Gerir dados pessoais para o Azure Information ProtectionManage personal data for Azure Information Protection

Ao configurar e utilizar o Azure Information Protection, endereços de e-mail e endereços IP são utilizados e armazenados pelo serviço do Azure Information Protection.When you configure and use Azure Information Protection, email addresses and IP addresses are stored and used by the Azure Information Protection service. Estes dados pessoais podem ser encontrados nos seguintes itens:This personal data can be found in the following items:

  • A política do Azure Information ProtectionThe Azure Information Protection policy

  • Modelos de proteção para o serviço Azure Rights ManagementProtection templates for the Azure Rights Management service

  • Superutilizadores e os administradores delegados para o serviço Azure Rights ManagementSuper users and delegated administrators for the Azure Rights Management service

  • Registos de administração para o serviço Azure Rights ManagementAdministration logs for the Azure Rights Management service

  • Registos de utilização para o serviço Azure Rights ManagementUsage logs for the Azure Rights Management service

  • Registos de controlo de documentosDocument tracking logs

  • Registos de utilização para o cliente Azure Information Protection e o cliente de RMSUsage logs for the Azure Information Protection client and RMS client

Nota

Este artigo fornece os passos para saber como eliminar os dados pessoais do dispositivo ou serviço e pode ser utilizado para suportar as suas obrigações sob o GDPR.This article provides steps for how to delete personal data from the device or service and can be used to support your obligations under the GDPR. Se estiver procurando por informações gerais sobre o GDPR, consulte a secção GDPR para o portal de confiança do serviço.If you’re looking for general info about GDPR, see the GDPR section of the Service Trust portal.

Ver os dados pessoais que utiliza o Azure Information ProtectionViewing personal data that Azure Information Protection uses

Utilizar o portal do Azure, um administrador pode especificar endereços de e-mail para políticas de âmbito e para as definições de proteção dentro de uma configuração de etiqueta.Using the Azure portal, an administrator can specify email addresses for scoped policies and for protection settings within a label configuration. Para obter mais informações, consulte como configurar a política do Azure Information Protection para utilizadores específicos com políticas de âmbito e como configurar uma etiqueta para proteção do Rights Management.For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

Para etiquetas que estão configuradas para aplicar a proteção contra o serviço Azure Rights Management, endereço de e-mail também é possível encontrar nos modelos de proteção, utilizando cmdlets do PowerShell do módulo AADRM.For labels that are configured to apply protection from the Azure Rights Management service, email address can also be found in protection templates, by using PowerShell cmdlets from the AADRM module. Este módulo do PowerShell também permite que um administrador especificar utilizadores por endereço de e-mail para ser um Superutilizador, ou um administrador do serviço Azure Rights Management.This PowerShell module also lets an administrator specify users by email address to be a super user, or an administrator for the Azure Rights Management service.

Quando o Azure Information Protection é utilizado para classificar e proteger documentos e e-mails, endereços de e-mail e dos utilizadores pode ser guardado em ficheiros de registo.When Azure Information Protection is used to classify and protect documents and emails, email addresses and the users' IP addresses might be saved in log files.

Modelos de proteçãoProtection templates

Executar o Get-AadrmTemplate cmdlet para obter uma lista de modelos de proteção.Run the Get-AadrmTemplate cmdlet to get a list of protection templates. Pode utilizar o ID do modelo para obter detalhes de um modelo específico.You can use the template ID to get details of a specific template. O RightsDefinitions objeto apresenta os dados pessoais, se aplicável.The RightsDefinitions object displays the personal data, if any.

Exemplo:Example:

PS C:\Users> Get-AadrmTemplate -TemplateId fcdbbc36-1f48-48ca-887f-265ee1268f51 | select *


TemplateId              : fcdbbc36-1f48-48ca-887f-265ee1268f51
Names                   : {1033 -> Confidential}
Descriptions            : {1033 -> This data includes sensitive business information. Exposing this data to
                          unauthorized users may cause damage to the business. Examples for Confidential information
                          are employee information, individual customer projects or contracts and sales account data.}
Status                  : Archived
RightsDefinitions       : {admin@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT,
                          REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER,
                          AllStaff-7184AB3F-CCD1-46F3-8233-3E09E9CF0E66@aip500.onmicrosoft.com -> VIEW,
                          VIEWRIGHTSDATA, EDIT, DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT,
                          EDITRIGHTSDATA, OBJMODEL, OWNER, admin2@aip500.onmicrosoft.com -> VIEW, VIEWRIGHTSDATA, EDIT,
                          DOCEDIT, PRINT, EXTRACT, REPLY, REPLYALL, FORWARD, EXPORT, EDITRIGHTSDATA, OBJMODEL, OWNER}
ContentExpirationDate   : 1/1/0001 12:00:00 AM
ContentValidityDuration : 0
ContentExpirationOption : Never
LicenseValidityDuration : 7
ReadOnly                : False
LastModifiedTimeStamp   : 1/26/2018 6:17:00 PM
ScopedIdentities        : {}
EnableInLegacyApps      : False
LabelId                 :

Superutilizadores e os administradores delegados para o serviço Azure Rights ManagementSuper users and delegated administrators for the Azure Rights Management service

Executar o Get-AadrmSuperUser cmdlet e Get-AadrmRoleBasedAdministrator cmdlet para ver quais os utilizadores que foram atribuídos a função de utilizador super ou a função de administrador global para o Azure Rights Management serviço.Run the Get-AadrmSuperUser cmdlet and Get-AadrmRoleBasedAdministrator cmdlet to see which users have been assigned the super user role or global administrator role for the Azure Rights Management service. Para os utilizadores que tenham sido atribuídos a qualquer uma destas funções, os respetivos endereços de e-mail são apresentados.For users who have been assigned either of these roles, their email addresses are displayed.

Registos de administração para o serviço Azure Rights ManagementAdministration logs for the Azure Rights Management service

Executar o Get-AadrmAdminLog cmdlet para obter um registo de ações de administração para o serviço Azure Rights Management, que protege os dados do Azure Information Protection.Run the Get-AadrmAdminLog cmdlet to get a log of admin actions for the Azure Rights Management service, which protects data for Azure Information Protection. Este registo inclui os dados pessoais na forma de endereços de e-mail e endereços IP.This log includes personal data in the form of email addresses and IP addresses. O registo está em texto não criptografado e depois de ser transferido, os detalhes de um administrador específico podem ser pesquisados offline.The log is in plaintext and after it is downloaded, the details of a specific administrator can be searched offline.

Por exemplo:For example:

PS C:\Users> Get-AadrmAdminLog -Path '.\Desktop\admin.log' -FromTime 4/1/2018 -ToTime 4/30/2018 -Verbose
The Rights Management administration log was successfully generated and can be found at .\Desktop\admin.log.

Registos de utilização para o serviço Azure Rights ManagementUsage logs for the Azure Rights Management service

Executar o Get-AadrmUserLog cmdlet para obter um log de ações de utilizador final que utilizam o serviço Azure Rights Management.Run the Get-AadrmUserLog cmdlet to retrieve a log of end-user actions that use the Azure Rights Management service. Este serviço protege os dados do Azure Information Protection.This service protects data for Azure Information Protection. O registo pode incluir dados pessoais na forma de endereços de e-mail e endereços IP.The log could include personal data in the form of email addresses and IP addresses. O registo está em texto não criptografado e depois de ser transferido, os detalhes de um administrador específico podem ser pesquisados offline.The log is in plaintext and after it is downloaded, the details of a specific administrator can be searched offline.

Por exemplo:For example:

PS C:\Users> Get-AadrmUserLog -Path '.\Desktop\' -FromDate 4/1/2018 -ToDate 4/30/2018 -NumberOfThreads 10
Acquiring access to your user log…
Downloading the log for 2018-04-01.
Downloading the log for 2018-04-03.
Downloading the log for 2018-04-06.
Downloading the log for 2018-04-09.
Downloading the log for 2018-04-10.
Downloaded the log for 2018-04-01. The log is available at .\Desktop\rmslog-2018-04-01.log.
Downloaded the log for 2018-04-03. The log is available at .\Desktop\rmslog-2018-04-03.log.
Downloaded the log for 2018-04-06. The log is available at .\Desktop\rmslog-2018-04-06.log.
Downloaded the log for 2018-04-09. The log is available at .\Desktop\rmslog-2018-04-09.log.
Downloaded the log for 2018-04-10. The log is available at .\Desktop\rmslog-2018-04-10.log.
Downloading the log for 2018-04-12.
Downloading the log for 2018-04-13.
Downloading the log for 2018-04-14.
Downloading the log for 2018-04-16.
Downloading the log for 2018-04-18.
Downloaded the log for 2018-04-12. The log is available at .\Desktop\rmslog-2018-04-12.log.
Downloaded the log for 2018-04-13. The log is available at .\Desktop\rmslog-2018-04-13.log.
Downloaded the log for 2018-04-14. The log is available at .\Desktop\rmslog-2018-04-14.log.
Downloaded the log for 2018-04-16. The log is available at .\Desktop\rmslog-2018-04-16.log.
Downloaded the log for 2018-04-18. The log is available at .\Desktop\rmslog-2018-04-18.log.
Downloading the log for 2018-04-24.
Downloaded the log for 2018-04-24. The log is available at .\Desktop\rmslog-2018-04-24.log.

Registos de controlo de documentosDocument tracking logs

Executar o Get-AadrmDocumentLog cmdlet para obter informações a partir do site sobre um utilizador específico de controlo de documentos.Run the Get-AadrmDocumentLog cmdlet to retrieve information from the document tracking site about a specific user. Para obter informações associadas com os registos de documento de controlo, utilize o Get-AadrmTrackingLog cmdlet.To get tracking information associated with the document logs, use the Get-AadrmTrackingLog cmdlet.

Por exemplo:For example:

PS C:\Users> Get-AadrmDocumentLog -UserEmail "admin@aip500.onmicrosoft.com"


ContentId             : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer                : admin@aip500.onmicrosoft.com
Owner                 : admin@aip500.onmicrosoft.com
ContentName           :
CreatedTime           : 3/6/2018 10:24:00 PM
Recipients            : {
                        PrimaryEmail: johndoe@contoso.com
                        DisplayName: JOHNDOE@CONTOSO.COM
                        UserType: External,
                        PrimaryEmail: alice@contoso0110.onmicrosoft.com
                        DisplayName: ALICE@CONTOSO0110.ONMICROSOFT.COM
                        UserType: External
                        }
TemplateId            :
PolicyExpires         :
EULDuration           :
SendRegistrationEmail : True
NotificationInfo      : Enabled: False
                        DeniedOnly: False
                        Culture:
                        TimeZoneId:
                        TimeZoneOffset: 0
                        TimeZoneDaylightName:
                        TimeZoneStandardName:

RevocationInfo        : Revoked: False
                        RevokedTime:
                        RevokedBy:


PS C:\Users> Get-AadrmTrackingLog -UserEmail "admin@aip500.onmicrosoft.com"

ContentId            : 6326fcb2-c465-4c24-a7f6-1cace7a9cb6f
Issuer               : admin@aip500.onmicrosoft.com
RequestTime          : 3/6/2018 10:45:57 PM
RequesterType        : External
RequesterEmail       : johndoe@contoso.com
RequesterDisplayName : johndoe@contoso.com
RequesterLocation    : IP: 167.220.1.54
                       Country: US
                       City: redmond
                       Position: 47.6812453974602,-122.120736471666

Rights               : {VIEW,OBJMODEL}
Successful           : False
IsHiddenInfo         : False

Não há nenhuma pesquisa por ObjectID.There is no search by ObjectID. No entanto, não está limitado pelo -UserEmail parâmetro e o endereço de e-mail indicado não precisa de ser parte do seu inquilino.However, you are not restricted by the -UserEmail parameter and the email address you provide doesn't need to be part of your tenant. Se o endereço de e-mail fornecido é armazenado em qualquer lugar nos registos de controlo de documentos, entrada de controlo de documentos é devolvido no resultado do cmdlet.If the email address provided is stored anywhere in the document tracking logs, the document tracking entry is returned in the cmdlet output.

Registos de utilização para o cliente Azure Information Protection e o cliente de RMSUsage logs for the Azure Information Protection client and RMS client

Quando as etiquetas e proteção são aplicadas a documentos e e-mails, endereços de e-mail e endereços IP podem ser armazenados nos ficheiros de registo no computador de um usuário nas seguintes localizações:When labels and protection are applied to documents and emails, email addresses and IP addresses can be stored in log files on a user's computer in the following locations:

  • Para o cliente do Azure Information Protection: %localappdata%\Microsoft\MSIP\LogsFor the Azure Information Protection client: %localappdata%\Microsoft\MSIP\Logs

  • Para o cliente do RMS: %localappdata%\Microsoft\MSIPC\msip\LogsFor the RMS client: %localappdata%\Microsoft\MSIPC\msip\Logs

Além disso, o cliente do Azure Information Protection regista a estes dados pessoais para o registo de eventos do Windows local Applications and Services Logs > do Azure Information Protection.In addition, the Azure Information Protection client logs this personal data to the local Windows event log Applications and Services Logs > Azure Information Protection.

Quando o cliente do Azure Information Protection é executado o scanner, os dados pessoais é salvo em %localappdata%\Microsoft\MSIP\Scanner\Reports no computador Windows Server que executa a deteção de impressão.When the Azure Information Protection client runs the scanner, personal data is saved to %localappdata%\Microsoft\MSIP\Scanner\Reports on the Windows Server computer that runs the scanner.

Nota

Se estiver interessado em ver ou eliminar os dados pessoais, orientações da Microsoft, verifique a Gestor de conformidade do Microsoft e, no seção GDPR a compatibilidade do Microsoft 365 Enterprise site.If you’re interested in viewing or deleting personal data, please review Microsoft's guidance in the Microsoft Compliance Manager and in the GDPR section of the Microsoft 365 Enterprise Compliance site. Se estiver procurando por informações gerais sobre o GDPR, consulte a secção GDPR para o portal de confiança do serviço.If you’re looking for general information about GDPR, see the GDPR section of the Service Trust portal.

Protegendo e controlando o acesso a informações pessoaisSecuring and controlling access to personal information

Os dados pessoais que ver e especifica no portal do Azure são acessíveis apenas a utilizadores que tenham sido atribuídos um dos seguintes funções de administrador do Azure Active Directory:Personal data that you view and specify in the Azure portal is accessible only to users who have been assigned one of the following administrator roles from Azure Active Directory:

  • Administrador do Information ProtectionInformation Protection Administrator

  • Administrador de segurançaSecurity Administrator

  • Administrador global / administrador de empresaGlobal Administrator / Company Administrator

Os dados pessoais que ver e especifica com o módulo do AADRM estão acessíveis apenas para os utilizadores que foram atribuídos a administrador do Information Protection função ou Administrador Global / administrador da empresa funções do Azure Active Directory ou a função de administrador global para o serviço Azure Rights Management.Personal data that you view and specify by using the AADRM module is accessible only to users who have been assigned the Information Protection Administrator role or Global Administrator / Company Administrator roles from Azure Active Directory, or the global administrator role for the Azure Rights Management service.

A atualizar os dados pessoaisUpdating personal data

Pode atualizar os endereços de e-mail para políticas de âmbito e as definições de proteção na política do Azure Information Protection.You can update email addresses for scoped policies and protection settings in the Azure Information Protection policy. Para obter mais informações, consulte como configurar a política do Azure Information Protection para utilizadores específicos com políticas de âmbito e como configurar uma etiqueta para proteção do Rights Management.For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

Para as definições de proteção, pode atualizar as mesmas informações utilizando cmdlets do PowerShell do módulo AADRM.For the protection settings, you can update the same information by using PowerShell cmdlets from the AADRM module.

Não é possível atualizar os endereços de e-mail para os superutilizadores e os administradores delegados.You cannot update email addresses for the super users and delegated administrators. Em vez disso, remova a conta de utilizador especificada e adicione a conta de utilizador com o endereço de e-mail atualizado.Instead, remove the specified user account, and add the user account with the updated email address.

Modelos de proteçãoProtection templates

Executar o Set-AadrmTemplateProperty cmdlet para atualizar o modelo de proteção.Run the Set-AadrmTemplateProperty cmdlet to update the protection template. Porque os dados pessoais estão dentro do RightsDefinitions propriedade, também terá de utilizar o New-AadrmRightsDefinition cmdlet para criar um objeto de RightsDefinitions com as informações atualizadas e usar o RightsDefinitions objeto com o Set-AadrmTemplateProperty cmdlet.Because the personal data is within the RightsDefinitions property, you will also need to use the New-AadrmRightsDefinition cmdlet to create a RightsDefinitions object with the updated information, and use the RightsDefinitions object with the Set-AadrmTemplateProperty cmdlet.

Superutilizadores e os administradores delegados para o serviço Azure Rights ManagementSuper users and delegated administrators for the Azure Rights Management service

Quando precisa de atualizar um endereço de e-mail para um Superutilizador:When you need update an email address for a super user:

  1. Uso Remove-AadrmSuperUser para remover o utilizador e o endereço de e-mail antigo.Use Remove-AadrmSuperUser to remove the user and old email address.

  2. Uso Add-AadrmSuperUser para adicionar o utilizador e o novo endereço de e-mail.Use Add-AadrmSuperUser to add the user and new email address.

Quando precisa de atualizar um endereço de e-mail para um administrador delegado:When you need update an email address for a delegated administrator:

  1. Uso Remove-AadrmRoleBasedAdministrator para remover o utilizador e o endereço de e-mail antigo.Use Remove-AadrmRoleBasedAdministrator to remove the user and old email address.

  2. Uso Add-AadrmRoleBasedAdministrator para adicionar o utilizador e o novo endereço de e-mail.Use Add-AadrmRoleBasedAdministrator to add the user and new email address.

A eliminar os dados pessoaisDeleting personal data

Pode excluir endereços de e-mail para políticas de âmbito e as definições de proteção na política do Azure Information Protection.You can delete email addresses for scoped policies and protection settings in the Azure Information Protection policy. Para obter mais informações, consulte como configurar a política do Azure Information Protection para utilizadores específicos com políticas de âmbito e como configurar uma etiqueta para proteção do Rights Management.For more information, see How to configure the Azure Information Protection policy for specific users by using scoped policies and How to configure a label for Rights Management protection.

Para as definições de proteção, pode eliminar as mesmas informações utilizando cmdlets do PowerShell do módulo AADRM.For the protection settings, you can delete the same information by using PowerShell cmdlets from the AADRM module.

Para eliminar os endereços de e-mail para superutilizadores e os administradores delegados, remova estes utilizadores utilizando o Remove-AadrmSuperUser cmdlet e Remove-AadrmRoleBasedAdministrator.To delete email addresses for super users and delegated administrators, remove these users by using the Remove-AadrmSuperUser cmdlet and Remove-AadrmRoleBasedAdministrator.

Para eliminar os dados pessoais em registos de controlo de documentos, registos de administração ou registos de utilização para o serviço Azure Rights Management, utilizam a secção seguinte para emitir um pedido com Support da Microsoft.To delete personal data in document tracking logs, administration logs, or usage logs for the Azure Rights Management service, use the following section to raise a request with Microsoft Support.

Para eliminar os dados pessoais nos ficheiros de registo de cliente e registos de scanner, que estão armazenados nos computadores, utilize qualquer ferramentas padrão do Windows para eliminar os ficheiros ou dados pessoais dos ficheiros.To delete personal data in the client log files and scanner logs that are stored on computers, use any standard Windows tools to delete the files or personal data within the files.

Para eliminar os dados pessoais com Support da MicrosoftTo delete personal data with Microsoft Support

Utilize os seguintes três passos para pedir que a Microsoft elimina os dados pessoais em registos, de logs de administração ou registos de utilização para o serviço Azure Rights Management de controlo de documentos.Use the following three steps to request that Microsoft deletes personal data in document tracking logs, administration logs, or usage logs for the Azure Rights Management service.

Passo 1: Pedido de início de eliminação contacte o suporte da Microsoft para abrir um incidente de suporte do Azure Information Protection com um pedido para a eliminação de dados do seu inquilino.Step 1: Initiate delete request Contact Microsoft Support to open an Azure Information Protection support case with a request for deleting data from your tenant. Tem de provar que é um administrador inquilino do Azure Information Protection e compreender que este processo demorará vários dias para confirmar.You must prove that you are an administrator for your Azure Information Protection tenant and understand that this process takes several days to confirm. Ao submeter o pedido, terá de fornecer informações adicionais, consoante os dados que precisam de eliminar.While submitting your request, you will need to provide additional information, depending on the data that needs to be deleted.

  • Para eliminar o registo de administração, forneça o data de fim.To delete the administration log, provide the end date. Todos os registos de administrador, até que a data de fim serão eliminados.All admin logs until that end date will be deleted.
  • Para eliminar os registos de utilização, forneça o data de fim.To delete the usage logs, provide the end date. Todos os registos da utilização até que a data de fim será eliminada.All usage logs until that end date will be deleted.
  • Para eliminar registos de controlo de documentos, forneça o UserEmail.To delete the document tracking logs, provide the UserEmail. Obter informações relacionadas com o UserEmail o controlo de todos os documentos serão eliminados.All document tracking information relating to the UserEmail will be deleted.

A eliminar estes dados é uma ação permanente.Deleting this data is a permanent action. Não há nenhum modo de recuperar os dados após o processamento de um pedido de eliminação.There is no means to recover the data after a delete request has been processed. Recomenda-se que os administradores exportar os dados necessários antes de submeter um pedido de eliminação.It is recommended that administrators export the required data before submitting a delete request.

Passo 2: Aguardar pela verificação a Microsoft irá verificar se o seu pedido para eliminar um ou mais registos é legítimo.Step 2: Wait for verification Microsoft will verify that your request to delete one or more logs is legitimate. Este processo pode demorar até cinco dias úteis.This process can take up to five working days.

Passo 3: Obter a confirmação da eliminação serviços de suporte ao cliente da Microsoft (CSS) enviar-lhe um e-mail de confirmação que os dados foram eliminados.Step 3: Get confirmation of the deletion Microsoft Customer Support Services (CSS) will send you a confirmation email that the data has been deleted.

Exportar os dados pessoaisExporting personal data

Ao utilizar os cmdlets do PowerShell do AADRM, os dados pessoais são disponibilizados para pesquisa e exportação como um objeto do PowerShell.When you use the AADRM PowerShell cmdlets, the personal data is made available for search and export as a PowerShell object. O objeto do PowerShell pode ser convertido em JSON e salvos usando o ConvertTo-Json cmdlet.The PowerShell object can be converted into JSON and saved by using the ConvertTo-Json cmdlet.

O Azure Information Protection segue da Microsoft termos de privacidade para criação de perfis ou de marketing com base nos dados pessoais.Azure Information Protection follows Microsoft's privacy terms for profiling or marketing based on personal data.

Auditoria e relatóriosAuditing and reporting

Apenas os utilizadores que foram atribuídos permissões de administrador pode utilizar o módulo do AADRM para pesquisa e exportação de dados pessoais.Only users who have been assigned administrator permissions can use the AADRM module for search and export of personal data. Estas operações são registradas no log de administração que pode ser transferido.These operations are recorded in the administration log that can be downloaded.

Para ações de eliminação, o pedido de suporte atua como a auditoria e relatórios do registo de ações realizadas pela Microsoft.For delete actions, the support request acts as the auditing and reporting trail for the actions performed by Microsoft. Após a eliminação, os dados eliminados não estarão disponíveis para a pesquisa e a exportação e o administrador pode verificar isto utilizando os cmdlets Get do módulo do AADRM.After deletion, the deleted data will not be available for search and export, and the administrator can verify this using the Get cmdlets from the AADRM module.