Partilhar via


Use rótulos de confidencialidade para proteger o conteúdo do Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint

Diretrizes de licenciamento do Microsoft 365 para segurança e conformidade.

Além de usar rótulos de confidencialidade para proteger documentos e emails, você também pode usar rótulos de confidencialidade para proteger o conteúdo nos seguintes contêineres: sites do Microsoft Teams, grupos do Microsoft 365 (anteriormente grupos do Office 365 ) e sites do SharePoint. Para essa proteção no nível do contêiner, utilize as seguintes configurações de rótulo:

  • Privacidade (pública ou privada) de sites de equipes e grupos do Microsoft 365
  • Acesso de usuários externos
  • Compartilhamento externo de sites do Microsoft Office SharePoint Online
  • Acesso de dispositivos não gerenciados
  • Contextos de autenticação
  • Impedir a deteção de equipas privadas para utilizadores com esta capacidade
  • Controlo de canais partilhados para convites de equipa
  • Link de compartilhamento padrão para um site do SharePoint (configuração somente do PowerShell)
  • Definições de partilha de sites (configuração apenas do PowerShell)
  • Etiqueta predefinida para reuniões de canal

Importante

As definições para dispositivos não geridos e contextos de autenticação funcionam em conjunto com Microsoft Entra Acesso Condicional. Você deve configurar este recurso dependente se quiser usar um rótulo de confidencialidade para essas configurações. Informações adicionais estão incluídas nas instruções abaixo.

Quando você aplica esse rótulo de confidencialidade a um contêiner com suporte, o rótulo aplica automaticamente a categoria de confidencialidade e as configurações de proteção configuradas ao site ou grupo.

Tenha em atenção que algumas opções de etiqueta podem alargar as definições de configuração aos proprietários de sites que, de outra forma, estão restringidas aos administradores. Quando configura e publica as definições de etiqueta para as opções de partilha externa e o contexto de autenticação, um proprietário do site pode agora definir e alterar estas opções para um site ao aplicar ou alterar a etiqueta de confidencialidade de uma equipa ou site. Não configure estas definições de etiqueta específicas se não quiser que os proprietários do site possam fazer estas alterações.

O conteúdo nesses recipientes, no entanto, não herda os rótulos da categoria de confidencialidade ou as configurações de arquivos e emails, como marcações de conteúdo e criptografia. Para que os usuários possam rotular seus documentos em sites do SharePoint ou em sites de equipe, habilite rótulos de confidencialidade para arquivos do Office no Microsoft Office SharePoint Online e OneDrive.

Os rótulos do contêiner não suportam a exibição de outros idiomas e exibem o idioma original apenas para o nome e a descrição do rótulo.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Use rótulos de confidencialidade para Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint

Antes de habilitar os rótulos de confidencialidade para contêineres e configurar rótulos de confidencialidade para as novas configurações, os usuários podem ver e aplicar rótulos de confidencialidade em seus aplicativos. Por exemplo, no Word:

Uma etiqueta de confidencialidade apresentada na aplicação de ambiente de trabalho Word.

Depois de habilitar e configurar os rótulos de confidencialidade para os contêineres, os usuários também podem ver e aplicar rótulos de confidencialidade ao Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint. Por exemplo, quando você cria um novo site de equipe no SharePoint:

Uma etiqueta de confidencialidade ao criar um site de equipa a partir do SharePoint.

Depois de uma etiqueta de confidencialidade ter sido aplicada a um site, tem de ter a seguinte função para alterar essa etiqueta no SharePoint ou no Teams:

  • Para um site de ligação de grupo: Proprietários de grupos do Microsoft 365
  • Para um site que não está ligado a um grupo: administrador de sites do SharePoint

Observação

Os rótulos de confidencialidade para recipientes suportam os Canais compartilhados do Teams. Se uma equipe tiver canais compartilhados, ela herdará automaticamente as configurações de rótulo de confidencialidade de sua equipe pai e esse rótulo não poderá ser removido ou substituído por um rótulo diferente.

Como habilitar rótulos de confidencialidade para contêineres e sincronizar rótulos

Se você ainda não ativou os rótulos de confidencialidade para contêineres, execute o seguinte conjunto de etapas como um procedimento único:

  1. Uma vez que esta funcionalidade utiliza Microsoft Entra funcionalidade, siga as instruções da documentação do Microsoft Entra para ativar o suporte de etiquetas de confidencialidade: Atribuir etiquetas de confidencialidade a grupos do Microsoft 365 no Microsoft Entra ID.

  2. Agora, tem de sincronizar as etiquetas de confidencialidade para Microsoft Entra ID. Primeiro, conecte-se a Segurança e Conformidade do PowerShell.

    Por exemplo, em uma sessão do PowerShell que você executa como administrador, entre com uma conta de administrador global.

  3. Execute o seguinte comando para assegurar seus rótulos de confidencialidade possam ser usados com os grupos do Microsoft 365:

    Execute-AzureAdLabelSync
    

Como definir grupos e configurações de site

Depois que os rótulos de confidencialidade são habilitados para contêineres conforme descrito na seção anterior, você pode definir as configurações de proteção para grupos e sites no assistente de rotulagem de confidencialidade. Até que os rótulos de confidencialidade sejam habilitados para contêineres, as configurações ficam visíveis no assistente, mas você não pode defini-las.

  1. Siga as instruções gerais para criar ou editar um rótulo de confidencialidade e certifique-se de selecionar Grupos e sites para o escopo do rótulo:

    Opção de âmbito da etiqueta de confidencialidade para Grupos & sites.

    Quando apenas este escopo é selecionado para o rótulo, o rótulo não será exibido em aplicativos do Office que oferecem suporte a rótulos de confidencialidade e não pode ser aplicado a arquivos e emails. Ter essa separação de rótulos pode ser útil para usuários e administradores, mas também pode aumentar a complexidade da implantação de rótulos.

    Por exemplo, você precisa revisar cuidadosamente seu pedido de rótuloporque o SharePoint detecta quando um documento rotulado é carregado em um site rotulado. Nesse cenário, um evento de auditoria e um email são gerados automaticamente quando o documento tem um rótulo de confidencialidade de prioridade mais alta do que o rótulo do site. Para obter mais informações, confira a seção Atividades de rótulo de confidencialidade de auditoria nesta página.

  2. Em seguida, na página Definir definições de proteção para grupos e sites , selecione as opções que pretende configurar:

    • Configurações de privacidade e acesso de usuário externo para definir as configurações de Privacidade e Acesso de usuários externos.
    • Partilha externa e definições de Acesso Condicional para configurar a definição Controlar a partilha externa a partir de sites sharePoint etiquetados e Utilizar Microsoft Entra Acesso Condicional para proteger sites do SharePoint etiquetados.
    • Controlos de canal partilhado e de deteção de equipas privadas para configurar as definições para impedir que os utilizadores que podem detetar equipas privadas localizem uma equipa privada com esta etiqueta de confidencialidade aplicada e controlos de partilha de canais para convites para outras equipas.

    Além disso, se estiver a editar uma etiqueta existente onde o âmbito inclui itens e reuniões e tiver configurado etiquetas para proteger reuniões, pode selecionar uma etiqueta predefinida para reuniões de canal e todas as conversas de canal. Para reuniões que não são de canal, pode selecionar uma etiqueta predefinida como uma definição de política.

  3. Se você selecionou Privacidade e configurações de acesso de usuário externo, agora defina as seguintes configurações:

    • Privacidade: Mantenha o padrão do Público se desejar que qualquer pessoa em sua organização acesse o site de equipe ou grupo onde este rótulo é aplicado.

      Selecione Particular se desejar que o acesso seja restrito apenas a membros aprovados da sua organização.

      Selecione Nenhum quando quiser proteger o conteúdo no contêiner usando o rótulo de confidencialidade, mas ainda permitir que os próprios usuários definam a configuração de privacidade.

      Selecione Pública ou Privada para definir e bloquear a configuração de privacidade quando você aplicar esse rótulo ao contêiner. A configuração escolhida substituirá qualquer configuração de privacidade anterior que possa ser configurada para a equipe ou grupo, e bloqueará o valor de privacidade para que ele possa ser alterado apenas pela primeira remoção da etiqueta de confidencialidade do contêiner. Depois de remover o rótulo de confidencialidade, a configuração de privacidade do rótulo permanece e os usuários agora podem alterá-lo novamente.

    • Acesso de usuário externo: Controle se o proprietário do grupo pode adicionar convidados ao grupo.

  4. Se você selecionou Configurações de compartilhamento externo e Acesso Condicional, agora defina as seguintes configurações:

    • Controle o compartilhamento externo de sites rotulados do Microsoft Office SharePoint Online: Selecione esta opção para selecionar o compartilhamento externo para qualquer pessoa, convidados novos e existentes, convidados existentes ou apenas pessoas em sua organização. pessoas em sua organização. Para obter mais informações sobre essa configuração e definições, confira a documentação do Microsoft Office SharePoint Online, Ativar ou desativar o compartilhamento externo para um site.

    • Utilizar Microsoft Entra Acesso Condicional para proteger sites do SharePoint etiquetados: selecione esta opção apenas se a sua organização tiver configurado e estiver a utilizar Microsoft Entra Acesso Condicional. Em seguida, selecione uma das seguintes configurações:

      • Determinar se os utilizadores podem aceder a sites do SharePoint a partir de dispositivos não geridos: esta opção utiliza a funcionalidade do SharePoint que utiliza Microsoft Entra Acesso Condicional para bloquear ou limitar o acesso ao conteúdo do SharePoint e do OneDrive a partir de dispositivos não geridos. Para obter mais informações, consulte Controle de acesso de dispositivos não gerenciados na documentação do Microsoft Office SharePoint Online. A opção que você especifica para esta configuração de rótulo é o equivalente a executar um comando Windows PowerShell para um site, conforme descrito nas etapas 3 a 5 de Bloquear ou limitar o acesso a um site específico do Microsoft Office SharePoint Online ou seção OneDrive das instruções do Microsoft Office SharePoint Online.

        Para obter informações adicionais de configuração, confira Mais informações sobre as dependências da opção de dispositivos não gerenciados no final desta seção.

      • Escolher um contexto de autenticação existente: esta opção permite-lhe impor condições de acesso mais rigorosas quando os utilizadores acedem a sites do SharePoint que tenham esta etiqueta aplicada. Essas condições são aplicadas quando você seleciona um contexto de autenticação existente que foi criado e publicado para a implantação de Acesso Condicional da sua organização. Se os usuários não atenderem às condições configuradas ou se usarem aplicativos que não oferecem suporte a contextos de autenticação, o acesso será negado.

        Para obter informações adicionais de configuração, confira Mais informações sobre as dependências da opção de contexto de autenticação no final desta seção.

        Exemplos para esta configuração de rótulo:

        • Você escolhe um contexto de autenticação configurado para exigir autenticação multifator (MFA). Esse rótulo é então aplicado a um site do Microsoft Office SharePoint Online que contém itens altamente confidenciais. Como resultado, quando os usuários de uma rede não confiável tentam acessar um documento neste site, eles veem o prompt do MFA que devem ser preenchidos antes de acessar o documento.

        • Você escolhe um contexto de autenticação que é configurado para políticas de termos de uso (ToU). Esse rótulo é então aplicado a um site do Microsoft Office SharePoint Online que contém itens que exigem a aceitação dos termos de uso por motivos legais ou de conformidade. Como resultado, quando os usuários tentam acessar um documento neste site, eles veem um documento de termos de uso que devem aceitar antes de acessar o documento original.

  5. Se tiver selecionado Deteção de equipas privadas e controlos de canal partilhados:

    • Para deteção de equipas privadas, utilize a caixa de verificação Permitir que os utilizadores descubram equipas privadas que tenham esta etiqueta aplicada quando configurar uma política do Teams que permita a deteção de equipas privadas:

      • Quando a caixa de verificação está selecionada (a predefinição), uma equipa privada com a etiqueta de confidencialidade aplicada será detetável para um utilizador com permissão para detetar equipas privadas.
      • Quando a caixa de verificação é desmarcada, uma equipa privada com a etiqueta de confidencialidade aplicada permanecerá oculta e não será detetável para todos os utilizadores.
    • Para canais partilhados do Teams, quando uma equipa tem uma etiqueta de confidencialidade aplicada, pode permitir ou impedir que outras equipas sejam convidadas para os canais partilhados da equipa original. Para obter mais informações sobre canais partilhados, consulte Canais partilhados no Microsoft Teams.

      Importante

      Estas opções para canais partilhados do Teams têm uma dependência das definições na página anterior Privacidade e acesso de utilizador externo . Se selecionar uma opção que não seja compatível com estas definições anteriores, verá uma mensagem de validação para alterar a sua seleção. Em alternativa, pode voltar à configuração para alterar a definição dependente.

      As opções incluem apenas Interno, Apenas a mesma etiqueta e Apenas a equipa privada. Apenas a última opção pode potencialmente remover as equipas convidadas anteriormente e nenhuma das opções afeta os convites para utilizadores individuais.

As definições do site e do grupo produzem efeito quando aplica a etiqueta a uma equipa, grupo ou site. Se o escopo do rótulo inclui arquivos e emails, outras configurações de rótulo, como criptografia e marcação de conteúdo, não são aplicadas ao conteúdo da equipe, grupo ou site.

Se o seu rótulo de confidencialidade ainda não estiver publicado, publique-o agora adicionando-o a uma política de rótulo de confidencialidade. Os usuários aos quais tenha sido atribuída uma política de rótulo de confidencialidade que inclua esse rótulo poderão selecioná-lo para sites e grupos.

Mais informações sobre as dependências da opção de dispositivos não gerenciados

Se você não configurar a política de acesso condicional dependente conforme documentado em Usar restrições impostas do aplicativo, a opção que você especificar aqui não terá efeito. Além disso, não terá efeito se for menos restritivo do que a configuração definida ao nível do locatário. Se você definiu uma configuração em toda a organização para dispositivos não gerenciados, escolha uma configuração de rótulo que seja igual ou mais restritiva

Por exemplo, se seu locatário estiver configurado para Permitir acesso limitado apenas à Web, a configuração de rótulo que permite acesso total não terá efeito porque é menos restritiva. Para esta configuração de nível de locatário, escolha a configuração de rótulo para bloquear o acesso (mais restritiva) ou a configuração de rótulo para acesso limitado (a mesma que a configuração do locatário).

Como você pode definir as configurações do SharePoint separadamente da configuração do rótulo, não há verificação na configuração do rótulo de confidencialidade de que as dependências estejam no lugar. Essas dependências podem ser configuradas depois que o rótulo é criado e publicado, e mesmo depois que o rótulo é aplicado. No entanto, se o rótulo já estiver aplicado, a configuração do rótulo não entrará em vigor até a próxima autenticação do usuário.

Mais informações sobre as dependências da opção de contexto de autenticação

Para serem apresentados na lista pendente para seleção, os contextos de autenticação têm de ser criados, configurados e publicados como parte da configuração do Acesso Condicional Microsoft Entra. Para obter mais informações e instruções, veja a secção Configurar contextos de autenticação na documentação Microsoft Entra Acesso Condicional.

Nem todos os aplicativos oferecem suporte a contextos de autenticação. Se um usuário com um aplicativo sem suporte se conectar ao site configurado para um contexto de autenticação, ele verá uma mensagem de acesso negado ou será solicitado a autenticar, mas foi rejeitado. Os aplicativos que atualmente oferecem suporte a contextos de autenticação:

  • Office na Web, que inclui Outlook para a web

  • Microsoft Teams para Windows e macOS (exclui o aplicativo Web do Teams)

  • Microsoft Planner

  • Microsoft 365 Apps para Word, Excel e PowerPoint; versões mínimas:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 2.48.303
    • Android: 16.0.13924.10000
  • Microsoft 365 Apps para Outlook; versões mínimas:

    • Windows: 2103
    • macOS: 16.45.1202
    • iOS: 4.2109.0
    • Android: 4.2025.1
  • Aplicativo de Sincronização do Microsoft OneDrive, versões mínimas:

    • Windows: 21.002
    • macOS: 21.002
    • iOS: 12.30
    • Android: ainda sem suportado

Limitações conhecidas:

  • Para o aplicativo de Sincronização do Microsoft OneDrive, compatível apenas com OneDrive e não para outros sites.

  • As seguintes funcionalidades e aplicações podem ser incompatíveis com os contextos de autenticação, pelo que recomendamos que marcar que estas continuem a funcionar depois de um utilizador aceder com êxito a um site através de um contexto de autenticação:

    • Fluxos de trabalho que usam PowerApps ou Power Automate
    • Aplicativos de terceiros

Além das definições de etiqueta para sites e grupos que pode configurar a partir do portal do Microsoft Purview ou do portal de conformidade do Microsoft Purview, também pode configurar o tipo de ligação de partilha predefinido para um site. Os rótulos de confidencialidade para documentos também podem ser configurados para um tipo de vínculo de compartilhamento padrão. Essas configurações que ajudam a evitar o compartilhamento excessivo são selecionadas automaticamente quando os usuários selecionam o botão Compartilhar em seus aplicativos do Office.

Para obter mais informações e instruções, confira Usar rótulos de confidencialidade para configurar o tipo de vínculo de compartilhamento padrão para sites e documentos no SharePoint e no OneDrive.

Configurar permissões de compartilhamento de site usando configurações avançadas do PowerShell

Outra configuração avançada do PowerShell que você pode definir para que o rótulo de confidencialidade seja aplicado a um site do SharePoint é MembersCanShare. Esta definição é a configuração equivalente que pode definir a partir do centro > de administração do SharePoint Permissões> do sitePartilha> de SitesAlterar a forma como os membros podem partilhar>permissões de Partilha.

As três opções são listadas com os valores equivalentes para a configuração avançada do PowerShell MembersCanShare:

Opção a partir do Centro de administração do SharePoint Valor equivalente do PowerShell para MembersCanShare
Os proprietários e membros do site podem partilhar ficheiros, pastas e o site. Pessoas com permissões de Edição podem partilhar ficheiros e pastas. MemberShareAll
Proprietários e membros do site e pessoas com permissões de edição podem compartilhar arquivos e pastas, mas apenas os proprietários do site podem compartilhar o site. MemberShareFileAndFolder
Somente os proprietários do site podem compartilhar arquivos, pastas e o site. MemberShareNone

Para obter mais informações sobre essas opções de configuração, consulte Alterar como os membros podem compartilhar na documentação da comunidade do SharePoint.

Exemplo, onde a etiqueta de sensibilidade GUID é 8faca7b8-8d20-48a3-8ea2-0f96310a848e:

Set-Label -Identity 8faca7b8-8d20-48a3-8ea2-0f96310a848e -AdvancedSettings @{MembersCanShare="MemberShareNone"}

Para obter mais ajuda na especificação de configurações avançadas do PowerShell, consulte Dicas do PowerShell para especificar as configurações avançadas.

Gerenciamento de rótulo de confidencialidade

Use as diretrizes a seguir para criar, modificar ou excluir rótulos de confidencialidade que estão configurados para sites e grupos.

Criar e publicar rótulos configurados para sites e grupos

Use as diretrizes a seguir para publicar um rótulo para seus usuários quando esse rótulo estiver configurado para as configurações de site e de grupo:

  1. Depois de criar e configurar o rótulo de confidencialidade, adicione esse rótulo a uma política de rótulo que se aplica a apenas alguns usuários de teste.

  2. Aguarde o seguinte prazo para que a alteração seja replicada:

    • Nova etiqueta: aguarde pelo menos uma hora, a menos que as definições configuradas incluam controlos de canal partilhado do Teams. Se for esse o caso, aguarde pelo menos 24 horas.
    • Etiqueta existente: aguarde pelo menos 24 horas.

    Para obter mais informações sobre o tempo dos rótulos, confira Quando esperar que novos rótulos e alterações entrem em vigor.

  3. Após esse período de espera, use uma das contas de usuário de teste para criar uma equipe, grupo do Microsoft 365 ou site do SharePoint com o rótulo que você criou na etapa 1.

  4. Se não houver erros durante a operação de criação, você saberá que é seguro publicar o rótulo para todos os usuários em seu locatário.

Modificar rótulos publicados que estão configurados para sites e grupos

Como prática recomendada, não altere as configurações de site e grupo de um rótulo de confidencialidade após aplicá-lo a várias equipes, grupos ou sites. Se o fizer, lembre-se de aguardar, pelo menos, 24 horas para que as alterações sejam replicadas em todos os contentores que tenham a etiqueta aplicada.

Além disso, se suas alterações incluírem a configuração de Acesso de usuários externos:

  • A nova configuração aplica-se a novos usuários, mas não a usuários existentes. Por exemplo, se essa configuração tiver sido selecionada anteriormente e, como resultado, os usuários convidados acessarem o site. esses usuários convidados ainda poderão acessar o site depois que essa configuração for limpa na configuração do rótulo.

  • As configurações de privacidade para as propriedades do grupo hiddenMembership e roleEnabled não são atualizadas.

Excluindo rótulos publicados que estão configurados para sites e grupos

Se você excluir um rótulo de confidencialidade com as configurações de site e grupo ativadas e esse rótulo estiver incluído em uma ou mais políticas de rótulo, essas ações poderão resultar em falhas na criação de todas as equipes, grupos e sites. Para evitar essa situação, use as instruções a seguir:

  1. Remova o rótulo de confidencialidade de todas as políticas de rótulo que incluam o rótulo.

  2. Aguarde pelo menos uma hora.

  3. Após esse período de espera, tente criar uma equipe, grupo ou site e confirme se o rótulo não está mais visível.

  4. Se a etiqueta de confidencialidade não estiver visível, agora você pode excluí-la com segurança.

Como aplicar rótulos de confidencialidade aos contêineres

Agora você está pronto para aplicar os rótulos ou rótulos de confidencialidade aos seguintes contêineres:

Você pode usar o Windows PowerShell se precisar aplicar um rótulo de confidencialidade a vários sites.

Aplicar rótulos de confidencialidade aos grupos do Microsoft 365

Agora você está pronto para aplicar os rótulos ou rótulos de confidencialidade aos grupos do Microsoft 365. Regresse à documentação do Microsoft Entra para obter instruções:

Aplicar um rótulo de confidencialidade a uma nova equipe

Os usuários podem selecionar os rótulos de confidencialidade ao criar novas equipes no Microsoft Teams. Quando eles selecionam o rótulo na lista suspensa Confidencialidade, a configuração de privacidade pode mudar para refletir a configuração de rótulo. Dependendo da configuração de acesso de usuários externos que você selecionou para o rótulo, os usuários podem ou não adicionar pessoas de fora da organização à equipe.

Saiba mais sobre Rótulos de confidencialidade

A configuração de privacidade ao criar uma nova equipe.

Depois de criar a equipe, o rótulo de confidencialidade aparecerá no canto superior direito de todos os canais.

O rótulo de confidencialidade aparece na equipe.

O serviço aplica automaticamente o mesmo rótulo de confidencialidade ao grupo do Microsoft 365 e ao site de equipe do SharePoint conectado.

Aplicar um rótulo de confidencialidade a um novo grupo no Outlook na Web

No Outlook na Web, ao criar um novo grupo, você pode selecionar ou alterar a opção de Confidencialidade para rótulos publicados:

Criando um grupo e selecionando uma opção em Confidencialidade.

Aplicar um rótulo de confidencialidade a um novo site

Os administradores e os usuários finais podem selecionar os rótulos de confidencialidade ao criar sites de equipe e sites de comunicação modernos e expandir as Configurações avançadas:

Criando um site e selecionando uma opção de Confidencialidade.

A caixa suspensa exibe os nomes dos rótulos para a seleção e o ícone de ajuda exibe todos os nomes dos rótulos com a dica de ferramenta, o que pode ajudar os usuários a determinar o rótulo correto a ser aplicado.

Quando o rótulo é aplicado e os usuários navegam no site, eles veem o nome do rótulo e as políticas aplicadas. Por exemplo, este site foi rotulado como Confidencial e a configuração de privacidade está definida como Privada:

Um site com uma etiqueta de confidencialidade aplicada.

Usar o Windows PowerShell para aplicar um rótulo de confidencialidade a vários sites

Você pode usar o cmdlet Set-SPOSite e Set-SPOTenant com o parâmetro SensitivityLabel do atual SharePoint Online Management Shell para aplicar um rótulo de confidencialidade a vários sites. Pode utilizar o mesmo procedimento para substituir uma etiqueta existente. Os sites podem ser um conjunto de sites do Microsoft Office SharePoint Online ou um site do OneDrive.

Verifique se você tem a versão 16.0.19418.12000 ou posterior do Shell de gerenciamento do SharePoint Online.

  1. Abra uma sessão do Windows PowerShell com a opção Executar como administrador.

  2. Se você não souber o GUID de seu rótulo: Conectar a Segurança e Conformidade do PowerShell e obter a lista de rótulos de confidencialidade e seus GUIDs.

    Get-Label |ft Name, Guid
    
  3. Agora conectar-se ao SharePoint Online PowerShell e armazenar o GUID de seu rótulo como uma variável. Por exemplo:

    $Id = [GUID]("e48058ea-98e8-4940-8db0-ba1310fd955e")
    
  4. Criar uma nova variável que identifique vários sites com uma cadeia de caracteres de identificação em comum na URL. Por exemplo:

    $sites = Get-SPOSite -IncludePersonalSite $true -Limit all -Filter "Url -like 'documents"
    
  5. Execute o seguinte comando para aplicar o rótulo a esses sites. Usando nossos exemplos:

    $sites | ForEach-Object {Set-SPOTenant $_.url -SensitivityLabel $Id}
    

Esta série de comandos permite rotular vários sites em seu locatário com o mesmo rótulo de confidencialidade, é por isso que você usa o cmdlet Set-SPOTenant, em vez do cmdlet Set-SPOSite que é usado para configuração por site. No entanto, use o cmdlet Set-SPOSite quando precisar aplicar um rótulo diferente a sites específicos, repetindo o seguinte comando para cada um desses sites: Set-SPOSite -Identity <URL> -SensitivityLabel "<labelguid>"

Exibir e gerenciar rótulos de confidencialidade no Centro de Administração do SharePoint Online

Para ver, ordenar e procurar nas etiquetas de confidencialidade aplicadas, utilize Sites ativos no novo centro de administração do SharePoint. Talvez seja necessário adicionar primeiro a coluna Confidencialidade:

A coluna Confidencialidade na página sites ativos.

Para obter mais informações sobre como gerenciar sites na página de sites ativos, inclusive como adicionar uma coluna, confira Gerenciar sites no novo Centro de Administração do SharePoint Online.

Você também pode alterar e aplicar um rótulo da seguinte página:

  1. Selecione o nome do site para abrir o painel de detalhes.

  2. Selecione a guia Políticas e, em seguida, selecione Editar para a configuração de Confidencialidade.

  3. No painel Editar configuração de confidencialidade, selecione o rótulo de confidencialidade que deseja aplicar ao site. Ao contrário das aplicações do utilizador, onde as etiquetas de confidencialidade podem ser atribuídas a utilizadores específicos, o centro de administração apresenta todas as etiquetas de contentor para o seu inquilino. Depois de escolher uma etiqueta de confidencialidade, selecione Guardar.

Suporte de rótulos de confidencialidade.

Quando utiliza centros de administração que suportam etiquetas de confidencialidade, à exceção do centro de administração do Microsoft Entra, verá todas as etiquetas de confidencialidade do seu inquilino. Em comparação, os aplicativos e serviços do usuário que filtram os rótulos de confidencialidade de acordo com as políticas de publicação podem resultar na visualização de um subconjunto desses rótulos. O centro de administração do Microsoft Entra também filtra as etiquetas de acordo com as políticas de publicação.

Os seguintes aplicativos e serviços oferecem suporte as etiquetas de confidencialidade configuradas para configurações de sites e grupos:

  • Centros de administração:

    • Centro de administração do SharePoint
    • Centro de administração do Teams
    • Centro de administração do Microsoft 365
    • Portal do Microsoft Purview
    • Portal de conformidade do Microsoft Purview
  • Aplicativos e serviços do usuário:

    • Microsoft Office SharePoint Online
    • Teams
    • Outlook na Web e para Windows, macOS, iOS e Android
    • Formulários
    • Stream
    • Planner

Os seguintes aplicativos e serviços não oferecem suporte as etiquetas de confidencialidade configuradas para configurações de sites e grupos:

  • Centros de administração:

    • Centro de administração do Exchange
  • Aplicativos e serviços do usuário:

    • Dynamics 365
    • Viva Engage
    • Project
    • Power BI
    • Portal dos Meus Aplicativos

Classificação de grupos de Microsoft Entra clássicos

Depois de ativar as etiquetas de confidencialidade para contentores, as classificações de grupos de Microsoft Entra ID deixarão de ser suportadas pelo Microsoft 365 e não serão apresentadas em sites que suportem etiquetas de confidencialidade. No entanto, você pode converter suas classificações antigas em rótulos de confidencialidade.

Como um exemplo de como você pode ter usado a classificação de grupo antiga do SharePoint, confira Classificação de sites “moderna”.

Estas classificações foram configuradas com o Microsoft Graph PowerShell ou a biblioteca PnP Core e definindo valores para a ClassificationList definição.

($setting["ClassificationList"])

Para converter suas classificações antigas em rótulos de confidencialidade, siga um destes procedimentos:

  • Usar rótulos existentes: Especifique as configurações de rótulo desejadas para sites e grupos editando rótulos de confidencialidade existentes que já foram publicados.

  • Criar novos rótulos: Especifique as configurações de rótulos desejados para sites e grupos, criando e publicando novos rótulos de confidencialidade que tenham os mesmos nomes das suas classificações existentes.

Depois:

  1. Use o PowerShell para aplicar os rótulos de confidencialidade a grupos existentes do Microsoft 365 e sites do SharePoint usando o mapeamento de nomes. Confira a seção a seguir para obter instruções.

  2. Remova as classificações antigas dos grupos e sites existentes.

Embora você não possa impedir que os usuários criem novos grupos em aplicativos e serviços que ainda não suportam rótulos de confidencialidade, é possível executar um script recorrente do PowerShell para procurar novos grupos que os usuários criaram com as classificações antigas e convertê-los para uso de rótulos de confidencialidade.

Para o ajudar a gerir a coexistência de etiquetas de confidencialidade e classificações de Microsoft Entra para sites e grupos, consulte Microsoft Entra etiquetas de classificação e confidencialidade para grupos do Microsoft 365.

Use o PowerShell para converter classificações de grupos do Microsoft 365 em rótulos de confidencialidade

  1. Em primeiro lugar, ligue-se ao PowerShell de Conformidade do & de Segurança com uma conta de administrador de conformidade.

  2. Obtenha a lista de rótulos de confidencialidade e suas GUIDs usando o cmdlet Get-Label:

    Get-Label |ft Name, Guid
    
  3. Anote o GUIDe dos rótulos de confidencialidade que você deseja aplicar a seus grupos do Microsoft 365.

  4. Agora conecte-se ao Exchange Online PowerShell em uma janela separada do Windows PowerShell.

  5. Use o seguinte comando como exemplo para obter a lista de grupos que atualmente têm a classificação "Geral":

    $Groups= Get-UnifiedGroup | Where {$_.classification -eq "General"}
    
  6. Para cada grupo, adicione o novo GUID de rótulo de confidencialidade. Por exemplo:

    foreach ($g in $groups)
    {Set-UnifiedGroup -Identity $g.Identity -SensitivityLabelId "457fa763-7c59-461c-b402-ad1ac6b703cc"}
    
  7. Repita as etapas 5 e 6 para as classificações de grupo restantes.

Atividades de rótulo de confidencialidade de auditoria

Importante

Se utilizar a separação de etiquetas ao selecionar apenas o âmbito Grupos & sites para etiquetas que protegem contentores: devido ao evento de auditoria de falta de correspondência de confidencialidade do documento detetado e ao e-mail descrito nesta secção, considere ordenar etiquetas antes de etiquetas que tenham um âmbito para Ficheiros & outros recursos de dados.

Se alguém enviar um documento para um site protegido por um rótulo de confidencialidade e o documento tiver um rótulo de confidencialidade com prioridade mais alta que o rótulo de confidencialidade aplicado ao site, essa ação não será bloqueada. Por exemplo, você aplicou o rótulo Geral a um site do SharePoint e alguém carrega neste site um documento chamado Confidencial. Como um rótulo de confidencialidade com prioridade mais alta identifica o conteúdo que é mais confidencial do que o conteúdo com ordem de prioridade mais baixa, essa situação pode ser um problema de segurança.

Embora a ação não seja bloqueada, ela é auditada e, por padrão, gera automaticamente um email para a pessoa que carregou o documento e para o administrador do site. Como resultado, tanto o usuário como os administradores podem identificar documentos que tenham esse desalinhamento da prioridade do rótulo e tomar medidas, se necessário. Por exemplo, excluir ou mover o documento carregado do site.

Não seria um problema de segurança se o documento tivesse um rótulo de confidencialidade de prioridade mais baixa que o rótulo de confidencialidade aplicado ao site. Por exemplo, um documento chamado Geral é carregado em um site chamado Confidencial. Neste cenário, um evento de auditoria e email não são gerados.

Observação

Assim como para a opção de política que exige que os usuários forneçam uma justificativa para alterar um rótulo para uma classificação inferior, os sub-rótulos para o mesmo rótulo pai são considerados como tendo a mesma prioridade.

Para pesquisar o log de auditoria para esse evento, procure por Incompatibilidade de confidencialidade em documento detectada na categoria Atividades de arquivo e página.

O email gerado automaticamente tem o assunto Rótulo de confidencialidade incompatível detectado e a mensagem do email explica a incompatibilidade de rótulo com um link para o documento e o site carregados. Também contém uma linha para a sua própria documentação interna: HelpLink : Guia de Resolução de Problemas. Tem de configurar a hiperligação para o guia de resolução de problemas com o cmdlet Set-SPOTenant com o parâmetro LabelMismatchEmailHelpLink . Por exemplo:

Set-SPOTenant –LabelMismatchEmailHelpLink "https://support.contoso.com"

A mensagem de e-mail também tem uma ligação de documentação da Microsoft que fornece informações básicas para os utilizadores alterarem a etiqueta de confidencialidade: Aplicar etiquetas de confidencialidade aos seus ficheiros e e-mail no Office

Exceto o URL interno que tem de especificar, estes e-mails automatizados não podem ser personalizados. No entanto, pode impedir que sejam enviados quando utiliza o seguinte comando do PowerShell de Set-SPOTenant:

Set-SPOTenant -BlockSendLabelMismatchEmail $True

Quando alguém adiciona ou remove um rótulo de confidencialidade para ou de um site ou grupo, essas atividades também são auditadas, mas não geram um email automático.

Todos estes eventos de auditoria podem ser encontrados na secção Atividades de etiquetas de confidencialidade na documentação das atividades do registo de auditoria.

Como desabilitar os rótulos de confidencialidade para contêineres

Você pode desativar os rótulos de confidencialidade do Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint usando as mesmas instruções de Habilitar o suporte a rótulo de confidencialidade no PowerShell. No entanto, para desabilitar o recurso, na etapa 5, especifique $setting["EnableMIPLabels"] = "False".

Além de tornar todas as configurações não disponíveis para grupos e sites ao criar ou editar rótulos de confidencialidade, esta ação reverte a propriedade que os contêineres usam para sua configuração. Ativar etiquetas de confidencialidade para o Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint muda a propriedade utilizada de Classificação (utilizada para Microsoft Entra classificação de grupo) para Confidencialidade. Quando você desabilita os rótulos de confidencialidade para contêineres, os contêineres ignoram a propriedade Confidencialidade e usam novamente a propriedade de Classificação.

Isso significa que todas as configurações de rótulo de sites e grupos aplicados anteriormente aos contêineres não serão forçadas e os contêineres não exibirão mais os rótulos.

Se estes contentores tiverem Microsoft Entra valores de classificação aplicados aos mesmos, os contentores reverter utilizar novamente as classificações. Lembre-se de que todos os novos sites ou grupos criados depois de habilitar o recurso não exibirão um rótulo ou terão uma classificação. Para esses contêineres e todos os novos contêineres, você pode aplicar valores de classificação. Para saber mais, confira Classificação de sites modernos do Microsoft Office SharePoint Online e Criar classificações para grupos do Office em sua organização.

Recursos adicionais

Para obter mais informações sobre como gerenciar sites conectados ao Teams e sites de canais, confira Gerenciar sites conectados ao Teams e sites de canais.