Gerenciar dados pessoais para a Proteção de Informações do Azure
Nota
Você está procurando por Microsoft Purview Information Protection, anteriormente Microsoft Information Protection (MIP)?
O suplemento Proteção de Informações do Azure foi retirado e substituído por rótulos incorporados aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.
O novo cliente Microsoft Purview Information Protection (sem o suplemento) está atualmente em pré-visualização e agendado para disponibilidade geral.
Quando você configura e usa a Proteção de Informações do Azure, os endereços de email e endereços IP são armazenados e usados pelo serviço de Proteção de Informações do Azure. Estes dados pessoais podem ser encontrados nos seguintes itens:
Superusuários e administradores delegados para o serviço de proteção
Logs de administração para o serviço de proteção
Logs de uso para o serviço de proteção
Logs de uso para os clientes do Azure Information Protection e o cliente RMS
Nota
Este artigo mostra os passos para eliminar dados pessoais do dispositivo ou serviço e pode ser utilizado para dar apoio às suas obrigações ao abrigo do GDPR. Se estiver à procura de informações gerais sobre o GDPR, veja a secção GDPR do Portal de Confiança do Serviço.
Exibindo dados pessoais que a Proteção de Informações do Azure usa
Cliente de etiquetagem unificado:
Para o cliente de etiquetagem unificado, as etiquetas de sensibilidade e as políticas de etiquetas são configuradas no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte a documentação do Microsoft 365.
Nota
Quando a Proteção de Informações do Azure é usada para classificar e proteger documentos e emails, os endereços de email e os endereços IP dos usuários podem ser salvos em arquivos de log.
Superusuários e administradores delegados para o serviço de proteção
Execute o cmdlet Get-AipServiceSuperUser e o cmdlet get-aipservicerolebasedadministrator para ver quais usuários receberam a função de superusuário ou a função de administrador global para o serviço de proteção (Azure Rights Management) da Proteção de Informações do Azure. Para usuários aos quais foi atribuída qualquer uma dessas funções, seus endereços de e-mail são exibidos.
Logs de administração para o serviço de proteção
Execute o cmdlet Get-AipServiceAdminLog para obter um log de ações administrativas para o serviço de proteção (Azure Rights Management) da Proteção de Informações do Azure. Este registo inclui dados pessoais sob a forma de endereços de e-mail e endereços IP. O log é em texto simples e, depois de baixado, os detalhes de um administrador específico podem ser pesquisados offline.
Por exemplo:
PS C:\Users> Get-AipServiceAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.
Logs de uso para o serviço de proteção
Execute o cmdlet Get-AipServiceUserLog para recuperar um log de ações do usuário final que usam o serviço de proteção da Proteção de Informações do Azure. O registo pode incluir dados pessoais sob a forma de endereços de correio eletrónico e endereços IP. O log é em texto simples e, depois de baixado, os detalhes de um administrador específico podem ser pesquisados offline.
Por exemplo:
PS C:\Users> Get-AipServiceUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.
Logs de uso para os clientes do Azure Information Protection e o cliente RMS
Quando as etiquetas e a proteção são aplicadas a documentos e e-mails, os endereços de e-mail e endereços IP podem ser armazenados em arquivos de log no computador de um usuário nos seguintes locais:
Para o cliente de rotulagem unificada da Proteção de Informações do Azure: %localappdata%\Microsoft\MSIP\Logs
Para o cliente RMS: %localappdata%\Microsoft\MSIPC\msip\Logs
Além disso, o cliente da Proteção de Informações do Azure registra esses dados pessoais no log de eventos local do Windows Logs de Aplicativos e Serviços Proteção>de Informações do Azure.
Quando o cliente do Azure Information Protection executa o scanner, os dados pessoais são salvos em %localappdata%\Microsoft\MSIP\Scanner\Reports no computador Windows Server que executa o scanner.
Você pode desativar as informações de log para o cliente da Proteção de Informações do Azure e o mecanismo de varredura usando as seguintes configurações:
Para o cliente do Azure Information Protection: crie uma configuração de cliente avançada que configure o LogLevel como Off.
Para o mecanismo de varredura da Proteção de Informações do Azure: use o cmdlet Set-AIPScannerConfiguration para definir o parâmetro ReportLevel como Off.
Nota
Se estiver interessado em visualizar ou eliminar dados pessoais, consulte as orientações da Microsoft no Microsoft Purview Compliance Manager e na secção RGPD do site Microsoft 365 Enterprise Compliance . Se estiver à procura de informações gerais sobre o RGPD, consulte a secção RGPD do portal Service Trust.
Registos de acompanhamento de documentos
Relevante para: Proteção do Rights Management Service somente com o portal de rastreamento herdado
Execute o cmdlet Get-AipServiceDocumentLog para recuperar informações do site de controle de documentos sobre um usuário específico. Para obter informações de controle associadas aos logs de documentos, use o cmdlet Get-AipServiceTrackingLog .
Por exemplo:
PS C:\Users> Get-AipServiceDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"
ContentId : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer : admin@aip500.onmicrosoft.com
Owner : admin@aip500.onmicrosoft.com
ContentName :
CreatedTime : 3/6/2018 10:24:00 PM
Recipients : {
PrimaryEmail: johndoe@contoso.com
DisplayName: JOHNDOE@CONTOSO.COM
UserType: External,
PrimaryEmail: alice@contoso0110.onmicrosoft.com
DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
UserType: External
}
TemplateId :
PolicyExpires :
EULDuration :
SendRegistrationEmail : True
NotificationInfo : Enabled: False
DeniedOnly: False
Culture:
TimeZoneId:
TimeZoneOffset: 0
TimeZoneDaylightName:
TimeZoneStandardName:
RevocationInfo : Revoked: False
RevokedTime:
RevokedBy:
PS C:\Users> Get-AipServiceTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"
ContentId : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer : admin@aip500.onmicrosoft.com
RequestTime : 3/6/2018 10:45:57 PM
RequesterType : External
RequesterEmail : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation : IP: 167.220.1.54
Country: US
City: redmond
Position: 47.6812453974602,-122.120736471666
Rights : {VIEW,OBJMODEL}
Successful : False
IsHiddenInfo : False
Não há pesquisa por ObjectID. No entanto, você não está restrito pelo -UserEmail
parâmetro e o endereço de e-mail fornecido não precisa fazer parte do seu locatário. Se o endereço de e-mail fornecido estiver armazenado em qualquer lugar nos logs de controle de documentos, a entrada de controle de documentos será retornada na saída do cmdlet.
Proteção e controlo do acesso às informações pessoais
Os dados pessoais que você exibe e especifica no portal do Azure só podem ser acessados para usuários aos quais foi atribuída uma das seguintes funções de administrador da ID do Microsoft Entra:
Administrador da Proteção de Informações do Azure
Administrador de conformidade
Administrador de dados de conformidade
Administrador de segurança
Leitor de segurança
Administrador global
Leitor global
Os dados pessoais que você exibe e especifica usando o módulo AIPService (ou o módulo mais antigo, AADRM) só podem ser acessados por usuários aos quais foram atribuídas as funções de administrador da Proteção de Informações do Azure, administrador de conformidade, administrador de dados de conformidade ou administrador global da ID do Microsoft Entra ou a função de administrador global do serviço de proteção.
Atualização de dados pessoais
Rótulos de sensibilidade e políticas de rótulos são configurados no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte a documentação do Microsoft 365.
Para as configurações de proteção, você pode atualizar as mesmas informações usando cmdlets do PowerShell do módulo AIPService.
Não é possível atualizar endereços de e-mail para os superusuários e administradores delegados. Em vez disso, remova a conta de usuário especificada e adicione a conta de usuário com o endereço de e-mail atualizado.
Superusuários e administradores delegados para o serviço de proteção
Quando você precisar atualizar um endereço de e-mail para um superusuário:
Use Remove-AipServiceSuperUser para remover o usuário e o endereço de e-mail antigo.
Use Add-AipServiceSuperUser para adicionar o usuário e o novo endereço de e-mail.
Quando precisar atualizar um endereço de e-mail para um administrador delegado:
Use Remove-AipServiceRoleBasedAdministrator para remover o usuário e o endereço de e-mail antigo.
Use Add-AipServiceRoleBasedAdministrator para adicionar o usuário e o novo endereço de email.
Eliminação de dados pessoais
Rótulos de sensibilidade e políticas de rótulos são configurados no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte a documentação do Microsoft 365.
Para as configurações de proteção, você pode excluir as mesmas informações usando cmdlets do PowerShell do módulo AIPService.
Para excluir endereços de email de superusuários e administradores delegados, remova esses usuários usando o cmdlet Remove-AipServiceSuperUser e Remove-AipServiceRoleBasedAdministrator.
Para excluir dados pessoais em logs de controle de documentos, logs de administração ou logs de uso do serviço de proteção, use a seção a seguir para enviar uma solicitação ao Suporte da Microsoft.
Para excluir dados pessoais nos arquivos de log do cliente e nos logs do scanner armazenados nos computadores, use qualquer ferramenta padrão do Windows para excluir os arquivos ou dados pessoais dentro dos arquivos.
Para excluir dados pessoais com o Suporte da Microsoft
Use as três etapas a seguir para solicitar que a Microsoft exclua dados pessoais em logs de controle de documentos, logs de administração ou logs de uso para o serviço de proteção.
Etapa 1: Iniciar a solicitaçãode exclusão Entre em contato com o Suporte da Microsoft para abrir um caso de suporte da Proteção de Informações do Azure com uma solicitação para excluir dados do seu locatário. Você deve provar que é um administrador do locatário da Proteção de Informações do Azure e entender que esse processo leva vários dias para ser confirmado. Ao enviar sua solicitação, você precisará fornecer informações adicionais, dependendo dos dados que precisam ser excluídos.
- Para excluir o log de administração, forneça a data de término. Todos os logs de administração até essa data final serão excluídos.
- Para excluir os logs de uso, forneça a data de término. Todos os logs de uso até essa data final serão excluídos.
- Para excluir os logs de rastreamento de documentos, forneça a data de término e UserEmail. Todas as informações de rastreamento de documentos relacionadas ao UserEmail até essa data final serão excluídas. A expressão regular (formato Perl) para UserEmail é suportada.
A eliminação destes dados é uma ação permanente. Não há meios de recuperar os dados após o processamento de um pedido de eliminação. É recomendável que os administradores exportem os dados necessários antes de enviar uma solicitação de exclusão.
Etapa 2: Aguarde a verificação A Microsoft verificará se sua solicitação para excluir um ou mais logs é legítima. Este processo pode demorar até cinco dias úteis.
Etapa 3: Obter a confirmação da exclusão Os Serviços de Atendimento ao Cliente (CSS) da Microsoft enviarão um e-mail de confirmação de que os dados foram excluídos.
Exportação de dados pessoais
Quando você usa os cmdlets AIPService ou AADRM PowerShell, os dados pessoais são disponibilizados para pesquisa e exportação como um objeto do PowerShell. O objeto PowerShell pode ser convertido em JSON e salvo usando o ConvertTo-Json
cmdlet.
Restringir o uso de dados pessoais para definição de perfis ou marketing sem consentimento
A Proteção de Informações do Azure segue os termos de privacidade da Microsoft para criação de perfis ou marketing com base em dados pessoais.
Auditoria e relatórios
Somente os usuários aos quais foram atribuídas permissões de administrador podem usar o módulo AIPService ou ADDRM para pesquisa e exportação de dados pessoais. Essas operações são registradas no log de administração que pode ser baixado.
Para ações de exclusão, a solicitação de suporte atua como a trilha de auditoria e relatório para as ações executadas pela Microsoft. Após a exclusão, os dados excluídos não estarão disponíveis para pesquisa e exportação, e o administrador pode verificar isso usando os cmdlets Get do módulo AIPService.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários