Configurar a colaboração de documentos seguros utilizando a Azure Information Protection

  • Artigo

Quando utilizar o Azure Information Protection, pode proteger os seus documentos sem sacrificar a colaboração para utilizadores autorizados. A maioria dos documentos que um utilizador cria e, em seguida, partilha com outros para visualizar e editar serão Office documentos do Word, Excel e PowerPoint. Estes documentos apoiam a proteção nativa, o que significa que, para além das características de proteção da autorização e da encriptação, também suportam uma autorização restrita para um controlo mais fino.

Estas permissões são chamadas direitos de utilização, e incluem permissões como visualização, edição, impressão. Pode definir direitos de utilização individuais quando um documento está protegido, ou pode definir um agrupamento de direitos de utilização, chamados níveis de permissão. Os níveis de permissão facilitam a seleção dos direitos de utilização que são normalmente utilizados em conjunto, por exemplo, Revisor e Coautor. Para obter mais informações sobre direitos de utilização e níveis de permissão, consulte configurar os direitos de utilização para a Azure Information Protection.

Ao configurar estas permissões, pode especificar quais os utilizadores para os quais se encontram:

  • Para utilizadores da sua própria organização ou de outra organização que utilize Azure Ative Directory: Pode especificar Azure AD contas de utilizador, grupos Azure AD ou todos os utilizadores dessa organização.

  • Para utilizadores que não tenham uma conta Azure Ative Directory: Especifique um endereço de e-mail que será utilizado com uma conta Microsoft. Esta conta já pode existir, ou os utilizadores podem criá-la no momento em que abrirem o documento protegido.

    Para abrir documentos com uma conta Microsoft, os utilizadores devem utilizar Microsoft 365 aplicações (Click-to-Run). Outras Office edições e versões ainda não suportam a abertura Office documentos protegidos com uma conta Microsoft.

  • Para qualquer utilizador autenticado: Esta opção é adequada para quando não necessitar de controlar quem acede ao documento protegido, desde que o utilizador possa ser autenticado. A autenticação pode ser por Azure AD, utilizando uma conta Microsoft, ou mesmo um fornecedor social federado ou uma senha única quando o conteúdo está protegido pelas novas capacidades de encriptação de Office 365 mensagem.

Como administrador, pode configurar uma etiqueta Azure Information Protection para aplicar as permissões e utilizadores autorizados. Esta configuração torna muito fácil para os utilizadores e outros administradores aplicar as definições corretas de proteção, porque simplesmente aplicam a etiqueta sem ter que especificar quaisquer detalhes. As secções que se seguem fornecem um exemplo para proteger um documento que suporta uma colaboração segura com utilizadores internos e externos.

Configuração de exemplo para um rótulo aplicar proteção para apoiar a colaboração interna e externa

Este exemplo percorre a configuração de uma etiqueta existente para aplicar proteção para que os utilizadores da sua organização possam colaborar em documentos com todos os utilizadores de outra organização que tem Microsoft 365 ou Azure AD, um grupo de uma organização diferente que tem Microsoft 365 ou Azure AD, e um utilizador que não tem uma conta em Azure AD e em vez disso utilizará o seu endereço de e-mail do Gmail.

Como o cenário restringe o acesso a pessoas específicas, não inclui a configuração para utilizadores autenticados. Para um exemplo de como pode configurar uma etiqueta com esta definição, consulte Exemplo 5: Label que encripta o conteúdo mas não restringe quem pode aceder ao mesmo.

  1. Selecione o seu rótulo que já está na política global ou numa política de âmbito. No painel de proteção , certifique-se de que o Azure (tecla de nuvem) está selecionado.

  2. Certifique-se de que as permissões de set são selecionadas e selecione Permissões adicionar.

  3. No painel de permissões Adicionar :

    • Para o seu grupo interno: Selecione Diretório Browse para selecionar o grupo, que deve estar ativado por e-mail.

    • Para todos os utilizadores da primeira organização externa: Selecione Insira os detalhes e digite o nome de um domínio no inquilino da organização. Por exemplo, fabrikam.com.

    • Para o grupo na segunda organização externa: Ainda no separador Detalhes do Enter , digite o endereço de e-mail do grupo no arrendatário da organização. Por exemplo, sales@contoso.com.

    • Para o utilizador que não tem uma conta Azure AD: Ainda no separador Detalhes do Enter, digite o endereço de e-mail do utilizador. Por exemplo, bengi.turan@gmail.com.

  4. Para conceder as mesmas permissões a todos estes utilizadores: Para escolher permissões a partir da pré-sintonia, selecione Coproprietário, Coautor, Revisor ou Personalizado para selecionar as permissões que pretende conceder.

    Por exemplo, as suas permissões configuradas podem parecer semelhantes às seguintes:

    Configuring permissions for secure collaboration

  5. Clique em OK no painel de permissões Adicionar .

  6. No painel de proteção , clique em OK.

  7. No painel 'Etiquetar ', selecione Save.

Aplicação do rótulo que suporta a colaboração segura

Agora que esta etiqueta está configurada, pode ser aplicada a documentos de várias formas que incluem:

Diferentes formas de aplicar o rótulo Mais informações
Um utilizador seleciona manualmente a etiqueta quando o documento é criado na sua aplicação Office. Os utilizadores selecionam a etiqueta a partir do botão Proteger na fita Office ou na barra de Information Protection Azure.
Os utilizadores são solicitados a selecionar uma etiqueta quando um novo documento é guardado. Você configura o Azure Information Protection definição de política nomeado Todos os documentos e e-mails devem ter uma etiqueta.
Um utilizador partilha o documento por e-mail e seleciona manualmente a etiqueta em Outlook. Os utilizadores selecionam a etiqueta a partir do botão Proteger na fita Office ou da barra Azure Information Protection, e o documento anexo é automaticamente protegido com as mesmas definições.
Um administrador aplica o rótulo ao documento utilizando o PowerShell. Utilize o cmdlet Set-AIPFileLabel para aplicar a etiqueta a um documento específico ou a todos os documentos numa pasta.
Além disso, configura o rótulo para aplicar a classificação automática que pode agora ser aplicada utilizando o scanner Azure Information Protection ou PowerShell. Veja como configurar condições para classificação automática e recomendada para Azure Information Protection.

Para completar este passo, aplique manualmente o rótulo quando criar o documento na sua aplicação Office:

  1. Num computador cliente, se já tem a sua aplicação Office aberta, feche-a primeiro e reabra-a para obter as mais recentes alterações de política que incluem a sua nova etiqueta configurada.

  2. Aplique o rótulo num documento e guarde-o.

Partilhe o documento protegido anexando-o a um e-mail e envie-o às pessoas que autorizou a editar o documento.

Abertura e edição do documento protegido

Quando os utilizadores que autorizou abrir o documento para edição, o documento abre com um banner de informação que os informa que as permissões são restritas. Por exemplo:

Azure Information Protection permissions example information banner

Se selecionarem o botão 'Ver' , vêem as permissões que têm. No exemplo seguinte, o utilizador pode visualizar e editar o documento:

Azure Information Protection permissions example dialog box

Nota: Se o documento for aberto por utilizadores externos que também utilizam o Azure Information Protection, a aplicação Office não apresenta o seu rótulo de classificação para o documento, embora permaneçam marcas visuais da etiqueta. Em vez disso, os utilizadores externos podem aplicar o seu próprio rótulo de acordo com a taxonomia de classificação da sua organização. Se estes utilizadores externos lhe enviarem o documento editado, Office exibe a sua etiqueta de classificação original quando reabrir o documento.

Antes da abertura do documento protegido, um dos seguintes fluxos de autenticação acontece:

  • Para os utilizadores que tenham uma conta Azure AD, utilizam as suas credenciais de Azure AD para serem autenticadas por Azure AD, e o documento abre.

  • Para o utilizador que não tem uma conta Azure AD, se não estiver inscrito na Office com uma conta que tenha permissões para abrir o documento, consulte a página Contas.

    Na página Contas , selecione Adicionar Conta:

    Adding an Microsoft account to open protected document

    Na página 'Iniciar sessão ', selecione Criar um! e siga as instruções para criar uma nova conta microsoft com o endereço de e-mail que foi usado para conceder as permissões:

    Creating a Microsoft account to open protected document

    Quando a nova conta Microsoft é criada, a conta local muda para esta nova conta microsoft e o utilizador pode então abrir o documento.

Cenários apoiados para a abertura de documentos protegidos

Os seguintes resumos da tabela são os diferentes métodos de autenticação suportados para visualização e edição de documentos protegidos.

Além disso, os seguintes cenários suportam documentos de visualização:

  • O Azure Information Protection espectador para Windows, e para iOS e Android pode abrir ficheiros usando uma conta Microsoft.

  • Um navegador pode abrir anexos protegidos quando os fornecedores sociais e códigos de acesso únicos são usados para autenticação com Exchange Online e as novas capacidades de Office 365 Encriptação de Mensagens.

Plataformas para visualização e edição de documentos:
Word, Excel, PowerPoint		 Método de autenticação:
Azure AD		 Método de autenticação:
Conta Microsoft
Windows Sim [1] Sim (Microsoft 365 apps e Microsoft Office 2019)
iOS Sim [1] Sim (versão 2.42 e superior)
Android Sim [1] Sim (versão 16.0.13029 e superior)
MacOS Sim [1] Sim (Microsoft 365 apps, versão 16.42 e superior)
Nota de rodapé 1

Suporta contas de utilizador, grupos habilitados por e-mail, todos os membros. As contas dos utilizadores e os grupos habilitados por e-mail podem incluir contas de hóspedes. Todos os membros excluem as contas dos hóspedes.

Passos seguintes

Consulte outras configurações de exemplo para que as etiquetas apliquem proteção para cenários comuns. Este artigo também contém mais detalhes sobre as definições de proteção.

Para obter mais informações sobre as outras opções e configurações que pode configurar para a sua etiqueta, consulte a política de Information Protection De configuração do Azure.

A etiqueta que foi configurada neste artigo também cria um modelo de proteção com o mesmo nome. Se tiver aplicações e serviços que se integrem com modelos de proteção da Azure Information Protection, podem aplicar este modelo. Por exemplo, soluções DLP e regras de fluxo de correio. Outlook na Web exibe automaticamente modelos de proteção da política global Azure Information Protection.