Compartilhar via


Instruções sobre como migrar rótulos da Proteção de Informações do Azure para rótulos de confidencialidade unificados

Migre os rótulos da Proteção de Informações do Azure para a plataforma de rotulagem unificada para poder usá-los como rótulos de confidencialidade para clientes e serviços compatíveis com a rotulagem unificada.

Observação

Se sua assinatura da Proteção de Informações do Azure for relativamente nova, talvez não seja necessário migrar rótulos, visto que o locatário já está presente na plataforma de rotulagem unificada.

Depois de migrar seus rótulos, você não verá diferenças com o cliente clássico da Proteção de Informações do Azure, porque esse cliente continua a fazer download dos rótulos com a política da Proteção de Informações do Azure do portal do Azure. No entanto, será possível usar os rótulos com o cliente de rotulagem unificada da Proteção de Informações do Azure e outros clientes e serviços que usam rótulos de confidencialidade.

Antes de ler as instruções sobre como migrar seus rótulos, veja essa pergunta frequente:

Funções administrativas que oferecem suporte à plataforma de rotulagem unificada

Se você usar funções de administrador para administração delegada em sua organização, talvez seja necessário fazer alterações para a plataforma de rotulagem unificada:

A função do Microsoft Entra do administrador da Proteção de Informações do Azure (anteriormente administrador da Proteção de Informações) não é compatível com a plataforma de rotulagem unificada. Se essa função administrativa for usada em sua organização para gerenciar a Proteção de Informações do Azure, adicione os usuários que têm essa função às funções de Administrador de conformidade, Administrador de dados de conformidade ou Administrador da segurança do Microsoft Entra. Se precisar de ajuda com esta etapa, confira Conceder acesso ao portal de conformidade do Microsoft Purview aos usuários. Você também pode atribuir essas funções no centro de administração do Microsoft Entra e no portal de conformidade do Microsoft Purview.

Como alternativa ao uso de funções, no portal de conformidade do Microsoft Purview, é possível criar um novo grupo de função para esses usuários e adicionar funções de Administrador de rótulo de confidencialidade ou Configuração da organização a esse grupo.

Se você não conceder acesso ao portal de conformidade do Microsoft Purview a esses usuários usando uma dessas configurações, eles não poderão configurar a Proteção de Informações do Azure no portal do Azure depois que os rótulos forem migrados.

Os administradores globais do locatário podem continuar a gerenciar rótulos e políticas no portal do Azure e no portal de conformidade do Microsoft Purview depois que os rótulos forem migrados.

Antes de começar

Apesar de trazer muitos benefícios, a migração de rótulos é irreversível. Antes de migrar, esteja ciente das seguintes alterações e considerações:

Suporte ao cliente para rotulagem unificada

Verifique se você tem clientes que oferecem suporte a rótulos unificados e, caso necessário, prepare-se para a administração no portal do Azure (para clientes que não oferecem suporte a rótulos unificados) e no portal de conformidade do Microsoft Purview (para clientes que oferecem suporte a rótulos unificados).

Configuração de política

As políticas, incluindo configurações de política e quem tem acesso a elas (políticas com escopo) e todas as configurações de cliente avançado não são migradas. Para ajustar as configurações após a migração do rótulo, você pode usar:

Importante

Nem todas as configurações de rótulo migrado são compatíveis com o portal de conformidade do Microsoft Purview. Use a tabela na seção Configurações de rotulagem não compatíveis com o portal de conformidade do Microsoft Purview para ajudar a identificar essas configurações e o curso de ação recomendado.

Modelos de proteção

  • Os modelos que usam uma chave baseada em nuvem e que fazem parte de uma configuração de rótulo também são migrados com o rótulo. Outros modelos de proteção não são migrados.

  • Caso existam rótulos configurados para um modelo predefinido, é possível editá-los e esoolher a opção Definir permissões para definir as mesmas configurações de proteção presentes no modelo. Rótulos com modelos predefinidos não bloqueiam a migração de rótulos; no entanto, essa configuração de rótulo não é compatível com o portal de conformidade do Microsoft Purview.

    Dica

    Para ajudar na reconfiguração dos rótulos, pode ser útil ter duas janelas do navegador abertas: uma janela para selecionar o botão Editar modelo no rótulo para ver as configurações de privacidade, e a segunda janela para definir as mesmas configurações ao selecionar Definir permissões.

  • Depois que um rótulo com configurações de proteção baseadas em nuvem é migrado, o escopo resultante do modelo de proteção é o escopo definido no portal do Azure (ou usando o módulo AIPService PowerShell) e o escopo que é definido no portal de conformidade do Microsoft Purview.

Nomes de exibição

Para cada rótulo, o portal do Azure exibe somente o nome de exibição do rótulo, que pode ser editado. Esse é o nome de rótulo que usuários veem em seus aplicativos.

O portal de conformidade do Microsoft Purview exibe esse nome de exibição para um rótulo, além do nome do rótulo em si. O nome do rótulo é o nome inicial especificado quando o rótulo é criado. Essa propriedade é usado pelo serviço de back-end para fins de identificação. Ao migrar os rótulos, o nome para exibição permanece o mesmo e o nome do rótulo é renomeado para a ID do rótulo do portal do Azure.

Nomes de exibição em conflito

Antes de migrar, é necessário verificar se não haverá nomes de exibição em conflito após a conclusão da migração. Os nomes de exibição na mesma posição na hierarquia de rotulagem devem ser exclusivos.

Por exemplo, considere a seguinte lista de rótulos:

  • Pública
  • Geral
  • Confidencial
    • Confidencial\RH
    • Confidencial\Finanças
  • Segredo
    • Segredo\RH
    • Segredo\Finanças

Nesta lista, os rótulos Público, Geral, Confidencial e Segredo são rótulos pais e não podem ter nomes duplicados. Além disso, como Confidencial\RH e Confidencial\Finanças estão na mesma posição na hierarquia, eles não podem ter nomes duplicados.

No entanto, sub-rótulos em rótulos pais diferentes, como Confidencial\RH e Segredo\RH não estão na mesma posição na hierarquia e, portanto, podem ter os mesmos nomes individuais.

Sequências localizadas em rótulos

Sequências localizadas nos rótulos não são migradas. Defina novas cadeias de caracteres localizadas para os rótulos migrados usando o PowerShell de Conformidade de Segurança e o parâmetro LocaleSettings para Set-Label.

Editar rótulos migrados no portal de conformidade do Microsoft Purview

Após a migração, edições feitas a um rótulo migrado no portal do Azure são refletidas automaticamente no portal de conformidade do Microsoft Purview.

No entanto, ao editar um rótulo migrado no portal de conformidade do Microsoft Purview, é necessário retornar ao portal do Azure, ao painel Proteção de Informações do Azure: rotulagem unificada e escolher Publicar.

Essa ação adicional é necessária para que os clientes da Proteção de Informações do Azure (clássico) recebam as alterações de rótulo.

Configurações de rotulagem não compatíveis com o portal de conformidade do Microsoft Purview

Use a tabela a seguir para identificar quais difinições de configuração de um rótulo migrado não são compatíveis com o portal de conformidade do Microsoft Purview. Se você tiver rótulos com essas configurações, depois da conclusão da migração, use as diretrizes de administração da última coluna antes de publicar os rótulos no portal de conformidade do Microsoft Purview.

Se você não tiver certeza de como os rótulos estão configurados, exiba as configurações no portal do Azure. Se precisar de ajuda com esta etapa, confira Configurar a política da Proteção de Informações do Azure.

Como clientes da Proteção de Informações do Azure (clássico) continuam a fazer download dos rótulos no portal do Azure, podem usar todas as configurações de rótulo listadas sem problemas.

Configuração de rótulo Compatível com clientes de rotulagem unificada Diretrizes do Portal de conformidade do Microsoft Purview
Status de habilitado ou desabilitado

Esse status não é sincronizado com o portal de conformidade do Microsoft Purview
Não aplicável O equivalente é se o rótulo é publicado ou não.
Cor do rótulo selecionado na lista ou especificado usando o código RGB Yes Nenhuma opção de configuração para cores de rótulo. Em vez disso, é possível configurar cores de rótulo no portal do Azure ou usar o PowerShell.
Proteção baseada em nuvem ou baseada em HYOK usando um modelo predefinido Não Nenhuma opção de configuração para modelos predefinidos. Não recomendamos publicar um rótulo com essa configuração.
Proteção baseada em nuvem usando permissões definidas pelo usuário para Word, Excel e PowerPoint Yes O portal de conformidade do Microsoft Purview oferece suporte a uma opção de configuração para permissões definidas pelo usuário.

Se você publicar um rótulo com essa configuração, verifique os resultados nesta tabela.
Proteção baseada em HYOK usando permissões definidas pelo usuário para o Outlook (Não encaminhar) Não Nenhuma opção de configuração para HYOK. Não recomendamos publicar um rótulo com essa configuração. Se você o fizer, os resultados da aplicação do rótulo serão listados nesta tabela.
Nome da fonte, tamanho e cor da fonte personalizados por código RGB para marcação visual (cabeçalho, rodapé, marca-d'água) Yes Existe uma lista limitada de cores e tamanhos de fonte para a configuração das marcações visuais. É possível publicar o rótulo sem alterações, embora não seja possível ver os valores configurados no portal de conformidade do Microsoft Purview.

Para alterar essas opções, use o cmdlet New-Label Office 365 Security & Compliance Center. Para facilitar a administração, é possível alterar a cor para uma das opções listadas no portal de conformidade do Microsoft Purview.

Observação: o portal de conformidade do Microsoft Purview oferece suporte a uma lista predefinida de definições de tipo da fonte. O suporte para fontes e cores personalizadas é feito por meio do cmdlet New-Label.

Se você estiver trabalhando com o cliente clássico, faça essas alterações no rótulo no portal do Azure.
Variáveis em marcações visuais (cabeçalho, rodapé) Yes Essa configuração de rótulo é compatível com os clientes AIP e com a rotulagem interna do Office para determinados aplicativos.

Se você estiver trabalhando com rotulagem interna usando um aplicativo que não oferece suporte a essa configuração e publicar o rótulo sem alterações, as variáveis serão exibidas como texto nos clientes em vez de exibir o valor dinâmico.

Para obter mais informações, confira a documentação do Microsoft 365.
Marcações visuais por aplicativo Yes Essa configuração de rótulo é compatível apenas com clientes AIP e não com a rotulagem interna do Office.

Se você estiver trabalhando com rotulagem interna e publicar o rótulo sem alterações, a configuração de marcação visual será exibida como texto variável em vez das marcações visuais que você configurou para serem exibidas em cada aplicativo.
Proteção "Só para mim" Yes O portal de conformidade do Microsoft Purview não permite salvar as configurações de criptografia aplicadas sem especificar um usuário. No portal do Azure, essa configuração resulta em um rótulo que aplica a proteção "Apenas para mim".

Como alternativa, crie um rótulo que aplique criptografia e especifique um usuário com permissões e, em seguida, edite o modelo de proteção associado usando o PowerShell. Primeiro, use o cmdlet New-AipServiceRightsDefinition (veja o Exemplo 3) e, em seguida, Set-AipServiceTemplateProperty com o parâmetro RightsDefinitions.
Condições e configurações associadas

Inclui rotulagem automática e recomendada e dicas de ferramentas
Não aplicável Reconfigure as condições usando a rotulagem automática como uma configuração separada das configurações de rótulo.

Comparar o comportamento das configurações de proteção de um rótulo

Use a tabela a seguir para identificar como a mesma configuração de proteção usada para um rótulo se comporta de maneira diferente se é usada pelo cliente clássico da Proteção de Informações do Azure, pelo cliente de rotulagem unificada da Proteção de Informações do Azure ou pelos aplicativos do Office que possuem rotulagem interna (também conhecida como "rotulagem nativa do Office"). As diferenças no comportamento do rótulo podem alterar sua decisão de publicar ou não os rótulos, principalmente quando você tem uma combinação de clientes na organização.

Se você não tiver certeza sobre como as configurações de proteção estão definidas, veja as configurações no painel Proteção no portal do Azure. Se precisar de ajuda nesta etapa, confira Definir um rótulo para as configurações de proteção.

As configurações de proteção que se comportam da mesma maneira não estão listadas na tabela, com as seguintes exceções:

  • Quando você usa aplicativos do Office com rotulagem interna, os rótulos não ficam visíveis no Explorador de Arquivos, a menos que você também instale o cliente de rotulagem unificada da Proteção de Informações do Azure.
  • Quando você usa aplicativos do Office com rotulagem interna, se a proteção foi aplicada anteriormente, independentemente de um rótulo, essa proteção é preservada [1].
Configuração de proteção para um rótulo Cliente clássico da Proteção de Informações do Azure Cliente de rotulagem unificada da Proteção de Informações do Azure Aplicativos do Office com rotulagem interna
HYOK (AD RMS) com um modelo: Visível no Word, Excel, PowerPoint, Outlook e Explorador de Arquivos

Quando este rótulo é aplicado:

- A proteção HYOK é aplicada a documentos e emails
Visível no Word, Excel, PowerPoint, Outlook e Explorador de Arquivos

Quando este rótulo é aplicado:

- Nenhuma proteção é aplicada e a proteção é removida [2] se foi aplicada anteriormente por um rótulo

- Se a proteção foi anteriormente aplicada, independentemente de um rótulo, essa proteção é preservada
Visível no Word, Excel, PowerPoint e Outlook

Quando este rótulo é aplicado:

- Nenhuma proteção é aplicada e a proteção é removida [2] se foi aplicada anteriormente por um rótulo

- Se a proteção foi anteriormente aplicada, independentemente de um rótulo, ela é preservada [1]
HYOK (AD RMS) com permissões definidas pelo usuário para Word, Excel, PowerPoint e Explorador de Arquivos: Visível no Word, Excel, PowerPoint e Explorador de Arquivos

Quando este rótulo é aplicado:

- A proteção HYOK é aplicada a documentos e emails
Visível no Word, Excel e PowerPoint

Quando este rótulo é aplicado:

- A proteção não é aplicada e é removida [2] se foi aplicada anteriormente por um rótulo

- Se a proteção foi anteriormente aplicada, independentemente de um rótulo, essa proteção é preservada
Visível no Word, Excel e PowerPoint

Quando este rótulo é aplicado:

- A proteção não é aplicada e é removida [2] se foi aplicada anteriormente por um rótulo

- Se a proteção foi anteriormente aplicada, independentemente de um rótulo, essa proteção é preservada
HYOK (AD RMS) com permissões definidas pelo usuário para Outlook: Visível no Outlook

Quando este rótulo é aplicado:

- A opção Não encaminhar usando a proteção HYOK é aplicada a emails
Visível no Outlook

Quando este rótulo é aplicado:

- A proteção não é aplicada e é removida [2] se foi aplicada anteriormente por um rótulo

- Se a proteção foi anteriormente aplicada, independentemente de um rótulo, essa proteção é preservada
Visível no Outlook

Quando este rótulo é aplicado:

- A proteção não é aplicada e é removida [2] se foi aplicada anteriormente por um rótulo

- Se a proteção foi anteriormente aplicada, independentemente de um rótulo, ela é preservada [1]
Nota de rodapé 1

No Outlook, a proteção é preservada com uma exceção: quando um email é protegido com a opção Criptografar somente (Criptografar), a proteção é removida.

Nota de rodapé 2

A proteção é removida se o usuário tem direito de uso ou função que ofereça suporte a essa ação:

Se o usuário não tiver um desses direitos ou funções de uso, o rótulo não será aplicado e a proteção original será preservada.

Como migrar rótulos da Proteção de Informações do Azure

Use as instruções a seguir para migrar o locatário e os rótulos da Proteção de Informações do Azure para usar o repositório de rotulagem unificada.

É necessário ser um administrador de conformidade, administrador de dados de conformidade, administrador da segurança ou administrador global para migrar os rótulos.

  1. Se ainda não tiver feito isso, abra uma nova janela do navegador e entre no portal do Azure. Em seguida, navegue até o painel Proteção de Informações do Azure.

    Por exemplo, na caixa de pesquisa para recursos, serviços e documentos: comece a digitar Informações e selecione Proteção de Informações do Azure.

  2. Na opção Gerenciar do menu, escolha Rotulagem unificada.

  3. No painel Proteção de Informações do Azure: rotulagem unificada, selecione Ativar e siga as instruções online.

    Se a opção de ativação não estiver disponível, verifique o status de rotulagem unificada. Se estiver Ativo, o locatário já está usando o repositório de rotulagem unificada e não é necessário migrar os rótulos.

Rótulos migrados com êxito agora podem ser usados por clientes e serviços que oferecem suporte à rotulagem unificada. No entanto, primeiro é necessário publicar esses rótulos no portal de conformidade do Microsoft Purview.

Importante

Se você editar os rótulos fora do portal do Azure, para clientes da Proteção de Informações do Azure (clássico), retorne ao painel Proteção de Informações do Azure: rotulagem unificada e selecione Publicar.

Copiar políticas

Depois de migrar os rótulos, é possível selecionar uma opção para copiar políticas. Se você selecionar esta opção, uma cópia avulsa das políticas e suas configurações de política e as configurações de cliente avançado são enviadas ao portal de conformidade do Microsoft Purview.

As políticas copiadas com êxito com suas configurações e rótulos são publicadas automaticamente nos usuários e grupos atribuídos às políticas no portal do Azure. Observe que, na política Global, isso significa todos os usuários. Se você não deseja que os rótulos migrados presente nas políticas copiadas sejam publicados, depois de copiar as políticas, remova os rótulos das políticas de rótulo na central de rotulagem do administrador.

Antes de selecionar a opção Copiar políticas (versão prévia) no painel da Proteção de Informações do Azure: rotulagem unificada, considere que:

  • A opção Copiar políticas (versão prévia) não estará disponível até que a rotulagem unificada seja ativada para o locatário.

  • Não é possível escolher seletivamente as políticas e configurações a serem copiadas. Todas as políticas (a política Global e as políticas com escopo) são automaticamente selecionadas para serem copiadas, e todas as configurações compatíveis, como configurações de política de rótulo, são copiadas. Caso haja uma política de rótulo com o mesmo nome, ela será substituída pelas configurações de política no portal do Azure.

  • Algumas configurações de cliente avançado não são copiadas porque, para o cliente de rotulagem unificada da Proteção de Informações do Azure, elas recebem suporte como configurações avançadas de rótulo em vez de configurações de política. Você pode definir essas configurações avançadas de rótulo com o Security & Compliance PowerShell. Configurações de cliente avançado que não são copiadas:

  • Diferente da migração de rótulos, em que as alterações subsequentes realizadas nos rótulos são sincronizadas, a ação Copiar políticas não sincroniza as alterações subsequentes realizadas nas política ou configurações de política. É possível repetir a ação de copiar política depois de fazer alterações no portal do Azure, e todas as políticas existentes e suas configurações serão substituídas novamente. Ou use os cmdlets Set-LabelPolicy ou Set-Label com o parâmetro AdvancedSettings do Security & Compliance PowerShell.

  • Antes de ser copiada, a ação Copiar políticas verifica o seguinte em cada política:

    • Se os usuários e os grupos atribuídos à política estão atualmente no Microsoft Entra ID. Se uma ou mais contas estiverem ausentes, a política não é copiada. A associação de grupo não é marcada.

    • Se a política Global contém pelo menos um rótulo. Como as centrais de rotulagem do administrador não oferecem suporte a políticas de rótulos sem rótulos, uma política global sem rótulos não é copiada.

  • Se você copiar políticas e excluí-las do centro de rotulagem do administrador, aguarde pelo menos duas horas antes de usar a ação Copiar políticas novamente para garantir tempo suficiente para que a exclusão seja replicada.

  • As políticas copiadas da Proteção de Informações do Azure não terão o mesmo nome. Essas políticas serão nomeadas com o prefixo AIP_. Os nomes das políticas não podem ser alterados posteriormente.

Para obter mais informações sobre como definir as configurações de política, as configurações de cliente avançado e as configurações de rótulo para o cliente de rotulagem unificada da Proteção de Informações do Azure, confira Configurações personalizadas para o cliente de rotulagem unificada da Proteção de Informações do Azure no guia de administração.

Observação

Atualmente, a compatibilidade da cópia de políticas da Proteção de Informações do Azure está na VERSÃO PRÉVIA. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Clientes e serviços que oferecem suporte à rotulagem unificada

Para confirmar se os clientes e serviços usados oferecem suporte à rotulagem unificada, confira sua documentação para verificar se eles podem usar rótulos de confidencialidade publicados no portal de conformidade do Microsoft Purview.

Clientes que atualmente oferecem suporte à rotulagem unificada
Serviços que atualmente oferecem suporte à rotulagem unificada

Portais de gerenciamento a serem usados após a migração dos rótulos

Depois de migrar os rótulos no portal do Azure, continue a gerenciá-los em um dos seguintes locais, dependendo dos clientes instalados:

Cliente Descrição
Somente clientes e serviços de rotulagem unificada Se você tiver clientes de rotulagem unificada instalados, gerencie os rótulos no portal de conformidade do Microsoft Purview, que é o local de onde os clientes de rotulagem unificada fazem download dos rótulos e suas configurações de política.

Para ver as instruçõs, confira Criar e configurar rótulos de confidencialidade e suas políticas.
Somente cliente clássico Se você migrou os rótulos, mas ainda tem o cliente clássico instalado, continue usando o portal do Azure para editar os rótulos e as configurações de política. O cliente clássico continua a fazer download dos rótulos e das configurações de política do Azure.
Cliente clássico AIP e clientes de rotulagem unificada Se você tiver ambos os clientes instalados, use o portal de conformidade do Microsoft Purview ou o portal do Azure para fazer alterações de rótulo.

Para que os clientes clássicos selecionem as alterações de rótulo feitas no portal de conformidade do Microsoft Purview, retorne ao portal do Azure para publicá-las. Em portal do Azure > painel Proteção de Informações do Azure: rotulagem unificada, selecione Publicar.

Continue a usar o portal do Azure para geração de relatórios central e scanner.

Próximas etapas

Orientações e dicas da nossa equipe de Experiência do Cliente:

Informações sobre rótulos de confidencialidade:

Implantar o cliente de rotulagem unificada AIP:

Instale o cliente de rotulagem unificada da Proteção de Informações do Azure.

Para saber mais, veja: