Camada de Serviços do Microsoft Purview: O Núcleo Inteligente da Proteção de Dados

Publicado em por chesleysilva

Quando falamos em Microsoft Purview, falamos de uma arquitetura composta por várias camadas — mas existe uma delas que é o verdadeiro cérebro da operação:
a Camada de Serviços Purview, responsável por rotular, proteger e classificar as informações em toda a organização.

É aqui que a mágica acontece: cada dado é compreendido, classificado e controlado automaticamente, sem depender apenas da ação do usuário.

  1. 🔹 MIP Labeling Services — Inteligência que Rotula e Entende o Contexto
  2. 🔹 MIP Protection Services (Azure RMS) — A Camada que Protege o Que Realmente Importa
  3. 🔹 Data Classification Service — O Motor de Detecção e Inteligência de Dados
  4. Pre-requisitos
  5. 1) Preparar o tenant e ativar Azure Rights Management (RMS)
  6. 2) Planejar e criar taxonomy / rótulos (sensibility labels)
  7. 3) Publicar labels (criar label policy / label policy publication)
  8. 4) Habilitar suporte a sensitivity labels em SharePoint/OneDrive/Teams
  9. 5) Configurar Auto-labeling (Apply sensitivity labels automatically)
  10. 6) Criar trainable classifiers (opcional / avançado)
  11. 7) Configurar RMS Connector (quando você tem serviços on-premises que precisam consumir Azure RMS)
  12. 8) Testes e validação (essencial)
  13. 9) Monitoramento e tuning

🔹 MIP Labeling Services — Inteligência que Rotula e Entende o Contexto

O MIP Labeling Services é o serviço que aplica e interpreta os rótulos de sensibilidade (Sensitivity Labels) dentro do ecossistema Microsoft.

Ele atua em tempo real, tanto na nuvem (Exchange, SharePoint, Teams, OneDrive) quanto em ambientes locais — e garante que as políticas de segurança viajem com o arquivo, onde quer que ele vá.

📘 Como ele funciona na prática:

  1. O administrador define políticas e rótulos (ex: “Confidencial”, “Interno”, “Público”).
  2. O Purview envia essas políticas para os aplicativos e serviços MIP-enlightened (Word, Excel, Outlook, Power BI, etc.).
  3. Quando o usuário cria ou edita um documento, o rótulo é aplicado automaticamente com base no conteúdo.

💡 Exemplo real:
Um documento classificado como “Confidencial” no Word é reconhecido pelo Outlook, que bloqueia o envio externo desse arquivo.
Ou seja: a proteção é inteligente e contextual.

🔹 MIP Protection Services (Azure RMS) — A Camada que Protege o Que Realmente Importa

Se o Labeling é quem define as regras, o Protection Services é quem garante que elas sejam cumpridas.

Baseado no Azure Rights Management Services (Azure RMS), esse componente gerencia:

  • 🔐 Criptografia
  • 👤 Autenticação
  • 📋 Controle de uso (Information Rights Management – IRM)

Assim, quando alguém tenta abrir um documento protegido, é o Protection Service que verifica se o usuário tem permissão e processa o pedido de descriptografia.

Ele funciona tanto na nuvem quanto on-premises, por meio do RMS Connector, o que garante uma cobertura híbrida e contínua.

📘 Exemplo prático:
Mesmo que um arquivo “Confidencial – Apenas Diretoria” seja copiado para um pendrive, só membros do grupo de Diretoria conseguirão abri-lo, pois a validação acontece no momento do acesso — não apenas no momento da criação.

🔹 Data Classification Service — O Motor de Detecção e Inteligência de Dados

O Data Classification Service é o componente responsável por analisar e classificar automaticamente os dados com base em tipos de informação sensível (Sensitive Info Types).

Ele trabalha de forma integrada ao Purview Compliance Portal, identificando padrões como:

  • CPF, CNPJ
  • Dados bancários
  • Cartões de crédito
  • Informações de saúde
  • E até dados personalizados definidos pela sua organização

💡 Na prática:
Se um colaborador tentar salvar uma planilha contendo CPFs em uma pasta pública do SharePoint, o Purview detecta o padrão e pode acionar uma política de DLP (Data Loss Prevention) para bloquear a ação — tudo de forma automática.

Pre-requisitos

  • Licença: recursos avançados de auto-labeling/classification exigem Microsoft 365 E5 / Microsoft Purview compliance add-ons (verifique sua licença exata com o time de compras).
  • Permissões: conta com papel Compliance admin ou Security & Compliance apropriado no tenant para criar labels, políticas e classifiers.
  • Clients / Apps: versões atualizadas do Office (Windows/Mac), OneDrive sync e navegadores compatíveis para integração DLP/Defender.
  • Rede/infra on-prem: para RMS Connector, servidores com .NET, acesso à Internet e que não sejam Domain Controllers; planeje alta-disponibilidade se for produção.

1) Preparar o tenant e ativar Azure Rights Management (RMS)

Por que: Protection (criptografia / IRM) depende do serviço ativado.

Portal / PowerShell (recomendado):

  1. Instale o módulo AIPService no seu admin workstation:
Install-Module -Name AIPService -Force
  1. Conecte e ative o serviço:
Connect-AipService
# Siga a autenticação interativa
  1. Se necessário, execute cmdlets para verificar estado e chaves (veja a documentação de administração do AIP/Azure RMS). Microsoft Learn+1

Nota: a ativação hoje é feita via PowerShell (não é mais por alguns portais antigos). A documentação oficial mostra os passos e cmdlets exatos. Microsoft Learn

2) Planejar e criar taxonomy / rótulos (sensibility labels)

Por que: precisão na nomenclatura evita confusão e facilita adoção.

Passos (Portal Microsoft Purview):

  1. Acesse: Microsoft Purview portal → Solutions → Information Protection → Sensitivity labels.
  2. Clique + Create a label e preencha:
    • Nome, descrição (usuário & admin), tooltip.
    • Se a label aplica encryption (proteção) → configurar permissões, grupo allowed, policy for access expiration, offline access.
    • Se a label aplica classification (visual banner, watermark, header/footer).
  3. Crie sub-labels se necessário para granularidade (ex: Confidencial → Diretoria, Confidencial → RH).

3) Publicar labels (criar label policy / label policy publication)

Por que: labels só aparecem para usuários/aplicações após publicação.

Passos (Portal):

  1. Ainda em Sensitivity labels, clique em Publish labels (ou Label policies).
  2. Selecione labels a publicar, defina escopo (grupos, OUs, usuários) e configurações de rollout (preview, notify users).
  3. Use scoped policies para testar em grupo piloto antes de globalizar.

Dica: publique primeiro para um grupo piloto (ex.: TI + 5 equipes) e verifique comportamento em clientes Office.

4) Habilitar suporte a sensitivity labels em SharePoint/OneDrive/Teams

Por que: para que SharePoint / OneDrive reconheçam e processem arquivos criptografados e labels aplicadas por clientes.

Passos:

  1. No Purview portal, vá em configuração de Sensitivity labels → Enable sensitivity labels for Office files in SharePoint and OneDrive e habilite conforme política (opção para optar-out se necessário).
  2. Garanta versões mínimas de OneDrive sync e que o tenant tenha configuração correta. Após habilitar, arquivos novos/alterados passam a ser processados.

5) Configurar Auto-labeling (Apply sensitivity labels automatically)

Por que: reduzir atrito e aplicar labels por regra (sensitive info types / keywords / classifiers).

Passos (Portal):

  1. Microsoft Purview portal → Solutions → Information Protection → Auto-labeling (ou Automatically apply a sensitivity label).
  2. Crie uma nova política de auto-labeling:
    • Escopo: Exchange, SharePoint, OneDrive (escolha onde aplicar).
    • Regras: usar Sensitive info types (CPF, CNPJ, PAN, IBAN), condições de regex, ou usar trainable classifiers.
    • Defina ações: aplicar label, notify user, restrict sharing, encrypt.
  3. Salve e publique a política; monitorar em modo audit/monitor antes de aplicar bloqueios. Microsoft Learn+1

Exemplo prático: regra: se documento contém >3 padrões de CPF, aplicar automaticamente label “Confidencial-PII” e aplicar encryption.

6) Criar trainable classifiers (opcional / avançado)

Por que: quando padrões são complexos (documentos legados, linguagem natural).

Passos:

  1. Em Microsoft Purview → Data classification → Classifiers → Trainable classifiers.
  2. Crie um novo classifier e forneça seed positive examples (pastas no SharePoint com exemplos) e negative examples.
  3. Treine, valide e publique o classifier como regra de auto-labeling.

7) Configurar RMS Connector (quando você tem serviços on-premises que precisam consumir Azure RMS)

Por que: servidores Exchange/SharePoint on-prem precisam de RMS para proteger/consumir conteúdo.

Passos resumidos:

  1. Baixe o instalador do RMS Connector (RMSConnectorSetup.exe) do Microsoft Download Center.
  2. Pré-requisitos: servidor com .NET, acesso Internet, não ser DC; planejar HA.
  3. Instale o RMS Connector, insira credenciais do tenant e autorize servidores a usar o connector.
  4. Configure servidores (Exchange/SharePoint) para apontarem para o connector (registro/registry settings ou server configuration tool).

8) Testes e validação (essencial)

  1. Teste 1 — Manual: usuário do piloto cria documento no Word, aplica label manualmente; verificar que o documento é marcado e que Outlook bloqueia envio externo (se policy aplicada).
  2. Teste 2 — Auto-label: crie um documento com CPFs -> esperar que auto-labeling aplique label conforme política; verifique logs.
  3. Teste 3 — Acesso protegido: coloque arquivo criptografado em pendrive e tente abrir com uma conta sem permissão → deve ser bloqueado.
  4. Teste 4 — On-prem: teste cenários que passam pelo RMS connector (ex.: Exchange on-prem processando IRM).
  5. Ver logs/auditoria: use Activity explorer / Audit logs no Purview portal para ver eventos: Applied sensitivity label to file, Changed label, Label removed, AccessDenied…

9) Monitoramento e tuning

  • Ative alertas e dashboards no Purview Compliance Portal para acompanhar eventos de rotulagem e acessos negados.
  • Revise regras de auto-labeling periodicamente (falsos positivos / negativos).
  • Treine e reentre classifiers com novos exemplos quando necessário.

Boas práticas, riscos e rollback

  • Comece por piloto (pequeno grupo), monitore por 2–4 semanas antes do rollout global.
  • Modo monitor: publique políticas com ação “Report-only” antes de bloquear.
  • Treinamento: eduque usuários sobre significado dos labels e mudança de UX (como compartilhar arquivos protegidos).
  • Backup e export: antes de aplicar globalmente regras que criptografem com nova chave, documente procedimentos de recuperação/rotina de chaves.
  • Rollback: mantenha uma política de emergência (ex.: re-publicar policy que remova criptografia aplicada por erro, ou ajuste de scope) e procedimentos de desativação de RMS caso necessário.

Deixe um comentário