Roteiro de implantação do AIP para classificação, rotulagem e proteção
Observação
Está procurando pela Proteção de Informações do Microsoft Purview, conhecida anteriormente como MIP (Proteção de Informações da Microsoft)?
O suplemento Proteção de Informações do Azure é desativado e substituído por rótulos internos aos seus aplicativos e serviços do Microsoft 365. Saiba mais sobre o status de suporte de outros componentes da Proteção de Informações do Azure.
O novo cliente da Proteção de Informações da Microsoft (sem o suplemento) está atualmente em visualização e agendado para disponibilidade geral.
Use as seguintes etapas como recomendações para ajudá-lo a se preparar, implementar e gerenciar a Proteção de Informações do Azure para sua organização, quando quiser classificar, rotular e proteger seus dados.
Este roteiro é recomendado para todos os clientes com uma assinatura de suporte. Os recursos adicionais incluem a descoberta de informações confidenciais e a rotulagem de documentos e emails para classificação.
Os rótulos também podem aplicar proteção, simplificando essa etapa para seus usuários.
Dica
Talvez você esteja procurando um dos seguintes artigos:
Processo de implantação
Execute as seguintes etapas:
- Confirme sua assinatura e atribua licenças de usuário
- Prepare seu locatário para usar a Proteção de Informações do Azure
- Configure e implante classificação e rotulagem
- Prepare-se para a proteção de dados
- Configure rótulos e configurações, aplicativos e serviços para proteção de dados
- Use e monitore suas soluções de proteção de dados
- Administrar o serviço de proteção para sua conta de locatário conforme necessário
Dica
Já está usando a funcionalidade de proteção da Proteção de Informações do Azure? Você pode pular muitas dessas etapas e se concentrar nas etapas 3 e 5.1.
Confirme sua assinatura e atribua licenças de usuário
Confirme se sua organização tem uma assinatura que inclui a funcionalidade e os recursos esperados. Para obter mais informações, consulte a página Diretrizes de licenciamento do Microsoft 365 para conformidade de segurança e conformidade .
Em seguida, atribua licenças dessa assinatura a cada usuário em sua organização que classificará, rotulará e protegerá documentos e emails.
Importante
Não atribua manualmente licenças de usuário da assinatura gratuita do RMS para indivíduos e não use essa licença para administrar o serviço Azure Rights Management para sua organização.
Essas licenças são exibidas como Rights Management Adhoc no Centro de administração do Microsoft 365 e RIGHTSMANAGEMENT_ADHOC quando você executa o cmdlet do PowerShell do Azure AD, Get-MsolAccountSku.
Para obter mais informações, consulte RMS para indivíduos e Proteção de Informações do Azure.
Observação
Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Nota: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.
Prepare seu locatário para usar a Proteção de Informações do Azure
Antes de começar a usar a Proteção de Informações do Azure, verifique se você tem contas de usuário e grupos no Microsoft 365 ou na ID do Microsoft Entra que o AIP pode usar para autenticar e autorizar seus usuários.
Se necessário, crie essas contas e grupos ou sincronize-os a partir do diretório local.
Para obter mais informações, consulte Preparando usuários e grupos para a Proteção de Informações do Azure.
Configure e implante classificação e rotulagem
Execute as seguintes etapas:
Digitalize seus arquivos (opcional, mas recomendado)
Implante o cliente da Proteção de Informações do Azure e instale e execute o scanner para descobrir as informações confidenciais que você tem em seus armazenamentos de dados locais.
As informações que o scanner encontra podem ajudá-lo com sua taxonomia de classificação, fornecer informações valiosas sobre quais rótulos você precisa e quais arquivos precisam ser protegidos.
O modo de descoberta doscanner não requer nenhuma configuração de rótulo ou taxonomia e, portanto, é adequado neste estágio inicial de sua implantação. Você também pode usar essa configuração do scanner em paralelo com as etapas de implantação a seguir, até configurar a rotulagem recomendada ou automática.
Personalize a política de API padrão.
Se você ainda não tiver uma estratégia de classificação, use uma política padrão como base para determinar quais rótulos serão necessários para seus dados. Personalize esses rótulos conforme necessário para atender às suas necessidades.
Por exemplo, convém reconfigurar seus rótulos com os seguintes detalhes:
- Certifique-se de que seus rótulos apoiem suas decisões de classificação.
- Configure políticas para rotulagem manual por usuários
- Escreva orientações ao usuário para ajudar a explicar qual rótulo deve ser aplicado em cada cenário.
- Se sua política padrão foi criada com rótulos que aplicam proteção automaticamente, convém remover temporariamente as configurações de proteção ou desabilitar o rótulo enquanto testa suas configurações.
Os rótulos de confidencialidade e as políticas de rotulagem para o cliente de rotulagem unificada são configurados no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Saiba mais sobre rótulos de confidencialidade.
Implante seu cliente para seus usuários
Depois de configurar uma política, implante o cliente da Proteção de Informações do Azure para seus usuários. Forneça treinamento ao usuário e instruções específicas sobre quando selecionar os rótulos.
Para obter mais informações, consulte o guia do administrador do cliente de rotulagem unificada.
Introduza configurações mais avançadas
Espere que seus usuários fiquem mais confortáveis com rótulos em seus documentos e emails. Quando estiver pronto, introduza configurações avançadas, como:
- Aplicando rótulos padrão
- Solicitar justificativa aos usuários se eles escolherem um rótulo com um nível de classificação inferior ou removerem um rótulo
- Todos os documentos e emails devem obrigatoriamente ter um rótulo
- Personalizando cabeçalhos, rodapés ou marcas d'água
- Rotulagem recomendada e automática
Para obter mais informações, confira Guia de administração: configuração personalizada.
Dica
Se você configurou rótulos para rotulagem automática, execute o scanner da Proteção de Informações do Azure novamente em seus armazenamentos de dados locais no modo de descoberta e para corresponder à sua política.
A execução do scanner no modo de descoberta informa quais rótulos seriam aplicados aos arquivos, o que ajuda a ajustar a configuração do rótulo e o prepara para classificar e proteger arquivos em massa.
Prepare-se para a proteção de dados
Introduza a proteção de dados para seus dados mais confidenciais assim que os usuários se sentirem confortáveis para rotular documentos e emails.
Execute as seguintes etapas para se preparar para a proteção de dados:
Determine como você deseja gerenciar sua chave de locatário.
Decida se você deseja que a Microsoft gerencie sua chave de locatário (o padrão) ou se você mesmo gerenciará e controlará sua chave de locatário (conhecida como bring your own key ou BYOK).
Para obter mais informaões e opções para proteção local e adicional, consulte Planejamento e implementação da sua chave de locatário da Proteção de Informações do Azure.
Instale o PowerShell para AIP.
Instale o módulo do PowerShell para AIPService em pelo menos um computador que tenha acesso à Internet. Você pode fazer essa etapa agora ou mais tarde.
Para obter mais informações, consulte Instalar um módulo do PowerShell.
Somente AD RMS: migre suas chaves, modelos e URLs para a nuvem.
Se você estiver usando o AD RMS, execute uma migração para mover as chaves, modelos e URLs para a nuvem.
Para obter mais informações, confira Migrando do AD RMS para a Proteção de Informações.
Proteção ativa.
Certifique-se de que o serviço de proteção está ativado para que você possa começar a proteger documentos e emails. Se você estiver implantando em várias fases, configure os controles de integração do usuário para restringir a capacidade dos usuários de aplicar proteção.
Para obter mais informações, confira Ativar o serviço da Proteção de Informações do Azure.
Considere o log de uso (opcional).
Considere o uso de log para monitorar como sua organização está usando o serviço de proteção. Você pode fazer essa etapa agora ou mais tarde.
Para obter mais informações, consulte Registrar em log e analisar o uso da Proteção de Informações do Azure.
Configure rótulos e configurações, aplicativos e serviços para proteção de dados
Execute as seguintes etapas:
Atualize seus rótulos para aplicar proteção
Para obter mais informações, consulte Restringir o acesso ao conteúdo usando criptografia em rótulos de confidencialidade.
Importante
Os usuários podem aplicar rótulos no Outlook que aplicam a proteção do Rights Management mesmo que o Exchange não esteja configurado para o IRM (gerenciamento de direitos de informação).
No entanto, até que o Exchange seja configurado para o IRM ou Criptografia de Mensagens do Microsoft 365 com capacidades, sua organização não obterá todas as funcionalidades do uso da proteção do Azure Rights Management com o Exchange. Essa configuração adicional está incluída na lista a seguir (2 para o Exchange Online e 5 para o Exchange local).
Configurar aplicativos e serviços do Office
Configure aplicativos e serviços do Office para os recursos de gerenciamento de direitos de informação (IRM) no Microsoft SharePoint ou no Exchange Online.
Para obter mais informações, confira Configurar aplicativos para o Azure Rights Management.
Configurar o recurso de superusuário para recuperação de dados
Se você tiver serviços de TI existentes que precisem inspecionar arquivos que a Proteção de Informações do Azure protegerá, como soluções de prevenção de vazamento de dados (DLP), gateways de criptografia de conteúdo (CEG) e produtos antimalware, configure as contas de serviço para serem superusuários do Azure Rights Management.
Para obter mais informações, confira Configurar os superusuários para Proteção de Informações do Microsoft Azure e descoberta de serviços ou recuperação de dados.
Classificar e proteger arquivos existentes em massa
Para seus armazenamentos de dados locais, agora execute o scanner da Proteção de Informações do Azure no modo de imposição para que os arquivos sejam rotulados automaticamente.
Para arquivos em PCs, use cmdlets do PowerShell para classificar e proteger arquivos. Para obter mais informações, consulte Usar o PowerShell com o cliente de Proteção de Informações do Azure.
Para armazenamentos de dados baseados em nuvem, use o Microsoft Defender para Aplicativos de Nuvem.
Dica
Embora classificar e proteger arquivos existentes em massa não seja um dos principais casos de uso dos aplicativos do Defender for Cloud, soluções alternativas documentadas podem ajudá-lo a classificar e proteger seus arquivos.
Implantar o conector para bibliotecas protegidas por IRM no SharePoint Server e emails protegidos por IRM para Exchange local
Se você tiver o SharePoint e o Exchange locais e quiser usar seus recursos de gerenciamento de direitos de informação (IRM), instale e configure o conector Rights Management.
Para obter mais informações, confira Implantacão do conector do Microsoft Rights Management.
Use e monitore suas soluções de proteção de dados
Agora você está pronto para monitorar como sua organização está usando os rótulos que você configurou e confirmar que está protegendo informações confidenciais.
Para obter mais informações, consulte as seguintes páginas:
- Relatórios centrais para a Proteção de Informações do Azure atualmente em preview
- Registrar em log e analisar o uso de proteção da Proteção de Informações do Azure
Administrar o serviço de proteção para sua conta de locatário conforme necessário
À medida que você começa a usar o serviço de proteção, você pode achar o PowerShell útil para ajudar a criar scripts ou automatizar alterações administrativas. O PowerShell também pode ser necessário para algumas das configurações avançadas.
Para obter mais informações, confira Administrando a Proteção de Informações do Azure usando o PowerShell.
Próximas etapas
Ao implantar a Proteção de Informações do Azure, talvez seja útil verificar as perguntas frequentes, problemas conhecidos e a página de informações e suporte para obter recursos adicionais.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de