Guia de administração: configurações personalizadas para o cliente clássico do Azure Proteção de Informações
Use as informações a seguir para definir configurações avançadas que talvez sejam necessárias para cenários específicos ou para um subconjunto de usuários quando você gerencia o cliente de Proteção de Informações do Azure.
Algumas dessas configurações exigem a edição do Registro e algumas usam configurações avançadas que você deve configurar no portal do Azure e, em seguida, publicar para os clientes baixarem.
Como definir configurações avançadas de configuração de cliente clássico no portal
Se você ainda não fez isso, em uma nova janela do navegador, entre no portal do Azure e navegue até o painel Proteção de Informações do Azure.
Na opção de menu Rótulos de Classificações>: Selecione Políticas.
No painel Proteção de Informações do Azure – Políticas, selecione o menu de contexto (...) ao lado da política para conter as configurações avançadas. Em seguida, selecione Configurações avançadas.
Você pode definir configurações avançadas para a política Global, além das políticas no escopo.
No painel Configurações avançadas , digite o nome e o valor da configuração avançada e selecione Salvar e fechar.
Verifique se os usuários da política reiniciaram os aplicativos do Office abertos.
Se você não precisar mais da configuração e quiser reverter para o comportamento padrão: no painel Configurações Avançadas , selecione o menu de contexto (...) ao lado da configuração que você não precisa mais e selecione Excluir. Clique em Salvar e fechar.
Configurações de cliente clássicas avançadas disponíveis
Evitar solicitações de conexão de computadores somente do AD RMS
Por padrão, o cliente da Proteção de Informações do Azure tenta se conectar automaticamente ao serviço Proteção de Informações do Azure. Para computadores que se comunicam somente com o AD RMS, essa configuração pode resultar em uma solicitação de conexão desnecessária aos usuários. Você pode evitar esta solicitação de conexão editando o registro.
Localize o seguinte nome de valor e, em seguida, defina os dados do valor como 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Independentemente dessa configuração, o cliente da Proteção de Informações do Azure ainda segue o processo de descoberta de serviço do RMS padrão para localizar o respectivo cluster do AD RMS.
Entrar como um usuário diferente
Em um ambiente de produção, o usuário normalmente não precisa entrar como um usuário diferente quando está usando o Cliente da Proteção de Informações do Azure. No entanto, como administrador você deve entrar como um usuário diferente durante a fase de testes.
Você pode verificar a conta com a qual você está conectado atualmente usando a caixa de diálogo Proteção de Informações do Microsoft Azure: abra um aplicativo do Office e, na guia Início, no grupo Proteção, clique em Proteger e clique em Ajuda e comentários. O nome de sua conta é exibido na seção Status do cliente.
Verifique também o nome de domínio da conta conectada exibida. Pode ser fácil não perceber que entrou com o nome da conta certo, mas com o domínio errado. Um sintoma de usar a conta errada pode ser a falha ao baixar a política de Proteção de Informações do Azure, ou não ver os rótulos ou o comportamento esperado.
Para entrar como um usuário diferente:
Navegue até %localappdata%\Microsoft\MSIP e exclua o arquivo TokenCache.
Reinicie os aplicativos do Office abertos e entre com sua conta de usuário diferente. Se você não vir uma solicitação em seu aplicativo do Office para entrar no serviço de Proteção de Informações do Azure, retorne à caixa de diálogo Proteção de Informações do Microsoft Azure e clique em Entrar na seção atualizada Status do cliente.
Além disso:
Se o cliente da Proteção de Informações do Azure ainda estiver conectado à conta antiga após concluir essas etapas, exclua todos os cookies do Internet Explorer e repita as etapas 1 e 2.
Se estiver usando logon único, saia do Windows e entre com uma conta de usuário diferente, depois de excluir o arquivo de token. O cliente da Proteção de Informações do Azure autenticará automaticamente usando a conta de usuário conectada no momento.
Esta solução tem suporte para entrar como outro usuário no mesmo locatário, mas não tem suporte para entrar como outro usuário em um locatário diferente. Para testar a Proteção de Informações do Azure com vários locatários, use computadores diferentes.
Você pode usar a opção Redefinir configurações, em Ajuda e Comentários, para sair e excluir a política de Proteção de Informações do Azure baixada no momento.
Impõe o modo somente proteção quando sua organização tem uma mistura de licenças
Se sua organização não tiver licenças para o Azure Proteção de Informações, mas tiver licenças para Microsoft 365 que incluem o serviço de Rights Management do Azure para proteger dados, o cliente clássico da AIP será executado automaticamente no modo somente proteção.
No entanto, se sua organização tiver uma assinatura da Proteção de Informações do Azure, por padrão todos os computadores com Windows poderão baixar a política de Proteção de Informações do Azure. O cliente da Proteção de Informações do Azure não realiza verificação e imposição de licença.
Se você tiver alguns usuários que não têm uma licença para o Azure Proteção de Informações mas têm uma licença para Microsoft 365 que incluem o serviço de Rights Management do Azure, edite o registro nos computadores desses usuários para impedir que os usuários executem os recursos de classificação e rotulagem não licenciados do Azure Proteção de Informações.
Localize o seguinte nome de valor e defina os dados do valor como 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
Além disso, verifique se esses computadores não têm um arquivo chamado Policy.msip na pasta %LocalAppData%\Microsoft\MSIP. Se esse arquivo existir, exclua-o. Este arquivo contém a política da Proteção de Informações do Azure e pode ter sido baixado antes de você ter editado o registro ou, se o cliente da Proteção de Informações do Azure tiver sido instalado com a opção de demonstração.
Adicione "Relatar um problema" para usuários
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando você especificar a seguinte configuração avançada do cliente, os usuários verão uma opção Relatar um Problema que poderão selecionar da caixa de diálogo do cliente Ajuda e Comentários. Especifique uma cadeia de caracteres HTTP para o link. Por exemplo, uma página da web personalizada que seus usuários usem para relatar problemas ou um endereço de email direcionado ao suporte técnico.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: ReportAnIssueLink
Valor: <cadeia de caracteres> HTTP
Valor de exemplo de um site: https://support.contoso.com
Valor de exemplo de um endereço de email: mailto:helpdesk@contoso.com
Ocultar a opção do menu Classificar e Proteger no Explorador de Arquivos do Windows
Crie o nome do valor DWORD a seguir (com quaisquer dados de valor):
HKEY_CLASSES_ROOT\AllFilesystemObjects\shell\Microsoft.Azip.RightClick\LegacyDisable
Suporte para computadores desconectados
Por padrão, o Cliente da Proteção de Informações do Azure tenta se conectar automaticamente ao serviço Proteção de Informações do Azure para baixar a política mais recente. Se você tiver computadores que você sabe que não poderão se conectar à Internet por um período de tempo, poderá impedir que o cliente tente se conectar ao serviço editando o registro.
Observe que, sem uma conexão com a Internet, o cliente não pode aplicar proteção (ou remover proteção) usando a chave baseada em nuvem da sua organização. Em vez disso, ele fica limitado ao uso de rótulos que aplicam somente a classificação ou a proteção que usa HYOK.
Você pode impedir uma solicitação de conexão ao serviço de Proteção de Informações do Azure usando uma configuração de cliente avançada. Defina a configuração no portal do Azure e, em seguida, faça o download da política para computadores. Ou você pode evitar esta solicitação de conexão editando o registro.
Para definir a configuração avançada do cliente:
Digite as seguintes cadeias de caracteres:
Chave: PullPolicy
Valor: False
Faça o download da política com essa configuração e instale-a nos computadores usando as instruções a seguir.
Como alternativa, para editar o registro:
Localize o seguinte nome de valor e, em seguida, defina os dados do valor como 0:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSIP\EnablePolicyDownload
O cliente deve ter um arquivo de política válido chamado Policy.msip na pasta %LocalAppData%\Microsoft\MSIP.
Você pode exportar a política global ou uma política com escopo do portal do Azure e copiar o arquivo exportado para o computador cliente. É possível também usar este método para substituir um arquivo de política desatualizado pela política mais recente. No entanto, a exportação da política não é compatível com o cenário em que um usuário pertence a mais de uma política com escopo. Além disso, se os usuários selecionarem a opção Redefinir configurações em Ajuda e comentários, essa ação excluirá o arquivo de política e deixará o cliente inoperante até que você substitua manualmente o arquivo de política ou o cliente se conecte ao serviço para baixar a política.
Quando você exporta a política do portal do Azure, um arquivo compactado é baixado com várias versões da política. Elas correspondem a diferentes versões do cliente da Proteção de Informações do Azure:
Descompacte o arquivo e use a tabela a seguir para identificar de qual arquivo de política você precisa.
Nome do arquivo Versão do cliente correspondente Policy1.1.msip versão 1.2 Policy1.2.msip versão 1.3 – 1.7 Policy1.3.msip versão 1.8 a 1.29 Policy1.4.msip versão 1.32 e posteriores Renomeie o arquivo identificado para Policy.msip e copie-o para a pasta %LocalAppData%\Microsoft\MSIP em computadores que têm o cliente do Proteção de Informações do Azure instalado.
Se o computador desconectado estiver executando a versão ga atual do verificador de Proteção de Informações do Azure, haverá etapas de configuração adicionais que você deve executar. Para obter mais informações, consulte Restrição: o servidor scanner não pode ter conectividade com a Internet nos pré-requisitos de implantação do verificador.
Ocultar ou mostrar o botão Não Encaminhar no Outlook
O método recomendado para configurar essa opção é usando a configuração de políticaAdicionar o botão Não Encaminhar à faixa de opções do Outlook. No entanto, você também pode configurar essa opção usando uma configuração avançada do cliente que você configura no portal do Azure.
Quando você definir essa configuração, ela ocultará ou mostrará o botão Não Encaminhar da faixa de opções no Outlook. Essa configuração não tem nenhum efeito sobre a opção não encaminhar nos menus do Office.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: DisableDNF
Valor: True para ocultar o botão ou False para mostrar o botão
Tornar as opções de permissões personalizadas disponíveis ou não disponíveis para usuários
O método recomendado para configurar essa opção é usando a configuração de políticaTornar a opção de permissões personalizadas disponível para usuários. No entanto, você também pode configurar essa opção usando uma configuração avançada do cliente que você configura no portal do Azure.
Quando você define essa configuração e publica a política para os usuários, as opções de permissões personalizadas ficam visíveis para que os usuários selecionem as próprias configurações de proteção ou ficam ocultas para que eles não possam selecionar essas configurações a menos que seja solicitado que o façam.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: EnableCustomPermissions
Valor: True para deixar a opção de permissões personalizadas visível ou False para ocultá-la
Para arquivos protegidos com permissões personalizadas, sempre exibir permissões personalizadas para os usuários no Explorador de Arquivos
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando você define a configuração de políticaDisponibilizar as permissões personalizadas para os usuários ou a configuração de cliente avançado equivalente na seção anterior, os usuários não conseguem visualizar ou alterar as permissões personalizadas que já estão definidas em um documento protegido.
Quando você cria e define esta configuração de cliente avançado, os usuários podem visualizar e alterar as permissões personalizadas de um documento protegido ao usar o Explorador de Arquivos e clicar com o botão direito do mouse no arquivo. A opção Permissões Personalizadas do botão Proteger na faixa de opções do Office permanece oculta.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: EnableCustomPermissionsForCustomProtectedFiles
Valor: True
Observação
Esse recurso está em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Ocultar permanentemente a barra de Proteção de Informações do Azure
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure. Use-a somente quando a configuração de políticaExibir a barra da Proteção de Informações em aplicativos do Office está definida como Ativa.
Por padrão, se um usuário desmarca a opção Mostrar Barra na guia Início, grupo Proteção, botão Proteger, a barra Proteção de Informações não é mais exibida nesse aplicativo do Office. No entanto, a barra é exibida automaticamente novamente na próxima vez que um aplicativo do Office é aberto.
Para impedir que a barra seja exibida novamente automaticamente depois que um usuário tiver escolhido ocultá-la, use esta configuração do cliente. Essa configuração não tem efeito se o usuário fecha a barra usando o ícone Fechar esta barra.
Mesmo que a barra de ferramentas da Proteção de Informações do Azure permaneça oculta, os usuários ainda podem selecionar um rótulo de uma barra de ferramentas exibida temporariamente se você tiver configurado a classificação recomendada ou quando um documento ou email precisar de um rótulo.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: EnableBarHiding
Valor: True
Habilitar o suporte de ordem para sub-rótulos em anexos
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Use esta configuração quando tiver sub-rótulos e se tiver definido a seguinte configuração de política:
- Para mensagens de email com anexos, aplique um rótulo que corresponda à classificação mais alta desses anexos
Configure as seguintes cadeias de caracteres:
Chave: CompareSubLabelsInAttachmentAction
Valor: True
Sem essa configuração, o primeiro rótulo encontrado no rótulo pai com a maior classificação será aplicado ao email.
Com essa configuração, o último sub-rótulo listado do rótulo pai com a maior classificação será aplicado ao email. Se você precisar reordenar os rótulos para aplicar o rótulo que você deseja para este cenário, confira Como excluir ou reordenar um rótulo para a Proteção de Informações do Azure.
Isentar mensagens Outlook da rotulagem obrigatória
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Por padrão, quando você habilita a configuração de políticaTodos os documentos e emails devem ter um rótulo, todos os documentos salvos e emails enviados devem ter um rótulo aplicado. Quando você configura a configuração avançada a seguir, a configuração de política se aplica apenas a documentos Office e não a mensagens de Outlook.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: DisableMandatoryInOutlook
Valor: True
Habilitar a classificação recomendada no Outlook
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando você configura um rótulo para a classificação recomendada, os usuários recebem uma solicitação para aceitarem ou ignorarem o rótulo recomendado no Word, no Excel e no PowerPoint. Essa configuração estende essa recomendação de rótulo para ser exibida também no Outlook.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: OutlookRecommendationEnabled
Valor: True
Observação
Esse recurso está em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Implementar mensagens pop-up no Outlook que avisam, justificam ou bloqueiam emails que estão sendo enviados
Essa configuração usa várias configurações avançadas do cliente que devem ser configuradas no portal do Azure.
Quando você cria e define as seguintes configurações de cliente avançado, os usuários podem ver mensagens pop-up no Outlook que os avisam antes do envio do email, solicitam uma justificativa para o envio do email ou os impedem de enviar um email nos cenários a seguir:
Seu email ou anexo de email tem um rótulo específico:
- O anexo pode ser qualquer tipo de arquivo
O email ou anexo do cliente para o email não tem um rótulo:
- O anexo pode ser um documento do Office ou um documento PDF
Quando essas condições são atendidas, o usuário vê uma mensagem pop-up com uma das seguintes ações:
Aviso: o usuário pode confirmar e enviar ou cancelar.
Justificar: o usuário é solicitado a justificar (opções predefinidas ou formulário livre). Em seguida, o usuário pode enviar ou cancelar o email. O texto da justificativa é escrito no cabeçalho x do email, para que possa ser lido por outros sistemas. Por exemplo, os serviços de DLP (prevenção de perda de dados).
Bloquear: o usuário é impedido de enviar o email enquanto a condição permanece. A mensagem inclui o motivo do bloqueio do email, para que o usuário possa resolver o problema. Por exemplo, remover destinatários específicos ou rotular o email.
Quando as mensagens pop-up são para um rótulo específico, você pode configurar exceções para destinatários por nome de domínio.
As ações resultantes das mensagens pop-up são registradas no log de eventos local Windows Aplicativos e Logs de Serviços>do Azure Proteção de Informações:
Mensagens de aviso: ID da informação 301
Justificar mensagens: ID da informação 302
Mensagens de bloqueio: ID da informação 303
Exemplo de entrada de evento de uma mensagem de justificativa:
Client Version: 1.53.10.0
Client Policy ID: e5287fe6-f82c-447e-bf44-6fa8ff146ef4
Item Full Path: Price list.msg
Item Name: Price list
Process Name: OUTLOOK
Action: Justify
User Justification: My manager approved sharing of this content
Action Source:
User Response: Confirmed
As seções a seguir contêm instruções de configuração para cada configuração avançada do cliente e você pode vê-las em ação por conta própria com o Tutorial: Configurar o Azure Proteção de Informações para controlar o compartilhamento excessivo de informações usando Outlook.
Para implementar as mensagens pop-up de aviso, justificativa ou bloqueio para rótulos específicos:
Para implementar as mensagens pop-up para rótulos específicos, você deve saber a ID dos rótulos em questão. O valor da ID do rótulo é exibido no painel Rótulo, quando você exibe ou configura a política de Proteção de Informações do Azure no portal do Azure. Para arquivos que têm rótulos aplicados, você também pode executar o cmdlet Get-AIPFileStatus do PowerShell para identificar a ID de rótulo (MainLabelId ou SubLabelId). Quando um rótulo tem sub-rótulos, sempre especifique a ID apenas de um sub-rótulo e não do rótulo pai.
Crie uma ou mais das configurações de cliente avançado a seguir com as seguintes chaves. Para obter os valores, especifique um ou mais rótulos pelas IDs, cada um separado por uma vírgula.
Valor de exemplo para várias IDs de rótulo como uma cadeia de caracteres separada por vírgulas: dcf781ba-727f-4860-b3c1-73479e31912b,1ace2cc3-14bc-4142-9125-bf946a70542c,3e9df74d-3168-48af-8b11-037e3021813f
Mensagens de aviso:
Chave: OutlookWarnUntrustedCollaborationLabel
Valor: <IDs de rótulo, separadas por vírgula>
Mensagens de justificativa:
Chave: OutlookJustifyUntrustedCollaborationLabel
Valor: <IDs de rótulo, separadas por vírgula>
Mensagens de bloqueio:
Chave: OutlookBlockUntrustedCollaborationLabel
Valor: <IDs de rótulo, separadas por vírgula>
Para isentar nomes de domínio para mensagens pop-up configuradas para rótulos específicos
Para os rótulos especificados com essas mensagens pop-up, você pode isentar nomes de domínio específicos para que os usuários não vejam as mensagens para destinatários que têm esse nome de domínio incluído em seu endereço de email. Nesse caso, os emails são enviados sem interrupções. Para especificar vários domínios, adicione-os como uma única cadeia de caracteres separada por vírgulas.
Uma configuração comum é exibir as mensagens pop-up apenas para os destinatários externas da organização ou que não são parceiros autorizados da organização. Nesse caso, especifique todos os domínios de email usados pela organização e por seus parceiros.
Crie as seguintes configurações avançadas do cliente e, para o valor, especifique um ou mais domínios, cada um separado por uma vírgula.
Valor de exemplo para vários domínios como uma cadeia de caracteres separada por vírgulas: contoso.com,fabrikam.com,litware.com
Mensagens de aviso:
Chave: OutlookWarnTrustedDomains
Valor: <nomes de domínio, vírgula separada por vírgula>
Mensagens de justificativa:
Chave: OutlookJustifyTrustedDomains
Valor: <nomes de domínio, vírgula separada por vírgula>
Mensagens de bloqueio:
Chave: OutlookBlockTrustedDomains
Valor: <nomes de domínio, vírgula separada por vírgula>
Por exemplo, você especificou a configuração avançada do cliente OutlookBlockUntrustedCollaborationLabel para o rótulo Confidencial \ Todos os Funcionários . Agora você especifica a configuração de cliente avançado adicional do OutlookBlockTrustedDomains e contoso.com. Como resultado, um usuário pode enviar um email para john@sales.contoso.com quando for rotulado como Confidencial \ Todos os Funcionários , mas será impedido de enviar um email com o mesmo rótulo para uma conta do Gmail.
Para implementar as mensagens pop-up de aviso, justificativa ou bloqueio em emails ou anexos que não têm rótulo:
Crie a configuração de cliente avançado a seguir com um dos seguintes valores:
Mensagens de aviso:
Chave: OutlookUnlabeledCollaborationAction
Valor: Avisar
Mensagens de justificativa:
Chave: OutlookUnlabeledCollaborationAction
Valor: Justificar
Mensagens de bloqueio:
Chave: OutlookUnlabeledCollaborationAction
Valor: Bloquear
Desative estas mensagens:
Chave: OutlookUnlabeledCollaborationAction
Valor: Desativado
Para definir extensões específicas de nome de arquivo para o aviso, justificar ou bloquear mensagens pop-up para anexos de email que não têm um rótulo
Por padrão, as mensagens pop-up de aviso, justificativa ou bloqueio se aplicam a todos os documentos Office e documentos PDF. Você pode refinar essa lista especificando quais extensões de nome de arquivo devem exibir as mensagens de aviso, justificar ou bloquear com uma propriedade de cliente avançada adicional e uma lista separada por vírgulas de extensões de nome de arquivo.
Valor de exemplo para várias extensões de nome de arquivo a serem definidas como uma cadeia de caracteres separada por vírgulas: .XLSX,.XLSM,.XLS,.XLTX,.XLTM,.DOCX,.DOCM,.DOC,.DOCX,.DOCM,.PPTX,.PPTM,.PPT,.PPTX,.PPTM
Neste exemplo, um documento PDF sem rótulo não resultará em avisar, justificar ou bloquear mensagens pop-up.
Chave: OutlookOverrideUnlabeledCollaborationExtensions
Valor: <extensões de nome de arquivo para exibir mensagens, vírgula separadas por vírgula>
Para especificar uma ação diferente para mensagens de email sem anexos
Por padrão, o valor especificado para OutlookUnlabeledCollaborationAction para avisar, justificar ou bloquear mensagens pop-up se aplica a emails ou anexos que não têm um rótulo. Você pode refinar essa configuração especificando outra configuração avançada do cliente para mensagens de email que não têm anexos.
Crie a configuração de cliente avançado a seguir com um dos seguintes valores:
Mensagens de aviso:
Chave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Valor: Avisar
Mensagens de justificativa:
Chave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Valor: Justificar
Mensagens de bloqueio:
Chave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Valor: Bloquear
Desative estas mensagens:
Chave: OutlookUnlabeledCollaborationActionOverrideMailBodyBehavior
Valor: Desativado
Se você não especificar essa configuração de cliente, o valor especificado para OutlookUnlabeledCollaborationAction será usado para mensagens de email sem rótulo sem rótulo sem anexos, bem como mensagens de email não rotuladas com anexos.
Definir um rótulo padrão diferente para o Outlook
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando você define essa configuração, o Outlook não aplica o rótulo padrão configurado na política de Proteção de Informações do Azure à configuração Selecionar o rótulo padrão. Em vez disso, o Outlook pode aplicar um rótulo padrão diferente ou não aplicar nenhum rótulo.
Para aplicar um rótulo diferente, você deve especificar a ID do rótulo. O valor da ID do rótulo é exibido no painel Rótulo, quando você exibe ou configura a política de Proteção de Informações do Azure no portal do Azure. Para arquivos que têm rótulos aplicados, você também pode executar o cmdlet Get-AIPFileStatus do PowerShell para identificar a ID de rótulo (MainLabelId ou SubLabelId). Quando um rótulo tem sub-rótulos, sempre especifique a ID apenas de um sub-rótulo e não do rótulo pai.
Para que o Outlook não aplique o rótulo padrão, especifique Nenhum.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: OutlookDefaultLabel
Valor: <ID> do rótulo ou Nenhum
Configurar um rótulo para aplicar a proteção S/MIME no Outlook
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Use essa configuração somente quando você tiver uma implantação S/MIME em funcionamento e desejar que um rótulo aplique automaticamente esse método de proteção para emails, em vez da Proteção do Gerenciamento de Direitos da Proteção de Informações do Azure. A proteção resultante é a mesma de quando um usuário seleciona manualmente as opções S/MIME do Outlook.
Essa configuração exige que você especifique uma configuração de cliente avançada nomeada LabelToSMIME para cada rótulo de Proteção de Informações do Azure para o qual você deseja aplicar a proteção S/MIME. Em seguida, para cada entrada, defina o valor usando a seguinte sintaxe:
[Azure Information Protection label ID];[S/MIME action]
O valor da ID do rótulo é exibido no painel Rótulo, quando você exibe ou configura a política de Proteção de Informações do Azure no portal do Azure. Para usar S/MIME com um sub-rótulo, sempre especifique a ID apenas de um sub-rótulo e não do rótulo pai. Quando você especifica um sub-rótulo, o rótulo pai deve estar no mesmo escopo, ou na política global.
A ação S/MIME pode ser:
Sign;Encrypt: para aplicar uma assinatura digital e criptografia S/MIMEEncrypt: para aplicar somente a criptografia S/MIMESign: para aplicar somente uma assinatura digital
Exemplo de valores para uma ID de rótulo de dcf781ba-727f-4860-b3c1-73479e31912b:
Para aplicar uma assinatura digital e criptografia S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b;Assinar;Criptografar
Para aplicar somente a criptografia S/MIME:
dcf781ba-727f-4860-b3c1-73479e31912b;Criptografar
Para aplicar somente uma assinatura digital:
dcf781ba-727f-4860-b3c1-73479e31912b;Entrar
Como resultado dessa configuração, quando o rótulo é aplicado a uma mensagem de email, a proteção S/MIME é aplicada ao email, além da classificação do rótulo.
Se o rótulo que você especificar estiver configurado para a Proteção do Gerenciamento de Direitos no portal do Azure, a proteção S/MIME substituirá a Proteção do Gerenciamento de Direitos somente no Outlook. Para todos os outros cenários que suportam rotulagem, a Proteção do Gerenciamento de Direitos será aplicada.
Se você quiser que o rótulo fique visível apenas no Outlook, configure o rótulo para aplicar a ação única definida pelo usuário de Não Encaminhar, conforme descrito no Início Rápido: Configurar um rótulo para os usuários protegerem com facilidade os emails que contenham informações confidenciais.
Remova "Agora não" para documentos ao usar rótulos obrigatórios
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando você usa a configuração de políticaTodos os documentos e emails devem ter um rótulo, os usuários precisam selecionar um rótulo quando salvam um documento do Office pela primeira vez e quando enviam um email. Para documentos, os usuários podem selecionar Agora não temporariamente pata ignorar o prompt para selecionar um rótulo e retornar ao documento. No entanto, eles não podem fechar o documento salvo sem rotulá-lo.
Quando você define essa configuração, ela remove a opção Agora não para que os usuários precisem selecionar um rótulo quando o documento for salvo pela primeira vez.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: PostponeMandatoryBeforeSave
Valor: False
Desabilite a execução contínua da classificação em segundo plano
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando você define essa configuração, isso altera o comportamento padrão de como o cliente da Proteção de Informações do Azure aplica rótulos automáticos e recomendados aos documentos:
Para os aplicativos Word, Excel e PowerPoint, a classificação automática é executada continuamente em segundo plano.
O comportamento não muda para o Outlook.
Quando o cliente Proteção de Informações do Azure verifica periodicamente documentos para as regras de condição especificadas, esse comportamento permite classificação e proteção automáticas e recomendadas para documentos armazenados no Microsoft SharePoint. Arquivos grandes também são salvos mais rapidamente porque as regras da condição já foram executadas.
As regras da condição não são executadas em tempo real conforme um usuário digita. Em vez disso, elas são executadas periodicamente como uma tarefa em segundo plano se o documento for modificado.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave: RunPolicyInBackground
Valor: True
Observação
Esse recurso está em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Não proteger os arquivos PDF usando o padrão ISO para criptografia PDF
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando a versão mais recente do cliente da Proteção de Informações do Azure protege um arquivo PDF, a extensão de nome de arquivo resultante permanece .pdf e segue o padrão ISO para criptografia de PDF. Para obter mais informações sobre esse padrão, consulte a seção 7.6 Criptografia do documento derivado da norma ISO 32000-1 e publicado pela Adobe Systems Incorporated.
Se você precisar que o cliente volte ao comportamento em versões mais antigas do cliente que protegiam os arquivos PDF usando uma extensão de nome de arquivo .ppdf, use a seguinte configuração avançada, inserindo a seguinte cadeia de caracteres:
Chave: EnablePDFv2Protection
Valor: False
Por exemplo, talvez essa configuração seja necessária para todos os usuários se você usar um leitor de PDF sem suporte ao padrão ISO para criptografia de PDF. Ou talvez seja necessário configurá-la para alguns usuários conforme você implementa gradualmente uma alteração de leitor de PDF que dá suporte ao novo formato. Outro motivo potencial para usar essa configuração é se você precisa adicionar a proteção para documentos PDF assinados. Documentos PDF assinados podem ser protegidos também com o formato .ppdf, pois essa proteção é implementada como um wrapper para o arquivo.
Para o verificador de Proteção de Informações do Azure usar a nova configuração, o serviço do verificador deve ser reiniciado. Além disso, o verificador não protegerá mais os documentos PDF por padrão. Se quiser que os documentos PDF sejam protegidos pelo verificador quando EnablePDFv2Protection estiver definido como False, você deverá editar o registro.
Confira mais informações sobre a nova criptografia de PDF na postagem no blog New support for PDF encryption with Microsoft Information Protection (Novo suporte para criptografia de PDF com a Proteção de Informações da Microsoft).
Para obter uma lista de leitores de PDF compatíveis com o padrão ISO para a criptografia de PDF e leitores compatíveis com formatos mais antigos, confira Leitores de PDF compatíveis com a Proteção de Informações da Microsoft.
Para converter arquivos .ppdf existentes em arquivos .pdf protegidos
Quando o cliente da Proteção de Informações do Azure tiver baixado a política do cliente com a nova configuração, você poderá usar comandos do PowerShell para converter arquivos .ppdf existentes em arquivos PDF protegidos que usam o padrão ISO para criptografia de PDF.
Para usar as instruções a seguir para arquivos que você não protegeu por conta própria, você precisa ter o Direito de uso do Rights Management para remover a proteção de arquivos, ou ser um superusuário. Para habilitar o recurso de superusuário e configurar a conta para ser um superusuário, confira Configurando superusuários para o Azure Rights Management e Descoberta de Serviços ou Recuperação de Dados.
Além disso, quando usa estas instruções para arquivos que não protegeu por conta própria, você se torna o Emissor do RMS. Nesse cenário, o usuário que protegeu o documento originalmente não pode rastrear e revogá-lo. Se os usuários precisarem rastrear e revogar seus documentos PDF protegidos, peça que removam manualmente e, em seguida, reapliquem o rótulo usando o Explorador de Arquivos, clicando com o botão direito do mouse.
Para usar comandos do PowerShell para converter arquivos .ppdf existentes em arquivos .pdf protegidos que usam o padrão ISO para criptografia de PDF:
Use Get-AIPFileStatus com o arquivo .ppdf. Por exemplo:
Get-AIPFileStatus -Path \\Finance\Projectx\sales.ppdfNa saída, anote os valores de parâmetro a seguir:
O valor (GUID) para SubLabelId se houver um. Se esse valor estiver em branco, um sub-rótulo não foi usado, portanto, anote o valor de MainLabelId.
Observação: se não há nenhum valor para MainLabelId, o arquivo não está rotulado. Nesse caso, você pode usar o comando Unprotect-RMSFile e o comando Protect-RMSFile em vez dos comandos nas etapas 3 e 4.
O valor de RMSTemplateId. Se o valor for Acesso Restrito, um usuário protegeu o arquivo usando permissões personalizadas em vez das configurações de proteção configuradas para o rótulo. Se você continuar, essas permissões personalizadas serão substituídas pelas configurações de proteção do rótulo. Decida se deseja continuar ou peça ao usuário (valor exibido para o RMSIssuer) para remover o rótulo e reaplicá-lo, juntamente com suas permissões personalizadas originais.
Remova o rótulo usando Set-AIPFileLabel com o parâmetro RemoveLabel. Se você estiver usando a configuração de política de Os usuários devem fornecer uma justificativa para definir um rótulo de classificação mais baixo, remover um rótulo ou remover a proteção, você também deverá especificar o parâmetro Justificativa com o motivo. Por exemplo:
Set-AIPFileLabel \\Finance\Projectx\sales.ppdf -RemoveLabel -JustificationMessage 'Removing .ppdf protection to replace with .pdf ISO standard'Reaplique o rótulo original especificando o valor para o rótulo que você identificou na etapa 1. Por exemplo:
Set-AIPFileLabel \\Finance\Projectx\sales.pdf -LabelId d9f23ae3-1234-1234-1234-f515f824c57b
O arquivo retém a extensão de nome de arquivo .pdf, mas é classificado como antes e é protegido usando o padrão ISO para criptografia de PDF.
Suporte para arquivos protegidos pelo Secure Islands
Se você tiver usado Secure Islands para proteger documentos, poderá ter protegido arquivos de texto e imagem, e protegido arquivos genericamente como resultado dessa proteção. Por exemplo, os arquivos que têm uma extensão de nome de arquivo .ptxt, .pjpeg ou .pfile. Quando você edita o registro da seguinte maneira, a Proteção de Informações do Azure pode descriptografar estes arquivos:
Adicione o seguinte valor DWORD de EnableIQPFormats ao seguinte caminho do registro e defina os dados do valor como 1:
Para uma versão de 64 bits do Windows: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\MSIP
Para uma versão de 32 bits do Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSIP
Como resultado dessa edição do registro, há suporte para os seguintes cenários:
O visualizador da Proteção de Informações do Azure pode abrir esses arquivos protegidos.
O verificador de Proteção de Informações do Azure pode inspecionar esses arquivos quanto a informações confidenciais.
Explorador de Arquivos, PowerShell e verificador de Proteção de Informações do Azure podem rotular esses arquivos. Como resultado, você pode aplicar um rótulo da Proteção de Informações do Azure que aplica a nova proteção da Proteção de Informações do Azure ou remove a proteção existente de Secure Islands.
Você pode usar a personalização de cliente de migração de rotulagem para converter automaticamente o rótulo de Secure Islands nesses arquivos protegidos em um rótulo da Proteção de Informações do Azure.
Observação
Esse recurso está em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Migrar rótulos do Secure Islands e outras soluções de rótulos
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Atualmente, essa configuração não é compatível com o novo comportamento padrão que protege arquivos PDF usando o padrão ISO para criptografia PDF. Neste cenário, os arquivos .ppdf não podem ser abertos pelo Explorador de Arquivos, pelo PowerShell ou pelo verificador. Para resolver esse problema, use a configuração avançada do cliente para não usar o padrão ISO para a criptografia de PDF.
Para documentos do Office e documentos em PDF rotulados pelo Secure Islands, é possível rotular novamente esses documentos com um rótulo de Proteção de Informações do Azure usando um mapeamento definido por você. Também é possível usar esse método para reutilizar os rótulos de outras soluções quando os rótulos estiverem em documentos do Office.
Observação
Se você tiver arquivos que não sejam documentos PDF e Office protegidos pelo Secure Islands, eles poderão ser rotulados novamente depois que você editar o registro, conforme descrito na seção anterior.
Como resultado dessa opção de configuração, o novo rótulo de Proteção de Informações do Azure é aplicado ao cliente da Proteção de Informações do Azure, da seguinte maneira:
Para documentos do Office: quando o documento é aberto no aplicativo de área de trabalho, o novo rótulo de Proteção de Informações do Azure é mostrado como um conjunto e é aplicado quando o documento for salvo.
Para o Explorador de Arquivos: na caixa de diálogo de Proteção de Informações do Azure, o novo rótulo de Proteção de Informações do Azure é mostrado como um conjunto e é aplicado quando o usuário seleciona Aplicar. Se o usuário selecionar Cancelar, o novo rótulo não será aplicado.
Para o PowerShell: Set-AIPFileLabel aplica o novo rótulo de Proteção de Informações do Azure. Get-AIPFileStatus não exibe o novo rótulo de Proteção de Informações do Azure até que seja definido por outro método.
Para o leitor de Proteção de Informações do Azure: relatórios de descoberta quando o novo rótulo de Proteção de Informações do Azure é definido e esse rótulo pode ser aplicado com o modo de imposição.
Essa configuração exige que você especifique uma configuração de cliente avançada nomeada LabelbyCustomProperty para cada rótulo de Proteção de Informações do Azure que você deseja mapear para o rótulo antigo. Em seguida, para cada entrada, defina o valor usando a seguinte sintaxe:
[Azure Information Protection label ID],[migration rule name],[Secure Islands custom property name],[Secure Islands metadata Regex value]
O valor da ID do rótulo é exibido no painel Rótulo quando você exibe ou configura a política de Proteção de Informações do Azure no portal do Azure. Para especificar um sub-rótulo, o rótulo pai deve estar no mesmo escopo, ou na política global.
Especifique a escolha de um nome de regra de migração. Use um nome descritivo que ajudará a identificar como um ou mais rótulos da sua solução de rotulagem anterior devem ser mapeados para um rótulo de Proteção de Informações do Azure. O nome é exibido nos relatórios do leitor e no Visualizador de Eventos. Observe que essa configuração não remove o rótulo original do documento nem nenhuma marcação visual no documento que o rótulo original possa ter aplicado. Para remover os cabeçalhos e rodapés, consulte a próxima seção, Remover cabeçalhos e rodapés de outras soluções de rotulagem.
Exemplo 1: Mapeamento de um para um do mesmo nome de rótulo
Requisito: os documentos que têm um rótulo de Ilhas Seguras de "Confidencial" devem ser rotulados novamente como "Confidenciais" pelo Proteção de Informações do Azure.
Neste exemplo:
O rótulo da Proteção de Informações do Azure que você deseja usar é nomeado como Confidencial e tem uma ID de rótulo 1ace2cc3-14bc-4142-9125-bf946a70542c.
O rótulo da Secure Islands é nomeado Confidencial e armazenado na propriedade personalizada denominada Classificação.
A configuração de cliente avançado:
| Nome | Valor |
|---|---|
| LabelbyCustomProperty | 1ace2cc3-14bc-4142-9125-bf946a70542c,"Rótulo do Secure Islands é Confidencial",Classificação,Confidencial |
Exemplo 2: Para um nome de rótulo diferente, mapeamento de um para um
Requisito: documentos rotulados como "Confidenciais" por Ilhas Seguras devem ser rotulados novamente como "Altamente Confidenciais" pelo Proteção de Informações do Azure.
Neste exemplo:
O rótulo da Proteção de Informações do Azure que você deseja usar é nomeado como Altamente Confidencial e tem uma ID de rótulo de 3e9df74d-3168-48af-8b11-037e3021813f.
O rótulo da Secure Islands é nomeado Confidencial e armazenado na propriedade personalizada denominada Classificação.
A configuração de cliente avançado:
| Nome | Valor |
|---|---|
| LabelbyCustomProperty | 3e9df74d-3168-48af-8b11-037e3021813f,"Rótulo do Secure Islands é Sensível",Classificação,Sensível |
Exemplo 3: Mapeamento muitos para um de nomes de rótulo
Requisito: você tem dois rótulos de Ilhas Seguras que incluem a palavra "Interno" e deseja que documentos com qualquer um desses rótulos de Ilhas Seguras sejam relançados como "Gerais" pelo Azure Proteção de Informações.
Neste exemplo:
O rótulo da Proteção de Informações do Azure que você deseja usar é nomeado como Geral e tem uma ID de rótulo de 2beb8fe7-8293-444c-9768-7fdc6f75014d.
Os rótulos de Ilhas Seguras incluem a palavra Interno e são armazenados na propriedade personalizada denominada Classificação.
A configuração de cliente avançado:
| Nome | Valor |
|---|---|
| LabelbyCustomProperty | 2beb8fe7-8293-444c-9768-7fdc6f75014d,"Secure Islands label contains Internal",Classification,.*Internal.* |
Remover cabeçalhos e rodapés de outras soluções de rotulagem
Essa configuração usa várias configurações avançadas do cliente que devem ser configuradas no portal do Azure.
As configurações permitem remover ou substituir cabeçalhos ou rodapés baseados em texto de documentos quando essas marcações visuais forem aplicadas por outra solução de rotulagem. Por exemplo, o antigo rodapé contém o nome de um rótulo antigo que agora você migrou para a Proteção de Informações do Azure com um novo nome de rótulo e seu próprio rodapé.
Quando o cliente obtém essa configuração em sua política, os antigos cabeçalhos e rodapés são removidos ou substituídos quando o documento é aberto no aplicativo do Office e qualquer rótulo de Proteção de Informações do Azure é aplicado ao documento.
Essa configuração não é compatível com o Outlook. Quando você a usar com o Word, o Excel e o PowerPoint, ela poderá afetar negativamente o desempenho desses aplicativos para os usuários. A configuração permite definir as configurações por aplicativo, por exemplo, pesquisar texto nos cabeçalhos e rodapés de documentos do Word, mas não em planilhas do Excel ou em apresentações do PowerPoint.
Como a correspondência de padrões afeta o desempenho dos usuários, recomendamos limitar os tipos de aplicativo Office (Word, EXcel, PowerPoint) a apenas aqueles que precisam ser pesquisados:
Chave: RemoveExternalContentMarkingInApp
Valor: <Office tipos de aplicativo WXP>
Exemplos:
Para pesquisar apenas documentos do Word, especifique W.
Para pesquisar documentos do Word e apresentações do PowerPoint, especifique WP.
Em seguida, você precisa de pelo menos uma configuração mais avançada do cliente, ExternalContentMarkingToRemove, para especificar o conteúdo do cabeçalho ou do rodapé e o modo de removê-lo ou substituí-lo.
Observação
Esse recurso está em VERSÃO PRÉVIA no momento. Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Como configurar a ExternalContentMarkingToRemove
Quando especifica o valor de cadeia de caracteres para a chave ExternalContentMarkingToRemove, você tem três opções que usam expressões regulares:
Correspondência parcial para remover tudo no cabeçalho ou no rodapé.
Exemplo: cabeçalhos ou rodapés contêm a cadeia de caracteres TEXTO PARA REMOVER. Você deseja remover completamente esses cabeçalhos ou rodapés. Você especifica o valor:
*TEXT*.Correspondência completa para remover palavras específicas no cabeçalho ou no rodapé.
Exemplo: cabeçalhos ou rodapés contêm a cadeia de caracteres TEXTO PARA REMOVER. Você deseja remover apenas a palavra TEXTO, o que deixa a cadeia de caracteres do cabeçalho ou rodapé como PARA REMOVER. Você especifica o valor:
TEXT.Correspondência total para remover tudo no cabeçalho ou no rodapé.
Exemplo: cabeçalhos ou rodapés contêm a cadeia de caracteres TEXTO PARA REMOVER. Você deseja remover cabeçalhos ou rodapés de páginas que têm exatamente essa cadeia de caracteres. Você especifica o valor:
^TEXT TO REMOVE$.
A correspondência de padrões para a cadeia de caracteres que você especifica não diferencia maiúsculas de minúsculas. O tamanho máximo da cadeia é de 255 caracteres.
Como alguns documentos podem incluir caracteres invisíveis ou tipos diferentes de espaços ou tabulações, a cadeia de caracteres que você especifica para uma frase ou oração pode não ser detectada. Sempre que possível, especifique uma única palavra de distinção para o valor e não se esqueça de testar os resultados antes de implantar na produção.
Chave: ExternalContentMarkingToRemove
Valor: <cadeia de caracteres a corresponder, definida como expressão regular>
Cabeçalhos ou rodapés com várias linhas
Se um texto de cabeçalho ou de rodapé tem mais de uma única linha, crie uma chave e um valor para cada linha. Por exemplo, você tem o seguinte rodapé com duas linhas:
The file is classified as Confidential
Label applied manually
Para remover esse rodapé de várias linhas, crie as duas entradas a seguir:
Chave 1: ExternalContentMarkingToRemove
Valor da chave 1: *Confidencial*
Chave 2: ExternalContentMarkingToRemove
Valor da chave 2: *Rótulo aplicado*
Otimização para o PowerPoint
Os rodapés de páginas no PowerPoint são implementados como formas. Para evitar a remoção de formas que contêm o texto que você especificou, mas que não são cabeçalhos nem rodapés, use uma configuração de cliente avançada adicional chamada PowerPointShapeNameToRemove. Também recomendamos usar essa configuração para evitar a verificação do texto em todas as formas, que é processo com uso intensivo de recursos.
Se você não especificar essa configuração de cliente avançada adicional e o PowerPoint estiver incluído no valor da chave RemoveExternalContentMarkingInApp, todas as formas serão verificadas para o texto que você especificar no valor ExternalContentMarkingToRemove.
Para localizar o nome da forma que você está usando como um cabeçalho ou rodapé:
Em PowerPoint, exiba o painel Seleção: Formatar guia >OrganizarPainel de Seleção de Grupo>.
Selecione a forma no slide que contém o cabeçalho ou o rodapé. O nome da forma selecionada agora é realçado no painel Seleção.
Use o nome da forma para especificar um valor de cadeia de caracteres para a chave PowerPointShapeNameToRemove.
Exemplo: o nome da forma é fc. Para remover a forma com esse nome, você pode especificar o valor: fc.
Chave: PowerPointShapeNameToRemove
Valor: <PowerPoint nome da forma>
Quando você tiver mais de uma forma do PowerPoint para remover, crie um número de chaves PowerPointShapeNameToRemove igual ao número de formas a serem removidas. Para cada entrada, especifique o nome da forma a ser removida.
Por padrão, somente os slides Mestres são verificados quanto a cabeçalhos e rodapés. Para estender a pesquisa para todos os slides, que é um processo com uso muito mais intensivo de recursos, use uma configuração de cliente avançada adicional chamada RemoveExternalContentMarkingInAllSlides:
Chave: RemoveExternalContentMarkingInAllSlides
Valor: True
Rotule um documento do Office usando uma propriedade personalizada existente
Observação
Se você usar essa configuração e a configuração para Migrar rótulos do Secure Islands e outras soluções de rotulagem, a configuração de migração de rotulagem terá precedência.
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando você definir essa configuração, poderá classificar (e, opcionalmente, proteger) um documento do Office quando ele tiver uma propriedade personalizada existente com um valor que corresponde a um dos seus nomes de rótulo. Essa propriedade personalizada pode ser definida de outra solução de classificação ou pode ser definida como uma propriedade pelo SharePoint.
Como resultado dessa configuração, quando um documento sem um rótulo de Proteção de Informações do Azure for aberto e salvo por um usuário em um aplicativo do Office, o documento então será rotulado para corresponder ao valor da propriedade correspondente.
Essa configuração exige que você especifique duas configurações avançadas que funcionam em conjunto. A primeira é denominada SyncPropertyName, que é o nome da propriedade personalizada que foi definida por meio de outra solução de classificação ou uma propriedade definida pelo SharePoint. O segundo é denominado SyncPropertyState e deve ser definido como OneWay.
Para definir essa configuração avançada, insira as cadeias de caracteres a seguir:
Chave 1: SyncPropertyName
Chave 1 Valor: <nome da propriedade>
Chave 2: SyncPropertyState
Valor da Chave 2: OneWay
Use essas chaves e valores correspondentes para apenas uma propriedade personalizada.
Como exemplo, você tem uma coluna do SharePoint denominada Classificação que tem os valores possíveis de Público, Geral e Altamente Confidencial Todos os Funcionários. Os documentos são armazenados no SharePoint e têm os valores Público, Geral, ou Altamente Confidencial Todos os Funcionários definidos para a propriedade de Classificação.
Para rotular um documento do Office com um desses valores de classificação, defina SyncPropertyName como Classificação e SyncPropertyState como OneWay.
Agora, quando um usuário abre e salva um desses documentos Office, ele é rotulado como Público, Geral ou Altamente Confidencial \ Todos os Funcionários se você tiver rótulos com esses nomes em sua política de Proteção de Informações do Azure. Se você não tem rótulos com esses nomes, o documento permanecerá sem nome.
Desabilitar o envio de informações confidenciais descobertas em documentos para o Azure Proteção de Informações Analytics
Observação
O log de auditoria da AIP e o pôr do sol da análise são anunciados a partir de 18 de março de 2022, com data de desativação completa de 31 de setembro de 2022.
Para obter mais informações, confira Remover e desativar serviços.
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando o cliente Proteção de Informações do Azure é usado em aplicativos Office, ele procura informações confidenciais em documentos quando eles são salvos pela primeira vez. Desde que o cliente não esteja configurado para não enviar informações de auditoria, todos os tipos de informações confidenciais encontrados (predefinidos ou personalizados) são enviados para a análise de Proteção de Informações do Azure.
A configuração que controla se o cliente envia informações de auditoria é a configuração de política de Enviar dados de auditoria para o Azure Proteção de Informações análise de log. Quando essa configuração de política estiver ativada porque você deseja enviar informações de auditoria que incluem ações de rotulagem, mas não deseja enviar tipos de informações confidenciais encontrados pelo cliente, insira as seguintes cadeias de caracteres:
Chave: RunAuditInformationTypesDiscovery
Valor: False
Se você definir essa configuração avançada do cliente, as informações de auditoria ainda poderão ser enviadas do cliente, mas as informações serão limitadas à atividade de rotulagem.
Por exemplo:
Com essa configuração, você pode ver que um usuário acessou Financial.docx que é rotulado como Confidencial \ Vendas.
Sem essa configuração, você pode ver que Financial.docx contém seis números de cartão de crédito.
- Se você também habilitar análises mais profundas em seus dados confidenciais, você também poderá ver quais são esses números de cartão de crédito.
Desabilitar o envio de correspondências de tipo de informação para um subconjunto de usuários
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Quando você seleciona a caixa de seleção para análise de Proteção de Informações do Azure que permite análises mais profundas em seus dados confidenciais coleta as correspondências de conteúdo para seus tipos de informações confidenciais ou suas condições personalizadas, por padrão, essas informações são enviadas por todos os usuários, o que inclui contas de serviço que executam o verificador de Proteção de Informações do Azure. Se você tiver alguns usuários que não devem enviar esses dados, crie a seguinte configuração avançada de cliente na política de escopo para esses usuários:
Chave: LogMatchedContent
Valor: Desabilitar
Limitar o número de threads utilizados pelo scanner
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Por padrão, o verificador usa todos os recursos de processador disponíveis no computador que está executando o serviço do scanner. Se você precisar limitar o consumo de CPU enquanto esse serviço está fazendo a verificação, crie a seguinte configuração avançada.
Para o valor, especifique o número de threads simultâneos que podem ser executados em paralelo pelo scanner. O scanner usa um thread distinto para cada arquivo que verifica; desse modo, a configuração de limitação também definirá o número de arquivos que poderão ser verificados em paralelo.
Ao configurar o valor para teste pela primeira vez, recomendamos especificar dois por núcleo e, em seguida, monitorar os resultados. Por exemplo, se você executar o verificador em um computador com quatro núcleos, primeiro defina o valor como oito. Se necessário, aumente ou diminua esse número, de acordo com o desempenho resultante necessário para o computador do scanner e as taxas de verificação.
Chave: ScannerConcurrencyLevel
Valor: <número de threads simultâneos>
Desabilitar o nível baixo de integridade para o scanner
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Por padrão, o verificador da Proteção de Informações do Azure é executada com um nível baixo de integridade. Essa configuração fornece maior isolamento de segurança, mas às custas do desempenho. Um nível baixo de integridade será adequado se você executar o scanner com uma conta que tenha direitos com privilégios (como uma conta de administrador local), pois essa configuração ajuda a proteger o computador que executa o scanner.
No entanto, quando a conta de serviço que executa o verificador tem apenas os direitos documentados nos pré-requisitos de implantação do verificador, o baixo nível de integridade não é necessário e não é recomendado porque afeta negativamente o desempenho.
Para saber mais sobre os níveis de integridade do Windows, consulte Qual é o Mecanismo de Integridade do Windows?
Para definir essa configuração avançada para que o scanner seja executado com um nível de integridade atribuído automaticamente pelo Windows (uma conta de usuário padrão é executada com um nível de integridade médio), insira as cadeias de caractere a seguir:
Key: ProcessUsingLowIntegrity
Valor: False
Alterar as configurações de tempo limite para o verificador
Essa configuração usa configurações de cliente avançadas que você deve configurar no portal do Azure.
Por padrão, o verificador de Proteção de Informações do Azure tem um período limite de 00:15:00 (15 minutos) para inspecionar cada arquivo em busca de tipos de informações confidenciais ou das expressões regex configuradas para condições personalizadas. Quando o período de tempo limite é atingido para esse processo de extração de conteúdo, todos os resultados antes do tempo limite são retornados e uma inspeção adicional para o arquivo é interrompida. Nesse cenário, a seguinte mensagem de erro é registrada em %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (compactado se houver vários logs): GetContentParts falhou com A operação foi cancelada nos detalhes.
Se você tiver esse problema de tempo limite devido a arquivos grandes, poderá aumentar esse período de tempo limite para extração completa de conteúdo:
Chave: ContentExtractionTimeout
Valor: <hh:min:sec>
O tipo de arquivo pode influenciar quanto tempo leva para verificar um arquivo. Tempos de verificação de exemplo:
Um arquivo típico do Word de 100 MB: 0,5 a 5 minutos
Um arquivo PDF típico de 100 MB: 5 a 20 minutos
Um arquivo típico de Excel de 100 MB: 12 a 30 minutos
Para alguns tipos de arquivo muito grandes, como arquivos de vídeo, considere excluí-los da verificação adicionando a extensão de nome de arquivo aos tipos de arquivo para verificar a opção no perfil do verificador.
Além disso, o verificador de Proteção de Informações do Azure tem um período limite de 00:30:00 (30 minutos) para cada arquivo que ele processa. Esse valor leva em conta o tempo que pode levar para recuperar um arquivo de um repositório e salvá-lo temporariamente localmente para ações que podem incluir descriptografia, extração de conteúdo para inspeção, rotulagem e criptografia.
Embora o verificador de Proteção de Informações do Azure possa verificar dezenas em centenas de arquivos por minuto, se você tiver um repositório de dados com um número alto de arquivos muito grandes, o verificador poderá exceder esse período de tempo limite padrão e, no portal do Azure, parecer parar após 30 minutos. Nesse cenário, a seguinte mensagem de erro é registrada em %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog (compactado se houver vários logs) e o verificador .csv arquivo de log: A operação foi cancelada.
Um verificador com processadores de 4 núcleos por padrão tem 16 threads para verificação e a probabilidade de encontrar 16 arquivos grandes em um período de tempo de 30 minutos depende da proporção dos arquivos grandes. Por exemplo, se a taxa de verificação for de 200 arquivos por minuto e 1% dos arquivos excederem o tempo limite de 30 minutos, há uma probabilidade de mais de 85% de que o verificador encontre a situação de tempo limite de 30 minutos. Esses tempos limite podem resultar em tempos de verificação mais longos e maior consumo de memória.
Nessa situação, se você não puder adicionar mais processadores principais ao computador verificador, considere diminuir o período de tempo limite para melhores taxas de verificação e menor consumo de memória, mas com a confirmação de que alguns arquivos serão excluídos. Como alternativa, considere aumentar o período de tempo limite para resultados de verificação mais precisos, mas com a confirmação de que essa configuração provavelmente resultará em taxas de verificação mais baixas e maior consumo de memória.
Para alterar o período de tempo limite para o processamento de arquivos, defina a seguinte configuração avançada do cliente:
Chave: FileProcessingTimeout
Valor: <hh:min:sec>
Alterar o nível de log local
Essa configuração usa uma configuração avançada do cliente que deve ser configurada no portal do Azure.
Por padrão, o cliente de Proteção de Informações do Azure grava arquivos de log do cliente na pasta %localappdata%\Microsoft\MSIP. Esses arquivos são destinados para solução de problemas pelo Suporte da Microsoft.
Para alterar o nível de log desses arquivos, configure a seguinte configuração avançada do cliente:
Chave: LogLevel
Valor: <nível> de log
Defina o nível de log para um dos seguintes valores:
Desativado: sem registro em log local.
Erro: somente erros.
Informações: registro em log mínimo, que não inclui IDs de evento (a configuração padrão para o verificador).
Depuração: informações completas.
Rastreamento: log detalhado (a configuração padrão para clientes). Para o scanner, essa configuração tem um impacto significativo no desempenho e deve ser habilitada nele somente se solicitado pelo Suporte da Microsoft. Se você for instruído a definir esse nível de log no scanner, lembre-se de definir um valor diferente quando os logs relevantes tiverem sido coletados.
Essa configuração avançada do cliente não altera as informações enviadas para a Proteção de Informações do Azure para o relatório central nem as informações gravadas no log de eventos local.
Integração com a classificação de mensagem de Exchange herdada
Outlook na Web agora dá suporte à rotulagem interna para Exchange Online, que é o método recomendado para rotular emails em Outlook na Web. No entanto, se você precisar rotular emails no OWA e estiver usando Exchange Server, que ainda não dá suporte a rótulos de confidencialidade, poderá usar Exchange classificação de mensagens para estender rótulos de Proteção de Informações do Azure para Outlook na Web.
O Outlook Mobile não oferece suporte à classificação de mensagens do Exchange.
Para atingir essa solução:
Use o cmdlet do PowerShell do Exchange New-MessageClassification para criar classificações de mensagens com a propriedade de nome que é mapeada para os nomes dos rótulos na política da Proteção de Informações do Azure.
Crie uma regra de fluxo de mensagens do Exchange para cada rótulo: aplique a regra quando as propriedades da mensagem incluírem a classificação que você configurou e modifique as propriedades da mensagem para definir um cabeçalho da mensagem.
Para o cabeçalho da mensagem, você encontra as informações a serem especificadas inspecionando os cabeçalhos da Internet de um email enviado e classificado usando seu rótulo de Proteção de Informações do Azure. Procure o cabeçalho msip_labels e a cadeia de caracteres que segue imediatamente até e excluindo o ponto e vírgula. Por exemplo:
msip_labels: MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True
Em seguida, para o cabeçalho da mensagem na regra, especifique msip_labels para o cabeçalho e o restante da cadeia de caracteres para o valor do cabeçalho. Por exemplo:
Observação: quando o rótulo for um sub-rótulo, especifique também o rótulo pai antes do sub-rótulo no valor do cabeçalho usando o mesmo formato. Por exemplo, se o seu sub-rótulo tiver um GUID de 27efdf94-80a0-4d02-b88c-b615c12d69a9, seu valor poderá parecer semelhante ao seguinte:
MSIP_Label_ab70158b-bdcc-42a3-8493-2a80736e9cbd_Enabled=True;MSIP_Label_27efdf94-80a0-4d02-b88c-b615c12d69a9_Enabled=True
Antes de testar essa configuração, lembre-se de que há geralmente um atraso ao criar ou editar regras de fluxo de mensagens (por exemplo, aguardar uma hora). Quando a regra estiver em vigor, os seguintes eventos ocorrerão quando os usuários utilizarem o Outlook na Web:
Os usuários selecionam a classificação de mensagens do Exchange e enviam o email.
A regra do Exchange detecta a classificação do Exchange e modifica corretamente o cabeçalho da mensagem para adicionar a classificação da Proteção de Informações do Azure.
Quando os destinatários internos exibem o email no Outlook e têm o cliente da Proteção de Informações do Azure instalado, eles veem o rótulo da Proteção de Informações do Azure atribuído.
Se os rótulos de Proteção de Informações do Azure aplicarem proteção, adicione essa proteção à configuração de regra: selecionando a opção para modificar a segurança da mensagem, aplicar proteção de direitos e, em seguida, selecionar o modelo de proteção ou a opção Não Encaminhar.
Você também pode configurar as regras de fluxo de mensagens para fazer o mapeamento inverso. Quando um rótulo da Proteção de Informações do Azure for detectado, defina uma classificação de mensagens do Exchange correspondente:
- Para cada rótulo da Proteção de Informações do Azure: crie uma regra de fluxo de mensagens que será aplicada quando o cabeçalho msip_labels incluir o nome do seu rótulo (por exemplo, Geral) e aplique uma classificação de mensagem que é mapeada para esse rótulo.
Próximas etapas
Agora que você personalizou o cliente de Proteção de Informações do Azure, confira estas outras informações que talvez sejam necessárias para dar suporte a esse cliente: