Perguntas mais frequentes sobre a proteção de dados no Azure Information ProtectionFrequently asked questions about data protection in Azure Information Protection

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Tem uma pergunta sobre o serviço de proteção de dados, o Azure Rights Management, do Azure Information Protection?Have a question about the data protection service, Azure Rights Management, from Azure Information Protection? Verifique se a resposta está aqui.See if it's answered here.

Os ficheiros têm de estar na cloud para serem protegidos pelo Azure Rights Management?Do files have to be in the cloud to be protected by Azure Rights Management?

Não, este é um equívoco comum.No, this is a common misconception. O serviço Azure Rights Management (e a Microsoft) não vê nem armazena os seus dados como parte do processo de proteção das informações.The Azure Rights Management service (and Microsoft) does not see or store your data as part of the information protection process. As informações que protege nunca são enviadas para ou armazenadas no Azure, a menos que as armazene explicitamente no Azure ou utilize outro serviço cloud que as armazene no Azure.Information that you protect is never sent to or stored in Azure unless you explicitly store it in Azure or use another cloud service that stores it in Azure.

Para obter mais informações, veja Como funciona o Azure RMS Under the hood (Como funciona o Azure RMS? Nos bastidores) para compreender como uma fórmula de cola secreta criada e armazenada no local é protegida pelo serviço Azure Rights Management, mas permanece no local.For more information, see How does Azure RMS work? Under the hood to understand how a secret cola formula that is created and stored on-premises is protected by the Azure Rights Management service but remains on-premises.

Qual é a diferença entre a encriptação do Azure Rights Management e a encriptação noutros serviços cloud da Microsoft?What’s the difference between Azure Rights Management encryption and encryption in other Microsoft cloud services?

A Microsoft fornece múltiplas tecnologias de encriptação que lhe permitem proteger os seus dados para cenários diferentes e muitas vezes complementares.Microsoft provides multiple encryption technologies that enable you to protect your data for different, and often complementary scenarios. Por exemplo, enquanto o Office 365 oferece encriptação para dados inativos armazenados no Office 365, o serviço Azure Rights Management do Azure Information Protection encripta os seus dados independentemente para que estes estejam protegidos, qualquer que seja o local ou a forma de transmissão.For example, while Office 365 offers encryption at-rest for data stored in Office 365, the Azure Rights Management service from Azure Information Protection independently encrypts your data so that it is protected regardless of where it is located or how it is transmitted.

Estas tecnologias de encriptação são complementares e para as utilizar tem de as ativar e configurar independentemente.These encryption technologies are complementary and using them requires enabling and configuring them independently. Quando o fizer, poderá ter a opção de utilizar a sua própria chave para a encriptação, um cenário também conhecido como "BYOK".When you do so, you might have the option to bring your own key for the encryption, a scenario also known as "BYOK." Ativar o BYOK para uma destas tecnologias não afeta as outras tecnologias existentes.Enabling BYOK for one of these technologies does not affect the others. Por exemplo, pode utilizar o BYOK para o Azure Information Protection e não o utilizar para outras tecnologias de encriptação e vice-versa.For example, you can use BYOK for Azure Information Protection and not use BYOK for other encryption technologies, and vice versa. As chaves utilizadas por estas diferentes tecnologias podem ser as mesmas ou diferentes, dependendo da forma como configurou as opções de encriptação para cada serviço.The keys used by these different technologies might be the same or different, depending on how you configure the encryption options for each service.

Qual é a diferença entre BYOK e HYOK e quando devo utilizá-los?What’s the difference between BYOK and HYOK and when should I use them?

Bring Your Own Key – Traga a Sua Própria Chave (BYOK), no contexto do Azure Information Protection, é quando cria a sua própria chave no local para a proteção do Azure Rights Management.Bring your own key (BYOK) in the context of Azure Information Protection, is when you create your own key on-premises for Azure Rights Management protection. Em seguida, transfere essa chave para um módulo de segurança de hardware (HSM) no Azure Key Vault, onde continua a ser o proprietário e a gerir a sua chave.You then transfer that key to a hardware security module (HSM) in Azure Key Vault where you continue to own and manage your key. Se não o fizer, a proteção do Azure Rights Management utilizará uma chave criada e gerida automaticamente no Azure.If you didn't do this, Azure Rights Management protection would use a key that is automatically created and managed for you in Azure. Esta configuração predefinida é referida como "gerida pela Microsoft" em vez de "gerida pelo cliente" (opção BYOK).This default configuration is referred to as "Microsoft-managed" rather than "customer-managed" (the BYOK option).

Para obter mais informações sobre o BYOK e se deve escolher esta topologia de chaves para a sua organização, veja Planear e implementar a sua chave de inquilino do Azure Information Protection.For more information about BYOK and whether you should choose this key topology for your organization, see Planning and implementing your Azure Information Protection tenant key.

Hold your own key – tenha a sua própria chave (HYOK), no contexto do Azure Information Protection, destina-se a poucas organizações com um subconjunto de documentos ou e-mails que não podem ser protegidos por uma chave armazenada na cloud.Hold your own key (HYOK) in the context of Azure Information Protection, is for a few organizations that have a subset of documents or emails that cannot be protected by a key that is stored in the cloud. Para estas organizações, esta restrição aplica-se mesmo que tenham criado e gerido a chave através de BYOK.For these organizations, this restriction applies even if they created the key and manage it, using BYOK. A restrição pode dever-se muitas vezes a motivos de regulamentação e conformidade e a configuração HYOK só deve ser aplicada a informações "Confidenciais", que nunca serão partilhadas fora da organização, que serão consumidas apenas na rede interna e que não precisam de ser acedidas a partir de dispositivos móveis.The restriction can often be because of regulatory or compliance reasons and the HYOK configuration should be applied to "Top Secret" information only, that will never be shared outside the organization, will only be consumed on the internal network, and does not need to be accessed from mobile devices.

Para estas exceções (normalmente, menos de 10% de todos os conteúdos que têm de ser protegidos), as organizações podem utilizar uma solução no local, os Serviços de Gestão de Direitos do Active Directory, para criar a chave que permanece no local.For these exceptions (typically less than 10% of all the content that needs to be protected), organizations can use an on-premises solution, Active Directory Rights Management Services, to create the key that remains on-premises. Com esta solução, os computadores obtêm a política do Azure Information Protection a partir da cloud, mas estes conteúdos identificados podem ser protegidos com a chave no local.With this solution, computers get their Azure Information Protection policy from the cloud, but this identified content can be protected by using the on-premises key.

Para obter mais informações sobre o HYOK, certificar-se de que compreende as suas limitações e restrições e obter orientações para quando o utilizar, veja Requisitos e restrições de Tenha a sua própria chave (HYOK) para proteção do AD RMS.For more information about HYOK and to make sure that you understand its limitations and restrictions, and guidance when to use it, see Hold your own key (HYOK) requirements and restrictions for AD RMS protection.

Posso agora utilizar o BYOK com o Exchange Online?Can I now use BYOK with Exchange Online?

Sim, pode agora utilizar o BYOK com o Exchange Online quando siga as instruções em configurar novas capacidades de encriptação de mensagens do Office 365 desenvolvidas Azure Information Protection.Yes, you can now use BYOK with Exchange Online when you follow the instructions in Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection. Estas instruções ativar as novas funcionalidades no Exchange Online, que suportam a utilizar uma BYOK para o Azure Information Protection, bem como a nova encriptação de mensagens do Office 365.These instructions enable the new capabilities in Exchange Online that support using BYOK for Azure Information Protection, as well as the new Office 365 Message Encryption.

Para obter mais informações sobre esta alteração, consulte o anúncio de blogue: encriptação de mensagens do Office 365 com as novas funcionalidadesFor more information about this change, see the blog announcement: Office 365 Message Encryption with the new capabilities

Onde posso encontrar informações sobre soluções de terceiros que se integram com o Azure RMS?Where can I find information about third-party solutions that integrate with Azure RMS?

Muitos fornecedores de software já têm soluções ou estão a implementar soluções que se integram no Azure Rights Management e a lista está a crescer rapidamente.Many software vendors already have solutions or are implementing solutions that integrate with Azure Rights Management—and the list is growing rapidly. Poderá achar útil para verificar o soluções de RMS englightened lista e obter as atualizações mais recentes do Microsoft Mobility@MSFTMobility no Twitter.You might find it useful to check the RMS-englightened solutions list and get the latest updates from Microsoft Mobility@MSFTMobility on Twitter. No entanto, se tiver uma pergunta específica, envie uma mensagem de e-mail à equipa do Information Protection: askipteam@microsoft.com.However, if you have a specific question, send an email message to the Information Protection team: askipteam@microsoft.com.

Existe um pacote de gestão ou o mecanismo de monitorização semelhante para o conector RMS?Is there a management pack or similar monitoring mechanism for the RMS connector?

Embora o conector do Rights Management registe mensagens de erro, aviso e informações no registo de eventos, não existe um pacote de gestão que inclua a monitorização destes eventos.Although the Rights Management connector logs information, warning, and error messages to the event log, there isn’t a management pack that includes monitoring for these events. No entanto, a lista de eventos e as suas descrições, com mais informações para ajudá-lo a aplicar as medidas corretivas está documentada em Monitorizar o conector do Azure Rights Management.However, the list of events and their descriptions, with more information to help you take corrective action is documented in Monitor the Azure Rights Management connector.

Tenho de ser um administrador global para configurar o Azure RMS ou posso delegar noutros administradores?Do you need to be a global admin to configure Azure RMS, or can I delegate to other administrators?

Os administradores globais de um inquilino do Office 365 ou inquilino do Azure AD podem obviamente executar todas as tarefas administrativas do serviço Azure Rights Management.Global administrators for an Office 365 tenant or Azure AD tenant can obviously run all administrative tasks for the Azure Rights Management service. No entanto, se quiser atribuir permissões administrativas a outros utilizadores, pode fazê-lo utilizando o cmdlet do PowerShell do Azure RMS, Add-AadrmRoleBasedAdministrator.However, if you want to assign administrative permissions to other users, you can do so by using the Azure RMS PowerShell cmdlet, Add-AadrmRoleBasedAdministrator. Pode atribuir esta função administrativa por conta de utilizador ou por grupo.You can assign this administrative role by user account, or by group. Existem duas funções disponíveis: Administrador Global e Administrador do Conector.There are two roles available: Global Administrator and Connector Administrator.

Como estes nomes de função sugerem, a primeira função atribui permissões para executar todas as tarefas administrativas do Azure Rights Management (sem torná-los administrador global para outros serviços cloud) e a segunda função concede permissões para executar apenas o conector do Rights Management (RMS).As these role names suggest, the first role grants permissions to run all administrative tasks for Azure Rights Management (without making them a global administrator for other cloud services) and the second role grants permissions to run only the Rights Management (RMS) connector.

Factos a ter em conta:Some things to note:

  • Apenas os administradores globais para o Office 365 e os administradores globais para o Azure AD podem utilizar o Centro de administração do Office 365 ou portal clássico do Azure para configurar o Azure RMS.Only global administrators for Office 365 and global administrators for Azure AD can use the Office 365 admin center or Azure classic portal to configure Azure RMS. Se utilizar o portal do Azure para o Azure Information Protection, também pode iniciar sessão como um administrador de segurança.If you use the Azure portal for Azure Information Protection, you can also sign in as a security admin.

  • Os utilizadores aos quais atribui a função de administrador global para o Azure RMS têm de utilizar os comandos do PowerShell do Azure RMS para configurarem o Azure RMS.Users that you assign the global administrator role for Azure RMS must use Azure RMS PowerShell commands to configure Azure RMS. Para ajudar a encontrar os cmdlets certos para tarefas específicas, veja Administrar o Azure Rights Management Utilizando o Windows PowerShell.To help you find the right cmdlets for specific tasks, see Administering Azure Rights Management by Using Windows PowerShell.

  • Se tiver configurado controlos de inclusão, esta configuração não afeta a capacidade para administrar o Azure RMS, exceto o conector RMS.If you have configured onboarding controls, this configuration does not affect the ability to administer Azure RMS, except the RMS connector. Por exemplo, se tiver configurado controlos de inclusão de para restringir a capacidade de proteger conteúdo ao grupo "Departamento de TI", a conta utilizada para instalar e configurar o conector do RMS tem de ser um membro desse grupo.For example, if you have configured onboarding controls such that the ability to protect content is restricted to the “IT department” group, the account that you use to install and configure the RMS connector must be a member of that group.

  • Nenhum administrador para o Azure RMS (por exemplo, administrador global do inquilino ou um administrador global do Azure RMS) pode remover automaticamente a proteção de documentos ou e-mails que foram protegidos pelo Azure RMS.No administrator for Azure RMS (for example, the tenant's global admin or an Azure RMS global administrator) can automatically remove protection from documents or emails that were protected by Azure RMS. Apenas os utilizadores aos quais estão atribuídos superutilizadores para o Azure RMS podem fazê-lo, desde que a funcionalidade de superutilizador esteja ativada.Only users who are assigned super users for Azure RMS can do this, and when the super user feature is enabled. No entanto, o administrador global do inquilino e qualquer administrador global do Azure RMS pode atribuir utilizadores como superutilizadores, incluindo a sua própria conta.However, the tenant's global administrator and any Azure RMS global administrator can assign users as super users, including their own account. Também pode ativar a funcionalidade de superutilizador.They can also enable the super user feature. Estas ações são registadas no registo de administrador do Azure RMS.These actions are recorded in the Azure RMS administrator log. Para obter mais informações, veja a secção de melhores práticas em Configurar superutilizadores para o Azure Rights Management e serviços de deteção ou recuperação de dados.For more information, see the security best practices section in Configuring super users for Azure Rights Management and discovery services or data recovery.

Nota

Modelos e as novas opções de configuração da proteção do Azure Rights Management movido para o portal do Azure, que suporta a administradores de segurança para além de acesso de administrador global.Templates and new options for configuring Azure Rights Management protection have moved to the Azure portal, which supports security admins in addition to global admin access.

Como posso criar um novo modelo personalizado no portal do Azure?How do I create a new custom template in the Azure portal?

Modelos personalizados movido para o portal do Azure onde pode continuar a geri-los como modelos ou convertê-las em etiquetas.Custom templates have moved to the Azure portal where you can continue to manage them as templates, or convert them to labels. Para criar um novo modelo, crie uma nova etiqueta e configure as configurações de proteção de dados do Azure RMS.To create a new template, create a new label and configure the data protection settings for Azure RMS. Nos bastidores, esta ação cria um novo modelo que pode ser acedido por serviços e aplicações que se integram nos modelos do Rights Management.Under the covers, this creates a new template that can then be accessed by services and applications that integrate with Rights Management templates.

Para obter mais informações sobre os modelos no portal do Azure, consulte configurar e gerir modelos do Azure Information Protection.For more information about templates in the Azure portal, see Configuring and managing templates for Azure Information Protection.

Posso tiver protegido um documento e agora pretende alterar os direitos de utilização ou adicionar utilizadores – é necessário voltar a proteger o documento?I've protected a document and now want to change the usage rights or add users—do I need to reprotect the document?

Se o ficheiro foi protegido utilizando um modelo ou de etiqueta, não é necessário para voltar a proteger o documento.If the document was protected by using a label or template, there's no need to reprotect the document. Modificar o modelo ou uma etiqueta ao fazer as alterações para os direitos de utilização ou adicionar novos grupos (ou os utilizadores) e, em seguida, guarde e publicar estas alterações:Modify the label or template by making your changes to the usage rights or add new groups (or users), and then save and publish these changes:

  • Quando um utilizador não aceder ao documento antes de efetuar as alterações, as alterações entram em vigor assim que o utilizador abre o documento.When a user hasn't accessed the document before you made the changes, the changes take effect as soon as the user opens the document.

  • Quando um utilizador acedeu já o documento, estas alterações entram em vigor quando os respetivos utilizar licença expira.When a user has already accessed the document, these changes take effect when their use license expires. Proteja o documento apenas se não puder aguardar a licença de utilização para expirar.Reprotect the document only if you cannot wait for the use license to expire. Trocar de forma eficaz cria uma nova versão do documento e, por conseguinte, uma nova licença de utilização para o utilizador.Reprotecting effectively creates a new version of the document, and therefore a new use license for the user.

Em alternativa, se já tiver configurado um grupo para as permissões necessárias, pode alterar a associação de grupo para incluir ou excluir utilizadores e não é necessário para alterar a etiqueta ou modelo.Alternatively, if you have already configured a group for the required permissions, you can change the group membership to include or exclude users and there is no need to change the label or template. Pode existir um pequeno atraso antes das alterações surtam efeito, porque é a associação ao grupo em cache pelo serviço do Azure Rights Management.There might be a small delay before the changes take effect because group membership is cached by the Azure Rights Management service.

Se o ficheiro foi protegido através da utilização de permissões personalizadas, não é possível alterar as permissões para o documento existente.If the document was protected by using custom permissions, you cannot change the permissions for the existing document. Tem de proteger o documento novamente e especifique todos os utilizadores e todos os direitos de utilização que são necessários para esta nova versão do documento.You must protect the document again and specify all the users and all the usage rights that are required for this new version of the document. Para voltar a proteger um documento protegido, tem de ter o direito de utilização de controlo total.To reprotect a protected document, you must have the Full Control usage right.

Tenho uma implementação híbrida do Exchange com alguns utilizadores no Exchange Online e outros no Exchange Server. Isto é suportado pelo Azure RMS?I have a hybrid deployment of Exchange with some users on Exchange Online and others on Exchange Server—is this supported by Azure RMS?

Absolutamente. Além disso, a vantagem é que os utilizadores poderão proteger e consumir de forma totalmente integrada e-mails e anexos protegidos nas duas implementações do Exchange.Absolutely, and the nice thing is, users will be able to seamlessly protect and consume protected emails and attachments across the two Exchange deployments. Para esta configuração, ative o Azure RMS e ative a IRM para o Exchange Online e, em seguida, implemente e configure o conetor RMS para o Exchange Server.For this configuration, activate Azure RMS and enable IRM for Exchange Online, then deploy and configure the RMS connector for Exchange Server.

Se utilizar esta proteção para o meu ambiente de produção, a minha empresa fica presa a essa solução ou arrisca-se a perder o acesso aos conteúdos que protegemos com o Azure RMS?If I use this protection for my production environment, is my company then locked into the solution or risk losing access to content that we protected with Azure RMS?

Não, permanece sempre no controlo dos seus dados e pode continuar a aceder aos mesmos, mesmo se optar por deixar de utilizar o serviço Azure Rights Management.No, you always remain in control of your data and can continue to access it, even if you decide to no longer use the Azure Rights Management service. Para obter mais informações, veja Desativar o Azure Rights Management.For more information, see Decommissioning and deactivating Azure Rights Management.

No entanto, antes de desativar o serviço Azure Rights Management, gostaríamos de ouvir do utilizador e compreender por que motivo tomou esta decisão.However, before you decommission your Azure Rights Management service, we would like to hear from you and understand why you made this decision. Se a proteção do Azure Rights Management não satisfizer os seus requisitos empresariais, contacte-nos no caso de estarmos a planear novas funcionalidades para um futuro próximo ou no caso de existirem alternativas.If Azure Rights Management protection does not fulfill your business requirements, check with us in case new functionality is planned for the near-future or if there are alternatives. Envie uma mensagem de e-mail para AskIPTeam@Microsoft.com e teremos todo o gosto em falar sobre os seus requisitos técnicos e empresariais.Send an email message to AskIPTeam@Microsoft.com and we’ll be happy to discuss your technical and business requirements.

Posso controlar que utilizadores podem aceder ao Azure RMS para proteger o conteúdo?Can I control which of my users can use Azure RMS to protect content?

Sim, o serviço Azure Rights Management tem controlos de integração do utilizador para este cenário.Yes, the Azure Rights Management service has user onboarding controls for this scenario. Para obter mais informações, veja a secção Configurar os controlos de inclusão para uma implementação faseada no artigo Ativar o Azure Rights Management.For more information, see the Configuring onboarding controls for a phased deployment section in the Activating Azure Rights Management article.

Posso impedir que os utilizadores partilhem documentos protegidos com organizações específicas?Can I prevent users from sharing protected documents with specific organizations?

Uma das grandes vantagens da utilização do serviço Azure Rights Management na proteção de dados é que suporta a colaboração entre empresas sem ter de configurar confianças explícitas para cada organização parceira, porque o Azure AD processa a autenticação automaticamente.One of the biggest benefits of using the Azure Rights Management service for data protection is that it supports business-to-business collaboration without you having to configure explicit trusts for each partner organization, because Azure AD takes care of the authentication for you.

Não existe uma opção de administração para impedir que os utilizadores partilhem documentos de forma segura com organizações específicas.There is no administration option to prevent users from securely sharing documents with specific organizations. Por exemplo, imagine que pretende bloquear uma organização na qual não confia ou que tem uma empresa concorrente.For example, you want to block an organization that you don’t trust or that has a competing business. Não faria sentido impedir o serviço Azure Rights Management de enviar documentos protegidos aos utilizadores nessas organizações, porque os seus utilizadores iriam partilhar os seus documentos desprotegidos, que é provavelmente a última coisa que quer que aconteça neste cenário.Preventing the Azure Rights Management service from sending protected documents to users in these organizations wouldn’t make sense because your users would then share their documents unprotected, which is probably the last thing you want to happen in this scenario. Por exemplo, não poderia identificar quem está a partilhar documentos confidenciais da empresa com os utilizadores nessas organizações, o que pode fazer quando o documento (ou e-mail) é protegido pelo serviço Azure Rights Management.For example, you wouldn’t be able to identify who is sharing company-confidential documents with which users in these organizations, which you can do when the document (or email) is protected by the Azure Rights Management service.

Quando partilho um documento protegido com alguém fora da minha empresa, como é que esse utilizador é autenticado?When I share a protected document with somebody outside my company, how does that user get authenticated?

Por predefinição, o serviço Azure Rights Management utiliza uma conta do Azure Active Directory e um endereço de e-mail associado para a autenticação de utilizador, o que torna a colaboração de empresa-empresa totalmente integrada para os administradores.By default, the Azure Rights Management service uses an Azure Active Directory account and an associated email address for user authentication, which makes business-to-business collaboration seamless for administrators. Se a outra organização utilizar serviços do Azure, os utilizadores já terão contas no Azure Active Directory, mesmo que estas contas tenham sido criadas e geridas no local e, em seguida, sincronizadas com o Azure.If the other organization uses Azure services, users will already have accounts in Azure Active Directory, even if these accounts are created and managed on-premises and then synchronized to Azure. Se a organização tiver o Office 365, nos bastidores, este serviço também utiliza o Azure Active Directory para as contas de utilizador.If the organization has Office 365, under the covers, this service also uses Azure Active Directory for the user accounts. Se a organização do utilizador não tiver contas geridas no Azure, os utilizadores podem inscrever-se no RMS para utilizadores individuais, que cria um diretório e um inquilino do Azure não gerido para a organização com uma conta para o utilizador, para que este utilizador (e utilizadores subsequentes) possa ser autenticado para o serviço Azure Rights Management.If the user’s organization doesn’t have managed accounts in Azure, users can sign up for RMS for individuals, which creates an unmanaged Azure tenant and directory for the organization with an account for the user, so that this user (and subsequent users) can then be authenticated for the Azure Rights Management service.

O método de autenticação para estas contas pode variar, dependendo da forma como o administrador na outra organização configurou as contas do Azure Active Directory.The authentication method for these accounts can vary, depending on how the administrator in the other organization has configured the Azure Active Directory accounts. Por exemplo, podem utilizar palavras-passe que foram criadas para estas contas, autenticação multifator (MFA), federação ou palavras-passe que foram criadas nos Active Directory Domain Services e, em seguida, sincronizadas com o Azure Active Directory.For example, they could use passwords that were created for these accounts, multi-factor authentication (MFA), federation, or passwords that were created in Active Directory Domain Services and then synchronized to Azure Active Directory.

Se proteger um e-mail com um anexo de documento do Office para um utilizador não tem uma conta no Azure AD, o método de autenticação é alterado.If you protect an email with an Office document attachment to a user who doesn't have an account in Azure AD, the authentication method changes. O serviço Azure Rights Management está Federado com alguns fornecedores de identidade de redes sociais populares, tais como o Gmail.The Azure Rights Management service is federated with some popular social identity providers, such as Gmail. Se o fornecedor de e-mail do utilizador é suportada, o utilizador pode iniciar sessão para que o serviço e os respetivos fornecedor de correio eletrónico é responsável por autenticá-los.If the user's email provider is supported, the user can sign in to that service and their email provider is responsible for authenticating them. Se o fornecedor de e-mail do utilizador não é suportado, ou uma preferência, o utilizador pode candidatar-se um código de acesso único que autentica e apresenta o e-mail com o documento protegido num web browser.If the user's email provider is not supported, or as a preference, the user can apply for a one-time passcode that authenticates them and displays the email with the protected document in a web browser.

Posso adicionar utilizadores externos (pessoas que não pertencem à minha empresa) a modelos personalizados?Can I add external users (people from outside my company) to custom templates?

Sim.Yes. Quando converter um modelo para uma etiqueta no portal do Azure, pode configurar o as definições de proteção para adicionar permissões a utilizadores e grupos a partir de fora da sua organização e até mesmo todos os utilizadores noutra organização.When you convert a template to a label in the Azure portal, you can configure the protection settings to add permissions to users and groups from outside your organization, and even all users in another organization. Em alternativa, pode efetuar esta configuração utilizando o PowerShell.Or, you can do this configuration by using PowerShell.

Para obter mais informações sobre a conversão de modelos personalizados para as etiquetas para que possa, em seguida, facilmente adicionar utilizadores externos, consulte configurar e gerir modelos do Azure Information Protection.For more information about converting custom templates to labels so that you can then easily add external users, see Configuring and managing templates for Azure Information Protection.

Tipo de grupos que pode utilizar com o Azure RMS?What type of groups can I use with Azure RMS?

Para a maioria dos cenários, pode utilizar qualquer tipo de grupo no Azure AD que tenha um endereço de e-mail.For most scenarios, you can use any group type in Azure AD that has an email address. Esta regra prática aplica-se sempre ao atribuir direitos de utilização, mas existem algumas exceções para administrar o serviço Azure Rights Management.This rule of thumb always applies when you assign usage rights but there are some exceptions for administering the Azure Rights Management service. Para obter mais informações, consulte requisitos do Azure Information Protection para contas de grupo.For more information, see Azure Information Protection requirements for group accounts.

Como envio um e-mail protegido a uma conta do Gmail ou do Hotmail?How do I send a protected email to a Gmail or Hotmail account?

Quando utiliza o Exchange Online e o serviço Azure Rights Management, apenas enviar mensagem de correio eletrónico como uma mensagem protegida.When you use Exchange Online and the Azure Rights Management service, you just send the email as a protected message. Por exemplo, pode selecionar o novo proteger botão na barra de comando no Outlook na Web, utilize a opção do Outlook não reencaminhar, selecione uma etiqueta de Azure Information Protection aplica proteção do Azure Rights Management, ou a proteção pode ser aplicada por regras de transporte do Exchange Online.For example, you can select the new Protect button in the command bar in Outlook on the Web, use the Outlook Do Not Forward option, select an Azure Information Protection label that applies protection from Azure Rights Management, or the protection can be applied by Exchange Online transport rules.

O destinatário verá uma opção para iniciar sessão na sua conta Gmail, Yahoo ou Microsoft e, em seguida, poderá ler o e-mail protegido.The recipient will see an option to sign in to their Gmail, Yahoo, or Microsoft account, and then be able to read the protected email. Em alternativa, que possam escolher a opção para um código de acesso único ler o e-mail num browser.Alternatively, they can choose the option for a one-time passcode to read the email in a browser.

Para suportar este cenário, Exchange Online tem de estar ativada para o serviço Azure Rights Management e as novas funcionalidades na encriptação de mensagens do Office 365.To support this scenario, Exchange Online must be enabled for the Azure Rights Management service and the new capabilities in Office 365 Message Encryption. Para obter mais informações sobre esta configuração, consulte Exchange Online: IRM Configuration.For more information about this configuration, see Exchange Online: IRM Configuration.

Para obter mais informações sobre as novas capacidades que incluem suporte todas as contas de e-mail em todos os dispositivos, consulte a seguinte mensagem de blogue: anunciar novas capacidades disponíveis na encriptação de mensagens do Office 365.For more information about the new capabilities that include supporting all email accounts on all devices, see the following blog post: Announcing new capabilities available in Office 365 Message Encryption.

Que dispositivos e que tipos de ficheiro são suportados pelo Azure RMS?What devices and which file types are supported by Azure RMS?

Para obter uma lista dos dispositivos que suportam o serviço Azure Rights Management, veja Dispositivos cliente que suportam a proteção de dados do Azure Rights Management.For a list of devices that support the Azure Rights Management service, see Client devices that support Azure Rights Management data protection. Uma vez que nem todos os dispositivos suportados conseguem atualmente suportar todas as funcionalidades de Rights Management, verifique também a tabela Aplicações otimizadas pelo RMS.Because not all supported devices can currently support all Rights Management capabilities, be sure to also check the table for RMS-enlighted applications.

O serviço Azure Rights Management pode suportar todos os tipos de ficheiro.The Azure Rights Management service can support all file types. Para texto, imagem, ficheiros do Microsoft Office (Word, Excel, PowerPoint), ficheiros .pdf e outros tipos de ficheiro de aplicação, o Azure Rights Management fornece proteção nativa que inclui encriptação e imposição dos direitos (permissões).For text, image, Microsoft Office (Word, Excel, PowerPoint) files, .pdf files, and some other application file types, Azure Rights Management provides native protection that includes both encryption and enforcement of rights (permissions). Para todas as outras aplicações e tipos de ficheiro, a proteção genérica fornece autenticação e encapsulamento de ficheiro para verificar se um utilizador tem autorização para abrir o ficheiro.For all other applications and file types, generic protection provides file encapsulation and authentication to verify if a user is authorized to open the file.

Para obter uma lista de extensões de nome de ficheiro que são suportadas nativamente pelo Azure Rights Management, veja Ficheiros suportados pelo cliente do Azure Information Protection.For a list of file name extensions that are natively supported by Azure Rights Management, see File types supported by the Azure Information Protection client. As extensões de nome de ficheiro que não estiverem indicadas são suportadas através do cliente do Azure Information Protection que aplica automaticamente a proteção genérica a estes ficheiros.File name extensions not listed are supported by using the Azure Information Protection client that automatically applies generic protection to these files.

Como configurar um computador Mac para proteger e controlar documentos?How do I configure a Mac computer to protect and track documents?

Primeiro, confirme se instalou o Office para Mac através da ligação de instalação do software em https://portal.office.com. Para obter instruções completas, veja Transferir e instalar ou reinstalar o Office 365 ou o Office 2016 num PC ou Mac.First, make sure that you have installed Office for Mac by using the software installation link from https://portal.office.com. For full instructions, see Download and install or reinstall Office 365 or Office 2016 on a PC or Mac.

Abra o Outlook e crie um perfil com a conta escolar ou profissional do Office 365.Open Outlook and create a profile by using your Office 365 work or school account. Em seguida, crie uma nova mensagem e faça o seguinte procedimento para configurar o Office, para que possa proteger documentos e e-mails com o serviço Azure Rights Management:Then, create a new message and do the following to configure Office so that it can protect documents and emails by using the Azure Rights Management service:

  1. Na nova mensagem, no separador Opções, clique em Permissões e, em seguida, clique em Verificar Credenciais.In the new message, on the Options tab, click Permissions, and then click Verify Credentials.

  2. Quando solicitado, especifique os detalhes da conta escolar ou profissional do Office 365 novamente e selecione Iniciar sessão.When prompted, specify your Office 365 work or school account details again, and select Sign in.

    Esta ação irá transferir os modelos do Azure Rights Management e Verificar Credenciais foi agora substituído por opções que incluem Sem Restrições, Não Encaminhar e quaisquer modelos do Azure Rights Management que estejam publicados para o seu inquilino.This downloads the Azure Rights Management templates and Verify Credentials is now replaced with options that include No Restrictions, Do Not Forward, and any Azure Rights Management templates that are published for your tenant. Já pode cancelar esta nova mensagem.You can now cancel this new message.

Para proteger uma mensagem de e-mail ou um documento: no separador Opções, clique em Permissões e escolha uma opção ou um modelo que protege o seu e-mail ou documento.To protect an email message or a document: On the Options tab, click Permissions and choose an option or template that protects your email or document.

Para controlar um documento depois de o proteger: a partir de um computador Windows que tenha o cliente do Azure Information Protection instalado, registe o documento no site de controlo de documentos ao utilizar uma aplicação do Office ou o Explorador de Ficheiros.To track a document after you have protected it: From a Windows computer that has the Azure Information Protection client installed, register the document with the document tracking site by using either an Office application or File Explorer. Para obter instruções, veja Controlar e revogar os documentos.For instructions, see Track and revoke your documents. No seu computador Mac, agora já pode utilizar o browser para aceder ao site de controlo de documentos (https://track.azurerms.com) para controlar e revogar este documento.From your Mac computer, you can now use your web browser to go to the document tracking site (https://track.azurerms.com) to track and revoke this document.

Quando abro um documento do Office protegido por RMS, o ficheiro temporário associado também fica protegido por RMS?When I open an RMS-protected Office document, does the associated temporary file become RMS-protected as well?

Não.No. Neste cenário, o ficheiro temporário associado não contém dados do documento original, mas apenas o que o utilizador introduz enquanto o ficheiro está aberto.In this scenario, the associated temporary file doesn’t contain data from the original document but instead, only what the user enters while the file is open. Ao contrário do ficheiro original, o ficheiro temporário não foi concebido para partilha e permaneceria no dispositivo, protegido por controlos de segurança locais, como o BitLocker e o EFS.Unlike the original file, the temporary file is obviously not designed for sharing and would remain on the device, protected by local security controls, such as BitLocker and EFS.

A funcionalidade que procuro não funciona com bibliotecas protegidas do SharePoint. Planeiam oferecer suporte para a minha funcionalidade?A feature I am looking for doesn’t seem to work with SharePoint protected libraries—is support for my feature planned?

Atualmente, o SharePoint suporta protegidos pelo RMS documentos ao utilizar IRM protegido bibliotecas, o que não suportam modelos de Rights Management, controlo de documentos e outras funcionalidades.Currently, SharePoint supports RMS-protected documents by using IRM protected libraries, which do not support Rights Management templates, document tracking, and some other capabilities. Para obter mais informações veja a secção SharePoint Online e SharePoint Server no artigo Aplicações e serviços do Office .For more information, see the SharePoint Online and SharePoint Server section in the Office applications and services article.

Se estiver interessado numa funcionalidade específica que ainda não é suportada, fique atento aos anúncios no Blogue Enterprise Mobility and Security (em inglês).If you are interested in a specific capability that isn't yet supported, be sure to keep an eye on announcements on the Enterprise Mobility and Security Blog.

Como posso configurar o OneDrive para Empresas no SharePoint Online, para que os utilizadores possam partilhar os seus ficheiros de forma segura com pessoas dentro e fora da empresa?How do I configure One Drive for Business in SharePoint Online, so that users can safely share their files with people inside and outside the company?

Por predefinição, enquanto administrador do Office 365, não lhe cabe a si configurar isto, mas sim aos utilizadores.By default, as an Office 365 administrator, you don’t configure this; users do.

Tal como um administrador do site do SharePoint ativa e configura a IRM para uma biblioteca do SharePoint que possui, o OneDrive para Empresas é concebido para os utilizadores ativarem e configurarem a IRM para as suas próprias bibliotecas do OneDrive para Empresas.Just as a SharePoint site administrator enables and configures IRM for a SharePoint library that they own, OneDrive for Business is designed for users to enable and configure IRM for their own OneDrive for Business library. No entanto, com o PowerShell, pode fazê-lo pelos utilizadores.However, by using PowerShell, you can do this for them. Para obter instruções, veja a secção SharePoint Online e OneDrive para Empresas: configuração de IRM no artigo Office 365: configuração para clientes e serviços online.For instructions, see the SharePoint Online and OneDrive for Business: IRM Configuration section in the Office 365: Configuration for clients and online services article.

Tem sugestões ou truques para uma implementação com êxito?Do you have any tips or tricks for a successful deployment?

Após supervisionar várias implementações e ouvir os nossos clientes, parceiros, consultores e engenheiros de suporte – uma das maiores sugestões que podemos transmitir da nossa experiência: Crie e implemente políticas simples.After overseeing many deployments and listening to our customers, partners, consultants, and support engineers – one of the biggest tips we can pass on from experience: Design and deploy simple policies.

Como o Azure Information Protection suporta a partilha segura com todas as pessoas, pode ser ambicioso com o alcance da proteção de dados.Because Azure Information Protection supports sharing securely with anyone, you can afford to be ambitious with your data protection reach. Mas, seja conservador quando configurar as restrições de utilização de direitos.But be conservative when you configure rights usage restrictions. Para muitas organizações, o maior impacto comercial provém de impedir a fuga de dados ao restringir o acesso a pessoas na sua organização.For many organizations, the biggest business impact comes from preventing data leakage by restricting access to people in your organization. Claro que, se for necessário, pode ser muito mais granular e impedir que as pessoas imprimam, editem, etc. Mas manter as restrições mais granulares como a exceção para documentos que precisam de alto nível de segurança e não implementam estes direitos de utilização mais restritivos no primeiro dia, mas planeie uma abordagem mais faseada.Of course, you can get much more granular than that if you need to – prevent people from printing, editing etc. But keep the more granular restrictions as the exception for documents that really need high-level security, and don’t implement these more restrictive usage rights on day one, but plan for a more phased approach.

Como recuperamos o acesso a ficheiros que foram protegidos por um funcionário que saiu da organização?How do we regain access to files that were protected by an employee who has now left the organization?

Utilize o funcionalidade de Superutilizador, que concede a utilização de controlo total de direitos aos utilizadores autorizados para todos os documentos e e-mails que são protegidos pelo seu inquilino.Use the super user feature, which grants the Full Control usage rights to authorized users for all documents and emails that are protected by your tenant. Superutilizadores podem sempre ler este conteúdo protegido e se for necessário, remova a proteção ou volte a protegê-lo para diferentes utilizadores.Super users can always read this protected content, and if necessary, remove the protection or re-protect it for different users. Esta mesma funcionalidade permite que os serviços autorizados indexem e inspecionem ficheiros, conforme necessário.This same feature lets authorized services index and inspect files, as needed.

Quando testo a revogação no site de controlo do documento, vejo uma mensagem a indicar que as pessoas ainda podem aceder ao documento durante até 30 dias. Este período de tempo é configurável?When I test revocation in the document tracking site, I see a message that says people can still access the document for up to 30 days—is this time period configurable?

Sim.Yes. Esta mensagem reflete o utilizar licença para esse ficheiro específico.This message reflects the use license for that specific file.

Se revogar um ficheiro, essa ação só poderá ser aplicada quando o utilizador autenticar para o serviço Azure Rights Management.If you revoke a file, that action can be enforced only when the user authenticates to the Azure Rights Management service. Por isso, se um ficheiro tiver um período de validade de licença de utilização de 30 dias e o utilizador já tiver aberto o documento, esse utilizador continuará a ter acesso ao documento enquanto a licença de utilização durar.So if a file has a use license validity period of 30 days and the user has already opened the document, that user continues to have access to the document for the duration of the use license. Quando a licença de utilização expirar, o utilizador terá de ser novamente autenticado. Nessa altura, será rejeitado o acesso ao utilizador porque o documento já estará revogado.When the use license expires, the user must reauthenticate, at which point the user is denied access because the document is now revoked.

O utilizador que protegeu o documento, o emissor do Rights Management está isento desta revogação e terá sempre acesso aos respetivos documentos.The user who protected the document, the Rights Management issuer is exempt from this revocation and is always able to access their documents.

O valor predefinido para o período de validade da licença de utilização para um inquilino é 30 dias e esta definição pode ser substituída por uma definição mais restritiva num etiqueta ou modelo.The default value for the use license validity period for a tenant is 30 days and this setting can be overridden by a more restrictive setting in a label or template. Para obter mais informações sobre a licença de utilização e como configurá-lo, consulte o utilizar a gestão de direitos de licença documentação.For more information about the use license and how to configure it, see the Rights Management use license documentation.

O Rights Management pode impedir capturas de ecrã?Can Rights Management prevent screen captures?

Ao não conceder direitos de utilização de Cópia, o Rights Management pode impedir capturas de ecrãs de muitas das ferramentas de captura de ecrã utilizadas normalmente em plataformas com Windows (Windows 7, Windows 8.1, Windows 10, Windows Phone) e Android.By not granting the Copy usage right, Rights Management can prevent screen captures from many of the commonly used screen capture tools on Windows platforms (Windows 7, Windows 8.1, Windows 10, Windows Phone) and Android. No entanto, os dispositivos iOS e Mac não permitem que as aplicações impeçam capturas de ecrã e os browsers (por exemplo, quando são utilizados com o Outlook Web App e o Office Online) também não podem impedir capturas de ecrã.However, iOS and Mac devices do not allow any app to prevent screen captures, and browsers (for example, when used with Outlook Web App and Office Online) also cannot prevent screen captures.

Impedir capturas de ecrã pode ajudar a evitar a divulgação por acidente ou por negligência de informações confidenciais.Preventing screen captures can help to avoid accidental or negligent disclosure of confidential or sensitive information. No entanto, existem várias formas de um utilizador partilhar os dados apresentados num ecrã e tirar uma captura de ecrã é apenas um dos métodos possíveis.But there are many ways that a user can share data that is displayed on a screen, and taking a screen shot is only one method. Por exemplo, um utilizador que esteja determinado em partilhar as informações apresentadas pode tirar uma fotografia com a câmara do telemóvel, reescrever os dados ou simplesmente dizê-las a alguém.For example, a user intent on sharing displayed information can take a picture of it using their camera phone, retype the data, or simply verbally relay it to somebody.

Conforme estes exemplos demonstram, mesmo que todas as plataformas e todos os softwares suportassem as APIs do Rights Management para bloquear as capturas de ecrã, a tecnologia por si só nem sempre pode impedir os utilizadores de partilharem dados que não deviam.As these examples demonstrate, even if all platforms and all software supported the Rights Management APIs to block screen captures, technology alone cannot always prevent users from sharing data that they should not. O Rights Management pode ajudar a salvaguardar os seus dados importantes com políticas de utilização e autorização, mas esta solução de gestão de direitos de empresa deve ser utilizada em conjunto com outros controlos.Rights Management can help to safeguard your important data by using authorization and usage policies, but this enterprise rights management solution should be used with other controls. Por exemplo, implementar segurança física, monitorizar cuidadosamente as pessoas que têm acesso autorizado aos dados da sua organização e investir na educação dos utilizadores para que estes compreendam que os dados não devem ser partilhados.For example, implement physical security, carefully screen and monitor people who have authorized access to your organization's data, and invest in user education so users understand what data should not be shared.

Qual a diferença entre um utilizador que protege um e-mail com Não Reencaminhar e um modelo que não inclui o direito de Reencaminhar?What's the difference between a user protecting an email with Do Not Forward and a template that doesn't include the Forward right?

Apesar do nome e do aspeto, Não Reencaminhar não é o oposto do direito de Reencaminhar ou um modelo.Despite its name and appearance, Do Not Forward is not the opposite of the Forward right, or a template. Na realidade, é um conjunto de direitos que incluem restringir a cópia, impressão e gravação de anexos, para além de restringir o reencaminhamento de e-mails.It is actually a set of rights that include restricting copying, printing, and saving attachments, in addition to restricting the forwarding of emails. Os direitos são aplicados dinamicamente aos utilizadores através de destinatários escolhidos e não estaticamente atribuídos pelo administrador.The rights are dynamically applied to users via the chosen recipients, and not statically assigned by the administrator. Para obter mais informações, veja a secção Opção Não Reencaminhar para e-mails em Configurar os direitos de utilização do Azure Rights Management.For more information, see the Do Not Forward option for emails section in Configuring usage rights for Azure Rights Management.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.