Microsoft 365 Business: como configurar a proteção de informações do Azure

O termo proteção de informações, ou IP, é geralmente usado para abranger os padrões da indústria e as melhores práticas para proteger as informações contra acesso não autorizado. No ecossistema da Microsoft, o Azure Information Protection é um serviço de nuvem que permite às organizações classificar os dados com rótulos para controlar o acesso. A Proteção de Informações do Azure pode ser adquirida como uma licença autônoma ou agrupada em uma solução como o Microsoft 365 Business.

Aqui está uma análise dos recursos incluídos em cada uma das quatro versões da Proteção de Informações do Azure . A licença AIP Premium P1 está incluída no Microsoft 365 Business.

A evolução da Proteção de Informações do Azure

A Proteção de Informações do Azure passou por uma evolução nos últimos anos e você pode ter encontrado essa tecnologia com um nome diferente. Alguns dos nomes antigos da tecnologia são Azure Rights Management Service (Azure RMS), Azure Active Directory Rights Management (AADRM), Windows Azure Active Directory Rights Management, Gerenciamento de Direitos de Informação (IRM) ou, para alguns, simplesmente “O Novo Microsoft RMS. ” Você fará a si mesmo e à Microsoft um grande favor ao esquecer todos aqueles nomes antigos e apenas ficar com a Proteção de Informações do Azure .

A mais recente iteração dessa tecnologia de nuvem agora oferece recursos de classificação e rotulagem que podem, por sua vez, aplicar gerenciamento de direitos para proteger arquivos. Em um alto nível, a Proteção de Informações do Azure protege seus dados em três etapas principais:

Primeiro, os dados são classificados e rotulados . Por exemplo, se um documento é classificado como confidencial e deve estar disponível apenas para os destinatários do e-mail, o rótulo pode ser Confidencial - apenas destinatários. ”

Em seguida, os dados são protegidos por criptografia, controle de acesso e políticas baseadas no rótulo. Continuando com o exemplo anterior, um documento marcado com o rótulo Confidencial - Somente destinatários será criptografado para que apenas os destinatários possam lê-lo.

Finalmente, os documentos podem ser rastreados e o acesso pode ser revogado, se necessário. No exemplo anterior, o remetente do e-mail pode decidir que um dos destinatários não deve mais ter acesso ao documento. Nesse caso, o remetente pode revogar o acesso para um usuário específico.

O Office 365 Message Encryption, ou OME, é um dos recursos do Azure Information Protection. Se você tiver a licença AIP Premium P2, poderá se beneficiar de funcionalidades adicionais, como classificação automática para nuvem e dados locais. Aqui, você descobre os recursos disponíveis na licença AIP Premium P1.

Ativando a Proteção de Informações do Azure

Para começar a usar a Proteção de Informações do Azure, a primeira coisa que você precisa fazer como administrador de TI é ativar o serviço em seu locatário do Microsoft 365 Business . Mesmo se você achar que o serviço já está habilitado, não custa verificar. Veja como:

Faça login no portal de administração da Microsoft com suas credenciais de administrador global.

No painel de navegação esquerdo, no grupo Configurações, clique em Serviços e suplemento.

A página Serviços e suplementos é exibida.

Navegando para as configurações de Proteção de Informações do Microsoft Azure.

Selecione Microsoft Azure Information Protection

A janela Microsoft Azure Information Protection é exibida à direita.

Na janela Proteção de informações do Microsoft Azure, clique em Gerenciar configurações de proteção de informações do Microsoft Azure.

Confirme se o Rights Management está ativado. Se não estiver, clique no botão Ativar

Neste exemplo, o locatário já está ativado para Proteção de Informações do Azure.

Um inquilino com o Rights Management ativado.

Depois de confirmar o status das configurações de Proteção de Informações do Azure, você pode fechar com segurança a janela do navegador ou navegar de volta para o Microsoft 365 Admin Center a partir do inicializador do aplicativo.

Familiarizando-se com os rótulos de Proteção de Informações do Azure

A Proteção de Informações do Azure vem pré-configurada com políticas e rótulos padrão aplicáveis ​​à maioria das organizações, incluindo pequenas empresas. Antes de começar a pensar sobre a configuração de rótulos e políticas personalizadas para sua organização, reserve um tempo para se familiarizar com as configurações padrão da Proteção de Informações do Azure. Você pode economizar muito trabalho criando e testando políticas personalizadas.

Se o seu locatário do Office 365 foi provisionado com o Azure Information Protection depois de fevereiro de 2018, os seguintes rótulos e descrições correspondentes já estarão disponíveis:

• Pessoal: Dados não comerciais, apenas para uso pessoal.
• Público: dados de negócios especificamente preparados e aprovados para consumo público.
• Geral: dados de negócios que não se destinam ao consumo público, mas podem ser compartilhados com parceiros externos conforme necessário. Os exemplos incluem uma lista telefônica interna da empresa, organogramas, padrões internos e a maioria das comunicações internas.
• Confidencial: Dados comerciais confidenciais que podem causar danos aos negócios se compartilhados com pessoas não autorizadas. Os exemplos incluem contratos, relatórios de segurança, resumos de previsões e dados de contas de vendas. O rótulo Confidencial é subdividido em dois submarcadores:
  • Destinatários apenas: dados confidenciais que requerem proteção e que podem ser visualizados apenas pelos destinatários. Este rótulo aparecerá apenas no Outlook e aplicará a política de Não Encaminhar.
  • Todos os funcionários: dados confidenciais que requerem proteção que permite a todos os funcionários permissões totais. Os proprietários dos dados podem rastrear e revogar o conteúdo.
  • Qualquer pessoa (não protegida): Dados que não requerem proteção. Use esta opção com cuidado e com a justificativa comercial adequada.
• Altamente confidencial. Dados comerciais muito confidenciais que poderiam causar danos aos negócios se fossem compartilhados com pessoas não autorizadas. Os exemplos incluem informações de funcionários e clientes, senhas, código-fonte e relatórios financeiros pré-anunciados. O rótulo Altamente confidencial é subdividido em três submarcadores:
  • Destinatários apenas: dados altamente confidenciais que requerem proteção e que podem ser visualizados apenas pelos destinatários. Este rótulo aparecerá apenas no Outlook e aplicará a política de Não Encaminhar.
  • Todos os funcionários: Dados altamente confidenciais que permitem que todos os funcionários vejam, editem e respondam as permissões para este conteúdo. Os proprietários dos dados podem rastrear e revogar o conteúdo.
  • Qualquer pessoa (não protegida): Dados que não requerem proteção. Use esta opção com cuidado e com a justificativa comercial adequada.

Se o seu locatário do Office 365 foi provisionado antes de 21 de março de 2017, você descobrirá que os rótulos Geral e Altamente confidencial estão faltando. Seus equivalentes nos inquilinos mais antigos são Interno e Secreto, respectivamente.

To further explore these labels and corresponding policies, you need to navigate to the Azure portal and access the Azure Information Protection service settings. Here’s how:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

Azure Information Protection — Labels page in Azure.

The Confidential and Highly Confidential labels are collapsed by default. To view their sublabels, click the arrow to the left of the label to expand the selection.

A few words about Azure Information Protection policies

On the Azure Information Protection — Labels page, note that the labels all have Global under the Policy column. By default, Azure Information Protection comes with a Global policy that is applied to all users in the tenant. You can edit this policy, but you can’t delete it. You can also create new policies and configure them to your heart’s content, but the Global policy will always be there.

To view the details of the Azure Information Protection Global policy, follow these steps:

Follow Steps 1-4 above to activate Azure Protection Information.

On the Rights Management page, click the Advanced Features button

A new browser window launches and the Azure Information Protection — Labels page is displayed.

In the left menu, under the Classifications group, click Policies.

On the right, the Configure Administrative Name and Description for Each Policy blade is displayed.The Policy: Global blade is displayed.

The Policy: Global blade in Azure Information Protection.

Be careful about changing the default settings in the Global policy because it is applicable to everyone in your organization. You might want to create another policy first and test it out. If you decide to change the Global policy, make sure to save your changes. (If you forget and simply close the blade, the system will prompt you to save your changes.)

Putting Azure Information Protection Into Action

Implementing Azure Information Protection is not something you would do without thoughtful planning and the involvement of keys stakeholders in your organization. You need to make sure that the rollout is communicated to end users, training is delivered, and support is planned.

As an IT admin implementing Microsoft 365 Business, you should perform some testing and become familiar with the process before you implement Azure Information Protection for the entire organization. After you’ve explored the Azure Information Protection service in Microsoft Azure, the next step is to put what you know into action. In this phase, you need your end users to participate.

Installing the Azure Information Protection client

You can have the greatest policies and labels for Azure Information Protection in Azure, but they’ll be no good if your end users can’t see and apply them. The AIP client, a program that is run on the end users’ devices, solves this problem.

Before you install the AIP client, make sure Office ProPlus is already installed but not running on the device. When you’re ready to install the AIP client, do the following:

Navigate to the Azure Information Protection client download page.

The Microsoft Download Center appears.

Click the Download button.

The Choose the Download You Want window is displayed.

Select AzInfoProtection.exe by selecting the box and then click Next.

Downloading the Azure Information Protection client.

From the notification that pops up at the bottom of your screen, click (or double-click) Run.

The system performs a security check on the download. When the check is complete, the Microsoft Azure Information Protection window pops up.

Installation window for Azure Information Protection.

Click the I Agree button.

You can opt to install a demo policy (not recommended because it will clutter your user interface) or send usage statistics to Microsoft or both.

In the User Account Control window that displays, click Yes to start the installation.

You see the progress of the installation.

When the Microsoft Azure Information Protection window displays Completed Successfully, click the Close button.

The installation window disappears, and you’re now ready to check that the Azure Information Protection client was successfully installed.To verify the installation, open a blank document in Word. You see the labels below the ribbon.

Azure Information Protection labels displayed in Word.

Applying a label to a document

Now that the Azure Information Protection client is installed, and the labels are displayed in the Office applications, it’s time to put it to the test.

Create a Word document and pretend that it’s highly confidential.

On the Sensitivity bar, click Highly Confidential and select All Employees.

Applying the Highly Confidential/All Employees label.

The label is applied, and the other labels will disappear.

Run Outlook, start a new email, and attach the Word document.

Observe que o Outlook exibe a barra de sensibilidade com os mesmos rótulos que você viu no Word.

Digite o endereço de e-mail de um usuário em sua organização.

Insira um endereço de e-mail fora da sua organização e clique em Enviar.

O Outlook envia o e-mail aos destinatários com o rótulo Altamente confidencial / Todos os funcionários. Neste exercício, o e-mail ainda será enviado para o usuário interno e externo. O usuário interno poderá abrir e ler o documento do convite de compartilhamento. O usuário externo, entretanto, será impedido de abrir o documento e será apresentado com a mensagem mostrada aqui.

Um usuário externo bloqueado de um documento confidencial.

Revogando o acesso à informação

A Proteção de Informações do Azure evita que as informações da sua empresa caiam nas mãos erradas - mesmo depois de terem caído nas mãos erradas.

Por exemplo, suponha que você perceba que enviou acidentalmente um documento para a pessoa errada e deseja remediar a situação revogando todo o acesso ao documento. Aqui está o que você pode fazer, continuando com o exemplo acima:

Abra o documento protegido do Word do exercício anterior.

Uma barra amarela aparece, indicando a sensibilidade do documento e contendo um botão para visualizar as permissões para o documento.

Na faixa de opções, clique em Página inicial e, em seguida, clique no botão Proteger.

Um submenu aparece abaixo do botão Proteger.

Acessando o site de rastreamento de documentos.

No submenu, clique em Rastrear e Revogar para iniciar o site de rastreamento de documentos.

Seu navegador é iniciado para levá-lo ao site de rastreamento de documentos.

Se esta é a primeira vez que você visita o site, faça login com suas credenciais do Microsoft 365 Business.

Após um login bem-sucedido, o site de rastreamento de documentos exibe um resumo das visualizações do seu documento. Explore as guias para ver os recursos robustos na Proteção de Informações do Azure.

O site de rastreamento de documentos.

Na parte inferior do site de rastreamento de documentos, clique no botão Revogar acesso.

A página Revogar acesso é exibida.

Clique no botão Confirmar na parte inferior da página.

A janela Revogar Concluída é exibida.

Clique em Continuar para voltar à página de rastreamento de documentos.

Na visualização Resumo, o documento exibe o selo Revogado.

Um dos recursos mais incríveis desta solução é que na guia Mapa, você pode ver onde os usuários em todo o mundo tentaram acessar o seu documento! Portanto, se você descobrir que alguém, digamos, da Rússia ou de Timbuktu tentou abrir seu documento, embora todos os seus usuários estejam nos Estados Unidos, você saberá que o acesso ao documento deve ser revogado.