Implantar uma solução de proteção de informações com o Microsoft Purview.

Licenciamento para Segurança e Conformidade do Microsoft 365

Sua estratégia de proteção de informações é orientada pelas necessidades de seus negócios. Muitas organizações devem estar em conformidade com regulamentos, leis e práticas comerciais. Além disso, as organizações precisam proteger informações proprietárias, tais como dados para projetos específicos.

O Microsoft Purview Information Protection (anteriormente denominado Microsoft Information Protection) fornece uma arquitetura, processo e capacidades que pode utilizar para proteger dados confidenciais entre clouds, aplicações e dispositivos.

Para ver exemplos do Microsoft Purview Information Protection em ação, desde a experiência do utilizador final até à configuração do administrador, veja o seguinte vídeo:

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de testes do portal de conformidade do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Estrutura de Proteção de Informações do Microsoft Purview

Use a Proteção de Informações do Microsoft Purview para ajudá-lo a descobrir, classificar, proteger e controlar informações confidenciais onde quer que elas residam ou trafeguem.

Quanto à governança de dados, consulte Implantar uma solução de governança de dados com o Microsoft Purview.

Licenciamento

Os recursos da Proteção de Informações do Microsoft Purview estão incluídos no Microsoft Purview. Os requisitos de licenciamento podem variar até mesmo nas funcionalidades, dependendo das opções de configuração. Para identificar os requisitos e opções de licenciamento, consulte as Diretrizes do Microsoft 365 para segurança e conformidade.

Conheça seus dados

Saber onde seus dados confidenciais residem geralmente é o maior desafio para muitas organizações. A classificação de dados da Proteção de Informações do Microsoft Purview o ajuda a descobrir e classificar com precisão quantidades cada vez maiores de dados que sua organização cria. As representações gráficas ajudam você a obter insights sobre esses dados para que você possa configurar e monitorar as políticas para protegê-los e governá-los.

Etapa	Descrição	Mais informações
1	Descreva as categorias de informações confidenciais que você deseja proteger. Você já tem uma ideia de quais tipos de informação são mais valiosos para sua organização e quais não são. Trabalhe com as partes interessadas para descrever essas categorias que são seu ponto de partida.	Aprenda sobre os tipos de informações confidenciais Saiba mais sobre classificadores treináveis
2	Descobrir e classificar dados confidenciais. Os dados confidenciais em itens podem ser encontrados usando muitos métodos diferentes que incluem políticas DLP padrão, rotulagem manual por usuários e reconhecimento automatizado de padrões usando tipos de informações confidenciais ou aprendizado de máquina.	Saiba sobre a classificação de dados. Vídeo: Classificação de dados no portal de conformidade do Microsoft Purview
3	Exibir seus itens confidenciais. Use o explorador de conteúdo e o explorador de atividades para uma análise mais profunda de itens confidenciais e as ações que os usuários estão executando nesses itens.	Introdução ao gerenciador de conteúdo Introdução ao gerenciador de atividades

Proteja seus dados

Use as informações para saber onde seus dados confidenciais residem para ajudar você a protegê-los com mais eficiência. No entanto, não é necessário esperar. Pode começar a proteger os seus dados imediatamente com uma combinação de etiquetagem manual, predefinida e automática. Em seguida, utilize o explorador de conteúdos e o explorador de atividades da secção anterior para confirmar que itens estão etiquetados e como as etiquetas estão a ser utilizadas.

Etapa	Descrição	Mais informações
1	Defina seus rótulos de confidencialidade e políticas que protegerão os dados da sua organização. Além de identificar a confidencialidade do conteúdo, estas etiquetas podem aplicar ações de proteção, tais como marcas de conteúdo (cabeçalhos, rodapés, marcas d'água), encriptação e outros controlos de acesso. Etiquetas de confidencialidade de exemplo: Pessoal Public Geral - Qualquer pessoa (sem restrições) - Todos os Funcionários (sem restrições) Confidencial - Qualquer pessoa (sem restrições) - Todos os Funcionários - Pessoas Fidedignas Altamente Confidencial - Todos os Funcionários - Pessoas Específicas Política de etiqueta de confidencialidade de exemplo: 1. Publicar todas as etiquetas para todos os utilizadores no inquilino 2. Etiqueta predefinida de Geral \ Todos os Funcionários (sem restrições) para itens 3. Os utilizadores têm de fornecer uma justificação para remover uma etiqueta ou reduzir a classificação	Introdução ao rótulos de confidencialidade Criar e configurar rótulos de confidencialidade e suas políticas Restringir o acesso ao conteúdo usando rótulos de confidencialidade para aplicar criptografia
2	Etiquetar e proteger dados para aplicações e serviços do Microsoft 365. As etiquetas de confidencialidade são suportadas para o Microsoft 365 Word, Excel, PowerPoint, Outlook, reuniões do Teams e também contentores que incluem sites do SharePoint e do OneDrive e grupos do Microsoft 365. Use uma combinação de métodos de rotulagem, tais como rotulagem manual, rotulagem automática, rotulagem padrão e rotulagem obrigatória. Configuração de exemplo para etiquetagem automática do lado do cliente: 1. Recomendar Confidencial \ Qualquer pessoa (sem restrições) se 1-9 números de cartão de crédito 2. Recomendar Confidencial \ Todos os Funcionários se 10+ números de cartão de crédito -- experiência de utilizador final típica e o utilizador seleciona o botão para mostrar conteúdo confidencial (apenas word) Configuração de exemplo para etiquetagem automática do lado do serviço: Aplicar a todas as localizações (Exchange, SharePoint, OneDrive) 1. Aplicar Confidencial \ Qualquer pessoa (sem restrições) se 1-9 números de cartão de crédito 2. Aplicar Confidencial \ Todos os Funcionários se 10+ números de cartão de crédito 3. Aplicar Confidencial \ Qualquer pessoa (sem restrições) se 1-9 dados pessoais dos EUA e nomes completos 4. Aplicar Confidencial \ Todos os Funcionários se 10+ dados pessoais dos EUA e nomes completos	Gerenciar rótulos de confidencialidade em aplicativos do Office Habilitar rótulos de confidencialidade para arquivos no SharePoint e no OneDrive Ativar a coautoria para arquivos criptografados com rótulos de sensibilidade Configurar um rótulo de confidencialidade padrão para uma biblioteca de documentos do SharePoint Aplicar um rótulo de confidencialidade automaticamente ao conteúdo Use etiquetas de sensibilidade com o Microsoft Teams, o Microsoft 365 Groups e sites do SharePoint Utilizar etiquetas de confidencialidade para proteger itens de calendário, reuniões do Teams e chat Usar rótulos de confidencialidade para definir o link de compartilhamento padrão para sites e documentos no SharePoint e no OneDrive Aplicar uma etiqueta de confidencialidade a um modelo no Microsoft Syntex Rótulos de confidencialidade no Power BI
3	Detetar, etiquetar e proteger itens confidenciais que residem em arquivos de dados na nuvem (Box, GSuite, SharePoint e OneDrive) ao utilizar o Microsoft Defender for Cloud Apps com as suas etiquetas de confidencialidade. Configuração de exemplo para uma política de ficheiros: procura números de cartão de crédito em ficheiros armazenados numa conta do Box e, em seguida, aplica uma etiqueta de confidencialidade para identificar as informações altamente confidenciais e encriptá-la.	Descobrir, classificar, rotular e proteger dados regulamentados e confidenciais armazenados na nuvem
4	Detetar, etiquetar e proteger itens confidenciais que residem nos arquivos de dados no local ao implementar o analisador de proteção de informações com as etiquetas de confidencialidade.	Configurar e instalar o analisador de proteção de informações
5	Estenda seus rótulos de confidencialidade para o Azure usando o Mapa de Dados do Microsoft Purview para descobrir e rotular itens no Armazenamento de Blobs do Azure, arquivos do Azure, Azure Data Lake Storage Gen1 e Azure Data Lake Storage Gen12.	Rotulagem no Mapeamento de Dados do Microsoft Purview

Se você for um desenvolvedor que deseja estender os rótulos de confidencialidade para aplicativos de linha de negócios ou aplicativos SaaS de terceiros, consulte configuração e configuração do SDK da Proteção de Informações da Microsoft (MIP).

Funcionalidades de proteção adicionais

O Microsoft Purview inclui recursos adicionais para ajudar a proteger os dados. Nem todo cliente precisa dessas funcionalidades, e algumas podem ser substituídas por lançamentos mais recentes.

Consulte a página Proteger os seus dados com o Microsoft Purview para obter a lista completa de capacidades de proteção.

Evita a perda de dados

Implante políticas de Prevenção Contra a Perda de Dados (DLP) para controlar e impedir o compartilhamento, a transferência ou o uso inapropriado de dados confidenciais entre aplicativos e serviços. Essas políticas ajudam os usuários a tomarem as decisões e executarem as ações certas ao usar dados confidenciais.

Etapa	Descrição	Mais informações
1	Saiba mais sobre a DLP. As organizações têm informações confidenciais sob o seu controlo, tais como dados financeiros, dados proprietários, números de cartões de crédito, registos de saúde e números de segurança social. Para ajudar a proteger esses dados confidenciais e reduzir o risco, eles precisam de uma maneira de impedir que seus usuários os compartilhem inadequadamente com pessoas que não deveriam tê-los. Essa prática é chamada de prevenção contra perda de dados (DLP).	Saiba mais sobre prevenção contra perda de dados
2	Planejar sua implementação de DLP. Cada organização planejará e implementará a prevenção contra perda de dados (DLP) de maneira diferente, porque as necessidades, os objetivos, os recursos e a situação de negócios de cada organização são exclusivos para elas. No entanto, há elementos que são comuns a todas as implementações bem-sucedidas de DLP.	Plano de prevenção contra perda de dados
3	Projetar e criar uma política DLP. Criar uma política de prevenção contra perda de dados (DLP) é rápido e fácil, mas obter uma política para produzir os resultados pretendidos pode ser demorado se você precisar fazer muitos ajustes. Ter tempo para estruturar uma política antes de a implementar permite-lhe obter os resultados pretendidos mais rapidamente e com menos problemas inesperados do que otimizar apenas por tentativa e erro. Configuração de exemplo para uma política DLP: impede que os e-mails sejam enviados se contiverem números de cartão de crédito ou se o e-mail tiver uma etiqueta de confidencialidade específica que identifica informações altamente confidenciais.	Criar uma política DLP Referência da política DLP Criar e gerenciar políticas de prevenção contra perda de dados
4	Ajuste suas políticas DLP. Depois de implantar uma política DLP, você verá o quão bem ela atende à finalidade pretendida. Use essas informações para ajustar suas configurações de política para melhorar o desempenho.	Criar e gerenciar políticas de prevenção contra perda de dados

Estratégias de implantação

Os exemplos de números de cartão de crédito são muitas vezes úteis para testes iniciais e educação de utilizadores finais. Mesmo que a sua organização normalmente não precise de proteger números de cartões de crédito, o conceito de estes itens confidenciais que precisam de proteção é facilmente compreendido pelos utilizadores. Muitos sites fornecem números de cartão de crédito adequados apenas para fins de teste. Também pode procurar sites que forneçam geradores de números de cartão de crédito para que possa colar os números em documentos e e-mails.

Quando estiver pronto para mover as suas políticas de etiquetagem automática e DLP para produção, mude para classificadores e configurações adequados para o tipo de dados utilizados pela sua organização. Por exemplo, poderá ter de utilizar classificadores treináveis para propriedade intelectual e tipos específicos de documentos ou tipos de informações confidenciais de correspondência de dados exatas (EDM) para dados de privacidade relacionados com clientes ou funcionários.

Em alternativa, poderá querer começar por detetar e proteger informações relacionadas com TI que são frequentemente alvo de ataques de segurança. Em seguida, complemente-o ao procurar e impedir a partilha de palavras-passe com políticas DLP para e-mail e chat do Teams:

• Utilizar os classificadores treináveis DE TI e Documentos de Infraestrutura de TI e Segurança de Rede
• Utilize o tipo de informações confidenciais incorporadas Palavra-passe Geral e crie um tipo de informações confidenciais personalizado para "a palavra-passe é" para os diferentes idiomas utilizados pelos seus utilizadores

Implementar uma solução de proteção de informações não é uma implementação linear, mas sim iterativa e, muitas vezes, circular. Quanto mais souber os seus dados, mais precisamente os pode etiquetar e evitar fugas de dados. Os resultados dessas políticas e etiquetas aplicadas fluem para o dashboard e ferramentas de classificação de dados, o que, por sua vez, torna os dados mais confidenciais visíveis para proteger. Em alternativa, se já estiver a proteger esses dados confidenciais, considere se são necessárias ações de proteção adicionais.

Pode começar a etiquetar manualmente os dados assim que tiver definido as etiquetas de confidencialidade. Os mesmos classificadores que utiliza para DLP podem ser utilizados para localizar e etiquetar automaticamente mais dados. Pode até utilizar etiquetas de confidencialidade como classificador, por exemplo, bloquear itens de partilha etiquetados como altamente confidenciais.

A maioria dos clientes já tem algumas soluções para proteger os seus dados. A sua estratégia de implementação pode ser basear-se no que já tem ou concentrar-se em lacunas que oferecem mais valor comercial ou que abordam áreas de alto risco.

Para o ajudar a planear a sua estratégia de implementação exclusiva, consulte Introdução às etiquetas de confidencialidade e Planear a prevenção de perda de dados.

Considerar uma implementação faseada

Pode preferir implementar a proteção de informações através de uma implementação faseada que implementa controlos progressivamente restritivos. Esta abordagem introduz gradualmente novas medidas de proteção para os utilizadores à medida que ganha familiaridade e confiança com a tecnologia. Por exemplo:

• Desde etiquetas predefinidas e sem encriptação, à recomendação de etiquetas que aplicam encriptação quando são encontrados dados confidenciais e, em seguida, aplicar automaticamente etiquetas quando forem encontrados dados confidenciais.
• As políticas DLP que progridem desde a auditoria de ações de partilha excedida, até bloqueios mais restritivos com aviso para educar os utilizadores e, em seguida, bloqueiam toda a partilha.

Os detalhes de uma implementação faseada podem ser semelhantes ao seguinte plano, em que as etiquetas de confidencialidade e as políticas DLP se tornam mais integradas entre si para proporcionar uma maior proteção de dados do que se fossem utilizadas de forma independente:

Fase 1

Configurações de etiquetas de confidencialidade:

• Geral\Todos os Funcionários: etiqueta predefinida para e-mail. Sem encriptação. Se aplicado em e-mails, bloqueie a partilha excessiva dos utilizadores.
• Confidencial\Todos os Funcionários: etiqueta predefinida para documentos. Sem encriptação. Se aplicado em e-mails, bloqueie a partilha excessiva dos utilizadores.
• Altamente Confidencial\Todos os Funcionários: sem encriptação. Se aplicado em e-mails, bloqueie a partilha excessiva dos utilizadores.

Política DLP A:

• Se forem encontradas 1 a 2 instâncias de cartões de crédito, bloqueie a partilha externa, exceto se o item estiver identificado como Pessoal ou Confidencial\Qualquer Pessoa (sem restrições). Utilize o registo e os relatórios para análise.

Política DLP B:

• Se forem encontradas 3 a 9 instâncias de cartões de crédito, bloqueie a partilha externa, a saída da cloud e copie para unidades amovíveis, exceto se o item estiver identificado como Confidencial\Qualquer Pessoa (sem restrições). Utilize o registo e os relatórios para análise.

Política DLP C:

• Se forem encontradas mais de 10 instâncias de cartões de crédito, bloqueie a partilha externa, a saída da cloud e copie para unidades amovíveis sem exceções. Utilize o registo e os relatórios para análise.

Fase 2

Configurações de etiquetas de confidencialidade:

• Geral\Todos os Funcionários: etiqueta predefinida para e-mail. Sem encriptação. Se aplicado em e-mails, bloqueie a partilha excessiva dos utilizadores.
• Confidencial\Todos os Funcionários: etiqueta predefinida para documentos. Encriptação com Controlo Total para todos os funcionários. Se aplicado em e-mails, bloqueie a partilha excessiva dos utilizadores.
• Confidencial\Pessoas Fidedignas: encriptação que permite aos utilizadores atribuir permissões com Encrypt-Only para o Outlook e pede aos utilizadores no Word, PowerPoint e Excel. Se aplicada em e-mails, apresente a descrição DLP para avisar os utilizadores de que os utilizadores não autorizados não conseguirão ler o e-mail.
• Altamente Confidencial\Todos os Funcionários: Encriptação com Controlo Total para todos os funcionários. Se aplicado em e-mails, bloqueie a partilha excessiva dos utilizadores. Recomende a etiqueta se forem encontradas 3 a 9 instâncias de cartões de crédito com elevada confiança ou se forem encontradas mais de 10 instâncias de cartões de crédito com pouca confiança.

Política DLP A:

• Se forem encontradas 1 a 2 instâncias de cartões de crédito, bloqueie a partilha externa, exceto se o item estiver identificado como Pessoal ou Confidencial\Qualquer Pessoa (sem restrições). Enviar um alerta sobre ações repetidas num curto espaço de tempo.

Política DLP B:

• Se forem encontradas 3 a 9 instâncias de cartões de crédito, bloqueie a partilha externa, a saída da cloud e copie para unidades amovíveis, exceto se o item estiver identificado como Confidencial\Qualquer Pessoa (sem restrições). Enviar alerta sobre ações de repetição ao longo do tempo.

Política DLP C:

• Se forem encontradas mais de 10 instâncias de cartões de crédito, bloqueie a partilha externa, a saída da cloud e copie para unidades amovíveis sem exceções. Relatório sobre cada ação individual.

Fase 3

Configurações de etiquetas de confidencialidade:

• Geral\Todos os Funcionários: etiqueta predefinida para e-mail. Sem encriptação. Se aplicado em e-mails, bloqueie a partilha excessiva dos utilizadores.
• Confidencial\Todos os Funcionários: sub-etiqueta predefinida para a etiqueta principal, Confidencial. Encriptação com todos os direitos de utilização, exceto Exportar e Controlo Total para todos os funcionários. Encriptação com direitos de utilização de Controlo Total aos gestores. Recomende a etiqueta se forem encontradas 1 a 9 instâncias de cartões de crédito com pouca confiança.
• Confidencial\Pessoas Fidedignas: encriptação que permite aos utilizadores atribuir permissões com Encrypt-Only para o Outlook e pede aos utilizadores no Word, PowerPoint e Excel. Se aplicada em e-mails, apresente a descrição DLP para avisar os utilizadores de que os utilizadores não autorizados não conseguirão ler o e-mail.
• Altamente Confidencial\Todos os Funcionários: encriptação com todos os direitos de utilização, exceto Exportar e Controlo Total para todos os funcionários. Encriptação com direitos de utilização de Controlo Total aos gestores. Recomende a etiqueta se forem encontradas 1 a 9 instâncias de cartões de crédito com pouca confiança. Se aplicado em e-mails, bloqueie a partilha excessiva dos utilizadores. Aplique automaticamente a etiqueta se forem encontradas 3 a 9 instâncias de cartões de crédito com elevada confiança ou se forem encontradas mais de 10 instâncias de cartões de crédito com pouca confiança.
• Altamente Confidencial\Pessoas Específicas: encriptação que permite aos utilizadores atribuir permissões com Não Reencaminhar para o Outlook e pede aos utilizadores no Word, PowerPoint e Excel. Exceção para todas as regras de bloqueio DLP.

Política DLP A:

• Se forem encontradas 1 a 2 instâncias de cartões de crédito, bloqueie a partilha externa, exceto se o item estiver identificado como Pessoal, Confidencial\Pessoas Fidedignas ou Altamente Confidencial\Pessoas Específicas. Enviar um alerta sobre ações repetidas num curto espaço de tempo.

Política DLP B:

• Se forem encontradas 3 a 9 instâncias de cartões de crédito, bloqueie a partilha externa, a saída da cloud e copie para unidades amovíveis, exceto se o item estiver identificado como Confidencial\Qualquer Pessoa (sem restrições) ou Altamente Confidencial\Pessoas Específicas. Enviar alerta sobre ações de repetição ao longo do tempo.

Política DLP C:

• Se forem encontradas mais de 10 instâncias de cartões de crédito, bloqueie a partilha externa, a saída da cloud e copie para unidades amovíveis sem exceções. Relatório sobre cada ação individual.

Política DLP D:

• Se as etiquetas de confidencialidade de General\All Employees, Confidential\All Employees ou Highly Confidential\All Employees bloquearem a partilha externa com sugestão de política e sem exceções.

Detalhes de configuração para esta implementação faseada de exemplo:

• Subrótulo padrão para um rótulo primário
• Referência de ações e condições do Exchange de prevenção contra perda de dados
• Níveis de confiança e outros elementos de um tipo de confidencialidade
• Usar rótulos de confidencialidade como condições nas políticas DLP
• Encriptação que permite aos utilizadores atribuir permissões
• Encriptação para direitos de utilização específicos
• Configurar e ver alertas para políticas de prevenção de perda de dados

Recursos de treinamento

Guias interativos: Microsoft Purview Information Protection

Módulos de aprendizado para consultores e administradores:

• Introdução à proteção de informações e ao gerenciamento do ciclo de vida de dados do Microsoft Purview
• Classificar dados para proteção e governança
• Proteger informações no Microsoft Purview
• Evitar perda de dados no Microsoft Purview

Para ajudar a treinar seus usuários para aplicar e usar os rótulos de confidencialidade que você configurou para eles, consulte a Documentação do usuário final para rótulos de confidencialidade.

Ao implementar políticas de prevenção de perda de dados para o Teams, poderá considerar a seguinte documentação de orientação do utilizador final útil como uma introdução a esta tecnologia. Inclui algumas mensagens potenciais que os utilizadores podem ver: mensagens do Teams sobre políticas de prevenção de perda de dados (DLP) e de conformidade de comunicação.