Como rotular sites no Microsoft 365

Não posso dizer quantas vezes clientes me perguntaram se podemos ajudá-los a aplicar rótulos de sensibilidade em larga escala a dados em repouso no SharePoint Online. Infelizmente, tive que informá-los de que realmente existe apenas uma opção, e não é nada boa. Até o momento, não há uma API que permita a um usuário final aplicar um rótulo de sensibilidade diretamente a um arquivo em um site do SharePoint Online, então a única opção real é baixar o arquivo localmente, aplicar o rótulo e depois fazer o upload do arquivo. Provavelmente não preciso entrar nos inúmeros motivos que tornam essa abordagem menos que ideal, como custos de saída e problemas de latência.

Felizmente, há outra opção a caminho. A Microsoft lançou uma funcionalidade em pré-visualização que permite atribuir rótulos de sensibilidade a equipes da Microsoft, grupos do Microsoft 365 e sites do SharePoint. Isso fornece a proteção do rótulo no nível do contêiner, aplicando a classificação e as configurações de proteção configuradas ao site ou grupo. Uma coisa importante a se notar de antemão é que hoje, os conteúdos desses contêineres não herdam o rótulo para a classificação ou configurações para arquivos e e-mails. No entanto, Tony Themelis, Gerente Principal de PM do MIP, indica que a Microsoft está planejando adicionar a capacidade de os rótulos do site rotularem automaticamente todos os arquivos dentro do site.

Neste post do blog, vou mostrar como aplicar um rótulo de sensibilidade a um site SharePoint Online, tanto através da interface do usuário quanto usando o PowerShell.

Uma Breve Visão Geral de Etiquetas de Sensibilidade

As etiquetas de sensibilidade existem há algum tempo, tendo evoluído do que era anteriormente o Information Rights Management para o Azure Information Protection até o seu local atual no Microsoft 365 Security and Compliance Center. O propósito dessas etiquetas é ajudar a garantir que apenas pessoas autorizadas possam visualizar e acessar conteúdo protegido. As etiquetas também podem fornecer proteção adicional, incluindo a marcação de conteúdo, definição de políticas de retenção e desativação de acesso offline

O seu nível de licença determinará se os rótulos devem ser aplicados manualmente pelo usuário final ou se podem ser aplicados automaticamente com base em tipos de informações sensíveis definidos. Leia mais sobre como criar um rótulo e classificar conteúdo com base no tipo de informação no nosso post do blog.

Antes de mergulharmos de cabeça aqui, acho que vale a pena notar que a Microsoft estabeleceu um limite diário de 100 ações de Apply label por aplicativo por locatário para proteger os clientes de aplicar acidentalmente um rótulo a um grande número de arquivos. Este limite pode ser ajustado, mas você precisa abrir um chamado de suporte para fazer isso.

Aplicando Rótulos de Sensibilidade a Contêineres

Para aplicar etiquetas a contêineres com o Microsoft 365, você primeiro precisará de um administrador para habilitar a visualização no Azure AD. Isso pode ser feito via PowerShell seguindo os passos abaixo.

Como ativar AzureADPreview e criar configurações no nível do Directory

• Passo 1. Desinstale as versões anteriores do módulo AzureADPreview:

      Uninstall-Module AzureADPreview
      

• Passo 2. Instale o módulo AzureADPreview:

      Install-Module AzureADPreview -AllowClobberx`
Import-Module AzureADPreview
      

• Etapa 3. Conecte-se ao tenant do Azure e crie as configurações no nível do diretório. São necessárias credenciais de administrador para completar esta etapa.

      Connect-AzureAD
Get-AzureADDirectorySettingTemplate
$TemplateId = (Get-AzureADDirectorySettingTemplate | where { $_.DisplayName -eq "Group.Unified" }).Id
$Template = Get-AzureADDirectorySettingTemplate | where -Property Id -Value 
$TemplateId -EQ
$Setting = $Template.CreateDirectorySetting()
$Setting["EnableMIPLabels"] = "True"
New-AzureADDirectorySetting -DirectorySetting $Setting
$Setting.Values
      

Opções Adicionais de Configuração Habilitadas

Uma vez ativado, você verá as seguintes opções adicionais de configuração quando estiver criando ou editando rótulos de sensibilidade existentes no Microsoft 365 Security & Compliance Center:

• Escopo: Uma nova opção de Grupos & Sites que permite aplicar o rótulo de sensibilidade no nível do contêiner:

Imagem 1: Escopo do Rótulo de Sensibilidade

• Configurações de proteção: Configurações de proteção específicas que se aplicam apenas a equipes, grupos e sites da Microsoft:

Imagem 2: Configurações de Proteção para Teams, Groups e Sites

• Configurações de privacidade: Configurações de privacidade aplicáveis apenas a equipes etiquetadas e grupos do Microsoft 365:

Imagem 3: Configurações de Privacidade e Acesso de Usuário Externo

• Configurações de compartilhamento: Configurações específicas de compartilhamento externo que se aplicam a sites etiquetados:

Imagem 4: Configurações de Compartilhamento Externo e Acesso por Dispositivos

Aplicando um Rótulo a um Site

Aplicando um Rótulo Manualmente

Uma vez que você tenha configurado rótulos que podem ser aplicados no nível do contêiner, você pode usar as configurações do site para aplicá-los facilmente a um site existente ou a um novo site que você está criando. O menu suspenso Sensibilidade exibirá todos os rótulos de sensibilidade disponíveis no nível do contêiner:

Imagem 5: Aplicando um Rótulo de Sensibilidade a um Site

Aplicando um Rótulo Programaticamente

Para aplicar rótulos de sensibilidade aos sites programaticamente usando PowerShell, siga estes passos:

• Passo 1. Conecte-se ao locatário do SharePoint Online usando uma conta de administrador:

Connect-SPOService -Url ‘https://TENANT-admin.sharepoint.com’

• Passo 2. Conecte-se ao Security and Compliance Center usando uma conta de administrador:

Connect-IPPSSession -UserPrincipalName USERNAME@TENANT.ONMICROSOFT.COM

• Etapa 3. Execute o comando Get-Label para recuperar a lista de etiquetas disponíveis:

PS C:Windowssystem32> Get-Label |ft Name, Guid, ContentType

      Name                                 Guid                                 ContentType                   
----                                 ----                                 -----------                   
HIPAA                                9da4a767-6a34-4345-a2bd-a60d841bdcce File, Email                   
Internal Only                        78576ad9-1724-48b3-b915-00b8c9d23323 File, Email                   
GDPR - IP Constraint                 9085e9a5-8d63-4498-a7a8-e63ae1d3cecd File, Email                    
IsSensitive                          f23e934d-7df0-4964-a85e-512fa1893fad File, Email                   
Test                                 2ca82bb8-364a-4878-bb2b-ee6229b5a380 File, Email                   
Confidential                         61f58b80-cb9d-457f-a2c2-f4d870e415de File, Email, Site, UnifiedGroup
936bffcc-298b-440f-84d3-1b0f839b0a73 936bffcc-298b-440f-84d3-1b0f839b0a73 File, Email                   
2a341499-bcbe-47e5-ad00-de254ed4bf45 2a341499-bcbe-47e5-ad00-de254ed4bf45 File, Email                   
66a5a032-508e-45ee-861f-2a7887180b60 66a5a032-508e-45ee-861f-2a7887180b60 File, Email                   
d95145c9-3f29-4ed1-ad28-5abc75c9aa29 d95145c9-3f29-4ed1-ad28-5abc75c9aa29 File, Email
      

Os rótulos recém-criados terão um ContentType de “File, Email, Site, UnifiedGroup”.

• Passo 4. Aplique o rótulo ao site utilizando o Label Guide:

Set-SPOSite –Identity “https://TENANT.sharepoint.com/sites/SupportTeam” –SensitivityLabel ’61f58b80-cb9d-457f-a2c2-f4d870e415de’

Certifique-se de usar o comando Get-SPOSite para validar que o rótulo de sensibilidade foi aplicado:

      PS C:Windowssystem32> get-sposite "https://TENANT.sharepoint.com/teams/SupportTeam" | Select SensitivityLabel
SensitivityLabel                   
----------------                   
61f58b80-cb9d-457f-a2c2-f4d870e415de
      

Como as Etiquetas Aparecem para os Usuários Finais

Uma vez que um site é rotulado, o rótulo será visível para os usuários finais enquanto eles navegam pelo site:

Imagem 6: Como as Etiquetas de Sensibilidade São Exibidas aos Usuários Finais

Como os administradores podem revisar sites e etiquetas de sensibilidade

Você pode visualizar a lista de sites e rótulos de sensibilidade associados usando a página de Active sites no centro de administração do SharePoint:

Imagem 7: Visualizando Sites e Rótulos de Sensibilidade no SharePoint Admin Center

Considerações Finais

Esta funcionalidade de pré-visualização é uma grande vantagem para quem tem enfrentado dificuldades para classificar e proteger seus dados em repouso no Microsoft 365. Embora o objetivo final seja alcançar a proteção no nível do arquivo, rótulos em nível de contêiner permitem que as organizações apliquem classificação e configurem configurações de proteção de forma granular a sites e grupos específicos, a fim de evitar restrições desnecessárias que possam obstruir tanto a produtividade quanto a segurança.

Organizações que procuram rotular e proteger conteúdo no SharePoint Online com base na sensibilidade dos dados — especialmente aquelas que não possuem a licença E5 que fornece a capacidade de rotulagem automática — devem considerar o uso de uma plataforma como StealthAUDIT, que pode ajudar a identificar conteúdo sensível no SharePoint e também aplicar rótulos de sensibilidade apropriados a sites e grupos em larga escala.