Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original
Este tópico ainda não foi avaliado como - Avalie este tópico

Considerações de planejamento para criptografia de documentos do Office

Active Directory Rights Management Services (AD RMS) é uma tecnologia de proteção de informações que pode ser usada com controle de acesso dinâmico para proteger arquivos como eles flexível são trocados dentro de uma organização ou através de limites organizacionais. AD RMS funciona com o Microsoft Office para ajudar a salvaguarda de documentos, permitindo que recursos IRM (gerenciamento) de direitos de informações quando você criar documentos usando habilitados aplicativos como Microsoft Word e Microsoft Outlook.

Usando o AD RMS para oferecer suporte aos recursos de recurso IRM no Microsoft Office, você pode criar documentos ou mensagens de e-mail e protegê-los contra uso não autorizado, como eles são compartilhados com flexibilidade em formato digital. Ao atribuir direitos, os proprietários de conteúdo podem definir exatamente como um destinatário pode usar as informações;incluindo tais direitos como a capacidade de abrir, modificar, imprimir ou encaminhar as informações.

JJ651018.note(pt-br,WS.11).gif Nota
AD RMS pode ser implementado para fornecer uma plataforma abrangente de proteção de informações em ambientes de negócios complexos. Além disso, ele pode ser efetivamente implementado para proteger as informações compartilhadas entre várias organizações. Para saber mais sobre planejamento de cenários de implantação em torno do AD RMS, consulte arquitetura de Design do AD RMS e cenários de colaboração segura(http://go.microsoft.com/fwlink/?LinkId=256399).

Este tópico fornece orientação sobre as seguintes considerações adicionais que devem ser olhadas quando você estiver usando o AD RMS para proteger e criptografar documentos do Office que você fornecerá acesso limitado pela partilha-los usando o controle de acesso dinâmico. (Para saber mais sobre obras de controle de acesso como dinâmico, consulte controle de acesso dinâmico: Visão geral do cenário de.)

  • Determinação de arquivos automaticamente criptografar

  • Determinar o modelo de diretiva de direitos para usar durante a criptografia de arquivos

  • Considerações multi

Determinar quais arquivos ou pastas para criptografar automaticamente usando a tecnologia de AD RMS, há dois aspectos a considerar. Primeiro, você deve determinar quais tipos de arquivos precisam ser criptografados. Por exemplo, você tem arquivos que contêm informações confidenciais ou informações pessoais?

Em seguida, você deve determinar quais propriedades de recurso são maneiras úteis para descrever os tipos de arquivos. Para começar, tente usar as propriedades de recurso predefinido, sempre que possível. Normalmente, isto significará que selecionando a propriedade de recurso mais apropriada na lista de propriedades de recurso que são internos ou usando a central administrativa do Active Directory definida pelo usuário. Por exemplo, a tabela a seguir fornece sugestões para algumas das propriedades de recurso interno exato, que você pode optar por usar ao identificar arquivos para ser marcada para a encriptação e direitos de proteção.

Propriedade do recurso Descrição

PII

A propriedade de recurso de informações de identificação pessoal (PII) pode ser usada para identificar arquivos que têm o PII dentro deles para garantir que os arquivos são protegidos ao nível adequado atribuído de sensibilidade. Por exemplo,

Conformidade

A propriedade de conformidade para fins de confidencialidade, de acordo com diretrizes da HIPAA em uma organização que fornece serviços de saúde.

Projeto

Esta propriedade de recurso pode ser usada para definir uma lista de valores de nome, para que o nome de um projeto especial em sua organização poderia ser aplicado a todos os seus arquivos relacionados. Isso poderia identificar arquivos de projeto para fins deles com criptografia e proteção aplicada a eles, garantindo esse projeto somente membros da equipe têm acesso para abrir e exibir esses arquivos.

Além das propriedades de recurso acima, você pode escolher outras propriedades de recurso personalizadas definidas na sua implantação que se aplicam ao seguinte critério:

  • Com base na localização do arquivo. Você pode criar uma nova definição de propriedade de recurso chamada "Local" e então definir lista de valores suportados para ele para os nomes de sites específicos ou locais dentro de sua empresa ou organização. Então, você pode atribuir valores para esta propriedade de recurso para cada um dos arquivos por sua localização. Isso pode ser uma boa estratégia para implementar, se você tem um local seguro que requer todos os documentos dentro dele seja criptografado e protegido.

  • Com base no conteúdo do arquivo. Outra maneira de criar uma propriedade de recurso para ajudar a proteger o conteúdo com base na identificação do tipo de conteúdo que é. Por exemplo, se você só precisará proteger arquivos ou documentos que tenham informações confidenciais, financeiras ou de folha de pagamento, você pode optar por usar "Financeiro" ou "Folha de pagamento" como valores com suporte para uma propriedade de "Conteúdo" de recurso e usar essa propriedade para identificar e tag arquivos que precisam ser criptografados e protegidos.

  • Com base na classificação manual. Outra forma possível identificar arquivos de classificação é manualmente classificá-las. Classificação manual dá usuários e proprietários de conteúdo, a capacidade de classificar seus arquivos e pastas usando a folha de propriedades desse arquivo ou pasta. Por exemplo, você pode classificar pastas para que qualquer arquivo adicionado à pasta herdará as classificações da pasta pai. Para obter mais informações, consulte trabalhando com arquivo de classificação.

Modelos de diretivas de direitos são usados no AD RMS para controlar os direitos de um usuário ou grupo possui em um determinado pedaço de conteúdo protegido por direitos. Quando você está decidindo sobre qual modelo usar ao criptografar arquivos na sua organização, é útil considerar o propósito e o escopo de como você pretende proteger o conteúdo.

Por exemplo, você pode considerar usar um modelo de diretiva de direitos com a finalidade de proteger o conteúdo PII que seria gerado pelo departamento de finanças ou de folha de pagamento dentro de sua organização. Neste caso você poderia nomear o modelo de "Finanças" e selecione a seguinte usuário de configuração e configurações de direitos ao criar o modelo no console do AD RMS.

  • Configure um grupo do Active Directory para ser atribuído o uso do modelo, que contém apenas os empregados de funcionários regulares que trabalham no âmbito do departamento de finanças ou de folha de pagamento. Note-se que este grupo também precisará ser configurado para um nome de correio electrónico para o AD RMS usar em identificando-o como "finance@contoso.com" ou "payroll@contoso.com".

  • Selecione View e Os direitos de exibição para limitar os funcionários do departamento na sua capacidade de modificar a folha de pagamento ou outros detalhes financeiros para documentos.

Configurações de modelo similar também podem ser feitas para proteger conteúdo considerado como informações de impacto de negócios alta (HBI) por ter um modelo "Confidencial Compnay" que impõe direitos somente semelhantes e limitado a todos os funcionários em tempo integral apenas.

Outra maneira de determinar um modelo de diretiva de direitos de uso seria aplicar o escopo como o fator determinante. Uma maneira de fazer isso seria reservar o uso de rede separado mapeado unidades ou volumes para cada departamento para que podem ser usados pelos trabalhadores dentro do departamento para armazenar seus documentos. Nesse cenário, você pode ter modelos que são específicos para cada departamento e garantindo que eles apenas estão disponíveis para serem aplicados aos arquivos na unidade mapeada de que departamento ou volume.

Por exemplo, o departamento financeiro pode ter seus arquivos de trabalho gerenciado usando um modelo para volume (unidade) F e o departamento de engenharia pode usar volume G para armazenar seus arquivos de trabalho protegido. Gerenciamento de arquivos foi configurado para que os trabalhadores em cada departamento não têm acesso ao volume do departamento. Isso será útil se você se você precisar criar mais de um gerenciamento de arquivo de tarefas para gerenciar a proteção para vários modelos de diretiva de direitos e departamentos.

JJ651018.note(pt-br,WS.11).gif Nota
Deve haver apenas uma relação de 1:1 entre modelos e tarefas de gerenciamento de arquivos. Em geral, você deve tentar usar apenas um único arquivo gestão direitos e tarefa política modelo em toda a organização para agendar e gerenciar o uso de modelo. Se você usar mais de uma tarefa de gerenciamento de modelo e arquivo como sugerido aqui, certifique-se de tomar as precauções sugeridas e gerenciar escopo separado bem para que tarefas e volumes onde os arquivos são gerenciados não são capazes de ser atribuído a proteção usando mais de um modelo único para evitar conflitos de direitos ou colisões.

Para obter mais informações sobre como trabalhar com modelos de diretiva de direitos do AD RMS, consulte os seguintes recursos adicionais:

Em trabalhar para plano de criptografia para os arquivos que você usa em sua organização, há uma série de aspectos a considerar na preparação para a implantação de multi. Para começar com, não há nenhuma maneira fácil de empurrar as tarefas de gerenciamento de arquivos e regras de classificação fora para vários computadores. Portanto, é prática comum para quem trabalha com controle de acesso dinâmico fazer nova configuração por transferir configurações de um computador para outro manualmente, embora existam algumas ferramentas que podem ajudar neste processo.

JJ651018.collapse(pt-br,WS.11).gif Escopo dinâmico usando a propriedade FolderUsage

Para cada arquivo gestão tarefa e classificação regra, você pode usar uma propriedade de gestão de uma forma que permite definir o escopo dinâmico em contraste com um escopo especificado estaticamente. No escopo estático, uma tarefa de gerenciamento de arquivo, de uma regra de classificação ou de um relatório é definido usando a pasta específica de ações, caminhos ou volumes que são específicas para o computador onde a regra foi feita. Desde que cada computador tenha um compartilhamento diferente / pasta / estrutura de volume, uma regra de escopo estaticamente é provavelmente não funciona se copiada para outros computadores.

Escopo dinâmico permite que uma tarefa, a regra ou o relatório a ser definido de tal forma, que pode ser correto calculado em qualquer computador, onde é colocado a tarefa, a regra ou o relatório. Uma regra de escopo dinamicamente pode usar uma propriedade de gestão para ajudar a calcular e aplicar a regra para pastas, observando como eles são marcados para uso. Por exemplo, você pode ter dois servidores, Server1 e Server2. No Server1, D:\share pode conter arquivos com dados de usuário e no Servidor2, E:\share é a parte usada para a mesma finalidade. Para aplicar o escopo dinâmico, você poderia especificar uma tarefa de gerenciamento de arquivo que se aplica a todas as pastas marcadas como contendo FolderUsage = "Dados de usuário". Dessa forma, a regra iria funcionar corretamente em ambos os servidores sem modificação.

JJ651018.note(pt-br,WS.11).gif Nota
Para escopo dinâmico, sempre use a definição de propriedade de FolderUsage, uma das três definições de propriedade de gestão especiais que são construídas para a infra-estrutura de serviços de arquivo.

JJ651018.collapse(pt-br,WS.11).gif Definir valores de propriedade de gestão

Enquanto os "Dados de usuário" (como foi descrito na seção anterior) é um possível valor para a propriedade de gerenciamento de FolderUsage que poderia ser aplicado, outros incluem "Dados de colaboração" ou "Dados de aplicativos" e estas classificações podem ser modificadas, estendidas ou excluídas conforme necessário. Se você quiser modificar uma propriedade de gestão tais como FolderUsage, seguem todas as formas possíveis para fazê-lo:

  1. Você pode definir a propriedade de gestão no novo Assistente de compartilhamento.

  2. No console do Gerenciador de recursos de serviços de arquivo (FSRM), na árvore à esquerda, selecione Propriedades de classificaçãoe em seguida, selecione Definir gerenciamento de propriedades no painel de tarefas à direita.

  3. Usando o Windows PowerShell, você pode usar os cmdlets Get-FSRMMgmtProperty e Set-FSRMMgmtProperty para Ver os status Propriedades de gerenciamento ou configurá-los.

JJ651018.collapse(pt-br,WS.11).gif A movimentação de configurações entre computadores

Depois que você definir ou atualizado Propriedades de gerenciamento em um único computador, que você vai querer ser capaz de mover sua configuração muda para outros computadores. A seguir estão três opções possíveis para fazê-lo:

  • Escreva um script que configura infraestrutura de classificação de arquivo (FCI).

    Para alterar a configuração de FCI em vários computadores, você pode escrever um script COM base em que usa a API de FCI para criar novas classificações de arquivo e para armazenar novas propriedades. Você pode criar aplicativos ou scripts que podem ser iniciadas por tarefas de gerenciamento de arquivos no arquivo Services Resource Manager (FSRM) ou você também podem usar diretiva de grupo para os scripts de lançamento concluído. Para obter mais informações sobre a API do FCI, consulte IFsrmPipelineModuleImplementation Interface

  • Use o Windows PowerShell remoting para usar os cmdlets do arquivo Services Resource Manager (FSRM) para configurar os computadores.

    O Windows PowerShell fornece outra plataforma de script, você pode aproveitar para realizar atualizações de configuração. Para obter mais informações sobre como usar o Windows PowerShell para criar scripts FCI, consulte Usando o Script do Windows PowerShell para classificação de arquivo.

  • Use o kit de ferramentas de classificação de dados para exportar e importar configurações.

    O kit de ferramentas de classificação de dados oferece uma outra opção para exportar e importar configurações de FCI. Ele foi projetado para ajudar a habilitar uma organização a identificar, classificar e proteger dados em seus servidores de arquivos e fornece classificação fora-de-caixa e exemplos de regra que podem ajudar as organizações a criar e implantar suas políticas para proteger informações críticas de forma econômica. Para obter mais informações, consulte Ferramentas de classificação de dados.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.