Configurar o SharePoint com uma etiqueta de confidencialidade para expandir as permissões para documentos transferidos
Orientações de licenciamento do Microsoft 365 para conformidade com & de segurança
Observação
A seguinte funcionalidade para expandir as permissões do SharePoint está gradualmente a ser implementada em pré-visualização e sujeita a alterações.
Quando o SharePoint está ativado para etiquetas de confidencialidade, pode configurar bibliotecas de documentos para expandir as permissões de sites do SharePoint existentes para documentos quando forem transferidos a partir da biblioteca. Em seguida, todos os ficheiros anteriormente não etiquetados dessa biblioteca continuam a ser protegidos com as permissões atuais do SharePoint para o utilizador, mesmo que os ficheiros tenham deixado o limite original do SharePoint.
Por exemplo, selecione a etiqueta Confidencial \ Pessoas Fidedigno como a etiqueta de confidencialidade para expandir as permissões de uma biblioteca de documentos. Nessa biblioteca, é configurado um site para permitir apenas permissões de leitura para um grupo de utilizadores específico. Um utilizador desse grupo transfere um ficheiro do site e esse ficheiro está agora identificado como Confidencial \ Pessoas Fidedigno. Apesar de o ficheiro já não estar no SharePoint, esse utilizador ainda pode ver e não editar o conteúdo ou remover a etiqueta. Apenas os utilizadores com acesso ao ficheiro no SharePoint têm acesso ao ficheiro transferido. Os utilizadores sem acesso ao ficheiro no SharePoint não poderão abrir esse ficheiro transferido, independentemente do local onde está armazenado.
Além disso, o ficheiro tem uma camada de proteção just-in-time porque o utilizador que transferiu o ficheiro também não poderá abri-lo nas seguintes circunstâncias:
- As permissões para esse utilizador são removidas do ficheiro
- O ficheiro é eliminado do site
- O site já não está ativo
- O ficheiro é movido para um site diferente
Se as permissões do SharePoint para o utilizador forem alteradas, essas alterações serão refletidas para o ficheiro transferido.
Quando estes ficheiros etiquetados estão na biblioteca de documentos, também estão protegidos contra ações de cópia e movimentação:
- Os ficheiros não podem ser copiados ou movidos para um site diferente.
- Os ficheiros podem ser copiados ou movidos para uma biblioteca de documentos diferente no mesmo site apenas se o utilizador tiver permissões do SharePoint para criar ou eliminar listas.
A etiqueta de confidencialidade especificada é aplicada a todos os ficheiros sem etiqueta e a ficheiros etiquetados, mas a configuração da etiqueta não aplica encriptação. Os ficheiros sincronizados com o OneDrive também são etiquetados.
Para ficheiros existentes etiquetados mas não encriptados, uma etiqueta aplicada manualmente também é substituída pela etiqueta especificada. Para obter um resumo rápido dos resultados possíveis, veja Será que uma etiqueta existente será substituída nesta página.
Atualmente, Microsoft 365 Copilot não consegue aceder a ficheiros não abertos que estão etiquetados com esta configuração.
Uma vez que os ficheiros não encriptados podem ser novamente etiquetados, esta configuração de etiquetagem é adequada para organizações que estão no início da implementação de etiquetagem e ainda não etiquetaram ficheiros em sites do SharePoint através de outros métodos.
Será que um rótulo existente será substituído?
Resumo dos resultados:
| Rótulo existente | Substituir com etiqueta de biblioteca para expandir permissões |
|---|---|
| Etiqueta aplicada através de quaisquer métodos (manual, automático, etiqueta predefinida da política) e configuração de etiqueta não aplica encriptação, qualquer prioridade | Sim |
| Etiqueta aplicada através de quaisquer métodos (manual, automático, etiqueta predefinida da política) e a configuração da etiqueta aplica encriptação, qualquer prioridade | Não |
Requisitos
Criou e publicou etiquetas de confidencialidade, publicadas para os utilizadores que irão selecionar a etiqueta de confidencialidade de uma biblioteca de documentos do SharePoint. As etiquetas requerem a seguinte configuração:
O âmbito da etiqueta de Ficheiros e outros recursos de dados
O controlo de acesso está selecionado com a definição de encriptação Permitir que os utilizadores atribuam permissões quando aplicam a etiqueta e a caixa de verificação Em Word, PowerPoint e Excel, peça aos utilizadores que especifiquem permissões. Por vezes, esta definição é denominada "permissões definidas pelo utilizador".
Observação
Nesta aplicação da etiqueta, não serão pedidas permissões aos utilizadores, mas as respetivas permissões do SharePoint serão aplicadas automaticamente quando um ficheiro for transferido, copiado ou movido do site.
Ativou etiquetas de confidencialidade para ficheiros do Office no SharePoint e no OneDrive. Para marcar este status, pode executar
(Get-SPOTenant).EnableAIPIntegrationa partir da Shell de Gestão do SharePoint Online para confirmar que o valor está definido como Verdadeiro.O seu inquilino foi ativado para cocriação para ficheiros encriptados com etiquetas de confidencialidade.
Para suportar etiquetas de confidencialidade para PDFs, adicionou suporte para PDFs no SharePoint. Para marcar este status, pode executar
(Get-SPOTenant).EnableSensitivityLabelforPDFa partir da Shell de Gestão do SharePoint Online para confirmar que o valor está definido como Verdadeiro.As aplicações do Windows de Microsoft 365 Apps para Grandes Empresas que transferem ficheiros requerem uma versão mínima da versão 2402 do Canal Atual, via de Atualizações Empresariais Mensais ou Semi-Annual Canal Empresarial.
A Gestão de Direitos de Informação (IRM) do SharePoint não está ativada para a biblioteca. Esta tecnologia mais antiga não é compatível com a utilização de uma etiqueta de confidencialidade para uma biblioteca de documentos do SharePoint. Se uma biblioteca estiver ativada para IRM, não poderá selecionar uma etiqueta de confidencialidade.
As permissões de administrador do site são necessárias para aplicar e alterar a etiqueta de confidencialidade no SharePoint.
Os ficheiros têm de conter conteúdo para serem etiquetados.
Se precisar de rever uma lista de tipos de ficheiro suportados por etiquetas de confidencialidade no SharePoint, consulte Tipos de ficheiro suportados.
Mapeamento de permissões do SharePoint para direitos de utilização
Utilize a tabela seguinte para compreender como as permissões do SharePoint para um utilizador são expandidas para direitos de utilização e níveis de permissão de gestão de direitos quando um ficheiro é transferido ou copiado e movido para fora do site.
| Permissão do SharePoint | Direitos de utilização aplicados | Níveis de permissão |
|---|---|---|
| Owner | Controlo total sobre o conteúdo, todas as permissões e a etiqueta de confidencialidade aplicada: VER, EXTRAIR, DOCEDIT, EDITAR, EXPORTAR, COMENTAR, IMPRIMIR, REENCAMINHAR, RESPONDER, RESPONDER A TODOS, VERRIGHTSDATA, EDITRIGHTSDATA, OBJMODEL *, PROPRIETÁRIO * |
Proprietário |
| Edit | Controlo total sobre o conteúdo, mas não pode alterar a etiqueta de confidencialidade aplicada: VER, EXTRAIR, DOCEDIT, EDITAR, EXPORTAR, COMENTAR, IMPRIMIR, REENCAMINHAR, RESPONDER, RESPONDER A TODOS, VERDADOSDADOS |
Editor |
| Leitura | Pode ver o conteúdo, mas não pode alterar o conteúdo ou a etiqueta de confidencialidade aplicada: VIEW, VIEWRIGHTSDATA |
Visualizador |
* Atualmente, estes direitos de utilização não são aplicados e, como resultado, o utilizador pode alterar a etiqueta de confidencialidade, mas não pode removê-la.
Limitações
As seguintes limitações aplicam-se quando utiliza esta configuração:
Os utilizadores não podem aplicar manualmente etiquetas de confidencialidade que não estão configuradas para aplicar encriptação.
Os utilizadores não poderão abrir ficheiros transferidos offline; têm de conseguir ligar-se ao site original.
Os utilizadores não poderão abrir ficheiros transferidos se o site, pasta ou ficheiro original do SharePoint for eliminado.
Os ficheiros etiquetados com esta configuração não podem ser movidos ou copiados para outro site.
Os ficheiros etiquetados com esta configuração só podem ser movidos ou copiados para outra biblioteca de documentos no mesmo site se os utilizadores tiverem permissões do SharePoint para criar ou eliminar listas. A etiqueta não é retida para o ficheiro copiado ou movido.
Esta configuração pode substituir uma etiqueta aplicada manualmente se a etiqueta não estiver configurada para aplicar encriptação.
Atualmente, os ficheiros etiquetados com esta configuração não são apresentados como etiquetados no explorador de conteúdos.
Microsoft 365 Copilot podem referenciar os ficheiros etiquetados se os utilizadores tiverem permissões de leitura do SharePoint, mas não resumirão estes ficheiros. Uma vez que os ficheiros não podem ser resumidos, também não podem ser utilizados pelo Copilot para gerar novos conteúdos.
Observação
Tal como acontece com todos os ficheiros encriptados com o Azure Rights Management, um superutilizador pode abrir documentos encriptados se for necessário porque a localização original já não está acessível.
Como configurar uma biblioteca de documentos do SharePoint para uma etiqueta de confidencialidade que expande as permissões para documentos transferidos
Esta configuração requer primeiro que ative a capacidade para o inquilino através do PowerShell com a Shell de Gestão do SharePoint Online. Em seguida, fica disponível uma nova caixa de verificação para as definições da biblioteca de documentos.
Execute o comando do PowerShell para ativar o suporte para expandir as permissões do SharePoint
Certifique-se de que está a executar a versão 16.0.25430.12000 ou posterior da Shell de Gestão do SharePoint Online.
Para ativar as novas capacidades, utilize o cmdlet Set-SPOTenant com o parâmetro ExtendPermissionsToUnprotectedFiles :
Através de uma conta escolar ou profissional que tenha privilégios de administrador do SharePoint no Microsoft 365, ligue-se ao SharePoint. Para saber como, consulte Introdução ao Shell de Gerenciamento do SharePoint Online.
Observação
Se você tiver o Microsoft 365 Multi-Geo, use o parâmetro -Url com Connect-SPOService e especifique a URL do site do Centro de Administração do SharePoint Online para uma de suas localizações geográficas.
Execute o seguinte comando e prima Y para confirmar:
Set-SPOTenant -ExtendPermissionsToUnprotectedFiles $truePara o Microsoft 365 Multi-Geo: repita os passos 1 e 2 para cada uma das localizações geográficas restantes.
Tal como acontece com todas as alterações de configuração ao nível do inquilino para o SharePoint, a alteração demora cerca de 15 minutos a entrar em vigor.
Configurar bibliotecas de documentos do SharePoint com uma etiqueta predefinida para expandir permissões
Para cada biblioteca de documentos do SharePoint que pretenda ter esta configuração, siga as instruções para Adicionar uma etiqueta de confidencialidade à biblioteca de documentos do SharePoint e selecione a caixa de verificação Expandir a proteção ao transferir, copiar ou mover:
Não verá esta caixa de verificação até que o comando anterior do PowerShell esteja concluído.
Depois de selecionar uma etiqueta de confidencialidade que aplica encriptação com permissões definidas pelo utilizador, guarde a configuração.
Observação
Esta funcionalidade é mutuamente exclusiva com a opção de selecionar uma etiqueta de confidencialidade predefinida para uma biblioteca de documentos do SharePoint que suporte etiquetas de confidencialidade sem encriptação e etiquetas de confidencialidade configuradas com a opção Atribuir permissões agora (por vezes denominada "permissões definidas pelo administrador").
A etiqueta de confidencialidade selecionada será aplicada a todos os ficheiros sem etiquetas e a ficheiros etiquetados, mas a configuração da etiqueta não aplica encriptação. A coluna Confidencialidade da biblioteca de documentos apresenta a etiqueta selecionada para ficheiros existentes, novos e editados. Os utilizadores veem a etiqueta selecionada apresentada quando abrem o ficheiro para edição, mas não irão deparar-se com alterações nas permissões como resultado da etiqueta.
Depois de configurar a biblioteca com a etiqueta de confidencialidade, todos os ficheiros existentes serão ressincronizados se a biblioteca for sincronizada através do cliente Sincronização do OneDrive. O processo de ressincronização pode demorar algum tempo e, até estar concluído, a proteção expandida não será aplicada.
Importante
Na biblioteca de documentos do SharePoint que configurou para a etiqueta de confidencialidade, os utilizadores não podem remover a etiqueta de confidencialidade aplicada nas respetivas aplicações do Office e só podem alterá-la se a etiqueta de substituição aplicar encriptação.
Monitorizar a aplicação da etiqueta de confidencialidade que expande as permissões do SharePoint
Uma vez que esta configuração expande a funcionalidade de uma etiqueta de confidencialidade predefinida para uma biblioteca de documentos, pode monitorizar a configuração da mesma forma. O GUID da etiqueta de confidencialidade identificará a configuração de encriptação para permissões definidas pelo utilizador. Não existe nenhum evento de auditoria de etiquetagem separado para quando um ficheiro é transferido, copiado ou movido.
Como desativar esta funcionalidade
Se quiser que uma biblioteca de documentos específica do SharePoint deixe de expandir as permissões com uma etiqueta de confidencialidade, desmarque a caixa de verificação Expandir a proteção ao transferir, copiar ou mover como uma definição de biblioteca de documentos do SharePoint. Depois:
Os ficheiros na biblioteca de documentos que foram anteriormente etiquetados com esta configuração reverter à respetiva etiqueta original que não aplicou a encriptação ou sem etiqueta se essa era a status original antes da seleção da caixa de verificação.
Os ficheiros sincronizados com o OneDrive serão ressincronizados e reverter de forma semelhante à etiqueta anterior status. O processo de ressincronização pode demorar algum tempo e, até estar concluído, a proteção expandida permanecerá.
Os ficheiros etiquetados que são agora transferidos mantêm a etiqueta.
Se quiser desativar esta funcionalidade ao nível do inquilino quando esta tiver sido ativada e configurada anteriormente, desmarque primeiro a caixa de verificação Expandir a proteção ao transferir, copiar ou mover de todas as bibliotecas de documentos onde foi selecionada. Em seguida, utilize o mesmo cmdlet Set-SPOTenant com o parâmetro ExtendPermissionsToUnprotectedFiles , mas defina o valor como falso. Depois:
- A caixa de verificação Expandir a proteção ao transferir, copiar ou mover já não está visível como uma definição de biblioteca de documentos do SharePoint.
Se desativar a funcionalidade ao nível do inquilino sem primeiro desmarcar a caixa de verificação de uma biblioteca de documentos, a configuração permanece, mas sem a caixa de verificação para a desativar.
Neste cenário, para desativar a configuração, execute o comando do PowerShell para permitir que o suporte expanda as permissões do SharePoint para apresentar novamente a caixa de verificação, para que possa desmarcar a mesma. Se não quiser reativar o suporte ao nível do inquilino, contacte Suporte da Microsoft para o contactar através dos comandos do PowerShell para remover a configuração de uma biblioteca de documentos específica.
Próximas etapas
Embora esta configuração proporcione proteção imediata em escala para ficheiros armazenados no SharePoint, não tem em conta os conteúdos do ficheiro que podem necessitar de um nível mais elevado de proteção. Considere complementar este método de etiquetagem com etiquetagem automática que utiliza a inspeção de conteúdo para aplicar etiquetas de confidencialidade com encriptação.