Estender a rotulagem de confidencialidade no Windows

O cliente do Microsoft Purview Information Protection expande as etiquetas de confidencialidade para além das etiquetas incorporadas nas aplicações e serviços do Microsoft 365 e suporta uma maior variedade de tipos de ficheiros.

Este cliente é executado apenas no Windows e substitui o cliente de etiquetagem unificada do Azure Information Protection (AIP). Tem os seguintes componentes:

Componente Descrição
Analisador de proteção de informações Utilizado para detetar, etiquetar e encriptar ficheiros em arquivos de dados, como partilhas de rede e bibliotecas do SharePoint Server.
Etiquetador de ficheiros de proteção de informações Utilizado para aplicar etiquetas de confidencialidade e encriptação com o Explorador de Ficheiros.
Visualizador de proteção de informações Utilizado para ver ficheiros encriptados.
Módulo do PowerShell do Microsoft Purview Information Protection Utilizado para ajustar etiquetas de confidencialidade em ficheiros e instalar e configurar o analisador do Microsoft Purview Information Protection.

Não existe nenhum Suplemento do Office com o cliente do Microsoft Purview Information Protection porque esta funcionalidade é substituída por etiquetas de confidencialidade incorporadas no Office.

Para obter as informações de versão mais recentes e as linhas cronológicas de suporte para cada versão do cliente, consulte Cliente do Microsoft Purview Information Protection – Gestão de versões e suporte.

Requisitos para implementar o cliente de proteção de informações

Para utilizar o cliente do Microsoft Purview Information Protection, instale este cliente em computadores Windows onde pretende utilizar os componentes do cliente.

Também tem de cumprir os seguintes requisitos:

Os seguintes sistemas operativos suportam o cliente do Microsoft Purview Information Protection:

  • Windows 11
  • Windows 10 (x64) (A escrita manual não é suportada na compilação do Windows 10 RS4 e posterior.)
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2 e Windows Server 2012

O ARM64 não é suportado.

Instalar ou atualizar o cliente de proteção de informações

Se instalar o cliente de Informações do Microsoft Purview interativamente e o cliente de etiquetagem unificada do Azure Information Protection (AIP) for detetado, pode atualizar o cliente mais antigo depois de confirmar que o Suplemento AIP para Office será removido.

Observação

As atualizações através do Catálogo Microsoft Update ou de qualquer outra instalação não interativa requerem uma configuração de chave de registo se existirem versões de cliente do Azure Information Protection no computador local.

Existem duas opções para instalar o cliente de proteção de informações:

  • Instalar o cliente de proteção de informações com o instalador do.exe
  • Instalar o cliente de proteção de informações com o instalador do.msi

Se estiver a atualizar o analisador de proteção de informações, seja a partir do cliente de etiquetagem unificada do Azure Information Protection (AIP) ou de uma versão anterior do cliente de proteção de informações, consulte Atualizar o analisador do Microsoft Purview Information Protection antes de utilizar estas instruções de instalação do cliente.

Para instalar o cliente de proteção de informações com o ficheiro .exe:

  1. Transfira a versão executável do cliente do Microsoft Purview Information Protection a partir do Centro de Transferências da Microsoft. Por exemplo, PurviewInfoProtection.exe.

    Importante

    Se existir uma versão de pré-visualização disponível, utilize essa versão apenas para fins de teste. Não se destina a utilizadores finais num ambiente de produção.

  2. Para uma instalação predefinida, basta executar o executável. Para ver todas as opções de instalação, execute primeiro o executável com /help. Por exemplo:
    PurviewInfoProtection.exe **/help**

    1. Para instalar automaticamente o cliente, execute:
      PurviewInfoProtection.exe /quiet
    2. Para instalar automaticamente apenas os cmdlets do PowerShell, execute:
      PurviewInfoProtection.exe PowerShellOnly=true /quiet

    Observação

    Por predefinição, a opção para enviar estatísticas de utilização para a Microsoft está ativada. Para desativar esta opção, certifique-se de que segue um dos seguintes passos:

    • Durante a instalação, especifique AllowTelemetry=0
    • Após a instalação, atualize a chave de registo da seguinte forma: EnableTelemetry=0.
  3. Para concluir a instalação, reinicie as instâncias do Explorador de Ficheiros.

  4. Confirme que a instalação foi concluída com êxito ao verificar o ficheiro de registo de instalação, que é criado na pasta %temp% por predefinição.

    O ficheiro de registo de instalação tem o seguinte formato de nomenclatura: Microsoft_Azure_Information_Protection_<number>_<number>_MSIP.Setup.Main.msi.log

    Por exemplo: Microsoft_Azure_Information_Protection_20161201093652_000_MSIP.Setup.Main.msi.log

    No ficheiro de registo, procure a seguinte cadeia: Product: Microsoft Purview Information Protection --Installation completed successfully. Se a instalação falhar, este ficheiro de registo contém detalhes para o ajudar a identificar e resolver quaisquer problemas.

    Dica

    Pode alterar a localização do ficheiro de registo de instalação com o parâmetro /log installation.

Localizações do arquivo de log

Os ficheiros de registo do cliente e do scanner estão localizados nas seguintes localizações no computador Windows:

  • \ProgramFiles (x86)\Microsoft Purview Information Protection (apenas sistemas operativos de 64 bits)
  • \Programas\Microsoft Purview Information Protection (apenas sistemas operativos de 32 bits)
  • %localappdata%\Microsoft\MSIP

Idiomas compatíveis

O cliente de proteção de informações suporta os mesmos idiomas suportados pelo Office 365. Para obter uma lista destes idiomas, consulte a página Disponibilidade internacional do Office.

Para estes idiomas, opções de menu, caixas de diálogo e mensagens do cliente do Microsoft Purview Information Protection são apresentadas no idioma do utilizador. Existe um único instalador que deteta o idioma, pelo que não é necessária qualquer configuração adicional para instalar o cliente de proteção de informações para idiomas diferentes.

No entanto, os nomes de etiquetas e descrições que especificar não são traduzidos automaticamente quando configura etiquetas no portal de administração. Para que os utilizadores vejam as etiquetas no idioma preferido, forneça as suas próprias traduções e configure-as para as etiquetas com o PowerShell e o parâmetro LocaleSettings para Set-Label. Para obter mais informações, veja Configuração de exemplo para configurar uma etiqueta de confidencialidade para idiomas diferentes.

Tipos de arquivo compatíveis

Esta secção lista os tipos de ficheiro suportados pelo cliente do Microsoft Purview Information Protection. Para os tipos de ficheiro listados, as localizações webDav não são suportadas.

Dica

Quando encripta tipos de ficheiro que não têm suporte incorporado para encriptação e, por isso, utiliza encriptação genérica, recomendamos que atribua a permissão de coproprietário a estes ficheiros.

Os seguintes tipos de ficheiro podem ser etiquetados sem encriptação.

  • Adobe Portable Document Format: .pdf

  • Microsoft Project: .mpp, .mpt

  • Microsoft Publisher: .pub

  • Microsoft XPS: .xps .oxps

  • Imagens: .jpg, .jpe, .jpeg, .jif, .jfif, .jfi. png, .tif, .tiff

  • Autodesk Design Review 2013: .dwfx

  • Adobe Photoshop: .psd

  • Negativo Digital: .dng

  • Microsoft Office: Os seguintes tipos de ficheiro, incluindo formatos de ficheiro 97-2003 e formatos Office Open XML para Word, Excel e PowerPoint.

    Word Excel PowerPoint Visio
    .doc .xls .potm .vdw
    .docm .xlsb .potx .vsd
    .docx .xlst .pps .vsdm
    .dot .xlsm .ppsm .vsdx
    .doctm .xlsx .ppsx .vss
    .dotx .xltm .vssm
    .xltx .vst
    .vstm
    .vssx
    .vstx

Pastas e tipos de ficheiro excluídos

Para ajudar a impedir que os utilizadores alterem ficheiros críticos para operações de computador, alguns tipos de ficheiro e pastas são automaticamente excluídos da classificação e etiquetagem. Se os utilizadores tentarem etiquetar estes ficheiros com o cliente de proteção de informações, verão uma mensagem a indicar que esses ficheiros estão excluídos.

As seguintes pastas são excluídas da classificação e etiquetagem pelo cliente de proteção de informações:

  • Windows
  • Ficheiros de Programa (\Programas e \Programas (x86))
  • \ProgramData
  • \AppData (para todos os utilizadores)

Tipos de ficheiro que não podem ser encriptados por predefinição

Qualquer ficheiro protegido por palavra-passe não pode ser encriptado nativamente pelo cliente, a menos que o ficheiro esteja atualmente aberto na aplicação que aplica a encriptação. Na maioria das vezes, vê ficheiros PDF protegidos por palavra-passe, mas outras aplicações, como as aplicações do Office, também oferecem esta funcionalidade.

Tipos de ficheiro suportados para inspeção

O cliente de proteção de informações utiliza o Windows IFilter para inspecionar os conteúdos dos documentos. O Windows IFilter é utilizado pelo Windows Search para indexação. Como resultado, os seguintes tipos de ficheiro podem ser inspecionados quando utiliza o comando Set-FileLabel -Autolabel PowerShell.

Tipo de aplicativo Tipo de arquivo
Word .doc, .docx, .docm, .dot, .dotx
Excel .xls, .xlt, .xlsx, .xlsm, .xlsb
PowerPoint .ppt, .pps, .pot, .pptx
PDF .pdf
Texto .txt, .xml, .csv

Analisar ficheiros de .ZIP

Pode utilizar o scanner de proteção de informações ou o comando Set-FileLabel PowerShell para inspecionar .zip ficheiros.

Observação

Quando o scanner de proteção de informações está instalado num computador servidor Windows, também tem de instalar o Microsoft Office iFilter para analisar .zip ficheiros para procurar tipos de informações confidenciais. Para obter mais informações, consulte o site de transferências da Microsoft.

Depois de localizar informações confidenciais, se o ficheiro .zip deve ser etiquetado e encriptado com uma etiqueta, nas instruções de implementação do scanner, especifique a extensão de nome de ficheiro .zip com a definição avançada PFileSupportedExtensions do PowerShell .

Cenário de exemplo:

Um ficheiro com o nomeaccounts.zip contém folhas de cálculo do Excel com números de cartão de crédito. Tem uma etiqueta de confidencialidade denominada Confidencial \ Finanças, que está configurada para detetar números de cartões de crédito e aplicar automaticamente a etiqueta com encriptação que restringe o acesso ao grupo Finanças.

Depois de inspecionar o ficheiro, o cliente da sessão do PowerShell classifica este ficheiro como Confidencial \ Finanças. Em seguida, o cliente aplica a encriptação genérica ao ficheiro para que apenas os membros dos grupos Financeiros possam deszipar e mudar o nome do ficheiro accounts.zip.pfile.

Suporte para computadores desligados

Por predefinição, o cliente de proteção de informações tenta ligar-se automaticamente à Internet para transferir etiquetas de confidencialidade e definições de política de etiquetas de confidencialidade a partir do Microsoft Purview.

Se tiver computadores que não conseguem ligar à Internet durante um período de tempo, pode exportar e copiar ficheiros que gerem manualmente a política do cliente de proteção de informações.

Para suportar computadores desligados do cliente de proteção de informações:

  1. Escolha ou crie uma conta de utilizador no Microsoft Entra ID que irá utilizar para transferir etiquetas e definições de política que pretende utilizar no seu computador desligado.

  2. Como definição de política de etiqueta adicional para esta conta, desative o envio de dados de auditoria para o Microsoft Purview através da definição avançada EnableAudit PowerShell com Set-LabelPolicy do PowerShell de Conformidade & de Segurança.

    Recomendamos este passo porque, se o computador desligado tiver uma conectividade periódica à Internet, enviará informações de registo para o Microsoft Purview que incluem o nome de utilizador do passo 1. Essa conta de utilizador pode ser diferente da conta local que está a utilizar no computador desligado.

  3. A partir de um computador com conectividade à Internet que tenha o cliente de proteção de informações instalado e com sessão iniciada com a conta de utilizador do passo 1, transfira as etiquetas e as definições de política.

  4. A partir deste computador, exporte os ficheiros de registo.

    Por exemplo, execute o cmdlet Export-DebugLogs ou utilize a opção Exportar Registos a partir da caixa de diálogo Ajuda e Comentários do cliente a partir do identificador de ficheiros.

    Os ficheiros de registo são exportados como um único ficheiro comprimido.

  5. Abra o ficheiro comprimido e, a partir da pasta MSIP, copie todos os ficheiros que tenham uma extensão de nome de ficheiro .xml.

  6. Cole estes ficheiros na pasta %localappdata%\Microsoft\MSIP no computador desligado.

  7. Se a sua conta de utilizador escolhida for uma conta que normalmente se liga à Internet, ative o envio de dados de auditoria novamente ao definir o valor EnableAudit como Verdadeiro.

Tenha em atenção que, se um utilizador neste computador selecionar a opção Repor Definições a partir da Ajuda e feedback no identificador de ficheiros, esta ação elimina os ficheiros de política e deixa o cliente inoperável até que substitua manualmente os ficheiros ou o cliente se ligue à Internet para que possa transferir os ficheiros de que necessita.

Se o computador desligado estiver a executar o analisador de proteção de informações, tem de seguir passos de configuração adicionais. Para obter mais informações, veja Restrição: O servidor de scanner não pode ter conectividade à Internet a partir das instruções de implementação do scanner.

Personalizações suportadas

O cliente de proteção de informações suporta definições avançadas do PowerShell e algumas definições de registo que podem ser necessárias para cenários ou utilizadores específicos.

Para as definições avançadas do PowerShell que são suportadas com New-Label ou Set-Label, e New-LabelPolicy ou Set-LabelPolicy do PowerShell de Conformidade & de Segurança, consulte Definições avançadas para o cliente do Microsoft Purview Information Protection.

Utilize as secções seguintes para o ajudar a configurar o registo para personalizações suportadas.

Ativar a atualização não interativa a partir do cliente do Azure Information Protection

Se instalar o cliente do Microsoft Purview Information Protection e o cliente de etiquetagem unificada do Azure Information Protection for detetado, uma instalação interativa do cliente requer que reconheça que o Suplemento AIP para Office do cliente mais antigo será removido.

Para utilizar uma instalação não interativa para o cliente, como o Catálogo Microsoft Update, a Política de Grupo ou o scripting, primeiro tem de desinstalar o cliente do Azure Information Protection ou criar e configurar a seguinte chave de registo para o computador local:

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\AllowMajorVersionUpgrade (DWORD)

Defina o valor como 1 para permitir automaticamente a atualização e desinstalar o suplemento AIP do Office; 0 bloqueia a atualização se o cliente do Azure Information Protection estiver instalado.

Alterar o nível de registo local

Por predefinição, o cliente do Purview Information Protection escreve ficheiros de registo do cliente na pasta %localappdata%\Microsoft\MSIP . Estes ficheiros destinam-se à resolução de problemas pelo Suporte da Microsoft.

Para alterar o nível de registo destes ficheiros, localize o seguinte nome do valor no registo e defina os dados do valor para o nível de registo necessário:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\LogLevel

Defina o nível de registo para um dos seguintes valores:

  • Desativado: sem registo local.

  • Erro: apenas erros.

  • Aviso: Erros e avisos.

  • Informações: registo mínimo, que não inclui IDs de eventos (a predefinição para o scanner).

  • Depuração: informações completas.

  • Rastreio: registo detalhado (a predefinição para clientes).

Esta definição de registo não altera as informações enviadas para a auditoria do Microsoft Purview.

Ativar definições de limites de dados

Após o compromisso da Microsoft com o limite de dados da UE, os clientes da UE que utilizam o cliente do Microsoft Purview Information Protection podem enviar os seus dados para a UE para serem armazenados e processados.

Ative esta funcionalidade no cliente de proteção de informações ao alterar a seguinte chave de registo que especifica a localização para enviar eventos:

  • Chave do registo: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\DataBoundary (DWORD)
  • Valores:
    • Default = 0
    • North_America = 1
    • European_Union = 2

Ativar o browser predefinido do sistema para autenticação

Utilize o browser predefinido do sistema para autenticação no cliente do Microsoft Purview Information Protection. Por predefinição, o cliente de proteção de informações abre o Microsoft Edge para autenticação.

Ative esta funcionalidade no cliente de proteção de informações ao ativar a seguinte chave de registo:

  • Chave do registo: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP\MSALUseSytemDefaultBrowserAuth (DWORD)
  • Valores:
    • Disabled = 0
    • Enabled = 1

Oculte a opção de menu "Aplicar etiqueta de confidencialidade com o Microsoft Purview" no Explorador de Ficheiros

Para ocultar a opção de menu Aplicar etiqueta de confidencialidade com o botão direito do rato do Microsoft Purview no Explorador de Ficheiros, crie a seguinte chave de registo DWORD que tem o nome do valor LegacyDisable e quaisquer dados de valor:

HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick

Como aplicar etiquetas de confidencialidade com o cliente de proteção de informações

Após a instalação do cliente do Microsoft Purview Information Protection, pode aplicar etiquetas de confidencialidade que criou e publicou, utilizando:

Para ver documentos encriptados, consulte Ver ficheiros protegidos com o visualizador do Microsoft Purview Information Protection.