Gerenciar a criptografia de mensagens

  • Artigo

Depois de concluir a configuração da Criptografia de Mensagens do Purview, você poderá personalizar a configuração de sua implantação de várias maneiras. Por exemplo, você pode configurar se deseja habilitar códigos de passagem únicos, exibir o botão Criptografar em Outlook na Web e muito mais. As tarefas deste artigo descrevem como.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Gerenciar se os destinatários do Google, do Yahoo e da Conta da Microsoft podem usar essas contas para entrar no portal de mensagens criptografadas

Quando você configura a criptografia de mensagem, os usuários da sua organização podem enviar mensagens para destinatários que estão fora da sua organização. Se o destinatário usar uma ID social , como uma conta do Google, conta do Yahoo ou conta microsoft, o destinatário poderá entrar no portal de mensagens criptografadas com uma ID social. Se desejar, você pode optar por não permitir que os destinatários usem IDs sociais para entrar no portal de mensagens criptografadas.

Para gerenciar se os destinatários podem usar IDs sociais para entrar no portal de mensagens criptografadas

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o cmdlet Set-OMEConfiguration com o parâmetro SocialIdSignIn da seguinte maneira:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>

    Por exemplo, para desabilitar IDs sociais:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false

    Para habilitar IDs sociais:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true

Gerenciar o uso de códigos de passagem únicos para o portal de mensagens criptografadas

Se o destinatário de uma mensagem criptografada pela criptografia de mensagem não usar o Outlook, independentemente da conta usada pelo destinatário, o destinatário receberá um link de exibição web por tempo limitado que permite que eles leiam a mensagem. Este link inclui um código de passagem único. Como administrador, você pode decidir se os destinatários podem usar códigos de passagem únicos para entrar no portal de mensagens criptografadas.

Para gerenciar se o OME gera códigos de passagem únicos

  1. Use uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização e conecte-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet Set-OMEConfiguration com o parâmetro OTPEnabled:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>

    Por exemplo, para desabilitar códigos de passagem únicos:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false

    Para habilitar códigos de passagem únicos:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true

Gerenciar a exibição do botão Criptografar em Outlook na Web

Como administrador, você pode gerenciar se deve exibir esse botão para usuários finais.

Para gerenciar se o botão Criptografar aparece no Outlook na Web

  1. Use uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização e conecte-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet Set-IRMConfiguration com o parâmetro -SimplifiedClientAccessEnabled:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>

    Por exemplo, para desabilitar o botão Criptografar :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

    Para habilitar o botão Criptografar :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

Habilitar a descriptografia do lado do serviço de mensagens de email para usuários de aplicativo de email iOS

O aplicativo de email iOS não pode descriptografar mensagens protegidas com criptografia de mensagem. Como administrador do Microsoft 365, você pode aplicar a descriptografia do lado do serviço para mensagens entregues ao aplicativo de email iOS. Quando você escolhe usar a descriptografia do lado do serviço, o serviço envia uma cópia descriptografada da mensagem para o dispositivo iOS. O dispositivo cliente armazena uma cópia descriptografada da mensagem. A mensagem também retém informações sobre direitos de uso, embora o aplicativo de email iOS não aplique direitos de uso do lado do cliente ao usuário. O usuário pode copiar ou imprimir a mensagem mesmo que não tenha originalmente os direitos de fazê-lo. No entanto, se o usuário tentar concluir uma ação que exija o servidor de email do Microsoft 365, como encaminhar a mensagem, o servidor não permitirá a ação se o usuário não tiver originalmente o direito de uso para fazê-lo. No entanto, os usuários finais podem contornar a restrição de uso "Não encaminhar" encaminhando a mensagem de uma conta diferente no aplicativo de email iOS. Independentemente de você configurar a descriptografia do lado do serviço de email, anexos a emails criptografados e protegidos por direitos não podem ser exibidos no aplicativo de email do iOS.

Se você optar por não permitir que mensagens descriptografadas sejam enviadas aos usuários do aplicativo de email do iOS, os usuários receberão uma mensagem informando que não têm os direitos de exibir a mensagem. Por padrão, a descriptografia do lado do serviço de mensagens de email não está habilitada.

Para obter mais informações e para obter uma exibição da experiência do cliente, consulte Exibir mensagens criptografadas em seu iPhone ou iPad.

Para gerenciar se os usuários do aplicativo de email iOS podem exibir mensagens protegidas pela criptografia de mensagens

  1. Use uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização e conecte-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet Set-ActiveSyncOrganizations com o parâmetro AllowRMSSupportForUnenlightenedApps:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>

    Por exemplo, para configurar o serviço para descriptografar mensagens antes de serem enviadas para aplicativos não iluminados, como o aplicativo de email iOS:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true

    Ou, para configurar o serviço para não enviar mensagens descriptografadas para aplicativos não iluminados:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false

Observação

As políticas de caixa de correio individuais (OWA/ActiveSync) substituem essas configurações (ou seja, se -IRMEnabled estiver definido como False dentro da respectiva política de caixa de correio OWA ou política da Caixa de Correio ActiveSync, essas configurações não se aplicarão).

Habilitar a descriptografia do lado do serviço de anexos de email para clientes de email do navegador da Web

Normalmente, quando você usa Office 365 criptografia de mensagens, os anexos são criptografados automaticamente. Como administrador, você pode aplicar a descriptografia do lado do serviço para anexos de email que os usuários baixam de um navegador da Web.

Quando você usa a descriptografia do lado do serviço, o serviço envia uma cópia descriptografada do arquivo para o dispositivo. A mensagem ainda está criptografada. O anexo de email também mantém informações sobre direitos de uso, embora o navegador não aplique direitos de uso do lado do cliente ao usuário. O usuário pode copiar ou imprimir o anexo de email mesmo que não tenha originalmente os direitos de fazê-lo. No entanto, se o usuário tentar concluir uma ação que exija o servidor de email do Microsoft 365, como encaminhar o anexo, o servidor não permitirá a ação se o usuário não tiver originalmente o direito de uso para fazê-lo.

Independentemente de você configurar a descriptografia do lado do serviço de anexos, os usuários não podem exibir anexos para emails criptografados e protegidos por direitos no aplicativo de email iOS.

Se você optar por não permitir anexos de email descriptografados, que é o padrão, os usuários receberão uma mensagem informando que não têm os direitos de exibir o anexo.

Para obter mais informações sobre como o Microsoft 365 implementa a criptografia para emails e anexos de email com a opção Encrypt-Only, consulte A opção Criptografar somente para emails.

Para gerenciar se os anexos de email são descriptografados no download de um navegador da Web

  1. Use uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização e conecte-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet Set-IRMConfiguration com o parâmetro DecryptAttachmentForEncryptOnly:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>

    Por exemplo, para configurar o serviço para descriptografar anexos de email quando um usuário os baixa de um navegador da Web:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true

    Para configurar o serviço para deixar anexos de email criptografados como estão após o download:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false

Verifique se todos os destinatários externos usam o portal de mensagens criptografadas para ler emails criptografados

Você pode usar modelos de identidade visual personalizados para forçar os destinatários a receber um email de wrapper que os orienta a ler email criptografado no portal de mensagens criptografadas em vez de usar o Outlook ou Outlook na Web. Talvez você queira forçar essa experiência se você usar deseja maior controle sobre como os destinatários usam o email que recebem. Por exemplo, se os destinatários externos exibirem o email no portal da Web, você poderá definir uma data de validade para o email e poderá revogar o email. Esses recursos só têm suporte por meio do portal de mensagens criptografadas. Você pode usar a opção Criptografar e a opção Não Encaminhar ao criar as regras de fluxo de email.

Use um modelo personalizado para forçar todos os destinatários externos a usar o portal de mensagens criptografadas e para email criptografado

  1. Use uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização e conecte-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet New-TransportRule:

    New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"

    em que:

    • mail flow rule name é o nome que você deseja usar para a nova regra de fluxo de email.

    • option name é ou EncryptDo Not Forward.

    • template name é o nome que você deu ao modelo de identidade visual personalizado, por exemplo OME Configuration.

    Para criptografar todos os emails externos com o modelo "Configuração do OME" e aplicar a opção Encrypt-Only:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

    Para criptografar todos os emails externos com o modelo "Configuração do OME" e aplicar a opção Não Encaminhar:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

Personalizar a aparência das mensagens de email e o portal de mensagens criptografadas

Para obter informações detalhadas sobre como você pode personalizar Criptografia de Mensagens do Microsoft Purview para sua organização, consulte Adicionar a marca da sua organização às suas mensagens criptografadas. Para rastrear e revogar mensagens criptografadas, você deve adicionar sua marca personalizada ao portal de mensagens criptografadas.

Desabilitar Criptografia de Mensagens do Microsoft Purview

Esperamos que não chegue a isso, mas se você precisar, desabilitar Criptografia de Mensagens do Microsoft Purview é simples. Primeiro, remova todas as regras de fluxo de email que você criou que usam Criptografia de Mensagens do Microsoft Purview. Para obter informações sobre como remover regras de fluxo de email, consulte Gerenciar regras de fluxo de email. Em seguida, conclua essas etapas no Exchange Online PowerShell.

Para desabilitar Criptografia de Mensagens do Microsoft Purview

  1. Usando uma conta corporativa ou de estudante que tenha permissões de administrador global em sua organização, conecte-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Se você habilitou o botão Criptografar em Outlook na Web, desabilite-o executando o cmdlet Set-IRMConfiguration com o parâmetro SimplifiedClientAccessEnabled. Caso contrário, ignore esta etapa.

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

  3. Desabilite o Criptografia de Mensagens do Microsoft Purview executando o cmdlet Set-IRMConfiguration com o parâmetro AzureRMSLicensingEnabled definido como false:

    Set-IRMConfiguration -AzureRMSLicensingEnabled $false