified all the users and groups with their respective permissions.

    Dica

    Considere adicionar a permissão personalizada salvar como, exportar (exportar) e conceder essa permissão a administradores de recuperação de dados ou pessoal em outras funções que têm responsabilidades para recuperação de informações.Consider adding the Save As, Export (EXPORT) custom permission and grant this permission to data recovery administrators or personnel in other roles that have responsibilities for information recovery. Se necessário, esses usuários podem remover a proteção de arquivos e emails que serão protegidos usando este rótulo ou modelo.If needed, these users can then remove protection from files and emails that will be protected by using this label or template. Essa capacidade de remover a proteção no nível de permissão para um documento ou email fornece um controle mais refinado do que o recursode superusuário.This ability to remove protection at the permission level for a document or email provides more fine-grained control than the super user feature.

    Para todos os usuários e grupos que você especificou, na folha proteção , agora Verifique se você deseja fazer alterações nas configurações a seguir.For all the users and groups that you specified, on the Protection blade, now check whether you want to make any changes to the following settings. Note que estas definições, assim como acontece com as permissões, não se aplicam ao Emissor ou proprietário do Rights Management, ou qualquer super utilizador que atribuiu.Note that these settings, as with the permissions, do not apply to the Rights Management issuer or Rights Management owner, or any super user that you have assigned.

    Informações sobre as configurações de proteçãoInformation about the protection settings
    DefiniçãoSetting Mais informaçõesMore information Definição recomendadaRecommended setting
    Expiração do conteúdo do arquivoFile Content Expiration Defina uma data ou número de dias para quando os documentos protegidos por essas configurações não devem ser abertos para os usuários selecionados.Define a date or number of days for when documents that are protected by these settings should not open for the selected users. Para emails, a expiração nem sempre é imposta devido a mecanismos de cache usados por alguns clientes de email.For emails, expiration isn't always enforced because of caching mechanisms used by some email clients.

    Pode especificar uma data ou um número de dias, começando pelo momento em que a proteção foi aplicada ao conteúdo.You can specify a date or specify a number of days starting from the time that the protection is applied to the content.

    Quando especificar uma data, a mesma é efetiva a partir da meia-noite no seu fuso horário atual.When you specify a date, it is effective midnight, in your current time zone.
    O conteúdo nunca expira exceto se o conteúdo tiver um requisito controlado por um tempo específico.Content never expires unless the content has a specific time-bound requirement.
    Permitir acesso offlineAllow offline access Utilize esta definição para equilibrar quaisquer requisitos de segurança que tem (inclui acesso após revogação) com a capacidade de os utilizadores selecionados abrirem o conteúdo protegido quando não têm uma ligação à Internet.Use this setting to balance any security requirements that you have (includes access after revocation) with the ability for the selected users to open protected content when they don't have an Internet connection.

    Se você especificar que o conteúdo não está disponível sem uma conexão com a Internet ou que o conteúdo está disponível somente por um determinado número de dias, quando esse limite for atingido, esses usuários deverão ser reautenticados e seu acesso será registrado.If you specify that content is not available without an Internet connection or that content is only available for a specified number of days, when that threshold is reached, these users must be reauthenticated and their access is logged. Quando isto acontecer, se as respetivas credenciais não estiverem colocadas em cache, é pedido aos utilizadores que iniciem sessão antes de poderem abrir o documento ou e-mail.When this happens, if their credentials are not cached, the users are prompted to sign in before they can open the document or email.

    Além da reautenticação, a política e a associação de grupo de usuários são reavaliadas.In addition to reauthentication, the policy and the user group membership is reevaluated. Isto significa que os utilizadores podem experienciar resultados de acesso diferentes para o mesmo documento ou e-mail, se existirem alterações na associação de política ou grupo resultantes da última vez a que acederam ao conteúdo.This means that users could experience different access results for the same document or email if there are changes in the policy or group membership from when they last accessed the content. Tal pode retirar o acesso se o documento tiver sido revogado.That could include no access if the document has been revoked.
    Dependendo do nível de confidencialidade do conteúdo:Depending on how sensitive the content is:

    - Número de dias em que o conteúdo está disponível sem ligação à Internet = 7 para dados empresariais confidenciais que podem causar danos ao negócio se forem partilhados com pessoas não autorizadas.- Number of days the content is available without an Internet connection = 7 for sensitive business data that could cause damage to the business if shared with unauthorized people. Esta recomendação proporciona um bom equilíbrio entre flexibilidade e segurança.This recommendation offers a balanced compromise between flexibility and security. Os exemplos incluem contratos, relatórios de segurança, resumos de previsões e dados de conta de vendas.Examples include contracts, security reports, forecast summaries, and sales account data.

    - Nunca para dados empresariais altamente confidenciais que iriam causar danos à empresa se fossem partilhados com pessoas não autorizadas.- Never for very sensitive business data that would cause damage to the business if it was shared with unauthorized people. Esta recomendação prioriza a segurança sobre a flexibilidade e garante que se o documento tiver sido revogado, todos os utilizadores autorizados imediatamente não podem abrir o documento.This recommendation prioritizes security over flexibility, and ensures that if the document is revoked, all authorized users immediately cannot open the document. Exemplos: informações dos funcionários e clientes, palavras-passe, código de origem e relatórios financeiros previamente anunciados.Examples include employee and customer information, passwords, source code, and pre-announced financial reports.

    Quando terminar de definir as permissões e as configurações, clique em OK.When you have finished configuring the permissions and settings, click OK.

    Este agrupamento de definições cria um modelo personalizado para o serviço Azure Rights Management.This grouping of settings creates a custom template for the Azure Rights Management service. Estes modelos podem ser utilizados com aplicações e serviços que se integram no Azure Rights Management.These templates can be used with applications and services that integrate with Azure Rights Management. Para obter mais informações sobre como os computadores e os serviços transferem e atualizam estes modelos, veja Atualizar modelos para utilizadores e serviços.For information about how computers and services download and refresh these templates, see Refreshing templates for users and services.

  8. Se você selecionou selecionar um modelo predefinido para o Azure (chave de nuvem) , clique na caixa suspensa e selecione o modelo que deseja usar para proteger documentos e emails com este rótulo.If you selected Select a predefined template for Azure (cloud key), click the drop-down box and select the template that you want to use to protect documents and emails with this label. Você não vê modelos arquivados ou modelos que já estão selecionados para outro rótulo.You do not see archived templates or templates that are already selected for another label.

    Se você selecionar um modelo departamentalou se tiver configurado controles de integração:If you select a departmental template, or if you have configured onboarding controls:

    • Os usuários que estão fora do escopo configurado do modelo ou que foram excluídos da aplicação da proteção de Rights Management do Azure ainda veem o rótulo, mas não podem aplicá-lo.Users who are outside the configured scope of the template or who are excluded from applying Azure Rights Management protection still see the label but cannot apply it. Se eles selecionarem o rótulo, eles verão a seguinte mensagem: A proteção de informações do Azure não pode aplicar este rótulo. Se este problema persistir, contacte o seu administrador.If they select the label, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

      Observe que todos os modelos publicados são sempre mostrados, mesmo se você estiver configurando uma política com escopo.Note that all published templates are always shown, even if you are configuring a scoped policy. Por exemplo, está a configurar uma política de âmbito para o grupo de Marketing.For example, you are configuring a scoped policy for the Marketing group. Os modelos que você pode selecionar não são restritos a modelos que têm o escopo definido para o grupo de marketing e é possível selecionar um modelo departamental que os usuários selecionados não podem usar.The templates that you can select are not restricted to templates that are scoped to the Marketing group and it's possible to select a departmental template that your selected users cannot use. Para facilitar a configuração e para minimizar a resolução de problemas, considere atribuir ao modelo departamental o mesmo nome da etiqueta na sua política de âmbito.For ease of configuration and to minimize troubleshooting, consider naming the departmental template to match the label in your scoped policy.

  9. Se você selecionou HYOK (AD RMS) , selecione definir detalhes dos modelos de AD RMS ou definir permissões definidas pelo usuário (versão prévia) .If you selected HYOK (AD RMS), select either Set AD RMS templates details or Set user defined permissions (Preview). Em seguida, especifique a URL de licenciamento do cluster AD RMS.Then specify the licensing URL of your AD RMS cluster.

    Para obter instruções para especificar um GUID de modelo e sua URL de licenciamento, consulte localizando as informações para especificar a proteção de AD RMS com um rótulo de proteção de informações do Azure.For instructions to specify a template GUID and your licensing URL, see Locating the information to specify AD RMS protection with an Azure Information Protection label.

    A opção permissões definidas pelo usuário permite que os usuários especifiquem quem deve ter permissões concedidas e quais são essas permissões.The user-defined permissions option lets users specify who should be granted permissions and what those permissions are. Você pode refinar essa opção e escolher somente o Outlook (o padrão) ou o Word, o Excel, o PowerPoint e o explorador de arquivos.You can then refine this option and choose Outlook only (the default), or Word, Excel, PowerPoint, and File Explorer. Essa opção não tem suporte e não funciona quando um rótulo é configurado para classificação automática.This option is not supported, and does not work, when a label is configured for automatic classification.

    Se você escolher a opção para o Outlook: O rótulo é exibido no Outlook e o comportamento resultante quando os usuários aplicam o rótulo é o mesmo que a opção não encaminhar .If you choose the option for Outlook: The label is displayed in Outlook and the resulting behavior when users apply the label is the same as the Do Not Forward option.

    Se você escolher a opção para Word, Excel, PowerPoint e explorador de arquivos: Quando essa opção é definida, o rótulo é exibido nesses aplicativos.If you choose the option for Word, Excel, PowerPoint, and File Explorer: When this option is set, the label is displayed in these applications. O comportamento resultante quando os usuários aplicam o rótulo é exibir a caixa de diálogo para que os usuários selecionem permissões personalizadas.The resulting behavior when users apply the label is to display the dialog box for users to select custom permissions. Nessa caixa de diálogo, os usuários escolhem um dos níveis de permissõespredefinidos, procuram ou especificam os usuários ou grupos e, opcionalmente, definem uma data de expiração.In this dialog box, users choose one of the predefined permissions levels, browse to or specify the users or groups, and optionally, set an expiry date. Verifique se os usuários têm instruções e orientações sobre como fornecer esses valores.Make sure that users have instructions and guidance how to supply these values.

  10. Clique em OK para fechar a folha proteção e ver sua escolha de definido pelo usuário ou o modelo escolhido exibição para a opção proteção na folha rótulo .Click OK to close the Protection blade and see your choice of User defined or your chosen template display for the Protection option in the Label blade.

  11. No painel Etiqueta, clique em Guardar.On the Label blade, click Save.

  12. Na folha proteção de informações do Azure , use a coluna proteção para confirmar se o rótulo agora exibe a configuração de proteção que você deseja:On the Azure Information Protection blade, use the PROTECTION column to confirm that your label now displays the protection setting that you want:

    • Uma marca de seleção se você tiver configurado A proteção.A check mark if you have configured protection.

    • Uma marca x para indicar cancelamento se você tiver configurado um rótulo para remover a proteção.An x mark to denote cancellation if you have configured a label to remove protection.

    • Um campo em branco quando a proteção não está definida.A blank field when protection is not set.

Quando você clicou em salvar, suas alterações ficam automaticamente disponíveis para usuários e serviços.When you clicked Save, your changes are automatically available to users and services. Não há mais uma opção de publicação separada.There's no longer a separate publish option.

Configurações de exemploExample configurations

Os subrótulos todos os funcionários e destinatários dos rótulos confidencial e alto da política padrão fornecem exemplos de como você pode configurar rótulos que aplicam proteção.The All Employees and Recipients Only sublabels from the Confidential and High Confidential labels from the default policy provide examples of how you can configure labels that apply protection. Você também pode usar os exemplos a seguir para ajudá-lo a configurar a proteção para diferentes cenários.You can also use the following examples to help you configure protection for different scenarios.

Para cada exemplo a seguir, em seu < nome de rótulo> folha, selecione proteger.For each example that follows, on your <label name> blade, select Protect. Se a folha proteção não abrir automaticamente, selecione proteção para abrir esta folha que permite que você selecione as opções de configuração de proteção:If the Protection blade doesn't automatically open, select Protection to open this blade that lets you select your protection configuration options:

Configurar um rótulo de proteção de informações do Azure para proteção

Exemplo 1: Rótulo que se aplica não encaminhar para enviar um email protegido para uma conta do gmailExample 1: Label that applies Do Not Forward to send a protected email to a Gmail account

Esse rótulo está disponível apenas no Outlook e é adequado quando o Exchange Online é configurado para os novos recursos na criptografia de mensagens do Office 365.This label is available only in Outlook and is suitable when Exchange Online is configured for the new capabilities in Office 365 Message Encryption. Instrua os usuários a selecionarem esse rótulo quando precisarem enviar um email protegido para pessoas que usam uma conta do gmail (ou qualquer outra conta de email fora da sua organização).Instruct users to select this label when they need to send a protected email to people using a Gmail account (or any other email account outside your organization).

Os usuários digitam o endereço de email do Gmail na caixa para .Your users type the Gmail email address in the To box. Em seguida, eles selecionam o rótulo e a opção não encaminhar é automaticamente adicionada ao email.Then, they select the label and the Do Not Forward option is automatically added to the email. O resultado é que os destinatários não podem encaminhar o email, imprimi-lo, copiá-lo, salvar anexos ou salvar o email como um nome diferente.The result is that recipients cannot forward the email, or print it, copy from it, or save attachments, or save the email as a different name.

  1. Na folha proteção , verifique se Azure (chave de nuvem) está selecionado.On the Protection blade, make sure that Azure (cloud key) is selected.

  2. Selecione definir permissões definidas pelo usuário (versão prévia) .Select Set user-defined permissions (Preview).

  3. Certifique-se de que a opção a seguir esteja selecionada: No Outlook, aplique não encaminhar.Make sure that the following option is selected: In Outlook apply Do Not Forward.

  4. Se selecionado, desmarque a seguinte opção: No Word, Excel, PowerPoint e explorador de arquivos, solicite ao usuário permissões personalizadas.If selected, clear the following option: In Word, Excel, PowerPoint and File Explorer prompt user for custom permissions.

  5. Clique em OK na folha proteção e, em seguida, clique em salvar na folha rótulo .Click OK on the Protection blade, and then click Save on the Label blade.

Exemplo 2: Rótulo que restringe a permissão somente leitura para todos os usuários em outra organização e que dá suporte à revogação imediataExample 2: Label that restricts read-only permission to all users in another organization, and that supports immediate revocation

Esse rótulo é adequado para compartilhamento de documentos muito sensíveis (somente leitura) que sempre exigem uma conexão com a Internet para exibi-lo.This label is suitable for sharing (read-only) very sensitive documents that always require an Internet connection to view it. Se revogado, os usuários não poderão exibir o documento na próxima vez que tentarem abri-lo.If revoked, users will not be able to view the document the next time they try to open it.

Este rótulo não é adequado para emails.This label is not suitable for emails.

  1. Na folha proteção , verifique se Azure (chave de nuvem) está selecionado.On the Protection blade, make sure that Azure (cloud key) is selected.

  2. Verifique se a opção definir permissões está selecionada e, em seguida, selecione adicionar permissões.Make sure that the Set permissions option is selected, and then select Add permissions.

  3. Na folha adicionar permissões , selecione Inserir detalhes.On the Add permissions blade, select Enter details.

  4. Insira o nome de um domínio da outra organização, por exemplo, fabrikam.com.Enter the name of a domain from the other organization, for example, fabrikam.com. Em seguida, selecione Adicionar.Then select Add.

  5. Em escolher permissões da predefinição, selecione Visualizadore, em seguida, selecione OK.From Choose permissions from preset, select Viewer, and then select OK.

  6. De volta à folha proteção , para permitir a configuração de acesso offline, selecione nunca.Back on the Protection blade, for Allow offline access setting, select Never.

  7. Clique em OK na folha proteção e, em seguida, clique em salvar na folha rótulo .Click OK on the Protection blade, and then click Save on the Label blade.

Exemplo 3: Adicionar usuários externos a um rótulo existente que protege o conteúdoExample 3: Add external users to an existing label that protects content

Os novos usuários que você adicionar poderão abrir documentos e emails que já foram protegidos com esse rótulo.The new users that you add will be able open documents and emails that have already been protected with this label. As permissões concedidas a esses usuários podem ser diferentes das permissões que os usuários existentes têm.The permissions that you grant these users can be different from the permissions that the existing users have.

  1. Na folha proteção , verifique se Azure (chave de nuvem) está selecionado.On the Protection blade, make sure Azure (cloud key) is selected.

  2. Verifique se definir permissões está selecionado e, em seguida, selecione adicionar permissões.Ensure that Set permissions is selected, and then select Add permissions.

  3. Na folha adicionar permissões , selecione Inserir detalhes.On the Add permissions blade, select Enter details.

  4. Insira o endereço de email do primeiro usuário (ou grupo) a ser adicionado e, em seguida, selecione Adicionar.Enter the email address of the first user (or group) to add, and then select Add.

  5. Selecione as permissões para este usuário (ou grupo).Select the permissions for this user (or group).

  6. Repita as etapas 4 e 5 para cada usuário (ou grupo) que você deseja adicionar a este rótulo.Repeat steps 4 and 5 for each user (or group) that you want to add to this label. Em seguida, clique em OK.Then click OK.

  7. Clique em OK na folha proteção e, em seguida, clique em salvar na folha rótulo .Click OK on the Protection blade, and then click Save on the Label blade.

Exemplo 4: Rótulo para email protegido que dá suporte a permissões menos restritivas do que não encaminharExample 4: Label for protected email that supports less restrictive permissions than Do Not Forward

Este rótulo não pode ser restrito ao Outlook, mas fornece controles menos restritivos do que o uso de não encaminhar.This label cannot be restricted to Outlook but does provide less restrictive controls than using Do Not Forward. Por exemplo, você deseja que os destinatários possam copiar do email ou de um anexo, ou salvar e editar um anexo.For example, you want the recipients to be able to copy from the email or an attachment, or save and edit an attachment.

Se você especificar usuários externos que não têm uma conta no Azure AD:If you specify external users who do not have an account in Azure AD:

  • O rótulo é adequado para email quando o Exchange Online está usando os novos recursos da criptografia de mensagens do Office 365.The label is suitable for email when Exchange Online is using the new capabilities in Office 365 Message Encryption.

  • Para anexos do Office protegidos automaticamente, esses documentos estão disponíveis para exibição em um navegador.For Office attachments that are automatically protected, these documents are available to view in a browser. Para editar esses documentos, baixe e edite-os com os aplicativos do Office 365 (clique para executar) e um conta Microsoft que usa o mesmo endereço de email.To edit these documents, download and edit them with Office 365 apps (Click-to-Run), and a Microsoft account that uses the same email address. Mais informaçõesMore information

Nota

O Exchange Online está distribuindo uma nova opção, somente criptografia.Exchange Online is rolling out a new option, Encrypt-Only. Essa opção não está disponível para configuração de rótulo.This option is not available for label configuration. No entanto, quando você sabe quem são os destinatários, pode usar este exemplo para configurar um rótulo com o mesmo conjunto de direitos de uso.However, when you know who the recipients will be, you can use this example to configure a label with the same set of usage rights.

Quando os usuários especificarem os endereços de email na caixa para , os endereços deverão ser para os mesmos usuários que você especificar para essa configuração de rótulo.When your users specify the email addresses in the To box, the addresses must be for the same users that you specify for this label configuration. Como os usuários podem pertencer a grupos e ter mais de um endereço de email, o endereço de email que eles especificam não precisa corresponder ao endereço de email que você especificar para as permissões.Because users can belong to groups and have more than one email address, the email address that they specify does not have to match the email address that you specify for the permissions. No entanto, especificar o mesmo endereço de email é a maneira mais fácil de garantir que o destinatário será autorizado com êxito.However, specifying the same email address is the easiest way to ensure that the recipient will be successfully authorized. Para obter mais informações sobre como os usuários são autorizados para permissões, consulte preparando usuários e grupos para a proteção de informações do Azure.For more information about how users are authorized for permissions, see Preparing users and groups for Azure Information Protection.

  1. Na folha proteção , verifique se Azure (chave de nuvem) está selecionado.On the Protection blade, make sure that Azure (cloud key) is selected.

  2. Verifique se definir permissões está selecionado e selecione adicionar permissões.Make sure Set permissions is selected, and select Add permissions.

  3. Na folha adicionar permissões : Para conceder permissões a usuários em sua organização, selecione Adicionar <nome da Organização >-todos os membros para selecionar todos os usuários em seu locatário.On the Add permissions blade: To grant permissions to users in your organization, select Add <organization name> - All members to select all users in your tenant. Essa configuração exclui contas de convidado.This setting excludes guest accounts. Ou selecione procurar diretório para selecionar um grupo específico.Or, select Browse directory to select a specific group. Para conceder permissões a usuários externos ou se preferir digitar o endereço de email, selecione Inserir detalhes e digite o endereço de email do usuário ou o grupo do Azure ad ou um nome de domínio.To grant permissions to external users or if you prefer to type the email address, select Enter details and type the email address of the user, or Azure AD group, or a domain name.

    Repita essa etapa para especificar usuários adicionais que devem ter as mesmas permissões.Repeat this step to specify additional users who should have the same permissions.

  4. Para escolher permissões de predefinição,selecione coproprietário,coautor, revisorou personalizado para selecionar as permissões que você deseja conceder.For Choose permissions from preset, select Co-Owner, Co-Author, Reviewer, or Custom to select the permissions that you want to grant.

    Nota: Não selecione Visualizador para emails e, se você selecionar personalizado, certifique-se de incluir Editar e salvar.Note: Do not select Viewer for emails and if you do select Custom, make sure that you include Edit and Save.

    Para selecionar as mesmas permissões que correspondem à nova opção somente criptografia do Exchange Online, selecione personalizado.To select the same permissions that match the new Encrypt-Only option from Exchange Online, select Custom. Em seguida, selecione todas as permissões, exceto salvar como, exportar (exportar) e controle total (proprietário) .Then select all permissions except Save As, Export (EXPORT) and Full Control (OWNER).

  5. Para especificar usuários adicionais que devem ter permissões diferentes, repita as etapas 3 e 4.To specify additional users who should have different permissions, repeat steps 3 and 4.

  6. Clique em OK na folha adicionar permissões .Click OK on the Add permissions blade.

  7. Clique em OK na folha proteção e, em seguida, clique em salvar na folha rótulo .Click OK on the Protection blade, and then click Save on the Label blade.

Exemplo 5: Rótulo que criptografa o conteúdo, mas não restringe quem pode acessá-loExample 5: Label that encrypts content but doesn't restrict who can access it

Essa configuração tem a vantagem de que você não precisa especificar usuários, grupos ou domínios para proteger um email ou documento.This configuration has the advantage that you don't need to specify users, groups, or domains to protect an email or document. O conteúdo ainda será criptografado e você ainda poderá especificar direitos de uso, uma data de expiração e acesso offline.The content will still be encrypted and you can still specify usage rights, an expiry date, and offline access. Use essa configuração somente quando não for necessário restringir quem pode abrir o documento ou email protegido.Use this configuration only when you do not need to restrict who can open the protected document or email. Mais informações sobre essa configuraçãoMore information about this setting

  1. Na folha proteção , verifique se Azure (chave de nuvem) está selecionado.On the Protection blade, make sure Azure (cloud key) is selected.

  2. Verifique se definir permissões está selecionado e, em seguida, selecione adicionar permissões.Make sure Set permissions is selected, and then select Add permissions.

  3. Na folha adicionar permissões , na guia selecionar na lista , selecione adicionar qualquer usuário autenticado.On the Add permissions blade, on the Select from the list tab, select Add any authenticated users.

  4. Selecione as permissões desejadas e clique em OK.Select the permissions you want, and click OK.

  5. De volta à folha proteção , defina as configurações de expiração do conteúdo do arquivo e permita o acesso offline, se necessário, e clique em OK.Back on the Protection blade, configure settings for File Content Expiration and Allow offline access, if needed, and then click OK.

  6. Na folha rótulo , selecione salvar.On the Label blade, select Save.

Exemplo 6: Rótulo que aplica a proteção "apenas para mim"Example 6: Label that applies "Just for me" protection

Essa configuração oferece o oposto de colaboração segura para documentos: Com exceção de um superusuário, somente a pessoa que aplica o rótulo pode abrir o conteúdo protegido, sem restrições.This configuration offers the opposite of secure collaboration for documents: With the exception of a super user, only the person who applies the label can open the protected content, without any restrictions. Essa configuração é geralmente conhecida como proteção "apenas para mim" e é adequada quando um usuário deseja salvar um arquivo em qualquer local e ter certeza de que apenas eles podem abri-lo.This configuration is often referred to as "Just for me" protection and is suitable when a user wants to save a file to any location and be assured that only they can open it.

A configuração de rótulo é enganosamente simples:The label configuration is deceptively simple:

  1. Na folha proteção , verifique se Azure (chave de nuvem) está selecionado.On the Protection blade, make sure Azure (cloud key) is selected.

  2. Selecione OK sem selecionar nenhum usuário ou definir qualquer configuração nessa folha.Select OK without selecting any users, or configuring any settings on this blade.

    Embora você possa definir as configurações de expiração do conteúdo do arquivo e permitir o acesso offline, quando você não especifica os usuários e suas estes, essas configurações de acesso não são aplicáveis.Although you can configure settings for File Content Expiration and Allow offline access, when you do not specify users and their permisisons, these access settings are not applicable. Isso ocorre porque a pessoa que aplica a proteção é o Rights Management emissor do conteúdo, e essa função é isenta dessas restrições de acesso.That's because the person who applies the protection is the Rights Management issuer for the content, and this role is exempt from these access restrictions.

  3. Na folha rótulo , selecione salvar.On the Label blade, select Save.

Passos SeguintesNext steps

Para mais informações sobre como configurar a política do Azure Information Protection, utilize as ligações na secção Configurar política da organização.For more information about configuring your Azure Information Protection policy, use the links in the Configuring your organization's policy section.

As regras de fluxo de mensagens do Exchange também podem aplicar proteção, com base em seus rótulos.Exchange mail flow rules can also apply protection, based on your labels. Para obter mais informações e exemplos, consulte Configurando regras de fluxo de email do Exchange Online para rótulos da proteção de informações do Azure.For more information and examples, see Configuring Exchange Online mail flow rules for Azure Information Protection labels.