Perguntas frequentes para o Azure Information Protection cliente clássico

Quando é a altura certa para migrar os meus rótulos para uma rotulagem unificada?

Recomendamos que emigre as suas etiquetas Azure Information Protection para a plataforma de rotulagem unificada para que possa usá-las como etiquetas de sensibilidade com outros clientes e serviços que suportem a rotulagem unificada.

Para obter mais informações e instruções, consulte Como migrar as etiquetas Information Protection Azure para rótulos de sensibilidade unificados.

Preciso de reencriminar os meus ficheiros depois de passar para rótulos de sensibilidade e para a plataforma de rotulagem unificada?

Não, não precisa de reencriptar os seus ficheiros depois de se mudar para rótulos de sensibilidade e para a plataforma de rotulagem unificada depois de migrar do cliente clássico da AIP e das etiquetas geridas no portal do Azure.

Depois de migrar, gerencie as suas etiquetas e as suas políticas de rotulagem a partir do centro de conformidade Microsoft 365.

Para obter mais informações, consulte Saiba mais sobre etiquetas de sensibilidade na documentação Microsoft 365 e no blog de migração unificado understanding.

Qual é a diferença entre rótulos em Microsoft 365 e rótulos em Azure Information Protection?

Originalmente, Microsoft 365 tinha apenas etiquetas de retenção, o que lhe permitiu classificar documentos e e-mails para auditoria e retenção quando esse conteúdo era armazenado em serviços Microsoft 365.

Em contrapartida, o Azure Information Protection rótulos, configurados na altura utilizando o cliente clássico da AIP no portal do Azure, permitiu-lhe aplicar uma política de classificação e proteção consistente para documentos e e-mails, quer estivessem armazenados no local ou na nuvem.

Microsoft 365 suporta rótulos de sensibilidade para além dos rótulos de retenção. As etiquetas de sensibilidade podem ser criadas e configuradas no centro de conformidade Microsoft 365.

Se tiver etiquetas AIP antigas configuradas no portal do Azure, recomendamos que as emigre para rótulos de sensibilidade e cliente de rotulagem unificado. Para mais informações, consulte Tutorial: Migrando do cliente clássico Azure Information Protection (AIP) para o cliente de rotulagem unificado.

Para obter mais informações, consulte anunciar a disponibilidade de capacidades de proteção de informação para ajudar a proteger os seus dados sensíveis.

O cliente do Azure Information Protection destina-se apenas a subscrições que incluem classificação e etiquetagem?

N.º O cliente AIP clássico também pode ser usado com subscrições que incluem apenas o serviço Azure Rights Management, apenas para proteção de dados.

Quando o cliente clássico é instalado sem uma política de Information Protection Azure, o cliente opera automaticamente em modo de proteção, o que permite aos utilizadores aplicar Rights Management modelos e permissões personalizadas.

Se posteriormente comprar uma subscrição que inclui classificação e etiquetagem, o cliente mudará automaticamente para o modo padrão quando transfere a política do Azure Information Protection.

Definição Rights Management proprietários

Por padrão, tanto para Windows Server FCI como para o scanner Azure Information Protection, o proprietário Rights Management está definido para a conta que protege o ficheiro.

Anular as definições predefinidos da seguinte forma:

• Windows Server FCI: Desista o Rights Management proprietário como uma única conta para todos os ficheiros, ou desave o proprietário Rights Management para cada ficheiro.

  Para definir dinamicamente o proprietário Rights Management, utilize o parâmetro e valor do -OwnerMail [Source File Owner Email]. Esta configuração recupera o endereço de e-mail do utilizador do Ative Directory utilizando o nome da conta do utilizador na propriedade do Proprietário do ficheiro.

• Azure Information Protection scanner: Para ficheiros recentemente protegidos, defina o Rights Management proprietário como uma única conta para todos os ficheiros numa loja de dados especificada, especificando a definição do proprietário -Predefinido no perfil do scanner.

  A definição dinâmica do proprietário Rights Management para cada ficheiro não é suportada e o Rights Management proprietário não é alterado para ficheiros previamente protegidos.

  Nota

  Quando o scanner protege ficheiros em sites e bibliotecas do SharePoint, o proprietário Rights Management é definido de forma dinâmica para cada ficheiro utilizando o valor do Editor SharePoint.

Um ficheiro pode conter mais do que uma classificação?

Os utilizadores podem selecionar apenas uma etiqueta de cada vez para cada documento ou e-mail, o que habitualmente acaba por criar apenas uma classificação. No entanto, se os utilizadores selecionarem um sublabel, isto aplica efetivamente duas etiquetas ao mesmo tempo; um rótulo primário e um rótulo secundário. Ao utilizar sublabels, um ficheiro pode ter duas classificações que denotam uma relação parental por filho para um nível de controlo adicional.

Por exemplo, o rótulo Confidencial pode conter sublibulas como Legal e Finance. Pode aplicar diferentes marcas visuais de classificação e diferentes modelos de Rights Management a estes sublabelos. Um utilizador não pode selecionar a etiqueta Confidencial por si só; apenas um dos seus sublabelos, como o Legal. Como resultado, a etiqueta definida será Confidencial\Informações jurídicas. Os metadados do ficheiro em questão incluem uma propriedade de texto personalizado para Confidencial, uma propriedade de texto personalizado para Informações jurídicas e outra com ambos os valores (Confidencial/Informações jurídicas).

Quando utilizar sublabelos, não configuure as marcas visuais, a proteção e as condições na etiqueta principal. Quando utilizar sub-velôs, configufique esta regulação apenas no sublibrreis. Se configurar estas definições na etiqueta primária e no seu sublibrô, as definições no sublibrô têm precedência.

Como devo proceder para impedir que alguém retire ou mude um rótulo?

Embora exista uma definição de política que exija que os utilizadores digam por que razão estão a baixar uma etiqueta de classificação, a remover uma etiqueta ou a remover a proteção, esta definição não impede estas ações. Para evitar que os utilizadores retirem ou mudem uma etiqueta, o conteúdo já deve ser protegido e as permissões de proteção não concedem ao utilizador o direito de exportação ou controlo total

Como podem as soluções DLP e outras aplicações ser integradas com o Azure Information Protection?

Uma vez que o Azure Information Protection utiliza metadados persistentes para a classificação, que inclui um rótulo de texto claro, esta informação pode ser lida por soluções DLP e outras aplicações.

Para obter mais informações sobre estes metadados, consulte as informações do Rótulo armazenadas em e-mails e documentos.

Por exemplo, utilizar estes metadados com Exchange Online regras de fluxo de correio, consulte configurar Exchange Online regras de fluxo de correio para etiquetas Azure Information Protection.

Posso criar um modelo de documento que inclua automaticamente a classificação?

Sim. Pode configurar uma etiqueta para aplicar um cabeçalho ou rodapé que inclua o nome da etiqueta. Mas se isso não satisfaz os seus requisitos, para o Azure Information Protection cliente clássico apenas, você pode criar um modelo de documento que tem a formatação que você deseja e adicionar a classificação como um código de campo.

Como exemplo, pode ter uma tabela no cabeçalho do documento que exibe a classificação. Ou, usas uma redação específica para uma introdução que faz referência à classificação do documento.

Para adicionar este código de campo no seu documento:

1. Marque o documento e guarde-o. Esta ação cria novos campos de metadados que agora pode utilizar para o seu código de campo.

2. No documento, posicione o cursor onde pretende adicionar a classificação da etiqueta e, em seguida, a partir do separador Inserir, selecioneCampode Peças> Rápidas de Texto>.

3. Na caixa de diálogo de campo , a partir do dropdown categories , selecione Informação de Documento. Então, a partir dos nomes fields dropdown, selecione DocProperty.

4. A partir do dropdown da Propriedade , selecione Sensibilidade e selecione OK.

A classificação da etiqueta atual é apresentada no documento e este valor será atualizado automaticamente sempre que abrir o documento ou utilizar o modelo. Assim, se a etiqueta mudar, a classificação apresentada para este código de campo é automaticamente atualizada no documento.

Como é que a classificação para e-mails usando O Azure Information Protection diferente da classificação de Exchange mensagens?

Exchange classificação de mensagens é uma característica mais antiga que pode classificar e-mails e é implementada independentemente de Azure Information Protection rótulos ou rótulos de sensibilidade que aplicam classificação.

No entanto, é possível integrar esta funcionalidade mais antiga com rótulos, de modo a que, quando os utilizadores classificam um e-mail utilizando Outlook na Web e utilizando algumas aplicações de correio móvel, a classificação da etiqueta e as correspondentes marcações de etiquetas sejam automaticamente adicionadas.

Pode utilizar esta mesma técnica para utilizar as etiquetas com o Outlook na Web e estas aplicações de correio móvel.

Note que não há necessidade de fazer isto se estiver a usar Outlook na Web com Exchange Online, porque esta combinação suporta a rotulagem incorporada quando publica rótulos de sensibilidade do centro de conformidade Microsoft 365.

Se não puder utilizar a rotulagem incorporada com Outlook na Web, consulte os passos de configuração para esta solução: Integração com o legado Exchange classificação de mensagens

Como configurar um computador Mac para proteger e controlar documentos?

Em primeiro lugar, certifique-se de que instalou Office para Mac utilizando o link de instalação de software a partir de https://admin.microsoft.com. Para obter instruções completas, consulte Descarregar e instalar ou reinstalar Microsoft 365 ou Office 2019 num PC ou Mac.

Abra Outlook e crie um perfil utilizando a sua conta de trabalho ou escola Microsoft 365. Em seguida, crie uma nova mensagem e faça o seguinte procedimento para configurar o Office, para que possa proteger documentos e e-mails com o serviço Azure Rights Management:

1. Na nova mensagem, no separador Opções, clique em Permissões e, em seguida, clique em Verificar Credenciais.

2. Quando solicitado, especifique novamente os detalhes do seu trabalho de Microsoft 365 ou da conta escolar e selecione Iniciar sôs-te.

   Esta ação irá transferir os modelos do Azure Rights Management e Verificar Credenciais foi agora substituído por opções que incluem Sem Restrições, Não Encaminhar e quaisquer modelos do Azure Rights Management que estejam publicados para o seu inquilino. Já pode cancelar esta nova mensagem.

Para proteger uma mensagem de e-mail ou um documento: no separador Opções, clique em Permissões e escolha uma opção ou um modelo que protege o seu e-mail ou documento.

Para rastrear um documento depois de o ter protegido: A partir de um computador Windows que tenha o Azure Information Protection cliente clássico instalado, registe o documento com o site de rastreio do documento utilizando uma aplicação Office ou Explorador de Ficheiros. Para obter instruções, veja Controlar e revogar os documentos. A partir do seu computador Mac, pode agora utilizar o seu navegador web para ir ao site de rastreio de documentos (https://track.azurerms.com) para rastrear e revogar este documento.

Quando testo a revogação no site de controlo do documento, vejo uma mensagem a indicar que as pessoas ainda podem aceder ao documento durante até 30 dias. Este período de tempo é configurável?

Sim. Esta mensagem reflete a licença de utilização para esse ficheiro específico.

Se revogar um ficheiro, essa ação só poderá ser aplicada quando o utilizador autenticar para o serviço Azure Rights Management. Por isso, se um ficheiro tiver um período de validade de licença de utilização de 30 dias e o utilizador já tiver aberto o documento, esse utilizador continuará a ter acesso ao documento enquanto a licença de utilização durar. Quando a licença de utilização expirar, o utilizador terá de ser novamente autenticado. Nessa altura, será rejeitado o acesso ao utilizador porque o documento já estará revogado.

O utilizador que protegeu o documento, o emissor do Rights Management está isento desta revogação e terá sempre acesso aos respetivos documentos.

O valor predefinido para o período de validade da licença de utilização para um inquilino é de 30 dias e esta definição pode ser ultrapassada por uma definição mais restritiva numa etiqueta ou modelo. Para obter mais informações sobre a licença de utilização e como configurá-la, consulte a documentação Rights Management utilizar a licença.

Qual é a diferença entre BYOK e HYOK e quando devo usá-los?

Bring Your Own Key – Traga a Sua Própria Chave (BYOK), no contexto do Azure Information Protection, é quando cria a sua própria chave no local para a proteção do Azure Rights Management. Em seguida, transfere essa chave para um módulo de segurança de hardware (HSM) no Azure Key Vault, onde continua a ser o proprietário e a gerir a sua chave. Se não o fizer, a proteção do Azure Rights Management utilizará uma chave criada e gerida automaticamente no Azure. Esta configuração predefinida é referida como "gerida pela Microsoft" em vez de "gerida pelo cliente" (opção BYOK).

Para obter mais informações sobre o BYOK e se deve escolher esta topologia de chaves para a sua organização, veja Planear e implementar a sua chave de inquilino do Azure Information Protection.

Hold your own key – tenha a sua própria chave (HYOK), no contexto do Azure Information Protection, destina-se a poucas organizações com um subconjunto de documentos ou e-mails que não podem ser protegidos por uma chave armazenada na cloud. Para estas organizações, esta restrição aplica-se mesmo que tenham criado e gerido a chave através de BYOK. A restrição pode dever-se muitas vezes a motivos de regulamentação e conformidade e a configuração HYOK só deve ser aplicada a informações "Confidenciais", que nunca serão partilhadas fora da organização, que serão consumidas apenas na rede interna e que não precisam de ser acedidas a partir de dispositivos móveis.

Para estas exceções (normalmente, menos de 10% de todos os conteúdos que têm de ser protegidos), as organizações podem utilizar uma solução no local, os Serviços de Gestão de Direitos do Active Directory, para criar a chave que permanece no local. Com esta solução, os computadores obtêm a política do Azure Information Protection a partir da cloud, mas estes conteúdos identificados podem ser protegidos com a chave no local.

Para obter mais informações sobre o HYOK, certificar-se de que compreende as suas limitações e restrições e obter orientações para quando o utilizar, veja Requisitos e restrições de Tenha a sua própria chave (HYOK) para proteção do AD RMS.

O que faço se a minha pergunta não estiver aqui?

Em primeiro lugar, reveja as perguntas frequentemente colocadas a seguir, que são específicas da classificação e rotulagem, ou específicas para a proteção de dados. O serviço Azure Rights Management (Azure RMS) fornece a tecnologia de proteção de dados para o Azure Information Protection. O Azure RMS pode ser usado com classificação e rotulagem, ou por si só.

• Perguntas mais frequentes sobre o Azure Information Protection

• FAQs para classificação e etiquetagem

• FAQs para proteção de dados

Se a sua pergunta não for respondida, consulte os links e recursos listados na Informação e suporte para o Azure Information Protection.

Além disso, existem FAQs projetados para utilizadores finais:

• FAQ for Azure Information Protection app for iOS and Android (FAQ acerca da aplicação Azure Information Protection para iOS e Android – em inglês)

• FAQ para app de partilha de RMS para computadores Mac