Compartilhar via


Criptografia de email

Este artigo compara as opções de criptografia no Microsoft 365, incluindo a Criptografia de Mensagens do Microsoft Purview, S/MIME, Gerenciamento de Direitos de Informação (IRM) e apresenta o Protocolo TLS (TLS).

O Microsoft 365 oferece várias opções de criptografia para ajudar a atender às necessidades de segurança de email da sua empresa. Este artigo apresenta três maneiras de criptografar emails no Office 365. Se você quiser saber mais sobre todos os recursos de segurança do Office 365, acesse a central de confiabilidade do Office 365. Este artigo apresenta os três tipos de criptografia disponíveis para administradores do Microsoft 365 para ajudar a proteger o email no Office 365:

  • Criptografia de Mensagens do Microsoft Purview.

  • S/MIME (Secure/Multipurpose Internet Mail Extensions).

  • Gerenciamento de Direitos de Informação (IRM).

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Como o Microsoft 365 usa criptografia de email

Criptografia é o processo pelo qual as informações são codificadas para que somente um destinatário autorizado possa decodificar e consumir as informações. O Microsoft 365 usa criptografia de duas maneiras: no serviço e como um controle de cliente. No serviço, a criptografia é usada no Microsoft 365 por padrão; não é necessário configurar nada. Por exemplo, o Microsoft 365 usa o protocolo Segurança na camada de transporte (TLS) para criptografar a conexão, ou sessão, entre dois servidores.

Veja aqui como a criptografia de email normalmente funciona:

  • Uma mensagem é criptografada, ou transformada de texto sem formatação em texto cifrado ilegível, no computador do remetente ou por um servidor central, enquanto a mensagem está em trânsito.

  • A mensagem permanece em texto cifrado enquanto está em trânsito para impedir a leitura caso seja interceptada.

  • Depois que é recebida pelo destinatário, a mensagem é transformada novamente em texto sem formatação legível por meio de uma das duas maneiras:

    • O computador do destinatário usa uma chave para descriptografar a mensagem, ou

    • Um servidor central descriptografa a mensagem em nome do destinatário, após a validação da identidade do destinatário.

Confira mais informações sobre como o Microsoft 365 protege a comunicação entre servidores, por exemplo, entre organizações dentro do Microsoft 365 ou entre o Office 365 e um parceiro de negócios confiável fora do Microsoft 365, confira em Como o Office 365 usa TLS para proteger conexões entre servidores.

Comparação das opções de criptografia de email disponíveis no Office 365

Tecnologia de criptografia de email Arte conceitual que descreve a OME. Arte conceitual que descreve o IRM Arte conceitual que descreve SMIME
O que é isso? A encriptação de mensagens é um serviço criado no Azure Rights Management (Azure RMS) que lhe permite enviar e-mails encriptados para pessoas dentro ou fora da sua organização, independentemente do endereço de e-mail de destino (Gmail, Yahoo! Mail, Outlook.com, etc.).
Como administrador, você pode configurar regras de transporte que definam as condições da criptografia. Quando um usuário envia uma mensagem que corresponde a uma regra, a criptografia é aplicada automaticamente.
Para exibir mensagens criptografadas, os destinatários podem obter uma senha avulsa, entrar com uma conta da Microsoft ou com uma conta corporativa ou de estudante associada ao Office 365. Os destinatários também podem enviar respostas criptografadas. Não é necessário ter uma assinatura do Microsoft 365 para exibir mensagens criptografadas ou enviar respostas criptografadas.
O IRM é uma solução de criptografia que também aplica restrições de uso a mensagens de email. Isso ajuda a evitar que informações confidenciais sejam impressas, encaminhadas ou copiadas por pessoas não autorizadas.
Os recursos IRM no Microsoft 365 usam o Azure Rights Management (Azure RMS).
S/MIME é uma solução de criptografia baseada em certificados que permite criptografar e assinar digitalmente uma mensagem. A criptografia de mensagem ajuda a garantir que somente o destinatário pretendido poderá abrir e ler a mensagem. Uma assinatura digital ajuda o destinatário a validar a identidade do remetente.
As assinaturas digitais e a criptografia de mensagem são disponibilizadas por meio do uso de certificados digitais exclusivos que contêm as chaves para verificar assinaturas digitais e criptografar ou descriptografar mensagens.
Para usar S/MIME, você deve ter as chaves públicas no arquivo para cada destinatário. Os destinatários precisam manter suas próprias chaves privadas, que devem permanecer seguras. Se as chaves particulares de um destinatário estiverem comprometidas, o destinatário precisará obter uma nova chave privada e redistribuir chaves públicas para todos os possíveis remetentes.
E o que isso faz? OME:
Criptografa as mensagens enviadas a destinatários internos ou externos.
Permite que os usuários enviem mensagens criptografadas para qualquer endereço de email, incluindo Outlook.com, Yahoo! Mail e Gmail.
Permite que você, como administrador, personalize o portal de exibição do email para refletir a marca da sua organização.
A Microsoft gerencia e armazena as chaves de maneira segura, para que você não precise fazer isso.
Nenhum software especial do lado do cliente é necessário, desde que a mensagem criptografada (enviada como um anexo HTML) possa ser aberta em um navegador.
IRM:
Usa a criptografia e as restrições de uso para fornecer proteção online e offline para mensagens de email e anexos.
Fornece a você, como administrador, a capacidade de configurar as regras de transporte ou as regras de proteção do Outlook para aplicar o IRM automaticamente às mensagens selecionadas.
Permite que os usuários apliquem modelos manualmente no Outlook ou no Outlook na Web (conhecida anteriormente com Outlook Web App).
Autenticação de endereços de remetente de S/MIME com assinaturas digitais e confidencialidade de mensagem com criptografia.
E o que isso não faz? A OME não permite que você aplique restrições de uso às mensagens. Por exemplo, você não pode usá-la para impedir que um destinatário encaminhe ou imprima uma mensagem criptografada. Alguns aplicativos podem não suportar emails IRM em todos os dispositivos. Para saber mais sobre esses e outros produtos que oferecem suporte a emails IRM, confira recursos de dispositivos cliente. O S/MIME não permite que mensagens criptografadas sejam verificadas para malware, spam ou políticas.
Cenários de exemplo e recomendações É recomendável usar a OME para enviar informações comerciais confidenciais para pessoas fora da sua organização, sejam consumidores ou outras empresas. Por exemplo:
O funcionário de um banco enviando extratos de cartão de crédito aos clientes
Um consultório enviando prontuários médicos para um paciente
Um advogado enviando informações legais confidenciais para outro advogado
É recomendável usar o IRM para aplicar restrições de uso, bem como a criptografia. Por exemplo:
Um gerente enviando detalhes confidenciais para sua equipe sobre um novo produto aplica a opção "Não Encaminhar".
Um executivo que precisa compartilhar uma proposta de lance com outra empresa, que inclui um anexo de um parceiro que está usando o Office 365, e necessita que o email e o anexo sejam protegidos.
É recomendável usar o S/MIME quando sua organização ou a empresa do destinatário exigirem criptografia de ponto a ponto verdadeira.
O S/MIME é mais usado nos seguintes cenários:
Agências governamentais se comunicando com outras agências governamentais
Uma empresa se comunicando com uma agência governamental

Não aplique várias tecnologias de encriptação de e-mail à mesma mensagem de e-mail. Alguns clientes de e-mail, como o Outlook para Mac, o Outlook para iOS e o Outlook para Android, não conseguem abrir mensagens com várias tecnologias de encriptação de e-mail aplicadas.

Quais opções de criptografia estão disponíveis para minha assinatura do Microsoft 365?

Para saber mais sobre as opções de criptografia de email da sua assinatura do Microsoft 365,Confira a descrição do serviço do Exchange Online. Aqui você pode encontra informações sobre os seguintes recursos de criptografia:

  • Azure RMS, incluindo os recursos de IRM e Criptografia de Mensagens do Microsoft Purview

  • S/MIME

  • TLS

  • Encriptação de dados inativos (através do BitLocker, encriptação de serviço e DKM)

Você também pode usar ferramentas de criptografia de terceiros com o Microsoft 365, por exemplo, PGP. O Microsoft 365 não é compatível com PGP/MIME e você só pode usar PGP/Inline para enviar e receber emails criptografados por PGP.

E a criptografia de dados inativos?

"Dados inativos" se refere aos dados que não estão ativamente em trânsito. No Microsoft 365, os dados inativos do email são criptografados usando a Criptografia de Unidade de Disco BitLocker. O BitLocker encripta os discos rígidos nos datacenters da Microsoft para fornecer proteção melhorada contra o acesso não autorizado. Saiba mais em Visão geral do BitLocker.

Para saber mais sobre as opções de criptografia de email

Para saber mais sobre as opções de criptografia de email neste artigo, bem sobre TLS, consulte estes artigos:

Criptografia de Mensagem do Microsoft Purview

Criptografia de mensagens

IRM

Gerenciamento de Direitos de Informação no Exchange Online

O que é o Azure Rights Management?

S/MIME

S/MIME para assinatura e criptografia de mensagens

Noções básicas sobre S/MIME

Noções básicas sobre criptografia de chave pública

TLS

Configurar o fluxo de emails usando conectores

Como o Exchange Online usa TLS para proteger conexões de e-mail

Desativar o TLS 1.0 e 1.1 para o Microsoft 365