Compartilhar via


Planejar o Gerenciamento de Direitos de Informação no Office 2013

 

Aplica-se a: Office 2013, Office 365 ProPlus

Tópico modificado em: 2017-09-08

Resumo: use o Gerenciamento de Direitos de Informação (IRM) no Office 2013 para especificar permissões de acesso e usar documentos e mensagens privadas.

Público: profissionais de TI

Este artigo contém um resumo da tecnologia de IRM e de como ela funciona nos aplicativos do Office, junto com links para mais informações sobre como instalar e configurar o software necessário para a implantação do IRM no Office 2013.

ImportanteImportante
Este artigo faz parte do Mapa de identidade, autenticação e autorização do Office 2013 para profissionais de TI. Use o mapa como um ponto inicial para artigos, downloads, pôsteres e vídeos que ajudam você a avaliar a identidade do Office 2013.
Você está procurando ajuda sobre aplicativos individuais do Office 2013? É possível encontrar essas informações pesquisando no Office.com.

Neste artigo:

  • Visão geral do IRM

  • Como o IRM funciona no Office 2013

  • Configurando o IRM para o Office 2013

  • Definindo configurações de IRM para o Office 2013

  • Definindo configurações de IRM para o Outlook 2013

Visão geral do IRM

O Azure Rights Management e o Active Directory Rights Management são tecnologias de proteção de informações persistentes de nível de documento da Microsoft. Elas usam permissões e autorização para impedir o acesso de indivíduos não autorizados ou evitar que usuários autorizados imprimam, encaminhem ou copiem informações confidenciais. Quando a permissão para um documento ou uma mensagem é restrita por meio dessa tecnologia, as restrições de uso são transferidas juntamente com o documento ou a mensagem de email como parte do conteúdo do arquivo. O Microsoft Office implementa suporte para essas tecnologias usando os recursos de IRM (Gerenciamento de Direitos de Informação).

ObservaçãoObservação
A capacidade de criar documentos ou mensagens de email com permissões restritas usando o IRM está disponível no Office Professional Plus 2013 e em versões autônomas do Excel 2013, do Outlook 2013, do PowerPoint 2013, do InfoPath 2013 e do Word 2013. O conteúdo IRM criado no Office 2013 pode ser exibido no Office 2007, no Office 2010 ou no Office 2013.
Para saber mais sobre os recursos de IRM e AD RMS (Active Directory Rights Management Services) com suporte no Office 2013, no Office 2010 e no Office 2007, confira o artigo AD RMS e Considerações de Implantação do Microsoft Office. Para saber mais sobre o IRM e o Azure RMS, confira Como os aplicativos dão suporte ao Azure Rights Management e O que é o Azure Rights Management.

O suporte ao IRM do Office 2013 ajuda na solução de duas questões fundamentais para as organizações e os operadores de informações:

  • Permissões restritas para informações confidenciais – O IRM ajuda na prevenção do acesso e da reutilização não autorizados de informações confidenciais. As organizações dependem de firewalls, medidas de segurança de logon e outras tecnologias de rede para proteger a propriedade intelectual sigilosa. Uma das limitações básicas no uso dessas tecnologias é que os usuários legítimos com acesso às informações podem compartilhá-las com pessoas não autorizadas, podendo causar uma violação nas políticas de segurança.

  • Privacidade, controle e integridade de informações – Os operadores de informações trabalham frequentemente com informações confidenciais ou sigilosas. Com o uso do IRM, os funcionários não dependem do critério de outras pessoas para garantir que os materiais sigilosos permaneçam dentro da empresa. O IRM elimina a capacidade do usuário de encaminhar, copiar ou imprimir informações confidenciais, desabilitando essas funções em documentos e mensagens com permissões restritas.

Para os gerentes de TI, o IRM ajuda a habilitar a imposição de políticas corporativas existentes relacionadas a confidencialidade de documentos, fluxo de trabalho e retenção de email. Para os executivos e responsáveis pela segurança, o IRM reduz o risco de que informações importantes da empresa caiam em mãos erradas, seja por acidente, negligência ou má fé.

Como o IRM funciona no Office 2013

Os usuários do Office aplicam permissões a documentos ou mensagens usando opções no menu Arquivo; por exemplo, usando o comando Restringir Acesso, em Informações, Proteger Documento. As opções de proteção disponíveis se baseiam nos Modelos de Política de Direitos que você pode personalizar para a organização. Os Modelos de Política de Direitos são grupos de direitos de IRM que você agrupa em uma política predefinida para que os usuários possam aplicar aos documentos. O Office 2013 também fornece uma opção predefinida Não encaminhar que concede direitos específicos para os destinatários de um email. Para saber mais sobre os Modelos de Política de Direitos, confira Configurando modelos personalizados do Azure Rights Management.

ObservaçãoObservação
Além de usar as opções no menu Arquivo do Office, os usuários podem selecionar Compartilhamento Protegido na Faixa de Opções do Office, quando você instala o aplicativo de compartilhamento Microsoft Rights Management para Windows. Este aplicativo também permite outras funcionalidades, como a capacidade de controlar o consumo de documentos compartilhados. Para saber mais, confira Aplicativo de compartilhamento Microsoft Rights Management para Windows.

Para proteger um documento no Office 2013 com o IRM, você deve ter um local servidor AD RMS local ou uma assinatura do Azure RMS como parte do Office 365 ou como um serviço autônomo.

Usando o IRM com um servidor RMS

Habilitar o IRM na organização requer acesso a um computador com o AD RMS (Active Directory Rights Management Services) para Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 ou para um locatário de nuvem com assinatura do Azure RMS. As permissões são aplicadas com autenticação, normalmente usando o AD DS (Serviços de Domínio do Active Directory) ou o Active Directory do Azure.

As organizações podem definir as políticas de permissões exibidas nos aplicativos do Office quando criam os Modelos de Política de Direitos. Por exemplo, você pode definir um modelo de diretiva de direitos chamado Confidencial do departamento de marketing, cujos documentos e mensagens de email especificados na diretiva podem ser abertos apenas por usuários desse departamento. Embora não haja nenhum limite para o número de diretivas de permissão que podem ser criados, o Office pode exibir no máximo 20 modelos de diretiva de cada vez. O Azure Rights Management fornece dois modelos predefinidos para toda a organização. Além disso, você pode adicionar modelos personalizados ou desabilitar modelos, quando for conveniente.

ObservaçãoObservação
O SharePoint tem suporte para a aplicação automática da política IRM em documentos armazenados na biblioteca de documentos. Com essa opção, você pode controlar as ações que os usuários podem realizar nos documentos a partir das bibliotecas do SharePoint. Isso é diferente do IRM aplicado aos documentos armazenados em computadores cliente, nos quais o proprietário do documento pode determinar os direitos que pretende atribuir a cada usuário. Para saber mais sobre como usar o IRM com bibliotecas de documentos, confira o artigo Planejamento de biblioteca de documentos (SharePoint Foundation 2010).

Com o AD RMS no Windows Server 2008, Windows Server 2008 R2 e no Windows Server 2012, os usuários podem compartilhar documentos protegidos por direitos entre empresas com uma relação de confiança federada. Para saber mais, confira Visão geral do Active Directory Rights Management Services e Federação do AD RMS. Com o Azure RMS, o recurso de colaboração segura entre organizações é interno e não exige configuração especial.

Embora a capacidade de criar e consumir emails protegidos no Outlook 2013 não exija configuração especial no servidor de email, o Exchange Server 2013 oferece outras funcionalidades de email protegidas por IRM, inclusive proteção por RMS para mensagens da caixa postal com Unificação de Mensagens, além de regras de proteção do Outlook que podem aplicar proteção IRM automaticamente às mensagens no Outlook 2013, antes de saírem do cliente do Outlook. Além disso, a integração com o IRM no Exchange Server permite a criação e o consumo de emails protegidos no Outlook Web App e em dispositivos móveis habilitados para IRM no Exchange ActiveSync. Para saber mais, confira os artigos Novidades do Exchange 2013 e Entendendo o Gerenciamento de Direitos de Informação.

Configurando o IRM para Office 2013

A aplicação de permissões de IRM a documentos ou mensagens de email exige o seguinte:

  • Acesse o AD RMS para Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 ou para o Azure Rights Management a fim de obter licenças para consumo de conteúdo.

  • Software cliente do Microsoft Azure AD Rights Management. Esse software cliente está incluído no Windows Vista e em versões posteriores. O aplicativo de compartilhamento Microsoft Rights Management fornece um complemento opcional para aprimorar a funcionalidade do IRM no Office.

  • Microsoft Office 2007, Office 2010 ou Office 2013. Apenas determinadas edições do Office habilitam usuários para a criação de permissões de IRM.

Configurando o acesso ao servidor RMS

O AD RMS e o Azure RMS gerenciam licenciamento e outras funções de servidor que funcionam com o IRM para fornecer gerenciamento de direitos para aplicativos cliente, como o Office 2013. Um programa cliente habilitado para RMS, como o Office 2013, permite aos usuários criar e exibir conteúdo protegido por direitos.

Para saber mais sobre como o RMS funciona e sobre como instalar e configurar um servidor RMS ou como habilitar o Azure RMS na nuvem, confira a Home page do Microsoft Rights Management Services.

Instalando o software cliente de Gerenciamento de Direitos

O software cliente do RMS está incluído no Windows Vista, no Windows 7, no Windows 8 e no Windows 8.1. Para habilitar a funcionalidade adicional do IRM no Office usando o aplicativo de compartilhamento RMS, os administradores podem implantá-la ou os usuários podem instalá-la por conta própria.

Definir e implantar modelos de diretivas de direitos do Office 2013

Como no Office 2007 e no Office 2010, o Office 2013 inclui a opção para que os usuários apliquem direitos individuais a documentos e mensagens, como Leitura e Alteração no Word 2013, no Excel 2013 e no PowerPoint 2013. No Outlook, você pode usar a opção Não encaminhar, que lhe permite compartilhar emails de forma confidencial, concedendo apenas direitos limitados para os destinatários da mensagem. Defina os Modelos de Política de Direitos personalizados para a organização, que são implantados automaticamente para os clientes, para aplicação com um único clique.

A criação e o gerenciamento de modelos de política de direitos são feitos pelo site de administração em seu RMS ou servidor AD RMS. Para obter informações sobre como criar, configurar e publicar modelos de política de permissão personalizada, confira Guia Passo a Passo de Implantação de Modelos da Política de Direitos do AD RMS. Para regras de proteção do Exchange Server 2010Outlook, confira Compreendendo as Regras de Proteção do Outlook.

Os direitos que você pode incluir em modelos de política de permissões para o Office 2013 são listados nas próximas seções.

Direitos de IRM

Os direitos de IRM descritos na tabela a seguir podem ser impostos por aplicativos do Office 2013 configurados para funcionar com o Azure RMS ou com o AD RMS.

Direitos de permissão IRM

Direito de IRM Descrição

Controle Total

Concede ao usuário todos os direitos listados nesta tabela e o direito de alterar permissões associadas ao conteúdo. A expiração não é aplicada aos usuários com Controle Total.

Exibição

Permite que o usuário abra o conteúdo do IRM. Isso corresponde ao Acesso de Leitura na interface de usuário do Office 2013.

Editar

Permite ao usuário modificar o conteúdo do documento. Isso inclui a capacidade de classificar e filtrar conteúdo no Excel.

Salvar

Permite que o usuário salve um arquivo.

Extrair

Permite que o usuário faça uma cópia de qualquer parte de um arquivo e cole essa parte do arquivo na área de trabalho de outro aplicativo.

Exportar

Permite que o usuário salve conteúdo em outro formato de arquivo usando o comando Salvar como. Dependendo do aplicativo que usa o formato de arquivo selecionado por você, o conteúdo pode ser salvo sem proteção.

Imprimir

Permite que o usuário imprima o conteúdo de um arquivo.

Permitir Macros

Permite ao usuário executar macros no conteúdo de um arquivo, realizar acesso por programação ao conteúdo de outros aplicativos e vincular ao conteúdo de várias planilhas.

Encaminhar

Permite que um destinatário de email encaminhe uma mensagem de IRM e adicione ou remova destinatários das linhas Para: e Cc:. Esse direito não implica a capacidade de conceder direitos a outros usuários. No entanto, quando um usuário não tem direitos concedidos pelo modelo, ele é impedido de abrir conteúdo, mesmo que esse conteúdo tenha sido encaminhado para ele. Não conceder esse direito em um modelo não é o mesmo que usar a opção Não encaminhar no Outlook, uma vez que essa opção concede direitos apenas aos usuários especificados nas linhas Para: e Cc: do email.

Responder

Permite que os destinatários de email respondam a uma mensagem de email de IRM.

Responder a Todos

Permite que os destinatários de email respondam todos os usuários nas linhas Para: e Cc: de uma mensagem de email de IRM.

Exibir Direitos

Concede permissão ao usuário para exibir os direitos associados com um arquivo. O Office ignore este direito.

Grupos predefinidos de permissões

O Office 2013 oferece os seguintes grupos de direitos predefinidos que os usuários podem escolher quando criam conteúdo de IRM. As opções estão disponíveis na caixa de diálogo Permissão para Word 2013, Excel 2013 e PowerPoint 2013. No aplicativo do Office, selecione a guia Arquivo, escolha Informações, escolha o botão Proteger documento e selecione Restringir Acesso; em seguida, escolha entre os Modelos de Política de Direitos relacionados, que são preenchidos pelo servidor ou serviço Rights Management, ou escolha Acesso Restrito, que lhe dá a opção de selecionar um dos grupos de permissão predefinidos para cada usuário.

Grupos de permissão leitura/mudança predefinida

Grupo predefinido do IRM Descrição

Leitura

Usuários com permissão Leitura têm apenas o direito de exibição.

Alterar

Usuários com permissão Alterar possuem os direitos Exibir, Editar, Extrair, Exportar e Salvar.

No Outlook 2013, os usuários podem selecionar o seguinte grupo de direitos predefinido durante a criação de um item de email. Para acessar a opção no item de email, escolha Arquivo, Informações e Definir Permissões. Em seguida, escolha entre os Modelos de Política de Direitos relacionados, que são preenchidos pelo servidor ou serviço Rights Management, ou escolha a opção Não encaminhar que implementa os seguintes direitos.

Grupo "Não encaminhar" predefinido

Grupo predefinido do IRM Descrição

Não Encaminhar

No Outlook, a opção Não encaminhar de um email concede aos usuários direitos para Exibir, Editar, Responder e Responder a Todos nas linhas Para:, Cc: e Cco:.

Permissões avançadas

Você pode especificar outras permissões do IRM para partes de um documento no Word 2013. Em Informações, Proteger Documento, escolha Restringir Edição e selecione a opção Mais usuários para adicionar os usuários com direitos de edição para determinadas seções de um documento. Para obter mais opções de restrição, escolha Restringir Permissão na parte inferior do painel Restringir Edição. Por exemplo, os usuários podem especificar uma data de expiração, restringir outros usuários de imprimir ou copiar conteúdo e assim por diante.

Definindo configurações de IRM para o Office 2013

Você pode bloquear várias configurações para personalizar o IRM usando o Modelo de Política de Grupo do Office (Office15.admx). Use este Modelo de Política de Grupo para configurar os Objetos de Política de Grupo no Active Directory. Ele não deve ser confundido com os Modelos de Política de Direitos já descritos neste documento. Também é possível usar a Ferramenta de Personalização do Office (OCT) para definir as configurações padrões, que permitem os usuários definirem as configurações. Além disso, há opções de configuração IRM que podem ser definidas apenas usando as configurações de chave de Registro.

Configurações de IRM do Office 2013

As configurações que você pode definir para IRM na Política de Grupo e usando a OCT listada na tabela a seguir. Na Política de Grupo, estas configurações estão em Configuração do Usuário\Modelos Administrativos\Microsoft Office 2013\Gerenciar Permissões Restritas. As configurações de OCT estão nos locais correspondentes da página Modificar configurações do usuário do OCT.

Configurações IRM para Política de Grupo ou OCT

Opção do IRM Descrição

Tempo limite do Active Directory para consultar uma entrada para expansão de grupo

Especificar o valor de tempo limite para consulta de uma entrada do Active Directory ao expandir um grupo.

URL para solicitação de permissões adicionais

Especifique o local em que o usuário pode obter mais informações sobre como acessar o conteúdo do IRM para consumir conteúdo protegido nesse cliente.

Sempre expanda grupos no Office quando houver permissões de restrições para documentos

O nome do grupo é automaticamente expandido para exibir todos os membros do grupo quando os usuários aplicam permissões a um documento selecionando um nome de grupo na caixa de diálogo Permissão.

Sempre exigir que os usuários se conectem para verificar permissões

Os usuários que abrem documentos do Office gerenciados por direitos devem se conectar ao serviço RMS para verificar se ainda estão qualificados para consumir o conteúdo adquirindo uma nova licença do IRM.

Nunca permitir que usuários especifiquem grupos ao restringirem permissões a documentos

Retorna um erro quando os usuários selecionam um grupo na caixa de diálogo Permissão: ''Você não pode publicar conteúdo nas Listas de Distribuição. Pode apenas especificar endereços de email para usuários individuais'.'

Impedir que os usuários alterem permissões em conteúdo com direitos gerenciados

Se essa opção estiver habilitada, os usuários poderão consumir conteúdo que já inclua permissões do IRM, mas não poderão aplicar essas permissões a um novo conteúdo, nem configurar os direitos de um documento.

Desligar a interface do usuário de Gerenciamento de Direitos de Informação

Desabilita todas as opções relacionadas ao Gerenciamento de Direitos dentro da interface do usuário de todos os aplicativos do Office.

Para obter mais informações sobre como personalizar essas configurações, confira Configurar o Gerenciamento de Direitos de Informação no Office 2013.

Opções de chave de Registro de IRM do Office 2013

As configurações que você pode definir para IRM no Registro estão listadas na tabela a seguir.

As configurações do Registro do IRM a seguir estão localizadas em HKCU\Software\Microsoft\Office\15.0\Common\DRM.

Opções de chave de Registro de IRM

Entrada de Registro Tipo Valor Descrição

RequestPermission

DWORD

1 = a caixa está marcada.

0 = a caixa está desmarcada.

Essa chave do Registro alterna o valor padrão da caixa de seleção Os usuários podem solicitar permissões adicionais de.

DoNotUseOutlookByDefault

DWORD

0 = Outlook é usado

1 = Outlook não é usado

A caixa de diálogo Permissão usa o Outlook para validar endereços de email inseridos nesta caixa de diálogo. Isto faz com que uma instância do Outlook seja iniciada quando restringir permissões. Desabilite a opção para usar esta chave.

A configuração do Registro do IRM a seguir está localizada em HKCU\Software\Microsoft\Office\15.0\Common\DRM\LicenseServers. Não há configuração de Política de Grupo correspondente.

Configuração de registro IRM para servidores de licença

Entrada de Registro Tipo Valor Descrição

LicenseServers

Key/Hive. Contém valores DWORD com o nome de um servidor de licença.

Defina para a URL do servidor. Quando o valor de DWORD é 1, o Office não solicita a obtenção de uma licença; ela é obtida automaticamente.

Se o valor for zero ou não há entrada de Registro para este servidor, o Office solicita uma licença.

Exemplo: se "https://contoso.com/_wmcs/licensing = 1" for o valor da configuração, o usuário que tentar obter a licença por esse servidor para abrir um documento com direitos gerenciados não será solicitado a inserir autorização. Isso é semelhante a marcar a caixa de seleção solicitando para não ser notificado novamente na primeira vez que consome o conteúdo.

A configuração do Registro do IRM a seguir está localizada em HKCU\Software\Microsoft\Office\15.0\Common\Security. Não há configuração de Política de Grupo correspondente.

Configuração do Registro de IRM para segurança

Entrada de Registro Tipo Valor Descrição

DRMEncryptProperty

DWORD

1 = o arquivo de metadados está criptografado.

0 = os metadados estão armazenados sem formatação. O valor padrão é 0.

Determine se deve criptografar todos os metadados armazenados em um documento com direitos gerenciados.

Metadados criptografados não são compatível com os rótulos de proteção de informações do Windows Azure. Se você usar esses rótulos, não defina o valor como 1.

Para formatos Open XML (por exemplo, .docx, .xlsx, .pptx e assim por diante), os usuários podem optar por criptografar os metadados do Office armazenados em um arquivo com direitos gerenciados ou deixar o conteúdo como não criptografado para que outros aplicativos, como a funcionalidade FCI de um servidor de arquivos do Windows, possam acessar os dados.

Os usuários têm a opção de criptografar os metadados definindo uma chave do Registro. Você pode definir uma opção padrão para os usuários implantando a configuração do Registro. Não há opção para criptografar alguns dos metadados: pode-se criptografar todos os metadados ou nenhum.

Além disso, a configuração do registro do DRMEncryptProperty não determina se o armazenamento de metadados de cliente que não sejam do Office, como os metadados criados pelo SharePoint 2013, está criptografado.

Definindo configurações de IRM para o Outlook 2013

No Outlook 2013, os usuários podem criar e enviar mensagens de email com permissões restritas para impedir que as mensagens sejam encaminhadas, impressas ou copiadas. Os documentos, pastas de trabalho e apresentações do Office 2013, anexados a mensagens cujas permissões são restritas, também são automaticamente restritos.

Como administrador do Outlook, é possível configurar várias opções de email para o IRM, como desabilitar o IRM ou configurar o armazenamento da licença local em cache.

As seguintes configurações e recursos do IRM podem ser úteis ao configurar mensagens de email gerenciadas por direitos:

  • Configure o cache automático de licença para o IRM.

  • Ajude a inserir um período de expiração de mensagem de email.

  • Não use o Outlook para validar endereços de email para permissões de IRM.

ObservaçãoObservação
Para desabilitar o IRM no Outlook, você deve desabilitar o IRM para todos os aplicativos do Office. Não há opção separada para desabilitar apenas IRM no Outlook.

Configurações de IRM do Outlook 2013

É possível bloquear a maioria das configurações para personalizar o IRM para o Outlook usando o modelo de Política de Grupo do Outlook (Outlk15.admx) ou o modelo de Política de Grupo do Office (Office15.admx). Em alternativa, é possível definir as configurações padrões para a maioria das opções usando a Ferramenta de Personalização do Office (OCT), que permite os usuários definirem as configurações. As configurações OCT estão em locais correspondentes na página Modificar configurações do usuário do OCT.

Opções IRM do Outlook

Local Opção do IRM Descrição

Microsoft Outlook 2013\Diversos

Não baixar informações de licença de permissões de direitos para email de IRM durante a sincronização de pastas do Exchange

Habilite para impedir que as informações de licença sejam armazenadas no cache local. Se estiver habilitado, os usuários devem se conectar à rede para recuperar informações de licença para abrir mensagens de email com direitos gerenciados. Isso não afeta o pré-licenciamento do Exchange.

Microsoft Outlook 2010\Opções do Outlook\Opções de Email\Opções de Email Avançadas

Ao enviar uma mensagem

Para impor a expiração de email, habilite e insira o número de dias até a data de expiração da mensagem. O período de expiração é imposto apenas quando os usuários enviam email com direitos gerenciados e a mensagem não pode ser acessada após o período de expiração.

Para obter mais informações sobre como personalizar essas configurações, confira Configurar o Gerenciamento de Direitos de Informação no Office 2013.

Opções de chave de Registro IRM do Outlook 2013

A caixa de diálogo Permissão usa o Outlook para validar endereços de email inseridos nesta caixa de diálogo. Isto faz com que uma instância do Outlook inicie quando as permissões são restritas. É possível desabilitar esta opção usando a chave de Registro listada na tabela a seguir. Não há uma Política de Grupo correspondente ou configuração OCT para esta opção.

A configuração de Registro do IRM a seguir está localizada em HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM.

Opções de chave de Registro de IRM do Outlook

Entrada de Registro Tipo Valor Descrição

DoNotUseOutlookByDefault

DWORD

0 = Outlook é usado

1 = Outlook não é usado

Desabilite a opção para usar esta chave.

Consulte também

Mapa de identidade, autenticação e autorização do Office 2013

Serviços de Gerenciamento de Direito do Active Directory
Compreendendo o Gerenciamento de Direitos de Informação
Planejar bibliotecas de documento (Windows SharePoint Services)

dn151329(v=office.15).md