Roteiro de implantação do AIP para classificação, rotulagem e proteção

Use as etapas a seguir como recomendações para ajudá-lo a se preparar, implementar e gerenciar a Proteção de Informações do Azure para sua organização, quando quiser classificar, rotular e proteger seus dados.

Este roteiro é recomendado para todos os clientes com uma assinatura de suporte. Recursos adicionais incluem a descoberta de informações confidenciais e a rotulagem de documentos e e-mails para classificação.

As etiquetas também podem aplicar proteção, simplificando esta etapa para os seus utilizadores.

Processo de implementação

Efetue os seguintes passos:

1. Confirme a sua subscrição e atribua licenças de utilizador
2. Preparar seu locatário para usar a Proteção de Informações do Azure
3. Configurar e implantar classificação e rotulagem
4. Prepare-se para a proteção de dados
5. Configurar etiquetas e definições, aplicações e serviços para proteção de dados
6. Utilize e monitorize as suas soluções de proteção de dados
7. Administrar o serviço de proteção para sua conta de locatário conforme necessário

Confirme a sua subscrição e atribua licenças de utilizador

Confirme se a sua organização tem uma subscrição que inclui a funcionalidade e as funcionalidades esperadas. Para obter mais informações, consulte a página Diretrizes de licenciamento do Microsoft 365 para segurança e conformidade .

Em seguida, atribua licenças dessa assinatura a cada usuário em sua organização que classificará, rotulará e protegerá documentos e e-mails.

Preparar seu locatário para usar a Proteção de Informações do Azure

Antes de começar a usar a Proteção de Informações do Azure, verifique se você tem contas de usuário e grupos no Microsoft 365 ou no Microsoft Entra ID que o AIP pode usar para autenticar e autorizar seus usuários.

Se necessário, crie essas contas e grupos ou sincronize-os a partir do diretório local.

Para obter mais informações, consulte Preparando usuários e grupos para a Proteção de Informações do Azure.

Configurar e implantar classificação e rotulagem

Efetue os seguintes passos:

1. Analise os seus ficheiros (opcional, mas recomendado)

   Implante o cliente do Azure Information Protection e, em seguida , instale e execute o mecanismo de varredura para descobrir as informações confidenciais que você tem em seus armazenamentos de dados locais.

   As informações que o mecanismo de varredura encontra podem ajudá-lo com sua taxonomia de classificação, fornecer informações valiosas sobre quais rótulos você precisa e quais arquivos precisam ser protegidos.

   O modo de descoberta do scanner não requer nenhuma configuração de rótulo ou taxonomia e, portanto, é adequado neste estágio inicial da implantação. Você também pode usar essa configuração do scanner em paralelo com as etapas de implantação a seguir, até configurar a rotulagem recomendada ou automática.

2. Personalize a política de AIP padrão.

   Se você ainda não tiver uma estratégia de classificação, use uma política padrão como base para determinar quais rótulos serão necessários para seus dados. Personalize essas etiquetas conforme necessário para atender às suas necessidades.

   Por exemplo, talvez você queira reconfigurar seus rótulos com os seguintes detalhes:

   • Certifique-se de que os seus rótulos apoiam as suas decisões de classificação.
   • Configurar políticas para rotulagem manual por usuários
   • Escreva orientações para o usuário para ajudar a explicar qual rótulo deve ser aplicado em cada cenário.
   • Se a sua política predefinida tiver sido criada com etiquetas que aplicam automaticamente a proteção, poderá remover temporariamente as definições de proteção ou desativar a etiqueta enquanto testa as definições.

   Os rótulos de sensibilidade e as políticas de rotulagem para o cliente de rotulagem unificado são configurados no portal de conformidade do Microsoft Purview. Para obter mais informações, consulte Saiba mais sobre rótulos de sensibilidade.

3. Implante seu cliente para seus usuários

   Depois de configurar uma política, implante o cliente do Azure Information Protection para seus usuários. Fornecer treinamento ao usuário e instruções específicas sobre quando selecionar os rótulos.

   Para obter mais informações, consulte o guia do administrador do cliente de rotulagem unificada.

4. Introduza configurações mais avançadas

   Espere que seus usuários se sintam mais confortáveis com as etiquetas em seus documentos e e-mails. Quando estiver pronto, introduza configurações avançadas, como:

   • Aplicação de etiquetas predefinidas
   • Solicitar aos utilizadores uma justificação se escolherem uma etiqueta com um nível de classificação inferior ou removerem uma etiqueta
   • Obrigando que todos os documentos e e-mails tenham uma etiqueta
   • Personalização de cabeçalhos, rodapés ou marcas d'água
   • Etiquetagem recomendada e automática

   Para obter mais informações, consulte Guia do administrador: configurações personalizadas.

   Gorjeta

   Se você configurou rótulos para rotulagem automática, execute o mecanismo de varredura da Proteção de Informações do Azure novamente em seus armazenamentos de dados locais no modo de descoberta e para corresponder à sua política.

   A execução do mecanismo de varredura no modo de descoberta informa quais rótulos seriam aplicados aos arquivos, o que ajuda a ajustar a configuração do rótulo e prepara você para classificar e proteger arquivos em massa.

Prepare-se para a proteção de dados

Introduza a proteção de dados para os seus dados mais confidenciais assim que os utilizadores se sentirem confortáveis a rotular documentos e e-mails.

Execute as seguintes etapas para se preparar para a proteção de dados:

1. Determine como você deseja gerenciar sua chave de locatário.

   Decida se deseja que a Microsoft gerencie sua chave de locatário (o padrão) ou gere e gerencie sua chave de locatário por conta própria (conhecida como traga sua própria chave ou BYOK).

   Para obter mais informações e opções para proteção local adicional, consulte Planejando e implementando sua chave de locatário da Proteção de Informações do Azure.

2. Instale o PowerShell para AIP.

   Instale o módulo PowerShell para AIPService em pelo menos um computador que tenha acesso à Internet. Você pode fazer essa etapa agora ou mais tarde.

   Para obter mais informações, consulte Instalando o módulo AIPService PowerShell.

3. Apenas AD RMS: migre as suas chaves, modelos e URLs para a nuvem.

   Se você estiver usando o AD RMS, execute uma migração para mover as chaves, modelos e URLs para a nuvem.

   Para obter mais informações, consulte Migrando do AD RMS para a Proteção de Informações.

4. Ative a proteção.

   Certifique-se de que o serviço de proteção está ativado para que você possa começar a proteger documentos e e-mails. Se você estiver implantando em várias fases, configure os controles de integração do usuário para restringir a capacidade dos usuários de aplicar proteção.

   Para obter mais informações, consulte Ativando o serviço de proteção da Proteção de Informações do Azure.

5. Considere o registro de uso (opcional).

   Considere registrar o uso para monitorar como sua organização está usando o serviço de proteção. Você pode fazer essa etapa agora ou mais tarde.

   Para obter mais informações, consulte Registrando em log e analisando o uso de proteção da Proteção de Informações do Azure.

Configurar etiquetas e definições, aplicações e serviços para proteção de dados

Efetue os seguintes passos:

1. Atualize as etiquetas para aplicar proteção

   Para obter mais informações, consulte Restringir o acesso ao conteúdo usando criptografia em rótulos de sensibilidade.

   Importante

   Os usuários podem aplicar rótulos no Outlook que aplicam a proteção do Rights Management mesmo que o Exchange não esteja configurado para gerenciamento de direitos de informação (IRM).

   No entanto, até que o Exchange seja configurado para IRM ou Microsoft 365 Message Encryption com novos recursos, sua organização não obterá a funcionalidade completa de usar a proteção do Azure Rights Management com o Exchange. Essa configuração adicional está incluída na lista a seguir (2 para Exchange Online e 5 para Exchange local).

2. Configurar aplicativos e serviços do Office

   Configure aplicativos e serviços do Office para os recursos de gerenciamento de direitos de informação (IRM) no Microsoft SharePoint ou no Exchange Online.

   Para obter mais informações, consulte Configurando aplicativos para o Azure Rights Management.

3. Configurar o recurso de superusuário para recuperação de dados

   Se você tiver serviços de TI existentes que precisem inspecionar arquivos que a Proteção de Informações do Azure protegerá, como soluções de prevenção de vazamento de dados (DLP), gateways de criptografia de conteúdo (CEG) e produtos antimalware, configure as contas de serviço para serem superusuários do Azure Rights Management.

   Para obter mais informações, consulte Configurando superusuários para a Proteção de Informações do Azure e serviços de descoberta ou recuperação de dados.

4. Classificar e proteger arquivos existentes em massa

   Para seus armazenamentos de dados locais, execute agora o mecanismo de varredura da Proteção de Informações do Azure no modo de imposição para que os arquivos sejam rotulados automaticamente.

   Para arquivos em PCs, use cmdlets do PowerShell para classificar e proteger arquivos. Para obter mais informações, consulte Usando o PowerShell com o cliente de rotulagem unificada da Proteção de Informações do Azure.

   Para armazenamentos de dados baseados em nuvem, use o Microsoft Defender for Cloud Apps.

   Gorjeta

   Embora classificar e proteger arquivos existentes em massa não seja um dos principais casos de uso do Defender for Cloud Apps, soluções alternativas documentadas podem ajudá-lo a classificar e proteger seus arquivos.

5. Implante o conector para bibliotecas protegidas por IRM no SharePoint Server e emails protegidos por IRM para o Exchange local

   Se você tiver o SharePoint e o Exchange no local e quiser usar seus recursos de gerenciamento de direitos de informação (IRM), instale e configure o conector do Rights Management.

   Para obter mais informações, consulte Implantando o conector do Microsoft Rights Management.

Utilize e monitorize as suas soluções de proteção de dados

Agora você está pronto para monitorar como sua organização está usando os rótulos que configurou e confirmar que está protegendo informações confidenciais.

Para obter mais informações, consulte as seguintes páginas:

• Relatórios centrais para a Proteção de Informações do Azure - atualmente em pré-visualização
• Registrando e analisando o uso de proteção da Proteção de Informações do Azure

Administrar o serviço de proteção para sua conta de locatário conforme necessário

Ao começar a usar o serviço de proteção, você pode achar o PowerShell útil para criar scripts ou automatizar alterações administrativas. O PowerShell também pode ser necessário para algumas das configurações avançadas.

Para obter mais informações, consulte Administrando a proteção da Proteção de Informações do Azure usando o PowerShell.

Próximos passos

Ao implantar a Proteção de Informações do Azure, você pode achar útil verificar as perguntas frequentes, os problemas conhecidos e a página de informações e suporte para obter recursos adicionais.