Perguntas frequentes sobre criptografia de mensagens

Tem uma pergunta sobre como funcionam os novos recursos de proteção de mensagens? Verifique se há uma resposta aqui. Além disso, confira Perguntas frequentes sobre a proteção de dados no Azure Information Protection para obter respostas a perguntas sobre o serviço de proteção de dados, Gerenciamento de Direitos do Azure, na Proteção de Informações do Azure.

O que Criptografia de Mensagens do Office 365 (OME)?

O OME combina recursos de criptografia de email e gerenciamento de direitos. Os recursos de gerenciamento de direitos são alimentados pela Proteção de Informações do Azure.

Who pode usar o OME?

Você pode usar os novos recursos para OME nas seguintes condições:

  • Se você nunca tiver configurar OME ou IRM para Exchange Online em Office 365.

  • Se você tiver definido o OME e o IRM, poderá usar essas etapas se estiver usando o serviço de Gerenciamento de Direitos do Azure da Proteção de Informações do Azure.

  • Se você estiver usando Exchange Online serviço de Gerenciamento de Direitos do Active Directory (AD RMS), não poderá habilitar esses novos recursos imediatamente. Em vez disso, você precisa migrar o AD RMS para a Proteção de Informações do Azure primeiro. Quando terminar a migração, você poderá configurar com êxito o OME.

    Se você optar por continuar a usar o AD RMS local com o Exchange Online em vez de migrar para a Proteção de Informações do Azure, não poderá usar esses novos recursos.

Quais assinaturas preciso para usar os novos recursos OME?

Para usar os novos recursos OME, você precisa de um dos seguintes planos:

  • Criptografia de Mensagens do Office 365 é oferecido como parte dos Office 365 Enterprise E3 e E5, Microsoft Enterprise E3 e E5, Microsoft 365 Business Premium, Office 365 A1, A3 e A5 e Office 365 Government G3 e G5. Os clientes não precisam de licenças adicionais para receber os novos recursos de proteção da plataforma de Proteção de Informações do Azure.

  • Você também pode adicionar o Plano 1 de Proteção de Informações do Azure aos seguintes planos para receber os novos recursos do Criptografia de Mensagens do Office 365: Exchange Online Plano 1, Plano 2 do Exchange Online, Office 365 F1, Microsoft 365 Business Basic, Microsoft 365 Business Standard ou Office 365 Enterprise E1.

  • Cada usuário que se beneficia Criptografia de Mensagens do Office 365 precisa ser licenciado para ser coberto pelo recurso.

  • Para ver a lista completa, consulte Exchange Online descrições do serviço Criptografia de Mensagens do Office 365.

Posso usar o Exchange Online com a sua própria chave (BYOK) na Proteção de Informações do Azure?

Sim! A Microsoft recomenda que você conclua as etapas para configurar BYOK antes de configurar o OME.

Para obter mais informações sobre BYOK, consulte Planning and implementing your Azure Information Protection tenant key.

O OME e BYOK com a Proteção de Informações do Azure alteram a abordagem da Microsoft para solicitações de dados de terceiros, como intimações?

Não. OME e a opção de fornecer e controlar suas próprias chaves de criptografia, chamadas BYOK, da Proteção de Informações do Azure não foram projetadas para responder a intimações de imposição da lei. OME, com BYOK para a Proteção de Informações do Azure, foi projetado para clientes com foco em conformidade. A Microsoft leva a sério as solicitações de terceiros para dados do cliente. Como provedor de serviços de nuvem, sempre defendemos a privacidade dos dados do cliente. Caso obtenhamos uma intimação, sempre tentaremos redirecionar o terceiro para o cliente para obter as informações. (Leia o blog de Brad Smith: Protegendo os dados do cliente contra o snooping do governo). Publicamos periodicamente informações detalhadas da solicitação que recebemos. Para obter mais informações sobre solicitações de dados de terceiros, consulte Respondendo a solicitações governamentais e de aplicação da lei para acessar dados do cliente no Centro de Confiança da Microsoft. Além disso, consulte "Divulgação de dados do cliente" nos Termos de Serviços Online (OST).

Como esse recurso está relacionado aos recursos Criptografia de Mensagens do Office 365 (OME) e Gerenciamento de Direitos de Informação (IRM) herdado?

Os novos recursos para Criptografia de Mensagens do Office 365 são uma evolução das soluções existentes do IRM e do OME herdadas. A tabela a seguir fornece mais detalhes.

Comparação de recursos OME, IRM e OME herdáveis

Recursos Versões anteriores do OME IRM Novos recursos OME
Enviando um email criptografado Somente por meio Exchange de fluxo de emails Usuário final iniciado Outlook para Windows, Outlook para Mac ou Outlook na Web; ou por meio Exchange de fluxo de emails Usuário final iniciado Outlook para Windows, Outlook para Mac ou Outlook na Web; ou por meio de regras de fluxo de emails
Gerenciamento de direitos - Opção Não Encaminhar e modelos personalizados Opção Não Encaminhar, opção somente criptografar, modelos padrão e personalizados
Tipo de destinatário com suporte Somente destinatários externos Somente destinatários internos Destinatários internos e externos
Experiência para destinatário Destinatários externos receberam uma mensagem HTML baixada e aberta em um navegador ou aplicativo móvel baixado. Os destinatários internos receberam apenas emails criptografados no Outlook para Windows, Outlook para Mac e Outlook na Web. Destinatários internos e externos recebem emails no Outlook para Windows, Outlook para Mac, Outlook na Web, Outlook para Android e Outlook para iOS ou por meio de um portal da Web, independentemente de eles estão ou não na mesma organização ou em qualquer organização. O portal OME não requer download separado.
Traga suporte a Sua Própria Chave Não disponível Não disponível BYOK com suporte

Como habilitar os novos recursos OME para minha organização?

A versão anterior do OME será preterida?

Você ainda pode usar a versão anterior do OME, ela não será preterida no momento. No entanto, é altamente recomendável que as organizações usem a solução OME nova e aprimorada. Os clientes que ainda não implantaram o OME não podem configurar uma nova implantação da versão anterior do OME.

Minha organização usa o Gerenciamento de Direitos do Active Directory, posso usar essa funcionalidade?

Não. Se você estiver usando Exchange Online serviço de Gerenciamento de Direitos do Active Directory (AD RMS), não poderá habilitar esses novos recursos imediatamente. Em vez disso, você precisa migrar o AD RMS para a Proteção de Informações do Azure primeiro.

Minha organização tem uma implantação Exchange híbrida. Posso usar esse recurso?

Os usuários locais podem enviar emails criptografados usando Exchange Online de fluxo de emails. Para fazer isso, você precisa rotear emails por Exchange Online. Para obter mais informações, consulte Parte 2: Configurar o emailpara fluir do seu servidor de email para Microsoft 365 .

Qual cliente de email preciso usar para criar uma mensagem criptografada OME? Quais aplicativos são suportados para enviar mensagens protegidas?

Você pode criar mensagens protegidas do Outlook 2016, Outlook 2013 para Windows e Mac, e Outlook na Web. Para obter mais informações sobre como enviar mensagens criptografadas, consulte Send, view, and reply to encrypted messages in Outlook for PC.

Quais clientes de email têm suporte para ler e responder a emails protegidos?

Microsoft 365 usuários podem ler e responder do Outlook para Windows e Mac (2013 e 2016), Outlook na Web e Outlook mobile (Android e iOS). Você também pode usar o cliente de email nativo do iOS se sua organização permitir. Se você não for um Microsoft 365 usuário, poderá ler e responder a mensagens criptografadas na Web por meio do navegador da Web.

Quais clientes de email suportam emails protegidos somente criptografia?

Microsoft 365 os usuários podem usar Outlook para versões do computador 2019 e Microsoft 365 para criar emails protegidos com a política somente criptografada. Isso significa que as mensagens que têm a nova política somente criptografada aplicada podem ser lidas diretamente no Outlook na Web, no Outlook para iOS e Android e agora Outlook para versões do computador 2019 e Microsoft 365.

Há um limite de tamanho para mensagens que você pode enviar com o OME?

Sim. O tamanho máximo da mensagem que você pode enviar com o OME, incluindo anexos, é de 25 MB. Para obter mais informações, consulte Limites de mensagens.

Quais tipos de arquivo são suportados como anexos em emails protegidos? Os anexos herdam as políticas de proteção associadas a emails protegidos?

Você pode anexar qualquer tipo de arquivo a um email protegido. Com uma exceção, as políticas de proteção são aplicadas somente nos formatos de arquivo mencionados em Tipos de arquivo suportados pelo cliente de Proteção de Informações do Azure. O OME não dá suporte às versões 97-2003 dos seguintes programas Office: Word (.doc), Excel (.xls) e PowerPoint (.ppt).

Se um formato de arquivo for suportado, como um arquivo word, Excel ou PowerPoint, o arquivo será sempre protegido, mesmo depois que o anexo tiver sido baixado pelo destinatário. Por exemplo, digamos que um anexo seja protegido por Não Encaminhar. O destinatário original baixa o arquivo, cria uma mensagem para um novo destinatário e anexa o arquivo. Quando o novo destinatário receber o arquivo, o destinatário não poderá abrir o arquivo protegido.

Há suporte para anexos de arquivo PDF?

A resposta curta é sim! Se habilitada, a criptografia PDF permite proteger documentos PDF confidenciais por meio de comunicação segura ou colaboração segura. Quando você envia um email, o serviço Office 365 criptografa anexos de arquivo PDF. O Outlook cliente não criptografa anexos de arquivo PDF.

Para Outlook na Web, Outlook para iOS e Outlook para Android, você pode criptografar PDFs que você enviar sem mais etapas. Esses clientes nações suportam criptografia PDF.

Outlook desktop não dá suporte nativo à criptografia de anexos de arquivo PDF. Em vez disso, você precisará configurar Exchange de fluxo de emails ou DLP para aplicar criptografia a anexos PDF primeiro. Quando você envia emails de Outlook desktop com um anexo PDF, o cliente envia a mensagem com o anexo para o serviço primeiro. Quando o serviço recebe o arquivo, o serviço aplica a proteção OME da política de prevenção contra perda de dados (DLP) ou a regra de fluxo de emails no Exchange Online. Em seguida, Exchange Online envia a mensagem com o anexo de arquivo PDF protegido.

Para habilitar a criptografia para anexos PDF, execute o seguinte comando Exchange Online PowerShell:

Set-IRMConfiguration -EnablePdfEncryption $true

A criptografia PDF permite proteger documentos PDF confidenciais por meio de comunicação segura ou colaboração segura. Para todos os Outlook clientes, mensagens e anexos PDF desprotegidos herdam a proteção OME da política de prevenção contra perda de dados (DLP) ou a regra de fluxo de emails Exchange Online. Além disso, se um Outlook no usuário da Web anexar um documento PDF desprotegido e aplicar proteção à mensagem, a mensagem herdará a proteção da mensagem. Os usuários só podem abrir os anexos criptografados em aplicativos que suportam PDFs protegidos (por exemplo, o Portal OME e o Visualizador de Proteção de Informações do Azure).

Importante

Outlook cliente da área de trabalho não suporta criptografia PDF.

Há suporte OneDrive for Business anexos?

Not yet. OneDrive for Business anexos não são suportados e os usuários finais não podem criptografar um email que contém um anexo OneDrive for Business nuvem.

Quais clientes de email suportam a visualização de anexos criptografados em emails protegidos?

Quando os anexos são protegidos com um email protegido, Outlook clientes fornecem a capacidade de visualizar o documento diretamente. Outlook oferece suporte à visualização de documentos Office (docx, xlsx, pptx, doc, xls, ppt). Outlook na Web oferece suporte à visualização de documentos Office (docx, xlsx, pptx) e PDF.

Quais clientes de email suportam revogação de emails protegidos?

Outlook na Web oferece suporte à revogação de emails protegidos. Consulte Como revogar uma mensagem criptografada que você enviou para obter detalhes.

Posso criptografar automaticamente mensagens configurando políticas?

Sim. Use regras de fluxo de email Exchange Online criptografar automaticamente uma mensagem com base em determinadas condições. Por exemplo, você pode criar políticas baseadas na ID do destinatário, no domínio do destinatário ou no conteúdo no corpo ou no assunto da mensagem. Consulte Definir regras de fluxo de emails para criptografar mensagens de email em Office 365.

Posso remover automaticamente a criptografia em emails de entrada e saída?

Os administradores podem configurar uma regra de fluxo de emails para remover a criptografia para emails de saída. Não é possível configurar uma regra para remover a criptografia para emails de entrada.

Posso criptografar automaticamente mensagens configurando políticas na Prevenção contra Perda de Dados (DLP) por meio do Centro & de Conformidade e Segurança?

Sim! Você pode configurar regras de fluxo de emails no Exchange Online ou usando DLP no Centro & de Conformidade de Segurança.

Posso personalizar mensagens criptografadas com a identidade visual da minha empresa?

Sim! Para obter informações sobre como personalizar mensagens de email e o portal OME, consulte Add your organization's brand to your encrypted messages. Consulte Adicionar a marca da sua organização às suas mensagens criptografadas.

Há recursos de relatórios ou ideias para emails criptografados?

Há um relatório de criptografia no Centro de Segurança e Conformidade. Consulte Exibir relatórios de segurança de email no Centro de Conformidade & Segurança.

Posso usar a criptografia de mensagens com recursos de conformidade, como a Descoberta eDiscovery?

Sim. Todas as mensagens de email criptografadas são descobertas por Microsoft 365 de conformidade.

Posso remover a criptografia do email?

Os administradores podem configurar uma regra de fluxo de emails para remover a criptografia. Você não pode remover a criptografia usando uma regra de fluxo de emails do email que é aplicada por outra organização, a menos que o email seja criptografado usando proteção somente criptografada.

O acesso delegado é suportado?

Não neste momento.

Posso enviar como uma caixa de correio compartilhada e criptografar emails?

Quando alguém envia uma mensagem de email que corresponde a uma regra de fluxo de email de criptografia, a mensagem é criptografada antes de ser enviada.

Posso abrir mensagens criptografadas enviadas para uma caixa de correio compartilhada?

Sim! As mensagens criptografadas são suportadas para uma caixa de correio compartilhada.

  • Os usuários podem abrir emails protegidos em uma caixa de correio compartilhada onde a caixa de correio compartilhada recebeu um email protegido como parte de um grupo de distribuição.

  • Os usuários podem exibir anexos que herdam a proteção do email quando usam Outlook para Windows, Outlook para Mac e Outlook na Web.

A tabela a seguir lista os clientes com suporte para caixas de correio compartilhadas.

Plataforma Ler email Exibir anexos de email
Outlook na Web Sim Sim
Outlook para Windows Sim Sim
Outlook para Mac Sim Sim
Outlook para Android Sim Não
Outlook para iOS Sim Não

Atualmente, há duas limitações conhecidas:

  • Não é possível abrir anexos para emails recebidos em dispositivos móveis usando Outlook celular.

  • Não suportamos a atribuição por meio de um grupo de segurança habilitado para email. Suportamos apenas o acesso fornecido pela atribuição direta do usuário à caixa de correio compartilhada e essa automação está habilitada para Exchange Online. A automação é habilitada por padrão para Exchange Online.

Para atribuir um usuário à caixa de correio compartilhada

  1. Conexão para Exchange Online usando o PowerShellremoto .aspx).

  2. Execute o cmdlet Add-MailboxPermission com o parâmetro Automapping. Este exemplo concede permissões de acesso total a Ayla a uma caixa de correio de suporte.

    Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
    

Posso abrir mensagens criptografadas enviadas para a caixa de correio de outro usuário com Fullaccess?

Os usuários podem abrir mensagens criptografadas desde que tenham acesso direto e a automação seja ativas. O acesso não será permitido se o acesso for concedido por meio de um grupo de segurança habilitado para email.

O que faço se não receber o código de passagem único depois de solicitá-lo?

Primeiro, verifique a pasta lixo eletrônico ou spam em seu cliente de email. As configurações DKIM e DMARC para sua organização podem fazer com que esses emails terminem filtrados como spam.

Em seguida, verifique a quarentena no Centro de Conformidade & Segurança. Muitas vezes, as mensagens que contêm um código de passagem única, especialmente as primeiras que sua organização recebe, terminam em quarentena.