Configurar e gerir modelos para a Azure Information Protection
Os modelos de proteção, também conhecidos como modelos de Rights Management, são um agrupamento de definições de proteção definidas pelo administrador para a Information Protection Azure. Estas definições incluem os seus direitos de utilização escolhidos para utilizadores autorizados e controlos de acesso para o acesso à expiração e offline. Estes modelos estão integrados com a política de Information Protection Azure:
Quando tiver uma subscrição que inclua classificação, rotulagem e proteção (Azure Information Protection P1 ou P2):
- Os modelos que não estão integrados com as suas etiquetas para o seu inquilino são apresentados na secção de modelos de proteção após as suas etiquetas no painel Azure Information Protection - Etiquetas. Para navegar neste painel, selecione a opção menu Classificações>Labels . Pode converter estes modelos em etiquetas ou pode ligá-los quando configurar a proteção para as suas etiquetas.
Quando tem uma subscrição que inclui apenas proteção (uma subscrição Microsoft 365 que inclui o serviço Azure Rights Management):
- Os modelos para o seu inquilino são apresentados na secção de modelos de proteção no painel Azure Information Protection - Labels. Para navegar neste painel, selecione a opção menu Classificações>Labels . Não são apresentadas etiquetas. Também vê configurações específicas para a classificação e rotulagem, mas estas definições não têm qualquer efeito nos seus modelos ou não podem ser configuradas.
Por exemplo, se os utilizadores reportarem que podem abrir conteúdo protegido mas não têm os direitos de que necessitam, o problema pode ser que o utilizador não esteja no grupo correto que está configurado para um modelo de Rights Management. Ou, o problema pode ser que o modelo precisa de ser reconfigura para o utilizador ou grupo, como descrito neste artigo.
Nota
Em algumas aplicações e serviços, pode ver Não Encaminhar e encriptar apenas (Criptografado) exibido como um modelo. Estes não são modelos que pode editar ou eliminar, mas opções que vêm por padrão com o serviço Exchange.
Modelos padrão
Quando obtém a sua subscrição para a Azure Information Protection ou para uma subscrição Microsoft 365 que inclui o serviço Azure Rights Management, dois modelos predefinidos são automaticamente criados para o seu inquilino. Estes modelos restringem o acesso a utilizadores autorizados na sua organização. Quando estes modelos são criados, eles têm as permissões que estão listadas nos direitos de utilização configurantes para Azure Information Protection documentação.
Além disso, os modelos estão configurados para permitir o acesso offline durante sete dias e não têm uma data de validade.
Nota
Pode alterar estas definições e os nomes e descrições dos modelos predefinidos. Esta capacidade não foi possível com o portal clássico do Azure e permanece sem suporte para o PowerShell.
Estes modelos padrão facilitam a sua e a outros começar imediatamente a proteger os dados sensíveis da sua organização. Estes modelos podem ser usados com etiquetas Azure Information Protection, ou por si mesmos com aplicações e serviços que podem usar Rights Management modelos.
Também pode criar os seus próprios modelos personalizados. Embora provavelmente necessite de apenas alguns modelos, pode ter um máximo de 500 modelos personalizados guardados no Azure.
Direitos incluídos nos modelos predefinidos
A tabela que se segue lista os direitos de utilização que estão incluídos quando os modelos predefinidos são criados. Os direitos de utilização são listados pelo seu nome comum.
Estes modelos predefinidos são criados quando a sua subscrição foi comprada, e os nomes e direitos de utilização podem ser alterados no portal do Azure e com o PowerShell.
| Nome do ecrã do modelo | Direitos de utilização 6 de outubro de 2017 até à data atual | Direitos de utilização antes de 6 de outubro de 2017 |
|---|---|---|
| <nome da> organização - Visão Confidencial Apenas ou Altamente Confidencial\Todos os Funcionários |
Ver, Abrir, Ler; Cópia; Ver Direitos; Permitir Macros; Imprimir; Para a frente; Resposta; Responder a todos; Salvar; Editar Conteúdo, Editar | Ver, Abrir, Ler |
| <nome> da organização - Confidencial ou Confidencial\Todos os Funcionários |
Ver, Abrir, Ler; Salvar As, Exportar; Cópia; Ver Direitos; Direitos de Mudança; Permitir Macros; Imprimir; Para a frente; Resposta; Responder a todos; Salvar; Editar Conteúdo, Editar; Controlo Total | Ver, Abrir, Ler; Salvar As, Exportar; Editar Conteúdo, Editar; Ver Direitos; Permitir Macros; Para a frente; Resposta; Responder a Todos |
Nomes de modelo padrão
Se obteve recentemente a sua subscrição, os seus modelos padrão são criados com os seguintes nomes:
Confidencial\Todos os Funcionários
Altamente Confidencial\Todos os Funcionários
Se obteve a sua subscrição há algum tempo, os seus modelos padrão podem ser criados com os seguintes nomes:
<nome da> organização - Confidencial
<nome da> organização - Visão Confidencial Apenas
Pode renomear (e reconfigurar) estes modelos predefinidos quando utilizar o portal do Azure.
Nota
Se não vir os seus modelos padrão no painel Azure Information Protection - Etiquetas, são convertidos em etiquetas ou ligados a uma etiqueta. Eles ainda existem como modelos, mas no portal do Azure, você vê-los como parte de uma configuração de etiqueta que inclui definições de proteção para uma chave de nuvem. Pode sempre confirmar quais os modelos que o seu inquilino tem, executando o Get-AipServiceTemplate a partir do módulo AIPService PowerShell.
Pode converter manualmente os modelos, como explicado na secção posterior, para converter modelos em etiquetas e, em seguida, renomeá-los se quiser. Ou são convertidos automaticamente para si se a sua política de Information Protection padrão do Azure foi recentemente criada e o serviço Azure Rights Management para o seu inquilino foi ativado nessa altura.
Modelos que são apresentados como indisponíveis no painel Azure Information Protection - Etiquetas. Estes modelos não podem ser selecionados para etiquetas, mas podem ser convertidos em etiquetas.
Considerações para modelos no portal do Azure
Antes de editar estes modelos ou convertê-los em etiquetas, certifique-se de que está ciente das seguintes alterações e considerações. Devido às alterações de implementação, a lista a seguir é especialmente importante se já geriu modelos no portal clássico do Azure.
Depois de editar ou converter um modelo e guardar a política do Azure Information Protection, as seguintes alterações são feitas nos direitos de utilização originais. Se necessário, pode adicionar ou remover os direitos de utilização individuais utilizando o portal do Azure. Ou, utilize o PowerShell com os cmdlets New-AipServiceRightsDefinition e Set-AipServiceTemplateProperty .
- Permitir Macros (nome comum) é adicionado automaticamente. Este direito de utilização é preciso para a barra do Azure Information Protection nas aplicações do Office.
As definições publicadas e arquivadas são apresentadas como Ativadas: Ligado e Ativado: Desligados respectivamente no painel de etiquetas. Para modelos que pretende reter mas que não sejam visíveis para utilizadores ou serviços, detenha estes modelos para Ativar: Desligado.
Não é possível copiar ou eliminar um modelo no portal do Azure. Quando o modelo é convertido numa etiqueta, pode configurar a etiqueta para parar de utilizar o modelo selecionando Não configurado para as permissões definidas para documentos e e-mails que contenham esta opção de etiqueta . Ou pode apagar a etiqueta. Em ambos os cenários, no entanto, o modelo não é eliminado e permanece em estado arquivado.
Eliminar modelos utilizando o cmdlet PowerShell Remove-AipServiceTemplate é permanente. Também pode utilizar este cmdlet PowerShell para modelos que não são convertidos em etiquetas. No entanto, para garantir que os conteúdos previamente protegidos podem ser abertos e utilizados como pretendido, aconselhamos geralmente a não eliminar modelos. Como uma boa prática, elimine os modelos apenas se tiver a certeza de que não foram usados para proteger documentos ou e-mails em produção. Como precaução antes de eliminar permanentemente um modelo usando PowerShell, considere exportar o modelo como uma cópia de segurança, utilizando o cmdlet Export-AipServiceTemplate .
Atualmente, se editar e guardar um modelo departamental, este remove a configuração do âmbito. O equivalente de um modelo com âmbito na política do Azure Information Protection é uma política com âmbito. Se converter o modelo numa etiqueta, pode selecionar um âmbito existente.
Além disso, não é possível definir a definição de compatibilidade da aplicação para um modelo departacional utilizando o portal do Azure. Se necessário, pode definir esta definição de compatibilidade da aplicação utilizando o cmdlet Set-AipServiceTemplateProperty e o parâmetro EnableInLegacyApps .
Quando se converte ou liga um modelo a uma etiqueta, já não pode ser utilizado por outras etiquetas. Além disso, este modelo já não aparece na secção de modelos de proteção .
Não se cria um novo modelo a partir da secção de modelos de proteção . Em vez disso, crie uma etiqueta que tenha a definição Protect e configufique os direitos de utilização e as definições do painel de proteção . Para obter todas as instruções, veja Criar um novo modelo.
Para configurar os modelos na política do Azure Information Protection
Se ainda não o fez, abra uma nova janela no browser e inicie sessão no Portal do Azure. Em seguida, navegue para o painel Azure Information Protection - Labels.
Por exemplo, na caixa de pesquisa de recursos, serviços e docs: Comece a digitar informações e selecione Azure Information Protection.
A partir da opção menu classificações>labels: No painel Azure Information Protection - Painel de etiquetas, expandir os modelos de proteção e, em seguida, localizar o modelo que pretende configurar.
Selecione o modelo e, no painel 'Etiquetar ', pode alterar o nome e descrição do modelo, se necessário, editando o nome de exibição do Rótulo e descrição. Em seguida, selecione Proteção que tenha um valor de Azure (tecla de nuvem), para abrir o painel de Proteção .
No painel de proteção , pode alterar as permissões, a expiração do conteúdo e as definições de acesso offline. Para obter mais informações, sobre a configuração das definições de proteção, veja Como configurar uma etiqueta para a proteção do Rights Management
Clique em OK para manter as alterações e no painel 'Etiqueta' , clique em Guardar.
Nota
Também pode editar um modelo utilizando o botão de modelo de edição no painel de proteção se tiver configurado uma etiqueta para utilizar um modelo predefinido. Desde que nenhuma outra etiqueta também utilize o modelo selecionado, este botão converte o modelo numa etiqueta e leva-o ao passo 5. Para obter mais informações sobre o que acontece quando os modelos são convertidos em etiquetas, consulte a secção seguinte.
Converter modelos em etiquetas
Quando tem uma subscrição que inclui a classificação, a etiquetagem e a proteção, pode converter um modelo numa etiqueta. Quando converte um modelo, o modelo original é mantido, mas no portal do Azure, agora aparece como incluído numa nova etiqueta.
Por exemplo, se converter uma etiqueta denominada Marketing que concede direitos de utilização ao grupo de marketing, no portal do Azure é agora apresentada como uma etiqueta denominada Marketing que tem as mesmas definições de proteção. Se alterar as definições de proteção nesta etiqueta criada recentemente, está a alterá-las no modelo e qualquer utilizador ou serviço que utilize este modelo irá obter as novas definições de proteção com a próxima atualização do modelo.
Não existe nenhum requisito para converter todos os modelos em etiquetas, mas, quando o fizer, as definições de proteção são totalmente integradas com a funcionalidade completa de etiquetas para que não precise de manter as definições separadamente.
Para converter um modelo numa etiqueta, clique com o botão direito no rato no modelo e selecione Converter em etiqueta. Em alternativa, utilize o menu de contexto para selecionar esta opção.
Também pode converter um modelo para uma etiqueta quando configurar uma etiqueta para proteção e um modelo predefinido, utilizando o botão modelo de edição .
Ao converter um modelo numa etiqueta:
O nome do modelo é convertido num novo nome de etiqueta e a descrição do modelo é convertida na descrição da etiqueta.
Se o estado do modelo for publicado, esta definição é mapeada para Ativado: Ligado na etiqueta, que é agora apresentada como esta etiqueta para os utilizadores quando voltar a publicar a política do Azure Information Protection. Se o estado do modelo foi arquivado, este conjunto de mapas para Ativado: Desligado para a etiqueta e não apresenta como uma etiqueta disponível para os utilizadores.
As definições de proteção são mantidas e pode editá-las se for necessário, além de adicionar outras definições de etiqueta como marcadores visuais e condições.
O modelo original já não é apresentado nos modelos de Proteção e não pode ser selecionado como um modelo predefinido quando configurar a proteção para uma etiqueta. Para editar este modelo no portal do Azure, agora edita o rótulo que foi criado quando converteu o modelo. O modelo permanece disponível para o serviço Azure Rights Management e ainda pode ser gerido com os comandos do PowerShell.
Criar um novo modelo
Os modelos podem ser criados usando o portal ou utilizando o PowerShell.
Criação de modelo usando PowerShell
Para criar um novo modelo de proteção utilizando o PowerShell com o nome especificado, descrição, política e definição de estado desejado, utilize o cmdlet Add-AipServiceTemplate .
Criação do modelo usando o portal
Quando cria uma nova etiqueta utilizando o portal com a definição de proteção do Azure (chave de nuvem), esta ação cria um novo modelo personalizado que pode ser acedido por serviços e aplicações que se integram com modelos Rights Management.
A partir da opção menu classificações>labels: No painel Azure Information Protection - Etiquetas, selecione Adicione uma nova etiqueta.
No painel de etiqueta , mantenha o predefinido de Ativado: Ligado e, em seguida, introduza um nome e descrição do rótulo para o nome e descrição do modelo.
Para Defina permissões para documentos e e-mails que contenham esta etiqueta, selecione Proteger e, em seguida, selecione Proteção:
No painel de proteção , pode alterar as permissões, a expiração do conteúdo e as definições de acesso offline. Para obter mais informações sobre a configuração destas definições de proteção, veja Como configurar uma etiqueta para a proteção do Rights Management
Clique em OK para manter as alterações e no painel 'Etiqueta' , clique em Guardar.
No painel Azure Information Protection - Etiquetas, vê agora a sua nova etiqueta apresentada com a coluna PROTECTION para indicar que contém definições de proteção. Estas definições de proteção apresentam como modelos para aplicações e serviços que suportam o serviço Azure Rights Management.
Embora a etiqueta esteja ativada, por padrão, o modelo é arquivado. Para que as aplicações e serviços possam usar o modelo para proteger documentos e e-mails, completar o passo final para publicar o modelo.
A partir da opção menu Políticas de Classificações>, selecione a política para conter as novas definições de proteção. Em seguida, selecione Adicionar ou remover etiquetas. A partir da Política: Adicione ou remova o painel de etiquetas, selecione a etiqueta recém-criada que contém as definições de proteção, selecione OK e, em seguida, selecione Save.
Passos seguintes
Pode levar até 15 minutos para um computador executar o Azure Information Protection cliente para obter estas definições alteradas. Para obter informações sobre como os computadores e serviços transferem e atualizam modelos, veja Atualizar modelos para utilizadores e serviços.
Certifique-se de fornecer instruções aos utilizadores sobre quais os modelos a selecionar se o nome e descrição do modelo não forem suficientes para escolher o certo.
Tudo o que pode configurar no portal do Azure para criar e gerir os seus modelos, pode fazer utilizando o PowerShell. Além disso, o PowerShell fornece mais opções que não estão disponíveis no portal. Para obter mais informações, consulte a referência PowerShell para modelos de proteção.
Para mais informações sobre como configurar a política do Azure Information Protection, utilize as ligações na secção Configurar política da organização.