Roteiro de implantação da AIP para classificação, rotulagem e proteçãoAIP deployment roadmap for classification, labeling, and protection

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente Azure Information Protection (clássico) e a Label Management no Portal Azure estão a ser depreciados a partir de 31 de março de 2021.To provide a unified and streamlined customer experience, Azure Information Protection client (classic) and Label Management in the Azure Portal are being deprecated as of March 31, 2021. Este prazo permite que todos os clientes atuais da Azure Information Protection transitem para a nossa solução de rotulagem unificada utilizando a plataforma de rotulagem unificada da Microsoft Information Protection.This time-frame allows all current Azure Information Protection customers to transition to our unified labeling solution using the Microsoft Information Protection Unified Labeling platform. Saiba mais no aviso oficial de depreciação.Learn more in the official deprecation notice.

Use os seguintes passos como recomendações para ajudá-lo a preparar, implementar e gerir a Proteção de Informação Azure para a sua organização, quando pretender classificar, rotular e proteger os seus dados.Use the following steps as recommendations to help you prepare for, implement, and manage Azure Information Protection for your organization, when you want to classify, label, and protect your data.

Este roteiro é recomendado para qualquer cliente com uma subscrição de suporte.This roadmap is recommended for any customers with a supporting subscription. As capacidades adicionais incluem a descoberta de informações sensíveis e documentos de rotulagem e e-mails para classificação.Additional capabilities include both discovering sensitive information and labeling documents and emails for classification.

As etiquetas também podem aplicar proteção, simplificando este passo para os seus utilizadores.Labels can also apply protection, simplifying this step for your users.

Este roteiro é suportado para ambas as etiquetas AIP criadas com o cliente clássico, e etiquetas de sensibilidade que usam a plataforma de rotulagem unificada.This roadmap is supported for both AIP labels created with the classic client, and sensitivity labels that use the unified labeling platform.

Dica

Em alternativa, poderá estar à procura de um dos seguintes artigos:Alternatively, you may be looking for one of the following articles:

Processo de implementaçãoDeployment process

Efetue os seguintes passos:Perform the following steps:

  1. Confirme a sua subscrição e atribua licenças de utilizadorConfirm your subscription and assign user licenses
  2. Prepare o seu inquilino para usar a Proteção de Informação AzurePrepare your tenant to use Azure Information Protection
  3. Configurar e implementar classificação e rotulagemConfigure and deploy classification and labeling
  4. Preparar para proteção de dadosPrepare for data protection
  5. Configurar etiquetas e configurações, aplicações e serviços para proteção de dadosConfigure labels and settings, applications, and services for data protection
  6. Utilize e monitorize as suas soluções de proteção de dadosUse and monitor your data protection solutions
  7. Administrar o serviço de proteção para a sua conta de inquilino, conforme necessárioAdminister the protection service for your tenant account as needed

Dica

Já utilizar a funcionalidade de proteção da Azure Information Protection?Already using the protection functionality from Azure Information Protection? Pode saltar muitos destes passos e concentrar-se nos passos 3 e 5.1.You can skip many of these steps and focus on steps 3 and 5.1.

Confirme a sua subscrição e atribua licenças de utilizadorConfirm your subscription and assign user licenses

Confirme que a sua organização tem uma subscrição que inclui a funcionalidade e funcionalidades que espera.Confirm that your organization has a subscription that includes the functionality and features you expect. Pode encontrar estes detalhes na página de preços da proteção de informação Azure.You can find these details on the Azure Information Protection Pricing page.

Em seguida, atribua licenças desta subscrição a cada utilizador da sua organização que irá classificar, rotular e proteger documentos e e-mails.Then, assign licenses from this subscription to each user in your organization who will classify, label, and protect documents and emails.

Importante

Não atribua manualmente licenças de utilizador do RMS gratuito para subscrição de indivíduos, e não utilize esta licença para administrar o serviço de Gestão de Direitos Azure para a sua organização.Do not manually assign user licenses from the free RMS for individuals subscription, and do not use this license to administer the Azure Rights Management service for your organization.

Estas licenças são apresentadas como Rights Management Adhoc no centro de administração microsoft 365, e RIGHTSMANAGEMENT_ADHOC quando você executar o cmdlet Azure AD PowerShell, Get-MsolAccountSku.These licenses display as Rights Management Adhoc in the Microsoft 365 admin center, and RIGHTSMANAGEMENT_ADHOC when you run the Azure AD PowerShell cmdlet, Get-MsolAccountSku.

Para obter mais informações, consulte RMS para indivíduos e Proteção de Informação Azure.For more information, see RMS for individuals and Azure Information Protection.

Prepare o seu inquilino para usar a Proteção de Informação AzurePrepare your tenant to use Azure Information Protection

Antes de começar a utilizar a Azure Information Protection, certifique-se de que tem contas e grupos de utilizadores no Microsoft 365 ou no Azure Ative Directory que a AIP pode utilizar para autenticar e autorizar os seus utilizadores.Before you begin using Azure Information Protection, make sure that you have user accounts and groups in Microsoft 365 or Azure Active Directory that AIP can use to authenticate and authorize your users.

Se necessário, crie estas contas e grupos ou sincronize-as a partir do seu diretório no local.If necessary, create these accounts and groups, or synchronize them from your on-premises directory.

Para obter mais informações, veja Preparar utilizadores e grupos para o Azure Information Protection.For more information, see Preparing users and groups for Azure Information Protection.

Configurar e implementar classificação e rotulagemConfigure and deploy classification and labeling

Determine se vai usar o clássico AIP ou o cliente unificado da AIP, ou se precisará de ambos os clientes.Determine whether you're going to use the AIP classic or the AIP unified labeling client, or if you'll need both clients.

  1. Determine qual o cliente que quer usar.Determine which client you want to use.

    Decida qual o cliente que precisa neste momento para saber qual o portal de gestão a utilizar ao configurar rótulos e definições de políticas.Decide which client you'll need at this point so that you know which management portal to use when configuring labels and policy settings.

    Para obter mais informações, consulte Escolha qual o cliente da Azure Information Protection a utilizar.For more information, see Choose which Azure Information Protection client to use.

  2. Digitalize os seus ficheiros (opcional, mas recomendado).Scan your files (optional but recommended).

    Implemente e execute o scanner AIP para descobrir a informação sensível que tem nas suas lojas de dados locais.Deploy and run the AIP scanner to discover the sensitive information you have on your local data stores. As informações que o scanner encontra podem ajudá-lo com a sua taxonomia de classificação, fornecer informações valiosas sobre quais as etiquetas que precisa e quais os ficheiros que precisa de proteção.The information that the scanner finds can help you with your classification taxonomy, provide valuable information about what labels you need, and which files need protecting.

    O modo de descoberta do scanner não requer qualquer configuração de etiqueta ou taxonomia, e é, portanto, adequado nesta fase inicial da sua implementação.The scanner discovery mode doesn't require any label configuration or taxonomy, and is therefore suitable at this early stage of your deployment. Também pode utilizar esta configuração do scanner em paralelo com os seguintes passos de implantação, até configurar a rotulagem recomendada ou automática.You can also use this scanner configuration in parallel with the following deployment steps, until you configure recommended or automatic labeling.

  3. Personalize a política AIP predefinida.Customize the default AIP policy.

    Se ainda não tiver uma estratégia de classificação, utilize a política de proteção de informação Azure padrão como base para determinar quais as etiquetas que necessitará para os seus dados.If you don't have a classification strategy yet, use the default Azure Information Protection policy as a basis for determining which labels you'll need for your data. Personalize estes rótulos conforme necessário para satisfazer as suas necessidades.Customize these labels as needed to meet your needs.

    Por exemplo, pode querer reconfigurar as suas etiquetas com os seguintes detalhes:For example, you may want to reconfigure your labels with the following details:

    • Certifique-se de que as suas etiquetas suportam as suas decisões de classificação.Make sure that your labels support your classification decisions.
    • Configure as políticas de rotulagem manual pelos utilizadoresConfigure policies for manual labeling by users
    • Escreva a orientação do utilizador para ajudar a explicar qual o rótulo que deve ser aplicado em cada cenário.Write user guidance to help explain which label should be applied in each scenario.
    • Se a sua política predefinida tiver sido criada com etiquetas que apliquem automaticamente proteção, é melhor remover temporariamente as definições de proteção ou desativar a etiqueta enquanto testa as suas definições.If your default policy was created with labels that automatically apply protection, you may want to temporarily remove the protection settings or disable the label while you test your settings.

    Para obter mais informações sobre como configurar os rótulos e as definições de política, consulte:For more information about how to configure the labels and policy settings, see:

  4. Desdobre o seu clienteDeploy your client

    Assim que tiver uma apólice configurada, coloque o cliente de rotulagem clássico e/ou unificado da Azure Information Protection para os seus utilizadores.Once you have a policy configured, deploy the Azure Information Protection classic and/or unified labeling client for your users. Fornecer formação ao utilizador e instruções específicas para selecionar as etiquetas.Provide user training and specific instructions when to select the labels.

    Para obter mais informações, consulte:For more information, see:

  5. Introduzir configurações mais avançadasIntroduce more advanced configurations

    Aguarde que os seus utilizadores se sintam mais confortáveis com etiquetas nos seus documentos e e-mails.Wait for your users to become more comfortable with labels on their documents and emails. Quando estiver pronto, introduza configurações avançadas, tais como:When you're ready, introduce advanced configurations, such as:

    • Aplicação de etiquetas predefinidasApplying default labels
    • Incitar os utilizadores a justificarem se escolherem um rótulo com um nível de classificação mais baixo ou removerem um rótuloPrompting users for justification if they chose a label with a lower classification level or remove a label
    • Obrigando a que todos os documentos e e-mails tenham um rótuloMandating that all documents and emails have a label
    • Personalização de cabeçalhos, rodapés ou marcas de águaCustomizing headers, footers, or watermarks
    • Rotulagem recomendada e automáticaRecommended and automatic labeling

    Para obter mais informações, consulte:For more information, see:

    Dica

    Se configurar as etiquetas para a rotulagem automática, volte a executar o scanner Azure Information Protection nas suas lojas de dados locais em modo de descoberta e para corresponder à sua política.If you've configured labels for automatic labeling, run the Azure Information Protection scanner again on your local data stores in discovery mode and to match your policy.

    Executar o scanner no modo de descoberta diz-lhe quais as etiquetas que seriam aplicadas aos ficheiros, o que o ajuda a afinar a configuração da etiqueta e prepara-o para classificar e proteger ficheiros a granel.Running the scanner in discovery mode tells you which labels would be applied to files, which helps you fine-tune your label configuration and prepares you for classifying and protecting files in bulk.

Preparar para proteção de dadosPrepare for data protection

Introduza a proteção de dados para os seus dados mais sensíveis assim que os utilizadores se sintam confortáveis a rotular documentos e e-mails.Introduce data protection for your most sensitive data once users become comfortable labeling documents and emails.

Executar os seguintes passos para preparar a proteção de dados:Perform the following steps to prepare for data protection:

  1. Determine como pretende gerir a chave do seu inquilino.Determine how you want to manage your tenant key.

    Decida se pretende que a Microsoft efetue a gestão da sua chave de inquilino (predefinição) ou se pretende gerar e gerir a sua chave de inquilino sozinho (conhecido como traga a sua própria chave ou BYOK).Decide whether you want Microsoft to manage your tenant key (the default), or generate and manage your tenant key yourself (known as bring your own key, or BYOK).

    Nota

    Dependendo do seu cliente, estão disponíveis opções adicionais para "manter a sua própria chave (HYOK)", ou encriptação de duas chaves para segurança adicional.Depending on your client, additional options to "hold your own key (HYOK)", or double-key encryption are available for additional security. ..

    Para mais informações, consulte Planeamento e implementação da chave do inquilino da Proteção de Informação AzureFor more information, see Planning and implementing your Azure Information Protection tenant key

  2. Instale o PowerShell para AIP.Install PowerShell for AIP.

    Instale o módulo PowerShell para AIPService em pelo menos um computador que tenha acesso à Internet.Install the PowerShell module for AIPService on at least one computer that has internet access. Pode efetuar este passo agora ou mais tarde.You can do this step now, or later.

    Para obter mais informações, consulte a instalação do módulo AIPService PowerShell.For more information, see Installing the AIPService PowerShell module.

  3. Apenas RMS AD: Migrar as chaves, modelos e URLs para a nuvem.AD RMS only: Migrate your keys, templates, and URLs to the cloud.

    Se estiver a utilizar O RMS AD, execute uma migração para mover as teclas, modelos e URLs para a nuvem.If you are currently using AD RMS, perform a migration to move the keys, templates, and URLs to the cloud.

    Para obter mais informações, consulte Migrar do AD RMS para o Information Protection.For more information, see Migrating from AD RMS to Information Protection.

  4. Ativar a proteção.Activate protection.

    Certifique-se de que o serviço de proteção está ativado para que possa começar a proteger documentos e e-mails.Make sure that the protection service is activated so that you can begin to protect documents and emails. Se estiver a implementar em várias fases, configunja os controlos de embarque do utilizador para restringir a capacidade de aplicação da proteção por parte dos utilizadores.If you're deploying in multiple phases, configure user onboarding controls to restrict users' ability to apply protection.

    Para obter mais informações, consulte ativar o serviço de proteção da Azure Information Protection.For more information, see Activating the protection service from Azure Information Protection.

  5. Considere a registo de utilização (opcional).Consider usage logging (optional).

    Considere registar o uso para monitorizar a forma como a sua organização está a utilizar o serviço de proteção.Consider logging usage to monitor how your organization is using the protection service. Pode efetuar este passo agora ou mais tarde.You can do this step now, or later.

    Para obter mais informações, consulte Registar e analisar a utilização da proteção da Proteção de Informação Azure.For more information, see Logging and analyzing the protection usage from Azure Information Protection.

Configurar etiquetas e configurações, aplicações e serviços para proteção de dadosConfigure labels and settings, applications, and services for data protection

Efetue os seguintes passos:Perform the following steps:

  1. Atualize as suas etiquetas para aplicar proteçãoUpdate your labels to apply protection

    Utilize um dos seguintes guias, dependendo do seu cliente:Use one of the following guides, depending on your client:

    Importante

    Os utilizadores podem aplicar rótulos no Outlook que aplicam a proteção de Gestão de Direitos mesmo que o Exchange não esteja configurado para a gestão de direitos de informação (IRM).Users can apply labels in Outlook that apply Rights Management protection even if Exchange is not configured for information rights management (IRM).

    No entanto, até que o Exchange esteja configurado para encriptação de mensagens IRM ou Microsoft 365 com novas capacidades,a sua organização não obterá a funcionalidade completa de utilização da proteção de Gestão de Direitos do Azure com o Exchange.However, until Exchange is configured for IRM or Microsoft 365 Message Encryption with new capabilities, your organization will not get the full functionality of using Azure Rights Management protection with Exchange. Esta configuração adicional está incluída na lista seguinte (2 para o Exchange Online e 5 para o Exchange no local).This additional configuration is included in the following list (2 for Exchange Online, and 5 for Exchange on-premises).

  2. Configure pedidos e serviços do EscritórioConfigure Office applications and services

    Configure aplicações e serviços do Office para as funcionalidades de gestão de direitos de informação (IRM) no Microsoft SharePoint ou No Exchange Online.Configure Office applications and services for the information rights management (IRM) features in Microsoft SharePoint or Exchange Online.

    Para mais informações, consulte configurar os pedidos para a Azure Rights Management.For more information, see Configuring applications for Azure Rights Management.

  3. Configurar a funcionalidade de superutilizador para recuperação de dadosConfigure the super user feature for data recovery

    Se tiver serviços de TI existentes que precisam de inspecionar ficheiros que a Azure Information Protection protegerá, tais como soluções de prevenção de fugas de dados (DLP), gateways de encriptação de conteúdos (CEG) e produtos anti-malware - configurar as contas de serviço para serem super utilizadores para a Azure Rights Management.If you have existing IT services that need to inspect files that Azure Information Protection will protect—such as data leak prevention (DLP) solutions, content encryption gateways (CEG), and anti-malware products—configure the service accounts to be super users for Azure Rights Management.

    Para obter mais informações, consulte configurar super utilizadores para serviços de Proteção de Informação E Descoberta de Azure ou recuperação de dados.For more information, see Configuring super users for Azure Information Protection and discovery services or data recovery.

  4. Classificar e proteger os ficheiros existentes a granelClassify and protect existing files in bulk

    Para as suas lojas de dados no local, agora execute o scanner de Proteção de Informação Azure em modo de execução para que os ficheiros sejam automaticamente rotulados.For your on-premises data stores, now run the Azure Information Protection scanner in enforcement mode so that files are automatically labeled.

    Para ficheiros em Computadores, utilize cmdlets PowerShell para classificar e proteger ficheiros.For files on PCs, use PowerShell cmdlets to classify and protect files. Para mais informações, consulte os seguintes guias, dependendo do seu cliente:For more information, see the following guides, depending on your client:

    Para lojas de dados baseadas na nuvem, utilize o Azure Cloud App Security.For cloud-based data stores, use Azure Cloud App Security.

    Dica

    Embora classificar e proteger os ficheiros existentes a granel não seja um dos principais casos de utilização para a segurança de aplicações na nuvem, as soluções de solução documentadas podem ajudá-lo a obter os seus ficheiros classificados e protegidos.While classifying and protecting existing files in bulk is not one of the main use cases for cloud app security, documented workarounds can help you get your files classified and protected.

  5. Implemente o conector para bibliotecas protegidas pelo IRM no SharePoint Server e e-mails protegidos pelo IRM para o Exchange on-insDeploy the connector for IRM-protected libraries on SharePoint Server, and IRM-protected emails for Exchange on-premises

    Se tiver SharePoint e Exchange no local e quiser utilizar as suas funcionalidades de gestão de direitos de informação (IRM), instale e configuure o conector de Gestão de Direitos.If you have SharePoint and Exchange on-premises and want to use their information rights management (IRM) features, install and configure the Rights Management connector.

    Para obter mais informações, consulte implementar o conector Azure Rights Management.For more information, see Deploying the Azure Rights Management connector.

Utilize e monitorize as suas soluções de proteção de dadosUse and monitor your data protection solutions

Está agora pronto para monitorizar a forma como a sua organização está a usar os rótulos que configura e confirmar que está a proteger informações sensíveis.You're now ready to monitor how your organization is using the labels that you've configured and confirm that you're protecting sensitive information.

Para mais informações, consulte as seguintes páginas:For more information, see the following pages:

Administrar o serviço de proteção para a sua conta de inquilino, conforme necessárioAdminister the protection service for your tenant account as needed

À medida que começa a utilizar o serviço de proteção, poderá achar o PowerShell útil para ajudar a script ou automatizar alterações administrativas.As you begin to use the protection service, you might find PowerShell useful to help script or automate administrative changes. O PowerShell também pode ser necessário para algumas das configurações avançadas.PowerShell might also be needed for some of the advanced configurations.

Para obter mais informações, consulte a proteção de administração da Proteção de Informações Azure utilizando o PowerShell.For more information, see Administering protection from Azure Information Protection by using PowerShell.

Passos seguintesNext steps

Ao implementar a Azure Information Protection, poderá achar útil verificar as perguntas mais frequentese a página de informações e suporte para obter recursos adicionais.As you deploy Azure Information Protection, you might find it helpful to check the frequently asked questions, and the information and support page for additional resources.