Proteger por predefinição com o Microsoft Purview e proteger contra a partilha excessiva – Fase 1
Este guia está dividido em quatro fases:
- Introdução
- Fase 1: Fundamental – comece com as etiquetas recomendadas (esta página)
- Fase 2: Gerido – Resolver ficheiros com maior sensibilidade
- Fase 3: Otimizado – Expanda para todo o seu património de dados do Microsoft 365
- Fase 4: Estratégia – Operar, expandir e retroativar ações
Fase 1: Fundamental - Começar com etiquetas recomendadas
As etiquetas de confidencialidade são etiquetas organizacionais que são significativas e intuitivas para os utilizadores finais. São integradas e consistentes em todas as soluções da Microsoft e soluções que não sejam da Microsoft, como o Adobe Acrobat Reader.
As políticas de proteção nas etiquetas variam com base no recurso de dados. Por exemplo:
- Encriptação e Marca d'Água Dinâmica em tipos de ficheiro suportados
- Controlos de Acesso Condicional e privacidade para sites do SharePoint e Teams
- Controlo de permissão em Bases de Dados SQL do Azure, Armazenamento do Azure e Amazon Web Services (AWS) S3
A estratégia para aplicar etiquetas começa frequentemente com a etiquetagem manual e, em seguida, a etiquetagem automática do lado do cliente com Tipos de Informações Confidenciais (SIT), seguida da etiquetagem automática do lado do serviço (inativo) com o SIT e condições contextuais. O SharePoint também oferece uma etiqueta predefinida contextual por biblioteca, que abordamos mais detalhadamente neste guia.
Começar com etiquetas predefinidas e proteção ao nível do ficheiro e do site
Recomendamos que comece com a seguinte definição para a maioria dos clientes. Estas etiquetas recomendadas podem ser adaptadas se tiver uma implementação existente e iteradas posteriormente com mais cenários.
No nível superior, recomendamos que comece com as seguintes etiquetas:
- Público – os dados públicos são dados sem restrições destinados ao consumo público, como código fonte divulgado publicamente e finanças anunciadas. Partilhe-o livremente.
- Geral – dados empresariais que não se destinam ao consumo público, como o produto de trabalho diário. Dados que podem ser partilhados internamente e com parceiros fidedignos.
- Confidencial – dados empresariais confidenciais cruciais para atingir os seus objetivos organizacionais. Distribuição limitada.
- Altamente confidencial – os seus dados mais críticos. Partilhe-a apenas com destinatários nomeados.
Observação
Para organizações que aceitam conteúdo pessoal em dispositivos geridos, recomendamos que defina uma etiqueta Não Empresarial ou Pessoal com a prioridade mais baixa e sem proteção.
Para Confidencial e Altamente confidencial, adicionamos as seguintes sub-etiquetas:
- \Todos os Funcionários - Os dados podem ser acedidos por qualquer pessoa na sua organização.
- \Specific Pessoas - Os dados só podem ser acedidos pelas pessoas especificadas.
- \Exceção interna – os dados podem ser acedidos por qualquer pessoa internamente, mas impedidos de serem partilhados externamente. Utilize esta etiqueta em situações em que a encriptação está a afetar as operações diárias.
Para obter uma lista completa de etiquetas principais/subordinadas com configurações recomendadas, consulte esta tabela:
| Nome do rótulo | Descrição do rótulo para usuários | Settings |
|---|---|---|
| Público | Dados de negócio preparados e aprovados para consumo público. |
Scope: Itens (Arquivo, Email) Marcação de conteúdo: Não Rotulagem automática: Não Prevenção de Perda de Dados: Nenhuma |
| Geral | Dados de negócio que não se destinam ao consumo público. No entanto, isso pode ser compartilhado com parceiros externos, conforme necessário. | Esta etiqueta está selecionada como a etiqueta predefinida para e-mails. Esta etiqueta também está selecionada para sites que permitem parceiros externos. Âmbito: Itens (Ficheiro, Email, Reuniões, Sites) Marcação de conteúdo: Não Rotulagem automática: Não Privacidade do site: Privado ou Público Prevenção de Perda de Dados: bloquear qualquer pessoa com a ligação |
| Confidencial \ Todos os Funcionários |
Dados confidenciais que exigem proteção, o que concede permissões totais a todos os funcionários. Os proprietários dos dados podem rastrear e revogar o conteúdo. | Esta etiqueta está selecionada como a etiqueta predefinida para documentos e sites. Âmbito: Itens (Ficheiro, Email, Reuniões, Sites) Criptografia: Todos os usuários e grupos na organização: Coautoria Marcação de conteúdo: Rodapé: Classificado como Confidencial Rotulagem automática: Não Privacidade do site: Privado ou Público Prevenção de Perda de Dados: bloquear qualquer pessoa com a ligação, Bloquear externo |
| Confidencial \ Pessoas Específicas |
Dados confidenciais que podem ser compartilhados com pessoas confiáveis dentro e fora da sua organização. Essas pessoas também podem compartilhar novamente os dados conforme necessário. |
Âmbito: Itens (Ficheiro, Email, Reuniões, Sites) Criptografia: permitir que os usuários atribuam permissões: - Criptografar somente para o Outlook - Avisar os usuários no Word, PowerPoint e Excel Marcação de conteúdo: Rodapé: Classificado como Confidencial Rotulagem automática: Não Privacidade do site: Privado ou Público Prevenção de Perda de Dados: bloquear qualquer pessoa com a ligação |
| Confidencial \ Exceção interna |
Dados confidenciais que não precisam ser criptografados. Use essa opção com cuidado e justificativa de negócios apropriada. | Esta etiqueta está selecionada para informações confidenciais que não precisam de ser encriptadas. Isto pode ser utilizado como uma exceção interna quando a encriptação não é suportada com um processo ou aplicação com estas informações. Tire partido da Prevenção de Perda de Dados e da Gestão de Riscos Internos para gerir riscos e desvios de utilizadores. Âmbito: Itens (Ficheiro, Email, Reuniões, Sites) Marcação de conteúdo: Rodapé: Classificado como Confidencial Etiquetagem automática:Não Privacidade do site: Privado ou Público Prevenção de Perda de Dados: bloquear qualquer pessoa com a ligação, Bloquear externo |
| Altamente Confidencial \ Todos os Funcionários |
Dados altamente confidenciais que permitem que todos os funcionários exibam, editem e respondam permissões para este conteúdo. Os proprietários dos dados podem rastrear e revogar o conteúdo. | Esse rótulo é selecionado para rotulagem automática do lado do cliente e rotulagem automática do lado do serviço. Âmbito: Itens (Ficheiro, Email, Reuniões, Sites) Criptografia: Todos os usuários e grupos na organização: Coautoria Marcação de conteúdo: Rodapé: Classificado como Altamente Confidencial Etiquetagem automática: aplique automaticamente a etiqueta. Considere aplicar automaticamente os tipos de informações confidenciais de Todas as credenciais altamente confidenciais. Privacidade do site: Privado ou Público Prevenção de Perda de Dados: bloquear qualquer pessoa com a ligação, Bloquear externo |
| Altamente Confidencial \ Pessoas Específicas |
Dados altamente confidenciais que exigem proteção e só podem ser exibidos por pessoas que você especificar e com o nível de permissão escolhido. |
Âmbito: Itens (Ficheiro, Email, Reuniões, Sites) Criptografia: permitir que os usuários atribuam permissões: - Não Encaminhar para o Outlook - Avisar os usuários no Word, PowerPoint e Excel Marcação de conteúdo: Rodapé: Classificado como Altamente Confidencial Rotulagem automática: Não Privacidade do site: Privado ou Público Prevenção de Perda de Dados: bloquear qualquer pessoa com a ligação, Bloquear externo |
| Altamente Confidencial \ Exceção interna |
Dados altamente confidenciais que não precisam de ser encriptados. Use essa opção com cuidado e justificativa de negócios apropriada. | Esta etiqueta está selecionada para informações altamente confidenciais que não precisam de ser encriptadas. Isto pode ser utilizado como uma exceção interna quando a encriptação não é suportada com um processo ou aplicação com estas informações. Tire partido da Prevenção de Perda de Dados e da Gestão de Riscos Internos para gerir riscos e desvios de utilizadores. Âmbito: Itens (Ficheiro, Email, Reuniões, Sites) Marcação de conteúdo: Rodapé: Classificado como Confidencial Rotulagem automática: Não Privacidade do site: Privado ou Público Prevenção de Perda de Dados: bloquear qualquer pessoa com a ligação, Bloquear externo |
Segurança por padrão
As etiquetas recomendadas neste modelo de implementação têm algumas diferenças em comparação com a abordagem de pesquisa/caminhada/execução tradicional ou o artigo Etiquetas e políticas predefinidas para proteger os seus dados :
- Defina a etiqueta predefinida como Confidencial\Todos os Funcionários para ficheiros . Para ficheiros existentes, tirar partido da etiquetagem automática do lado do serviço com a extensão de ficheiro de condição contextual destina-se a todos os ficheiros PPTX/DOCX/XLSX/PDF para todos os sites do SharePoint relevantes.
- Defina a etiqueta predefinida como Geral para e-mails. Isto reduz o atrito de implementação com os utilizadores capazes de funcionar normalmente, com a exceção de que os ficheiros confidenciais anexados a um e-mail herdam a etiqueta do ficheiro.
- Controlos para partilha predefinida e limites DLP
- Casos de utilização de etiquetagem automática centrados em Altamente Confidencial
- Etiqueta de Pessoas específica, intuitivamente nomeada e auto-explicativa
- A Exceção Interna aborda casos edge em que a encriptação está a impedir os utilizadores finais de trabalhar diariamente.
Destaques e recomendações
- As etiquetas devem ter um nome intuitivamente.
- Evite misturar termos como Confidencial, Restrito ou Interno em conjunto – compreender os diferentes significados dos termos pode ser um desafio para os utilizadores.
- Recomendamos que mantenha a lista de etiquetas a 5x5 sempre que possível, ou seja: até cinco etiquetas principais e até cinco etiquetas subordinadas sob um elemento principal.
- Quando aplicável, as etiquetas são utilizadas para ficheiros e sites do SharePoint.
- A funcionalidade Altamente Confidencial é geralmente feita com a etiquetagem automática e as predefinições contextuais e fornece mais controlos e restrições.
- Utilize etiquetas para definir os seus sites do SharePoint e a privacidade do Teams para Privado por predefinição.
- Para organizações que utilizam amplamente as definições de privacidade pública no SharePoint/Teams, recomendamos que atualize para Privado e utilize antes ligações partilháveis pela empresa.
- Os sites privados do SharePoint com ligações partilháveis pela empresa proporcionam a mesma flexibilidade de colaboração, mas reduzem os riscos de deteção não intencional na pesquisa e no Copilot.
- Para obter mais proteção, defina a partilha predefinida para Pessoas específicas.
- Crie uma cadeia de responsabilidade com os proprietários do site. Utilize relatórios e API do Graph para identificar desvios de utilização e comportamentos.
- Ative o DLP no conteúdo etiquetado, bloqueando qualquer pessoa com ligação e externa , quando aplicável. Os conteúdos partilhados existentes que correspondem a esses blocos de condição, os alertas DLP são gerados e as sugestões de política visíveis para os utilizadores finais.
- Ative a herança de etiquetas de e-mail. Para obter mais informações, consulte Configurar a herança de etiquetas a partir de anexos de e-mail.
Ativar os pré-requisitos de segurança de dados e a análise avançada
O Microsoft Purview tem muitas capacidades. Para reduzir os impactos para os utilizadores, algumas capacidades não são ativadas por predefinição. Recomendamos que reveja as seguintes definições:
- Ativar a capacidade de processar conteúdos no Office Online: Ativar etiquetas de confidencialidade para ficheiros no SharePoint e no OneDrive
- Ativar a etiquetagem para o Microsoft Teams e sites do SharePoint: utilize etiquetas de confidencialidade com o Microsoft Teams, Grupos do Microsoft 365 e sites do SharePoint
- Recomendamos que mantenha a etiqueta de e-mail de incompatibilidade de etiquetas. Esta funcionalidade envia um e-mail ao proprietário do documento e ao proprietário do site sobre um documento com uma sensibilidade superior à etiqueta de confidencialidade do site. Pode confirmar que não está desativado ao verificar se "-BlockSendLabelMismatchEmail" está definido como $False
- Incluir uma ligação de ajuda com "-LabelMismatchEmailHelpLink"
- Ativar o suporte para ficheiros PDF no OneDrive e no SharePoint: Ativar etiquetas de confidencialidade para ficheiros no SharePoint e no OneDrive
- Marcar ficheiros como confidenciais por predefinição: Impedir o acesso de convidado a ficheiros enquanto as regras DLP são aplicadas – SharePoint no Microsoft 365
- Análise de DLP: Introdução à análise de prevenção de perda de dados
- Ativar a cocriação para ficheiros com etiquetas de confidencialidade: Ativar a cocriação para documentos encriptados
- Ativar Indicadores de Gestão de Riscos Internos: Configurar indicadores de política na gestão de riscos internos
- Ativar as auditorias do Purview: Introdução às soluções de auditoria
- Ativar a integração com o Microsoft Entra B2B: integração do SharePoint e do OneDrive com o Microsoft Entra B2B
Ligações ou ligações partilháveis da empresa para pessoas específicas
A partilha do OneDrive e do SharePoint está configurada através de ligações partilháveis. Saiba mais aqui: Como funcionam as ligações partilháveis no OneDrive e no SharePoint no Microsoft 365
Para organizações que utilizam sites do SharePoint com definições de privacidade definidas como públicas, recomendamos a mudança para privado com ligações partilháveis predefinidas definidas para Pessoas na sua organização. A colaboração aberta está disponível para os utilizadores, mas reduz a deteção automática de conteúdos na pesquisa empresarial e no Copilot.
Dica
Para reduzir ainda mais os riscos, recomendamos que configure Pessoas específicas como predefinição.
As Etiquetas de Confidencialidade do Microsoft Purview permitem-lhe configurar as ligações partilháveis com base na etiqueta de confidencialidade do site do SharePoint. Por exemplo, esta definição facilita bastante as configurações granulares entre sites Gerais e Confidenciais . Saiba mais aqui: Utilizar etiquetas de confidencialidade para configurar o tipo de ligação de partilha predefinido
Preparar utilizadores sobre a gestão de exceções
Com a abordagem segura por predefinição, a preparação centra-se em:
- Tornar a sua organização ciente da importância de proteger as informações por predefinição.
- A importância da etiquetagem nos sites do SharePoint e a forma como as etiquetas afetam a proteção a ficheiros e a partilha.
- Como os utilizadores podem alterar etiquetas ao trabalhar com parceiros externos fidedignos.
- Como os utilizadores podem alterar etiquetas quando uma aplicação de linha de negócio ou um suplemento não funciona corretamente com a encriptação.
- Se pretende partilhar a partir do OneDrive ou do SharePoint com parceiros externos fidedignos e como selecionar a etiqueta de site adequada.
- Justificação necessária ao mudar para uma versão degradada das etiquetas.
Derivar a etiquetagem de ficheiros a partir da etiquetagem de sites do SharePoint reduz o número de vezes que os utilizadores têm de alterar a etiqueta. Por exemplo:
- O João está a partilhar um ficheiro externamente através do OneDrive. Em seguida, revê o conteúdo e determina que não é confidencial e altera a etiqueta para Geral. João partilha externamente.
- A Joana está a trabalhar com um parceiro e a partilhar vários ficheiros. A Joana utiliza o SharePoint e etiqueta o site como Geral. Todos os ficheiros no site podem ser partilhados. No entanto, se um ficheiro Confidencial for carregado no site, esse ficheiro está protegido, é enviada uma notificação à Joana sobre o ficheiro de confidencialidade superior e ela pode mover o ficheiro ou alterar a etiqueta.
- O Jack trabalha no Excel com um parceiro através de um suplemento importante para operações empresariais. Se este suplemento for incompatível com a encriptação, o João tem de alterar a etiqueta para Confidencial\Exceção interna.
Importante
Existe uma troca importante a considerar entre prioridade de etiqueta, mudança para uma versão anterior e justificação e predefinições. Por exemplo, assumindo que Geral é uma prioridade inferior a Confidencial\Todos os funcionários e se o seu cliente do Office estiver predefinido como Confidencial\Todos os funcionários, não será aplicada uma etiqueta de biblioteca predefinida do SharePoint definida como Geral . Da mesma forma, Confidencial\Exceção interna definida com uma prioridade mais alta não requer justificação. É importante rever as prioridades das etiquetas e os requisitos de justificação.
Ativar o DLP para conteúdo etiquetado
Prevenção Contra Perda de Dados do Microsoft Purview (DLP) fornece integração com etiquetas de confidencialidade, abordando rapidamente os requisitos de DLP com configurações limitadas.
Por exemplo, com as etiquetas recomendadas e predefinidas como Confidencial\Todos os funcionários, recomendamos incluir uma regra DLP para bloquear a partilha para externo e bloquear Qualquer pessoa com a ligação. Veja a tabela de etiquetas recomendada e a coluna DLP limits (Limites de DLP) para obter detalhes em cada etiqueta.
Para saber mais sobre esta funcionalidade:
- Usar rótulos de confidencialidade como condições nas políticas DLP
- Referência da política de Prevenção de Perda de Dados
- Referência de ações e condições do Exchange de prevenção contra perda de dados
Fase 1 - Resumo
No final desta fase, a sua organização tem:
- Etiquetas disponíveis para os utilizadores finais utilizarem manualmente.
- Etiquetagem predefinida para documentos e e-mails novos/atualizados.
- Comunicações e formação do utilizador sobre como gerir exceções, quer ao partilhar, quer se a encriptação estiver a causar desafios com os respetivos ficheiros empresariais.
- DLP que impede a partilha de ficheiros confidenciais.
Confira também
- Aplicar criptografia usando rótulos de confidencialidade
- Gerenciar rótulos de confidencialidade em aplicativos do Office
- Preparação do Utilizador Final para Etiquetas de Confidencialidade
- Saiba mais sobre os rótulos e políticas padrão para proteger seus dados
Passo seguinte: Fase 2: Gerido – Resolver ficheiros com maior sensibilidade