Perguntas frequentes sobre a criptografia de mensagens

Criptografia de Mensagens do Microsoft Purview combina recursos de criptografia de email e gerenciamento de direitos. Os recursos de gerenciamento de direitos são habilitados pelo Azure Proteção de Informações.

Você pode usar Criptografia de Mensagens do Microsoft Purview nas seguintes condições:

• Se você nunca tiver configurado Office 365 OME (Criptografia de Mensagens) ou o IRM (Gerenciamento de Direitos de Informação) para Exchange Online.

• Se você tiver configurado o OME e o IRM, poderá usar essas etapas se também estiver usando o serviço Azure Rights Management do Azure Proteção de Informações.

• Se você estiver usando Exchange Online com o Serviço de Gerenciamento de Direitos do Active Directory (AD RMS), não poderá habilitar esses novos recursos imediatamente. Em vez disso, você precisa migrar o AD RMS para o Azure Proteção de Informações primeiro. Quando terminar a migração, você poderá configurar Criptografia de Mensagens do Microsoft Purview com êxito.

  Se você optar por continuar a usar o AD RMS local com Exchange Online em vez de migrar para o Azure Proteção de Informações, não poderá usar Criptografia de Mensagens do Microsoft Purview.

Para usar Criptografia de Mensagens do Microsoft Purview, você precisa de um dos seguintes planos:

• Criptografia de Mensagens do Microsoft Purview é oferecido como parte dos Office 365 Enterprise E3 e E5, Microsoft 365 Enterprise E3 e E5, Microsoft 365 Business Premium, Office 365 A1, A3 e A5 e Office 365 para o Governo G3 e G5. Você não precisa de licenças adicionais para receber os novos recursos de proteção alimentados pelo Azure Proteção de Informações.

• Você também pode adicionar o Plano 1 Proteção de Informações do Azure aos seguintes planos para receber Criptografia de Mensagens do Microsoft Purview: Exchange Online Plano 1, Exchange Online Plano 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard ou Office 365 Enterprise E1.

• Cada usuário que se beneficia de Criptografia de Mensagens do Microsoft Purview precisa de uma licença para usar a criptografia de mensagem.

• Para obter a lista completa, consulte as descrições do serviço Exchange Online para Criptografia de Mensagens do Microsoft Purview.

Sim! A Microsoft recomenda que você conclua as etapas para configurar o BYOK antes de configurar Criptografia de Mensagens do Microsoft Purview.

Para obter mais informações sobre o BYOK, consulte Planejamento e implementação da chave de locatário do Azure Proteção de Informações.

Não. Criptografia de Mensagens do Microsoft Purview e a opção de fornecer e controlar suas próprias chaves de criptografia, chamadas BYOK, do Azure Proteção de Informações não foram projetadas para responder às intimações de aplicação da lei. O OME, com BYOK para Proteção de Informações do Azure, foi projetado para organizações focadas em conformidade. A Microsoft leva a sério as solicitações de terceiros para dados do cliente. Como provedor de serviços de nuvem, sempre defendemos a privacidade de seus dados. No caso de recebermos uma intimação, sempre tentamos redirecionar o terceiro diretamente para você para obter as informações. (Leia o blog de Brad Smith: protegendo dados do cliente contra espionagem governamental). Publicamos periodicamente informações detalhadas da solicitação que recebemos. Para obter mais informações sobre solicitações de dados de terceiros, consulte Respondendo às solicitações governamentais e de aplicação da lei para acessar dados do cliente no Microsoft Trust Center. Além disso, confira "Divulgação de Dados do Cliente" nos Termos de Serviços Online (OST).

Criptografia de Mensagens do Microsoft Purview é uma evolução das soluções OME existentes de IRM e herdadas. A tabela a seguir fornece mais detalhes.

Comparação de OME herdado, IRM e Criptografia de Mensagens do Microsoft Purview

Consulte Configurar Criptografia de Mensagens do Microsoft Purview.

Você ainda pode usar a versão anterior da criptografia de mensagem chamada Office 365 OME (Criptografia de Mensagens). O OME foi preterido em 1º de julho de 2023. A Criptografia de Mensagens do Office será substituída e atualizada automaticamente para Criptografia de Mensagens do Microsoft Purview.

Não. Se você estiver usando Exchange Online com o Serviço de Gerenciamento de Direitos do Active Directory (AD RMS), não poderá habilitar esses novos recursos imediatamente. Em vez disso, você precisa migrar o AD RMS para o Azure Proteção de Informações primeiro.

Os usuários locais podem enviar emails criptografados usando Exchange Online regras de fluxo de email. Você precisa rotear o email por meio de Exchange Online. Para obter mais informações, consulte Parte 2: Configurar email para fluir do servidor de email para o Microsoft 365.

Você pode criar mensagens protegidas de Outlook 2016, Outlook 2013 para Windows e Mac e de Outlook na Web. Para obter mais informações sobre como enviar mensagens criptografadas, consulte Enviar, exibir e responder a mensagens criptografadas no Outlook para PC.

Os usuários do Microsoft 365 podem ler e responder do Outlook para Windows e Mac (2013 e 2016), Outlook na Web e outlook mobile (Android e iOS). Você também pode usar o cliente de email nativo do iOS se sua organização permitir. Se você não for um usuário do Microsoft 365, poderá ler e responder a mensagens criptografadas na Web por meio do navegador da Web.

Os usuários do Microsoft 365 podem usar o Outlook para versões de computador 2019 e Microsoft 365 para criar emails protegidos com a política somente criptografada. As mensagens que têm a política somente criptografada aplicada podem ser lidas diretamente em Outlook na Web, no Outlook para iOS e Android, e no Outlook para versões para PC 2019 e Microsoft 365.

Sim. O tamanho máximo da mensagem que você pode enviar com Criptografia de Mensagens do Microsoft Purview, incluindo anexos, é de 25 MB. Para obter mais informações, confira Limites de mensagem.

O portal de mensagens criptografadas só dá suporte ao email. O portal não dá suporte a outros tipos de mensagem, como calendário ou caixa postal.

Você pode anexar qualquer tipo de arquivo a um email protegido. As políticas de proteção são aplicadas apenas a um subconjunto dos formatos de arquivo mencionados em tipos de arquivo compatíveis com o cliente do Azure Proteção de Informações. Criptografia de Mensagens do Microsoft Purview só dá suporte às seguintes extensões de arquivos do Office:

• docx
• Docm
• Dotx
• Dotm
• pptx
• Pptm
• Potx
• Potm
• Ppsx
• Ppsm
• Thmx
• xlsx
• Xlsm
• Xlsb
• Xltx
• Xltm
• Xlam
• Xps

Criptografia de Mensagens do Microsoft Purview não dá suporte às versões 97-2003 dos seguintes programas do Office: Word (.doc), Excel (.xls) e PowerPoint (.ppt).

A proteção é herdada somente do email para anexos não criptografados. Se houver suporte para um formato de arquivo, como um arquivo Word, Excel ou PowerPoint, o arquivo será sempre protegido, mesmo após o destinatário baixar o anexo. Por exemplo, digamos que um anexo seja protegido por Não Encaminhar. O destinatário original baixa o arquivo, cria uma mensagem para um novo destinatário e anexa o arquivo. Quando o novo destinatário receber o arquivo, ele não poderá abri-lo.

A resposta curta é sim! Se habilitada em Exchange Online, a criptografia PDF permite proteger documentos PDF confidenciais anexados a emails. Quando você envia um email, o serviço Office 365 criptografa anexos de arquivo PDF para Outlook na Web, Outlook para Mac, Outlook para iOS e Outlook para Android. Você pode criptografar PDFs enviados sem mais etapas.

O Outlook de 64 bits dá suporte nativo à criptografia de anexos de arquivo PDF, enquanto o Outlook de 32 bits não dá. Se você usar o Outlook de 32 bits, precisará configurar regras de fluxo de email do Exchange ou políticas de DLP para aplicar criptografia a anexos PDF primeiro. Quando você envia um email não criptografado do Outlook Desktop com um anexo PDF, o cliente envia a mensagem com o anexo para o serviço primeiro. Quando o serviço recebe o email não criptografado, o serviço aplica a proteção Criptografia de Mensagens do Microsoft Purview por meio da política de DLP (prevenção contra perda de dados) ou da regra de fluxo de email em Exchange Online. Em seguida, Exchange Online criptografa a mensagem e o anexo do arquivo PDF.

Para habilitar a criptografia para anexos PDF, execute o seguinte comando no Exchange Online PowerShell:

Set-IRMConfiguration -EnablePdfEncryption $true

A criptografia PDF permite proteger documentos PDF confidenciais por meio de comunicação segura ou colaboração segura. Para todos os clientes do Outlook, mensagens e anexos PDF desprotegidos herdam a Criptografia de Mensagens do Microsoft Purview proteção da política de DLP (prevenção contra perda de dados) ou da regra de fluxo de email em Exchange Online. Além disso, se um usuário Outlook na Web anexar um documento PDF desprotegido e aplicar proteção à mensagem, a mensagem herdará a proteção da mensagem. Os usuários só podem abrir os anexos criptografados em aplicativos que dão suporte a PDFs protegidos (por exemplo, o portal de mensagens criptografadas e o Visualizador Proteção de Informações do Azure).

Not yet. Não há suporte para anexos do SharePoint Online ou OneDrive for Business. Você pode criptografar uma mensagem de email, mas não os anexos de nuvem.

Quando os anexos são protegidos com um email protegido, você pode visualizar documentos diretamente usando clientes do Outlook. O Outlook dá suporte à visualização de documentos do Office (docx, xlsx, pptx, doc, xls, ppt). Outlook na Web dá suporte à visualização de documentos do Office (docx, xlsx, pptx) e PDF.

Outlook na Web dá suporte à revogação do email protegido. Consulte Como revogar uma mensagem criptografada que você enviou para obter detalhes.

O portal de mensagens criptografadas dá suporte à visualização de quaisquer cópias de anexo criptografadas adicionadas ao email criptografado. Os tipos de arquivo de suporte incluem arquivos Word, Excel, PowerPoint e PDF.

Sim. Use regras de fluxo de email no Exchange Online para criptografar automaticamente uma mensagem com base em determinadas condições. Por exemplo, você pode criar políticas baseadas na ID do destinatário, no domínio do destinatário ou no conteúdo no corpo ou no assunto da mensagem. Consulte Definir regras de fluxo de email para criptografar mensagens de email no Office 365.

Os administradores podem configurar uma regra de fluxo de email para remover a criptografia para emails de saída. Você só pode configurar uma regra para remover a criptografia para emails de entrada originados de sua organização Exchange Online.

Para uma caixa de correio Exchange Online, os administradores devem habilitar a descriptografia de diário e configurar uma regra de diário Exchange Online para gerar uma cópia descriptografada do email na caixa de correio de diário. A regra de diário usa qualquer email ou anexo que tenha criptografia e envie o original mais uma cópia descriptografada para a caixa de correio de diário. Você só pode configurar uma regra de diário que pode descriptografar emails ou anexos quando o item criptografado se origina de sua organização.
Para habilitar Exchange Online diário:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Sim! Você pode configurar regras de fluxo de email no Exchange Online ou usando o DLP no portal de conformidade do Microsoft Purview.

Sim, para emails enviados de uma caixa de correio Exchange Online em sua organização! Para obter informações sobre como personalizar mensagens de email e o portal de mensagens criptografadas, consulte Adicionar a marca da sua organização às suas mensagens criptografadas.

Os logs de atividades do portal de mensagens criptografadas capturam apenas eventos para destinatários externos acessando os portais de mensagens criptografadas. Todas as atividades em clientes de email disparadas por destinatários externos não são registradas. Para destinatários internos, consulte a ação mailItemsAccessed mailbox-auditing in Purview Audit (Premium) – itens de email acessados logs.

Há um relatório de criptografia no centro de conformidade. Consulte Exibir relatórios de segurança de email no portal de conformidade do Microsoft Purview.

Sim, a maioria das mensagens protegidas por Criptografia de Mensagens do Microsoft Purview são detectáveis. Criptografia de Mensagens do Microsoft Purview email protegido que você recebe de outra organização do Microsoft 365 que tem a identidade visual personalizada aplicada por meio de uma regra de fluxo de email não é possível pelo seu serviço de descoberta eletrônica. Em outras palavras, se o email não estiver acessível por meio da caixa de correio do usuário, mas sim, surgir somente por meio de um link para o portal de mensagens criptografadas, o email não será pesquisável. Consulte atividades de descoberta eletrônica que dão suporte a itens criptografados para obter detalhes.

Quando alguém envia uma mensagem de email que corresponde a uma regra de fluxo de email de criptografia, a mensagem é criptografada antes de ser enviada.

Sim! Você pode abrir mensagens criptografadas para uma caixa de correio compartilhada. Quando o email é enviado da mesma organização, você pode abrir o email quando estiver conectado a um cliente do Outlook com suporte. Se o email for enviado de uma organização externa, você precisará usar Outlook na Web.

• Os usuários podem abrir emails protegidos em uma caixa de correio compartilhada onde a caixa de correio compartilhada recebeu um email protegido como parte de um grupo de distribuição.

• Os usuários podem exibir anexos que herdam a proteção contra email quando usam o Outlook para Windows, Outlook para Mac, Outlook para Android, Outlook para iOS e Outlook na Web.

A tabela a seguir lista os clientes com suporte para caixas de correio compartilhadas.

Atualmente, há duas limitações conhecidas:

• Você não pode abrir anexos a emails que recebe em dispositivos móveis usando o Outlook mobile.

• No Outlook de 32 bits, para usuários atribuídos a uma caixa de correio compartilhada por meio de um grupo de segurança habilitado para email, o usuário vê um email de notificação para exibir o email criptografado usando um navegador da Web. Para exibir o email criptografado diretamente no Outlook de 32 bits, o Outlook e o cliente de proteção de informações exigem que o usuário seja atribuído diretamente à caixa de correio compartilhada com permissões de acesso completo e automatizando habilitado. Para o Outlook de 64 bits, o usuário não precisa ser atribuído diretamente à caixa de correio. A automação é habilitada por padrão para Exchange Online.

Para atribuir um usuário à caixa de correio compartilhada

1. Conecte-se ao Exchange Online PowerShell.aspx).

2. Execute o cmdlet Add-MailboxPermission com o parâmetro Automapping. Este exemplo fornece permissões de acesso completo da Ayla a uma caixa de correio de suporte.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

Quando os delegados recebem permissão de acesso total à caixa de correio de um usuário, há suporte para acesso delegado de email criptografado em Outlook na Web, Outlook para Mac, Outlook para iOS e Outlook para Android. O Outlook para Windows não dá suporte ao acesso delegado.

Você pode entrar no portal de mensagens criptografadas para recuperar emails desde que a organização do remetente esteja ativa e o email não tenha sido configurado para expirar.

Primeiro, marcar a pasta lixo ou spam em seu cliente de email. As configurações DKIM e DMARC para sua organização podem fazer com que esses emails acabem filtrados como spam.

Em seguida, marcar quarentena no centro de conformidade. Muitas vezes, as mensagens que contêm um código de passagem único, especialmente as primeiras que sua organização recebe, acabam em quarentena.