Implantar uma solução de proteção de informações com o Microsoft Purview.

Licenciamento para Segurança e Conformidade do Microsoft 365

Sua estratégia de proteção de informações é orientada pelas necessidades de seus negócios. Muitas organizações devem estar em conformidade com regulamentos, leis e práticas comerciais. Além disso, as organizações precisam proteger informações proprietárias, tais como dados para projetos específicos.

Proteção de Informações do Microsoft Purview (anteriormente Microsoft Proteção de Informações) fornece uma estrutura, processo e recursos que você pode usar para proteger dados confidenciais entre nuvens, aplicativos e dispositivos.

Para ver exemplos de Proteção de Informações do Microsoft Purview em ação, desde a experiência do usuário final até a configuração do administrador, watch o seguinte vídeo:

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Estrutura de Proteção de Informações do Microsoft Purview

Use a Proteção de Informações do Microsoft Purview para ajudá-lo a descobrir, classificar, proteger e controlar informações confidenciais onde quer que elas residam ou trafeguem.

Quanto à governança de dados, consulte Implantar uma solução de governança de dados com o Microsoft Purview.

Licenciamento

Os recursos da Proteção de Informações do Microsoft Purview estão incluídos no Microsoft Purview. Os requisitos de licenciamento podem variar até mesmo nas funcionalidades, dependendo das opções de configuração. Para identificar os requisitos e opções de licenciamento, consulte as Diretrizes do Microsoft 365 para segurança e conformidade.

Conheça seus dados

Saber onde seus dados confidenciais residem geralmente é o maior desafio para muitas organizações. A classificação de dados da Proteção de Informações do Microsoft Purview o ajuda a descobrir e classificar com precisão quantidades cada vez maiores de dados que sua organização cria. As representações gráficas ajudam você a obter insights sobre esses dados para que você possa configurar e monitorar as políticas para protegê-los e governá-los.

Etapa	Descrição	Mais informações
1	Descreva as categorias de informações confidenciais que você deseja proteger. Você já tem uma ideia de quais tipos de informação são mais valiosos para sua organização e quais não são. Trabalhe com as partes interessadas para descrever essas categorias que são seu ponto de partida.	Aprenda sobre os tipos de informações confidenciais Saiba mais sobre classificadores treináveis
2	Descobrir e classificar dados confidenciais. Os dados confidenciais em itens podem ser encontrados usando muitos métodos diferentes que incluem políticas DLP padrão, rotulagem manual por usuários e reconhecimento automatizado de padrões usando tipos de informações confidenciais ou aprendizado de máquina.	Saiba sobre a classificação de dados. Vídeo: Classificação de dados no portal de conformidade do Microsoft Purview
3	Exibir seus itens confidenciais. Use o explorador de conteúdo e o explorador de atividades para uma análise mais profunda de itens confidenciais e as ações que os usuários estão executando nesses itens.	Introdução ao gerenciador de conteúdo Introdução ao gerenciador de atividades

Proteja seus dados

Use as informações para saber onde seus dados confidenciais residem para ajudar você a protegê-los com mais eficiência. No entanto, não há necessidade de aguardar, você pode começar a proteger seus dados imediatamente com uma combinação de rotulagem manual, padrão e automática. Em seguida, use o explorador de conteúdo e o gerenciador de atividades da seção anterior para confirmar quais itens estão sendo rotulados e como seus rótulos estão sendo usados.

Etapa	Descrição	Mais informações
1	Defina seus rótulos de confidencialidade e políticas que protegerão os dados da sua organização. Além de identificar a confidencialidade do conteúdo, esses rótulos podem aplicar ações de proteção, como marcas de conteúdo (cabeçalhos, rodapés, marcas d'água), criptografia e outros controles de acesso. Rótulos de confidencialidade de exemplo: Pessoal Public Geral - Qualquer pessoa (irrestrita) - Todos os funcionários (irrestritos) Confidencial - Qualquer pessoa (irrestrita) - Todos os funcionários - Pessoas confiáveis Altamente Confidencial - Todos os funcionários - Pessoas específico Política de rótulo de confidencialidade de exemplo: 1. Publicar todos os rótulos para todos os usuários no locatário 2. Rótulo padrão de Geral \ Todos os Funcionários (irrestrito) para itens 3. Os usuários devem fornecer uma justificativa para remover um rótulo ou reduzir sua classificação	Introdução ao rótulos de confidencialidade Criar e configurar rótulos de confidencialidade e suas políticas Restringir o acesso ao conteúdo usando rótulos de confidencialidade para aplicar criptografia
2	Rotular e proteger dados para aplicativos e serviços do Microsoft 365. Há suporte para rótulos de confidencialidade para microsoft 365 Word, Excel, PowerPoint, Outlook, reuniões do Teams e também contêineres que incluem sites do SharePoint e OneDrive e grupos do Microsoft 365. Use uma combinação de métodos de rotulagem, tais como rotulagem manual, rotulagem automática, rotulagem padrão e rotulagem obrigatória. Configuração de exemplo para rotulagem automática do lado do cliente: 1. Recomendar Confidencial \ Qualquer pessoa (irrestrita) se 1 a 9 números de cartão de crédito 2. Recomendar Confidencial \ Todos os funcionários se mais de 10 números de cartão de crédito -- experiência típica do usuário final e o usuário seleciona o botão para mostrar conteúdo confidencial (somente Word) Configuração de exemplo para rotulagem automática do lado do serviço: Aplicar a todos os locais (Exchange, SharePoint, OneDrive) 1. Aplicar Confidencial \ Qualquer pessoa (irrestrita) se 1 a 9 números de cartão de crédito 2. Aplicar Confidencial \ Todos os Funcionários se mais de 10 números de cartão de crédito 3. Aplicar Confidencial \ Qualquer pessoa (irrestrita) se 1 a 9 dados pessoais dos EUA e nomes completos 4. Aplicar Confidencial \ Todos os Funcionários se 10 mais dados pessoais e nomes completos dos EUA	Gerenciar rótulos de confidencialidade em aplicativos do Office Habilitar rótulos de confidencialidade para arquivos no SharePoint e no OneDrive Ativar a coautoria para arquivos criptografados com rótulos de sensibilidade Configurar um rótulo de confidencialidade padrão para uma biblioteca de documentos do SharePoint Aplicar um rótulo de confidencialidade automaticamente ao conteúdo Use etiquetas de sensibilidade com o Microsoft Teams, o Microsoft 365 Groups e sites do SharePoint Usar rótulos de confidencialidade para proteger itens de calendário, reuniões do Teams e chat Usar rótulos de confidencialidade para definir o link de compartilhamento padrão para sites e documentos no SharePoint e no OneDrive Aplicar um rótulo de confidencialidade a um modelo em Microsoft Syntex Rótulos de confidencialidade no Power BI
3	Descubra, rotule e proteja itens confidenciais que residem em armazenamentos de dados na nuvem (Box, GSuite, SharePoint e OneDrive) usando Microsoft Defender para Aplicativos de Nuvem com seus rótulos de confidencialidade. Configuração de exemplo para uma política de arquivo: procura números de cartão de crédito em arquivos armazenados em uma conta box e, em seguida, aplica um rótulo de confidencialidade para identificar as informações altamente confidenciais e criptografá-las.	Descobrir, classificar, rotular e proteger dados regulamentados e confidenciais armazenados na nuvem
4	Descubra, rotule e proteja itens confidenciais que residem em armazenamentos de dados no local, implantando o scanner de proteção de informações com seus rótulos de confidencialidade.	Configurar e instalar o scanner de proteção de informações
5	Estenda seus rótulos de confidencialidade para o Azure usando o Mapa de Dados do Microsoft Purview para descobrir e rotular itens no Armazenamento de Blobs do Azure, arquivos do Azure, Azure Data Lake Storage Gen1 e Azure Data Lake Storage Gen12.	Rotulagem no Mapeamento de Dados do Microsoft Purview

Se você for um desenvolvedor que deseja estender os rótulos de confidencialidade para aplicativos de linha de negócios ou aplicativos SaaS de terceiros, consulte configuração e configuração do SDK da Proteção de Informações da Microsoft (MIP).

Funcionalidades de proteção adicionais

O Microsoft Purview inclui recursos adicionais para ajudar a proteger os dados. Nem todo cliente precisa dessas funcionalidades, e algumas podem ser substituídas por lançamentos mais recentes.

Consulte a página Proteger seus dados com o Microsoft Purview para obter a lista completa de recursos de proteção.

Evita a perda de dados

Implante políticas de Prevenção Contra a Perda de Dados (DLP) para controlar e impedir o compartilhamento, a transferência ou o uso inapropriado de dados confidenciais entre aplicativos e serviços. Essas políticas ajudam os usuários a tomarem as decisões e executarem as ações certas ao usar dados confidenciais.

Etapa	Descrição	Mais informações
1	Saiba mais sobre a DLP. As organizações têm informações confidenciais sob seu controle, como dados financeiros, dados proprietários, números de cartão de crédito, registros de integridade e números de segurança social. Para ajudar a proteger esses dados confidenciais e reduzir o risco, eles precisam de uma maneira de impedir que seus usuários os compartilhem inadequadamente com pessoas que não deveriam tê-los. Essa prática é chamada de prevenção contra perda de dados (DLP).	Saiba mais sobre prevenção contra perda de dados
2	Planejar sua implementação de DLP. Cada organização planejará e implementará a prevenção contra perda de dados (DLP) de maneira diferente, porque as necessidades, os objetivos, os recursos e a situação de negócios de cada organização são exclusivos para elas. No entanto, há elementos que são comuns a todas as implementações bem-sucedidas de DLP.	Plano de prevenção contra perda de dados
3	Projetar e criar uma política DLP. Criar uma política de prevenção contra perda de dados (DLP) é rápido e fácil, mas obter uma política para produzir os resultados pretendidos pode ser demorado se você precisar fazer muitos ajustes. Ter tempo para criar uma política antes de implementá-la leva você aos resultados desejados mais rapidamente e com menos problemas não intencionais do que ajustar apenas por tentativa e erro. Configuração de exemplo para uma política DLP: impede que emails sejam enviados se eles contiverem números de cartão de crédito ou o email tiver um rótulo de confidencialidade específico que identifica informações altamente confidenciais.	Criar uma política DLP Referência da política DLP Criar e gerenciar políticas de prevenção contra perda de dados
4	Ajuste suas políticas DLP. Depois de implantar uma política DLP, você verá o quão bem ela atende à finalidade pretendida. Use essas informações para ajustar suas configurações de política para melhorar o desempenho.	Criar e gerenciar políticas de prevenção contra perda de dados

Estratégias de implantação

Os exemplos de número de cartão de crédito geralmente são úteis para testes iniciais e educação do usuário final. Mesmo que sua organização normalmente não precise proteger números de cartão de crédito, o conceito de serem itens confidenciais que precisam de proteção é facilmente compreendido pelos usuários. Muitos sites fornecem números de cartão de crédito adequados apenas para fins de teste. Você também pode pesquisar sites que fornecem geradores de número de cartão de crédito para que você possa colar os números em documentos e emails.

Quando estiver pronto para mover suas políticas automáticas de rotulagem e DLP para produção, altere para classificadores e configurações adequadas para o tipo de dados usados pela sua organização. Por exemplo, talvez seja necessário usar classificadores treináveis para propriedade intelectual e tipos específicos de documentos ou tipos exatos de informações confidenciais (EDM) para dados de privacidade relacionados a clientes ou funcionários.

Ou talvez você queira começar descobrindo e protegendo informações relacionadas à TI que são frequentemente alvo de ataques de segurança. Em seguida, complemente isso verificando e impedindo o compartilhamento de senhas com políticas DLP para email e chat do Teams:

• Usar os classificadores de TI e infra de TI e documentos de segurança de rede
• Use o tipo de informação confidencial interno Senha geral e crie um tipo de informação confidencial personalizado para "senha é" para os diferentes idiomas usados por seus usuários

Implantar uma solução de proteção de informações não é uma implantação linear, mas iterativa e, muitas vezes, circular. Quanto mais você conhece seus dados, mais precisamente você pode rotulá-los e evitar o vazamento de dados. Os resultados desses rótulos e políticas aplicados fluem para a classificação de dados dashboard e ferramentas, o que, por sua vez, torna os dados mais confidenciais visíveis para você proteger. Ou, se você já estiver protegendo esses dados confidenciais, considere se ele requer ações de proteção adicionais.

Você pode começar a rotular dados manualmente assim que definir rótulos de confidencialidade. Os mesmos classificadores que você usa para DLP podem ser usados para localizar e rotular automaticamente mais dados. Você pode até usar rótulos de confidencialidade como um classificador, por exemplo, bloquear itens de compartilhamento que são rotulados como altamente confidenciais.

A maioria dos clientes já tem algumas soluções em vigor para proteger seus dados. Sua estratégia de implantação pode ser criar sobre o que você já tem ou se concentrar em lacunas que oferecem mais valor comercial ou aborda áreas de alto risco.

Para ajudar você a planejar sua estratégia de implantação exclusiva, referencie Introdução a rótulos de confidencialidade e Planejar para prevenção contra perda de dados.

Considere uma implantação em fases

Você pode preferir implantar a proteção de informações usando uma implantação em fases que implementa controles progressivamente restritivos. Essa abordagem apresenta gradualmente novas medidas de proteção para os usuários à medida que você ganha familiaridade e confiança com a tecnologia. Por exemplo:

• Desde rótulos padrão e sem criptografia, até recomendar rótulos que aplicam criptografia quando dados confidenciais são encontrados e, em seguida, aplicar automaticamente rótulos quando dados confidenciais são encontrados.
• Políticas DLP que avançam da auditoria de ações de compartilhamento excessivo, para bloqueio mais restritivo com aviso para instruir usuários e, em seguida, bloquear todo o compartilhamento.

Os detalhes dessa implantação em fases podem se parecer com o plano a seguir, em que rótulos de confidencialidade e políticas DLP se tornam mais integrados entre si para fornecer maior proteção de dados do que se fossem usados de forma independente:

Fase 1

Configurações do rótulo de confidencialidade:

• Geral\Todos os Funcionários: rótulo padrão para email. Sem criptografia. Se aplicado em emails, bloqueie os usuários do compartilhamento excessivo.
• Confidencial\Todos os Funcionários: rótulo padrão para documentos. Sem criptografia. Se aplicado em emails, bloqueie os usuários do compartilhamento excessivo.
• Altamente confidencial\todos os funcionários: sem criptografia. Se aplicado em emails, bloqueie os usuários do compartilhamento excessivo.

Política DLP A:

• Se forem encontradas 1 a 2 instâncias de cartões de crédito, bloqueie o compartilhamento externo, exceto se o item for rotulado como Pessoal ou Confidencial\Alguém (irrestrito). Use log e relatórios para análise.

Política de DLP B:

• Se forem encontradas 3 a 9 instâncias de cartões de crédito, bloqueie o compartilhamento externo, a saída da nuvem e copie para unidades removíveis, exceto se o item for rotulado como Confidential\Anyone (irrestrito). Use log e relatórios para análise.

Política DLP C:

• Se mais de 10 instâncias de cartões de crédito forem encontradas, bloqueie o compartilhamento externo, a saída da nuvem e copie para unidades removíveis sem exceções. Use log e relatórios para análise.

Fase 2

Configurações do rótulo de confidencialidade:

• Geral\Todos os Funcionários: rótulo padrão para email. Sem criptografia. Se aplicado em emails, bloqueie os usuários do compartilhamento excessivo.
• Confidencial\Todos os Funcionários: rótulo padrão para documentos. Criptografia com Controle Total para todos os funcionários. Se aplicado em emails, bloqueie os usuários do compartilhamento excessivo.
• Confidential\Trusted Pessoas: Criptografia que permite que os usuários atribuam permissões com Encrypt-Only para o Outlook e solicita aos usuários em Word, PowerPoint e Excel. Se aplicado em emails, exiba a dica de ferramenta DLP para avisar os usuários de que usuários não autorizados não poderão ler o email.
• Altamente confidencial\todos os funcionários: criptografia com controle total para todos os funcionários. Se aplicado em emails, bloqueie os usuários do compartilhamento excessivo. Recomende o rótulo se 3 a 9 instâncias de cartões de crédito forem encontradas com alta confiança ou mais 10 instâncias de cartões de crédito forem encontradas com baixa confiança.

Política DLP A:

• Se forem encontradas 1 a 2 instâncias de cartões de crédito, bloqueie o compartilhamento externo, exceto se o item for rotulado como Pessoal ou Confidencial\Alguém (irrestrito). Envie um alerta sobre ações repetidas em um curto período de tempo.

Política de DLP B:

• Se forem encontradas 3 a 9 instâncias de cartões de crédito, bloqueie o compartilhamento externo, a saída da nuvem e copie para unidades removíveis, exceto se o item for rotulado como Confidential\Anyone (irrestrito). Enviar alerta sobre ações repetidas ao longo do tempo.

Política DLP C:

• Se mais de 10 instâncias de cartões de crédito forem encontradas, bloqueie o compartilhamento externo, a saída da nuvem e copie para unidades removíveis sem exceções. Relatório sobre cada ação individual.

Fase 3

Configurações do rótulo de confidencialidade:

• Geral\Todos os Funcionários: rótulo padrão para email. Sem criptografia. Se aplicado em emails, bloqueie os usuários do compartilhamento excessivo.
• Confidencial\Todos os Funcionários: sub-rótulo padrão para o rótulo pai, Confidencial. Criptografia com todos os direitos de uso, exceto Exportar e Controle Total para todos os funcionários. Criptografia com direitos de uso do Controle Total aos gerentes. Recomende o rótulo se 1 a 9 instâncias de cartões de crédito forem encontradas com baixa confiança.
• Confidential\Trusted Pessoas: Criptografia que permite que os usuários atribuam permissões com Encrypt-Only para o Outlook e solicita aos usuários em Word, PowerPoint e Excel. Se aplicado em emails, exiba a dica de ferramenta DLP para avisar os usuários de que usuários não autorizados não poderão ler o email.
• Altamente confidencial\todos os funcionários: criptografia com todos os direitos de uso, exceto Exportar e Controle Total para todos os funcionários. Criptografia com direitos de uso do Controle Total aos gerentes. Recomende o rótulo se 1 a 9 instâncias de cartões de crédito forem encontradas com baixa confiança. Se aplicado em emails, bloqueie os usuários do compartilhamento excessivo. Aplique automaticamente o rótulo se 3 a 9 instâncias de cartões de crédito forem encontradas com alta confiança ou mais 10 instâncias de cartões de crédito forem encontradas com baixa confiança.
• Pessoas Altamente Confidencial\Específico: Criptografia que permite que os usuários atribuam permissões com Não encaminhar para o Outlook e solicita aos usuários em Word, PowerPoint e Excel. Exceção para todas as regras de bloqueio DLP.

Política DLP A:

• Se forem encontradas 1 a 2 instâncias de cartões de crédito, bloqueie o compartilhamento externo, exceto se o item for rotulado como Pessoal, Confidencial\Confiável Pessoas ou Altamente Confidencial\Específico Pessoas. Envie um alerta sobre ações repetidas em um curto período de tempo.

Política de DLP B:

• Se forem encontradas 3 a 9 instâncias de cartões de crédito, bloqueie o compartilhamento externo, a saída da nuvem e copie para unidades removíveis, exceto se o item for rotulado como Confidential\Anyone (irrestrito) ou Altamente Confidencial\Específico Pessoas. Enviar alerta sobre ações repetidas ao longo do tempo.

Política DLP C:

• Se mais de 10 instâncias de cartões de crédito forem encontradas, bloqueie o compartilhamento externo, a saída da nuvem e copie para unidades removíveis sem exceções. Relatório sobre cada ação individual.

DLP policy D:

• Se os rótulos de confidencialidade de General\All Employees, Confidential\All Employees ou Highly Confidential\All Employees bloquearem o compartilhamento externo com dica de política e sem exceções.

Detalhes de configuração para este exemplo de implantação em fases:

• Subrótulo padrão para um rótulo primário
• Referência de ações e condições do Exchange de prevenção contra perda de dados
• Níveis de confiança e outros elementos de um tipo de confidencialidade
• Usar rótulos de confidencialidade como condições nas políticas DLP
• Criptografia que permite que os usuários atribuam permissões
• Criptografia para direitos de uso específicos
• Configurar e exibir alertas para políticas de prevenção contra perda de dados

Recursos de treinamento

Guias interativos: Proteção de Informações do Microsoft Purview

Módulos de aprendizado para consultores e administradores:

• Introdução à proteção de informações e ao gerenciamento do ciclo de vida de dados do Microsoft Purview
• Classificar dados para proteção e governança
• Proteger informações no Microsoft Purview
• Evitar perda de dados no Microsoft Purview

Para ajudar a treinar seus usuários para aplicar e usar os rótulos de confidencialidade que você configurou para eles, consulte a Documentação do usuário final para rótulos de confidencialidade.

Ao implantar políticas de prevenção contra perda de dados para o Teams, você pode achar as diretrizes do usuário final úteis como uma introdução a essa tecnologia. Ele inclui algumas mensagens potenciais que os usuários podem ver: mensagens do Teams sobre DLP (prevenção contra perda de dados) e políticas de conformidade de comunicação.