Perguntas frequentes para o cliente clássico da Azure Information Protection

Aplica-se a: Proteção de Informação Azure, Escritório 365

Relevante para: Cliente clássico de rotulagem unificada da AIP. Para obter mais informações, consulte perguntas frequentes para a Proteção de Informação do Azure.

Nota

Para proporcionar uma experiência unificada e simplificada ao cliente, o cliente clássico da Azure Information Protection e a Label Management no Portal Azure são depreciados a partir de 31 de março de 2021. Enquanto o cliente clássico continua a funcionar como configurado, não é fornecido mais suporte, e as versões de manutenção deixarão de ser lançadas para o cliente clássico.

Recomendamos que emigre para a rotulagem unificada e faça upgrade para o cliente de rotulagem unificado. Saiba mais no nosso recente blog de depreciação.

O cliente do Azure Information Protection destina-se apenas a subscrições que incluem classificação e etiquetagem?

N.º O cliente clássico da AIP também pode ser usado com subscrições que incluem apenas o serviço Azure Rights Management, apenas para proteção de dados.

Quando o cliente clássico é instalado sem uma política de Proteção de Informação Azure, o cliente opera automaticamente no modo apenas de proteção, o que permite aos utilizadores aplicar modelos de Gestão de Direitos e permissões personalizadas.

Se posteriormente comprar uma subscrição que inclui classificação e etiquetagem, o cliente mudará automaticamente para o modo padrão quando transfere a política do Azure Information Protection.

Qual é a diferença entre o Windows Server FCI e o scanner de Proteção de Informação Azure?

A infraestrutura de classificação de ficheiros do Windows Server tem sido historicamente uma opção para classificar documentos e, em seguida, protegê-los utilizando o conector de Gestão de Direitos (apenas documentos do Office) ou um script PowerShell (todos os tipos de ficheiros).

Recomendamos agora que utilize o scanner de proteção de informação Azure. O scanner utiliza o cliente Azure Information Protection e a sua política de Proteção de Informação Azure para rotular documentos (todos os tipos de ficheiros) para que estes documentos sejam classificados e opcionalmente protegidos.

As principais diferenças entre estas duas soluções:

Windows Server FCI Scanner de Proteção de Informação Azure
Arquivos de dados suportados Pastas locais no Servidor do Windows - Partilhas de ficheiros windows e armazenamento ligado à rede

- SharePoint Server 2016 e SharePoint Server 2013. O SharePoint Server 2010 também é suportado para clientes que tenham um suporte alargado para esta versão do SharePoint.
Modo operacional Tempo real Rasteja sistematicamente as lojas de dados uma ou repetidamente
Tipos de ficheiros suportados - Todos os tipos de ficheiros estão protegidos por predefinição

- Os tipos específicos de ficheiros podem ser excluídos da proteção através da edição do registo
Suporte para tipos de ficheiros:

- Os tipos de ficheiros de escritório e os documentos PDF estão protegidos por padrão

- Os tipos adicionais de ficheiros podem ser incluídos para proteção através da edição do registo

Definição de proprietários de gestão de direitos

Por padrão, tanto para o Windows Server FCI como para o scanner de Proteção de Informação Azure, o titular da Gestão de Direitos está definido para a conta que protege o ficheiro.

Anular as definições predefinidos da seguinte forma:

  • Windows Server FCI: Coloque o proprietário da Gestão de Direitos como uma única conta para todos os ficheiros, ou desafasse dinamicamente o proprietário da Gestão de Direitos para cada ficheiro.

    Para definir dinamicamente o proprietário da Gestão de Direitos, utilize o parâmetro e valor do -OwnerMail [Source File Owner Email]. Esta configuração recupera o endereço de e-mail do utilizador do Ative Directory utilizando o nome da conta do utilizador na propriedade do Proprietário do ficheiro.

  • Scanner de Proteção de Informação Azure: Para ficheiros recentemente protegidos, defina o titular da Gestão de Direitos como uma única conta para todos os ficheiros numa loja de dados especificada, especificando a definição do proprietário -Predefinido no perfil do scanner.

    A definição dinâmica do titular da Gestão de Direitos para cada ficheiro não é suportada e o proprietário da Gestão de Direitos não é alterado para ficheiros previamente protegidos.

    Nota

    Quando o scanner protege ficheiros em sites e bibliotecas do SharePoint, o proprietário da Gestão de Direitos é definido de forma dinâmica para cada ficheiro utilizando o valor do Editor SharePoint.

Um ficheiro pode conter mais do que uma classificação?

Os utilizadores podem selecionar apenas uma etiqueta de cada vez para cada documento ou e-mail, o que habitualmente acaba por criar apenas uma classificação. No entanto, se os utilizadores selecionarem um sublbel, isto aplica-se efetivamente a duas etiquetas ao mesmo tempo; um rótulo primário e um rótulo secundário. Ao utilizar sublabels, um ficheiro pode ter duas classificações que denotam uma relação parental por filho para um nível de controlo adicional.

Por exemplo, o rótulo Confidencial pode conter sublibulas como Legal e Finance. Pode aplicar diferentes marcações visuais de classificação e diferentes modelos de Gestão de Direitos a estes sublabeles. Um utilizador não pode selecionar a etiqueta Confidencial por si só; apenas um dos seus sublabelos, como o Legal. Como resultado, a etiqueta definida será Confidencial\Informações jurídicas. Os metadados do ficheiro em questão incluem uma propriedade de texto personalizado para Confidencial, uma propriedade de texto personalizado para Informações jurídicas e outra com ambos os valores (Confidencial/Informações jurídicas).

Quando utilizar sublibulas, não configuure as marcas visuais, a proteção e as condições na etiqueta principal. Quando utilizar sub-velôs, configufique estes ajustes apenas no sublibrreis. Se configurar estas definições na etiqueta primária e no seu sublibrô, as definições do sublibrô têm precedência.

Como posso impedir alguém de remover ou alterar uma etiqueta?

Embora exista uma definição de política que exija que os utilizadores digam por que razão estão a baixar uma etiqueta de classificação, a remover um rótulo ou a remover a proteção, esta definição não impede estas ações. Para evitar que os utilizadores retirem ou mudem uma etiqueta, o conteúdo já deve ser protegido e as permissões de proteção não concedem ao utilizador o direito de utilização de Exportação ou Controlo Total

Como podem as soluções DLP e outras aplicações ser integradas com o Azure Information Protection?

Uma vez que a Azure Information Protection utiliza metadados persistentes para a classificação, que inclui um rótulo de texto claro, esta informação pode ser lida por soluções DLP e outras aplicações.

Para obter mais informações sobre estes metadados, consulte as informações do Rótulo armazenadas em e-mails e documentos.

Por exemplo, utilizar estes metadados com regras de fluxo de correio exchange online, consulte regras de fluxo de correio de troca de trocas online para etiquetas de proteção de informação Azure.

Posso criar um modelo de documento que inclua automaticamente a classificação?

Sim. Pode configurar uma etiqueta para aplicar um cabeçalho ou rodapé que inclua o nome da etiqueta. Mas se isso não satisfaz os seus requisitos, apenas para o cliente clássico da Proteção de Informação Azure, pode criar um modelo de documento que tenha a formatação que deseja e adicionar a classificação como código de campo.

Como exemplo, pode ter uma tabela no cabeçalho do documento que exibe a classificação. Ou, usa uma redação específica para uma introdução que faz referência à classificação do documento.

Para adicionar este código de campo no seu documento:

  1. Marque o documento e guarde-o. Esta ação cria novos campos de metadados que agora pode utilizar para o seu código de campo.

  2. No documento, posicione o cursor onde pretende adicionar a classificação da etiqueta e, em seguida, a partir do separador Inserir, selecione Campo de Peças Rápidas de Texto > > .

  3. Na caixa de diálogo de campo, a partir do dropdown das Categorias, selecione Informação de Documentos. Em seguida, a partir dos nomes fields dropdown, selecione DocProperty.

  4. A partir do dropdown da Propriedade, selecione Sensibilidade, e selecione OK.

A classificação da etiqueta atual é apresentada no documento e este valor será atualizado automaticamente sempre que abrir o documento ou utilizar o modelo. Assim, se a etiqueta mudar, a classificação apresentada para este código de campo é automaticamente atualizada no documento.

Como é que a classificação para e-mails usando a Proteção de Informações Azure é diferente da classificação de mensagens de câmbio?

A classificação de mensagens de câmbio é uma característica mais antiga que pode classificar e-mails e é implementada independentemente a partir de rótulos de Proteção de Informação Azure ou etiquetas de sensibilidade que aplicam classificação.

No entanto, é possível integrar esta funcionalidade mais antiga com rótulos, de modo a que, quando os utilizadores classificam um e-mail utilizando o Outlook na web e utilizando algumas aplicações de correio móvel, a classificação da etiqueta e as correspondentes marcações de etiquetas sejam automaticamente adicionadas.

Pode utilizar esta mesma técnica para utilizar as etiquetas com o Outlook na Web e estas aplicações de correio móvel.

Note que não há necessidade de o fazer se estiver a utilizar o Outlook na web com o Exchange Online, porque esta combinação suporta a rotulagem incorporada quando publica etiquetas de sensibilidade do centro de conformidade Microsoft 365.

Se não puder utilizar a rotulagem incorporada com o Outlook na web, consulte os passos de configuração para esta solução: Integração com a classificação de mensagem de troca legacy

Como configurar um computador Mac para proteger e controlar documentos?

Em primeiro lugar, certifique-se de que instalou o Office for Mac utilizando o link de instalação de software a partir de https://admin.microsoft.com . Para obter instruções completas, consulte descarregar e instalar ou reinstalar o Microsoft 365 ou o Office 2019 num PC ou Mac.

Abra o Outlook e crie um perfil utilizando a sua conta de trabalho ou escola microsoft 365. Em seguida, crie uma nova mensagem e faça o seguinte procedimento para configurar o Office, para que possa proteger documentos e e-mails com o serviço Azure Rights Management:

  1. Na nova mensagem, no separador Opções, clique em Permissões e, em seguida, clique em Verificar Credenciais.

  2. Quando solicitado, especifique novamente os detalhes do trabalho ou da conta escolar do Microsoft 365 e selecione Iniciar sê-lo.

    Esta ação irá transferir os modelos do Azure Rights Management e Verificar Credenciais foi agora substituído por opções que incluem Sem Restrições, Não Encaminhar e quaisquer modelos do Azure Rights Management que estejam publicados para o seu inquilino. Já pode cancelar esta nova mensagem.

Para proteger uma mensagem de e-mail ou um documento: no separador Opções, clique em Permissões e escolha uma opção ou um modelo que protege o seu e-mail ou documento.

Para rastrear um documento depois de o ter protegido: A partir de um computador Windows que tenha instalado o cliente clássico da Proteção de Informação Azure, registe o documento com o site de rastreio de documentos utilizando uma aplicação do Office ou o File Explorer. Para obter instruções, veja Controlar e revogar os documentos. A partir do seu computador Mac, pode agora utilizar o seu navegador web para ir ao site de rastreio de documentos https://track.azurerms.com) (para rastrear e revogar este documento.

Quando testo a revogação no site de controlo do documento, vejo uma mensagem a indicar que as pessoas ainda podem aceder ao documento durante até 30 dias. Este período de tempo é configurável?

Sim. Esta mensagem reflete a licença de utilização para esse ficheiro específico.

Se revogar um ficheiro, essa ação só poderá ser aplicada quando o utilizador autenticar para o serviço Azure Rights Management. Por isso, se um ficheiro tiver um período de validade de licença de utilização de 30 dias e o utilizador já tiver aberto o documento, esse utilizador continuará a ter acesso ao documento enquanto a licença de utilização durar. Quando a licença de utilização expirar, o utilizador terá de ser novamente autenticado. Nessa altura, será rejeitado o acesso ao utilizador porque o documento já estará revogado.

O utilizador que protegeu o documento, o emissor do Rights Management está isento desta revogação e terá sempre acesso aos respetivos documentos.

O valor predefinido para o período de validade da licença de utilização para um inquilino é de 30 dias e esta definição pode ser ultrapassada por uma definição mais restritiva numa etiqueta ou modelo. Para obter mais informações sobre a licença de utilização e como configurá-la, consulte a documentação da licença de utilização da Licença de Gestão de Direitos.

Qual é a diferença entre BYOK e HYOK e quando devo usá-los?

Bring Your Own Key – Traga a Sua Própria Chave (BYOK), no contexto do Azure Information Protection, é quando cria a sua própria chave no local para a proteção do Azure Rights Management. Em seguida, transfere essa chave para um módulo de segurança de hardware (HSM) no Azure Key Vault, onde continua a ser o proprietário e a gerir a sua chave. Se não o fizer, a proteção do Azure Rights Management utilizará uma chave criada e gerida automaticamente no Azure. Esta configuração predefinida é referida como "gerida pela Microsoft" em vez de "gerida pelo cliente" (opção BYOK).

Para obter mais informações sobre o BYOK e se deve escolher esta topologia de chaves para a sua organização, veja Planear e implementar a sua chave de inquilino do Azure Information Protection.

Hold your own key – tenha a sua própria chave (HYOK), no contexto do Azure Information Protection, destina-se a poucas organizações com um subconjunto de documentos ou e-mails que não podem ser protegidos por uma chave armazenada na cloud. Para estas organizações, esta restrição aplica-se mesmo que tenham criado e gerido a chave através de BYOK. A restrição pode dever-se muitas vezes a motivos de regulamentação e conformidade e a configuração HYOK só deve ser aplicada a informações "Confidenciais", que nunca serão partilhadas fora da organização, que serão consumidas apenas na rede interna e que não precisam de ser acedidas a partir de dispositivos móveis.

Para estas exceções (normalmente, menos de 10% de todos os conteúdos que têm de ser protegidos), as organizações podem utilizar uma solução no local, os Serviços de Gestão de Direitos do Active Directory, para criar a chave que permanece no local. Com esta solução, os computadores obtêm a política do Azure Information Protection a partir da cloud, mas estes conteúdos identificados podem ser protegidos com a chave no local.

Para obter mais informações sobre o HYOK, certificar-se de que compreende as suas limitações e restrições e obter orientações para quando o utilizar, veja Requisitos e restrições de Tenha a sua própria chave (HYOK) para proteção do AD RMS.

O que faço se a minha pergunta não estiver aqui?

Em primeiro lugar, reveja as perguntas frequentemente colocadas a seguir, que são específicas da classificação e rotulagem, ou específicas para a proteção de dados. O serviço de Gestão de Direitos Azure (Azure RMS) fornece a tecnologia de proteção de dados para a Proteção de Informação Azure. O Azure RMS pode ser usado com classificação e rotulagem, ou por si só.

Se a sua pergunta não for respondida, consulte os links e recursos listados na Informação e suporte para a Proteção de Informação do Azure.

Além disso, existem FAQs projetados para utilizadores finais: