Configurar os direitos de uso da Proteção de Informações do Azure

Este artigo descreve os direitos de uso que podem ser configurados para aplicação automática quando um rótulo ou modelo for selecionado por usuários, administradores ou serviços configurados.

Os direitos de uso são selecionados ao configurar rótulos de confidencialidade ou modelos de proteção para criptografia. Por exemplo, é possível selecionar funções que configuram um agrupamento lógico de direitos de uso ou configurar os direitos individuais separadamente. Como alternativa, os usuários podem selecionar e aplicar os direitos de uso por conta própria.

Para fins de integridade, este artigo inclui valores do Portal Clássico do Azure, que foi desativado em 08 de janeiro de 2018.

Importante

Use este artigo para entender como os direitos de uso são projetados para serem interpretados pelos aplicativos.

A forma de implementação dos direitos de uso varia entre aplicativos. Por isso, recomendamos consultar a documentação do aplicativo que deseja e executar seus próprios testes para verificar o comportamento do aplicativo antes de implantá-lo em produção.

Direitos de uso e descrições

A tabela a seguir lista e descreve os direitos de uso compatíveis com o Rights Management e como eles são usados e interpretados. Eles estão listados pelo nome comum, que é normalmente como você pode ver o direito de uso exibido ou referenciado, como uma versão mais amigável do valor de palavra única que é usado no código (o valor Codificação na política).

Nesta tabela:

  • O Valor ou constante de API é o nome do SDK para uma chamada de API de SDK um MSIPC ou Proteção de Informaçõeso Microsoft Purview, usado quando você grava um aplicativo habilitado que verifica um direito de uso ou adiciona um direito de uso a uma política.

  • O centro de administração de rotulagem é o portal de conformidade do Microsoft Purview, onde você pode configurar os rótulos de confidencialidade.

Direito de uso Descrição Implementação
Nome comum: Editar Conteúdo, Editar

Codificação na política: DOCEDIT
Permite que usuário modifique, reorganize, formate ou classifique o conteúdo dentro do aplicativo. Ele não concede o direito para salvar a cópia editada.

No Word, esse direito não é suficiente para ativar ou desativar o Controle de alterações ou para usar todos os recursos do controle de alterações como revisor, a menos que você tenha o Office 365 ProPlus com pelo menos a versão 1807. Em vez disso, o uso de todas as opções de controle alterações requer o seguinte direito: Controle total.
Direitos personalizados do Office: como parte das opções Alterar e Controle Total.

Nome no Portal Clássico do Azure: Editar Conteúdo

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Editar conteúdo, editar (DOCEDIT)

Nome em modelos do AD RMS: Editar

Valor ou constante de API:
MSIPC: Não aplicável.
SDK do PIM:DOCEDIT
Nome comum: Salvar

Codificação na política: EDIT
Permite ao usuário salvar o documento em seu local atual. No Office na Web, ele também permite que o usuário edite o conteúdo.

Nos aplicativos do Office, esse direito permite que o usuário salve o arquivo em um novo local e com um novo nome se o formato de arquivo selecionado tiver suporte interno para a proteção do Rights Management. A restrição de formato de arquivo garante que a proteção original seja removida do arquivo.
Direitos personalizados do Office: como parte das opções Alterar e Controle Total.

Nome no Portal Clássico do Azure: Salvar Arquivo

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Salvar (EDIT)

Nome em modelos do AD RMS: Salvar

Valor ou constante de API:
MSIPC:IPC_GENERIC_WRITE L"EDIT"
SDK do PIM:EDIT
Nome comum: Comentar

Codificação na política: COMMENT
Habilita a opção para adicionar anotações ou comentários ao conteúdo.

Esse direito está disponível no SDK como uma política ad hoc no módulo AzureInformationProtection e Proteção do RMS para Windows PowerShell e foi implementado em alguns aplicativos de fornecedores de software. No entanto, ele não é amplamente usado e não é compatível com aplicativos do Office.
Direitos personalizados do Office: não implementado.

Nome no Portal Clássico do Azure: não implementado.

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: não implementado.

Nome em modelos do AD RMS: não implementado.

Valor ou constante de API:
MSIPC:IPC_GENERIC_COMMENT L"COMMENT
SDK do PIM:COMMENT
Nome comum: Salvar Como, Exportar

Codificação na política: EXPORT
Habilita a opção para salvar o conteúdo com um nome de arquivo diferente (Salvar Como).

Para o cliente da Proteção de Informações do Azure, o arquivo pode ser salvo sem proteção e também pode ser protegido novamente com novas configurações e permissões. Essas ações permitidas significam que um usuário com esse direito pode alterar ou remover um rótulo da Proteção de Informações do Azure de um documento ou email protegido.

Esse direito também permite que o usuário execute outras opções de exportação em aplicativos, como Enviar para o OneNote.
Direitos personalizados do Office: como parte da opção Controle total.

Nome no Portal Clássico do Azure: Exportar Conteúdo (Salvar Como)

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Salvar como, Exportar (EXPORT)

Nome em modelos do AD RMS: Exportar (Salvar Como)

Valor ou constante de API:
MSIPC:IPC_GENERIC_EXPORT L"EXPORT"
SDK do PIM:EXPORT
Nome comum: Encaminhar

Codificação na política: FORWARD
Habilita a opção para encaminhar uma mensagem de email e adicionar destinatários nas linhas Para e Cc. Esse direito não se aplica a documentos; apenas a mensagens de email.

Não permite que o encaminhador conceda direitos a outros usuários como parte da ação de encaminhamento.

Ao conceder esse direito, conceda também o direito Editar conteúdo, Editar (nome comum) e, adicionalmente, conceda o direito Salvar (nome comum) para garantir que a mensagem de email protegida não seja entregue como um anexo. Também especifique esses direitos ao enviar um email para outra organização que usa o cliente Outlook ou o Outlook Web App. Ou, para usuários em sua organização isentos a proteção do Rights Management porque você implementou os controles de integração.
Direitos personalizados do Office: negados ao usar a política padrão Não Encaminhar.

Nome no Portal Clássico do Azure: Encaminhar

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Encaminhar (FORWARD)

Nome em modelos do AD RMS: Encaminhar

Valor ou constante de API:
MSIPC:IPC_EMAIL_FORWARD L"FORWARD"
SDK do PIM:FORWARD
Nome comum: Controle Total

Codificação na política: OWNER
Concede todos os direitos ao documento e todas as ações disponíveis podem ser executadas.

Inclui a capacidade de remover a proteção e proteger novamente um documento.

Observe que esse direito de uso não é igual ao proprietário do Rights Management.
Direitos personalizados do Office: como a opção personalizada Controle Total.

Nome no Portal Clássico do Azure: Controle Total

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Controle total (OWNER)

Nome em modelos do AD RMS: Controle Total

Valor ou constante de API:
MSIPC:IPC_GENERIC_ALL L"OWNER"
SDK do PIM:OWNER
Nome comum: Imprimir

Codificação na política: PRINT
Habilita as opções para imprimir o conteúdo. Direitos personalizados do Office: como a opção Imprimir Conteúdo nas permissões personalizadas. Não é uma configuração por destinatário.

Nome no Portal Clássico do Azure: Imprimir

Nome no portal de conformidade do Microsoft Purview e no portal do Azure:Imprimir (PRINT)

Nome em modelos do AD RMS: Imprimir

Valor ou constante de API:
MSIPC:IPC_GENERIC_PRINT L"PRINT"
SDK do PIM: PRINT
Nome comum: Responder

Codificação na política: REPLY
Habilita a opção Responder em um cliente de email, sem permitir alterações nas linhas Para ou Cc.

Ao conceder esse direito, conceda também o direito Editar conteúdo, Editar (nome comum) e, adicionalmente, conceda o direito Salvar (nome comum) para garantir que a mensagem de email protegida não seja entregue como um anexo. Também especifique esses direitos ao enviar um email para outra organização que usa o cliente Outlook ou o Outlook Web App. Ou, para usuários em sua organização isentos a proteção do Rights Management porque você implementou os controles de integração.
Direitos personalizados do Office: não aplicável.

Nome no Portal Clássico do Azure: Responder

Nome no Portal Clássico do Azure: Responder (REPLY)

Nome em modelos do AD RMS: Responder

Valor ou constante de API:
MSIPC:IPC_EMAIL_REPLY
SDK do PIM:REPLY
Nome comum: Responder a Todos

Codificação na política: REPLYALL
Habilita a opção Responder a Todos em um cliente de email, mas não permite que o usuário adicione destinatários nas linhas Para ou Cc.

Ao conceder esse direito, conceda também o direito Editar conteúdo, Editar (nome comum) e, adicionalmente, conceda o direito Salvar (nome comum) para garantir que a mensagem de email protegida não seja entregue como um anexo. Também especifique esses direitos ao enviar um email para outra organização que usa o cliente Outlook ou o Outlook Web App. Ou, para usuários em sua organização isentos a proteção do Rights Management porque você implementou os controles de integração.
Direitos personalizados do Office: não aplicável.

Nome no Portal Clássico do Azure: Responder a Todos

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Responder a todos (REPLY ALL)

Nome em modelos do AD RMS: Responder a Todos

Valor ou constante de API:
MSIPC:IPC_EMAIL_REPLYALL L"REPLYALL"
SDK do PIM:REPLYALL
Nome comum: Exibir, Abrir, Ler

Codificação na política: VIEW
Permite que o usuário abra o documento e visualize o conteúdo.

No Excel, esse direito não é suficiente para classificar dados, que requer o seguinte direito: Editar conteúdo, Editar. Para filtrar dados no Excel, são necessários os dois direitos a seguir: Editar conteúdo, Editar e Copiar.
Direitos personalizados do Office: como a política personalizada Ler, opção Exibir.

Nome no Portal Clássico do Azure: Exibir

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Exibir, Abrir, Ler (VIEW)

Nome em modelos do AD RMS: Ler

Valor ou constante de API:
MSIPC:IPC_GENERIC_READ L"VIEW"
SDK do PIM:VIEW
Nome comum: Copiar

Codificação na política: EXTRACT
Habilita opções para copiar dados (incluindo capturas de tela) do documento para o mesmo documento ou outro.

Em alguns aplicativos, também permite que todo o documento seja salvo no formato não protegido.

No Skype for Business e em aplicativos similares de compartilhamento de tela, o apresentador precisa ter esse direito para apresentar um documento protegido com sucesso. Caso não tenha esse direito, os participantes não poderão visualizar o documento, que será exibido como oculto para eles.
Direitos personalizados do Office: como a opção de política personalizada Permitir que usuários com Acesso de leitura copiem conteúdo.

Nome no Portal Clássico do Azure: Copiar e Extrair conteúdo

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Copiar (EXTRACT)

Nome em modelos do AD RMS: Extrair

Valor ou constante de API:
MSIPC:IPC_GENERIC_EXTRACT L"EXTRACT"
SDK do PIM:EXTRACT
Nome comum: Exibir Direitos

Codificação na política: VIEWRIGHTSDATA
Permite que o usuário veja a política aplicada ao documento.

Não recebe suporte de aplicativos do Office ou de clientes da Proteção de Informações do Azure.
Direitos personalizados do Office: não implementado.

Nome no Portal Clássico do Azure: Exibir Direitos Atribuídos

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Exibir direitos (VIEWRIGHTSDATA).

Nome em modelos do AD RMS: Exibir Direitos

Valor ou constante de API:
MSIPC:IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
SDK do PIM:VIEWRIGHTSDATA
Nome comum: Alterar Direitos

Codificação na política: EDITRIGHTSDATA
Permite que o usuário altere a política aplicada ao documento. Inclui a remoção da proteção.

Não recebe suporte de aplicativos do Office ou de clientes da Proteção de Informações do Azure.
Direitos personalizados do Office: não implementado.

Nome no Portal Clássico do Azure: Alterar Direitos

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Editar direitos (EDITRIGHTSDATA).

Nome em modelos do AD RMS: Editar Direitos

Valor ou constante de API:
MSIPC:PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
SDK do PIM:EDITRIGHTSDATA
Nome comum: Permitir Macros

Codificação na política: OBJMODEL
Habilita a opção para executar macros ou realizar outro acesso remoto ou por programação ao conteúdo em um documento. Direitos personalizados do Office: como a opção de política personalizada Permitir o Acesso Programático. Não é uma configuração por destinatário.

Nome no Portal Clássico do Azure: Permitir Macros

Nome no portal de conformidade do Microsoft Purview e no portal do Azure: Permitir macros (OBJMODEL)

Nome em modelos do AD RMS: Permitir Macros

Valor ou constante de API: MSIPC:: não implementado. SDK do PIM:OBJMODEL

Direitos incluídos nos níveis de permissões

Alguns aplicativos agrupam os direitos de uso em níveis de permissões, para facilitar a seleção dos direitos de uso que normalmente são usados juntos. Estes níveis de permissões ajudam a abstrair um nível de complexidade dos usuários, de forma que eles podem escolher as opções baseadas em funções. Por exemplo, Revisor e Coautor. Embora essas opções muitas vezes mostrem aos usuários um resumo dos direitos, elas podem não incluir todos os direitos listados na tabela anterior.

Use a tabela a seguir para obter uma lista desses níveis de permissões e uma lista completa dos direitos de uso que eles contêm. Os direitos de uso são listados pelo nome comum.

Nível de permissões Aplicativos Direitos de uso incluídos
Visualizador Portal Clássico do Azure

Portal do Azure

Cliente de Proteção de Informações do Azure para Windows
Exibir, Abrir, Ler; Exibir direitos; Responder [1], Responder a Todos [1], Permitir Macros [2]

Observação: para emails, use Revisor em vez desse nível de permissão para garantir que uma resposta de email seja recebida como uma mensagem de email em vez de um anexo. O Revisor também é necessário quando você envia um email para outra organização que usa o cliente Outlook ou o Outlook Web App. Ou, para usuários em sua organização que estão isentos de usar o serviço Azure Rights Management porque você implementou os controles de integração.
Revisor Portal Clássico do Azure

Portal do Azure

Cliente de Proteção de Informações do Azure para Windows
Exibir, Abrir, Ler, Salvar, Editar Conteúdo, Editar, Responder, Exibir Direitos, Responder: Responder a Todos [3], Encaminhar [3], Permitir Macros [2]
Coautor Portal Clássico do Azure

Portal do Azure

Cliente de Proteção de Informações do Azure para Windows
Exibir, Abrir, Ler, Salvar, Editar Conteúdo, Editar, Copiar, Exibir Direitos, Permitir Macros, Salvar como, Exportar [4], Imprimir, Responder [3], Responder a Todos [3], Encaminhar [3]
Coproprietário Portal Clássico do Azure

Portal do Azure

Cliente de Proteção de Informações do Azure para Windows
Exibir, Abrir, Ler, Salvar, Editar Conteúdo, Editar, Copiar, Exibir Direitos, Alterar Direitos, Permitir Macros, Salvar como, Exportar, Imprimir, Responder [3], Responder a Todos [3], Encaminhar [3], Controle Total
Nota de rodapé 1

Não incluído no portal de conformidade do Microsoft Purview ou no portal do Azure.

Nota de rodapé 2

Para o cliente da Proteção de Informações do Azure para Windows, esse direito é necessário para a barra de Proteção de Informações em aplicativos do Office.

Nota de rodapé 3

Não aplicável ao cliente da Proteção de Informações do Azure para Windows.

Nota de rodapé 4

Não está incluído no portal de conformidade do Microsoft Purview ou no cliente da Proteção de Informações do Azure para Windows.

Opções Não Encaminhar para emails

Os clientes e serviços do Exchange (por exemplo, o cliente do Outlook, o Outlook na Web, as regras de fluxo de email do Exchange e as ações de DLP para Exchange ) têm uma opção adicional de proteção de direitos de informações para emails: Não Encaminhar.

Embora essa opção apareça para os usuários (e os administradores do Exchange) como se fosse um modelo padrão do Rights Management que eles podem selecionar, Não Encaminhar não é um modelo. Isso explica por que você não a vê no Portal do Azure quando exibe e gerencia modelos de proteção. Em vez disso, a opção Não Encaminhar é um conjunto de direitos de uso aplicado dinamicamente por usuários para seus destinatários de email.

Quando a opção Não encaminhar é aplicada a um email, ele é criptografado e os destinatários devem ser autenticados. E depois os destinatários não podem encaminhá-lo, imprimi-lo ou copiá-lo. Por exemplo, no cliente do Outlook, o botão Encaminhar não fica disponível, as opções de menu Salvar como, Salvar anexo e Imprimir não estão disponíveis e você não pode adicionar ou alterar destinatários nas caixas Para, Cc ou Cco.

Os documentos do Office desprotegidos que estejam anexados ao email herdam automaticamente as mesmas restrições. Os direitos de uso aplicados a esses documentos são Editar conteúdo, Editar; Salvar; Exibir, Abrir, Ler e Permitir macros. Se você quiser que um anexo tenha direitos de uso diferentes ou se ele não for um documento do Office com suporte a essa proteção herdada, proteja o arquivo antes de anexá-lo ao email. Assim você pode assim atribuir os direitos de uso específicos necessários para o arquivo.

Diferença entre Não Encaminhar e não conceder o direito de uso Encaminhar

Há uma distinção importante entre aplicar a um email a opção Não Encaminhar e aplicar um modelo que não concede o direito de Encaminhar. A opção Não Encaminhar usa uma lista dinâmica de usuários autorizados com base nos destinatários escolhidos pelo usuário do email original, enquanto os direitos no modelo têm uma lista estática de usuários autorizados que o administrador especificou anteriormente. Qual é a diferença? Vejamos um exemplo:

Uma usuária deseja enviar algumas informações por email para pessoas específicas do departamento de marketing e essas informações não devem ser compartilhadas com mais ninguém. Ela deve proteger o email com um modelo que restringe os direitos (exibir, responder e salvar) para o departamento de marketing? Ou deve escolher a opção Não Encaminhar? Ambas as opções fariam com que os destinatários não pudessem encaminhar o email.

  • Se ela aplicasse o modelo, os destinatários ainda poderiam compartilhar as informações com outras pessoas no departamento de marketing. Por exemplo, um destinatário poderia usar o Explorer para arrastar e soltar o email para um local compartilhado ou uma unidade USB. Agora, qualquer pessoa do departamento de marketing (e o proprietário do email) com acesso a esse local poderia exibir as informações no email.

  • Se ela aplicasse a opção Não Encaminhar, os destinatários não poderiam compartilhar as informações com nenhuma outra pessoa no departamento de marketing movendo o email para outro local. Nesse cenário, somente os destinatários originais (e o proprietário do email) poderiam exibir as informações no email.

Observação

Use Não Encaminhar quando for importante que somente os destinatários que o remetente escolher possam ver as informações no email. Use um modelo para emails para restringir direitos a um grupo de pessoas que o administrador especifica antecipadamente, independentemente dos destinatários escolhidos pelo remetente.

Opção Criptografar Somente para emails

Quando o Exchange Online usa os novos recursos da Criptografia de Mensagens do Office 365, uma nova opção de email Criptografar fica disponível para criptografar os dados sem restrições adicionais.

Essa opção está disponível para locatários que usam o Exchange Online e pode ser selecionada da seguinte maneira:

Para obter mais informações sobre a opção de criptografar somente, consulte a seguinte postagem no blog feita quando a opção foi anunciada pela equipe do Office: Criptografia de Mensagens do Office 365 implementa o Criptografar Somente.

Quando essa opção é selecionada, o email é criptografado e os destinatários devem ser autenticados. Depois, os destinatários têm todos os direitos de uso, exceto Salvar como, Exportar e Controle total. Essa combinação de direitos de uso significa que os destinatários não têm restrições além de não poderem remover a proteção. Por exemplo, um destinatário pode copiar do email, imprimi-lo e encaminhá-lo.

Da mesma forma, por padrão, os documentos do Office desprotegidos que são anexados ao email herdam as mesmas permissões. Esses documentos são protegidos automaticamente e podem ser salvos, editados, copiados e impressos a partir de aplicativos do Office quando baixados pelos destinatários. Quando o documento é salvo por um destinatário, pode receber um novo nome e até mesmo um formato diferente. No entanto, apenas os formatos de arquivo que oferecem suporte à proteção estão disponíveis, de modo que o documento não pode ser salvo sem a proteção original. Se você quiser que um anexo tenha direitos de uso diferentes ou se ele não for um documento do Office com suporte a essa proteção herdada, proteja o arquivo antes de anexá-lo ao email. Assim você pode assim atribuir os direitos de uso específicos necessários para o arquivo.

De forma alternativa, você pode alterar essa herança de proteção de documentos especificando Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true como PowerShell do Exchange Online. Use essa configuração quando não precisar reter a proteção original do documento depois que o usuário for autenticado. Quando os destinatários abrirem a mensagem de email, o documento não estará protegido.

Caso seja necessário que um documento anexado retenha a proteção original, consulte Proteger a colaboração de documentos usando a Proteção de Informações do Azure.

Observação

Se aparecerem referências ao parâmetro DecryptAttachmentFromPortal, ele agora está preterido para Set-IRMConfiguration. A menos que você tenha definido anteriormente esse parâmetro, ele não estará disponível.

Criptografar automaticamente documentos PDF com o Exchange Online

Quando o Exchange Online usa as novas capacidades da Criptografia de Mensagens do Office 365, é possível criptografar automaticamente documentos PDF desprotegidos ao serem anexados a um email criptografado. O documento herda as mesmas permissões que as da mensagem de email. Para habilitar essa configuração, defina EnablePdfEncryption $True como Set-IRMConfiguration.

Os destinatários que ainda não têm instalado um leitor que forneça suporte ao padrão ISO de criptografia de PDF podem instalar um dos leitores listados em Leitores de PDF que oferecem suporte à Proteção de Informações do Microsoft Purview. Como alternativa, os destinatários podem ler o documento PDF protegido no portal OME.

Emissor do Rights Management e proprietário do Rights Management

Quando um documento ou email é protegido usando o serviço do Azure Rights Management, a conta que protege o conteúdo se torna automaticamente a emissora do Rights Management para esse conteúdo. Essa conta é registrada como o campo emissor nos logs de uso.

O emissor do Rights Management sempre recebe o direito de uso de Controle Total para o documento ou email e, além disso:

  • Se as configurações de proteção incluem uma data de expiração, o emissor do Rights Management ainda pode abrir e editar o documento ou email após essa data.

  • O emissor do Rights Management sempre pode acessar o documento ou email offline.

  • O emissor do Rights Management ainda pode abrir um documento depois que ele é revogado.

Por padrão, essa conta é também o proprietário do Rights Management desse conteúdo, que é o caso quando um usuário que criou o documento ou email inicia a proteção. Mas há alguns cenários em que um administrador ou o serviço pode proteger o conteúdo em nome dos usuários. Por exemplo:

  • Um administrador protege arquivos em massa em um compartilhamento de arquivo: a conta de administrador no Microsoft Entra ID protege os documentos para os usuários.

  • O conector do Rights Management protege documentos do Office em uma pasta do Windows Server: a conta da entidade de serviço no Microsoft Entra ID que é criada para o conector do RMS protege os documentos para os usuários.

Nesses cenários, o emissor do Rights Management pode atribuir o proprietário do Rights Management para outra conta, usando o PowerShell ou os SDKs da Proteção de Informações do Azure. Por exemplo, ao usar o cmdlet do PowerShell Protect-RMSFile com o cliente da Proteção de Informações do Azure, você pode especificar o parâmetro OwnerEmail para atribuir o proprietário do Rights Management para outra conta.

Quando o emissor do Rights Management protege em nome de usuários, a atribuição do proprietário do Rights Management garante que o proprietário original do documento ou do email tenha o mesmo nível de controle de seu conteúdo protegido como se eles próprios tivessem iniciado a proteção.

Por exemplo, o usuário que criou o documento pode imprimi-lo, mesmo que agora o documento esteja protegido com um modelo que não inclua o direito de uso Imprimir. O mesmo usuário sempre pode acessar o documento, independentemente da configuração de acesso offline ou da data de expiração que possa ter sido configurada nesse modelo. Além disso, uma vez que o proprietário do Rights Management tem o direito de uso de Controle Total, esse usuário também pode proteger novamente o documento para conceder acesso a usuários adicionais (ponto em que o usuário se torna o emissor do Rights Management, bem como o proprietário do Rights Management) e esse usuário pode, inclusive, remover a proteção. No entanto, somente o emissor do Rights Management pode acompanhar e revogar um documento.

O proprietário do Rights Management de um documento ou email é registrado como o campo owner-email nos logs de uso.

Observação

O proprietário do Rights Management é independente do proprietário do sistema de arquivos do Windows. Eles são geralmente os mesmos, mas podem ser diferentes, mesmo se você não usar o SDK ou o PowerShell.

Licença de uso do Rights Management

Quando um usuário abre um documento ou email que foi protegido pelo Azure Rights Management, uma licença de uso do Rights Management para esse conteúdo é concedida ao usuário. Essa licença de uso é um certificado que contém os direitos de uso do usuário para o documento ou mensagem de email e a chave de criptografia usada para criptografar o conteúdo. A licença de uso também conterá uma data de expiração, se ela tiver sido definida e por quanto tempo a licença de uso é válida.

Um usuário deve ter uma licença de uso válida para abrir o conteúdo, além do cerificado de conta de direitos (RAC), um certificado concedido quando o ambiente do usuário é inicializado e depois é renovado a cada 31 dias.

Ao longo da duração da licença de uso, o usuário não é autenticado nem autorizado novamente para o conteúdo. Isso permite que ele continue a abrir o documento ou o email protegido sem uma conexão de Internet. Quando o período de validade da licença de uso expira, na próxima vez que o usuário acessar o documento ou email protegido, ele precisará ser autenticado e autorizado novamente.

Quando documentos e mensagens de email são protegidos usando um rótulo ou um modelo que define as configurações de proteção, você pode alterar essas configurações em seu rótulo ou modelo sem precisar proteger o conteúdo novamente. Quando um usuário já tiver acessado o conteúdo, as alterações entrarão em vigor depois que a sua licença de uso tiver expirado. No entanto, quando os usuários aplicam permissões personalizadas (também conhecidas como uma política de direitos ad hoc) e essas permissões precisam ser alteradas após o documento ou o email ser protegido, esse conteúdo deve ser protegido novamente com as novas permissões. Permissões personalizadas para uma mensagem de email são implementadas com a opção Não Encaminhar.

O período de validade de licença de uso padrão para um locatário é de 30 dias e você pode configurar esse valor usando o cmdlet do PowerShell, Set-AipServiceMaxUseLicenseValidityTime. Você pode definir uma configuração mais restritiva para quando a proteção é aplicada usando um modelo ou rótulo de confidencialidade configurado para atribuir permissões agora:

  • Quando você configura um rótulo de confidencialidade, o período de validade da licença de uso obtém seu valor de Permitir configuração de acesso offline.

    Para obter mais informações e diretrizes para definir essa um rótulo de confidencialidade com essa configuração, consulte a tabela de recomendações das instruções sobre como configurar permissões agora para um rótulo de confidencialidade.

  • Quando você configura um modelo usando o PowerShell, o período de validade da licença de uso obtém seu valor do parâmetro LicenseValidityDuration nos cmdlets Set-AipServiceTemplateProperty e Add-AipServiceTemplate.

    Para obter mais informações e diretrizes para definir essa configuração usando o PowerShell, consulte a ajuda para cada cmdlet.

Confira também