Planejar a conformidade em comunicações
Importante
Conformidade de Comunicações do Microsoft Purview fornece as ferramentas para ajudar as organizações a detetar conformidade regulamentar (por exemplo, SEC ou FINRA) e violações de conduta empresarial, tais como informações confidenciais, assédio ou ameaça de linguagem e partilha de conteúdo para adultos. Desenvolvida com a privacidade em mente, os nomes de usuário são pseudonimizados por padrão, os controles de acesso baseados em função são internos, os investigadores são aceitos por um administrador e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.
Antes de começar a utilizar a conformidade de comunicação na sua organização, existem importantes atividades de planeamento e considerações que devem ser revistas pelas suas equipas de gestão de tecnologias de informação e conformidade. Compreender e planear exaustivamente a implementação nas seguintes áreas ajudará a garantir que a implementação e a utilização das funcionalidades de conformidade de comunicação corre sem problemas e está alinhada com as melhores práticas para a solução.
Veja o vídeo abaixo para saber como cumprir os requisitos de conformidade regulamentar com a conformidade de comunicações:
Para obter mais informações e uma descrição geral do processo de planeamento para lidar com atividades de conformidade e de risco na sua organização, consulte Iniciar um programa de gestão de riscos internos.
Também pode marcar o vídeo da Microsoft Mechanics sobre como a gestão de riscos internos e a conformidade de comunicação funcionam em conjunto para ajudar a minimizar os riscos de dados dos utilizadores na sua organização.
Importante
A conformidade de comunicação está atualmente disponível em inquilinos alojados em regiões geográficas e países suportados por dependências de serviço do Azure. Para verificar se a conformidade de comunicação é suportada para a sua organização, veja Disponibilidade das dependências do Azure por país/região.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Trabalhar com intervenientes na sua organização
Identifique os intervenientes adequados na sua organização para colaborar para efetuar ações em alertas de conformidade de comunicação. Alguns intervenientes recomendados a considerar, incluindo no planeamento inicial e no fluxo de trabalho de conformidade de comunicação ponto a ponto, são pessoas das seguintes áreas da sua organização:
- Tecnologias de informação
- Conformidade
- Privacidade
- Segurança
- Recursos humanos
- Jurídico
Planear o fluxo de trabalho de investigação e remediação
Selecione intervenientes dedicados para investigar e rever os alertas e casos numa cadência regular no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview. Certifique-se de que compreende como irá atribuir utilizadores e intervenientes a diferentes grupos de funções de conformidade de comunicação na sua organização.
Importante
Depois de configurar os grupos de funções, poderá demorar até 30 minutos para que as permissões do grupo de funções se apliquem aos utilizadores atribuídos na sua organização.
Configurar as permissões
Existem seis grupos de funções utilizados para configurar permissões iniciais para gerir funcionalidades de conformidade de comunicação. Para disponibilizar a Conformidade da comunicação como uma opção de menu no portal de conformidade do Microsoft Purview e para continuar com estes passos de configuração, tem de ser atribuído a um desses grupos. Para obter mais informações, veja Ativar permissões para conformidade de comunicação.
Utilizadores com âmbito
Antes de começar a usar a conformidade de comunicações, determine quem precisa revisar as comunicações. Na política, os endereços de e-mail dos utilizadores identificam indivíduos ou grupos de pessoas aos quais pretende aplicar a política. Alguns exemplos destes grupos são Grupos do Microsoft 365, listas de distribuição baseadas no Exchange, comunidades Viva Engage e canais do Microsoft Teams. Também pode excluir utilizadores ou grupos específicos da verificação com um grupo de exclusão específico ou uma lista de grupos. Para obter mais informações sobre os tipos de grupos suportados nas políticas de conformidade de comunicação, veja Introdução à conformidade de comunicações.
Importante
Os utilizadores abrangidos pelas políticas de conformidade de comunicação têm de ter uma licença de Microsoft 365 E5 Compliance, uma licença do Office 365 Enterprise E3 com o suplemento Conformidade Avançada ou ser incluídos numa subscrição do Office 365 Enterprise E5. Se não tiver um plano Enterprise E5 existente e quiser experimentar a conformidade de comunicação, pode inscrever-se numa avaliação do Office 365 Enterprise E5.
Revisores
Quando cria uma política de conformidade de comunicação, tem de determinar quem revê as mensagens dos utilizadores no âmbito. Na política, os endereços de e-mail dos utilizadores identificam indivíduos ou grupos de pessoas para rever as comunicações no âmbito. Todos os revisores têm de ter caixas de correio alojadas no Exchange Online, têm de ser atribuídas aos grupos de funções Analistas de Conformidade de Comunicações ou Investigadores de Conformidade de Comunicações e têm de ser atribuídas na política que precisam de investigar. Quando os revisores são adicionados a uma política, eles recebem automaticamente uma mensagem de email que os notifica sobre a atribuição à política e fornece links para informações sobre o processo de revisão.
Grupos para utilizadores e revisores no âmbito
Para simplificar a configuração, recomendamos que crie grupos para as pessoas que precisam das suas comunicações revistas e grupos para as pessoas que analisam essas comunicações. Se você estiver usando grupos, talvez precise de vários. Por exemplo, se quiser identificar comunicações entre dois grupos distintos de pessoas ou se quiser especificar um grupo que não está no âmbito. Quando atribui um grupo de Distribuição na política, a política deteta todos os e-mails de cada utilizador no grupo Distribuição. Quando atribui um grupo do Microsoft 365 na política, a política deteta todos os e-mails enviados para esse grupo e não os e-mails individuais recebidos por cada membro do grupo.
Observação
Antes de criar uma política, deve decidir se pretende aplicar um âmbito adaptável para utilizadores ou grupos. Para obter mais informações, veja Âmbitos de política adaptáveis para soluções de conformidade.
A adição de grupos e listas de distribuição a políticas de conformidade de comunicações faz parte das condições e regras gerais definidas, pelo que o número máximo de grupos e listas de distribuição que uma política suporta varia consoante o número de condições também adicionadas à política. Cada política deve suportar aproximadamente 20 grupos ou listas de distribuição, consoante o número de condições adicionais presentes na política.
O gráfico seguinte pode ajudá-lo a configurar grupos na sua organização para políticas de conformidade de comunicações:
Membro da Política | Grupos suportados | Grupos não suportados |
---|---|---|
Utilizadores com âmbito Utilizadores excluídos |
Grupos de distribuição Grupos do Microsoft 365 |
Grupos dinâmicos de distribuição Grupos de distribuição aninhados Grupos de segurança habilitados para email Grupos do Microsoft 365 com associação dinâmica |
Revisores | Nenhum | Grupos de distribuição Grupos dinâmicos de distribuição Grupos de distribuição aninhados Grupos de segurança habilitados para email |
Privacidade
Proteger a privacidade dos utilizadores que têm correspondências de políticas é importante e pode ajudar a promover a objectividade na investigação de dados e análises de análise para alertas de conformidade de comunicação. Esta definição aplica-se apenas aos nomes de utilizadores que apresentaram a solução de conformidade de comunicação. Não afeta a forma como os nomes são apresentados noutras soluções de conformidade ou no centro de administração.
Para os utilizadores com uma correspondência de conformidade de comunicação, pode escolher uma das seguintes definições em Definições de conformidade de comunicação:
- Mostrar versões anonimizadas de nomes de utilizador: os nomes de utilizador são anonimizados para impedir que os utilizadores no grupo de funções Analistas de Conformidade de Comunicações vejam quem está associado a alertas de política. Os utilizadores no grupo de funções Investigadores de Conformidade de Comunicações verão sempre os nomes de utilizador e não as versões anonimizadas. Por exemplo, um utilizador "Grace Taylor" apareceria com um pseudónimo aleatório, como "AnonIS8-988" em todas as áreas da experiência de conformidade de comunicação. A escolha dessa configuração manterá todos os usuários com as políticas atuais e anteriores e se aplicará a todas as políticas. As informações do perfil de utilizador nos detalhes do alerta de conformidade de comunicação não estarão disponíveis quando esta opção for escolhida. No entanto, os nomes de utilizador são apresentados ao adicionar novos utilizadores a políticas existentes ou ao atribuir utilizadores a novas políticas. Se optar por desativar esta definição, os nomes de utilizador são apresentados para todos os utilizadores com correspondências de políticas atuais ou anteriores.
- Não mostrar versões anonimizadas de nomes de utilizador: os nomes de utilizador são apresentados para todas as correspondências de políticas atuais e anteriores para alertas de conformidade de comunicação. As informações do perfil de utilizador (o nome, o título, o alias e a organização ou departamento) são apresentadas ao utilizador para todos os alertas de conformidade de comunicação.
Planear políticas de conformidade de comunicação
A criação de políticas de conformidade de comunicação é rápida e fácil com os modelos predefinidos para analisar conteúdos potencialmente inadequados, informações confidenciais e problemas de conformidade regulamentar. As políticas de conformidade de comunicação personalizadas permitem a flexibilidade para detetar e investigar problemas específicos da sua organização e requisitos.
Ao planear políticas de conformidade de comunicação, considere as seguintes áreas:
- Considere adicionar todos os utilizadores na sua organização como no âmbito das suas políticas de conformidade de comunicação. Identificar utilizadores específicos como no âmbito de políticas individuais é útil em algumas circunstâncias, no entanto, a maioria das organizações deve incluir todos os utilizadores em políticas de conformidade de comunicação otimizadas para deteção de assédio ou discriminação.
- Decida se pretende aplicar um âmbito adaptável à política de conformidade de comunicações. Para obter mais informações, veja Âmbitos de política adaptáveis para retenção. A criação de várias políticas pode resultar em custos administrativos mais elevados.
- Configure a percentagem de comunicações a rever a 100% para garantir que as políticas estão a detetar todos os problemas de preocupação nas comunicações da sua organização.
- Pode analisar as comunicações de origens de terceiros relativamente a dados importados para caixas de correio na sua organização do Microsoft 365. Para incluir a revisão das comunicações nestas plataformas, terá de configurar um conector de terceiros para estes serviços antes de as mensagens que cumprem as condições de política serem detetadas por uma política de comunicação.
- As políticas podem suportar a deteção de idiomas que não o inglês em políticas de conformidade de comunicação personalizadas. Crie um dicionário palavra-chave personalizado de palavras ofensivas no idioma à sua escolha ou crie o seu próprio modelo de machine learning com classificadores treináveis no Microsoft 365.
- Todas as organizações têm diferentes padrões de comunicação e necessidades de política. Detete palavras-chave específicas com condições de política de conformidade de comunicação ou detete tipos específicos de informações com tipos de informações confidenciais personalizados.
Migrar entre o Microsoft 365 US Government Cloud e a cloud comercial
Se migrar a sua organização da Cloud do Microsoft 365 US Government para a cloud comercial mundial ou da cloud comercial mundial para a Cloud governamental, os alertas e os casos ativos não serão migrados. Feche quaisquer alertas e casos antes de iniciar a migração.
Instruções para criar uma política de conformidade de comunicação
Quer ver instruções detalhadas sobre como configurar uma nova política de conformidade de comunicação e remediar um alerta? Veja o seguinte vídeo de 15 minutos para ver uma demonstração de como as políticas de conformidade de comunicação podem ajudá-lo a detetar mensagens potencialmente inadequadas, investigar potenciais violações e corrigir problemas de conformidade.
Pronto para começar?
Para configurar a conformidade de comunicação para a sua organização do Microsoft 365, consulte Configurar a conformidade de comunicação ou marcar o caso prático da Contoso e como configuraram rapidamente uma política de conformidade de comunicação para detetar conteúdos potencialmente inadequados no Microsoft Teams, Exchange Online e comunicações Viva Engage.