Como funciona o Azure RMS?How does Azure RMS work? Nos bastidoresUnder the hood

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Uma coisa importante para entender sobre como funciona o Azure RMS, é que este serviço de proteção de dados do Azure Information Protection, veja ou armazenar seus dados como parte do processo de proteção.An important thing to understand about how Azure RMS works, is that this data protection service from Azure Information Protection, does not see or store your data as part of the protection process. Informações que proteger nunca são enviadas para ou armazenadas no Azure, a menos que explicitamente armazená-la no Azure ou utilize outro serviço em nuvem que as armazene no Azure.Information that you protect is never sent to or stored in Azure, unless you explicitly store it in Azure or use another cloud service that stores it in Azure. O Azure RMS simplesmente torna os dados num documento ilegível para todas as pessoas que não sejam utilizadores e serviços autorizados:Azure RMS simply makes the data in a document unreadable to anyone other than authorized users and services:

  • Os dados são encriptados ao nível da aplicação e incluem uma política que define a utilização autorizada para esse documento.The data is encrypted at the application level and includes a policy that defines the authorized use for that document.

  • Quando um documento protegido é utilizado por um utilizador legítimo ou processado por um serviço autorizado, os dados no documento são desencriptados e os direitos que estão definidos na política são aplicados.When a protected document is used by a legitimate user or it is processed by an authorized service, the data in the document is decrypted and the rights that are defined in the policy are enforced.

Pode ver como este processo funciona de modo geral na imagem seguinte.At a high level, you can see how this process works in the following picture. O documento com a fórmula secreta é protegido e, em seguida, aberto com êxito por um utilizador ou serviço autorizado.A document containing the secret formula is protected, and then successfully opened by an authorized user or service. O documento é protegido por uma chave de conteúdo (a chave verde nesta imagem).The document is protected by a content key (the green key in this picture). Esta é exclusiva para cada documento e é colocada no cabeçalho do ficheiro, onde é protegida pela sua chave de raiz de inquilino do Azure Information Protection (a chave vermelha nesta imagem).It is unique for each document and is placed in the file header where it is protected by your Azure Information Protection tenant root key (the red key in this picture). A sua chave de inquilino pode ser gerada e gerida pela Microsoft ou o utilizador pode gerar e fazer a gestão da sua própria chave de inquilino.Your tenant key can be generated and managed by Microsoft, or you can generate and manage your own tenant key.

Ao longo do processo de proteção quando o Azure RMS é encriptar e desencriptar, autorizar e impor restrições, a fórmula secreta nunca é enviada para o Azure.Throughout the protection process when Azure RMS is encrypting and decrypting, authorizing, and enforcing restrictions, the secret formula is never sent to Azure.

Como o Azure RMS protege um ficheiro

Para obter uma descrição detalhada do que está acontecendo, consulte o instruções sobre como funciona o Azure RMS: Primeira utilização, proteção de conteúdos, consumo de conteúdos secção deste artigo.For a detailed description of what’s happening, see the Walkthrough of how Azure RMS works: First use, content protection, content consumption section in this article.

Para obter detalhes técnicos sobre os algoritmos e os comprimentos de chave utilizados pelo Azure RMS, consulte a secção seguinte.For technical details about the algorithms and key lengths that Azure RMS uses, see the next section.

Controlos criptográficos utilizados pelo Azure RMS: Algoritmos e comprimentos de chaveCryptographic controls used by Azure RMS: Algorithms and key lengths

Mesmo que não precise se conheça detalhadamente como funciona essa tecnologia, pode ser solicitado sobre os controlos criptográficos que utiliza.Even if you don't need to know in detail how this technology works, you might be asked about the cryptographic controls that it uses. Por exemplo, para confirmar que a proteção de segurança padrão do setor.For example, to confirm that the security protection is industry-standard.

Controlos criptográficosCryptographic controls Função no Azure RMSUse in Azure RMS
Algoritmo: AESAlgorithm: AES

Comprimento da chave: 128 bits e 256 bits [1]Key length: 128 bits and 256 bits [1]
Proteção de conteúdosContent protection
Algoritmo: RSAAlgorithm: RSA

Comprimento da chave: 2048 bits [2]Key length: 2048 bits [2]
Proteção da chaveKey protection
SHA-256SHA-256 Assinatura do certificadoCertificate signing
Nota de rodapé 1Footnote 1

256 bits é utilizado pelo cliente do Azure Information Protection nos seguintes cenários:256 bits is used by the Azure Information Protection client in the following scenarios:

  • Proteção genérica (. pfile).Generic protection (.pfile).

  • Proteção nativa para documentos PDF quando o documento foi protegido com a norma ISO para a encriptação de PDF ou o documento protegido resultante tem uma extensão de nome de ficheiro. ppdf.Native protection for PDF documents when the document has been protected with the ISO standard for PDF encryption, or the resulting protected document has a .ppdf file name extension.

  • Proteção nativa para ficheiros de texto ou de imagem (por exemplo,. ptxt ou. pjpg).Native protection for text or image files (such as .ptxt or .pjpg).

Nota de rodapé 2Footnote 2

2048 bits é o comprimento da chave de quando o serviço Azure Rights Management está ativado.2048 bits is the key length when the Azure Rights Management service is activated. 1024 bits é suportada para os seguintes cenários opcionais:1024 bits is supported for the following optional scenarios:

  • Durante uma migração no local se o cluster de AD RMS estiver em execução no modo criptográfico 1.During a migration from on-premises if the AD RMS cluster is running in Cryptographic Mode 1.

  • Para obter chaves arquivadas que foram criadas no local antes da migração, para que o conteúdo que foi anteriormente protegido pelo AD RMS pode continuar a ser aberto pelo serviço Azure Rights Management após a migração.For archived keys that were created on-premises before the migration, so that content that was previously protected by AD RMS can continue to be opened by the Azure Rights Management service post migration.

Como as chaves criptográficas do Azure RMS são armazenadas e protegidasHow the Azure RMS cryptographic keys are stored and secured

O Azure RMS cria uma chave AES única (a "chave de conteúdo") para cada documento ou mensagem de e-mail que protege. Essa chave é incorporada no documento e persiste nas várias edições do documento.For each document or email that is protected by Azure RMS, Azure RMS creates a single AES key (the "content key"), and that key is embedded to the document, and persists through editions of the document.

A chave de conteúdo é protegida com a chave RSA da organização (a "chave de inquilino do Azure Information Protection") como parte da política no documento e a política também é assinada pelo autor do documento.The content key is protected with the organization’s RSA key (the "Azure Information Protection tenant key") as part of the policy in the document, and the policy is also signed by the author of the document. Esta chave de inquilino é comum a todos os documentos e e-mails protegidos pelo serviço Azure Rights Management da organização e esta chave só poderá ser alterada por um administrador do Azure Information Protection se a organização estiver a utilizar uma chave de inquilino gerida pelo cliente, conhecida como BYOK (Bring Your Own Key – Traga a Sua Própria Chave).This tenant key is common to all documents and emails that are protected by the Azure Rights Management service for the organization and this key can only be changed by an Azure Information Protection administrator if the organization is using a tenant key that is customer-managed (known as "bring your own key", or BYOK).

Esta chave de inquilino está protegida nos serviços online da Microsoft, num ambiente altamente controlado e sob monitorização rigorosa.This tenant key is protected in Microsoft’s online services, in a highly controlled environment and under close monitoring. Quando utiliza uma chave de inquilino gerida pelo cliente (BYOK), esta segurança é melhorada pela utilização de uma matriz de módulos de segurança de hardware de ponta (HSMs) em cada região do Azure, sem a capacidade para as chaves ser extraídos, exportação ou partilha em nenhuma circunstância.When you use a customer-managed tenant key (BYOK), this security is enhanced by the use of an array of high-end hardware security modules (HSMs) in each Azure region, without the ability for the keys to be extracted, exported, or shared under any circumstances. Para obter mais informações sobre a chave de inquilino e a BYOK, veja Planear e implementar a sua chave de inquilino do Azure Information Protection.For more information about the tenant key and BYOK, see Planning and implementing your Azure Information Protection tenant key.

As licenças e certificados enviados para um dispositivo Windows estão protegidos pela chave privada do dispositivo do cliente, que é criada quando um utilizador usa o Azure RMS pela primeira vez num dispositivo.Licenses and certificates that are sent to a Windows device are protected with the client’s device private key, which is created the first time a user on the device uses Azure RMS. Por sua vez, esta chave privada está protegida com a DPAPI do cliente, que protege estes segredos com uma chave derivada da palavra-passe do utilizador.This private key, in turn, is protected with DPAPI on the client, which protects these secrets by using a key derived from the user’s password. Em dispositivos móveis, as chaves são utilizadas apenas uma vez, pois como não estão armazenadas nos clientes, não precisam de ser protegidas no dispositivo.On mobile devices, the keys are used only one time, so because they are not stored on the clients, these keys don’t need to be protected on the device.

Instruções sobre como funciona o Azure RMS: Primeiro, utilização, proteção de conteúdo, consumo de conteúdosWalkthrough of how Azure RMS works: First use, content protection, content consumption

Para compreender melhor como funciona o Azure RMS, iremos mostrar-lhe um fluxo típico após o serviço Azure Rights Management ser ativado e o que acontece quando um utilizador usa pela primeira vez o serviço Rights Management no seu computador Windows (um processo por vezes conhecido como inicializar o ambiente de utilizador ou arranque do sistema), protege conteúdos (um documento ou e-mail) e, em seguida, consome (abre e utiliza) os conteúdos que foram protegidos por outra pessoa.To understand in more detail how Azure RMS works, let's walk through a typical flow after the Azure Rights Management service is activated and when a user first uses the Rights Management service on their Windows computer (a process sometimes known as initializing the user environment or bootstrapping), protects content (a document or email), and then consumes (opens and uses) content that has been protected by somebody else.

Após o ambiente de utilizador ser iniciado, esse utilizador pode proteger documentos ou consumir documentos protegidos nesse computador.After the user environment is initialized, that user can then protect documents or consume protected documents on that computer.

Nota

Se o utilizador mudar de computador Windows ou outro utilizador usar este computador Windows, o processo de iniciação é repetido.If this user moves to another Windows computer, or another user uses this same Windows computer, the initialization process is repeated.

Inicializar o ambiente de utilizadorInitializing the user environment

Antes de um utilizador poder proteger conteúdos ou consumir conteúdos protegidos num computador Windows, o ambiente de utilizador tem de ser preparado no dispositivo.Before a user can protect content or consume protected content on a Windows computer, the user environment must be prepared on the device. Este é um processo único e ocorre automaticamente sem a intervenção do utilizador quando este tenta proteger ou consumir conteúdos protegidos:This is a one-time process and happens automatically without user intervention when a user tries to protect or consume protected content:

Processo de ativação do Cliente de RMS – passo 1, autenticar o cliente

O que acontece no passo 1: Primeiro, o cliente do RMS no computador liga ao serviço Azure Rights Management e autentica o utilizador ao utilizar a respetiva conta do Azure Active Directory.What's happening in step 1: The RMS client on the computer first connects to the Azure Rights Management service, and authenticates the user by using their Azure Active Directory account.

Quando a conta de utilizador está federada com o Azure Active Directory, esta autenticação é automática e o utilizador não será pedido credenciais.When the user’s account is federated with Azure Active Directory, this authentication is automatic and the user is not prompted for credentials.

Ativação do Cliente de RMS – passo 2, os certificados são transferidos para o cliente

O que acontece no passo 2: Depois do utilizador é autenticado, a ligação é automaticamente redirecionada para o inquilino do Azure Information Protection da organização, que se emitir certificados que permitem ao utilizador autenticar para o serviço Azure Rights Management para poder consumir protegidos conteúdo e proteger conteúdos offline.What's happening in step 2: After the user is authenticated, the connection is automatically redirected to the organization’s Azure Information Protection tenant, which issues certificates that let the user authenticate to the Azure Rights Management service in order to consume protected content and to protect content offline.

Um destes certificados é o certificado de conta de direitos, frequentemente abreviado para RAC.One of these certificates is the rights account certificate, often abbreviated to RAC. Este certificado autentica o utilizador ao Azure Active Directory e é válido durante 31 dias.This certificate authenticates the user to Azure Active Directory and is valid for 31 day. O certificado é renovado automaticamente pelo cliente do RMS, fornecendo a conta de utilizador ainda está no Azure Active Directory e a conta está ativada.The certificate is automatically renewed by the RMS client, providing the user account is still in Azure Active Directory and the account is enabled. Este certificado não é configurável por um administrador.This certificate is not configurable by an administrator.

Uma cópia deste certificado é armazenada no Azure, para que se o utilizador usar outro dispositivo, os certificados sejam criados usando as mesmas chaves.A copy of this certificate is stored in Azure so that if the user moves to another device, the certificates are created by using the same keys.

Proteção de conteúdosContent protection

Quando um utilizador protege um documento, o cliente de RMS efetua as seguintes ações num documento não protegido:When a user protects a document, the RMS client takes the following actions on an unprotected document:

Proteção de documentos pelo RMS – passo 1, o documento é encriptado

O que acontece no passo 1: O cliente de RMS cria uma chave aleatória (a chave de conteúdo) e encripta o documento com esta chave com o algoritmo de encriptação simétrica AES.What's happening in step 1: The RMS client creates a random key (the content key) and encrypts the document using this key with the AES symmetric encryption algorithm.

Proteção de documentos pelo RMS – passo 2, a política é criada

O que acontece no passo 2: O cliente do RMS, em seguida, cria um certificado que inclua uma política para o documento que inclui a direitos de utilização para utilizadores ou grupos e outras restrições, como uma data de expiração.What's happening in step 2: The RMS client then creates a certificate that includes a policy for the document that includes the usage rights for users or groups, and other restrictions, such as an expiration date. Estas definições podem ser definidas num modelo que um administrador anteriormente configurado, ou ser especificada no momento que o conteúdo é protegido (por vezes referido como uma "política ad hoc").These settings can be defined in a template that an administrator previously configured, or specified at the time the content is protected (sometimes referred to as an "ad hoc policy").

O principal atributo do Azure AD utilizado para identificar os utilizadores e grupos selecionados é o atributo ProxyAddresses do Azure AD, que armazena todos os endereços de e-mail de um utilizador ou grupo.The main Azure AD attribute used to identify the selected users and groups is the Azure AD ProxyAddresses attribute, which stores all the email addresses for a user or group. No entanto, se uma conta de utilizador não tiver nenhum valor no atributo ProxyAddresses do AD, o valor UserPrincipalName do utilizador é utilizado.However, if a user account doesn't have any values in the AD ProxyAddresses attribute, the user's UserPrincipalName value is used instead.

Em seguida, o cliente de RMS utiliza a chave da organização obtida quando o ambiente de utilizador foi inicializado para encriptar a política e a chave de conteúdo simétrica.The RMS client then uses the organization’s key that was obtained when the user environment was initialized and uses this key to encrypt the policy and the symmetric content key. O cliente RMS também assina a política com o certificado do utilizador obtido quando o ambiente do utilizador foi inicializado.The RMS client also signs the policy with the user’s certificate that was obtained when the user environment was initialized.

Proteção de documentos pelo RMS – passo 3, a política é incorporada no documento

O que acontece no passo 3: Por fim, o cliente de RMs incorpora a política para um ficheiro com o corpo do documento previamente encriptado e que em conjunto, compõem um documento protegido.What's happening in step 3: Finally, the RMs client embeds the policy into a file with the body of the document encrypted previously, which together comprise a protected document.

Este documento pode ser armazenado em qualquer lugar ou partilhado com qualquer método e a política permanece sempre com o documento encriptado.This document can be stored anywhere or shared by using any method, and the policy always stays with the encrypted document.

Consumo de conteúdosContent consumption

Se um utilizador quiser consumir um documento protegido, o cliente de RMS começa por pedir acesso ao serviço Azure Rights Management:When a user wants to consume a protected document, the RMS client starts by requesting access to the Azure Rights Management service:

Consumo de documentos pelo RMS – passo 1, o utilizador é autenticado e obtém a lista de direitos

O que acontece no passo 1: O utilizador autenticado envia a política do documento e os certificados do utilizador para o serviço Azure Rights Management.What's happening in step 1: The authenticated user sends the document policy and the user’s certificates to the Azure Rights Management service. O serviço desencripta e avalia a política e cria uma lista de direitos (se aplicável) que o utilizador tem sobre o documento.The service decrypts and evaluates the policy, and builds a list of rights (if any) the user has for the document. Para identificar o utilizador, é utilizado o atributo ProxyAddresses do Azure AD para a conta do utilizador e para os grupos dos quais este é membro.To identify the user, the Azure AD ProxyAddresses attribute is used for the user's account and groups to which the user is a member. Por motivos de desempenho, a associação a grupos é colocada em cache.For performance reasons, group membership is cached. Se a conta de utilizador não tiver nenhum valor para o atributo ProxyAddresses do Azure AD, é utilizado o valor no atributo UserPrincipalName do Azure AD.If the user account has no values for the Azure AD ProxyAddresses attribute, the value in the Azure AD UserPrincipalName is used instead.

Consumo de documentos pelo RMS – passo 2, a licença de utilização é dada ao cliente

O que acontece no passo 2: O serviço, em seguida, extrai a chave de conteúdo AES da política desencriptada.What's happening in step 2: The service then extracts the AES content key from the decrypted policy. Esta chave é então encriptada com a chave RSA pública do utilizador que foi obtida com o pedido.This key is then encrypted with the user’s public RSA key that was obtained with the request.

A chave de conteúdo encriptada novamente é incorporada numa licença de utilização encriptada com a lista de direitos de utilizador que, em seguida, é devolvida ao cliente de RMS.The re-encrypted content key is then embedded into an encrypted use license with the list of user rights, which is then returned to the RMS client.

Documento consumo pelo RMS – passo 3, o documento é desencriptado e são impostos direitos

O que acontece no passo 3: Por fim, o cliente do RMS leva a licença de utilização encriptada e desencripta a mesma com sua própria chave privada do utilizador.What's happening in step 3: Finally, the RMS client takes the encrypted use license and decrypts it with its own user private key. Isto permite que o cliente de RMS desencripte o corpo do documento conforme necessário e o apresente no ecrã.This lets the RMS client decrypt the document’s body as it is needed and render it on the screen.

O cliente também desencripta a lista de direitos e passa-a para a aplicação, que impõe esses direitos na interface de utilizador da aplicação.The client also decrypts the rights list and passes them to the application, which enforces those rights in the application’s user interface.

Nota

Quando os utilizadores externos à sua organização consomem conteúdos que protegeu, o processo de consumo é o mesmo.When users who are external to your organization consume content that you've protected, the consumption flow is the same. O que muda neste cenário é a forma como o utilizador é autenticado.What changes for this scenario, is how the user is authenticated. Para obter mais informações, veja Quando partilho um documento protegido com alguém fora da minha empresa, como é que esse utilizador é autenticado?For more information, see When I share a protected document with somebody outside my company, how does that user get authenticated?

VariaçõesVariations

Os passos anteriores abrangem os cenários padrão, mas existem algumas variações:The preceding walkthroughs cover the standard scenarios but there are some variations:

  • Proteção de e-mail: Quando o Exchange Online e encriptação de mensagens do Office 365 com os novos recursos é utilizado para proteger mensagens de e-mail, a autenticação para consumo também pode utilizar federação com um fornecedor de identidade social ou por meio de um código de acesso único.Email protection: When Exchange Online and Office 365 Message Encryption with new capabilities is used to protect email messages, authentication for consumption can also use federation with a social identity provider or by using a one-time passcode. Em seguida, os fluxos do processo são muito semelhantes, exceto pelo fato de consumo de conteúdo do lado do serviço acontece numa sessão de navegador da web através de uma cópia temporariamente em cache da mensagem de e-mail de saída.Then, the process flows are very similar, except that content consumption happens service-side in a web browser session over a temporarily cached copy of the outbound email.

  • Dispositivos móveis: Quando os dispositivos móveis protegem ou consomem ficheiros com o serviço Azure Rights Management, os fluxos do processo são muito mais simples.Mobile devices: When mobile devices protect or consume files with the Azure Rights Management service, the process flows are much simpler. Os dispositivos móveis não passam pelo processo de inicialização do utilizador efetuado em primeiro lugar, pois cada transação (para proteger ou consumir conteúdos) é independente.Mobile devices don’t first go through the user initialization process because instead, each transaction (to protect or consume content) is independent. À semelhança dos computadores Windows, os dispositivos móveis ligam-se ao serviço Azure Rights Management e efetuam a autenticação.As with Windows computers, mobile devices connect to the Azure Rights Management service and authenticate. Para proteger os conteúdos, os dispositivos móveis submetem uma política e o serviço Azure Rights Management envia-lhes uma licença de publicação e uma chave simétrica para proteger o documento.To protect content, mobile devices submit a policy and the Azure Rights Management service sends them a publishing license and symmetric key to protect the document. Para consumir conteúdos, quando os dispositivos móveis se ligam ao serviço Azure Rights Management e efetuam a autenticação, os mesmos enviam a política do documento para o serviço Azure Rights Management e pedem uma licença de utilização para consumir o documento.To consume content, when mobile devices connect to the Azure Rights Management service and authenticate, they send the document policy to the Azure Rights Management service and request a use license to consume the document. Em resposta, o serviço Azure Rights Management envia as chaves e restrições necessárias para os dispositivos móveis.In response, the Azure Rights Management service sends the necessary keys and restrictions to the mobile devices. Ambos os processos utilizam o TLS para proteger a troca de chaves e outras comunicações.Both processes use TLS to protect the key exchange and other communications.

  • Conector do RMS: Quando o serviço Azure Rights Management é utilizado com o conector RMS, os fluxos do processo permanecem iguais.RMS connector: When the Azure Rights Management service is used with the RMS connector, the process flows remain the same. A única diferença é que o conector funciona como um reencaminhamento entre os serviços no local (como o Exchange Server e o SharePoint Server) e o serviço Azure Rights Management.The only difference is that the connector acts as a relay between the on-premises services (such as Exchange Server and SharePoint Server) and the Azure Rights Management service. O conector propriamente dito não executa quaisquer operações, como a inicialização do ambiente de utilizador, a encriptação ou a desencriptação.The connector itself does not perform any operations, such as the initialization of the user environment, or encryption or decryption. Apenas reencaminha a comunicação que normalmente iria para um servidor AD RMS, o processamento da tradução entre os protocolos que são utilizados em cada lado.It simply relays the communication that would usually go to an AD RMS server, handling the translation between the protocols that are used on each side. Este cenário permite-lhe utilizar o serviço Azure Rights Management com serviços no local.This scenario lets you use the Azure Rights Management service with on-premises services.

  • Proteção genérica (. pfile) : Quando o serviço Azure Rights Management protege genericamente um ficheiro, o fluxo é basicamente o mesmo para a proteção de conteúdo, exceto que o cliente de RMS cria uma política que concede todos os direitos.Generic protection (.pfile): When the Azure Rights Management service generically protects a file, the flow is basically the same for content protection except that the RMS client creates a policy that grants all rights. Quando o ficheiro é consumido, é desencriptado antes de ser transmitido para a aplicação de destino.When the file is consumed, it is decrypted before it is passed to the target application. Este cenário permite-lhe proteger todos os ficheiros, mesmo que não suportem o RMS originalmente.This scenario lets you protect all files, even if they don’t natively support RMS.

  • As contas Microsoft: O Azure Information Protection pode autorizar os endereços de e-mail para consumo, quando os utilizadores são autenticados com uma conta Microsoft.Microsoft accounts: Azure Information Protection can authorize email addresses for consumption when they are authenticated with a Microsoft account. No entanto, nem todos os aplicativos podem abrir conteúdo protegido, quando uma conta Microsoft é utilizada para autenticação.However, not all applications can open protected content when a Microsoft account is used for authentication. Obter mais informações.More information.

Passos SeguintesNext steps

Para saber mais sobre o serviço Azure Rights Management, utilize os outros artigos a compreender e explorar secção, tal como como as aplicações suportam o serviço Azure Rights Management para saber mais como seus aplicativos existentes, podem integrar com o Azure Rights Management para fornecer uma solução de proteção de informações.To learn more about the Azure Rights Management service, use the other articles in the Understand & Explore section, such as How applications support the Azure Rights Management service to learn how your existing applications can integrate with Azure Rights Management to provide an information protection solution.

Consulte a Terminologia do Azure Information Protection para se familiarizar com os termos que possam ser apresentados quando estiver a configurar e utilizar o serviço Azure Rights Management e certifique-se de que também consulta os Requirements for Azure Information Protection (Requisitos para o Azure Information Protection – em inglês) antes de iniciar a implementação.Review Terminology for Azure Information Protection so that you’re familiar with the terms that you might come across as you’re configuring and using the Azure Rights Management service, and be sure to also check Requirements for Azure Information Protection before you start your deployment. Se quiser começar já e experimente mesmo, utilize o editar a política e criar uma nova etiqueta tutorial.If you want to dive right in and try it out for yourself, use the Edit the policy and create a new label tutorial.

Se estiver pronto para iniciar a implementação da proteção de dados na sua organização, utilize o Plano de implementação do Azure Information Protection para obter os passos da sua implementação e ligações para instruções sobre como proceder.If you’re ready to start deploying data protection for your organization, use the Azure Information Protection deployment roadmap for your deployment steps and links for how-to instructions.

Dica

Para obter ajuda e informações adicionais, utilize os recursos e ligações em Informações e suporte do Azure Information Protection.For additional information and help, use the resources and links in Information and support for Azure Information Protection.