Partilhar via

Impressão digital de documento

  • Artigo

A impressão digital de documentos é uma funcionalidade do Microsoft Purview que assume um formulário padrão que fornece e cria um tipo de informação confidencial (SIT) com base nesse formulário. A identificação de impressões digitais de documentos facilita a proteção de informações confidenciais através da identificação de formulários padrão que são utilizados em toda a sua organização. Este artigo descreve os conceitos subjacentes à impressão digital de documentos e como criar uma impressão digital do documento com a interface de utilizador ou com o PowerShell.

A impressão digital do documento inclui as seguintes vantagens:

  • Os SITs criados a partir de impressões digitais de documentos podem ser utilizados como um método de deteção em políticas DLP no âmbito do Exchange, SharePoint, OneDrive, Teams e Dispositivos.
  • A etiquetagem automática do MIP pode utilizar a identificação digital de documentos como método de deteção no Exchange, SharePoint e OneDrive.
  • As funcionalidades de impressão digital do documento podem ser geridas através da interface de utilizador do Microsoft Purview.
  • A correspondência parcial é suportada.
  • A correspondência exata é suportada.
  • Precisão de deteção melhorada
  • Suporte para deteção em vários idiomas, incluindo idiomas de byte duplo, como chinês, japonês e coreano.

Importante

Se for um cliente E5, recomendamos que atualize as suas impressões digitais existentes para tirar partido do conjunto completo de funcionalidades de impressão digital do documento. Se for um cliente E3, recomendamos que atualize para uma licença E5. Se optar por não o fazer, não poderá modificar as impressões digitais existentes ou criar novas depois de abril de 2023.

Cenário básico para a impressão digital de documentos

Conforme mencionado, a funcionalidade de impressão digital do documento converte uma forma padrão de informações num tipo de informação confidencial (SIT), que pode utilizar nas regras das suas políticas DLP. Por exemplo, você pode criar uma impressão digital de documento com base em um modelo de patente em branco e, então, criar uma política DLP que detecta e bloqueia todos os modelos de patente de saída com conteúdo confidencial. Opcionalmente, pode configurar sugestões de política para notificar os remetentes de que podem estar a enviar informações confidenciais e que o remetente deve verificar se os destinatários estão qualificados para receber as patentes. Esse processo funciona com qualquer formulário baseado em texto usado em sua organização. Outros exemplos de formulários que pode carregar incluem:

  • Formulários governamentais
  • Formulários compatíveis com a Lei americana HIPAA (Health Insurance Portability Accountability Act, Lei de responsabilidade sobre portabilidade de seguro saúde)
  • Formulários de informação sobre funcionários para departamentos de Recursos Humanos
  • Formulários personalizados criados especificamente para sua organização

Idealmente, sua organização já tem uma prática comercial estabelecida sobre o uso de determinados formulários para transmitir informações confidenciais. Para ativar a deteção, carregue um formulário vazio para ser convertido numa impressão digital do documento. Em seguida, configure uma política correspondente. Depois de concluir estes passos, o DLP deteta quaisquer documentos no correio de saída que correspondam a essa impressão digital.

Para obter mais informações sobre como conceber uma política DLP, veja Estruturar uma política de prevenção de perda de dados.

Para obter mais informações sobre como criar e implementar uma política DLP, veja Criar e Implementar políticas de prevenção de perda de dados.

Como funciona a impressão digital de documentos

Sabe que os documentos não têm impressões digitais reais, mas o nome ajuda a explicar a funcionalidade. Da mesma forma que as impressões digitais de uma pessoa têm padrões exclusivos, os formulários utilizados frequentemente (modelos) podem ter padrões de palavras que são exclusivas. Pode utilizar o SIT baseado neste padrão para detetar ficheiros que foram criados com o mesmo modelo. É por isso que carregar um formulário ou modelo cria o tipo mais eficaz de impressão digital do documento. Todas as pessoas que preenchem um formulário utilizam o mesmo conjunto original de palavras e, em seguida, adicionam as suas próprias palavras ao documento. Os documentos a digitalizar não podem ser protegidos por palavra-passe e têm de conter todo o texto do formulário original.

Diagrama da impressão digital do documento.

O modelo de patente contém os campos em branco Título da patente, Inventores e Descrição, juntamente com descrições para cada um desses campos — esse é o padrão da palavra. Quando carrega o modelo de patente original, este encontra-se num dos tipos de ficheiro suportados e em texto simples. O MIcrosoft Purview converte este padrão de palavra numa impressão digital de documento, que é um pequeno ficheiro XML Unicode que contém um valor hash exclusivo que representa o texto original. Como medida de segurança, o próprio documento original não está armazenado; apenas o valor hash é armazenado. O documento original não pode ser reconstruído a partir do valor hash. A impressão digital da patente é representada num SIT que pode utilizar como condição numa política DLP.

Por exemplo, se configurar uma política DLP que impeça os funcionários regulares de enviar mensagens que contenham patentes, a DLP utiliza a impressão digital da patente SIT para detetar patentes e bloquear esses e-mails. Em alternativa, pode querer permitir que o seu departamento jurídico possa enviar patentes a outras organizações porque tem uma necessidade de negócio para o fazer. Para permitir que departamentos específicos enviem informações confidenciais, crie exceções para esses departamentos na sua política DLP. Em alternativa, pode permitir que substituam uma sugestão de política com uma justificação comercial.

Importante

O texto em documentos incorporados não é considerado para criação de impressões digitais. Tem de fornecer ficheiros de modelo de exemplo que não contenham documentos incorporados.

Limitações da impressão digital de documento

A impressão digital do documento não deteta informações confidenciais nos seguintes casos:

  • Arquivos protegidos por senha
  • Ficheiros que contêm apenas imagens
  • Documentos que não contenham todo o texto do formulário original usado para criar a impressão digital de documento
  • Ficheiros com mais de 4 MB

Observação

Para utilizar a identificação digital de documentos com dispositivos, a Análise e proteção de classificação avançadas têm de estar ativadas.

As impressões digitais são armazenadas num pacote de regras separado. Este pacote de regras tem um limite de tamanho máximo de 150 KB. Tendo em conta este limite, pode criar aproximadamente 50 impressões digitais por inquilino.

Observação

O modelo utilizado para criar uma impressão digital deve ter, pelo menos, 4096 carateres. O comprimento de texto extraído suportado para o modelo de impressão digital tem de ter entre 4.096 e 204.800 carateres.

Os exemplos seguintes mostram o que acontece se criar uma impressão digital do documento com base num modelo de patente. No entanto, pode utilizar qualquer formulário como base para criar uma impressão digital do documento.

Exemplo: Criar um documento de patente que corresponda à impressão digital do documento de um modelo de patente

Selecione a guia apropriada para o portal que você está usando. Dependendo do seu plano do Microsoft 365, o portal de conformidade do Microsoft Purview será descontinuado ou será descontinuado em breve.

Para saber mais sobre o portal do Microsoft Purview, consulte o portal do Microsoft Purview. Para saber mais sobre o Portal de conformidade, consulte Portal de conformidade do Microsoft Purview.

  1. No portal do Microsoft Purview, navegue para Prevenção de Perda de Dados ou tipos de informações confidenciais Proteção de Informações>Classifiers>.
  2. Na página Tipos de informações confidenciais , selecione + Criar SIT baseado em Impressões Digitais.
  3. Introduza um nome e uma descrição para o seu novo SIT.
  4. Carregue o ficheiro que pretende utilizar como modelo de impressão digital.
  5. OPCIONAL: ajuste os requisitos para cada nível de confiança. (Para obter mais informações, veja Correspondência parcial e Correspondência exata.)
  6. Escolha Avançar.
  7. Reveja as suas definições e, em seguida, selecione Criar.
  8. Quando a página de confirmação for apresentada, selecione Concluído.

Exemplo do PowerShell de um documento de patente que corresponde a uma impressão digital de um documento de um modelo de patente

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

Correspondência parcial

Para configurar a correspondência parcial de uma impressão digital do documento, quando estiver a definir as opções de configuração durante o carregamento do modelo, defina o nível de confiança, escolha Baixo, Médio ou Alto e designe a quantidade de texto no ficheiro que tem de corresponder à impressão digital em termos de uma percentagem entre 30% e 90%.

Um nível de confiança elevado devolve o menor número de falsos positivos, mas pode resultar em mais falsos negativos. Os níveis de confiança baixos ou médios devolvem mais falsos positivos, mas poucos a zero falsos negativos.

  • baixa confiança: os itens correspondentes contêm o menor número de falsos negativos, mas os mais falsos positivos. A confiança baixa devolve todas as correspondências de confiança baixa, média e alta.
  • confiança média: os itens correspondentes contêm um número médio de falsos positivos e falsos negativos. A confiança média devolve todas as correspondências médias e de confiança elevada.
  • alta confiança: os itens correspondentes contêm o menor número de falsos positivos, mas os mais falsos negativos.

Correspondência exata

Para configurar a correspondência exata de uma impressão digital do documento, selecione Exato como o valor para o nível de confiança elevado. Quando define o nível de confiança elevado para Exato, apenas são detetados ficheiros que tenham exatamente o mesmo texto que a impressão digital. Se o ficheiro tiver um pequeno desvio da impressão digital, não será detetado.

Já está a utilizar SITs de impressão digital?

As suas impressões digitais e políticas/regras existentes para essas impressões digitais devem continuar a funcionar. Se não quiser utilizar as funcionalidades de impressões digitais mais recentes, não tem de fazer nada.

Se tiver uma licença E5 e quiser utilizar as funcionalidades de impressões digitais mais recentes, tem duas opções:

Observação

A criação de novas impressões digitais com os modelos nos quais já existe uma impressão digital não é suportada.

Criar um tipo de informações confidenciais personalizado com base na impressão digital de documentos com o PowerShell

Atualmente, só pode criar uma impressão digital do documento no PowerShell de Conformidade do & de Segurança.

Para criar um SIT personalizado com base numa impressão digital do documento, utilize o cmdlet New-DlpSensitiveInformationType . O exemplo seguinte cria uma nova impressão digital do documento com o nome "Contoso Customer Confidential" com base no ficheiro C:\My Documents\Contoso Customer Form.docx.

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

Por fim, adicione o tipo de informações confidenciais "Confidencial do Cliente Contoso" a uma política DLP no portal de conformidade do Microsoft Purview. Este exemplo adiciona uma regra a uma política DLP existente, denominada "ConfidentialPolicy".

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

Também pode utilizar o SIT de Impressão Digital nas regras de fluxo de correio no Exchange, conforme mostrado no exemplo seguinte. Para executar este comando, primeiro tem de se ligar ao Exchange PowerShell. Além disso, tenha em atenção que os SITs demoram algum tempo a sincronizar com o centro de administração do Exchange.

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

O DLP pode agora detetar documentos que correspondam à impressão digital do documento Form.docx cliente da Contoso.

Para obter informações sobre sintaxe e parâmetros, veja:

Editar, testar ou eliminar uma impressão digital do documento

Para o fazer no portal do Microsoft Purview, abra a impressão digital SIT que pretende editar, testar ou eliminar e selecione o ícone adequado.

Para o fazer através do PowerShell, execute os seguintes comandos:

Editar uma impressão digital do documento

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

Testar uma impressão digital do documento

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

Eliminar uma impressão digital do documento

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Migrar um SIT de impressão digital existente para um através do Portal do Microsoft Purview

  1. Abra o portal > do Microsoft Purview Proteção de Informações>Classifiers>Tipos de informações confidenciais.
  2. Abra o SIT que contém a impressão digital que pretende migrar.
  3. Selecione Editar.
  4. Carregue novamente o mesmo ficheiro de impressão digital.
  5. Reveja as definições > de impressão digital Concluído.

Migrar uma impressão digital com o PowerShell

Introduza o seguinte comando:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"