Habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive

Diretrizes de licenciamento do Microsoft 365 para segurança e conformidade.

Habilite a rotulagem interna para arquivos do Office com suporte no SharePoint e no OneDrive para que os usuários possam aplicar seus rótulos de confidencialidade Office para a Web. Quando esse recurso estiver habilitado, os usuários verão o botão Confidencialidade na faixa de opções para que possam aplicar rótulos e ver qualquer nome de rótulo aplicado na barra de status.

Habilitar esse recurso também faz com que o SharePoint e o OneDrive possam processar o conteúdo dos arquivos do Office que foram criptografados usando um rótulo de confidencialidade. O rótulo pode ser aplicado no Office para a Web ou em aplicativos da área de trabalho do Office e carregados ou salvos no SharePoint e no OneDrive. Até que você habilite esse recurso, esses serviços não poderão processar arquivos criptografados, o que significa que a coautoria, a Descoberta Eletrônica, a prevenção contra perda de dados do Microsoft Purview, a pesquisa e outros recursos colaborativos não funcionarão para esses arquivos.

Depois de habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive, para arquivos novos e alterados que têm um rótulo de confidencialidade que aplica criptografia com uma chave baseada em nuvem (e não usa Criptografia de Chave Dupla:

  • Para arquivos do Word, Excel e PowerPoint, o SharePoint e o OneDrive reconhecem o rótulo e agora podem processar o conteúdo do arquivo criptografado.

  • Quando os usuários baixam ou acessam esses arquivos do SharePoint ou do OneDrive, o rótulo de confidencialidade e as configurações de criptografia do rótulo são impostos e permanecem com o arquivo, onde quer que ele esteja armazenado. Certifique-se de fornecer orientações do usuário para usar apenas rótulos para proteger documentos. Para obter mais informações, consulte opções de GERENCIAMENTO de Direitos de Informação (IRM) e rótulos de confidencialidade.

  • Quando os usuários carregam arquivos rotulados e criptografados no SharePoint ou no OneDrive, eles devem ter pelo menos direitos de exibição para esses arquivos. Por exemplo, eles podem abrir os arquivos fora do SharePoint. Se eles não tiverem esse direito de uso mínimo, o upload será bem-sucedido, mas o serviço não reconhecerá o rótulo e não poderá processar o conteúdo do arquivo.

  • Use Office para a Web (Word, Excel, PowerPoint) para abrir e editar arquivos do Office que têm rótulos de confidencialidade que aplicam criptografia. As permissões que foram atribuídas com a criptografia são impostas. Você também pode usar a rotulagem automática para esses documentos.

  • Os usuários externos podem acessar documentos rotulados com criptografia usando contas de convidado. Para obter mais informações, consulte Suporte para usuários externos e conteúdo rotulado.

  • Office 365 Descoberta Eletrônica dá suporte à pesquisa de texto completo para esses arquivos e políticas de prevenção contra perda de dados (DLP) dão suporte ao conteúdo nesses arquivos.

Observação

Se a criptografia tiver sido aplicada com uma chave local (uma topologia de gerenciamento de chaves geralmente conhecida como "mantenha sua própria chave" ou HYOK) ou usando a Criptografia de Chave Dupla, o comportamento do serviço para processar o conteúdo do arquivo não será alterado. Portanto, para esses arquivos, a coautoria, a Descoberta Eletrônica, a prevenção contra perda de dados, a pesquisa e outros recursos colaborativos não funcionarão.

O comportamento do SharePoint e do OneDrive também não muda para arquivos existentes nesses locais que são rotulados com criptografia usando uma única chave baseada no Azure. Para que esses arquivos se beneficiem dos novos recursos depois que você habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive, os arquivos devem ser baixados e carregados novamente ou editados.

Depois de habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive, três novos eventos de auditoria estarão disponíveis para monitorar rótulos de confidencialidade aplicados a documentos no SharePoint e no OneDrive:

  • Rótulo de sensibilidade aplicado ao site
  • Rótulo de sensibilidade alterado aplicado ao arquivo
  • Rótulo de sensibilidade removido do site

Assista ao seguinte vídeo (sem áudio) para ver os novos recursos em ação:

Você sempre tem a opção de desabilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive (recusar) a qualquer momento.

Se você estiver atualmente protegendo documentos no SharePoint usando o Gerenciamento de Direitos de Informação do SharePoint (IRM), verifique a seção gerenciamento de direitos de informação do SharePoint (IRM) e rótulos de confidencialidade nesta página.

Requisitos

Esses novos recursos funcionam apenas com rótulos de confidencialidade . Se você tiver rótulos do Azure Proteção de Informações, primeiro migre-os para rótulos de confidencialidade para que você possa habilitar esses recursos para novos arquivos carregados. Para obter instruções, consulteComo migrar os rótulos de Proteção de Informações do Azure para rótulos de confidencialidade unificada.

Use o aplicativo Sincronização do OneDrive versão 19.002.0121.0008 ou posterior no Windows e a versão 19.002.0107.0008 ou posterior no Mac. Essas duas versões foram lançadas em 28 de janeiro de 2019 e atualmente são lançadas para todos os anéis. Para obter mais informações, consulte as notas de versão do OneDrive. Depois de habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive, os usuários que executam uma versão mais antiga do aplicativo de sincronização serão solicitados a atualizá-lo.

Limitações

  • O SharePoint e o OneDrive não podem processar alguns arquivos rotulados e criptografados de aplicativos da área de trabalho do Office quando esses arquivos contêm dados do PowerQuery, dados armazenados por suplementos personalizados ou partes XML personalizadas, como Propriedades da Página de Rosto, esquemas de tipo de conteúdo, Painel de Informações do Documento personalizado e XSN Personalizado. Essa limitação também se aplica a arquivos que incluem uma bibliografia e a arquivos que têm uma ID de documento adicionada quando são carregados.

    Para esses arquivos, aplique um rótulo sem criptografia para que eles possam ser abertos posteriormente no Office na Web ou instrua os usuários a abrirem os arquivos em seus aplicativos da área de trabalho. Os arquivos rotulados e criptografados somente Office na Web não são afetados.

  • O SharePoint e o OneDrive não aplicam automaticamente rótulos de confidencialidade a arquivos existentes que você já criptografou usando rótulos Proteção de Informações Azure. Em vez disso, para que os recursos funcionem depois que você habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive, conclua estas tarefas:

    1. Verifique se você migrou os rótulos de Proteção de Informações do Azure para rótulos de confidencialidade e os publicou do portal de conformidade do Microsoft Purview.
    2. Baixe os arquivos rotulados e carregue-os no local original no SharePoint ou no OneDrive.
  • O SharePoint e o OneDrive não podem processar arquivos criptografados quando o rótulo que aplicou a criptografia tem qualquer uma das seguintes configurações para criptografia:

    • Permitir que os usuários atribuam permissões quando aplicarem o rótulo e a caixa de seleção no Word, PowerPoint e Excel, solicitar que os usuários especifiquem as permissões está selecionada. Às vezes, essa configuração é conhecida como "permissões definidas pelo usuário".

    • O acesso do usuário ao conteúdo expira é definido como um valor diferente de Nunca.

    • Criptografia de Chave Dupla é selecionada.

      Para rótulos com qualquer uma dessas configurações de criptografia, os rótulos não são exibidos aos usuários no Office para a Web. Além disso, os novos recursos não podem ser usados com documentos rotulados que já têm essas configurações de criptografia. Por exemplo, esses documentos não serão retornados nos resultados da pesquisa, mesmo que sejam atualizados.

  • Por motivos de desempenho, quando você carrega ou salva um documento no SharePoint e o rótulo do arquivo não aplica criptografia, a coluna Confidencialidade na biblioteca de documentos pode demorar um pouco para exibir o nome do rótulo. Fatore esse atraso se você usar scripts ou automação que dependem do nome do rótulo nesta coluna.

  • Se um documento for rotulado enquanto estiver com check-out no SharePoint, a coluna Confidencialidade na biblioteca de documentos não exibirá o nome do rótulo até que o documento seja verificado e aberto em seguida no SharePoint.

  • Se um documento rotulado e criptografado for baixado do SharePoint ou do OneDrive por um aplicativo ou serviço que usa um nome de entidade de serviço e, em seguida, carregado novamente com um rótulo que aplica configurações de criptografia diferentes, o upload falhará. Um cenário de exemplo é Microsoft Defender para Aplicativos de Nuvem um rótulo de confidencialidade em um arquivo de Confidencial para Altamente Confidencial ou de Confidencial para Geral.

    O upload não falhará se o aplicativo ou o serviço executar primeiro o cmdlet Unlock-SPOSensitivityLabelEncryptedFile, conforme explicado na seção Remover criptografia de um documento rotulado. Ou, antes do upload, o arquivo original é excluído ou o nome do arquivo é alterado.

  • Os usuários podem ter atrasos na capacidade de abrir documentos criptografados no seguinte cenário Salvar como: usando uma versão da área de trabalho do Office, um usuário escolhe Salvar como para um documento que tem um rótulo de confidencialidade que aplica criptografia. O usuário seleciona o SharePoint ou o OneDrive para o local e, em seguida, tenta imediatamente abrir esse documento no Office para a Web. Se o serviço ainda estiver processando a criptografia, o usuário verá uma mensagem informando que o documento deve ser aberto em seu aplicativo da área de trabalho. Se eles tentarem novamente em alguns minutos, o documento será aberto com êxito Office para a Web.

  • Para documentos criptografados, não há suporte para impressão Office para a Web.

  • Para documentos criptografados no Office para a Web, a cópia para a área de transferência e as capturas de tela não são impedidas. Para obter mais informações, consulte O Rights Management pode impedir capturas de tela?

  • Por padrão, os aplicativos da área de trabalho do Office e os aplicativos móveis não dão suporte à coautoria para arquivos rotulados com criptografia. Esses aplicativos continuam a abrir arquivos rotulados e criptografados no modo de edição exclusivo.

    Observação

    A coautoria agora tem suporte para Windows e macOS e em versão prévia para iOS e Android. Para obter mais informações, consulte Habilitar a coautoria para arquivos criptografados com rótulos de confidencialidade.

  • Se um administrador alterar as configurações de um rótulo publicado que já foi aplicado aos arquivos baixados para o cliente de sincronização dos usuários, os usuários poderão não conseguir salvar as alterações feitas no arquivo na pasta sincronização do OneDrive. Esse cenário se aplica a arquivos rotulados com criptografia e também quando a alteração de rótulo é de um rótulo que não aplicou criptografia a um rótulo que aplica criptografia. Os usuários veem um círculo vermelho com um erro de ícone cruzado branco e são solicitados a salvar novas alterações como uma cópia separada. Em vez disso, eles podem fechar e reabrir o arquivo ou usar Office para a Web.

  • Os usuários podem ter problemas de salvamento depois de ficar offline ou em um modo de sono quando, em vez de usar o Office para a Web, eles usam os aplicativos móveis e de área de trabalho para Word, Excel ou PowerPoint. Para esses usuários, quando eles retomam a sessão de aplicativo do Office e tentam salvar as alterações, eles veem uma mensagem de falha de upload com a opção de salvar uma cópia em vez de salvar o arquivo original.

  • Os documentos que foram criptografados das seguintes maneiras não podem ser abertos Office para a Web:

    • Criptografia que usa uma chave local ("mantenha sua própria chave" ou HYOK)
    • Criptografia que foi aplicada usando a Criptografia de Chave Dupla
    • Criptografia que foi aplicada independentemente de um rótulo, por exemplo, aplicando diretamente um modelo de proteção do Rights Management.
  • Não há suporte para rótulos configurados para outros idiomas e exibem apenas o idioma original.

  • Se você excluir um rótulo que foi aplicado a um documento no SharePoint ou no OneDrive, em vez de remover o rótulo da política de rótulo aplicável, o documento quando baixado não será rotulado ou criptografado. Em comparação, se o documento rotulado estiver armazenado fora do SharePoint ou do OneDrive, o documento permanecerá criptografado se o rótulo for excluído. Observe que, embora você possa excluir rótulos durante uma fase de teste, é muito raro excluir um rótulo em um ambiente de produção.

Como habilitar rótulos de confidencialidade para o SharePoint e o OneDrive (aceitação)

Você pode habilitar os novos recursos usando o portal de conformidade do Microsoft Purview ou usando o PowerShell. Consulte as seções a seguir para obter instruções.

Assim como acontece com todas as alterações de configuração no nível do locatário para o SharePoint e o OneDrive, leva cerca de 15 minutos para que a alteração entre em vigor.

Use o portal de conformidade do Microsoft Purview para habilitar o suporte para rótulos de confidencialidade

Essa opção é a maneira mais fácil de habilitar rótulos de confidencialidade para o SharePoint e o OneDrive, mas você deve entrar como um administrador global para seu locatário.

  1. Entre no portal de conformidade do Microsoft Purview como administrador global e navegue até Rótulos > de Proteção de Informações de > Soluções

  2. Se você vir uma mensagem para ativar a capacidade de processar conteúdo em arquivos online do Office, selecione Ativar agora:

    Ative o botão Agora para habilitar rótulos de confidencialidade para o Office Online.

    O comando é executado imediatamente e, quando a página for atualizada em seguida, você não verá mais a mensagem ou o botão.

Observação

Se você tiver o Microsoft 365 Multi-Geo, deverá usar o PowerShell para habilitar esses recursos para todas as localizações geográficas. Veja mais detalhes na próxima seção.

Usar o PowerShell para habilitar o suporte a rótulos de confidencialidade

Como alternativa ao uso do portal de conformidade do Microsoft Purview, você pode habilitar o suporte para rótulos de confidencialidade usando o cmdlet Set-SPOTenant do PowerShell do SharePoint Online.

Se você tiver o Microsoft 365 Multi-Geo, deverá usar o PowerShell para habilitar esse suporte para todas as localizações geográficas.

Preparar o Shell de Gerenciamento do SharePoint Online

Antes de executar o comando do PowerShell para habilitar rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive, verifique se você está executando o Shell de Gerenciamento do SharePoint Online versão 16.0.19418.12000 ou posterior. Se você já tiver a versão mais recente, poderá pular para o próximo procedimento para executar o comando do PowerShell.

  1. Se você tiver instalado uma versão anterior do Shell de Gerenciamento do SharePoint Online na galeria do PowerShell, poderá atualizar o módulo executando o cmdlet a seguir.

    Update-Module -Name Microsoft.Online.SharePoint.PowerShell
    
  2. Como alternativa, se você tiver instalado uma versão anterior do Shell de Gerenciamento do SharePoint Online do Centro de Download da Microsoft, também poderá ir para Adicionar ou remover programas e desinstalar o Shell de Gerenciamento do SharePoint Online.

  3. Em um navegador da Web, acesse a página do centro de download e Baixe o Shell de gerenciamento do SharePoint Online mais recente.

  4. Escolha o idioma e clique em Salvar.

  5. Escolha entre o arquivo .msi x64 e x86. Baixe o arquivo x64 se você executar a versão de 64 bits do Windows ou o arquivo x86 se executar a versão de 32 bits. Se você não sabe, veja qual versão do sistema operacional Windows estou executando?

  6. Depois de baixar o arquivo, execute o arquivo e siga as etapas no Assistente de Instalação.

Execute o comando do PowerShell para habilitar o suporte a rótulos de confidencialidade

Para habilitar os novos recursos, use o cmdlet Set-SPOTenant com o parâmetro EnableAIPIntegration :

  1. Usando uma conta corporativa ou de estudante que tenha privilégios de administrador global ou administrador do SharePoint no Microsoft 365, conecte-se ao SharePoint. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.

    Observação

    Se você tiver o Microsoft 365 Multi-Geo, use o parâmetro -URL com Connect-SPOService e especifique a URL do site do Centro de Administração do SharePoint Online para uma de suas localizações geográficas.

  2. Execute o seguinte comando e pressione Y para confirmar:

    Set-SPOTenant -EnableAIPIntegration $true
    
  3. Para o Microsoft 365 Multi-Geo: repita as etapas 1 e 2 para cada uma das localizações geográficas restantes.

Publicar e alterar rótulos de confidencialidade

Ao usar rótulos de confidencialidade com o SharePoint e o OneDrive, tenha em mente que você precisa permitir o tempo de replicação ao publicar novos rótulos de confidencialidade ou atualizar os rótulos de confidencialidade existentes. Isso é especialmente importante para novos rótulos que aplicam criptografia.

Por exemplo: você cria e publica um novo rótulo de confidencialidade que aplica criptografia e aparece muito rapidamente no aplicativo da área de trabalho de um usuário. O usuário aplica esse rótulo a um documento e o carrega no SharePoint ou no OneDrive. Se a replicação de rótulo não tiver sido concluída para o serviço, os novos recursos não serão aplicados a esse documento no upload. Como resultado, o documento não será retornado na pesquisa ou na Descoberta Eletrônica e o documento não poderá ser aberto no Office para a Web.

Para obter mais informações sobre o tempo dos rótulos, confira Quando esperar que novos rótulos e alterações entrem em vigor.

Como garantia, recomendamos publicar novos rótulos para apenas alguns usuários de teste primeiro, aguardar pelo menos uma hora e, em seguida, verificar o comportamento do rótulo no SharePoint e no OneDrive. Aguarde pelo menos um dia antes de disponibilizar o rótulo para mais usuários adicionando mais usuários à política de rótulo existente ou adicionando o rótulo a uma política de rótulo existente para seus usuários padrão. Quando os usuários padrão veem o rótulo, ele já foi sincronizado com o SharePoint e o OneDrive.

Gerenciamento de Direitos de Informação do SharePoint (IRM) e rótulos de confidencialidade

O IRM (Gerenciamento de Direitos de Informação) do SharePoint é uma tecnologia mais antiga para proteger arquivos no nível de lista e biblioteca aplicando criptografia e restrições quando os arquivos são baixados. Essa tecnologia de proteção mais antiga foi projetada para impedir que usuários não autorizados abram o arquivo enquanto ele está fora do SharePoint.

Em comparação, os rótulos de confidencialidade fornecem as configurações de proteção de marcações visuais (cabeçalhos, rodapés, marcas d'água) além da criptografia. As configurações de criptografia dão suporte à gama completa de direitos de uso para restringir o que os usuários podem fazer com o conteúdo e os mesmos rótulos de confidencialidade têm suporte em muitos cenários. Usar o mesmo método de proteção com configurações consistentes entre cargas de trabalho e aplicativos resulta em uma estratégia de proteção consistente.

No entanto, você pode usar as duas soluções de proteção juntas e o comportamento é o seguinte:

  • Se você carregar um arquivo com um rótulo de confidencialidade que aplica criptografia, o SharePoint não poderá processar o conteúdo desses arquivos, portanto, não há suporte para coautoria, Descoberta Eletrônica, DLP e pesquisa para esses arquivos.

  • Se você rotular um arquivo usando Office para a Web, todas as configurações de criptografia do rótulo serão impostas. Para esses arquivos, há suporte para coautoria, Descoberta Eletrônica, DLP e pesquisa.

  • Se você baixar um arquivo rotulado usando Office para a Web, o rótulo será retido e todas as configurações de criptografia do rótulo serão impostas em vez das configurações de restrição de IRM.

  • Se você baixar um arquivo do Office ou PDF que não está criptografado com um rótulo de confidencialidade, as configurações de IRM serão aplicadas.

  • Se você tiver habilitado qualquer uma das configurações adicionais da biblioteca irM, que incluem impedir que os usuários carreguem documentos que não dão suporte ao IRM, essas configurações serão impostas.

Com esse comportamento, você pode ter certeza de que todos os arquivos do Office e PDF serão protegidos contra acesso não autorizado se forem baixados, mesmo se não estiverem rotulados. No entanto, os arquivos rotulados carregados não se beneficiarão dos novos recursos.

Pesquisar documentos por rótulo de confidencialidade

Use a propriedade gerenciada InformationProtectionLabelId para localizar todos os documentos no SharePoint ou no OneDrive que tenham um rótulo de confidencialidade específico. Use a seguinte sintaxe: InformationProtectionLabelId:<GUID>

Por exemplo, para pesquisar todos os documentos que foram rotulados como "Confidencial" e esse rótulo tem um GUID de "8faca7b8-8d20-48a3-8ea2-0f96310a848e", na caixa de pesquisa, digite:

InformationProtectionLabelId:8faca7b8-8d20-48a3-8ea2-0f96310a848e

A pesquisa não encontrará documentos rotulados em um arquivo compactado, como um .zip arquivo.

Para obter os GUIDs dos rótulos de confidencialidade, use o cmdlet Get-Label :

  1. Primeiro, conecte-se ao PowerShell Office 365 segurança & conformidade.

    Por exemplo, em uma sessão do PowerShell que você executa como administrador, entre com uma conta de administrador global.

  2. Em seguida, execute o seguinte comando:

    Get-Label |ft Name, Guid
    

Para obter mais informações sobre como usar propriedades gerenciadas, consulte Gerenciar o esquema de pesquisa no SharePoint.

Remover a criptografia de um documento rotulado

Pode haver ocasiões raras em que um administrador do SharePoint precisa remover a criptografia de um documento armazenado no SharePoint. Qualquer usuário que tenha o direito de uso rights management de Exportação ou Controle Total atribuído a ele para esse documento pode remover a criptografia que foi aplicada pelo serviço Azure Rights Management do Azure Proteção de Informações. Por exemplo, os usuários com qualquer um desses direitos de uso podem substituir um rótulo que aplica criptografia por um rótulo sem criptografia. Um superusu usuário também pode baixar o arquivo e salvar uma cópia local sem a criptografia.

Como alternativa, um administrador global ou administrador do SharePoint pode executar o cmdlet Unlock-SPOSensitivityLabelEncryptedFile , que remove o rótulo de confidencialidade e a criptografia. Esse cmdlet é executado mesmo que o administrador não tenha permissões de acesso ao site ou ao arquivo ou se o serviço Azure Rights Management não estiver disponível.

Por exemplo:

Unlock-SPOSensitivityLabelEncryptedFile -FileUrl "https://contoso.com/sites/Marketing/Shared Documents/Doc1.docx" -JustificationText "Need to decrypt this file"

Requisitos:

  • Shell de Gerenciamento do SharePoint Online versão 16.0.20616.12000 ou posterior.

  • A criptografia foi aplicada por um rótulo de confidencialidade com configurações de criptografia definidas pelo administrador (agora as configurações de rótulo atribuir permissões). Não há suporte para a Criptografia de Chave Dupla neste cmdlet.

O texto de justificativa é adicionado ao evento de auditoria do rótulo de confidencialidade Removido do arquivo, e a ação de descriptografia também é registrada no log de uso de proteção para o Azure Proteção de Informações.

Como desabilitar rótulos de confidencialidade para o SharePoint e o OneDrive (recusar)

Se você desabilitar esses novos recursos, os arquivos que você carregou depois de habilitar os rótulos de confidencialidade para o SharePoint e o OneDrive continuarão protegidos pelo rótulo porque as configurações de rótulo continuam a ser impostas. Quando você aplica rótulos de confidencialidade a novos arquivos depois de desabilitar esses novos recursos, a pesquisa de texto completo, a Descoberta Eletrônica e a coautoria não funcionarão mais.

Para desabilitar esses novos recursos, você deve usar o PowerShell. Usando o Shell de Gerenciamento do SharePoint Online e o cmdlet Set-SPOTenant , especifique o mesmo parâmetro EnableAIPIntegration conforme descrito na seção Usar o PowerShell para habilitar o suporte para rótulos de confidencialidade. Mas, desta vez, defina o valor do parâmetro como false e pressione Y para confirmar:

Set-SPOTenant -EnableAIPIntegration $false

Se você tiver o Microsoft 365 Multi-Geo, deverá executar esse comando para cada uma das localizações geográficas.

Próximas etapas

Depois de habilitar os rótulos de confidencialidade para arquivos do Office no SharePoint e no OneDrive, considere rotular automaticamente os arquivos usando um ou ambos os seguintes métodos de rotulagem:

Precisa compartilhar os seus documentos rotulados e criptografados com pessoas fora de sua organização? Consulte Compartilhamento de documentos criptografados com usuários externos.