Pré-requisitos de tecnologia para utilização de Proteção de Informações do Microsoft Purview para conformidade do Governo australiano com o PSPF
Este artigo fornece orientações para organizações do Governo Australiano sobre os serviços e componentes que devem ser implementados numa organização para utilizar melhor a etiquetagem de confidencialidade e outras capacidades do Microsoft Purview. O seu objetivo é ajudar as organizações a compreender os pré-requisitos para a implementação de Proteção de Informações do Microsoft Purview para cumprir os requisitos descritos no Framework de Políticas de Segurança De Proteção (PSPF) e no Manual de Segurança de Informações (ISM).
Para utilizar melhor as configurações descritas neste guia, as organizações devem implementar o seguinte conjunto principal de serviços do Microsoft 365:
- Exchange Online
- Clientes do Microsoft Office Online ou Microsoft 365 Apps Office
- SharePoint Online
- Microsoft Teams
As configurações abordadas neste guia referem-se a marcações e classificações até e incluindo PROTECTED, as organizações também devem utilizar requisitos de ambiente PROTEGIDOs para além do âmbito deste guia.
Observação
Implementar uma etiqueta PROTECTED não significa automaticamente que o ambiente é adequado para alojar dados PROTEGIDOS. As organizações governamentais têm de ter controlos subjacentes em vigor de acordo com o Manual de Segurança de Informações (ISM) e o Esquema do ASD para a Cloud Segura.
Suporte de cliente do Microsoft Office
O suporte do cliente é fundamental para uma implementação bem-sucedida das capacidades de Proteção de Informações do Microsoft Purview. Os clientes utilizados pelos utilizadores para interagir com ficheiros, e-mails e outros serviços do Office têm de ter conhecimento de etiquetas para facilitar a aplicação de etiquetas. Esta secção aborda as versões de cliente do Microsoft Office capazes desta integração e procura identificar qualquer trabalho de pré-requisito que seja necessário antes da implementação do Purview.
Microsoft 365 Apps para Empresas
Microsoft 365 Apps para Enterprise é uma versão do Microsoft Office, que permite a integração com o conjunto de serviços do Microsoft 365. Uma vez que o Microsoft 365 é um serviço baseado na nuvem que está em constante evolução, a versão Microsoft 365 Apps do cliente do Office recebe uma elevada frequência de atualizações para acompanhar a plataforma na cloud. Esta integração entre o cliente do Office e os serviços em nuvem do Microsoft 365 permite disponibilizar aos utilizadores um conjunto de funcionalidades mais abrangente do que o possível através de clientes autónomos do Office. Os clientes tradicionais oferecem um conjunto de funcionalidades estático e recebem atualizações de segurança, mas normalmente não têm acesso a capacidades recentemente lançadas ou a capacidades centradas na cloud.
Para obter mais informações sobre canais de atualização disponíveis para aplicações do Microsoft 365, consulte Descrição geral dos canais de atualização para Microsoft 365 Apps.
Proteção de Informações do Microsoft Purview cliente
Anteriormente, as organizações que executavam clientes tradicionais do Office utilizavam o Cliente de Etiquetagem Unificada do Azure Proteção de Informações (AIP) para ativar a seleção de etiquetas em clientes não Microsoft 365 Apps. O AIP foi substituído pelas capacidades de cliente Microsoft 365 Apps incorporadas.
Proteção de Informações do Microsoft Purview funcionalidades de cliente que ainda são relevantes do AIP continuam a ser suportadas. Estas incluem extensões da shell do Windows, scanner de Proteção de informações e etiquetador de ficheiros de proteção de informações e Visualizador de proteção de informações. Para obter mais informações sobre estas capacidades, consulte Expandir a etiquetagem de confidencialidade no Windows.
Suporte para clientes Mac, iOS e Android
As novas funcionalidades do Purview são normalmente disponibilizadas para a versão Microsoft 365 Apps do Office baseada no Windows primeiro e, em seguida, para outras versões do Office. Para obter os status das capacidades das versões do cliente, veja versões mínimas para etiquetas de confidencialidade em clientes diferentes. As organizações que implementam o Microsoft 365 devem avaliar estas informações para garantir que todas as capacidades pretendidas estão disponíveis nas versões que estão a ser utilizadas pela organização.
Clientes Web do Microsoft 365
Nas Versões mínimas para etiquetas de confidencialidade em Microsoft 365 Apps tabelas, muitas funcionalidades do Purview estão listadas como "Sim – optar ativamente por participar" na versão Web dos clientes do Office. Esta redação destina-se a explicar que as funcionalidades estão disponíveis, mas exigirá a ativação para determinados cenários. Por exemplo, a capacidade de aplicar uma etiqueta a um ficheiro ou e-mail está ativada por predefinição para clientes do Office e do Outlook baseados na Web, mas tem de ser ativada antes de as etiquetas poderem ser aplicadas a sites do SharePoint. Por conseguinte, a Web está listada como "opt-in" para esta funcionalidade. Normalmente, as funcionalidades listadas como "em revisão" são novas e ainda estão em desenvolvimento para a plataforma baseada na Web.
Também vale a pena notar que alguns browsers, como o Microsoft Edge Chromium, Chrome e Firefox, têm capacidades Prevenção Contra Perda de Dados do Microsoft Purview incorporadas no produto ou disponíveis através do suplemento. Estas capacidades DLP impedem a perda de itens confidenciais ou confidenciais de segurança, pelo que devem ser consideradas para implementação.
Dica
Como parte da configuração do DLP, as organizações devem utilizar um cliente com suporte para DLP. Veja acesso condicional para saber como implementar esta funcionalidade inline com o Essential 8.
Mandatar os requisitos do cliente
A maior parte dos requisitos do PSPF (Protection Security Policy Framework) Policy 8, incluindo os três requisitos principais, diz respeito à identificação de informações confidenciais ou controlos, que dependem da identificação inicial de informações confidenciais. As aplicações cliente que compreendem o requisito de um utilizador para aplicar marcações a itens podem ajudar-nos a cumprir os requisitos ao forçar os utilizadores a aplicar marcações no momento da criação do item. Depois de marcados, os controlos operacionais para proteger o conteúdo incluído de um item podem ser aplicados. Neste artigo, referimo-nos a uma configuração como "Etiquetagem Obrigatória". No Microsoft 365, isto é conseguido principalmente através de uma opção de política de etiquetas, que é abordada na etiquetagem obrigatória.
Como exemplo da importância da etiquetagem obrigatória, considere um e-mail, que foi enviado, mas sem que primeiro seja aplicada uma marcação de proteção. Isto pode ocorrer devido à falta de suporte do cliente. Nestas situações, temos de assumir que o utilizador não teve a oportunidade de avaliar a confidencialidade das informações incluídas (de acordo com o PSPF Policy 8 Core Requirement 2). Uma vez que o item é de alto risco em termos de violação de dados, devem aplicar-se controlos ISM como ISM-0565:
| Requisito | Detalhe |
|---|---|
| ISM-0565 (junho de 2024) | Email servidores estão configurados para bloquear, registar e comunicar e-mails com marcas de proteção inadequadas. |
A aplicação de uma marcação protetora, ou etiqueta de confidencialidade, garante que a confidencialidade do item foi avaliada pelo proprietário ou criador do conteúdo e permite controlos adequados às informações contidas.
As opções para impor a etiquetagem obrigatória só podem ser aplicadas por clientes que estejam cientes das políticas de etiquetagem do Microsoft Purview de uma organização. Por conseguinte, devemos considerar garantir que os utilizadores apenas têm serviços de acesso através de clientes que suportam políticas de etiquetagem do Microsoft Purview. Para tal, deve ser implementada uma política de Acesso Condicional.
Para obter informações sobre como aplicar o acesso condicional no Essential 8, veja Controlo de aplicações e acesso condicional.
A etiquetagem obrigatória no local garante que a capacidade de um utilizador enviar e-mails sem etiquetas não pode acontecer. No entanto, ainda existem cenários em que o e-mail não etiquetado é gerado por uma organização, incluindo o gerado por aplicações ou dispositivos multifunções e scanners. Para impor a configuração que requer que todos os e-mails sejam etiquetados, as organizações podem implementar controlos, que bloqueiam a transmissão de e-mail gerado pelo utilizador, que não tem a marcação adequada em vigor. Para obter informações sobre a implementação destes controlos, consulte Bloquear a transmissão de e-mail sem etiquetas.
Integração de PDF
Os clientes Microsoft 365 Apps baseados no Windows incluem a capacidade de manter etiquetas aplicadas a documentos do Office quando são exportados ou guardados como ficheiros PDF. Estes PDFs mantêm as definições de proteção para os respetivos ficheiros do Office de origem, incluindo a encriptação.
Os documentos PDF protegidos podem ser lidos em leitores de PDF com deteção de etiquetas, incluindo o Microsoft Edge, Chrome, Foxit Reader e Adobe Reader (com o plug-in Proteção de Informações para o Acrobat e o plug-in Acrobat Reader instalado).
As organizações governamentais devem implementar e utilizar clientes PDF com deteção de etiquetas ou plug-ins de cliente. Estes clientes ajudam a manter uma identificação clara das informações confidenciais e da aplicação de controlos quando os itens são exportados para PDF.
Pode encontrar mais informações sobre estas capacidades através das seguintes ligações:
- Aplicar etiquetas de confidencialidade a PDFs criados com aplicações do Office
- Disponibilidade Geral da Integração do Adobe Acrobat Reader com o Proteção de Informações do Microsoft Purview
Licenciamento obrigatório
A utilização básica das capacidades de Proteção de Informações do Purview requer um mínimo de uma licença E3. No entanto, a maioria das organizações governamentais precisa de utilizar Microsoft 365 E5 (ou suplementos de conformidade E5 equivalentes) para uma utilização madura das capacidades do Purview.
A tabela seguinte tem um subconjunto de casos de utilização governamentais comuns e a respetiva licença mínima necessária para efetuar esse caso de utilização.
| Caso de uso | Licença |
|---|---|
| Aplicar manualmente uma etiqueta de confidencialidade aos itens. | E3 |
| Impedir a distribuição de itens etiquetados a utilizadores não autorizados. | E3 |
| Aplique marcas de assunto a itens etiquetados para indicar a confidencialidade do item. | E3 |
| Aplique automaticamente etiquetas de confidencialidade com base em marcas aplicadas por outras organizações. | E5 |
| Monitorize e reporte a utilização de etiquetas em todo o ambiente. | E5 |
| Aplicar etiquetas a reuniões e itens de calendário. | E5 |
| Recomendar a aplicação de uma etiqueta de confidencialidade com base na deteção de conteúdo confidencial. | E5 |
| Monitorizar e controlar a utilização de itens etiquetados em dispositivos. | E5 |
| Identifique utilizadores maliciosos com base na atividade com itens etiquetados ou confidenciais. | E5 |
| Detetar conteúdo confidencial e controlar a respetiva distribuição através do chat do Teams. | E5 |
| Procure onde os conteúdos etiquetados e confidenciais residem num ambiente. | E5 |
Como deve ser evidente na tabela acima, as organizações governamentais com licenciamento E3 podem implementar o Purview a um nível básico e alcançar níveis ad hoc ou de desenvolvimento do modelo de maturidade PSPF. No entanto, para garantir que os itens são protegidos através de controlos relevantes para a sua confidencialidade, são necessárias capacidades incluídas no E5 ou licenciamento equivalente. As organizações podem atingir os níveis de Maturidade de PSPF ou Gestão com E5.
Um fator importante para alcançar níveis mais elevados de maturidade de conformidade é a utilização da etiquetagem automática de confidencialidade. A etiquetagem automática permite que as organizações governamentais honrem as classificações que foram aplicadas externamente. Se um e-mail for classificado e marcado por uma entidade, quando é enviado para uma segunda entidade, o item ainda está marcado, mas, por predefinição, não está etiquetado. Uma vez que não tem uma etiqueta, está fora do âmbito de um intervalo de controlos de segurança de dados baseados em etiquetas, como políticas de Prevenção de Perda de Dados (DLP). A etiquetagem automática permite que as marcas de protecção (conforme definido no Anexo F da Política PSPF 8: Norma de Marcação protetora Email do Governo australiano) sejam interpretadas por e-mail à medida que são recebidas. Depois de interpretada, é aplicada uma etiqueta correspondente durante a transmissão, garantindo que todos os controlos relevantes se aplicam às informações incluídas quando são recebidos pelo utilizador.