Gerir dados pessoais no Azure Information ProtectionManage personal data for Azure Information Protection

Ao configurar e utilizar a Azure Information Protection, os endereços de e-mail e os endereços IP são armazenados e utilizados pelo serviço de Proteção de Informação Azure.When you configure and use Azure Information Protection, email addresses and IP addresses are stored and used by the Azure Information Protection service. Estes dados pessoais podem ser encontrados nos seguintes itens:This personal data can be found in the following items:

  • A política de proteção da informação AzureThe Azure Information Protection policy

  • Modelos para o serviço de proteçãoTemplates for the protection service

  • Super utilizadores e administradores delegados para o serviço de proteçãoSuper users and delegated administrators for the protection service

  • Registos administrativos para o serviço de proteçãoAdministration logs for the protection service

  • Registos de utilização para o serviço de proteçãoUsage logs for the protection service

  • Registos de rastreio de documentosDocument tracking logs

  • Registos de utilização para os clientes Azure Information Protection e cliente RMSUsage logs for the Azure Information Protection clients and RMS client

Nota

Este artigo disponibiliza passos para eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para o ajudar a cumprir as suas obrigações referentes ao RGPD.This article provides steps for how to delete personal data from the device or service and can be used to support your obligations under the GDPR. Se quiser obter informações gerais sobre o RGPD, veja a secção RGPD do Portal de Confiança do Serviço.If you’re looking for general info about GDPR, see the GDPR section of the Service Trust portal.

Visualização de dados pessoais que a Azure Information Protection utilizaViewing personal data that Azure Information Protection uses

Utilizando o portal Azure, um administrador pode especificar endereços de e-mail para políticas de âmbito e para definições de proteção dentro de uma configuração de etiqueta.Using the Azure portal, an administrator can specify email addresses for scoped policies and for protection settings within a label configuration. Para obter mais informações, consulte Como configurar a política de proteção de informação Azure para utilizadores específicos, utilizando políticas de âmbito e como configurar um rótulo de proteção de direitos.For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

Para as etiquetas configuradas para aplicar a proteção do serviço Azure Rights Management, o endereço de e-mail também pode ser encontrado em modelos de proteção, utilizando cmdlets PowerShell do módulo AIPService.For labels that are configured to apply protection from the Azure Rights Management service, email address can also be found in protection templates, by using PowerShell cmdlets from the AIPService module. Este módulo PowerShell também permite que um administrador especifique os utilizadores por endereço de e-mail para ser um super utilizador, ou um administrador para o serviço de Gestão de Direitos Azure.This PowerShell module also lets an administrator specify users by email address to be a super user, or an administrator for the Azure Rights Management service.

Quando a Proteção de Informações do Azure é usada para classificar e proteger documentos e e-mails, endereços de e-mail e endereços IP dos utilizadores podem ser guardados em ficheiros de registo.When Azure Information Protection is used to classify and protect documents and emails, email addresses and the users' IP addresses might be saved in log files.

Modelos de proteçãoProtection templates

Executar o cmdlet Get-AipServiceTemplate para obter uma lista de modelos de proteção.Run the Get-AipServiceTemplate cmdlet to get a list of protection templates. Você pode usar o ID do modelo para obter detalhes de um modelo específico.You can use the template ID to get details of a specific template. O RightsDefinitions objeto exibe os dados pessoais, se houver.The RightsDefinitions object displays the personal data, if any.

Exemplo:Example:

PS C:\Users> Get-AipServiceTemplate -TemplateId fcdbbc36-1f48-48ca-887f-265ee1268f51 | select *


TemplateId              : fcdbbc36-1f48-48ca-887f-265ee1268f51
Names                   : {1033 -> Confidential}
Descriptions            : {1033 -> This data includes sensitive business information. Exposing this data to
                          unauthorized users may cause damage to the business. Examples for Confidential information
                          are employee information, individual customer projects or contracts and sales account data.}
Status                  : Archived
RightsDefinitions       : {admin@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT,
                          REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER,
                          AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@aip500.onmicrosoft.com -> VIEW,
                          VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT,
                          EDITRIGHTSDATA, OBJMODEL, OWNER, admin2@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT,
                          DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER}
ContentExpirationDate   : 1/1/0001 12:00:00 AM
ContentValidityDuration : 0
ContentExpirationOption : Never
LicenseValidityDuration : 7
ReadOnly                : False
LastModifiedTimeStamp   : 1/26/2018 6:17:00 PM
ScopedIdentities        : {}
EnableInLegacyApps      : False
LabelId                 :

Super utilizadores e administradores delegados para o serviço de proteçãoSuper users and delegated administrators for the protection service

Executar o cmdlet Get-AipServiceSuperUser e get-aipservicerolebasedadministrator cmdlet para ver quais os utilizadores que foram atribuídos o papel de super utilizador ou papel de administrador global para o serviço de proteção (Azure Rights Management) da Azure Information Protection.Run the Get-AipServiceSuperUser cmdlet and get-aipservicerolebasedadministrator cmdlet to see which users have been assigned the super user role or global administrator role for the protection service (Azure Rights Management) from Azure Information Protection. Para os utilizadores que tenham sido atribuídos a qualquer uma destas funções, os seus endereços de e-mail são apresentados.For users who have been assigned either of these roles, their email addresses are displayed.

Registos administrativos para o serviço de proteçãoAdministration logs for the protection service

Executar o cmdlet Get-AipServiceAdminLog para obter um registo de ações de administração para o serviço de proteção (Azure Rights Management) da Azure Information Protection.Run the Get-AipServiceAdminLog cmdlet to get a log of admin actions for the protection service (Azure Rights Management) from Azure Information Protection. Este registo inclui dados pessoais sob a forma de endereços de e-mail e endereços IP.This log includes personal data in the form of email addresses and IP addresses. O registo está em texto simples e depois de ser descarregado, os detalhes de um administrador específico podem ser pesquisados offline.The log is in plaintext and after it is downloaded, the details of a specific administrator can be searched offline.

Por exemplo:For example:

PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Registos de utilização para o serviço de proteçãoUsage logs for the protection service

Executar o cmdlet Get-AipServiceUserLog para recuperar um registo das ações do utilizador final que utilizam o serviço de proteção da Azure Information Protection.Run the Get-AipServiceUserLog cmdlet to retrieve a log of end-user actions that use the protection service from Azure Information Protection. O registo pode incluir dados pessoais sob a forma de endereços de e-mail e endereços IP.The log could include personal data in the form of email addresses and IP addresses. O registo está em texto simples e depois de ser descarregado, os detalhes de um administrador específico podem ser pesquisados offline.The log is in plaintext and after it is downloaded, the details of a specific administrator can be searched offline.

Por exemplo:For example:

PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Registos de rastreio de documentosDocument tracking logs

Execute o cmdlet Get-AipServiceDocumentLog para obter informações do site de rastreio de documentos sobre um utilizador específico.Run the Get-AipServiceDocumentLog cmdlet to retrieve information from the document tracking site about a specific user. Para obter informações de rastreio associadas aos registos de documentos, utilize o cmdlet Get-AipServiceTrackingLog.To get tracking information associated with the document logs, use the Get-AipServiceTrackingLog cmdlet.

Por exemplo:For example:

PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

Não há nenhuma pesquisa por ObjectID.There is no search by ObjectID. No entanto, não é restringido pelo -UserEmail parâmetro e o endereço de e-mail que fornece não precisa de fazer parte do seu inquilino.However, you are not restricted by the -UserEmail parameter and the email address you provide doesn't need to be part of your tenant. Se o endereço de e-mail fornecido for armazenado em qualquer lugar nos registos de rastreio de documentos, a entrada de rastreio do documento é devolvida na saída do cmdlet.If the email address provided is stored anywhere in the document tracking logs, the document tracking entry is returned in the cmdlet output.

Registos de utilização para os clientes Azure Information Protection e cliente RMSUsage logs for the Azure Information Protection clients and RMS client

Quando as etiquetas e a proteção são aplicadas a documentos e e-mails, endereços de e-mail e endereços IP podem ser armazenados em ficheiros de registo no computador de um utilizador nos seguintes locais:When labels and protection are applied to documents and emails, email addresses and IP addresses can be stored in log files on a user's computer in the following locations:

  • Para o cliente de rotulagem unificada da Azure Information Protection e o cliente Azure Information Protection: %localappdata%\Microsoft\MSIP\LogsFor the Azure Information Protection unified labeling client and the Azure Information Protection client: %localappdata%\Microsoft\MSIP\Logs

  • Para o cliente RMS: %localappdata%\Microsoft\MSIPC\msip\LogsFor the RMS client: %localappdata%\Microsoft\MSIPC\msip\Logs

Além disso, o cliente Azure Information Protection regista estes dados pessoais para o registo de eventos local Do Windows Aplicações e Serviços > Azure Information Protection.In addition, the Azure Information Protection client logs this personal data to the local Windows event log Applications and Services Logs > Azure Information Protection.

Quando o cliente Azure Information Protection executa o scanner, os dados pessoais são guardados para %localappdata%\Microsoft\MSIP\Scanner\Reportes no computador do Windows Server que executa o scanner.When the Azure Information Protection client runs the scanner, personal data is saved to %localappdata%\Microsoft\MSIP\Scanner\Reports on the Windows Server computer that runs the scanner.

Pode desativar as informações de registo do cliente Azure Information Protection e do scanner utilizando as seguintes configurações:You can turn off logging information for the Azure Information Protection client and the scanner by using the following configurations:

Nota

Se quiser ver ou eliminar dados pessoais, veja as orientações da Microsoft no Gestor de Conformidade da Microsoft e na secção RGPD do site de Conformidade do Microsoft 365 Enterprise.If you’re interested in viewing or deleting personal data, please review Microsoft's guidance in the Microsoft Compliance Manager and in the GDPR section of the Microsoft 365 Enterprise Compliance site. Se estiver à procura de informações gerais sobre o RGPD, veja a secção RGPD do portal do Serviço de Confiança.If you’re looking for general information about GDPR, see the GDPR section of the Service Trust portal.

Proteger e controlar o acesso a informações pessoaisSecuring and controlling access to personal information

Os dados pessoais que vê e especifica no portal Azure só são acessíveis aos utilizadores que tenham sido atribuídos uma das seguintes funções de administrador a partir do Diretório Ativo Azure:Personal data that you view and specify in the Azure portal is accessible only to users who have been assigned one of the following administrator roles from Azure Active Directory:

  • Administrador de Proteção de Informação da AzureAzure Information Protection administrator

  • Administrador de conformidadeCompliance administrator

  • Administrador de dados de conformidadeCompliance data administrator

  • Administrador de segurançaSecurity administrator

  • Leitor de segurançaSecurity reader

  • Administrador globalGlobal administrator

  • Leitor globalGlobal reader

Os dados pessoais que vê e especifica utilizando o módulo AIPService (ou o módulo mais antigo, AADRM) só estão acessíveis aos utilizadores que tenham sido designados o administrador de Proteção de Informação Azure, administrador de conformidade, administrador de dadosde conformidade, ou funções de Administrador Global da Azure Ative Directory ou o papel de administrador global para o serviço de proteção.Personal data that you view and specify by using the AIPService module (or the older module, AADRM) is accessible only to users who have been assigned the Azure Information Protection administrator, Compliance administrator, Compliance data administrator, or Global Administrator roles from Azure Active Directory, or the global administrator role for the protection service.

Atualizar dados pessoaisUpdating personal data

Pode atualizar endereços de e-mail para políticas e definições de proteção de âmbito na política de Proteção de Informação Azure.You can update email addresses for scoped policies and protection settings in the Azure Information Protection policy. Para obter mais informações, consulte Como configurar a política de proteção de informação Azure para utilizadores específicos, utilizando políticas de âmbito e como configurar um rótulo de proteção de direitos.For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

Para as definições de proteção, pode atualizar as mesmas informações utilizando cmdlets PowerShell do módulo AIPService.For the protection settings, you can update the same information by using PowerShell cmdlets from the AIPService module.

Não é possível atualizar endereços de e-mail para os super utilizadores e administradores delegados.You cannot update email addresses for the super users and delegated administrators. Em vez disso, remova a conta de utilizador especificada e adicione a conta de utilizador com o endereço de e-mail atualizado.Instead, remove the specified user account, and add the user account with the updated email address.

Modelos de proteçãoProtection templates

Executar o cmdeto Set-AipServiceTemplateProperty para atualizar o modelo de proteção.Run the Set-AipServiceTemplateProperty cmdlet to update the protection template. Como os dados pessoais estão dentro da RightsDefinitions propriedade, também terá de utilizar o cmdlet New-AipServiceRightsDefinition para criar um objeto de definições de direitos com a informação atualizada, e utilizar as definições de direitos objeto com o Set-AipServiceTemplateProperty cmdlet.Because the personal data is within the RightsDefinitions property, you will also need to use the New-AipServiceRightsDefinition cmdlet to create a rights definitions object with the updated information, and use the rights definitions object with the Set-AipServiceTemplateProperty cmdlet.

Super utilizadores e administradores delegados para o serviço de proteçãoSuper users and delegated administrators for the protection service

Quando precisa de atualizar um endereço de e-mail para um super utilizador:When you need update an email address for a super user:

  1. Utilize remove-AipServiceSuperUser para remover o utilizador e o antigo endereço de e-mail.Use Remove-AipServiceSuperUser to remove the user and old email address.

  2. Utilize o Add-AipServiceSuperUser para adicionar o utilizador e o novo endereço de e-mail.Use Add-AipServiceSuperUser to add the user and new email address.

Quando precisa de atualizar um endereço de e-mail para um administrador delegado:When you need update an email address for a delegated administrator:

  1. Utilize remove-AipServiceRoleBasedAdministrator para remover o utilizador e o antigo endereço de e-mail.Use Remove-AipServiceRoleBasedAdministrator to remove the user and old email address.

  2. Utilize o Add-AipServiceRoleBasedAdministrator para adicionar o utilizador e o novo endereço de e-mail.Use Add-AipServiceRoleBasedAdministrator to add the user and new email address.

Eliminar dados pessoaisDeleting personal data

Pode eliminar endereços de e-mail para políticas e definições de proteção de âmbito na política de Proteção de Informação Azure.You can delete email addresses for scoped policies and protection settings in the Azure Information Protection policy. Para obter mais informações, consulte Como configurar a política de proteção de informação Azure para utilizadores específicos, utilizando políticas de âmbito e como configurar um rótulo de proteção de direitos.For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

Para as definições de proteção, pode eliminar as mesmas informações utilizando cmdlets PowerShell do módulo AIPService.For the protection settings, you can delete the same information by using PowerShell cmdlets from the AIPService module.

Para eliminar endereços de e-mail para super utilizadores e administradores delegados, remova estes utilizadores utilizando o cmdlet Remove-AipServiceSuperUser e remove-AipServiceRoleBasedAdministrator.To delete email addresses for super users and delegated administrators, remove these users by using the Remove-AipServiceSuperUser cmdlet and Remove-AipServiceRoleBasedAdministrator.

Para eliminar dados pessoais em registos de rastreio de documentos, registos de administração ou registos de utilização para o serviço de proteção, utilize a seguinte secção para levantar um pedido com o Microsoft Support.To delete personal data in document tracking logs, administration logs, or usage logs for the protection service, use the following section to raise a request with Microsoft Support.

Para eliminar dados pessoais nos ficheiros de registo do cliente e nos registos de scanners armazenados em computadores, utilize quaisquer ferramentas padrão do Windows para eliminar os ficheiros ou dados pessoais dentro dos ficheiros.To delete personal data in the client log files and scanner logs that are stored on computers, use any standard Windows tools to delete the files or personal data within the files.

Para eliminar dados pessoais com o Microsoft SupportTo delete personal data with Microsoft Support

Utilize os três passos seguintes para solicitar que a Microsoft elimine dados pessoais em registos de rastreio de documentos, registos de administração ou registos de utilização para o serviço de proteção.Use the following three steps to request that Microsoft deletes personal data in document tracking logs, administration logs, or usage logs for the protection service.

Passo 1: Iniciar pedido de eliminação Contacte o Microsoft Support para abrir um caso de suporte à Proteção de Informação Azure com um pedido de eliminação de dados do seu inquilino.Step 1: Initiate delete request Contact Microsoft Support to open an Azure Information Protection support case with a request for deleting data from your tenant. Tem de provar que é administrador do seu inquilino Azure Information Protection e compreender que este processo demora vários dias a confirmar.You must prove that you are an administrator for your Azure Information Protection tenant and understand that this process takes several days to confirm. Ao submeter o seu pedido, terá de fornecer informações adicionais, dependendo dos dados que precisam de ser eliminados.While submitting your request, you will need to provide additional information, depending on the data that needs to be deleted.

  • Para eliminar o registo de administração, forneça a data de fim.To delete the administration log, provide the end date. Todos os registos de administração até essa data de fim serão eliminados.All admin logs until that end date will be deleted.
  • Para eliminar os registos de utilização, forneça a data de fim.To delete the usage logs, provide the end date. Todos os registos de utilização até essa data de fim serão eliminados.All usage logs until that end date will be deleted.
  • Para eliminar os registos de rastreio de documentos, forneça o UserEmail.To delete the document tracking logs, provide the UserEmail. Todas as informações de rastreio de documentos relativas ao UserEmail serão eliminadas.All document tracking information relating to the UserEmail will be deleted.

A eliminação destes dados é uma ação permanente.Deleting this data is a permanent action. Não há meios para recuperar os dados depois de um pedido de eliminação ter sido processado.There is no means to recover the data after a delete request has been processed. Recomenda-se que os administradores exportem os dados necessários antes de apresentarem um pedido de eliminação.It is recommended that administrators export the required data before submitting a delete request.

Passo 2: Aguardar a verificação A Microsoft verificará se o seu pedido de apagar um ou mais registos é legítimo.Step 2: Wait for verification Microsoft will verify that your request to delete one or more logs is legitimate. Este processo pode demorar até cinco dias úteis.This process can take up to five working days.

Passo 3: Obter confirmação da eliminação Os Serviços de Apoio ao Cliente da Microsoft (CSS) enviar-lhe-ão um e-mail de confirmação de que os dados foram eliminados.Step 3: Get confirmation of the deletion Microsoft Customer Support Services (CSS) will send you a confirmation email that the data has been deleted.

Exportar dados pessoaisExporting personal data

Quando utiliza os cmdlets AIPService ou AADRM PowerShell, os dados pessoais são disponibilizados para pesquisa e exportação como objeto PowerShell.When you use the AIPService or AADRM PowerShell cmdlets, the personal data is made available for search and export as a PowerShell object. O objeto PowerShell pode ser convertido em JSON e guardado utilizando o ConvertTo-Json cmdlet.The PowerShell object can be converted into JSON and saved by using the ConvertTo-Json cmdlet.

A Azure Information Protection segue os termos de privacidade da Microsoft para perfis ou marketing com base em dados pessoais.Azure Information Protection follows Microsoft's privacy terms for profiling or marketing based on personal data.

Auditoria e reporteAuditing and reporting

Apenas os utilizadores que tenham sido autorizados a utilizar o módulo AIPService ou ADDRM para pesquisa e exportação de dados pessoais.Only users who have been assigned administrator permissions can use the AIPService or ADDRM module for search and export of personal data. Estas operações são registadas no registo administrativo que pode ser descarregado.These operations are recorded in the administration log that can be downloaded.

Para eliminar ações, o pedido de suporte funciona como o rasto de auditoria e reporte das ações realizadas pela Microsoft.For delete actions, the support request acts as the auditing and reporting trail for the actions performed by Microsoft. Após a eliminação, os dados eliminados não estarão disponíveis para pesquisa e exportação, e o administrador pode verificar isso utilizando os cmdlets Get do módulo AIPService.After deletion, the deleted data will not be available for search and export, and the administrator can verify this using the Get cmdlets from the AIPService module.