Cenário – configurar pastas de trabalho para proteção persistenteScenario - Configure work folders for persistent protection

Aplica-se a: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Este cenário e a documentação de apoio do utilizador utilizam a tecnologia do Azure Rights Management do Azure Information Protection para aplicar proteção persistente aos documentos do Office contidos em Pastas de Trabalho.This scenario and supporting user documentation uses the Azure Rights Management technology from Azure Information Protection to apply persistent protection to Office documents in Work Folders. As Pastas de Trabalho utilizam um serviço de função para servidores de ficheiros que utilizam o Windows Server que disponibiliza uma forma consistente de os utilizadores acederem aos seus ficheiros de trabalho a partir dos respetivos PCs e dispositivos.Work Folders uses a role service for file servers running Windows Server that provides a consistent way for users to access their work files from their PCs and devices. Apesar de as Pastas de Trabalho fornecerem a sua própria encriptação para proteger os ficheiros, esta proteção deixa de existir se os ficheiros forem movidos para fora do ambiente das Pastas de Trabalho.Although Work Folders provides its own encryption to protect the files, this protection is lost if the files are then moved outside the Work Folders environment. Por exemplo, os utilizadores copiam os ficheiros sincronizados e guardam-nos num local que não é controlado pelo seu departamento de TI ou os ficheiros são enviados para terceiros por e-mail.For example, users copy the synchronized files and save them to storage that is not under the control of your IT department, or the files are emailed to others.

A proteção adicional fornecida pelo Azure Rights Management ajuda a evitar a perda acidental de dados, evitando que os ficheiros sejam vistos por pessoas externas à sua organização.The additional protection that Azure Rights Management provides helps to prevent accidental data loss by preventing the files from being viewed by people outside your organization. Para tal, pode utilizar um dos modelos de política de direitos predefinidos e incorporados.To do this, you can use one of the built-in, default rights policy templates. No entanto, antes de implementar este cenário, tenha em atenção que os utilizadores poderão precisar de partilhar legitimamente um destes ficheiros com pessoas externas à organização.However, before you deploy this scenario, consider whether users might need to legitimately share any of these files with people outside the organization. Por exemplo, depois de trabalharem no rascunho de uma lista de preços, os utilizadores enviam e-mails com a versão final para os respetivos clientes noutras organizações.For example, after working on a draft price list, a user then emails the final version to their customer in another organization. Se utilizassem o modelo de Gestão de Direitos predefinido para Pastas de Trabalho, os clientes das outras organizações não conseguiriam ler esse documento enviado por e-mail.When you use the default Rights Management template for Work Folders, that customer in the other organization couldn't be able to read this emailed document. Para cumprir este requisito, pode criar um modelo personalizado que permite que os utilizadores apliquem uma nova política de direitos ao ficheiro, a qual irá substituir a restrição original de todos os funcionários pelas pessoas especificadas no e-mail.You can accommodate this requirement by creating a custom template that lets users apply a new rights policy to the file, which replaces the original restriction of all employees to the people that they specify in the email.

Nota

Quando utiliza o modelo personalizado indicado neste cenário, apesar de os utilizadores poderem partilhar intencionalmente ficheiros com pessoas que não definiu no modelo, a proteção adicional que está a aplicar com o Azure Rights Management proporciona diversos benefícios.When you use the custom template that is documented for this scenario, although users can intentionally share files with people that you didn't define in the template, the additional protection that you're applying with Azure Rights Management provides a lot of benefits. Esta proteção adicional evita a perda acidental de dados, caso os conteúdos sejam movidos para fora do limite das Pastas de Trabalho, dado que os conteúdos permanecem protegidos contra utilizadores não autorizados, quer os conteúdos estejam inativos, quer tenham sido transmitidos.This additional protection prevents accidental data loss if the content is moved outside the Work Folders boundary, because the content remains protected from unauthorized users, whether it is at rest or transmitted. Por exemplo, um utilizador perde um dispositivo que está a utilizar as Pastas de Trabalho, este dispositivo é roubado ou os conteúdos sincronizados com e a partir deste dispositivo são transferidos através de uma infraestrutura insegura.For example, a user loses a device that is using Work Folders, or this device is stolen, or the content synchronized to and from this device is transferred over unsecured infrastructure.

Se um utilizador partilhar os conteúdos com alguém de outra organização através da funcionalidade Partilhar Protegido da aplicação de partilha Rights Management, esse utilizador substitui a proteção original pela sua própria política de proteção.If a user shares the content with somebody in another organization, by using the Share Protected functionality from the Rights Management sharing application, that user replaces the original protection with their own protection policy. Por conseguinte, os conteúdos continuam a estar protegidos contra acessos não autorizados e apenas as pessoas especificadas pelo utilizador poderão aceder aos conteúdos.As a result, the content is still protected from unauthorized access and only the people that the user specifies can access the content.

Pode aplicar esta proteção persistente a todos os documentos do Office nas Pastas de Trabalho dos utilizadores ou apenas em ficheiros que contêm dados confidenciais ou de elevado impacto comercial.You can apply this persistent protection to all Office documents in users' Work Folders, or only to files that contain sensitive or high-business-impact data.

As instruções aplicam-se às seguintes circunstâncias:The instructions are suitable for the following set of circumstances:

  • Os ficheiros da Pasta de Trabalho que pretende proteger com proteção persistente são ficheiros do Office.The Work Folder files that you want to protect with persistent protection are Office files. Estes ficheiros podem ser protegidos nativamente pelo Azure Rights Management e não alteram a respetiva extensão de nome de ficheiro nem precisam de um fluxo de trabalho diferente para os abrir.These files can be natively protected by Azure Right Management and do not change their file name extension or require a different work flow to open them.

  • Quer aplicar a proteção persistente a todos os ficheiros do Office nas Pastas de Trabalho dos utilizadores ou a determinados ficheiros que tenham sido identificados através da Infraestrutura de Classificação de Ficheiros a partir do Gestor de Recursos do Servidor de Ficheiros no Windows Server.You want to apply the persistent protection to all Office files in users' Work Folders, or to selective files that have been identified by using File Classification Infrastructure from File Server Resource Manager in Windows Server.

  • Caso os ficheiros tenham de ser partilhados com pessoas que não estão especificadas no modelo de política de direitos (por exemplo, utilizadores de outra organização), os utilizadores têm de aplicar uma nova política de direitos para substituir a proteção da política de direitos original.For files that must be shared with people that are not specified in the rights policy template (for example, users in another organization), users must apply a new rights policy to replace the original rights policy protection.

Instruções de implementaçãoDeployment instructions

Instruções do administrador para a Implementação Rápida do Azure RMS

Certifique-se de que os seguintes requisitos são cumpridos e, em seguida, siga as instruções dos procedimentos de suporte antes de avançar para a documentação do utilizador.Make sure that the following requirements are in place, and then follow the instructions for the supporting procedures before going on to the user documentation.

Requisitos para este cenárioRequirements for this scenario

Para que as instruções para este cenário funcionem, é necessário o seguinte:For the instructions for this scenario to work, the following must be in place:

RequisitoRequirement Se precisar de mais informaçõesIf you need more information
O Azure Rights Management está ativadoAzure Rights Management is activated Ativar o Azure Rights ManagementActivating Azure Rights Management
Sincronizou as suas contas de utilizador do Active Directory no local com o Azure Active Directory ou o Office 365, incluindo o respetivo endereço de e-mail.You have synchronized your on-premises Active Directory user accounts with Azure Active Directory or Office 365, including their email address. Isto é necessário para todos os utilizadores que utilizam Pastas de Trabalho.This is required for all users that use Work Folders. Preparação para o Azure Information ProtectionPreparing for Azure Information Protection
Um dos seguintes:One of the following:

- Para utilizar um modelo predefinido para todos os utilizadores que não permita que os utilizadores apliquem uma nova política de direitos: o modelo predefinido não está arquivado, <nome da organização> – Confidencial- To use a default template for all users that does not allow users to apply a new rights policy: You have not archived the default template, <organization name> - Confidential

- Para utilizar um modelo personalizado adequado para os utilizadores aplicarem uma nova política de direitos: utilize as instruções que se seguem para criar um modelo personalizado- To use a custom template that is suitable for users to apply a new rights policy: You use the instructions that follow to create a custom template
Configurar modelos personalizados para o serviço Azure Rights ManagementConfiguring custom templates for the Azure Rights Management service
O conector Rights Management está instalado, autorizado para o computador Windows Server e configurado para a função Servidor FCI.The Rights Management connector is installed, authorized for the Windows Server computer, and configured for the FCI Server role. Implementar o conetor Azure Rights ManagementDeploying the Azure Rights Management connector
A aplicação de partilha Rights Management está implementada nos computadores dos utilizadores que executam o WindowsThe Rights Management sharing application is deployed to users’ computers that run Windows Implementação automática da aplicação de partilha Microsoft Rights ManagementAutomatic deployment for the Microsoft Rights Management sharing application

Configurar o modelo de política de direitos personalizado para que os utilizadores possam partilhar ficheiros de Pastas de Trabalho fora da organizaçãoConfiguring the custom rights policy template so that users can share Work Folders files outside the organization

  1. Inicie sessão no portal clássico do Azure e navegue para os modelos do Azure Rights Management.Sign into the Azure classic portal, and navigate to the Azure Rights Management templates.

  2. Copie o modelo <nome da organização> – Confidencial e forneça um nome e uma descrição para este cenário de Pastas de Trabalho.Copy the <organization name> - Confidential template, and supply a name and description for this Work Folders scenario. Sugerimos o seguinte:We suggest the following:

    • Nome: Conteúdos protegidos por Pastas de TrabalhoName: Content protected by Work Folders

    • Descrição: Estes conteúdos estão protegidos por Pastas de Trabalho e a sua utilização está restrita aos funcionários da empresa. Para partilhar estes conteúdos com pessoas externas à organização, anexe o documento a uma mensagem de e-mail e utilize a função Partilhar Protegido.Description: This content is protected by Work Folders and is restricted to company employees only. To share this content with people outside the organization, attach the document to an email message and use the Share Protected function.

  3. Na página DIREITOS:On the RIGHTS page:

    • Altere os direitos existentes de Personalizado para Coproprietário.Change the existing rights from Custom to Co-Owner.
  4. Na página CONFIGURAR:On the CONFIGURE page:

    • Certifique-se de que o ESTADO está definido para PUBLICARMake sure the STATUS is set to PUBLISH

    • Para o nome e descrição, elimine as entradas dos idiomas que não utiliza.For the name and description, delete the entries for the languages that you do not use. Para os idiomas que utiliza, atualize o NOME e a DESCRIÇÃO para que correspondam ao nome e à descrição que deu a este modelo, utilizando o idioma especificado.For the languages that you do use, update the NAME and DESCRIPTION so that these match the name and description that you gave this template, using the specified language.

  5. Guarde o modelo.Save the template.

Configurar Pastas de Trabalho para aplicar proteção persistente a ficheiros do OfficeConfiguring Work Folders to apply persistent protection to Office file

  1. Implemente Pastas de Trabalho para os seus utilizadores, para que os ficheiros guardados localmente sejam sincronizados com uma pasta de servidor de ficheiros. Esta ação é conhecida como partilha de sincronização.Implement Work Folders for your users so that locally saved files are synchronized to a file server folder, known as a sync share. A partilha de sincronização no servidor de ficheiros não pode estar no mesmo servidor que executa o conector Rights Management.The sync share on the file server must not be on the same server that runs the Rights Management connector.

    Esta solução precisa do serviço de função de Pastas de Trabalho no Gestor de Servidor, para a função Serviços de Ficheiros e Armazenamento.This solution requires the Work Folders role service in Server Manager, for the File and Storage Services role. O servidor de ficheiros tem de executar o Windows Server 2012 R2 ou uma versão posterior, podendo, além disso, estar no local ou numa máquina virtual no Azure.The file server must be running a minimum version of Windows Server 2012 R2, and this file server can be on-premises, or in a virtual machine in Azure. Para obter mais informações sobre as Pastas de Trabalho, consulte Descrição Geral das Pastas de Trabalho.For more information about Work Folders, see Work Folders Overview.

    Para obter instruções de implementação, consulte Implementar Pastas de Trabalho.For deployment instructions, see Deploying Work Folders. Certifique-se de que seleciona a encriptação incorporada (a opção Encriptar Pastas de Trabalho), que será aplicada juntamente com a encriptação do Azure Rights Management.Make sure that you select the built-in encryption (the option Encrypt Work Folders), which will be applied in addition to Azure Rights Management encryption. Além disso:In addition:

    • Quando vincular o certificado SSL no servidor de sincronização (passo 4): utilize o comando netsh (em vez da consola de gestão do IIS) para vincular o certificado à interface de HTTPS do Site Predefinido.When you bind the SSL certificate on the sync server (step 4): Use the netsh command (rather than the IIS management console) to bind the certificate to the Default Web Site HTTPS interface.

    • Para evitar que os utilizadores obtenham o erro de configuração de Pastas de Trabalho Ocorreu um problema ao aplicar as políticas de segurança e a necessidade de serem um administrador local nos respetivos computadores associados a um domínio, utilize o cmdlet Set-SyncShare com o parâmetro PasswordAutolockExcludeDomain e especifique os nomes de domínio nos quais estes computadores residem (por exemplo, contoso.com).To avoid users getting the Work Folders setup error There was a problem applying security policies and the requirement that they must be a local administrator on their domain-joined computers: Use the Set-SyncShare cmdlet with the PasswordAutolockExcludeDomain parameter, and specify the domain names that these computers reside in (for example, contoso.com).

  2. Para concluir a configuração do conector Rights Management:To complete the configuration for the Rights Management connector:

    1. Utilize o Gestor de Recursos do Servidor de Ficheiros para criar uma tarefa de gestão de ficheiros que identifique a pasta de partilha de sincronização como o âmbito.Using File Server Resource Manager, create a file management task that identifies the sync share folder as the scope.

    2. Para a ação, selecione Encriptação RMS e selecione um modelo:For the action, choose RMS encryption, and select a template:

      • Se não criou um modelo personalizado porque não quer que os utilizadores possam partilhar ficheiros com pessoas externas à organização, selecione o nome do modelo de <nome da organização> – Confidencial.If you did not create a custom template because you do not want users to be able to share files with others outside the organization, select the template name of <organization name> - Confidential. Por exemplo, VanArsdel, Ltd – Confidencial.For example, VanArsdel, Ltd - Confidential.

      • Se tiver criado um modelo personalizado com base nas instruções anteriores, selecione este modelo.If you created a custom template by using the preceding instructions, select this template. Por exemplo, Conteúdos protegidos por Pastas de Trabalho.For example, Content protected by Work Folders.

    3. Especifique um momento que permita despender bastante tempo para a encriptação de todos os ficheiros do Office através do Azure Rights Management e selecione a opção Executar continuamente em ficheiros novos.Specify a schedule that allows plenty of time for all the Office files to be encrypted by Azure Rights Management, and specify the option to Run continuously on new files.

  3. Para testar manualmente esta configuração, certifique-se de que a pasta contém alguns ficheiros do Office e, em seguida, utilize a opção Executar Tarefa de Gestão de Ficheiros Agora e selecione Aguardar conclusão da tarefa.To manually test this configuration, make sure that the folder contains some Office files, and then use the Run File Management Task Now option, and select Wait for the task to complete.

    Aguarde que a caixa de diálogo A Executar Tarefa de Gestão de Ficheiros seja fechada e, em seguida, veja os resultados no relatório que é automaticamente apresentado.Wait for the Running File Management Task dialog box to close and then view the results in the automatically displayed report. Deverá ver o número de ficheiros que estão na pasta selecionada no campo Ficheiros.You should see the number of files that are in your chosen folder in the Files field. Confirme que os ficheiros na sua pasta selecionada estão agora protegidos pelo Azure Rights Management.Confirm that the files in your chosen folder are now protected by Azure Rights Management. Por exemplo, abra um ficheiro e confirme que vê a faixa de informações na parte superior do documento, que contém o nome e a descrição do modelo de Gestão de Direitos.For example, open a file and confirm that you see the information banner at the top of the document that displays the name and description of the Rights Management template.

  4. Se decidiu proteger apenas determinados ficheiros através da Infraestrutura de Classificação de Ficheiros, configure a sua agenda e regra de classificação e, em seguida, modifique a tarefa de gestão de ficheiros para incluir esta propriedade de classificação como condição.If you decided to selectively protect files by using File Classification Infrastructure, configure your classification rule and schedule, and then modify the file management task to include this classification property as a condition.

Instruções da documentação do utilizadorUser documentation instructions

Se não for necessário partilhar os ficheiros que está a proteger através do Azure Rights Management com pessoas externas à sua organização, poderá fornecer aos utilizadores apenas as instruções sobre como utilizar as Pastas de Trabalho.If the files you are protecting with Azure Rights Management do not need to be shared with people outside your organization, you might not have to provide users with any additional instructions than those you provide for using Work Folders. Quando os utilizadores abrem os ficheiros que estão protegidos pelo Azure Rights Management e o modelo predefinido, os ficheiros são abertos no Office como habitualmente. A única diferença é que poderá ser pedido aos utilizadores que efetuem a autenticação e estes verão uma barra de informações na parte superior do documento que os informa de que os conteúdos contêm informações de propriedade destinadas apenas a utilizadores internos.When users open the files that are protected by Azure Rights Management and the default template, the files open as usual in Office, with the only difference being that users might be prompted to authenticate, and they will see an information bar at the top of the document that informs them that the content contains proprietary information intended for internal users only.

Se tiver configurado o modelo personalizado conforme indicado neste cenário, os utilizadores verão a descrição do modelo na barra de informações: Estes conteúdos estão protegidos por Pastas de Trabalho e a sua utilização está restrita aos funcionários da empresa. Para partilhar estes conteúdos com pessoas externas à organização, anexe o documento a uma mensagem de e-mail e utilize a função Partilhar Protegido.If you configured the custom template as documented for this scenario, users will see the template description in the information bar: This content is protected by Work Folders and is restricted to company employees only. To share this content with people outside the organization, attach the document to an email message and use the Share Protected function.. Embora esta descrição forneça um resumo de como partilhar o ficheiro fora da organização, os utilizadores provavelmente precisarão de instruções detalhadas para realizar esta ação, especialmente nas primeiras vezes que o fizerem.Although this description provides a summary of how to share the file outside the organization, users will probably need detailed instructions how to do this, especially for the first few times they do this. Para conseguir este cenário, utilize as instruções do administrador e do utilizador final em Scenario – Share an Office file with users in another organization (Cenário – Partilhar um ficheiro do Office com os utilizadores de outra organização – em inglês).To support this follow-on scenario, use the administrator and end-user instructions from Scenario - Share an Office file with users in another organization.

Dica

Se decidiu não utilizar o modelo personalizado nestas instruções porque não quer que os utilizadores possam partilhar estes ficheiros fora da organização sem supervisão do departamento de TI, informe o suporte técnico, para que, se o requisito de partilha for legítimo, este possa ser satisfeito através do mecanismo mais adequado para a sua empresa.If you decided not to use the custom template in these instructions, because you do not want users to be able to share these files outside the organization without IT oversight, let your help desk know so that if the sharing requirement is legitimate, it can be accommodated by using whatever mechanism is most appropriate for your business. Por exemplo, um superutilizador poderia aplicar um novo modelo aos conteúdos que conceda direitos de Controlo Total ao utilizador requerente, para que este possa depois utilizar a função Partilhar Protegido.For example, somebody who is a super user could apply a new template to the content that grants the requesting user Full Control rights, so that this user can then use the Share Protected function.

Se, após algum tempo, descobrir que existem muitos pedidos deste tipo, pode optar por definir o seu próprio modelo personalizado para este cenário, de forma a conceder a opção de Coproprietário apenas a determinados utilizadores (tais como gestores ou o suporte técnico), ao passo que aos utilizadores padrão é concedida a opção Coautor ou os direitos que considerar adequados.After a period of time, if you discover there are many such requests, you might decide to define your own custom template for this scenario that grants only specific users (such as managers or the help desk) the Co-Owner option while standard users are granted Co-Author or whatever rights you decide are suitable.

ComentáriosComments

Antes de inserir um comentário, pedimos-lhe que reveja as nossas Regras básicas.Before commenting, we ask that you review our House rules.