Como configurar uma etiqueta para a proteção do Rights ManagementHow to configure a label for Rights Management protection

Aplica-se a: Azure Information ProtectionApplies to: Azure Information Protection

Pode proteger os seus documentos e e-mails mais confidenciais utilizando um serviço de gestão de direitos.You can protect your most sensitive documents and emails by using a Rights Management service. Este serviço utiliza políticas de encriptação, identidade e autorização para ajudar a evitar perda de dados.This service uses encryption, identity, and authorization policies to help prevent data loss. A proteção é aplicada ao configurar uma etiqueta para utilizar a proteção Rights Management para documentos e e-mails, ou o não reencaminhar opção para mensagens de e-mail do Outlook.The protection is applied when you configure a label to use Rights Management protection for documents and emails, or the Do not forward option for Outlook email messages.

Como funciona a proteçãoHow the protection works

Quando um documento ou correio eletrónico está protegido pelo Azure Rights Management, este é encriptado em descanso e em trânsito e só pode ser desencriptado por utilizadores autorizados.When a document or email is protected by Rights Management, it is encrypted at rest and in transit and can only be decrypted by authorized users. Esta encriptação permanece com o documento ou com o e-mail, mesmo que o nome seja alterado.This encryption stays with the document or email, even if it is renamed. Além disso, pode configurar direitos e restrições de utilização, tal como nos exemplos seguintes:In addition, you can configure usage rights and restrictions, such as the following examples:

  • Apenas os utilizadores dentro da organização podem abrir o documento ou o e-mail confidencial da empresa.Only users within your organization can open the company-confidential document or email.

  • Apenas os utilizadores do departamento de marketing podem editar e imprimir o documento ou o e-mail de anúncio de promoção, enquanto todos os outros utilizadores na organização apenas podem ler este documento ou e-mail.Only users in the marketing department can edit and print the promotion announcement document or email while all other users in your organization can only read this document or email.

  • Os utilizadores não podem reencaminhar um e-mail ou copiar informações do mesmo com notícias sobre uma reorganização interna.Users cannot forward an email or copy information from it that contains news about an internal reorganization.

  • A lista de preços atual enviada para os parceiros de negócios não pode ser aberta após uma data especificada.The current price list that is sent to business partners cannot be opened after a specified date.

Para obter mais informações sobre modelos do Azure Rights Management, consulte configurar e gerir modelos de política do Azure Information Protection.For more information about Azure Rights Management templates, see Configure and manage templates in the Azure Information Protection policy.

Para mais informações sobre o Azure Rights Management e para saber como funciona, veja O que é o Azure Rights Management?For more information about Azure Rights Management and how it works, see What is Azure Rights Management?

Importante

Para configurar uma etiqueta de modo a aplicar a proteção do Azure Rights Management, o serviço Azure Rights Management tem de ser ativado para a organização.To configure a label to apply Azure Rights Management protection, the Azure Rights Management service must be activated for your organization. Se ainda não o fez, veja Ativar o Azure Rights Management.If you have not yet done this, see Activating Azure Rights Management.

Quando a etiqueta aplica-se a proteção, um documento protegido não é adequado ser guardada no SharePoint ou OneDrive.When the label applies protection, a protected document is not suitable to be saved on SharePoint or OneDrive. Estas localizações não suportam o seguinte para os ficheiros protegidos: criação conjunta, Office Online, pesquisa, pré-visualização do documento, miniatura e deteção de dados eletrónicos.These locations do not support the following for protected files: Co-authoring, Office Online, search, document preview, thumbnail, and eDiscovery.

Os utilizadores podem aplicar etiquetas no Outlook para protegerem os seus e-mails mesmo que o Exchange não esteja configurado para a gestão de direitos de informação (IRM).Exchange does not have to be configured for information rights management (IRM) before users can apply labels in Outlook to protect their emails. No entanto, até que o Exchange seja configurado para IRM, não tem acesso a todas as funcionalidades associadas à utilização da proteção do Azure Rights Management com o Exchange.However, until Exchange is configured for IRM, you will not get the full functionality of using Azure Rights Management protection with Exchange. Por exemplo, os utilizadores não podem ver e-mails protegidos no telemóvel ou com o Outlook na Web, não é possível indexar os e-mails protegidos para pesquisa e não pode configurar o Exchange Online DLP para a proteção de gestão de direitos.For example, users will not be able to view protected emails on mobile phones or with Outlook on the web, protected emails cannot be indexed for search, and you will not be able to configure Exchange Online DLP for rights management protection. Para configurar o Exchange para suportar estes cenários adicionais, veja os seguintes recursos:To configure Exchange to support these additional scenarios, see the following resources:

Para configurar uma etiqueta para a proteção do Rights ManagementTo configure a label for Rights Management protection

  1. Caso ainda não o tenha feito, abra uma nova janela de browser e inicie sessão no portal do Azure como administrador de segurança ou administrador global e, em seguida, navegue para o painel Azure Information Protection.If you haven't already done so, open a new browser window and sign in to the Azure portal as a security admin or global admin, and then navigate to the Azure Information Protection blade.

    Por exemplo, no menu do hub, clique em Mais serviços e comece a escrever Information na caixa Filtrar.For example, on the hub menu, click More services and start typing Information in the Filter box. Selecione Azure Information Protection.Select Azure Information Protection.

  2. Se a etiqueta que pretende configurar será aplicada a todos os utilizadores, selecionados política Global de iniciais Azure Information Protection painel.If the label that you want to configure will apply to all users, select Global policy from the initial Azure Information Protection blade. No entanto, se a etiqueta que pretende configurar está a ser um âmbito política para que o se aplica apenas a utilizadores selecionados, selecione âmbito políticas em vez disso e selecione a política de âmbito do políticas do Azure Information Protection - Scoped painel.However, if the label that you want to configure is in a scoped policy so that it applies to selected users only, select Scoped policies instead, and select your scoped policy from the Azure Information Protection - Scoped polices blade.

  3. No painel Política, selecione a etiqueta que pretende configurar, o que abre o painel Etiqueta.On the Policy blade, select the label that you want to configure, which opens the Label blade.

  4. No etiqueta painel, localize definir as permissões para documentos e e-mails que contêm esta etiqueta e selecione uma das seguintes opções:On the Label blade, locate Set permissions for documents and emails containing this label and select one of the following options:

    • Não configurada: selecione esta opção se a etiqueta estiver configurada para aplicar a proteção e já não quiser que a etiqueta selecionada aplique a proteção.Not configured: Select this option if the label is currently configured to apply protection and you no longer want the selected label to apply protection. Em seguida, avance para o passo 11.Then go to step 11.

    • Proteger: selecione esta opção para aplicar a proteção e, em seguida, avance para o passo 5.Protect: Select this option to apply protection, and then go to step 5.

    • Remover Proteção: selecione esta opção para remover a proteção se estiver configurada para um documento ou e-mail.Remove Protection: Select this option to remove protection if it is configured for a document or email. Em seguida, avance para o passo 11.Then go to step 11.

      Tenha em atenção que os utilizadores têm de ter permissões para remover a proteção do Rights Management para aplicar uma etiqueta com esta opção.Note that users must have permissions to remove Rights Management protection to apply a label that has this option. Esta opção requer que os utilizadores tenham a exportar ou controlo total direito de utilização.This option requires users to have the Export or Full Control usage right. Ou, tem de ser o proprietário de Rights Management (que automaticamente concede o direito de utilização do controlo total) ou ser um Superutilizador do Azure Rights Management.Or, they must be the Rights Management owner (which automatically grants the Full Control usage right), or be a super user for Azure Rights Management. Os modelos do Azure Rights Management predefinido não incluem os direitos de utilização que permitem que os utilizadores a remover a proteção.The default Azure Rights Management templates do not include the usage rights that let users remove protection.

      Se os utilizadores não tiverem permissões para remover a proteção do Rights Management e selecionarem uma etiqueta configurada com a opção Remover Proteção, verão a seguinte mensagem: O Azure Information Protection não pode aplicar esta etiqueta. Se este problema persistir, contacte o seu administrador.If users do not have permissions to remove Rights Management protection and select a label that is configured with this Remove Protection option, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

  5. Se selecionou Proteger, agora selecione Proteção para abrir o painel Proteção:If you selected Protect, now select Protection to open the Protection blade:

    Configurar a proteção para uma etiqueta do Azure Information Protection

  6. No painel Proteção, selecione Azure RMS ou HYOK (AD RMS).On the Protection blade, select Azure RMS or HYOK (AD RMS).

    Na maioria dos casos, selecione Azure RMS para as suas definições de permissão.In most cases, select Azure RMS for your permission settings. Não selecione HYOK (AD RMS), a menos que tenha lido e compreendido os pré-requisitos e as restrições que acompanham esta configuração de "tenha a sua própria chave" (HYOK).Do not select HYOK (AD RMS) unless you have read and understood the prerequisites and restrictions that accompany this "hold your own key" (HYOK) configuration. Para obter mais informações, veja Requisitos e restrições de Tenha a sua própria chave (HYOK) para proteção do AD RMS.For more information, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection. Para continuar a configuração para HYOK (AD RMS), avance para o passo 10.To continue the configuration for HYOK (AD RMS), go to step 10.

  7. Selecione uma das seguintes opções:Select one of the following options:

    • Não encaminhar: para definir esta opção do Outlook para e-mails.Do not forward: To set this Outlook option for emails.

    • Selecione um modelo predefinido: para utilizar um dos modelos predefinidos ou um modelo personalizado que configurou.Select a predefined template: To use one of the default templates or a custom template that you've configured. Este modelo tem de ser publicado (não arquivado) e não deve ser ligado já a outra etiqueta.This template must be published (not archived) and must not be linked already to another label.

    • Definir permissões para definir as definições de proteção novo neste portal.Set permissions to define new protection settings in this portal.

  8. Se tiver selecionado selecionar um modelo predefinido para Azure RMS, clique na caixa pendente e selecione o modelo que pretende utilizar para proteger documentos e e-mails com esta etiqueta.If you selected Select a predefined template for Azure RMS, click the drop-down box and select the template that you want to use to protect documents and emails with this label. Não veem modelos arquivados ou modelos que já estão selecionados para outra etiqueta.You do not see archived templates or templates that are already selected for another label.

    Se selecionar um modelo departamental, ou se tiver configurado controlos de inclusão:If you select a departmental template, or if you have configured onboarding controls:

    • Os utilizadores que estão fora do âmbito configurado do modelo ou que estão excluídos de aplicarem a proteção do Azure Rights Management continuarão a ver a etiqueta mas não poderão aplicá-la.Users who are outside the configured scope of the template or who are excluded from applying Azure Rights Management protection will still see the label but cannot apply it. Se selecionarem a etiqueta, verão a seguinte mensagem: O Azure Information Protection não pode aplicar esta etiqueta. Se este problema persistir, contacte o seu administrador.If they select the label, they see the following message: Azure Information Protection cannot apply this label. If this problem persists, contact your administrator.

      Tenha em atenção que todos os modelos publicados são sempre apresentados, mesmo se estiver a configurar uma política de âmbito.Note that all published templates are always shown, even if you are configuring a scoped policy. Por exemplo, está a configurar uma política de âmbito para o grupo de Marketing.For example, you are configuring a scoped policy for the Marketing group. Os modelos do Azure RMS que pode selecionar não estão limitados a modelos que estão no âmbito do grupo de Marketing e é possível selecionar um modelo departamental que não é possível utilizar os seus utilizadores selecionados.The Azure RMS templates that you can select are not restricted to templates that are scoped to the Marketing group and it's possible to select a departmental template that your selected users cannot use. Para facilitar a configuração e para minimizar a resolução de problemas, considere atribuir ao modelo departamental o mesmo nome da etiqueta na sua política de âmbito.For ease of configuration and to minimize troubleshooting, consider naming the departmental template to match the label in your scoped policy.

  9. Se tiver selecionado definir permissões para Azure RMS, esta opção permite-lhe configurar as mesmas definições que pode configurar num modelo.If you selected Set permissions for Azure RMS, this option lets you configure the same settings that you can configure in a template.

    Selecione adicionar permissõese o adicionar permissões painel, selecione o primeiro conjunto de utilizadores e grupos que irão ter direitos para utilizar o conteúdo que será protegido pela etiqueta selecionada:Select Add permissions, and on the Add permissions blade, select the first set of users and groups who will have rights to use the content that will be protected by the selected label:

    • Escolha selecione na lista para adicionar todos os utilizadores da sua organização ou procurar o diretório.Choose Select from the list to add all users from your organization or browse the directory.

      Os utilizadores ou grupos tem de ter um endereço de e-mail.The users or groups must have an email address. Num ambiente de produção, este é quase sempre ser a caso, mas num ambiente de teste simple, poderá ter de adicionar endereços de e-mail a contas de utilizador ou grupos.In a production environment, this is nearly always be the case, but in a simple testing environment, you might need to add email addresses to user accounts or groups.

    • Escolha Introduza detalhes especificar manualmente o e-mail endereços para utilizadores individuais ou grupos (internos ou externos).Choose Enter details to manually specify email addresses for individual users or groups (internal or external). Em alternativa, especificar todos os utilizadores noutra organização por introduzir um nome de domínio da organização.Or, to specify all users in another organization by entering a domain name from that organization.

      Nota

      Se um endereço de e-mail for alterada depois de selecionar o utilizador ou grupo, consulte o considerações se a alteração de endereços de e-mail secção na documentação do planeamento.If an email address changes after you select the user or group, see the Considerations if email addresses change section from the planning documentation.

      Como melhor prática, utilize grupos em vez de utilizadores.As a best practice, use groups rather than users. Este stratetegy mantém a configuração mais simples e torna menos provável que tem de atualizar a configuração de etiqueta mais tarde e, em seguida, voltar a proteger conteúdo.This stratetegy keeps your configuration simpler and makes it less likely that you have to update your label configuration later and then reprotect content. No entanto, se fizer alterações ao grupo, tenha em atenção que, por motivos de desempenho, o Azure Rights Management coloca a associação do grupo em cache.However, if you make changes to the group, keep in mind that for performance reasons, Azure Rights Management caches the group membership.

      Quando especificar o primeiro conjunto de utilizadores e grupos, selecione as permissões a conceder estes utilizadores e grupos.When you have specified the first set of users and groups, select the permissions to grant these users and groups. Para obter mais informações sobre as permissões que pode selecionar, veja Configuração de direitos de utilização para o Azure Rights Management.For more information about the permissions that you can select, see Configuring usage rights for Azure Rights Management. No entanto, as aplicações que suportam esta proteção podem variar na forma como implementam estas permissões.However, applications that support this protection might vary in how they implement these permissions. Veja a respetiva documentação e faça os seus próprios testes com as aplicações que os utilizadores usam para verificar o comportamento antes de implementar o modelo para os utilizadores.Consult their documentation and do your own testing with the applications that users use to check the behavior before you deploy the template for users.

      Se necessário, agora pode adicionar um segundo conjunto de utilizadores e grupos com direitos de utilização.If required, you can now add a second set of users and groups with usage rights. Repita até que especificou todos os utilizadores e grupos com as suas respetivas permissões.Repeat until you have specified all the users and groups with their respective permissions.

      Dica

      Considere adicionar o copiar e extrair conteúdo permissão personalizada e conceder o mesmo aos administradores de recuperação de dados ou pessoal nas outras funções que tenham responsabilidades de recuperação de informações.Consider adding the Copy and extract content custom permission and grant this to data recovery administrators or personnel in other roles that have responsibilities for information recovery. Se for necessário, estes utilizadores, em seguida, podem remover a proteção de ficheiros e e-mails que irão ser protegidos utilizando esta etiqueta ou modelo.If needed, these users can then remove protection from files and emails that will be protected by using this label or template. Esta capacidade para remover a proteção ao nível da permissão para um documento ou e-mail fornece controlo mais detalhado do que o funcionalidade de Superutilizador.This ability to remove protection at the permission level for a document or email provides more fine-grained control than the super user feature.

      Para todos os utilizadores e grupos que especificou, no proteção painel, agora, verifique se pretende efetuar alterações às seguintes definições.For all the users and groups that you specified, on the Protection blade, now check whether you want to make any changes to the following settings. Note que estas definições, assim como acontece com as permissões, não se aplicam ao Emissor ou proprietário do Rights Management, ou qualquer super utilizador que atribuiu.Note that these settings, as with the permissions, do not apply to the Rights Management issuer or Rights Management owner, or any super user that you have assigned.

      DefiniçãoSetting Mais informaçõesMore information Definição recomendadaRecommended setting
      expiração de conteúdoscontent expiration Defina uma data ou número de dias para este modelo que represente o tempo durante o qual não é possível abrir o modelo quando os documentos ou e-mails estão protegidos para os utilizadores selecionados.Define a date or number of days for this template when documents or emails that are protected by the template should not open for the selected users. Pode especificar uma data ou um número de dias, começando pelo momento em que a proteção foi aplicada ao conteúdo.You can specify a date or specify a number of days starting from the time that the protection is applied to the content.

      Quando especificar uma data, a mesma é efetiva a partir da meia-noite no seu fuso horário atual.When you specify a date, it is effective midnight, in your current time zone.
      O conteúdo nunca expira exceto se o conteúdo tiver um requisito controlado por um tempo específico.Content never expires unless the content has a specific time-bound requirement.
      Permitir acesso offlineAllow offline access Utilize esta definição para equilibrar quaisquer requisitos de segurança que tem (inclui acesso após revogação) com a capacidade de os utilizadores selecionados abrirem o conteúdo protegido quando não têm uma ligação à Internet.Use this setting to balance any security requirements that you have (includes access after revocation) with the ability for the selected users to open protected content when they don't have an Internet connection.

      Se especificar que o conteúdo não está disponível sem uma ligação à Internet ou esse conteúdo está disponível apenas para um número especificado de dias, quando esse limiar for atingido, estes utilizadores têm de ser reautenticar e o respetivo acesso é registado.If you specify that content is not available without an Internet connection or that content is only available for a specified number of days, when that threshold is reached, these users must be reauthenticated and their access is logged. Quando isto acontecer, se as respetivas credenciais não estiverem colocadas em cache, é pedido aos utilizadores que iniciem sessão antes de poderem abrir o documento ou e-mail.When this happens, if their credentials are not cached, the users are prompted to sign in before they can open the document or email.

      Para além da reautenticação, a política e a associação ao grupo de utilizadores são reavaliadas.In addition to reauthentication, the policy and the user group membership is re-evaluated. Isto significa que os utilizadores podem experienciar resultados de acesso diferentes para o mesmo documento ou e-mail, se existirem alterações na associação de política ou grupo resultantes da última vez a que acederam ao conteúdo.This means that users could experience different access results for the same document or email if there are changes in the policy or group membership from when they last accessed the content. Tal pode retirar o acesso se o documento tiver sido revogado.That could include no access if the document has been revoked.
      Dependendo do nível de confidencialidade do conteúdo:Depending on how sensitive the content is:

      - Número de dias em que o conteúdo está disponível sem ligação à Internet = 7 para dados empresariais confidenciais que podem causar danos ao negócio se forem partilhados com pessoas não autorizadas.- Number of days the content is available without an Internet connection = 7 for sensitive business data that could cause damage to the business if shared with unauthorized people. Esta recomendação proporciona um bom equilíbrio entre flexibilidade e segurança.This recommendation offers a balanced compromise between flexibility and security. Os exemplos incluem contratos, relatórios de segurança, resumos de previsões e dados de conta de vendas.Examples include contracts, security reports, forecast summaries, and sales account data.

      - Nunca para dados empresariais altamente confidenciais que iriam causar danos à empresa se fossem partilhados com pessoas não autorizadas.- Never for very sensitive business data that would cause damage to the business if it was shared with unauthorized people. Esta recomendação prioriza a segurança sobre a flexibilidade e garante que se o documento tiver sido revogado, todos os utilizadores autorizados imediatamente não podem abrir o documento.This recommendation prioritizes security over flexibility, and ensures that if the document is revoked, all authorized users immediately cannot open the document. Os exemplos incluem informações dos funcionários e clientes, palavras-passe, código de origem e relatórios financeiros previamente anunciados.Examples include employee and customer information, passwords, source code, and pre-announced financial reports.

      Quando terminar de configurar as permissões, clique em OK.When you have finished configuring the permissions, click OK.

      Este agrupamento de definições cria um modelo personalizado para o serviço Azure Rights Management.This grouping of settings creates a custom template for the Azure Rights Management service. Estes modelos podem ser utilizados com aplicações e serviços que se integram no Azure Rights Management.These templates can be used with applications and services that integrate with Azure Rights Management. Para obter mais informações sobre como os computadores e os serviços transferem e atualizam estes modelos, veja Atualizar modelos para utilizadores e serviços.For information about how computers and services download and refresh these templates, see Refreshing templates for users and services.

  10. Se tiver selecionado selecionar um modelo predefinido para HYOK (AD RMS): forneça o GUID do modelo e o URL do seu cluster de AD RMS de licenciamento.If you selected Select a predefined template for HYOK (AD RMS): Provide the template GUID and licensing URL of your AD RMS cluster. Mais informaçõesMore information

  11. Clique em OK para fechar o painel Proteção e ver a sua opção Não reencaminhar ou a apresentação do modelo selecionado da opção Proteção no painel Etiqueta.Click OK to close the Protection blade and see your choice of Do not forward or your chosen template display for the Protection option in the Label blade.

  12. No painel Etiqueta, clique em Guardar.On the Label blade, click Save.

  13. Para disponibilizar as alterações aos utilizadores, no painel Azure Information Protection, clique em Publicar.To make your changes available to users, on the Azure Information Protection blade, click Publish.

Próximos passosNext steps

Para mais informações sobre como configurar a política do Azure Information Protection, utilize as ligações na secção Configurar política da organização.For more information about configuring your Azure Information Protection policy, use the links in the Configuring your organization's policy section.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.