Perguntas frequentes sobre a proteção de dados na Proteção de Informações do Azure

Tem uma pergunta sobre o serviço de proteção de dados, Azure Rights Management, da Proteção de Informações do Azure? Veja se foi respondido aqui.

Os ficheiros têm de estar na nuvem para serem protegidos pelo Azure Rights Management?

Não, este é um equívoco comum. O serviço Azure Rights Management (e a Microsoft) não vê nem armazena os seus dados como parte do processo de proteção de informações. As informações que você protege nunca são enviadas ou armazenadas no Azure, a menos que você as armazene explicitamente no Azure ou use outro serviço de nuvem que as armazene no Azure.

Para obter mais informações, consulte Como funciona o Azure RMS? Sob o capô para entender como uma fórmula secreta de cola que é criada e armazenada no local é protegida pelo serviço Azure Rights Management, mas permanece local.

Qual é a diferença entre a criptografia do Azure Rights Management e a criptografia em outros serviços de nuvem da Microsoft?

A Microsoft fornece várias tecnologias de criptografia que permitem proteger seus dados para cenários diferentes e, muitas vezes, complementares. Por exemplo, enquanto o Microsoft 365 oferece criptografia em repouso para dados armazenados no Microsoft 365, o serviço Azure Rights Management da Proteção de Informações do Azure criptografa seus dados de forma independente para que eles sejam protegidos, independentemente de onde estão localizados ou como são transmitidos.

Estas tecnologias de encriptação são complementares e a sua utilização requer a sua ativação e configuração independente. Ao fazer isso, você pode ter a opção de trazer sua própria chave para a criptografia, um cenário também conhecido como "BYOK". Habilitar o BYOK para uma dessas tecnologias não afeta as outras. Por exemplo, você pode usar o BYOK para a Proteção de Informações do Azure e não usar o BYOK para outras tecnologias de criptografia e vice-versa. As chaves usadas por essas tecnologias diferentes podem ser iguais ou diferentes, dependendo de como você configura as opções de criptografia para cada serviço.

Posso utilizar o BYOK com o Exchange Online?

Sim, agora você pode usar o BYOK com o Exchange Online ao seguir as instruções em Configurar novos recursos de Criptografia de Mensagem do Microsoft 365 criados com base na Proteção de Informações do Azure. Estas instruções habilitam os novos recursos no Exchange Online que oferecem suporte ao uso do BYOK para Proteção de Informações do Azure, bem como a nova Criptografia de Mensagem do Office 365.

Para obter mais informações sobre essa alteração, consulte o anúncio do blog: Criptografia de Mensagem do Office 365 com os novos recursos

Existe um pacote de gerenciamento ou mecanismo de monitoramento semelhante para o conector RMS?

Embora o conector do Rights Management registre informações, avisos e mensagens de erro no log de eventos, não há um pacote de gerenciamento que inclua o monitoramento desses eventos. No entanto, a lista de eventos e suas descrições, com mais informações para ajudá-lo a tomar medidas corretivas, está documentada em Monitorar o conector do Microsoft Rights Management.

Como posso criar um novo modelo personalizado no portal do Azure?

Os modelos personalizados foram movidos para o portal do Azure, onde você pode continuar a gerenciá-los como modelos ou convertê-los em rótulos. Para criar um novo modelo, crie um novo rótulo e defina as configurações de proteção de dados para o Azure RMS. Sob as capas, isso cria um novo modelo que pode ser acessado por serviços e aplicativos que se integram aos modelos do Rights Management.

Para obter mais informações sobre modelos no portal do Azure, consulte Configurando e gerenciando modelos para a Proteção de Informações do Azure.

Protegi um documento e agora quero alterar os direitos de uso ou adicionar usuários — preciso proteger novamente o documento?

Se o documento foi protegido usando um rótulo ou modelo, não há necessidade de proteger novamente o documento. Modifique o rótulo ou modelo fazendo suas alterações nos direitos de uso ou adicione novos grupos (ou usuários) e salve estas alterações:

  • Quando um usuário não acessa o documento antes de fazer as alterações, elas entram em vigor assim que o usuário abre o documento.

  • Quando um usuário já tiver acessado o documento, essas alterações entrarão em vigor quando sua licença de uso expirar. Reproteja o documento somente se não puder esperar que a licença de uso expire. A reproteção cria efetivamente uma nova versão do documento e, portanto, uma nova licença de uso para o usuário.

Como alternativa, se você já configurou um grupo para as permissões necessárias, pode alterar a associação ao grupo para incluir ou excluir usuários e não há necessidade de alterar o rótulo ou modelo. Pode haver um pequeno atraso antes que as alterações entrem em vigor porque a associação ao grupo é armazenada em cache pelo serviço Azure Rights Management.

Se o documento foi protegido usando permissões personalizadas, você não pode alterar as permissões para o documento existente. Você deve proteger o documento novamente e especificar todos os usuários e todos os direitos de uso necessários para esta nova versão do documento. Para reproteger um documento protegido, você deve ter o direito de uso Controle Total.

Dica: Para verificar se um documento foi protegido por um modelo ou usando permissão personalizada, use o cmdlet Get-AIPFileStatus PowerShell. Você sempre vê uma descrição de modelo de Acesso Restrito para permissões personalizadas, com uma ID de modelo exclusiva que não é exibida quando você executa Get-RMSTemplate.

Tenho uma implantação híbrida do Exchange com alguns usuários no Exchange Online e outros no Exchange Server — isso é suportado pelo Azure RMS?

Absolutamente, e o bom é que os usuários são capazes de proteger e consumir perfeitamente e-mails e anexos protegidos nas duas implantações do Exchange. Para essa configuração, ative o Azure RMS e habilite o IRM para Exchange Online e, em seguida, implante e configure o conector RMS para Exchange Server.

Se eu usar essa proteção para meu ambiente de produção, minha empresa ficará presa à solução ou correrá o risco de perder o acesso ao conteúdo que protegemos com o Azure RMS?

Não, você sempre permanece no controle de seus dados e pode continuar a acessá-los, mesmo se decidir não usar mais o serviço Azure Rights Management. Para obter mais informações, consulte Descomissionando e desativando o Azure Rights Management.

Posso controlar quais dos meus utilizadores podem utilizar o Azure RMS para proteger conteúdo?

Sim, o serviço Azure Rights Management tem controles de integração de usuário para esse cenário. Para obter mais informações, consulte a seção Configurando controles de integração para uma implantação em fases no artigo Ativando o serviço de proteção da Proteção de Informações do Azure.

Posso impedir que os utilizadores partilhem documentos protegidos com organizações específicas?

Um dos maiores benefícios de usar o serviço Azure Rights Management para proteção de dados é que ele dá suporte à colaboração entre empresas sem que você precise configurar relações de confiança explícitas para cada organização parceira, porque o Microsoft Entra ID cuida da autenticação para você.

Não há nenhuma opção de administração para impedir que os usuários compartilhem documentos com segurança com organizações específicas. Por exemplo, pretende bloquear uma organização em que não confia ou que tem uma empresa concorrente. Impedir que o serviço Azure Rights Management envie documentos protegidos para usuários nessas organizações não faria sentido porque seus usuários compartilhariam seus documentos desprotegidos, que é provavelmente a última coisa que você deseja que aconteça nesse cenário. Por exemplo, você não seria capaz de identificar quem está compartilhando documentos confidenciais da empresa com quais usuários nessas organizações, o que você pode fazer quando o documento (ou email) é protegido pelo serviço Azure Rights Management.

Quando partilho um documento protegido com alguém fora da minha empresa, como é que esse utilizador é autenticado?

Por padrão, o serviço Azure Rights Management usa uma conta Microsoft Entra e um endereço de email associado para autenticação do usuário, o que torna a colaboração entre empresas perfeita para os administradores. Se a outra organização usa os serviços do Azure, os usuários já têm contas no Microsoft Entra ID, mesmo que essas contas sejam criadas e gerenciadas localmente e, em seguida, sincronizadas com o Azure. Se a organização tiver o Microsoft 365, sob as cobertas, este serviço também usa o Microsoft Entra ID para as contas de usuário. Se a organização do usuário não tiver contas gerenciadas no Azure, os usuários poderão se inscrever no RMS para indivíduos, que cria um locatário e um diretório do Azure não gerenciados para a organização com uma conta para o usuário, para que esse usuário (e os usuários subsequentes) possam ser autenticados para o serviço Azure Rights Management.

O método de autenticação para essas contas pode variar, dependendo de como o administrador da outra organização configurou as contas do Microsoft Entra. Por exemplo, eles podem usar senhas que foram criadas para essas contas, federação ou senhas que foram criadas nos Serviços de Domínio Ative Directory e, em seguida, sincronizadas com o Microsoft Entra ID.

Outros métodos de autenticação:

  • Se você proteger um email com um anexo de documento do Office para um usuário que não tem uma conta no Microsoft Entra ID, o método de autenticação será alterado. O serviço Azure Rights Management é federado com alguns provedores de identidade social populares, como o Gmail. Se o provedor de e-mail do usuário for suportado, o usuário poderá entrar nesse serviço e seu provedor de e-mail será responsável por autenticá-los. Se o provedor de e-mail do usuário não for suportado, ou como uma preferência, o usuário pode solicitar uma senha única que o autentica e exibe o e-mail com o documento protegido em um navegador da Web.

  • A Proteção de Informações do Azure pode usar contas da Microsoft para aplicativos com suporte. Atualmente, nem todos os aplicativos podem abrir conteúdo protegido quando uma conta da Microsoft é usada para autenticação. Mais informações

Posso adicionar utilizadores externos (pessoas fora da minha empresa) a modelos personalizados?

Sim. As definições de proteção que pode definir no portal do Azure permitem-lhe adicionar permissões a utilizadores e grupos de fora da sua organização e até mesmo a todos os utilizadores noutra organização. Você pode achar útil fazer referência ao exemplo passo a passo, Colaboração segura de documentos usando a Proteção de Informações do Azure.

Observe que, se você tiver rótulos da Proteção de Informações do Azure, deverá primeiro converter seu modelo personalizado em um rótulo antes de poder definir essas configurações de proteção no portal do Azure. Para obter mais informações, consulte Configurando e gerenciando modelos para a Proteção de Informações do Azure.

Como alternativa, você pode adicionar usuários externos a modelos (e rótulos) personalizados usando o PowerShell. Essa configuração requer que você use um objeto de definição de direitos que você usa para atualizar seu modelo:

  1. Especifique os endereços de email externos e seus direitos em um objeto de definição de direitos, usando o cmdlet New-AipServiceRightsDefinition para criar uma variável.

  2. Forneça essa variável para o parâmetro RightsDefinition com o cmdlet Set-AipServiceTemplateProperty .

    Ao adicionar usuários a um modelo existente, você deve definir objetos de definição de direitos para os usuários existentes nos modelos, além dos novos usuários. Para esse cenário, você pode achar útil o Exemplo 3: Adicionar novos usuários e direitos a um modelo personalizado na seção Exemplos do cmdlet.

Que tipo de grupos posso usar com o Azure RMS?

Para a maioria dos cenários, você pode usar qualquer tipo de grupo no Microsoft Entra ID que tenha um endereço de email. Essa regra geral sempre se aplica quando você atribui direitos de uso, mas há algumas exceções para administrar o serviço Azure Rights Management. Para obter mais informações, consulte Requisitos da Proteção de Informações do Azure para contas de grupo.

Como faço para enviar um e-mail protegido para uma conta do Gmail ou do Hotmail?

Ao usar o Exchange Online e o serviço Azure Rights Management, basta enviar o email para o usuário como uma mensagem protegida. Por exemplo, você pode selecionar o novo botão Proteger na barra de comandos do Outlook na Web, usar o botão Não Encaminhar do Outlook ou a opção de menu. Ou, você pode selecionar um rótulo da Proteção de Informações do Azure que aplica automaticamente Não Encaminhar para você e classifica o email.

O destinatário vê uma opção para iniciar sessão na respetiva conta do Gmail, Yahoo ou Microsoft e, em seguida, pode ler o e-mail protegido. Como alternativa, eles podem escolher a opção de uma senha única para ler o e-mail em um navegador.

Para dar suporte a esse cenário, o Exchange Online deve estar habilitado para o serviço Azure Rights Management e os novos recursos da Criptografia de Mensagem do Office 365. Para obter mais informações sobre essa configuração, consulte Exchange Online: Configuração do IRM.

Para obter mais informações sobre os novos recursos que incluem o suporte a todas as contas de email em todos os dispositivos, consulte a seguinte postagem no blog: Anunciando novos recursos disponíveis na Criptografia de Mensagem do Office 365.

Que dispositivos e que tipos de ficheiro são suportados pelo Azure RMS?

O serviço Azure Rights Management pode dar suporte a todos os tipos de arquivo. Para texto, imagem, ficheiros do Microsoft Office (Word, Excel, PowerPoint), ficheiros .pdf e alguns outros tipos de ficheiros de aplicações, o Azure Rights Management fornece proteção nativa que inclui encriptação e imposição de direitos (permissões). Para todos os outros aplicativos e tipos de arquivo, a proteção genérica fornece encapsulamento e autenticação de arquivo para verificar se um usuário está autorizado a abrir o arquivo.

Para obter uma lista de extensões de nome de arquivo que são nativamente suportadas pelo Azure Rights Management, consulte Tipos de arquivo suportados pelo cliente do Azure Information Protection. As extensões de nome de arquivo não listadas são suportadas usando o cliente do Azure Information Protection que aplica automaticamente proteção genérica a esses arquivos.

Quando abro um documento do Office protegido pelo RMS, o ficheiro temporário associado também se torna protegido pelo RMS?

N.º Nesse cenário, o arquivo temporário associado não contém dados do documento original, mas apenas o que o usuário insere enquanto o arquivo está aberto. Ao contrário do arquivo original, o arquivo temporário obviamente não foi projetado para compartilhamento e permaneceria no dispositivo, protegido por controles de segurança locais, como BitLocker e EFS.

Um recurso que estou procurando não parece funcionar com bibliotecas protegidas do SharePoint — o suporte para meu recurso está planejado?

Atualmente, o Microsoft SharePoint oferece suporte a documentos protegidos pelo RMS usando bibliotecas protegidas por IRM, que não oferecem suporte a modelos de Rights Management, rastreamento de documentos e alguns outros recursos. Para obter mais informações, consulte a seção SharePoint no Microsoft 365 e SharePoint Server no artigo Aplicativos e serviços do Office.

Se você estiver interessado em um recurso específico que ainda não é suportado, certifique-se de ficar de olho nos anúncios no Enterprise Mobility and Security Blog.

Como configuro o One Drive no SharePoint, para que os usuários possam compartilhar seus arquivos com segurança com pessoas dentro e fora da empresa?

Por padrão, como administrador do Microsoft 365, você não configura isso; os usuários fazem.

Assim como um administrador de site do SharePoint habilita e configura o IRM para uma biblioteca do SharePoint de sua propriedade, o OneDrive foi projetado para que os usuários habilitem e configurem o IRM para sua própria biblioteca do OneDrive. No entanto, usando o PowerShell, você pode fazer isso por eles. Para obter instruções, consulte SharePoint no Microsoft 365 e OneDrive: Configuração do IRM.

Você tem alguma dica ou truque para uma implantação bem-sucedida?

Depois de supervisionar muitas implantações e ouvir nossos clientes, parceiros, consultores e engenheiros de suporte – uma das maiores dicas que podemos passar da experiência: projetar e implantar políticas simples.

Como a Proteção de Informações do Azure oferece suporte ao compartilhamento seguro com qualquer pessoa, você pode se dar ao luxo de ser ambicioso com seu alcance de proteção de dados. Mas seja conservador ao configurar restrições de uso de direitos. Para muitas organizações, o maior impacto nos negócios vem da prevenção de vazamento de dados, restringindo o acesso às pessoas em sua organização. Claro, você pode obter muito mais granular do que isso se precisar - impedir que as pessoas imprimam, editem, etc. Mas mantenha as restrições mais granulares como exceção para documentos que realmente precisam de segurança de alto nível e não implemente esses direitos de uso mais restritivos no primeiro dia, mas planeje uma abordagem mais gradual.

Como recuperamos o acesso a arquivos que foram protegidos por um funcionário que agora deixou a organização?

Use o recurso de superusuário, que concede os direitos de uso de Controle Total a usuários autorizados para todos os documentos e e-mails protegidos pelo seu locatário. Os superutilizadores podem sempre ler este conteúdo protegido e, se necessário, remover a proteção ou reprotegê-la para diferentes utilizadores. Esse mesmo recurso permite que os serviços autorizados indexem e inspecionem arquivos, conforme necessário.

Se o seu conteúdo estiver armazenado no SharePoint ou no OneDrive, os administradores poderão executar o cmdlet Unlock-SensitivityLabelEncryptedFile para remover o rótulo de sensibilidade e a criptografia. Para obter mais informações, consulte a documentação do Microsoft 365.

Can Rights Management prevent screen captures? (O Rights Management consegue impedir capturas de ecrã?)

Ao não conceder o direito de utilização de Cópia, o Rights Management pode impedir capturas de ecrã de muitas das ferramentas de captura de ecrã normalmente utilizadas em plataformas Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile e Windows 11). No entanto, os dispositivos iOS, Mac e Android não permitem que nenhum aplicativo impeça capturas de tela. Além disso, os navegadores em qualquer dispositivo não podem impedir capturas de tela. A utilização do browser inclui o Outlook na Web e o Office para a Web.

Nota

Agora a implementar para o Canal Atual (Pré-visualização): no Office para Mac, o Word, o Excel e o PowerPoint (mas não o Outlook) suportam agora o direito de utilização do Rights Management para impedir capturas de ecrã.

Impedir capturas de tela pode ajudar a evitar a divulgação acidental ou negligente de informações confidenciais ou confidenciais. Mas há muitas maneiras de um usuário compartilhar dados que são exibidos em uma tela, e tirar uma captura de tela é apenas um método. Por exemplo, um usuário com a intenção de compartilhar informações exibidas pode tirar uma foto dela usando seu telefone com câmera, redigitar os dados ou simplesmente retransmiti-los verbalmente para alguém.

Como estes exemplos demonstram, mesmo que todas as plataformas e todos os softwares suportassem as APIs de Rights Management para bloquear capturas de ecrã, a tecnologia por si só nem sempre pode impedir os utilizadores de partilharem dados que não deveriam. O Rights Management pode ajudar a proteger seus dados importantes usando políticas de autorização e uso, mas essa solução de gerenciamento de direitos corporativos deve ser usada com outros controles. Por exemplo, implemente a segurança física, filtre e monitore cuidadosamente as pessoas que têm acesso autorizado aos dados da sua organização e invista na educação do usuário para que os usuários entendam quais dados não devem ser compartilhados.

Qual é a diferença entre um usuário proteger um e-mail com Não Encaminhar e um modelo que não inclui o direito Encaminhar?

Apesar de seu nome e aparência, Do Not Forward não é o oposto da direita Forward, ou um modelo. Na verdade, é um conjunto de direitos que incluem restringir a cópia, impressão e salvar o e-mail fora da caixa de correio, além de restringir o encaminhamento de e-mails. Os direitos são aplicados dinamicamente aos usuários através dos destinatários escolhidos, e não atribuídos estaticamente pelo administrador. Para obter mais informações, consulte a seção Opção Não Encaminhar para emails em Configurando direitos de uso para a Proteção de Informações do Azure.

Qual é a diferença entre o Windows Server FCI e o mecanismo de varredura da Proteção de Informações do Azure?

A Infraestrutura de Classificação de Arquivos do Windows Server tem sido historicamente uma opção para classificar documentos e, em seguida, protegê-los usando o conector Rights Management (somente documentos do Office) ou um script do PowerShell (todos os tipos de arquivo).

Agora recomendamos que você use o mecanismo de varredura da Proteção de Informações do Azure. O mecanismo de varredura usa o cliente do Azure Information Protection e sua política de Proteção de Informações do Azure para rotular documentos (todos os tipos de arquivo) para que esses documentos sejam classificados e, opcionalmente, protegidos.

As principais diferenças entre estas duas soluções:

Windows Server FCI Scanner do Azure Information Protection
Arquivos de dados suportados Pastas locais no Windows Server - Compartilhamentos de arquivos do Windows e armazenamento conectado à rede

- SharePoint Server 2016 e SharePoint Server 2013. O SharePoint Server 2010 também é suportado para clientes que têm suporte estendido para esta versão do SharePoint.
Modo operacional Em tempo real Rastreia sistematicamente os armazenamentos de dados uma ou repetidamente
Tipos de ficheiros suportados - Todos os tipos de arquivo são protegidos por padrão

- Tipos de arquivos específicos podem ser excluídos da proteção editando o registro
Suporte para tipos de ficheiros:

- Tipos de arquivos do Office e documentos PDF são protegidos por padrão

- Tipos de arquivos adicionais podem ser incluídos para proteção, editando o registro