Como migrar rótulos da Proteção de Informações do Azure para rótulos de sensibilidade unificados

Migre rótulos da Proteção de Informações do Azure para a plataforma de rotulagem unificada para que você possa usá-los como rótulos de confidencialidade por clientes e serviços que oferecem suporte à rotulagem unificada.

Nota

Se sua assinatura da Proteção de Informações do Azure for relativamente nova, talvez não seja necessário migrar rótulos porque seu locatário já está na plataforma de rotulagem unificada.

Depois de migrar seus rótulos, você não verá nenhuma diferença com o cliente clássico da Proteção de Informações do Azure, porque esse cliente continua a baixar os rótulos com a política de Proteção de Informações do Azure do portal do Azure. No entanto, agora você pode usar os rótulos com o cliente de rotulagem unificada da Proteção de Informações do Azure e outros clientes e serviços que usam rótulos confidenciais.

Antes de ler as instruções para migrar seus rótulos, você pode achar úteis as seguintes perguntas frequentes:

Funções administrativas que suportam a plataforma de etiquetagem unificada

Se você usar funções de administrador para administração delegada em sua organização, talvez seja necessário fazer algumas alterações na plataforma de rotulagem unificada:

A função Microsoft Entra de administrador da Proteção de Informações do Azure (anteriormente administrador da Proteção de Informações) não é suportada pela plataforma de etiquetagem unificada. Se essa função administrativa for usada em sua organização para gerenciar a Proteção de Informações do Azure, adicione os usuários que têm essa função às funções do Microsoft Entra de administrador de conformidade, administrador de dados de conformidade ou administrador de segurança. Se precisar de ajuda com esta etapa, consulte Conceder aos usuários acesso ao portal de conformidade do Microsoft Purview. Você também pode atribuir essas funções no centro de administração do Microsoft Entra e no portal de conformidade do Microsoft Purview.

Como alternativa ao uso de funções, no portal de conformidade do Microsoft Purview, você pode criar um novo grupo de funções para esses usuários e adicionar funções de Administrador de Rótulo de Sensibilidade ou Configuração da Organização a esse grupo.

Se você não conceder a esses usuários acesso ao portal de conformidade do Microsoft Purview usando uma dessas configurações, eles não poderão configurar a Proteção de Informações do Azure no portal do Azure depois que seus rótulos forem migrados.

Os administradores globais do seu locatário podem continuar a gerenciar rótulos e políticas no portal do Azure e no portal de conformidade do Microsoft Purview depois que os rótulos forem migrados.

Antes de começar

A migração de rótulos tem muitos benefícios, mas é irreversível. Antes de migrar, certifique-se de que está ciente das seguintes alterações e considerações:

Suporte ao cliente para etiquetagem unificada

Certifique-se de que tem clientes que suportam etiquetas unificadas e, se necessário, esteja preparado para administração no portal do Azure (para clientes que não suportam etiquetas unificadas) e no portal de conformidade do Microsoft Purview (para clientes que suportam etiquetas unificadas).

Configuração da política

As políticas, incluindo as configurações de política e quem tem acesso a elas (políticas com escopo), e todas as configurações avançadas do cliente não são migradas. Suas opções para definir essas configurações após a migração do rótulo incluem o seguinte:

Importante

Nem todas as configurações de um rótulo migrado são suportadas pelo portal de conformidade do Microsoft Purview. Use a tabela nas Configurações de rótulo que não são suportadas na seção Portal de conformidade do Microsoft Purview para ajudá-lo a identificar essas configurações e o curso de ação recomendado.

Modelos de proteção

  • Os modelos que usam uma chave baseada em nuvem e que fazem parte de uma configuração de rótulo também são migrados com o rótulo. Outros modelos de proteção não são migrados.

  • Se você tiver rótulos configurados para um modelo predefinido, edite-os e selecione a opção Definir permissões para definir as mesmas configurações de proteção que você tinha no modelo. Rótulos com modelos predefinidos não bloquearão a migração de rótulos, mas essa configuração de rótulos não é suportada no portal de conformidade do Microsoft Purview.

    Gorjeta

    Para ajudá-lo a reconfigurar esses rótulos, você pode achar útil ter duas janelas do navegador: uma janela na qual você seleciona o botão Editar modelo para o rótulo para exibir as configurações de proteção e a outra janela para definir as mesmas configurações quando você seleciona Definir permissões.

  • Depois que um rótulo com configurações de proteção baseadas em nuvem tiver sido migrado, o escopo resultante do modelo de proteção será o escopo definido no portal do Azure (ou usando o módulo AIPService PowerShell) e o escopo definido no portal de conformidade do Microsoft Purview.

Nomes para exibição

Para cada rótulo, o portal do Azure exibe apenas o nome para exibição do rótulo, que você pode editar. Os usuários veem esse nome de rótulo em seus aplicativos.

O portal de conformidade do Microsoft Purview mostra esse nome de exibição para um rótulo e o nome do rótulo. O nome do rótulo é o nome inicial que você especifica quando o rótulo é criado pela primeira vez e essa propriedade é usada pelo serviço de back-end para fins de identificação. Quando você migra seus rótulos, o nome para exibição permanece o mesmo e o nome do rótulo é renomeado para a ID do rótulo do portal do Azure.

Nomes de exibição conflitantes

Antes de migrar, certifique-se de que você não terá nomes de exibição conflitantes após a conclusão da migração. Os nomes de exibição no mesmo lugar na hierarquia de rotulagem devem ser exclusivos.

Por exemplo, considere a seguinte lista de rótulos:

  • Público
  • General (Geral)
  • Confidencial
    • Confidencial\HR
    • Confidencial\Finanças
  • Segredo
    • Segredo\HR
    • Segredo\Finanças

Nesta lista, Público, Geral, Confidencial e Secreto são todos rótulos pai e não podem ter nomes duplicados. Além disso, Confidential\HR e Confidential\Finance estão no mesmo lugar na hierarquia e também não podem ter nomes duplicados.

No entanto, subrótulos em pais diferentes, como Confidencial\RH e Secret\RH não estão no mesmo lugar na hierarquia e, portanto, podem ter os mesmos nomes individuais.

Cadeias de caracteres localizadas em rótulos

As cadeias de caracteres localizadas para os rótulos não são migradas. Defina novas cadeias de caracteres localizadas para os rótulos migrados usando Security & Compliance PowerShell e o parâmetro LocaleSettings para Set-Label.

Editando rótulos migrados no portal de conformidade do Microsoft Purview

Após a migração, quando você edita um rótulo migrado no portal do Azure, a mesma alteração é refletida automaticamente no portal de conformidade do Microsoft Purview.

No entanto, ao editar um rótulo migrado no portal de conformidade do Microsoft Purview, você deve retornar ao portal do Azure, Painel de rotulagem unificada da Proteção de Informações do Azure - e selecionar Publicar.

Essa ação adicional é necessária para que os clientes da Proteção de Informações do Azure (clássico) peguem as alterações de rótulo.

Configurações de rótulo que não são suportadas no portal de conformidade do Microsoft Purview

Use a tabela a seguir para identificar quais definições de configuração de um rótulo migrado não são suportadas pelo portal de conformidade do Microsoft Purview. Se você tiver rótulos com essas configurações, quando a migração estiver concluída, use as diretrizes de administração na coluna final antes de publicar seus rótulos no portal de conformidade do Microsoft Purview.

Se você não tiver certeza de como seus rótulos são configurados, exiba suas configurações no portal do Azure. Se precisar de ajuda com esta etapa, consulte Configurando a política de Proteção de Informações do Azure.

Os clientes da Proteção de Informações do Azure (clássico) podem usar todas as configurações de rótulo listadas sem problemas, pois continuam a baixar os rótulos do portal do Azure.

Configuração da etiqueta Suportado por clientes de etiquetagem unificada Diretrizes para o portal de conformidade do Microsoft Purview
Estado de ativado ou desativado

Esse status não está sincronizado com o portal de conformidade do Microsoft Purview
Não aplicável O equivalente é se o rótulo é publicado ou não.
Cor da etiqueta selecionada na lista ou especificada usando o código RGB Sim Nenhuma opção de configuração para cores de etiqueta. Em vez disso, você pode configurar cores de rótulo no portal do Azure ou usar o PowerShell.
Proteção baseada na nuvem ou proteção baseada em HYOK usando um modelo predefinido Não Nenhuma opção de configuração para modelos predefinidos. Não recomendamos que você publique um rótulo com essa configuração.
Proteção baseada na nuvem usando permissões definidas pelo usuário para Word, Excel e PowerPoint Sim O portal de conformidade do Microsoft Purview oferece suporte a uma opção de configuração para permissões definidas pelo usuário.

Se você publicar um rótulo com essa configuração, verifique os resultados da aplicação do rótulo na tabela a seguir.
Proteção baseada em HYOK usando permissões definidas pelo usuário para o Outlook (Não Encaminhar) Não Nenhuma opção de configuração para HYOK. Não recomendamos que você publique um rótulo com essa configuração. Se o fizer, os resultados da aplicação do rótulo estão listados na tabela a seguir.
Nome de fonte personalizado, tamanho e cor de fonte personalizada por código RGB para marcações visuais (cabeçalho, rodapé, marca d'água) Sim A configuração para marcações visuais é limitada a uma lista de cores e tamanhos de fonte. Você pode publicar esse rótulo sem alterações, embora não possa ver os valores configurados no portal de conformidade do Microsoft Purview.

Para alterar essas opções, use o cmdlet New-Label Office 365 Security & Compliance Center. Para facilitar a administração, considere alterar a cor para uma das opções listadas no portal de conformidade do Microsoft Purview.

Nota: O portal de conformidade do Microsoft Purview suporta uma lista predefinida de definições de fonte. Há suporte para fontes e cores personalizadas somente por meio do cmdlet New-Label .

Se você estiver trabalhando com o cliente clássico, faça essas alterações em seu rótulo no portal do Azure.
Variáveis em marcações visuais (cabeçalho, rodapé) Sim Essa configuração de rótulo é suportada pelos clientes AIP e pela rotulagem interna do Office para aplicativos selecionados.

Se você estiver trabalhando com rotulagem interna usando um aplicativo que não suporta essa configuração e publicar esse rótulo sem alterações, as variáveis serão exibidas como texto em clientes, em vez de exibir o valor dinâmico.

Para obter mais informações, consulte a documentação do Microsoft 365.
Marcações visuais por aplicativo Sim Essa configuração de rótulo é suportada apenas pelos clientes AIP e não pela rotulagem interna do Office.

Se você estiver trabalhando com rotulagem interna e publicar esse rótulo sem alterações, a configuração de marcação visual será exibida como texto variável em vez das marcações visuais que você configurou para exibir em cada aplicativo.
Proteção "só para mim" Sim O portal de conformidade do Microsoft Purview não permite que você salve as configurações de criptografia que você aplica agora, sem especificar nenhum usuário. No portal do Azure, essa configuração resulta em um rótulo que aplica a proteção "Apenas para mim".

Como alternativa, crie um rótulo que aplique criptografia e especifique um usuário com permissões e, em seguida, edite o modelo de proteção associado usando o PowerShell. Primeiro, use o cmdlet New-AipServiceRightsDefinition (consulte o Exemplo 3) e, em seguida, Set-AipServiceTemplateProperty com o parâmetro RightsDefinitions.
Condições e configurações associadas

Inclui etiquetagem automática e recomendada e suas dicas de ferramentas
Não aplicável Reconfigure suas condições usando a etiquetagem automática como uma configuração separada das configurações da etiqueta.

Comparando o comportamento das configurações de proteção de um rótulo

Use a tabela a seguir para identificar como a mesma configuração de proteção para um rótulo se comporta de forma diferente, dependendo se ele é usado pelo cliente clássico da Proteção de Informações do Azure, pelo cliente de rotulagem unificada da Proteção de Informações do Azure ou por aplicativos do Office que têm rotulagem interna (também conhecida como "rotulagem nativa do Office"). As diferenças no comportamento dos rótulos podem alterar sua decisão de publicar os rótulos, especialmente quando você tem uma combinação de clientes em sua organização.

Se você não tiver certeza de como suas configurações de proteção estão configuradas, exiba suas configurações no painel Proteção , no portal do Azure. Se precisar de ajuda com esta etapa, consulte Para configurar um rótulo para configurações de proteção.

As configurações de proteção que se comportam da mesma maneira não estão listadas na tabela, com as seguintes exceções:

  • Quando você usa aplicativos do Office com rotulagem interna, os rótulos não ficam visíveis no Explorador de Arquivos, a menos que você também instale o cliente de rotulagem unificada da Proteção de Informações do Azure.
  • Quando utiliza aplicações do Office com etiquetagem incorporada, se a proteção tiver sido aplicada anteriormente independentemente de uma etiqueta, essa proteção é preservada [1].
Configuração de proteção para um rótulo Cliente clássico do Azure Information Protection Cliente de etiquetagem unificada da Proteção de Informações do Azure Aplicações do Office com etiquetagem incorporada
HYOK (AD RMS) com um modelo: Visível no Word, Excel, PowerPoint, Outlook e Explorador de Ficheiros

Quando este rótulo é aplicado:

- A proteção HYOK é aplicada a documentos e e-mails
Visível no Word, Excel, PowerPoint, Outlook e Explorador de Ficheiros

Quando este rótulo é aplicado:

- Nenhuma proteção é aplicada e a proteção é removida [2] se tiver sido aplicada anteriormente por um rótulo

- Se a proteção tiver sido anteriormente aplicada independentemente de um rótulo, essa proteção é preservada
Visível no Word, Excel, PowerPoint e Outlook

Quando este rótulo é aplicado:

- Nenhuma proteção é aplicada e a proteção é removida [2] se tiver sido aplicada anteriormente por um rótulo

- Se a proteção tiver sido anteriormente aplicada independentemente de um rótulo, essa proteção é preservada [1]
HYOK (AD RMS) com permissões definidas pelo utilizador para Word, Excel, PowerPoint e Explorador de Ficheiros: Visível no Word, Excel, PowerPoint e Explorador de Ficheiros

Quando este rótulo é aplicado:

- A proteção HYOK é aplicada a documentos e e-mails
Visível no Word, Excel e PowerPoint

Quando este rótulo é aplicado:

- A proteção não é aplicada e a proteção é removida [2] se tiver sido anteriormente aplicada por um rótulo

- Se a proteção tiver sido anteriormente aplicada independentemente de um rótulo, essa proteção é preservada
Visível no Word, Excel e PowerPoint

Quando este rótulo é aplicado:

- A proteção não é aplicada e a proteção é removida [2] se tiver sido anteriormente aplicada por um rótulo

- Se a proteção tiver sido anteriormente aplicada independentemente de um rótulo, essa proteção é preservada
HYOK (AD RMS) com permissões definidas pelo usuário para o Outlook: Visível no Outlook

Quando este rótulo é aplicado:

- Não Encaminhar usando a proteção HYOK é aplicada aos e-mails
Visível no Outlook

Quando este rótulo é aplicado:

- A proteção não é aplicada e removida [2] se tiver sido anteriormente aplicada por um rótulo

- Se a proteção tiver sido anteriormente aplicada independentemente de um rótulo, essa proteção é preservada
Visível no Outlook

Quando este rótulo é aplicado:

- A proteção não é aplicada e removida [2] se tiver sido anteriormente aplicada por um rótulo

- Se a proteção tiver sido anteriormente aplicada independentemente de um rótulo, essa proteção é preservada [1]
Nota de rodapé 1

No Outlook, a proteção é preservada com uma exceção: quando um e-mail foi protegido com a opção somente criptografia (Criptografar), essa proteção é removida.

Nota de rodapé 2

A proteção é removida se o utilizador tiver um direito de utilização ou uma função que suporte esta ação:

  • O direito de utilização Exportar ou Controlo Total.
  • A função de emissor do Rights Management ou proprietário do Rights Management, ou superusuário.

Se o usuário não tiver um desses direitos ou funções de uso, o rótulo não será aplicado e a proteção original será preservada.

Para migrar rótulos da Proteção de Informações do Azure

Use as instruções a seguir para migrar seu locatário e os rótulos da Proteção de Informações do Azure para usar o repositório de etiquetas unificado.

Você deve ser um administrador de conformidade, administrador de dados de conformidade, administrador de segurança ou administrador global para migrar seus rótulos.

  1. Se ainda não o fez, abra uma nova janela no browser e inicie sessão no Portal do Azure. Em seguida, navegue até o painel Proteção de Informações do Azure.

    Por exemplo, na caixa de pesquisa de recursos, serviços e documentos: Comece a digitar Informações e selecione Proteção de Informações do Azure.

  2. Na opção do menu Gerir, selecione Etiquetagem unificada.

  3. No painel Proteção de Informações do Azure - Rotulagem unificada, selecione Ativar e siga as instruções online.

    Se a opção para ativar não estiver disponível, verifique o status Etiqueta unificada: Se você vir Ativado, seu locatário já está usando a loja de etiquetas unificada e não há necessidade de migrar suas etiquetas.

Para os rótulos que foram migrados com êxito, eles agora podem ser usados por clientes e serviços que oferecem suporte à rotulagem unificada. No entanto, você deve primeiro publicar esses rótulos no portal de conformidade do Microsoft Purview.

Importante

Se você editar os rótulos fora do portal do Azure, para clientes do Azure Information Protection (clássico), retorne a este painel Proteção de Informações do Azure - Rotulagem unificada e selecione Publicar.

Políticas de cópia

Depois de migrar seus rótulos, você pode selecionar uma opção para copiar políticas. Se você selecionar essa opção, uma cópia única de suas políticas com suas configurações de política e quaisquer configurações avançadas do cliente será enviada para o portal de conformidade do Microsoft Purview.

As políticas copiadas com êxito com suas configurações e rótulos são publicadas automaticamente nos usuários e grupos atribuídos às políticas no portal do Azure. Observe que, para a política Global, isso significa todos os usuários. Se você não estiver pronto para que os rótulos migrados nas políticas copiadas sejam publicados, depois que as políticas forem copiadas, você poderá removê-los das políticas de rótulos no centro de rotulagem do administrador.

Antes de selecionar a opção Copiar políticas (visualização) no painel Proteção de Informações do Azure - Rotulagem unificada, esteja ciente do seguinte:

  • A opção Copiar políticas (Pré-visualização) não estará disponível até que a etiquetagem unificada seja ativada para o seu inquilino.

  • Não é possível escolher seletivamente políticas e configurações para copiar. Todas as políticas (a política global e quaisquer políticas com escopo) são selecionadas automaticamente para serem copiadas e todas as configurações suportadas como configurações de política de rótulo são copiadas. Se você já tiver uma política de rótulo com o mesmo nome, ela será substituída pelas configurações de política no portal do Azure.

  • Algumas configurações avançadas do cliente não são copiadas porque, para o cliente de rotulagem unificada da Proteção de Informações do Azure, elas são suportadas como configurações avançadas de rótulo em vez de configurações de política. Você pode definir essas configurações avançadas de rótulo com o PowerShell de Segurança e Conformidade. As configurações avançadas do cliente que não são copiadas:

  • Ao contrário da migração de etiquetas, em que as alterações subsequentes às etiquetas são sincronizadas, a ação Copiar políticas não sincroniza quaisquer alterações subsequentes às suas políticas ou definições de política. Você pode repetir a ação de política de cópia depois de fazer alterações no portal do Azure, e todas as políticas existentes e suas configurações serão substituídas novamente. Ou use os cmdlets Set-LabelPolicy ou Set-Label com o parâmetro AdvancedSettings do PowerShell Security & Compliance.

  • A ação Copiar políticas verifica o seguinte para cada política antes de ser copiada:

    • Os usuários e grupos atribuídos à política estão atualmente no Microsoft Entra ID. Se uma ou mais contas estiverem ausentes, a política não será copiada. A associação ao grupo não está verificada.

    • A política global contém pelo menos um rótulo. Como os centros de rotulagem de administração não oferecem suporte a políticas de rótulos sem rótulos, uma política global sem rótulos não é copiada.

  • Se você copiar políticas e, em seguida, excluí-las do seu centro de rotulagem de administrador, aguarde pelo menos duas horas antes de usar a ação Copiar políticas novamente para garantir tempo suficiente para que a exclusão seja replicada.

  • As políticas copiadas da Proteção de Informações do Azure não terão o mesmo nome, elas serão nomeadas com um prefixo de AIP_. Os nomes das políticas não podem ser alterados posteriormente.

Para obter mais informações sobre como definir as configurações de política, configurações avançadas do cliente e configurações de rótulo para o cliente de rotulagem unificada da Proteção de Informações do Azure, consulte Configurações personalizadas para o cliente de rotulagem unificada da Proteção de Informações do Azure no guia de administração.

Nota

O suporte da Proteção de Informações do Azure para copiar políticas está atualmente em Pré-visualização. Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Clientes e serviços que suportam etiquetagem unificada

Para confirmar se os clientes e serviços que você usa oferecem suporte à rotulagem unificada, consulte a documentação deles para verificar se eles podem usar rótulos de confidencialidade publicados no portal de conformidade do Microsoft Purview.

Os clientes que atualmente oferecem suporte à rotulagem unificada incluem:
Os serviços que atualmente suportam etiquetagem unificada incluem:

Portais de gerenciamento para usar após a migração de seus rótulos

Depois de migrar seus rótulos no portal do Azure, continue gerenciando-os em um dos seguintes locais, dependendo dos clientes instalados:

Cliente Description
Somente clientes e serviços de etiquetagem unificados Se você tiver apenas clientes de etiquetagem unificada instalados, gerencie suas etiquetas no portal de conformidade do Microsoft Purview, que é onde os clientes de etiquetagem unificada baixam as etiquetas e suas configurações de política.

Para obter instruções, consulte Criar e configurar rótulos de sensibilidade e suas políticas.
Apenas cliente clássico Se você migrou seus rótulos, mas ainda tem o cliente clássico instalado, continue a usar o portal do Azure para editar rótulos e configurações de política. O cliente clássico continua a baixar rótulos e configurações de política do Azure.
O cliente clássico AIP e os clientes de etiquetagem unificada Se você tiver ambos os clientes instalados, use o portal de conformidade do Microsoft Purview ou o portal do Azure para fazer alterações de rótulo.

Para que os clientes clássicos recebam as alterações de rótulo feitas no portal de conformidade do Microsoft Purview, retorne ao portal do Azure para publicá-las. No painel Proteção de Informações do Azure - Rotulagem unificada do portal >do Azure, selecione Publicar.

Continue a usar o portal do Azure para relatórios centrais e o scanner.

Próximos passos

Orientações e dicas da nossa equipa de Experiência do Cliente:

Sobre rótulos de sensibilidade:

Implante o cliente de etiquetagem unificada AIP:

Se ainda não tiver feito isso, instale o cliente de rotulagem unificada da Proteção de Informações do Azure.

Para obter mais informações, consulte: