Perguntas frequentes sobre a proteção de dados na Proteção de Informações do Azure
Alguma dúvida sobre o serviço de proteção de dados, Azure Rights Management, da Proteção de Informações do Azure? Veja se ela foi respondida aqui.
Os arquivos precisam estar na nuvem para serem protegidos pelo Azure Rights Management?
Não, isso é um equívoco comum. O serviço do Azure Rights Management (e a Microsoft) não vê nem armazena seus dados como parte do processo de proteção de informações. As informações que você protege nunca são enviadas ou armazenadas no Azure, a menos que as armazene explicitamente no Azure ou utilize outro serviço de nuvem que as armazene no Azure.
Para obter mais informações, consulte Como o Azure RMS funciona? Nos bastidores, para entender como uma fórmula de cola secreta criada e armazenada localmente é protegida pelo serviço do Azure Rights Management, mas permanece sendo local.
Qual é a diferença entre a criptografia do Azure Rights Management e a criptografia em outros serviços em nuvem da Microsoft?
A Microsoft fornece várias tecnologias de criptografia que permitem que você proteja seus dados para cenários diferentes e geralmente complementares. Por exemplo, enquanto o Microsoft 365 oferece criptografia em repouso para dados armazenados no Microsoft 365, o serviço Azure Rights Management da Proteção de Informações do Azure criptografa os dados de forma independente para que eles fiquem protegidos, independentemente de onde estão localizados ou como são transmitidos.
Essas tecnologias de criptografia são complementares. Para usá-las, você deve habilitá-las e configurá-las de forma independente. Ao fazer isso, você terá a opção Bring Your Own Key de criptografia, um cenário também conhecido como "BYOK". Habilitar BYOK para uma dessas tecnologias não afeta as outras. Por exemplo, você pode usar o BYOK para a Proteção de Informações do Azure e não usá-lo para outras tecnologias de criptografia e vice-versa. As chaves usadas por essas diferentes tecnologias podem ser iguais ou diferentes, dependendo de como você configura as opções de criptografia para cada serviço.
Agora posso usar o BYOK com o Exchange Online?
Sim, agora você pode usar BYOK com o Exchange Online quando segue as instruções em Configurar novos recursos de criptografia de mensagem do Microsoft 365 incorporados com base na Proteção de Informações do Azure. Estas instruções habilitam os novos recursos no Exchange Online que dão suporte ao uso de BYOK para a Proteção de Informações do Azure, bem como a nova criptografia de mensagens do Office 365.
Para obter mais informações sobre essa alteração, consulte o comunicado do blog: Criptografia de mensagens do Office 365 com os novos recursos
Há um pacote de gerenciamento ou mecanismo de monitoramento semelhante para o conector RMS?
Embora o conector do Rights Management registre informações, avisos e mensagens de erro no log de eventos, não há um pacote de gerenciamento que inclui monitoramento para esses eventos. No entanto, a lista de eventos e suas descrições, com mais informações para ajudá-lo a tomar uma medida corretiva é documentada em Monitorar o conector do Microsoft Rights Management.
Como faço para criar um novo modelo personalizado no Portal do Azure?
Os modelos personalizados migraram para o Portal do Azure, no qual é possível continuar gerenciando-os como modelos ou convertê-los em rótulos. Para criar um novo modelo, crie um novo rótulo e defina as configurações de proteção de dados do Azure RMS. Nos bastidores, isso cria um novo modelo que pode ser acessado por aplicativos e serviços que se integram aos modelos do Rights Management.
Para obter mais informações sobre modelos no Portal do Azure, consulte Configurar e gerenciar modelos da Proteção de Informações do Azure.
Eu protegi um documento e agora desejo alterar os direitos de uso ou adicionar usuários. É necessário proteger novamente o documento?
Se o documento tiver sido protegido usando um rótulo ou um modelo, não será necessário proteger novamente o documento. Modifique o rótulo ou o modelo fazendo suas alterações aos direitos de uso ou adicionando novos grupos (ou usuários) e, em seguida, salve essas alterações:
Quando um usuário não tiver acessado o documento antes de você fazer as alterações, as alterações entrarão em vigor assim que o usuário abrir o documento.
Quando um usuário já tiver acessado o documento, essas alterações entrarão em vigor quando sua licença de uso expirar. Proteja novamente o documento apenas se não puder aguardar a licença de uso expirar. Proteger novamente cria de fato uma nova versão do documento e, portanto, uma nova licença de uso para o usuário.
Como alternativa, se você já tiver configurado um grupo para as permissões necessárias, poderá alterar a associação de grupo para incluir ou excluir usuários e não será necessário alterar o rótulo ou o modelo. Pode haver um pequeno atraso antes que as alterações entrem em vigor, pois a associação de grupo é armazenada em cache pelo serviço do Azure Rights Management.
Se o documento tiver sido protegido usando permissões personalizadas, você não poderá alterar as permissões para o documento existente. Você deverá proteger o documento novamente e especificar todos os usuários e todos os direitos de uso necessários para essa nova versão do documento. Para proteger novamente um documento protegido, você deve ter o direito de uso de Controle Total.
Dica: para verificar se um documento foi protegido por um modelo ou usando uma permissão personalizada, use o cmdlet do PowerShell Get-AIPFileStatus. Uma descrição do modelo de Acesso Restrito para permissões personalizadas sempre estará visível, com uma ID de modelo exclusiva que não será exibida quando você executar Get-RMSTemplate.
Eu tenho uma implantação híbrida do Exchange com alguns usuários no Exchange Online e com outros no Exchange Server — isto é compatível com o Azure RMS?
Com certeza, e o melhor é que os usuários são capazes de proteger e consumir emails e anexos protegidos entre as duas implantações do Exchange. Para essa configuração, ative o Azure RMS e habilite o IRM para o Exchange Onlinee, em seguida, implante e configure o conector RMS para o Exchange Server.
Se eu usar essa proteção para meu ambiente de produção, minha empresa ficará então bloqueada na solução ou correrá o risco de perder o acesso ao conteúdo que protegemos com o Azure RMS?
Não, você sempre permanecerá no controle de seus dados e poderá continuar a acessá-los, mesmo se decidir não usar mais o serviço do Azure Rights Management. Para obter mais informações, confira Encerramento e desativação do Azure Rights Management.
É possível controlar quais dos meus usuários podem usar o Azure RMS para proteger o conteúdo?
Sim, o serviço do Azure Rights Management tem controles de integração do usuário para esse cenário. Para obter mais informações, confira a seção Configurar controles de integração para uma implantação em fases no artigo Ativar o serviço de proteção do Azure Rights Management.
Posso impedir os usuários de compartilharem documentos protegidos com organizações específicas?
Um dos maiores benefícios de usar o serviço do Azure Rights Management para proteção de dados é que ele dá suporte para colaboração de empresas sem precisar configurar confianças explícitas para cada organização parceira, pois o Microsoft Entra ID cuida da autenticação para você.
Não há nenhuma opção de administração para impedir que os usuários compartilhem com segurança os documentos com organizações específicas. Por exemplo, você deseja bloquear uma organização em que não confia ou que tenha uma empresa concorrente. Impedir que o serviço do Azure Rights Management envie documentos protegidos aos usuários dessas organizações não faria sentido, pois os usuários podem compartilhar documentos desprotegidos, o que provavelmente é a última coisa que você deseja que ocorra neste cenário. Por exemplo, você não pode identificar quem está compartilhando documentos confidenciais da empresa com os usuários dessas organizações, o que pode ser feito quando o documento (ou email) é protegido pelo serviço Azure Rights Management.
Ao compartilhar um documento protegido com alguém fora da minha empresa, como o usuário é autenticado?
Por padrão, o serviço do Azure Rights Management usa uma conta do Microsoft Entra e um endereço de email associado para autenticação de usuário, o que torna a colaboração entre empresas perfeita para administradores. Se a outra organização usar serviços do Azure, os usuários já têm contas no Microsoft Entra ID, mesmo que essas contas sejam criadas e gerenciadas localmente e, em seguida, sincronizadas no Azure. Se a organização tiver o Microsoft 365, esse serviço também usa o Microsoft Entra ID para as contas de usuário. Se a organização não tiver contas gerenciadas no Azure, os usuários poderão se inscrever no RMS para pessoas físicas, que cria um locatário do Azure não gerenciado e um diretório para a organização com uma conta de usuário, de forma que este usuário (e usuários subsequentes) possa ser autenticado no serviço do Azure Rights Management.
O método de autenticação para essas contas pode variar, dependendo de como o administrador na outra organização configurou as contas do Microsoft Entra. Por exemplo, seria possível usar senhas que foram criadas para essas contas, federação ou senhas que foram criadas nos Active Directory Domain Services e, em seguida, sincronizadas com o Microsoft Entra ID.
Outros métodos de autenticação:
Se você proteger um email com um anexo de documento do Office para um usuário que não tem uma conta Microsoft Entra ID o método de autenticação será alterado. O serviço do Azure Rights Management é federado com alguns provedores de identidade social populares, como Gmail. Se o provedor de email do usuário for compatível, o usuário poderá entrar no serviço e seu provedor de email será responsável por autenticá-lo. Se não houver suporte para o provedor de email do usuário ou for uma preferência, o usuário poderá solicitar uma senha única que o autentica e exibe o email com o documento protegido em um navegador da Web.
A Proteção de Informações do Azure pode usar contas Microsoft para aplicativos com suporte. Atualmente, nem todos os aplicativos podem abrir conteúdo protegido quando uma conta Microsoft é usada para autenticação. Mais informações
Posso adicionar usuários externos (pessoas de fora da minha empresa) aos modelos personalizados?
Sim. As configurações de proteção que você pode definir no Portal do Azure permitem que você adicione permissões a usuários e grupos de fora da sua organização, e inclusive a todos os usuários em outra organização. Pode ser útil consultar o exemplo passo a passo Proteger a colaboração de documentos usando a Proteção de Informações do Azure.
Observe que se você tiver rótulos de Proteção de Informações do Azure, deverá primeiro converter o modelo personalizado em um rótulo antes de configurar essas configurações de proteção no Portal do Azure. Para obter mais informações, confira Configurar e gerenciar modelos da Proteção de Informações do Azure.
Como alternativa, você pode adicionar usuários externos a modelos personalizados (e rótulos) usando o PowerShell. Essa configuração exige que você use um objeto de definição de direitos usado para atualizar seu modelo:
Especifique os endereços de email externos e seus direitos em um objeto de definição de direitos usando o cmdlet New-AipServiceRightsDefinition para criar uma variável.
Forneça essa variável ao parâmetro RightsDefinition com o cmdlet Set-AipServiceTemplateProperty.
Quando você adiciona usuários a um modelo existente, deve definir os objetos de definição de direitos para os usuários existentes nos modelos, além de novos usuários. Para este cenário, você pode achar útil o Exemplo 3: adicionar novos usuários e direitos para um modelo personalizado da seção Exemplos para o cmdlet.
Qual tipo de grupos posso usar com o Azure RMS?
Na maioria dos cenários, você pode usar qualquer tipo de grupo no Microsoft Entra ID que tenha um endereço de email. Esta regra geral sempre se aplica quando você atribui direitos de uso, mas há algumas exceções para administrar o serviço do Azure Rights Management. Para obter mais informações, confira Requisitos da Proteção de Informações do Azure para contas de grupo.
Como envio um email protegido para uma conta do Gmail ou do Hotmail?
Quando você usa o Exchange Online e o serviço do Azure Rights Management, basta enviar o email para o usuário como uma mensagem protegida. Por exemplo, você pode selecionar o novo botão Proteger na barra de comandos no Outlook na Web, usar o botão ou a opção de menu Não Encaminhar do Outlook. Ou, você pode selecionar um rótulo de Proteção de Informações do Azure que aplica automaticamente a opção Não Encaminhar para você e classifica o email.
O destinatário vê uma opção para entrar em sua conta do Gmail, do Yahoo ou da Microsoft e, em seguida, pode ler o email protegido. Como alternativa, ele pode escolher a opção para uma senha única para ler o email em um navegador.
Para dar suporte a esse cenário, o Exchange Online deve estar habilitado para o serviço do Azure Rights Management e os novos recursos de Criptografia de mensagens do Office 365. Para obter mais informações sobre essa configuração, consulte Exchange Online: configuração de IRM.
Para obter mais informações sobre os novos recursos que incluem suporte a todas as contas de email em todos os dispositivos, consulte a seguinte publicação do blog: Announcing new capabilities available in Office 365 Message Encryption (Apresentando novos recursos disponíveis na Criptografia de mensagens do Office 365).
A quais dispositivos e tipos de arquivos o Azure RMS dá suporte?
O serviço do Azure Rights Management pode dar suporte a todos os tipos de arquivos. Para arquivos de texto, de imagem, do Microsoft Office (Word, Excel, PowerPoint), .pdf e para tipos de arquivo de alguns outros aplicativos, o Azure Rights Management oferece proteção nativa que inclui criptografia e aplicação de direitos (permissões). Para todos os outros aplicativos e tipos de arquivo, a proteção genérica oferece encapsulamento de arquivos e autenticação para verificar se um usuário está autorizado a abrir o arquivo.
Para obter uma lista de extensões de nome de arquivo com suporte nativo do Azure Rights Management, veja Tipos de arquivo com suporte no cliente de Proteção de Informações do Azure. As extensões de nome de arquivo não listadas têm suporte através do uso do cliente de Proteção de Informações do Azure, que automaticamente aplica a proteção genérica a esses arquivos.
Ao abrir um documento do Office protegido pelo RMS, o arquivo temporário associado também ficará protegido pelo RMS?
Não. Nesse cenário, o arquivo temporário associado não contém dados do documento original, mas apenas o que o usuário insere enquanto o arquivo está aberto. Ao contrário do arquivo original, o arquivo temporário, obviamente, não se destina a compartilhamento e permanecerá no dispositivo, protegido por controles de segurança locais, como BitLocker e EFS.
Um recurso que estou procurando não parece funcionar com as bibliotecas protegidas do SharePoint — o suporte para meu recurso está planejado?
No momento, o Microsoft SharePoint dá suporte a documentos protegidos pelo RMS usando bibliotecas protegidas pelo IRM, que não dão suporte a modelos do Rights Management, ao acompanhamento de documentos e a algumas outras funcionalidades. Para obter mais informações, confira a seção SharePoint no Microsoft 365 e SharePoint Server no artigo Serviços e aplicativos do Office.
Se você estiver interessado em uma funcionalidade específica para a qual ainda não há suporte, fique atento aos anúncios no blog de Segurança e Mobilidade Corporativa.
Como configurar o OneDrive no SharePoint Online para que os usuários possam compartilhar com segurança seus arquivos com pessoas dentro e fora da empresa?
Por padrão, como um administrador do Microsoft 365, você não configura isto, os usuários o fazem.
Da mesma forma que o administrador de site do SharePoint habilita e configura o IRM para uma biblioteca do SharePoint que ele tem, o OneDrive é criado para os usuários habilitarem e configurarem o IRM para sua própria biblioteca do OneDrive. No entanto, usando o PowerShell, você pode fazer isso por eles. Para obter instruções, consulte SharePoint no Microsoft 365 e OneDrive: configuração do IRM.
Você tem alguma dica ou truque para uma implantação bem-sucedida?
Após supervisionar várias implantações e ouvir nossos clientes, parceiros, consultores e engenheiros de suporte: uma das melhores dicas que podemos passar por experiência é: projetar e implantar políticas simples.
Como a Proteção de Informações do Azure dá suporte ao compartilhamento seguro com qualquer um, você pode se dar ao luxo de ser ambicioso com o alcance da sua proteção de dados. Mas seja conservador ao configurar as restrições de uso de direitos. Para muitas organizações, o maior impacto nos negócios vem da prevenção de vazamento de dados restringindo o acesso às pessoas na organização. Obviamente, é possível se tornar muito mais específico do que isso, se necessário – impedir que as pessoas imprimam, editem, etc. Mas mantenha as restrições mais granulares, como a exceção para documentos que realmente precisam de segurança de alto nível e não implemente esses direitos de uso mais restritos no primeiro dia, apenas planeje uma abordagem mais gradual.
Como podemos recuperar o acesso a arquivos que foram protegidos por um funcionário que saiu da organização?
Use o recurso de superusuário, que concede os direitos de uso de Controle total a usuários autorizados para todos os documentos e emails que são protegidos pelo seu locatário. Superusuários podem sempre ler este conteúdo protegido e, se necessário, remova a proteção ou proteja-o novamente para usuários diferentes. Esse mesmo recurso permite a serviços autorizados criarem índices e inspecionarem arquivos, conforme necessário.
Se o conteúdo estiver armazenado no SharePoint ou no OneDrive, os administradores poderão executar o cmdlet Unlock-SensitivityLabelEncryptedFile para remover o rótulo de confidencialidade e a criptografia. Para obter mais informações, confira a documentação do Microsoft 365.
O Rights Management pode impedir a captura de tela?
Ao não conceder o direito de uso de cópia, o Rights Management pode impedir capturas de tela de muitas das ferramentas de captura de tela comumente usadas em plataformas Windows (Windows 7, Windows 8.1, Windows 10, Windows 10 Mobile e Windows 11). No entanto, os dispositivos iOS, Mac e Android não permitem que nenhum aplicativo impeça capturas de tela. Além disso, navegadores em qualquer dispositivo não podem impedir capturas de tela. O uso de navegador inclui o Outlook na Web e o Office para a Web.
Observação
Em fase de lançamento para o Canal Atual (pré-visualização): no Office para Mac, o Word, o Excel e o PowerPoint (mas não Outlook) agora oferecem suporte ao direito de uso do Rights Management para impedir capturas de tela.
A prevenção de capturas de tela pode ajudar a evitar a divulgação acidental ou negligente de informações confidenciais ou sigilosas. No entanto, há muitas maneiras que um usuário pode compartilhar dados que são exibidos em uma tela e fazer uma captura de tela é apenas um método. Por exemplo, um usuário com intenção de compartilhar informações exibidas pode tirar uma foto delas usando a câmera do celular, digitando os dados novamente ou, simplesmente, retransmitindo-a verbalmente a alguém.
Como esses exemplos demonstram, mesmo se todas as plataformas e todo o software derem suporte às APIs do Rights Management para bloquear as capturas de tela, a tecnologia sozinha nem sempre poderá impedir que os usuários compartilhem dados que não deveriam. O Rights Management pode ajudar a proteger seus dados importantes usando autorização e políticas de uso, mas esta solução de gerenciamento de direitos de empresa deve ser usada com outros controles. Por exemplo, implementar a segurança física, monitorar cuidadosamente as pessoas com acesso autorizado aos dados de sua organização e investir na educação do usuário para que eles entendam quais dados não devem ser compartilhados.
Qual é a diferença entre um usuário proteger um email com Não Encaminhar e um modelo que não inclui o direito de Encaminhar?
Apesar do nome e da aparência, Não Encaminhar não é o oposto do direito de Encaminhar nem é um modelo. Na verdade, trata-se de um conjunto de direitos que inclui restrições para copiar, imprimir e salvar o email fora da caixa de correio, além restrições para o encaminhamento de emails. Os direitos são aplicados dinamicamente aos usuários por meio dos destinatários escolhidos e não estaticamente atribuídos pelo administrador. Para obter mais informações, consulte a seção Opção Não Encaminhar para emails em Configurar os direitos de uso da Proteção de Informações do Azure.
Qual é a diferença entre o FCI do Windows Server e o scanner da Proteção de Informações do Azure?
A Infraestrutura de Classificação de Arquivos do Windows Server tem sido historicamente uma opção para classificar e proteger documentos usando o conector do Rights Management (somente documentos do Office) ou um script do PowerShell (todos os tipos de arquivo).
Agora recomendamos que você use o mecanismo de scanner da Proteção de Informações do Azure. O scanner usa o cliente da Proteção de Informações do Azure e a sua política de Proteção de Informações do Azure para rotular documentos (todos os tipos de arquivo) para que eles sejam classificados e, opcionalmente, protegidos.
As principais diferenças entre estas duas soluções:
FCI do Windows Server | Scanner de Proteção de Informações do Azure | |
---|---|---|
Armazenamento de dados com suporte | Pastas locais no Windows Server | - Compartilhamentos de arquivos do Windows e NAS - SharePoint Server 2016 e SharePoint Server 2013. Também há suporte ao SharePoint Server 2010 para clientes que tenham suporte estendido para essa versão do SharePoint. |
Modo operacional | Mecanismo de | Rastreia sistematicamente os armazenamentos de dados uma ou várias vezes |
Tipos de arquivo com suporte | - Todos os tipos de arquivo são protegidos por padrão - É possível excluir tipos de arquivos específicos da proteção editando o registro |
Suporte para tipos de arquivo: - Tipos de arquivos do Office e documentos PDF são protegidos por padrão - É possível incluir tipos de arquivos adicionais para proteção editando o Registro |