Como implantar o Microsoft Information Protection (MIP)

Posted onAutor: Jádson AlvesDeixe um comentário

Requisitos de licenciamento

Os requisitos de licença para a Proteção de Informações da Microsoft dependem dos cenários e dos recursos que você usa, em vez de definir os requisitos de licenciamento para cada recurso listado nesta página. Para entender seus requisitos e opções de licenciamento para MIP, consulte as seções de Proteção de Informações da orientação do Microsoft 365 para segurança e conformidade e o download de PDF relacionado para requisitos de licenciamento em nível de recurso.

Use rótulos de confidencialidade para proteger o conteúdo do Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint

Além de usar rótulos de confidencialidade para classificar e proteger documentos e emails, você também pode usar rótulos de confidencialidade para proteger o conteúdo nos seguintes contêineres: sites do Microsoft Teams, grupos do Microsoft 365 (anteriormente grupos do Office 365) e sites do Microsoft Office SharePoint Online. Para esta classificação e proteção no nível do contêiner, use as seguintes configurações de rótulo:

  • Privacidade (pública ou privada) de sites de equipes e grupos do Microsoft 365
  • Acesso de usuários externos
  • Compartilhamento externo de sites do Microsoft Office SharePoint Online
  • Acesso de dispositivos não gerenciados
  • Contextos de autenticação (em versão prévia)
  • Link de compartilhamento padrão para um site do SharePoint (configuração somente do PowerShell)

Quando você aplica esse rótulo de confidencialidade a um contêiner compatível, o rótulo aplica automaticamente a classificação e as configurações de proteção configuradas ao site ou grupo.

O conteúdo nesses contêineres, no entanto, não herda os rótulos para a classificação ou configurações de arquivos e emails, como marcações visuais e criptografia. Para que os usuários possam rotular seus documentos em sites do SharePoint ou em sites de equipe, habilite rótulos de confidencialidade para arquivos do Office no Microsoft Office SharePoint Online e OneDrive.

Passo a passo

Label Publico

01 – Faça login no portal Microsoft Purview.

https://compliance.microsoft.com

02 – No portal Microsoft Purview clique em Information protection.

03 – Na tela Information protection clique em Labels.

04 – Em labels clique em + Create label.

05 – Na tela New sensitivity label digite o Name, Display name e Description for user, em seguida clique em Next.

Name – Público

Display name –Público

Description for user – Dados de negócios especificamente preparados e aprovados para consumo público.

Observação: O Description for users deve ser disponibilizado pela organização, caso a organização não disponibilize a Microsoft disponibiliza algumas opções padrões, segue o link abaixo.

https://learn.microsoft.com/en-us/microsoft-365/compliance/mip-easy-trials?view=o365-worldwide

06 – Na tela Define the scope for this label percebam que a opção Groups & sites não está disponível, precisamos executar alguns comandos PowerShell para habilitá-la.

Habilitar o suporte ao rótulo de sensibilidade para Grupos e sites

Para aplicar rótulos publicados a grupos, você deve primeiro habilitar o recurso. Essas etapas habilitam o recurso no Azure AD.

07 – Execute o PowerShell como Administrador em qualquer estação com acesso à internet. Execute os comandos a seguir para preparar para executar os cmdlets.

# Download Módulo AzureADPreview
Install-Module AzureADPreview

# Importar o Módulo AzureADPreview
Import-Module AzureADPreview

# Conectar no Azure AD Associado ao Microsoft 365
Connect-AzureAD

08 – Obtenha todos os modelos de configuração

Get-AzureADDirectorySettingTemplate

09 – Para definir a política de convidado para grupos no nível do diretório, é necessário o modelo Group.Unified

$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq “Group.Unified” }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value $TemplateId -EQ

10 – Em seguida, crie um novo objeto de configurações com base no modelo:

$Setting = $Template.CreateDirectorySetting()

11 – Em seguida, atualize a configuração AllowToAddGuests

$Setting[“AllowToAddGuests”] = $False

12 – Em seguida, atualize a configuração AllowToAddGuests

$Setting[“UsageGuidelinesUrl”] = “https://guideline.example.com”
$Setting[“EnableMIPLabels”] = “True”

13 – Em seguida, aplique a configuração

New-AzureADDirectorySetting -DirectorySetting $Setting

14 – É possível ler os valores usando o comando:

$Setting.Values

15 – Obtenha as configurações atuais do Group.Unified SettingsTemplate:

$Setting = Get-AzureADDirectorySetting | ? { $_.DisplayName -eq “Group.Unified”}

16 – Confira as configurações atuais:

$Setting.Values

17 – Salve a atualização para o diretório:

Set-AzureADDirectorySetting -Id $Setting.Id -DirectorySetting $Setting

Ativando o serviço de proteção do Azure Information Protection

Este artigo descreve como os administradores podem ativar o serviço de proteção do Azure Rights Management para AIP (Azure Proteção de Informações). Quando o serviço de proteção é ativado para sua organização, administradores e usuários podem começar a proteger dados importantes usando aplicativos e serviços que dão suporte a essa solução de proteção de informações. Os administradores também podem gerenciar e monitorar documentos e emails protegidos de propriedade da sua organização.

Ativar a proteção por meio do PowerShell

Você deve usar o PowerShell para ativar o serviço de proteção do Rights Management (Azure RMS). Você não pode mais ativar ou desativar esse serviço do portal do Azure.

18 – Instale o módulo AIPService para configurar e gerenciar o serviço de proteção.

Install-Module -Name AIPService

19 – Em uma sessão do PowerShell, execute Connect-AipService e, quando solicitado, forneça os detalhes da conta do Administrador Global para o tenant do Azure Proteção de Informações.

Connect-AipService

20 – Execute Get-AipService para confirmar se o serviço de proteção está ativado. Um status Habilitado confirma a ativação; Desabilitado indica que o serviço está desativado.

21 – Para ativar o serviço, execute Enable-AipService.

Enable-AipService

22 – Após executar os comandos, de volta a tela Define the scope for this label percebam que temos a opção Groups & sites disponível, selecione apenas a opção Items.

23 – Na tela Choose protection settings for labeled items podemos criptografar e-mails, arquivos do Office e arquivos Power BI e aplicar marca d’água, não vamos selecionar nenhuma opção, clique em Next.

24 – Na tela Auto-labeling for files and emails não vamos realizar essa configuração nesse momento, clique em Next.

25 – Na tela Define protection settings for groups and sites não vamos realizar nenhuma alteração, clique em Next.

26 – Na tela Review your settings and finish clique em Create label.

27 – Na tela Your sensitivity label was created clique em Done.

28 – Como podemos observar o label foi criado.

Label Confidencial

29 – Ainda na tela Information Protection em Labels clique em + Create a label.

30 – Na tela New sensitivity label digite o Name, Display name, Description for user e clique em Next.

Name – Confidenciae

Display name – Confidencial

Description for user – Dados comerciais confidenciais que podem causar danos aos negócios se compartilhados com pessoas não autorizadas. Exemplos incluem contratos, relatórios de segurança, resumos de previsão e dados de contas de vendas.

Observação: O Description for users deve ser disponibilizado pela organização, caso a organização não disponibilize a Microsoft disponibiliza algumas opções padrões, segue link abaixo.

https://learn.microsoft.com/en-us/microsoft-365/compliance/mip-easy-trials?view=o365-worldwide

 

31 – Na tela Define the scope for this label selecione a opção Items em seguida clique em Next.

32 – Na tela Choose protection settings for labeled items selecione Apply or remove encryption e Apply content marking em seguida clique em Next.

33 – Na tela Encryption deixe selecionado Configure encryption settings em Assign permissions now or let users decide selecione Assign permissions now.

34 – Ainda na tela Encryption em Assign permissions to specific users and groups clique em Assign permissions.

35 – Na tela Assign permissions selecione + Add users or groups.

36 – Ainda na tela Add users or groups selecione o grupo “Grupo TI” em seguida clique em Add.

37 – Ainda na tela Assign permissions clique em Choose permissions.

38 – Na tela Choose permissions em Choose which actions would be allowed for this user/group selecione Custom, em seguida remova as permissões Print (PRINT), Forward (FORWARD) e Full control(OWNER) em seguida clique em Save.

39 – De volta a tela Sign permissions clique em Save.

40 – De volta a tela Encryption clique em Next.

41 – Na tela Content marking selecione Content marking em seguida selecione Add a footer e clique em Customize text.

 

42 – Na tela Customize footer text digite Documento confidencial, em Font color selecione Red e para a opção Align text selecione Center, em seguida clique em Save.

43 – De volta a tela Content marking clique em Next.

44 – Na tela Auto-labeling for files and emails clique em Next.

45 – Na tela Define protection settings for groups and sites clique em Next.

46 – Na tela Review your settings and finish clique em Create label.

 

 

 

47 – Na tela Your sensitivity label was created clique em Done.

Label Interno

48 – Ainda na tela Information Protection em Labels clique em + Create a label.

49 – Na tela New sensitivity label digite o Name, Display name, Description for user e clique em Next.

Name – Interno

Display name – Interno

Description for user – Dados corporativos que não se destinam a consumo público. No entanto, isso pode ser compartilhado com parceiros externos, conforme necessário. Os exemplos incluem um diretório telefônico interno da empresa, gráficos organizacionais, padrões internos e a maioria das comunicações internas.

Description for admins – Dados corporativos que não se destinam a consumo público. No entanto, isso pode ser compartilhado com parceiros externos, conforme necessário. Os exemplos incluem um diretório telefônico interno da empresa, gráficos organizacionais, padrões internos e a maioria das comunicações internas.

Observação: O Description for users deve ser disponibilizado pela organização, caso a organização não disponibilize a Microsoft disponibiliza algumas opções padrões, segue link abaixo.

https://learn.microsoft.com/en-us/microsoft-365/compliance/mip-easy-trials?view=o365-worldwide

 

50 – Na tela Define the scope for this label selecione Items em seguida clique em Next.

 

51 – Na tela Choose protection settings for labeled items selecione Apply content marking em seguida clique em Next.

52 – Na tela Content marking selecione Content marking, em seguida clique em Add a footer em seguida clique em Customize text.

53 – Na tela Customize footer text em Footer txt digite Documento Interno, para a opção Font color selecione Red e para Align text selecion Center, em seguida clique em Save.

54 – Na tela Content marking clique em Next.

55 – Na tela Auto-labeling for files and emails clique em Next.

56 – Na tela Define protection settings for groups and sites clique em Next.

57 – Na tela Review your settings and finish clique em Create label.

58 – Na tela Your sensitivity label was created clique em Done.

Label policies

Depois de criar os rótulos de confidencialidade, você precisa publicá-los para disponibilizá-los às pessoas e serviços em sua organização. Os rótulos de confidencialidade podem então ser aplicados a documentos e emails do Office e outros itens que suportam rótulos de confidencialidade.

Diferentemente de rótulos de retenção, que são publicados em locais como todas as caixas de correio do Exchange, os rótulos de confidencialidade são publicados para usuários ou grupos. Os aplicativos que oferecem suporte a rótulos de confidencialidade podem então exibi-los para esses usuários e grupos como rótulos aplicados ou como rótulos que eles podem aplicar.

59 – Na tela Information protection clique em Label policies.

60 – Em Label policies clique em Publish label.

61 – Na tela Choose sensitivity labels to publish clique em Choose sensitivity labels to publish.

62 – Na tela Choose sensitivity labels to publish selecione o Label Público e clique em Add.

 

63 – De volta a tela Choose sensitivity labels to publish clique em Next.

64 – Na tela Publish to users and groups podemos aplicar o label para todos os usuários da organização, vamos aplicar o label para o Grupo TI, clique em Choose user or group.

65 – Na tela Users and groups selecione o Grupo TI e clique em Done.

66 – Na tela Publish to users and groups clique em Next.

67 – Na tela Policy settings selecione User must provide a justification to remove a label or lower its classification, em seguida clique em Next.

 

68 – Na tela Default settings for documents não vamos realizar nenhuma configuração, clique em Next.

 

69 – Na tela Default settings for emails clique em Next.

70 – Na tela Default settings for Power BI content clique em Next.

71 – Na tela Name your policy digite um nome e descrição para política, em seguida clique em Next.

72 – Na tela Review and finish clique em Submit.

73 – Como podemos observar a política foi criada, clique em Done.

74 – Repita as etapas acima para publicar os rótulos Interno e Confidencial.

75 – Como podemos observar todas as políticas foram criadas.

Observação: Pode levar até 24 horas para publicar os rótulos nos aplicativos dos usuários selecionados.

Validando as configurações

76 – No Outlook vamos criar um novo Email, aplicar o rotulo confidencial e enviar o e-mail para uma conta em um domínio externo.

77 – Como podemos observar o usuário externo recebeu o email e o mesmo está criptografo e o conteúdo não pode ser acessado.

78 – Clique em Read the message para visualizar o conteúdo do email.

79 – Como podemos observar o usuário não tem permissão para ler o email.

78 – Caso os usuários que estão no grupo mipread tentem encaminhar um email com o rótulo confidencial não será possível, pois não demos esse tipo de permissão na configuração do label.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Me siga nas redes sociais:
https://lnkd.in/enx4eSV

Referência

Saiba mais sobre rótulos de confidencialidade – Microsoft Purview (compliance) | Microsoft Learn

Criar e publicar rótulos de confidencialidade – Microsoft Purview (compliance) | Microsoft Learn

Saiba mais sobre os rótulos e políticas padrão para proteger seus dados – Microsoft Purview (compliance) | Microsoft Learn

Ativando o serviço de proteção do AIP (Azure Proteção de Informações) | Microsoft Learn

Install the AIPService PowerShell module for Azure Information Protection | Microsoft Learn

Connect-AipService (AIPService) | Microsoft Learn

Enable-AipService (AIPService) | Microsoft Learn

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *