Compartilhar via

Gerenciar a criptografia de mensagens

  • Artigo

Depois de concluir a configuração da Encriptação de Mensagens do Purview, pode personalizar a configuração da sua implementação de várias formas. Por exemplo, pode configurar se pretende ativar códigos de passe únicos, apresentar o botão Encriptar no Outlook na Web e muito mais. As tarefas neste artigo descrevem como.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Gerir se os destinatários da Conta Google, Yahoo e Microsoft podem utilizar estas contas para iniciar sessão no portal de mensagens encriptadas

Quando configura a encriptação de mensagens, os utilizadores na sua organização podem enviar mensagens aos destinatários fora da sua organização. Se o destinatário utilizar um ID de rede social , como uma conta Google, uma conta Yahoo ou uma conta Microsoft, o destinatário pode iniciar sessão no portal de mensagens encriptadas com um ID de rede social. Se quiser, pode optar por não permitir que os destinatários utilizem IDs de redes sociais para iniciar sessão no portal de mensagens encriptadas.

Para gerir se os destinatários podem utilizar IDs de redes sociais para iniciar sessão no portal de mensagens encriptadas

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o cmdlet Set-OMEConfiguration com o parâmetro SocialIdSignIn da seguinte forma:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>

    Por exemplo, para desativar os IDs sociais:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false

    Para ativar os IDs de redes sociais:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true

Gerir a utilização de códigos de passagem únicos para o portal de mensagens encriptadas

Se o destinatário de uma mensagem encriptada pela encriptação de mensagens não utilizar o Outlook, independentemente da conta utilizada pelo destinatário, o destinatário recebe uma ligação de vista Web de tempo limitado que lhes permite ler a mensagem. Esta ligação inclui um código de passagem único. Como administrador, pode decidir se os destinatários podem utilizar códigos de passagem únicos para iniciar sessão no portal de mensagens encriptadas.

Para gerir se o OME gera códigos de passagem únicos

  1. Utilize uma conta escolar ou profissional que tenha permissões de administrador global na sua organização e ligue-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet Set-OMEConfiguration com o parâmetro OTPEnabled:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>

    Por exemplo, para desativar códigos de passe únicos:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false

    Para ativar códigos de passagem únicos:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true

Gerir a apresentação do botão Encriptar no Outlook na Web

Enquanto administrador, pode gerir se pretende apresentar este botão aos utilizadores finais.

Para gerir se o botão Encriptar aparece no Outlook na Web

  1. Utilize uma conta escolar ou profissional que tenha permissões de administrador global na sua organização e ligue-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet Set-IRMConfiguration com o parâmetro -SimplifiedClientAccessEnabled:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>

    Por exemplo, para desativar o botão Encriptar :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

    Para ativar o botão Encriptar :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

Ativar a desencriptação do lado do serviço de mensagens de e-mail para utilizadores de aplicações de correio iOS

A aplicação de correio iOS não pode desencriptar mensagens protegidas com encriptação de mensagens. Como administrador do Microsoft 365, pode aplicar a desencriptação do lado do serviço para mensagens entregues na aplicação de correio iOS. Quando opta por utilizar a desencriptação do lado do serviço, o serviço envia uma cópia desencriptada da mensagem para o dispositivo iOS. O dispositivo cliente armazena uma cópia desencriptada da mensagem. A mensagem também retém informações sobre direitos de utilização, embora a aplicação de correio iOS não aplique direitos de utilização do lado do cliente ao utilizador. O utilizador pode copiar ou imprimir a mensagem mesmo que não tenha originalmente direitos para o fazer. No entanto, se o utilizador tentar concluir uma ação que requer o servidor de e-mail do Microsoft 365, como reencaminhar a mensagem, o servidor não permitirá a ação se o utilizador não tiver originalmente o direito de utilização para o fazer. No entanto, os utilizadores finais podem contornar a restrição de utilização "Não Reencaminhar" ao reencaminhar a mensagem a partir de uma conta diferente na aplicação de correio iOS. Independentemente de configurar a desencriptação do lado do serviço do correio, os anexos para correio encriptado e protegido por direitos não podem ser visualizados na aplicação de correio iOS.

Se optar por não permitir que as mensagens desencriptadas sejam enviadas aos utilizadores da aplicação de correio iOS, os utilizadores recebem uma mensagem a indicar que não têm direitos para ver a mensagem. Por predefinição, a desencriptação do lado do serviço das mensagens de e-mail não está ativada.

Para obter mais informações e ver a experiência do cliente, consulte Ver mensagens encriptadas no seu iPhone ou iPad.

Para gerir se os utilizadores da aplicação de correio iOS podem ver mensagens protegidas pela encriptação de mensagens

  1. Utilize uma conta escolar ou profissional que tenha permissões de administrador global na sua organização e ligue-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet Set-ActiveSyncOrganizations com o parâmetro AllowRMSSupportForUnenlightenedApps:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>

    Por exemplo, para configurar o serviço para desencriptar mensagens antes de serem enviadas para aplicações sem luz, como a aplicação de correio iOS:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true

    Em alternativa, para configurar o serviço para não enviar mensagens desencriptadas para aplicações sem luz:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false

Observação

As políticas de caixa de correio individuais (OWA/ActiveSync) substituem estas definições (ou seja, se -IRMEnabled estiver definido como Falso dentro da respetiva política de Caixa de Correio do OWA ou a política caixa de correio do ActiveSync, estas configurações não serão aplicadas).

Ativar a desencriptação do lado do serviço de anexos de e-mail para clientes de correio do browser

Normalmente, quando utiliza Office 365 encriptação de mensagens, os anexos são encriptados automaticamente. Como administrador, pode aplicar a desencriptação do lado do serviço para anexos de e-mail que os utilizadores transferem a partir de um browser.

Quando utiliza a desencriptação do lado do serviço, o serviço envia uma cópia desencriptada do ficheiro para o dispositivo. A mensagem ainda está encriptada. O anexo de e-mail também mantém informações sobre direitos de utilização, mesmo que o browser não aplique direitos de utilização do lado do cliente ao utilizador. O utilizador pode copiar ou imprimir o anexo de e-mail mesmo que não tenha originalmente direitos para o fazer. No entanto, se o utilizador tentar concluir uma ação que requer o servidor de correio do Microsoft 365, como reencaminhar o anexo, o servidor não permitirá a ação se o utilizador não tiver originalmente o direito de utilização para o fazer.

Independentemente de configurar a desencriptação do lado do serviço de anexos, os utilizadores não podem ver anexos para e-mails encriptados e protegidos por direitos na aplicação de correio iOS.

Se optar por não permitir anexos de e-mail desencriptados, que é a predefinição, os utilizadores recebem uma mensagem a indicar que não têm direitos para ver o anexo.

Para obter mais informações sobre como o Microsoft 365 implementa a encriptação para e-mails e anexos de e-mail com a opção Encrypt-Only, consulte opção Encriptar Apenas para e-mails.

Para gerir se os anexos de e-mail são desencriptados na transferência a partir de um browser

  1. Utilize uma conta escolar ou profissional que tenha permissões de administrador global na sua organização e ligue-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet Set-IRMConfiguration com o parâmetro DecryptAttachmentForEncryptOnly:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>

    Por exemplo, para configurar o serviço para desencriptar anexos de e-mail quando um utilizador os transfere a partir de um browser:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true

    Para configurar o serviço para deixar anexos de e-mail encriptados tal como estão após a transferência:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false

Certifique-se de que todos os destinatários externos utilizam o portal de mensagens encriptadas para ler correio encriptado

Pode utilizar modelos de imagem corporativa personalizados para forçar os destinatários a receber um wrapper de correio que os direciona para ler e-mails encriptados no portal de mensagens encriptadas em vez de utilizar o Outlook ou Outlook na Web. Poderá querer forçar esta experiência se utilizar quer um maior controlo sobre a forma como os destinatários utilizam o correio que recebem. Por exemplo, se os destinatários externos visualizarem o e-mail no portal Web, pode definir uma data de expiração para o e-mail e pode revogar o e-mail. Estas funcionalidades só são suportadas através do portal de mensagens encriptadas. Pode utilizar a opção Encriptar e a opção Não Reencaminhar ao criar as regras de fluxo de correio.

Utilizar um modelo personalizado para forçar todos os destinatários externos a utilizar o portal de mensagens encriptadas e o e-mail encriptado

  1. Utilize uma conta escolar ou profissional que tenha permissões de administrador global na sua organização e ligue-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Execute o cmdlet New-TransportRule:

    New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"

    em que:

    • mail flow rule name é o nome que pretende utilizar para a nova regra de fluxo de correio.

    • option name é ou EncryptDo Not Forward.

    • template name é o nome que atribuiu ao modelo de imagem corporativa personalizado, por exemplo OME Configuration.

    Para encriptar todos os e-mails externos com o modelo "Configuração OME" e aplicar a opção Encrypt-Only:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

    Para encriptar todos os e-mails externos com o modelo "Configuração OME" e aplicar a opção Não Reencaminhar:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

Personalizar o aspeto das mensagens de e-mail e do portal de mensagens encriptadas

Para obter informações detalhadas sobre como pode personalizar Criptografia de Mensagens do Microsoft Purview para a sua organização, consulte Adicionar a marca da sua organização às suas mensagens encriptadas. Para controlar e revogar mensagens encriptadas, tem de adicionar a sua imagem corporativa personalizada ao portal de mensagens encriptadas.

Desativar Criptografia de Mensagens do Microsoft Purview

Esperamos que não chegue a esse problema, mas se precisar, desativar Criptografia de Mensagens do Microsoft Purview é simples. Primeiro, remova as regras de fluxo de correio que criou que utilizem Criptografia de Mensagens do Microsoft Purview. Para obter informações sobre como remover regras de fluxo de correio, consulte Gerir regras de fluxo de correio. Em seguida, conclua estes passos no Exchange Online PowerShell.

Para desativar Criptografia de Mensagens do Microsoft Purview

  1. Através de uma conta escolar ou profissional que tenha permissões de administrador global na sua organização, ligue-se ao Exchange Online PowerShell. Para obter instruções, confira Conectar-se ao PowerShell do Exchange Online.

  2. Se tiver ativado o botão Encriptar no Outlook na Web, desative-o ao executar o cmdlet Set-IRMConfiguration com o parâmetro SimplifiedClientAccessEnabled. Caso contrário, ignore este passo.

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

  3. Desative o Criptografia de Mensagens do Microsoft Purview ao executar o cmdlet Set-IRMConfiguration com o parâmetro AzureRMSLicensingEnabled definido como falso:

    Set-IRMConfiguration -AzureRMSLicensingEnabled $false