Use rótulos de confidencialidade para proteger o conteúdo do Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint

Diretrizes de licenciamento do Microsoft 365 para segurança e conformidade.

Além de usar rótulos de confidencialidade para proteger documentos e emails, você também pode usar rótulos de confidencialidade para proteger o conteúdo nos seguintes contêineres: sites do Microsoft Teams, grupos do Microsoft 365 (anteriormente grupos do Office 365 ) e sites do SharePoint. Para essa proteção no nível do contêiner, utilize as seguintes configurações de rótulo:

  • Privacidade (pública ou privada) de sites de equipes e grupos do Microsoft 365
  • Acesso de usuários externos
  • Compartilhamento externo de sites do Microsoft Office SharePoint Online
  • Acesso de dispositivos não gerenciados
  • Contextos de autenticação
  • Impedir a descoberta de equipes privadas para usuários que têm essa funcionalidade
  • Controle de canais compartilhados para convites de equipe
  • Link de compartilhamento padrão para um site do SharePoint (configuração somente do PowerShell)
  • Configurações de compartilhamento de site (configuração somente do PowerShell)
  • Rótulo padrão para reuniões de canal

Importante

As configurações para dispositivos não gerenciados e contextos de autenticação funcionam em conjunto com Microsoft Entra Acesso Condicional. Você deve configurar este recurso dependente se quiser usar um rótulo de confidencialidade para essas configurações. Informações adicionais estão incluídas nas instruções abaixo.

Quando você aplica esse rótulo de confidencialidade a um contêiner com suporte, o rótulo aplica automaticamente a categoria de confidencialidade e as configurações de proteção configuradas ao site ou grupo.

Lembre-se de que algumas opções de rótulo podem estender as configurações aos proprietários do site que, de outra forma, estão restritas aos administradores. Quando você configura e publica as configurações de rótulo para opções de compartilhamento externo e o contexto de autenticação, agora um proprietário do site pode definir e alterar essas opções para um site aplicando ou alterando o rótulo de confidencialidade para uma equipe ou site. Não configure essas configurações de rótulo específicas se você não quiser que os proprietários do site possam fazer essas alterações.

O conteúdo nesses recipientes, no entanto, não herda os rótulos da categoria de confidencialidade ou as configurações de arquivos e emails, como marcações de conteúdo e criptografia. Para que os usuários possam rotular seus documentos em sites do SharePoint ou em sites de equipe, habilite rótulos de confidencialidade para arquivos do Office no Microsoft Office SharePoint Online e OneDrive.

Os rótulos do contêiner não suportam a exibição de outros idiomas e exibem o idioma original apenas para o nome e a descrição do rótulo.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Use rótulos de confidencialidade para Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint

Antes de habilitar os rótulos de confidencialidade para contêineres e configurar rótulos de confidencialidade para as novas configurações, os usuários podem ver e aplicar rótulos de confidencialidade em seus aplicativos. Por exemplo, no Word:

Um rótulo de confidencialidade exibido no aplicativo de área de trabalho Word.

Depois de habilitar e configurar os rótulos de confidencialidade para os contêineres, os usuários também podem ver e aplicar rótulos de confidencialidade ao Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint. Por exemplo, quando você cria um novo site de equipe no SharePoint:

Um rótulo de confidencialidade ao criar um site de equipe do SharePoint.

Depois que um rótulo de confidencialidade tiver sido aplicado a um site, você deverá ter a seguinte função para alterar esse rótulo no SharePoint ou no Teams:

  • Para um site de conexão de grupo: Proprietários do grupo Microsoft 365
  • Para um site que não está conectado ao grupo: administrador do site do SharePoint

Observação

Os rótulos de confidencialidade para recipientes suportam os Canais compartilhados do Teams. Se uma equipe tiver canais compartilhados, ela herdará automaticamente as configurações de rótulo de confidencialidade de sua equipe pai e esse rótulo não poderá ser removido ou substituído por um rótulo diferente.

Como habilitar rótulos de confidencialidade para contêineres e sincronizar rótulos

Se você ainda não ativou os rótulos de confidencialidade para contêineres, execute o seguinte conjunto de etapas como um procedimento único:

  1. Como esse recurso usa Microsoft Entra funcionalidade, siga as instruções da documentação Microsoft Entra para habilitar o suporte ao rótulo de confidencialidade: atribuir rótulos de confidencialidade a grupos do Microsoft 365 em Microsoft Entra ID.

  2. Agora você precisa sincronizar seus rótulos de confidencialidade para Microsoft Entra ID. Primeiro, conecte-se a Segurança e Conformidade do PowerShell.

    Por exemplo, em uma sessão do PowerShell que você executa como administrador, entre com uma conta de administrador global.

  3. Execute o seguinte comando para assegurar seus rótulos de confidencialidade possam ser usados com os grupos do Microsoft 365:

    Execute-AzureAdLabelSync
    

Como definir grupos e configurações de site

Depois que os rótulos de confidencialidade são habilitados para contêineres conforme descrito na seção anterior, você pode definir as configurações de proteção para grupos e sites no assistente de rotulagem de confidencialidade. Até que os rótulos de confidencialidade sejam habilitados para contêineres, as configurações ficam visíveis no assistente, mas você não pode defini-las.

  1. Siga as instruções gerais para criar ou editar um rótulo de confidencialidade e certifique-se de selecionar Grupos e sites para o escopo do rótulo:

    Opção de escopo do rótulo de confidencialidade para grupos & sites.

    Quando apenas este escopo é selecionado para o rótulo, o rótulo não será exibido em aplicativos do Office que oferecem suporte a rótulos de confidencialidade e não pode ser aplicado a arquivos e emails. Ter essa separação de rótulos pode ser útil para usuários e administradores, mas também pode aumentar a complexidade da implantação de rótulos.

    Por exemplo, você precisa revisar cuidadosamente seu pedido de rótuloporque o SharePoint detecta quando um documento rotulado é carregado em um site rotulado. Nesse cenário, um evento de auditoria e um email são gerados automaticamente quando o documento tem um rótulo de confidencialidade de prioridade mais alta do que o rótulo do site. Para obter mais informações, confira a seção Atividades de rótulo de confidencialidade de auditoria nesta página.

  2. Em seguida, na página Definir configurações de proteção para grupos e sites , selecione as opções que você deseja configurar:

    • Configurações de privacidade e acesso de usuário externo para definir as configurações de Privacidade e Acesso de usuários externos.
    • Configurações de compartilhamento externo e acesso condicional para configurar o compartilhamento externo controle de sites rotulados do SharePoint e usar Microsoft Entra Acesso Condicional para proteger a configuração de sites do SharePoint rotulados.
    • Descoberta de equipes privadas e controles de canal compartilhado para configurar as configurações para impedir que os usuários que podem descobrir equipes privadas encontrem uma equipe privada com esse rótulo de confidencialidade aplicado e controles de compartilhamento de canal para convites para outras equipes.

    Além disso, se você estiver editando um rótulo existente em que o escopo inclui itens e reuniões e configurou rótulos para proteger reuniões, você poderá selecionar um rótulo padrão para reuniões de canal e todos os chats de canal. Para reuniões que não são de canal, você pode selecionar um rótulo padrão como uma configuração de política.

  3. Se você selecionou Privacidade e configurações de acesso de usuário externo, agora defina as seguintes configurações:

    • Privacidade: Mantenha o padrão do Público se desejar que qualquer pessoa em sua organização acesse o site de equipe ou grupo onde este rótulo é aplicado.

      Selecione Particular se desejar que o acesso seja restrito apenas a membros aprovados da sua organização.

      Selecione Nenhum quando quiser proteger o conteúdo no contêiner usando o rótulo de confidencialidade, mas ainda permitir que os próprios usuários definam a configuração de privacidade.

      Selecione Pública ou Privada para definir e bloquear a configuração de privacidade quando você aplicar esse rótulo ao contêiner. A configuração escolhida substituirá qualquer configuração de privacidade anterior que possa ser configurada para a equipe ou grupo, e bloqueará o valor de privacidade para que ele possa ser alterado apenas pela primeira remoção da etiqueta de confidencialidade do contêiner. Depois de remover o rótulo de confidencialidade, a configuração de privacidade do rótulo permanece e os usuários agora podem alterá-lo novamente.

    • Acesso de usuário externo: Controle se o proprietário do grupo pode adicionar convidados ao grupo.

  4. Se você selecionou Configurações de compartilhamento externo e Acesso Condicional, agora defina as seguintes configurações:

    • Controle o compartilhamento externo de sites rotulados do Microsoft Office SharePoint Online: Selecione esta opção para selecionar o compartilhamento externo para qualquer pessoa, convidados novos e existentes, convidados existentes ou apenas pessoas em sua organização. pessoas em sua organização. Para obter mais informações sobre essa configuração e definições, confira a documentação do Microsoft Office SharePoint Online, Ativar ou desativar o compartilhamento externo para um site.

    • Use Microsoft Entra Acesso Condicional para proteger sites rotulados do SharePoint: selecione essa opção somente se sua organização tiver configurado e estiver usando Microsoft Entra Acesso Condicional. Em seguida, selecione uma das seguintes configurações:

      • Determine se os usuários podem acessar sites do SharePoint de dispositivos não gerenciados: essa opção usa o recurso do SharePoint que usa Microsoft Entra Acesso Condicional para bloquear ou limitar o acesso ao conteúdo do SharePoint e do OneDrive de dispositivos não gerenciados. Para obter mais informações, consulte Controle de acesso de dispositivos não gerenciados na documentação do Microsoft Office SharePoint Online. A opção que você especifica para esta configuração de rótulo é o equivalente a executar um comando Windows PowerShell para um site, conforme descrito nas etapas 3 a 5 de Bloquear ou limitar o acesso a um site específico do Microsoft Office SharePoint Online ou seção OneDrive das instruções do Microsoft Office SharePoint Online.

        Para obter informações adicionais de configuração, confira Mais informações sobre as dependências da opção de dispositivos não gerenciados no final desta seção.

      • Escolha um contexto de autenticação existente: essa opção permite impor condições de acesso mais rigorosas quando os usuários acessam sites do SharePoint que têm esse rótulo aplicado. Essas condições são aplicadas quando você seleciona um contexto de autenticação existente que foi criado e publicado para a implantação de Acesso Condicional da sua organização. Se os usuários não atenderem às condições configuradas ou se usarem aplicativos que não oferecem suporte a contextos de autenticação, o acesso será negado.

        Para obter informações adicionais de configuração, confira Mais informações sobre as dependências da opção de contexto de autenticação no final desta seção.

        Exemplos para esta configuração de rótulo:

        • Você escolhe um contexto de autenticação configurado para exigir autenticação multifator (MFA). Esse rótulo é então aplicado a um site do Microsoft Office SharePoint Online que contém itens altamente confidenciais. Como resultado, quando os usuários de uma rede não confiável tentam acessar um documento neste site, eles veem o prompt do MFA que devem ser preenchidos antes de acessar o documento.

        • Você escolhe um contexto de autenticação que é configurado para políticas de termos de uso (ToU). Esse rótulo é então aplicado a um site do Microsoft Office SharePoint Online que contém itens que exigem a aceitação dos termos de uso por motivos legais ou de conformidade. Como resultado, quando os usuários tentam acessar um documento neste site, eles veem um documento de termos de uso que devem aceitar antes de acessar o documento original.

  5. Se você selecionou a descoberta de equipes privadas e controles de canal compartilhado:

    • Para a descoberta de equipes privadas, use a caixa de seleção Permitir que os usuários descubram equipes privadas que têm esse rótulo aplicado quando você configurou uma política do Teams que permite a descoberta de equipes privadas:

      • Quando a caixa de seleção for selecionada (a configuração padrão), uma equipe privada com o rótulo de confidencialidade aplicado será detectável para um usuário que tem permissão para descobrir equipes privadas.
      • Quando a caixa de seleção for desmarcada, uma equipe privada com o rótulo de confidencialidade aplicado permanecerá oculta e não será detectável para todos os usuários.
    • Para canais compartilhados do Teams, quando uma equipe tem um rótulo de confidencialidade aplicado, você pode permitir ou impedir que outras equipes sejam convidadas para os canais compartilhados da equipe original. Para obter mais informações sobre canais compartilhados, consulte Canais compartilhados no Microsoft Teams.

      Importante

      Essas opções para canais compartilhados do Teams têm uma dependência das configurações na página de privacidade e acesso externo do usuário anterior. Se você selecionar uma opção que não seja compatível com essas configurações anteriores, verá uma mensagem de validação para alterar sua seleção. Como alternativa, você pode voltar à configuração para alterar a configuração dependente.

      As opções incluem somente interno, somente rótulo Mesmo e equipe privada. Somente a última opção pode potencialmente remover equipes convidadas anteriormente e nenhuma das opções afeta convites para usuários individuais.

As configurações de site e grupo entrarão em vigor quando você aplica o rótulo a uma equipe, grupo ou site. Se o escopo do rótulo inclui arquivos e emails, outras configurações de rótulo, como criptografia e marcação de conteúdo, não são aplicadas ao conteúdo da equipe, grupo ou site.

Se o seu rótulo de confidencialidade ainda não estiver publicado, publique-o agora adicionando-o a uma política de rótulo de confidencialidade. Os usuários aos quais tenha sido atribuída uma política de rótulo de confidencialidade que inclua esse rótulo poderão selecioná-lo para sites e grupos.

Mais informações sobre as dependências da opção de dispositivos não gerenciados

Se você não configurar a política de acesso condicional dependente conforme documentado em Usar restrições impostas do aplicativo, a opção que você especificar aqui não terá efeito. Além disso, não terá efeito se for menos restritivo do que a configuração definida ao nível do locatário. Se você definiu uma configuração em toda a organização para dispositivos não gerenciados, escolha uma configuração de rótulo que seja igual ou mais restritiva

Por exemplo, se seu locatário estiver configurado para Permitir acesso limitado apenas à Web, a configuração de rótulo que permite acesso total não terá efeito porque é menos restritiva. Para esta configuração de nível de locatário, escolha a configuração de rótulo para bloquear o acesso (mais restritiva) ou a configuração de rótulo para acesso limitado (a mesma que a configuração do locatário).

Como você pode definir as configurações do SharePoint separadamente da configuração do rótulo, não há verificação na configuração do rótulo de confidencialidade de que as dependências estejam no lugar. Essas dependências podem ser configuradas depois que o rótulo é criado e publicado, e mesmo depois que o rótulo é aplicado. No entanto, se o rótulo já estiver aplicado, a configuração do rótulo não entrará em vigor até a próxima autenticação do usuário.

Mais informações sobre as dependências da opção de contexto de autenticação

Para exibir na lista suspensa para seleção, os contextos de autenticação devem ser criados, configurados e publicados como parte de sua configuração de acesso condicional Microsoft Entra. Para obter mais informações e instruções, consulte a seção Configurar contextos de autenticação da documentação Microsoft Entra Acesso Condicional.

Nem todos os aplicativos oferecem suporte a contextos de autenticação. Se um usuário com um aplicativo sem suporte se conectar ao site configurado para um contexto de autenticação, ele verá uma mensagem de acesso negado ou será solicitado a autenticar, mas foi rejeitado. Os aplicativos que atualmente oferecem suporte a contextos de autenticação:

  • Office na Web, que inclui Outlook para a web

  • Microsoft Teams para Windows e macOS (exclui o aplicativo Web do Teams)

  • Microsoft Planner

  • Microsoft 365 Apps para Word, Excel e PowerPoint; versões mínimas:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 2.48.303
    • Android: 16.0.13924.10000
  • Microsoft 365 Apps para Outlook; versões mínimas:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 4.2109.0
    • Android: 4.2025.1
  • Aplicativo de Sincronização do Microsoft OneDrive, versões mínimas:

    • Windows: 21.002
    • macOS: 21.002
    • iOS: 12.30
    • Android: ainda sem suportado

Limitações conhecidas:

  • Para o aplicativo de Sincronização do Microsoft OneDrive, compatível apenas com OneDrive e não para outros sites.

  • Os seguintes recursos e aplicativos podem ser incompatíveis com contextos de autenticação, portanto, encorajamos você a marcar que eles continuem funcionando depois que um usuário acessa um site com êxito usando um contexto de autenticação:

    • Fluxos de trabalho que usam PowerApps ou Power Automate
    • Aplicativos de terceiros

Além das configurações de rótulo para sites e grupos que você pode configurar no portal de conformidade do Microsoft Purview, você também pode configurar o tipo de vínculo de compartilhamento padrão para um site. Os rótulos de confidencialidade para documentos também podem ser configurados para um tipo de vínculo de compartilhamento padrão. Essas configurações que ajudam a evitar o compartilhamento excessivo são selecionadas automaticamente quando os usuários selecionam o botão Compartilhar em seus aplicativos do Office.

Para obter mais informações e instruções, confira Usar rótulos de confidencialidade para configurar o tipo de vínculo de compartilhamento padrão para sites e documentos no SharePoint e no OneDrive.

Configurar permissões de compartilhamento de site usando configurações avançadas do PowerShell

Outra configuração avançada do PowerShell que você pode definir para que o rótulo de confidencialidade seja aplicado a um site do SharePoint é MembersCanShare. Essa configuração é a configuração equivalente que você pode definir no centro > de administração do SharePoint Permissões> dosite Compartilhamento>de site Alterar como os membros podem compartilhar>permissões de compartilhamento.

As três opções são listadas com os valores equivalentes para a configuração avançada do PowerShell MembersCanShare:

Opção a partir do Centro de administração do SharePoint Valor equivalente do PowerShell para MembersCanShare
Proprietários e membros do site podem compartilhar arquivos, pastas e o site. Pessoas com permissões editar podem compartilhar arquivos e pastas. MemberShareAll
Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. MemberShareFileAndFolder
Somente os proprietários do site podem compartilhar arquivos, pastas e o site. MemberShareNone

Para obter mais informações sobre essas opções de configuração, consulte Alterar como os membros podem compartilhar na documentação da comunidade do SharePoint.

Exemplo, onde a etiqueta de sensibilidade GUID é 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}

Para obter mais ajuda na especificação de configurações avançadas do PowerShell, consulte Dicas do PowerShell para especificar as configurações avançadas.

Gerenciamento de rótulo de confidencialidade

Use as diretrizes a seguir para criar, modificar ou excluir rótulos de confidencialidade que estão configurados para sites e grupos.

Criar e publicar rótulos configurados para sites e grupos

Use as diretrizes a seguir para publicar um rótulo para seus usuários quando esse rótulo estiver configurado para as configurações de site e de grupo:

  1. Depois de criar e configurar o rótulo de confidencialidade, adicione esse rótulo a uma política de rótulo que se aplica a apenas alguns usuários de teste.

  2. Aguarde o seguinte prazo para que a alteração seja replicada:

    • Novo rótulo: aguarde pelo menos uma hora, a menos que suas configurações configuradas incluam controles de canal compartilhado do Teams. Se esse for o caso, aguarde pelo menos 24 horas.
    • Rótulo existente: aguarde pelo menos 24 horas.

    Para obter mais informações sobre o tempo dos rótulos, confira Quando esperar que novos rótulos e alterações entrem em vigor.

  3. Após esse período de espera, use uma das contas de usuário de teste para criar uma equipe, grupo do Microsoft 365 ou site do SharePoint com o rótulo que você criou na etapa 1.

  4. Se não houver erros durante a operação de criação, você saberá que é seguro publicar o rótulo para todos os usuários em seu locatário.

Modificar rótulos publicados que estão configurados para sites e grupos

Como prática recomendada, não altere as configurações de site e grupo de um rótulo de confidencialidade após aplicá-lo a várias equipes, grupos ou sites. Se você fizer isso, lembre-se de esperar pelo menos 24 horas para que as alterações sejam replicadas em todos os contêineres que têm o rótulo aplicado.

Além disso, se suas alterações incluírem a configuração de Acesso de usuários externos:

  • A nova configuração aplica-se a novos usuários, mas não a usuários existentes. Por exemplo, se essa configuração tiver sido selecionada anteriormente e, como resultado, os usuários convidados acessarem o site. esses usuários convidados ainda poderão acessar o site depois que essa configuração for limpa na configuração do rótulo.

  • As configurações de privacidade para as propriedades do grupo hiddenMembership e roleEnabled não são atualizadas.

Excluindo rótulos publicados que estão configurados para sites e grupos

Se você excluir um rótulo de confidencialidade com as configurações de site e grupo ativadas e esse rótulo estiver incluído em uma ou mais políticas de rótulo, essas ações poderão resultar em falhas na criação de todas as equipes, grupos e sites. Para evitar essa situação, use as instruções a seguir:

  1. Remova o rótulo de confidencialidade de todas as políticas de rótulo que incluam o rótulo.

  2. Espere pelo menos uma hora.

  3. Após esse período de espera, tente criar uma equipe, grupo ou site e confirme se o rótulo não está mais visível.

  4. Se a etiqueta de confidencialidade não estiver visível, agora você pode excluí-la com segurança.

Como aplicar rótulos de confidencialidade aos contêineres

Agora você está pronto para aplicar os rótulos ou rótulos de confidencialidade aos seguintes contêineres:

Você pode usar o Windows PowerShell se precisar aplicar um rótulo de confidencialidade a vários sites.

Aplicar rótulos de confidencialidade aos grupos do Microsoft 365

Agora você está pronto para aplicar os rótulos ou rótulos de confidencialidade aos grupos do Microsoft 365. Retorne à documentação do Microsoft Entra para obter instruções:

Aplicar um rótulo de confidencialidade a uma nova equipe

Os usuários podem selecionar os rótulos de confidencialidade ao criar novas equipes no Microsoft Teams. Quando eles selecionam o rótulo na lista suspensa Confidencialidade, a configuração de privacidade pode mudar para refletir a configuração de rótulo. Dependendo da configuração de acesso de usuários externos que você selecionou para o rótulo, os usuários podem ou não adicionar pessoas de fora da organização à equipe.

Saiba mais sobre Rótulos de confidencialidade

A configuração de privacidade ao criar uma nova equipe.

Depois de criar a equipe, o rótulo de confidencialidade aparecerá no canto superior direito de todos os canais.

O rótulo de confidencialidade aparece na equipe.

O serviço aplica automaticamente o mesmo rótulo de confidencialidade ao grupo do Microsoft 365 e ao site de equipe do SharePoint conectado.

Aplicar um rótulo de confidencialidade a um novo grupo no Outlook na Web

No Outlook na Web, ao criar um novo grupo, você pode selecionar ou alterar a opção de Confidencialidade para rótulos publicados:

Criando um grupo e selecionando uma opção em Confidencialidade.

Aplicar um rótulo de confidencialidade a um novo site

Os administradores e os usuários finais podem selecionar os rótulos de confidencialidade ao criar sites de equipe e sites de comunicação modernos e expandir as Configurações avançadas:

Criando um site e selecionando uma opção de Confidencialidade.

A caixa suspensa exibe os nomes dos rótulos para a seleção e o ícone de ajuda exibe todos os nomes dos rótulos com a dica de ferramenta, o que pode ajudar os usuários a determinar o rótulo correto a ser aplicado.

Quando o rótulo é aplicado e os usuários navegam no site, eles veem o nome do rótulo e as políticas aplicadas. Por exemplo, este site foi rotulado como Confidencial e a configuração de privacidade está definida como Privada:

Um site com uma etiqueta de confidencialidade aplicada.

Usar o Windows PowerShell para aplicar um rótulo de confidencialidade a vários sites

Você pode usar o cmdlet Set-SPOSite e Set-SPOTenant com o parâmetro SensitivityLabel do atual SharePoint Online Management Shell para aplicar um rótulo de confidencialidade a vários sites. Você pode usar o mesmo procedimento para substituir um rótulo existente. Os sites podem ser um conjunto de sites do Microsoft Office SharePoint Online ou um site do OneDrive.

Verifique se você tem a versão 16.0.19418.12000 ou posterior do Shell de gerenciamento do SharePoint Online.

  1. Abra uma sessão do Windows PowerShell com a opção Executar como administrador.

  2. Se você não souber o GUID de seu rótulo: Conectar a Segurança e Conformidade do PowerShell e obter a lista de rótulos de confidencialidade e seus GUIDs.

    Get-Label |ft Name, Guid
    
  3. Agora conectar-se ao SharePoint Online PowerShell e armazenar o GUID de seu rótulo como uma variável. Por exemplo:

    $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
    
  4. Criar uma nova variável que identifique vários sites com uma cadeia de caracteres de identificação em comum na URL. Por exemplo:

    $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
    
  5. Execute o seguinte comando para aplicar o rótulo a esses sites. Usando nossos exemplos:

    $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
    

Esta série de comandos permite rotular vários sites em seu locatário com o mesmo rótulo de confidencialidade, é por isso que você usa o cmdlet Set-SPOTenant, em vez do cmdlet Set-SPOSite que é usado para configuração por site. No entanto, use o cmdlet Set-SPOSite quando precisar aplicar um rótulo diferente a sites específicos, repetindo o seguinte comando para cada um desses sites: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

Exibir e gerenciar rótulos de confidencialidade no Centro de Administração do SharePoint Online

Para exibir, classificar e pesquisar os rótulos de confidencialidade aplicados, use sites ativos no novo centro de administração do SharePoint. Talvez seja necessário adicionar primeiro a coluna Confidencialidade:

A coluna Confidencialidade na página sites ativos.

Para obter mais informações sobre como gerenciar sites na página de sites ativos, inclusive como adicionar uma coluna, confira Gerenciar sites no novo Centro de Administração do SharePoint Online.

Você também pode alterar e aplicar um rótulo da seguinte página:

  1. Selecione o nome do site para abrir o painel de detalhes.

  2. Selecione a guia Políticas e, em seguida, selecione Editar para a configuração de Confidencialidade.

  3. No painel Editar configuração de confidencialidade, selecione o rótulo de confidencialidade que deseja aplicar ao site. Ao contrário dos aplicativos de usuário, em que rótulos de confidencialidade podem ser atribuídos a usuários específicos, o centro de administração exibe todos os rótulos de contêiner para seu locatário. Depois de escolher um rótulo de confidencialidade, selecione Salvar.

Suporte de rótulos de confidencialidade.

Ao usar centros de administração que dão suporte a rótulos de confidencialidade, com exceção do centro de administração do Microsoft Entra, você verá todos os rótulos de confidencialidade para seu locatário. Em comparação, os aplicativos e serviços do usuário que filtram os rótulos de confidencialidade de acordo com as políticas de publicação podem resultar na visualização de um subconjunto desses rótulos. O centro de administração do Microsoft Entra também filtra os rótulos de acordo com as políticas de publicação.

Os seguintes aplicativos e serviços oferecem suporte as etiquetas de confidencialidade configuradas para configurações de sites e grupos:

  • Centros de administração:

    • Centro de administração do SharePoint
    • Centro de administração do Teams
    • Centro de administração do Microsoft 365
    • Portal de conformidade do Microsoft Purview
  • Aplicativos e serviços do usuário:

    • Microsoft Office SharePoint Online
    • Teams
    • Outlook na Web e para Windows, macOS, iOS e Android
    • Formulários
    • Stream
    • Planner

Os seguintes aplicativos e serviços não oferecem suporte as etiquetas de confidencialidade configuradas para configurações de sites e grupos:

  • Centros de administração:

    • Centro de administração do Exchange
  • Aplicativos e serviços do usuário:

    • Dynamics 365
    • Viva Engage
    • Project
    • Power BI
    • Portal dos Meus Aplicativos

Classificação de grupo de Microsoft Entra clássica

Depois de habilitar rótulos de confidencialidade para contêineres, as classificações de grupo de Microsoft Entra ID não têm mais suporte do Microsoft 365 e não serão exibidas em sites que dão suporte a rótulos de confidencialidade. No entanto, você pode converter suas classificações antigas em rótulos de confidencialidade.

Como um exemplo de como você pode ter usado a classificação de grupo antiga do SharePoint, confira Classificação de sites “moderna”.

Essas classificações foram configuradas usando o Microsoft Graph PowerShell ou a biblioteca PnP Core e definindo valores para a ClassificationList configuração.

($setting["ClassificationList"])

Para converter suas classificações antigas em rótulos de confidencialidade, siga um destes procedimentos:

  • Usar rótulos existentes: Especifique as configurações de rótulo desejadas para sites e grupos editando rótulos de confidencialidade existentes que já foram publicados.

  • Criar novos rótulos: Especifique as configurações de rótulos desejados para sites e grupos, criando e publicando novos rótulos de confidencialidade que tenham os mesmos nomes das suas classificações existentes.

Depois:

  1. Use o PowerShell para aplicar os rótulos de confidencialidade a grupos existentes do Microsoft 365 e sites do SharePoint usando o mapeamento de nomes. Confira a seção a seguir para obter instruções.

  2. Remova as classificações antigas dos grupos e sites existentes.

Embora você não possa impedir que os usuários criem novos grupos em aplicativos e serviços que ainda não suportam rótulos de confidencialidade, é possível executar um script recorrente do PowerShell para procurar novos grupos que os usuários criaram com as classificações antigas e convertê-los para uso de rótulos de confidencialidade.

Para ajudar você a gerenciar a coexistência de rótulos de confidencialidade e classificações de Microsoft Entra para sites e grupos, consulte Microsoft Entra rótulos de classificação e confidencialidade para grupos do Microsoft 365.

Use o PowerShell para converter classificações de grupos do Microsoft 365 em rótulos de confidencialidade

  1. Primeiro, conecte-se a Segurança e Conformidade do PowerShell.

    Por exemplo, em uma sessão do PowerShell que você executa como administrador, entre com uma conta de administrador global:

  2. Obtenha a lista de rótulos de confidencialidade e suas GUIDs usando o cmdlet Get-Label:

    Get-Label |ft Name, Guid
    
  3. Anote o GUIDe dos rótulos de confidencialidade que você deseja aplicar a seus grupos do Microsoft 365.

  4. Agora conecte-se ao Exchange Online PowerShell em uma janela separada do Windows PowerShell.

  5. Use o seguinte comando como exemplo para obter a lista de grupos que atualmente têm a classificação "Geral":

    $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
    
  6. Para cada grupo, adicione o novo GUID de rótulo de confidencialidade. Por exemplo:

    foreach ($g in $groups)
    {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
    
  7. Repita as etapas 5 e 6 para as classificações de grupo restantes.

Atividades de rótulo de confidencialidade de auditoria

Importante

Se você usar a separação de rótulos selecionando apenas o escopo Grupos e sites para rótulos que protegem os contêineres: por causa do evento de auditoria de Incompatibilidade de confidencialidade do documento detectada e email descrito nesta seção, considere ordenar os rótulos antes dos rótulos que têm um escopo para Arquivos e emails.

Se alguém enviar um documento para um site protegido por um rótulo de confidencialidade e o documento tiver um rótulo de confidencialidade com prioridade mais alta que o rótulo de confidencialidade aplicado ao site, essa ação não será bloqueada. Por exemplo, você aplicou o rótulo Geral a um site do SharePoint e alguém carrega neste site um documento chamado Confidencial. Como um rótulo de confidencialidade com prioridade mais alta identifica o conteúdo que é mais confidencial do que o conteúdo com ordem de prioridade mais baixa, essa situação pode ser um problema de segurança.

Embora a ação não seja bloqueada, ela é auditada e, por padrão, gera automaticamente um email para a pessoa que carregou o documento e para o administrador do site. Como resultado, tanto o usuário como os administradores podem identificar documentos que tenham esse desalinhamento da prioridade do rótulo e tomar medidas, se necessário. Por exemplo, excluir ou mover o documento carregado do site.

Não seria um problema de segurança se o documento tivesse um rótulo de confidencialidade de prioridade mais baixa que o rótulo de confidencialidade aplicado ao site. Por exemplo, um documento chamado Geral é carregado em um site chamado Confidencial. Neste cenário, um evento de auditoria e email não são gerados.

Observação

Assim como para a opção de política que exige que os usuários forneçam uma justificativa para alterar um rótulo para uma classificação inferior, os sub-rótulos para o mesmo rótulo pai são considerados como tendo a mesma prioridade.

Para pesquisar o log de auditoria para esse evento, procure por Incompatibilidade de confidencialidade em documento detectada na categoria Atividades de arquivo e página.

O email gerado automaticamente tem o assunto Rótulo de confidencialidade incompatível detectado e a mensagem do email explica a incompatibilidade de rótulo com um link para o documento e o site carregados. Ele também contém uma linha para sua própria documentação interna: HelpLink : Guia de solução de problemas. Você deve configurar o hiperlink para o guia de solução de problemas usando o cmdlet Set-SPOTenant com o parâmetro LabelMismatchEmailHelpLink . Por exemplo:

Set-SPOTenant –LabelMismatchEmailHelpLink "https://support.contoso.com"

A mensagem de email também tem um link de documentação da Microsoft que fornece informações básicas para os usuários alterarem o rótulo de confidencialidade: aplicar rótulos de confidencialidade aos seus arquivos e email no Office

Exceto pela URL interna que você deve especificar, esses emails automatizados não podem ser personalizados. No entanto, você pode impedi-los de serem enviados ao usar o seguinte comando do PowerShell do Set-SPOTenant:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

Quando alguém adiciona ou remove um rótulo de confidencialidade para ou de um site ou grupo, essas atividades também são auditadas, mas não geram um email automático.

Todos esses eventos podem ser encontrados na categoria Atividades de rótulo de confidencialidade. Para obter instruções para pesquisar o log de auditoria, consulte Pesquisar o log de auditoria no portal de conformidade.

Como desabilitar os rótulos de confidencialidade para contêineres

Você pode desativar os rótulos de confidencialidade do Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint usando as mesmas instruções de Habilitar o suporte a rótulo de confidencialidade no PowerShell. No entanto, para desabilitar o recurso, na etapa 5, especifique $setting["EnableMIPLabels"] = "False".

Além de tornar todas as configurações não disponíveis para grupos e sites ao criar ou editar rótulos de confidencialidade, esta ação reverte a propriedade que os contêineres usam para sua configuração. Habilitar rótulos de confidencialidade para o Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint alterna a propriedade usada de Classificação (usada para Microsoft Entra classificação de grupo) para Confidencialidade. Quando você desabilita os rótulos de confidencialidade para contêineres, os contêineres ignoram a propriedade Confidencialidade e usam novamente a propriedade de Classificação.

Isso significa que todas as configurações de rótulo de sites e grupos aplicados anteriormente aos contêineres não serão forçadas e os contêineres não exibirão mais os rótulos.

Se esses contêineres tiverem Microsoft Entra valores de classificação aplicados a eles, os contêineres reverter a usar as classificações novamente. Lembre-se de que todos os novos sites ou grupos criados depois de habilitar o recurso não exibirão um rótulo ou terão uma classificação. Para esses contêineres e todos os novos contêineres, você pode aplicar valores de classificação. Para saber mais, confira Classificação de sites modernos do Microsoft Office SharePoint Online e Criar classificações para grupos do Office em sua organização.

Recursos adicionais

Para obter mais informações sobre como gerenciar sites conectados ao Teams e sites de canais, confira Gerenciar sites conectados ao Teams e sites de canais.