Júlio César Gonçalves VasconcelosCom o crescimento acelerado da transformação digital e o aumento exponencial na criação e compartilhamento de informações sensíveis, proteger os dados corporativos se tornou uma prioridade para organizações de todos os portes. Nesse cenário, o Microsoft Purview surge como uma solução poderosa para ajudar empresas a gerenciar, proteger e governar seus dados de forma centralizada e eficiente.
O Microsoft Purview é a plataforma de governança e compliance da Microsoft, projetada para oferecer visibilidade completa sobre os dados que circulam no ambiente corporativo — tanto em repouso quanto em trânsito. Ele permite que as organizações identifiquem, classifiquem e protejam informações sensíveis, garantindo o cumprimento de requisitos regulatórios e fortalecendo a segurança da informação.
Entre os recursos essenciais do Purview estão as Sensitivity Labels. Com elas, é possível aplicar classificações específicas a documentos, e-mails e outros conteúdos, determinando políticas automáticas de proteção como criptografia, marca d’água, restrição de acesso e muito mais — tudo de forma transparente para o usuário final.
Neste artigo, vou mostrar o passo a passo completo para criar e publicar Sensitivity Labels no Microsoft Purview, ajudando você a dar os primeiros passos na implementação de uma estratégia eficaz de proteção de dados.
Atenção: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
O que você irá precisar para isso:
- Licenças:
- Microsoft 365 E3
- Microsoft 365 E5
- Microsoft 365 E5 Compliance
- Permissões:
- Information Protection
- Information Protection Admins
- Information Protection Analysts
- Information Protection Investigators
- Information Protection Readers
Para uma explicação de cada role e os papéis que eles contêm, selecione um grupo de roles no portal do Microsoft Purview ou no portal de conformidade do Microsoft Purview e, em seguida, revise a descrição no painel lateral.
Ou veja em Role groups in Microsoft Defender for Office 365 and Microsoft Purview compliance.
Nota: Para que os recursos do Microsoft Purview, como a aplicação de Sensitivity Labels, funcionem corretamente, é necessário apenas que o usuário esteja autenticado com sua conta corporativa ou escolar vinculada ao ambiente do Microsoft 365. Ou seja, não é preciso configurar nada adicional no dispositivo além do login na conta da organização, garantindo assim a aplicação das políticas de proteção de forma automática e transparente.
Passo a passo – Hands On
1. Vamos acessar o portal do Purview.
2. Vamos adicionar a permissão necessária para criação e alteração de Sensitivity Labels, clicando na engrenagem (Settings) localizada no canto superior direito da página.
No menu que se abrir, selecione “Roles and scopes”.
Agora, selecione “Role groups” e em “Search” pesquise pelo grupo de função “Information Protection Admins”.
Agora, clique em “Edit” e adicione o usuário que terá permissão para a criação e alteração de Sensitivity Labels.
Selecione “Choose users” ou “Choose groups”, caso você trabalhe com usuários organizados em grupos.
Neste exemplo, vamos selecionar um usuário, então clique em “Choose users”, adicione o usuário desejado, clique em “Select”, em seguida em “Next” e, por fim, em “Save” e depois em “Done”.
3. Agora, antes de prosseguir, precisamos habilitar o modo de “Audit”. Em alguns tenants, ele já vem habilitado por padrão, mas vou deixar o print indicando onde você pode realizar essa verificação e ativação pelo portal. Para isso, no portal, selecione a opção “Home“, clique em “Audit” e depois selecione “Start recording user and admin activity”.
4. Agora, selecione “Solutions” e, em seguida, “Information Protection”.
Em “Classifiers”, vamos selecionar “Sensitive info type” e depois “+ Create sensitive info type” para criamos uma type custom que vai identificar documentos que tenham palavras que mencione RH (HR) e salários.
Defina um nome em “Name” e uma descrição em “Description” e clique em “Next”.
Em “Patterns” vamos criar as condições que irão dar match com as informações nos documentos. Clique em “+ Create pattern” em “Confidence level” selecione “High confidence” depois em “+ Add primary element” selecione “Regular expression” e preencha o “ID” como um nome para a expressão, e no campo “Regular expression” preencha usando a expressão “(R\$|USD|\$|BRL|EUR)\s?\d{3,6}[.,]?\d{0,2}” e selecione “String match” e depois clique em “Done”.
Em “Character proximity” deixe o valor default “300”.
Depois clique em “+ Add supporting elements or group of elements” e selecione “Keyword list”
Em “Edit keyword list”, defina um nome em “ID” e, depois, em “Keyword group #1”, insira uma lista de palavras que façam menção ao vocabulário utilizado pelo RH no dia a dia, já no campo “Case insensitive”, selecione “Word match” e depois clique em “Done”.
Agora clique em “Create”.
Agora clique em “Next”.
Em “Recommended confidence level” vamos deixar a opção “High confidence level” selecionado por default, e depois clicar em “Next”.
Em “Finish” revise as configurações criadas e depois clique em “Create”
5. No menu “Information Protection”, selecione “Sensitivity labels” e, em seguida, clique em “+ Create a label”.
6. Em “Label details”, iremos criar um “Sensitivity Label” para o departamento de RH. Em “Name” (nome visível apenas para administradores), vamos definir um identificador para o rótulo. Em seguida, em “Display name” (nome que os usuários visualizam ao aplicar o rótulo), definimos o nome amigável que será exibido para o público final. Logo após, em “Priority”, manteremos a opção padrão como “Highest”, mas você pode alterar caso queira que o rótulo tenha uma prioridade menor em relação a outros. Por fim, em “Description for users”, adicionaremos um ToolTip, que será exibido aos usuários com orientações sobre quando utilizar esse rótulo, e caso queira escolha uma cor para essa label e depois clique em “Next”.
7. Em “Scope”, vamos selecionar o escopo no qual o Sensitivity Label será aplicado. No caso de hoje, vamos marcar as opções “Files & other data assets” e “Emails”. Após a seleção, clique em “Next”.
8. Agora em “Items” vamos selecionar “Control access” para permitir quem consegue acessar e visualizar os itens rotulados, e “Apply content marking” para que possamos adicionar cabeçalhos, rodapés e marcas d’água nos itens protegidos. Essas opções ajudam a garantir que o conteúdo classificado fique identificado e protegido de acordo com a política definida. E por final clique em “Next”.
9. Ao marcar as duas opções do passo anterior, serão habilitadas novas configurações, como Access control, Content marking e Auto-labeling for files and emails. Em Access control, vamos habilitar a opção de Co-authoring. Essa configuração permite a coautoria nos aplicativos da área de trabalho do Office, garantindo que, mesmo quando os documentos estiverem rotulados e criptografados por Sensitivity Labels, vários usuários possam editá-los simultaneamente.
Em “Co-authoring for files with sensitivity labels“, selecione “Turn on co-authoring for files with sensitivity labels” para permitir que múltiplos usuários possam colaborar simultaneamente em arquivos protegidos por “Sensitivity Labels“.
Atenção: Para desativar essa opção, será necessário usar o PowerShell. Antes de desativá-la, certifique-se de entender as consequências e como essa alteração pode impactar o conteúdo rotulado na sua organização. Saiba mais.
10. Infelizmente, ao navegar para essa página, será necessário reiniciar o processo de criação do Sensitivity Label. Após ativar o “Co-authoring”, vamos retomar a configuração de onde paramos. Em “Access control”, selecione novamente “Configure access control settings”. Na opção “Assign permissions now or let users decide?”, escolha “Assign permissions now”. Em “User access to content expires”, mantenha como “Never”. Em “Allow offline access”, selecione “Always”. Em “Assign permissions to specific users and groups”, selecione “+ Add Any Authenticated users” em “Permission” escolha qual o tipo de permissão que usuários vão ter. Após concluir essas configurações, clique em “Save” e depois em “Next”.
11. Em “Content marking”, vamos deixar como “Enable” e selecionar a opção “Add a watermark”. Em seguida, vamos personalizar a marca d’água com o texto “HR_Confidential”, que será aplicada nos documentos que se enquadrarem nas condições que definiremos na próxima etapa. (Customize de acordo com as diretrizes da sua empresa).
12. Em “Auto-labeling for files and emails”, vamos marcar como “Enable” para que possamos criar as condições que irão determinar se o documento deve ser classificado como Confidential – Human Resources ou não.
Então, clique em “+ Add condition” e, em seguida, em “Content conditions”. Deixe o Group name como “Default”, clique em “Add” e depois selecione “Sensitive info types”.
Em “Sensitive info types”, pesquise pelo custom sensitive info type criado anteriormente e clique em “Add”.
Agora, vamos configurar os tipos de informações sensíveis selecionados como “High confidence”. Em “When content matches these conditions”, vamos definir como “Automatically apply label”. Também vamos criar uma mensagem personalizada em “Display this message to users when the label is applied”, que será exibida ao usuário no momento em que o arquivo for rotulado. Por fim, clique em “Next”.
Em “Groups & Sites”, não será necessário configurar nada, então podemos seguir diretamente para “Finish”, onde você poderá revisar o Sensitivity Label que está criando. Por fim, clique em “Create label” para concluir o processo.
13. Ao finalizar a criação da “Sensitivity Label”, selecione a opção “Don’t create a policy yet” e clique em “Done”.
14. Para termos uma imersão mais completa na ferramenta, optamos por não publicar a “Sensitivity Label” ao final da sua criação, para que possamos visualizar onde realizar essa ação posteriormente. Para isso, em “Information Protection”, clique em “Sensitivity labels”, selecione a label que criamos e, em seguida, clique em “Publish label”,
Verifique se a label selecionada é realmente a correta para ser publicada e clique em “Next”.
Em “Assign admin units”, vamos manter a opção “Full directory”, que vem selecionada por padrão, e clicar em “Next”.
Em “Users and groups”, vamos selecionar os usuários ou o grupo do RH, clicar em “Done” e, em seguida, em “Next”.
Em “Settings”, vamos selecionar as opções “Users must provide a justification to remove a label or lower its classification” e “Require users to apply a label to their emails and documents” e depois clique em “Next”.
Agora, em “Documents”, vamos deixar o “Default label” como “None”, para que o usuário possa definir de forma mais precisa se o documento realmente deve ser classificado como Confidential ou não. Em seguida, clique em “Next”.
Em “Emails”, vamos deixar o “Default label” como “Same as document” e selecionar a opção “Require users to apply a label to their emails”. (Mesmo que essa exigência já tenha sido marcada anteriormente de forma global, essa configuração oferece flexibilidade caso você queira que essa label específica não exija a aplicação do rótulo em e-mails.) Após isso, clique em “Next”.
Em “Meetings” deixe como “None” e clique em “Next”.
Em “Fabric and Power BI” deixe como “None” e clique em “Next”.
Em “Name” de um nome para sua “Policy” e clique em “Next”.
Em “Finish” revise a policy e clique em “Submit”.
Após a criação da policy, ela pode levar até 24 horas para entrar em produção. Após esse período, já será possível realizar os testes.
Agora, após a replicação da label, podemos testar como ela será exibida nos aplicativos do Microsoft 365, como Word, Excel e outros, incluindo também a versão Web. Assim, poderemos verificar a experiência do colaborador de RH ao tentar criar um novo arquivo no Word.
Como podemos ver, a label foi exigida para que o colaborador conseguisse salvar o documento após a criação. Essa obrigatoriedade também se aplica a arquivos recebidos que sejam editados e, posteriormente, precisem ser salvos. Além disso, podemos observar a mensagem configurada na política e as permissões concedidas durante sua criação.
Aqui podemos ver que é possível recomendar o uso de labels em documentos que são abertos e identificados com informações sensíveis, conforme configurado na Sensitivity Label.
Observação:
- As Sensitivity Labels no modo built-in (Leia aqui.) dos aplicativos do Microsoft 365 (Word, Excel, PowerPoint, etc.) não aplicam etiquetas automaticamente ao abrir ou editar documentos locais. O que acontece nesse cenário é a detecção automática de informações sensíveis com base nas políticas configuradas, e, a partir disso, o usuário recebe uma recomendação (Policy Tip) para aplicar a label apropriada. Porém, a decisão final de aplicar a etiqueta é manual e depende da ação do usuário. A aplicação automática de labels sem intervenção só ocorre por meio de políticas específicas, como as de auto-labeling no Microsoft Purview, que atuam em conteúdos armazenados no Exchange Online, SharePoint Online e OneDrive for Business. Já para arquivos locais (ex: documentos na pasta Downloads), mesmo que o conteúdo sensível seja identificado, a aplicação da Sensitivity Label depende da interação do colaborador.
- Parte deste artigo será utilizado na Parte 2 sobre Sensitivity Labels.
Dessa forma, alcançamos nosso objetivo ao utilizar o Microsoft Purview para a aplicação de rótulos nos documentos corporativos que são usados pelos colaboradores do RH.
E assim, chegamos ao final de mais uma jornada de conhecimento, na qual aprendemos juntos como criar, configurar e publicar as Sensitivity Labels, garantindo a proteção das informações sensíveis e reforçando a segurança dos dados da empresa.
💬 Me conte nos comentários: você já implementou o Microsoft Purview no seu ambiente?
Compartilhe sua experiência e faça parte também desta jornada de proteção e governança de dados. ☁️🔐☁️
