Partilhar via

Governação de dados e bases de segurança com o Microsoft Purview

Com a estratégia e arquitetura fundamentais implementadas, estabeleça práticas sólidas de governação e segurança desde o início. Esta abordagem garante que, à medida que os dados de todos os cantos da organização fluem para a sua plataforma unificada, esta permaneça bem gerida, em conformidade e segura. Recomendação: Defina Microsoft Purview como sistema de registo para governação e segurança de dados para que a sua organização possa aplicar políticas, responsabilidade e conformidade consistentes em todo o conjunto de dados (ver Figura 1). Para aplicar esta recomendação, use este artigo como uma lista de verificação:

Diagrama mostrando como o Microsoft Purview fornece uma base única de governação e segurança para todos os dados organizacionais. Na parte inferior, estão todas as fontes de dados, incluindo sistemas on-premises, Dataverse, Microsoft 365, Azure, Google Cloud e Amazon S3. Estas fontes de dados pertencem a domínios de dados organizacionais. Cada domínio de dados varre as suas fontes de dados no Microsoft Purview Data Map. O Mapa de Dados alimenta o Catálogo Unificado, que funciona como um único catálogo para todos os dados em toda a organização. No Catálogo Unificado, organiza-se os dados por domínios de governação do Purview que se alinham com os domínios de dados. Cada domínio de governação é responsável pelos rótulos de sensibilidade, classificação de dados, linhagem, conformidade, retenção de dados, prevenção de perda de dados e utilização de dados em inteligência artificial. As capacidades de governação partilhada incluem o glossário de dados, classificadores de dados e a taxonomia de rótulos de sensibilidade. No topo, os produtos de dados governados fluem para o Microsoft Fabric. Ferramentas como o Microsoft Copilot Studio e o Microsoft 365 Copilot consomem-nas. Figura 1. Papel do Microsoft Purview na governação de dados e nas linhas de base de segurança.

1. Linha de base de visibilidade de dados

A governação de dados começa com uma visão clara de todos os seus ativos de dados em todo o espólio. Recomendação: Estabelecer uma linha de base de visibilidade consistente com Microsoft Purview antes de os dados entrarem no OneLake. Esta abordagem ajuda a manter as decisões de governação consistentes entre plataformas e equipas. Para aplicar esta recomendação, utilize a seguinte lista de verificação:

1.1. Criar um catálogo de dados

Um catálogo de dados centralizado fornece aos decisores um sistema único de registo para compreender que dados existem, onde residem e quem os possuem. Recomendação: Utilize o Catálogo Unificado do Microsoft Purview como o inventário definitivo para todos os ativos de dados empresariais. Para aplicar esta recomendação, utilize a seguinte lista de verificação:

  1. Use domínios de governação. Organize o Catálogo Unificado utilizando domínios de governação Purview que se alinhem com domínios de dados existentes. Coleções, funções e permissões devem refletir estes limites, para que cada domínio de dados tenha autoridade na sua área. O Catálogo Unificado começa vazio, mas à medida que as fontes de dados são registadas e digitalizadas, cresce até se tornar um mapa preciso da propriedade. Definir domínios cedo traz clareza à medida que o catálogo se expande.

  2. Preenche o glossário empresarial. Com a estrutura estabelecida, crie um glossário empresarial partilhado que ancore os termos mais importantes da organização. Termos, como Cliente, Produto, Funcionário e Localização, e medidas como Receita ou Número de Colaboradores, variam frequentemente entre departamentos, a menos que sejam harmonizados. Documente estas definições como termos de glossário no Catálogo Unificado e visualize-as no glossário empresarial do Purview. Comunique-as de forma ampla para ajudar a eliminar ambiguidades. Esta clareza apoia práticas consistentes de IA, análises e relatórios entre as equipas.

1.2. Fontes de dados cartográficos

O Mapa de Dados Purview oferece visibilidade dos ativos de dados sem copiar dados ou substituir controlos de segurança ao nível da fonte. Recomendação: Registar e digitalizar todos os sistemas de dados relevantes para preencher o Data Map. Para aplicar esta recomendação, utilize a seguinte lista de verificação:

  1. Desenvolver arquitetura Purview. Use as coleções Purview e domínios do Mapa de Dados para alinhar permissões e a governança às necessidades dos seus domínios de dados. Estes construtos definem limites para controlo de acessos, gestão de políticas e responsabilidade operacional. Siga as melhores práticas de arquitetura de domínio e coleções no Purview.

  2. Configurar o Purview para dados do Microsoft 365. O Purview tem integração nativa com dados do Microsoft 365 (como SharePoint, OneDrive, Exchange, Teams). Certifique-se também de que governa o conteúdo no Microsoft 365. Quando traz documentos e mensagens do Microsoft 365 para o OneLake ou os utiliza de outra forma em análises, quaisquer rótulos ou classificações do Microsoft 365 são transferidos. No Purview, pode ver etiquetas de sensibilidade e de retenção que aplicou no ambiente Microsoft 365. Para saber mais, consulte os guias de configuração Microsoft Purview.

  3. Digitalizar Microsoft Fabric OneLake. O Fabric OneLake não está automaticamente incluído no Mapa de Dados Purview. Deve registar-se explicitamente e digitalizá-lo. A digitalização do OneLake permite a descoberta de metadados, o rastreio de linhagem e a catalogação de ativos Fabric no Purview. Para saber mais, consulte Registar e digitalizar Microsoft Fabric.

1.3. Analisar dados na cloud, SaaS e local

A digitalização baseada em conectores é necessária para dados armazenados em serviços Azure, Microsoft Dataverse, sistemas on-premises e outras clouds (AWS, Google Cloud, Oracle). Precisa de registar e escanear as fontes de dados suportadas no Data Map. Recomendação: Siga as práticas recomendadas de digitalização da Purview. Escolha se quer digitalizar os sistemas de origem ou apenas a camada Microsoft Fabric OneLake. Esta decisão depende das necessidades de visibilidade, requisitos de conformidade, sobrecarga operacional e do papel que cada sistema desempenha na análise e nos relatórios. Para aplicar esta recomendação, consulte as seguintes opções:

Opção 1: Analisar sistemas de origem. Analisar sistemas operacionais, como os sistemas de registo de bases de dados do Azure ou do AWS S3, fornece uma linhagem de ponta a ponta. Esta informação é importante para dados regulados ou críticos para o negócio, onde a proveniência total apoia auditorias e conformidade. Proporciona a maior visibilidade sobre as alterações a montante, mas introduz complexidade. A configuração, credenciais e agendamento do conector exigem atenção, e algumas fontes exigem que escolha o runtime de integração certo.

Opção 2: Escanear apenas a camada Fabric. Se não for necessária uma visibilidade profunda dos sistemas a montante, escanear apenas a camada Fabric simplifica o modelo de governação. A linhagem começa quando os dados entram no Fabric. Esta abordagem reduz o trabalho de integração. É melhor para dados em que os sistemas a montante são bem governados ou quando as obrigações de conformidade não exigem uma traçabilidade completa. Para saber mais, consulte Fabric em Microsoft Purview.

1.4. Aplicar rótulos de sensibilidade

Os rótulos de sensibilidade são uma ferramenta fundamental para classificar e proteger dados. No Microsoft Purview, existem tipicamente dois tipos de rótulos de sensibilidade:

  • Rótulos apenas de metadados: Estas etiquetas são etiquetas de metadados no catálogo Purview. Por exemplo, rotular uma tabela SQL do Azure como "Confidencial" no catálogo sem afetar diretamente o sistema de origem. Estas etiquetas ajudam a monitorizar e gerir a sensibilidade dos dados no Purview para ativos fora do Microsoft 365/Fabric.

  • Rótulos protetores: Estes rótulos não só marcam os dados com uma classificação, como "Confidencial", como também reforçam a proteção. Podem impor encriptação ou restringir o acesso a ficheiros e emails. Uso estes rótulos muito no Microsoft 365 e agora estendem-se também ao Fabric.

Ambos contribuem para um modelo de governação consistente, e a clareza sobre o seu propósito ajuda a alinhar o tipo de rótulo correto ao cenário correto. Recomendação: Aplicar uma estratégia unificada de rotulagem de sensibilidade entre Microsoft 365, Fabric e o Mapa de Dados Purview. Para aplicar esta recomendação, utilize a seguinte lista de verificação:

  1. Defina uma taxonomia de rótulos de sensibilidade. Defina um esquema de rotulagem organizacional. Um esquema comum é Não Empresarial, Público, Geral, Confidencial e Altamente Confidencial. Certifique-se de que todos compreendem o que cada rótulo significa e que tipos de dados se enquadram em cada categoria. Obter suporte para esta taxonomia junto às partes interessadas em conformidade e negócios. Veja Comece com etiquetas de sensibilidade.

  2. Etiquetar dados Microsoft 365 (etiqueta de proteção). Certifique-se de que a informação do Microsoft 365 está rotulada utilizando o Proteção de Informações do Microsoft Purview. Estas etiquetas impõem controlos de segurança (encriptação, acesso restrito). Persistem com os dados quando trazidos para o OneLake ou partilhados através de outras ferramentas. Boas práticas: Muitas organizações implementam políticas de rotulagem automática para detetar informações sensíveis, como números de cartão de crédito ou dados pessoais, e aplicar automaticamente uma etiqueta. Veja aplicar automaticamente etiquetas de sensibilidade aos dados Microsoft 365.

  3. Etiquetar dados Microsoft Fabric (etiqueta de proteção). Microsoft Fabric suporta etiquetas de sensibilidade protegidas nos seus próprios ativos, como tabelas num Lakehouse, e conjuntos de dados do Power BI. Configure políticas de rótulos predefinidas no Fabric para que os novos dados no OneLake sejam rotulados adequadamente desde a sua criação. Por exemplo, pode especificar que qualquer novo conjunto de dados em certos espaços de trabalho é, por defeito, rotulado como interno ou confidencial, a menos que seja alterado. Esta abordagem assegura que nenhum dado entra no lago sem classificação. Ajuste estes valores definidos para áreas que lidam com dados sensíveis. Ver Govern Fabric.

  4. Entradas de etiqueta no Purview Data Map (etiqueta apenas para metadados). Para fontes de dados que são incorporadas ao Purview (como um bucket S3 da AWS ou uma base de dados local), aplique etiquetas de metadados no Mapa de Dados do Purview. Embora estas etiquetas não encriptem nem restrinjam os dados na fonte, informam os utilizadores e sistemas de que os dados são, por exemplo, confidenciais. Também podem desencadear outros fluxos de trabalho de governação. Tudo o que está no seu catálogo deve ter uma classificação de sensibilidade. Consulte Uso de políticas de autoetiquetagem para detetar ativos de dados e aplicar automaticamente estas etiquetas de sensibilidade com base apenas em metadados.

1.5. Capturar linhagem de dados

A linhagem de dados oferece visibilidade sobre como os dados se movem e mudam entre sistemas. Recomendação: Ativar a linhagem automatizada sempre que disponível e fechar as lacunas manualmente quando necessário. Melhores práticas: Use o Microsoft Purview para automatizar a captura de linhagem de muitos ativos. Quando a automação não estiver disponível, adicione a linhagem manualmente no Purview para preencher lacunas. Ver configuração manual de linhagem. Configure a linhagem de dados no Purview para Fabric e, conforme necessário, para Azure Databricks.

2. Padrão de conformidade da infraestrutura de dados

A conformidade define as obrigações legais, regulatórias e internas que se aplicam aos dados em todas as plataformas. Os decisores devem compreender estas obrigações antes de aplicar os controlos. Esta abordagem garante que as ações de governação permanecem defensáveis e auditáveis em toda a Microsoft Fabric e no vasto património de dados. Recomendação: Defina os requisitos de conformidade de forma centralizada e monitorize o alinhamento continuamente utilizando Microsoft Purview. As decisões de governação de dados devem manter-se consistentes em Microsoft 365, Azure, outras clouds e sistemas locais. Para aplicar esta recomendação, utilize a seguinte lista de verificação:

  1. Defina os seus requisitos de conformidade. Os requisitos de conformidade variam consoante a indústria, região e carga de trabalho. O modelo de governação deve refleti-las antes de aplicar quaisquer controlos protetores ou técnicos. Identifique quais os quadros regulatórios ou normas do setor que são relevantes para a sua organização. Boas práticas: Use os modelos regulatórios do Microsoft Purview modelos regulatórios e avaliações. Representam normas como RGPD, HIPAA e HITECH, PCI DSS v4.0, Sarbanes-Oxley Act e ISO 27001. Consulte estes modelos para perceber quais as regras aplicáveis no Microsoft 365, Azure, AWS e Google Cloud. Estes modelos fornecem uma lista de controlos e práticas que deve ter implementadas. Use as pontuações e recomendações do Gestor de Conformidade para avaliar a sua postura atual, identificar lacunas e priorizar o que abordar primeiro.

  2. Monitorizar a conformidade com os dados. Depois de configurar os modelos de conformidade do Purview, reveja regularmente a pontuação e os relatórios de conformidade . A Purview avalia automaticamente aspetos de conformidade para dados Microsoft 365 e dados em Azure, AWS e Google Cloud. Destaca questões e ações sugeridas para melhorar a conformidade. Configure alertas para quaisquer violações críticas da política de conformidade. Boas práticas: Se a Purview encontrar dados sensíveis num local não aprovado ou se uma política de retenção for violada, notifique imediatamente as equipas responsáveis para que possam agir. Monitorização constante e melhorias incrementais garantem que não é apanhado de surpresa por auditorias ou incidentes.

  3. Configurar a retenção de dados do Microsoft 365. Decida quanto tempo guardar diferentes tipos de dados e quando os apagar ou arquivar. A ambiguidade na retenção pode levar a manter dados por demasiado tempo (correndo risco de violações de conformidade ou custos de armazenamento desnecessários) ou a eliminar demasiado cedo (perdendo histórico valioso). Melhores práticas: Use a gestão do ciclo de vida de dados da Microsoft Purview para dados do Microsoft 365 para definir políticas de retenção ou eliminação de emails, documentos e mensagens do Teams.

  4. Configurar a retenção de dados no Azure. Os serviços do Azure requerem retenção e configuração de backup específica para cada serviço. Melhores práticas: Configurar a retenção de backups para serviços, como SQL do Azure, Cosmos DB e MySQL. Use Armazenamento do Azure regras de gestão do ciclo de vida para arquivar ou eliminar dados. Orientações de serviço de referência para Base de Dados SQL do Azure, Cosmos DB e MySQL.

  5. Configure a retenção de dados local e noutros serviços de cloud. Os dados fora das plataformas Microsoft ainda requerem controlos de ciclo de vida compatíveis. Para evitar riscos de conformidade não geridos, aplique estratégias de retenção intencional a todas as fontes de dados não Azure e on-premises. Melhores práticas: Use soluções Azure Backup ou de terceiros para reter dados on-premises, AWS e GCP. Siga as orientações para fazer backup de cargas de trabalho na cloud e on-premises para a cloud. Quando necessário, carregue manualmente os dados para o Armazenamento do Azure e arquive o blob.

3. Linha de referência de segurança da infraestrutura de dados

Uma base de segurança consistente garante que os dados sensíveis permanecem protegidos em cargas de trabalho do Microsoft 365, Microsoft Fabric, serviços Azure e IA. Recomendação: Definir e aplicar uma única postura de segurança em todo o património de dados, de modo a que a classificação, proteção e aplicação funcionem de forma uniforme e em escala. Para aplicar esta recomendação, utilize a seguinte lista de verificação.

  1. Ativar classificadores de dados sensíveis.Os classificadores de dados sensíveis do Microsoft Purview identificam dados regulados e críticos para o negócio, de maneira que os controlos de proteção possam atuar automaticamente e de forma consistente entre os serviços. Boas práticas: Permitir os tipos de informação sensível incorporados que estejam alinhados com o risco regulatório e empresarial. Crie classificadores personalizados para dados específicos de domínio, como segredos comerciais ou investigação proprietária. Use estes classificadores como base para rotulagem, prevenção de perda de dados e controlos de auditoria. Orientação para a decisão: Decidir confiar em classificadores padrão quando o alinhamento regulatório é o objetivo principal e os tipos de dados correspondem às definições padrão. Escolha classificadores personalizados quando os dados específicos do negócio apresentam riscos que os classificadores padrão não detetam. Classificadores personalizados aumentam a cobertura, mas exigem supervisão de governação para se manterem precisos ao longo do tempo.

  2. Aplicar a prevenção de perda de dados (DLP). Configure políticas DLP no Microsoft Purview para evitar fugas de dados sensíveis através de ações do dia a dia. Configura DLP tanto para o Microsoft 365 (para cobrir emails, documentos do Office e chats do Teams) como para o Microsoft Fabric. Uma política DLP pode bloquear um utilizador de partilhar um ficheiro externamente se este contiver dados confidenciais como dados pessoais de clientes ou informações de saúde. No Fabric, o DLP pode impedir que analistas partilhem um conjunto de dados ou relatório que inclua dados sensíveis. Para uma configuração detalhada, consulte as orientações para Microsoft 365 apps, Copilot e Microsoft Fabric. Orientação para a decisão:

    • Apenas monitorização (modo de auditoria): Comece com o DLP no modo apenas de monitorização quando estiver preocupado com a interrupção do trabalho. Permite-lhe observar e ajustar o comportamento das políticas, mas os dados podem continuar a ser expostos porque a fiscalização não está ativa.

    • Bloquear ou restringir: Passe para o modo de bloqueio ou restrição quando a fuga de dados teria efeitos graves e as suas regras de deteção forem fiáveis. Algumas ações legítimas podem ser bloqueadas inicialmente e exigir tratamento de exceções e ajustes de políticas.

  3. Proteger os dados nos serviços do Azure. O Microsoft Purview cataloga e rotula dados nos serviços do Azure, mas não substitui os controlos de segurança nativos desses serviços. Melhores práticas: Aplicar controlos de segurança ao nível de serviço, como isolamento de rede e cobertura Microsoft Defender para Base de Dados SQL do Azure, Azure Cosmos DB e Armazenamento do Azure. Alinhar estes controlos com as classificações da Purview para que a monitorização e os alertas reflitam a sensibilidade dos dados e o risco empresarial.

  4. Proteger os dados usados pelas aplicações de IA. As aplicações de IA introduzem novos caminhos de exposição de dados que requerem um alinhamento explícito com as políticas de governação e segurança de dados empresariais. O Microsoft Purview integra-se com o Microsoft Foundry e outras plataformas de IA para fornecer este controlo.

    Melhores práticas:

    • Use Gestão da Postura de Segurança de Dados do Microsoft Purview (DSPM). Proporciona visibilidade centralizada e proteção para riscos de dados relacionados com IA. Para a integração e automação de governação do DSPM para IA, consulte Data Agent Governance and Security Accelerator.
    • Utilize APIs Purview e funcionalidades de segurança específicas de IA para passar contexto de sensibilidade nos fluxos de trabalho de IA, permitindo que as aplicações possam aplicar restrições de mascaramento ou resposta quando necessário. Veja Microsoft Purview e IA e Purview com Foundry.
    • Estabelecer pontos de verificação de revisão para cenários de IA de alto impacto, de modo a confirmar que o acesso aos dados está alinhado com os padrões de governação.

Próximo passo

Fundações de governança e linhas de base de segurança

  • Last updated on