Partilhar via


Microsoft Entra configuração para conteúdo encriptado

Se proteger itens confidenciais, como e-mails e documentos, através da encriptação do Serviço Azure Rights Management de Proteção de Informações do Microsoft Purview, existem algumas configurações Microsoft Entra que podem impedir o acesso autorizado a este conteúdo encriptado.

Da mesma forma, se os seus utilizadores receberem e-mails encriptados de outra organização ou colaborarem com outras organizações que encriptam documentos através do serviço Azure Rights Management, os seus utilizadores poderão não conseguir abrir esse e-mail ou documento devido à forma como o respetivo Microsoft Entra ID está configurado.

Por exemplo:

  • Um utilizador não consegue abrir e-mails encriptados enviados de outra organização. Em alternativa, um utilizador comunica que os destinatários de outra organização não podem abrir um e-mail encriptado que lhes tenham enviado.

  • A sua organização colabora com outra organização num projeto conjunto e os documentos do projeto são protegidos ao encriptá-los, concedendo acesso através de grupos no Microsoft Entra ID. Os utilizadores não podem abrir os documentos encriptados pelos utilizadores na outra organização.

  • Os utilizadores podem abrir com êxito um documento encriptado quando estão no escritório, mas não podem quando tentam aceder a este documento remotamente e é-lhes pedida a autenticação multifator (MFA).

Para garantir que o acesso ao serviço de encriptação não é bloqueado inadvertidamente, utilize as secções seguintes para ajudar a configurar o Microsoft Entra ID da sua organização ou reencaminhar as informações para um administrador Microsoft Entra noutra organização. Sem acesso a este serviço, os utilizadores não podem ser autenticados e autorizados a abrir conteúdo encriptado.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Definições de acesso entre inquilinos e conteúdo encriptado

Importante

As definições de acesso entre inquilinos de outra organização podem ser responsáveis por os respetivos utilizadores não conseguirem abrir o conteúdo que os seus utilizadores encriptaram ou por os seus utilizadores não conseguirem abrir conteúdo encriptado pela outra organização.

A mensagem que os utilizadores veem indica que organização bloqueou o acesso. Poderá ter de direcionar o administrador Microsoft Entra de outra organização para esta secção.

Por predefinição, não há nada a configurar para que a autenticação entre inquilinos funcione quando os utilizadores protegem o conteúdo através da encriptação do serviço Azure Rights Management. No entanto, a sua organização pode restringir o acesso através das definições de acesso entre inquilinos Microsoft Entra Identidades Externas. Por outro lado, outra organização também pode configurar estas definições para restringir o acesso aos utilizadores na sua organização. Estas definições afetam a abertura de quaisquer itens encriptados, que incluem e-mails encriptados e documentos encriptados.

Por exemplo, outra organização pode ter definições configuradas que impedem os utilizadores de abrir conteúdo encriptado pela sua organização. Neste cenário, até que o administrador Microsoft Entra reconfigure as respetivas definições entre inquilinos, um utilizador externo que tente abrir esse conteúdo verá uma mensagem a informá-lo de que o Access está bloqueado pela sua organização com uma referência a O administrador inquilino.

Mensagem de exemplo para o utilizador com sessão iniciada na organização Fabrikam, Inc, quando o respetivo Microsoft Entra ID local bloqueia o acesso:

Mensagem de exemplo quando o inquilino local Microsoft Entra bloqueia o acesso a conteúdos encriptados.

Os seus utilizadores verão uma mensagem semelhante quando for o seu Microsoft Entra configuração que bloqueia o acesso.

Do ponto de vista do utilizador com sessão iniciada, se for outra Microsoft Entra organização responsável por bloquear o acesso, a mensagem é bloqueada pela organização e apresenta o nome de domínio dessa outra organização no corpo da mensagem. Por exemplo:

Mensagem de exemplo quando outro inquilino Microsoft Entra bloqueia o acesso a conteúdos encriptados.

Sempre que as definições de acesso entre inquilinos restringem o acesso por aplicações, têm de ser configuradas para permitir o acesso ao serviço de gestão de direitos, que tem o seguinte ID de aplicação:

00000012-0000-0000-c000-000000000000

Se este acesso não for permitido, os utilizadores não podem ser autenticados e autorizados a abrir conteúdo encriptado. Esta configuração pode ser definida como predefinição e como uma definição organizacional:

  • Para permitir a partilha de conteúdos encriptados com outra organização, crie uma definição de entrada que permita o acesso ao Microsoft Azure Proteção de Informações (ID: 00000012-0000-0000-c000-00000000000).

  • Para permitir o acesso a conteúdos encriptados que os utilizadores recebem de outras organizações, crie uma definição de saída que permita o acesso ao Microsoft Azure Proteção de Informações (ID: 00000012-0000-0000-c000-00000000000)

Quando estas definições são configuradas para o serviço de encriptação, a aplicação apresenta o Microsoft Rights Management Services.

Para obter instruções para configurar estas definições de acesso entre inquilinos, veja Configurar definições de acesso entre inquilinos para colaboração B2B.

Se também tiver configurado Microsoft Entra políticas de Acesso Condicional que requerem autenticação multifator (MFA) para os utilizadores, veja a secção seguinte sobre como configurar o Acesso Condicional para conteúdo encriptado.

Políticas de Acesso Condicional e documentos encriptados

Se a sua organização tiver implementado Microsoft Entra políticas de Acesso Condicional que incluem os Serviços de Gestão de Direitos da Microsoft e a política se estende a utilizadores externos que precisam de abrir documentos encriptados pela sua organização:

  • Para utilizadores externos que tenham uma conta Microsoft Entra no seu próprio inquilino, recomendamos que utilize as definições de acesso entre inquilinos de Identidades Externas para configurar definições de confiança para afirmações de MFA de uma, muitas ou de todas as organizações de Microsoft Entra externas.

  • Para utilizadores externos não abrangidos pela entrada anterior, por exemplo, utilizadores que não tenham uma conta Microsoft Entra ou que não tenham configurado definições de acesso entre inquilinos para definições de confiança, estes utilizadores externos têm de ter uma conta de convidado no seu inquilino.

Sem uma destas configurações, os utilizadores externos não conseguirão abrir o conteúdo encriptado e verão uma mensagem de erro. O texto da mensagem pode informá-lo de que a conta tem de ser adicionada como um utilizador externo no inquilino, com a instrução incorreta para este cenário para Terminar sessão e iniciar sessão novamente com uma conta de utilizador Microsoft Entra diferente.

Se não conseguir cumprir estes requisitos de configuração para utilizadores externos que precisam de abrir conteúdo encriptado pela sua organização, tem de remover o Microsoft Azure Proteção de Informações das políticas de Acesso Condicional ou excluir utilizadores externos das políticas.

Para obter mais informações, veja a pergunta mais frequente, vejo que o Azure Proteção de Informações está listado como uma aplicação na cloud disponível para acesso condicional– como é que isto funciona?

Contas de convidado para utilizadores externos abrirem documentos encriptados

Poderá precisar de contas de convidado no inquilino Microsoft Entra para que os utilizadores externos abram documentos encriptados pela sua organização. Opções para criar as contas de convidado:

  • Crie estas contas de convidado manualmente. Especifique qualquer endereço de email já usado por esses usuários. Por exemplo, o endereço do Gmail.

    A vantagem dessa opção é que você pode restringir o acesso e os direitos a usuários específicos, definindo o endereço de email nas configurações de criptografia. A desvantagem é a sobrecarga administrativa na criação da conta e na coordenação com a configuração do rótulo.

  • Utilize a integração do SharePoint e do OneDrive com Microsoft Entra B2B para que as contas de convidado sejam criadas automaticamente quando os seus utilizadores partilharem ligações.

    A vantagem dessa opção é a sobrecarga administrativa mínima, pois as contas são criadas automaticamente e a configuração do rótulo é mais simples. Nesse cenário, selecione a opção de criptografia Adicionar qualquer usuário autenticado, pois você não saberá os endereços de email com antecedência. O lado negativo é que essa configuração não permite restringir o acesso e os direitos de uso a usuários específicos.

Os usuários externos também podem usar uma conta Microsoft para abrir documentos criptografados ao usar o Windows e o Microsoft 365 Apps (anteriormente, aplicativos do Office 365) ou a edição autônoma do Office 2019. Mais recentemente com suporte para outras plataformas, as contas Microsoft também têm suporte para a abertura de documentos criptografados no macOS (Microsoft 365 Apps, versão 16.42+), no Android (versão 16.0.13029+) e no iOS (versão 2.42+).

Por exemplo, um usuário na organização compartilha um documento criptografado com um usuário de fora da organização, e as configurações de criptografia especificam um endereço de email do Gmail para o usuário externo. Esse usuário externo pode criar sua própria conta Microsoft que usa seu endereço de email do Gmail. Em seguida, após entrar com essa conta, será possível abrir o documento e editá-lo, de acordo com as restrições de uso especificadas para eles. Para um exemplo passo a passo desse cenário, confira Abrir e editar o documento protegido.

Observação

O endereço de email da conta Microsoft deve corresponder ao endereço de email especificado para restringir o acesso às configurações de criptografia.

Quando um usuário com uma conta Microsoft abre um documento criptografado dessa forma, ele cria automaticamente uma conta de convidado para o locatário se uma conta de convidado com o mesmo nome ainda não existir. Quando a conta de convidado existe, pode ser utilizada para abrir documentos no SharePoint e no OneDrive através de Office para a Web, além de abrir documentos encriptados a partir do ambiente de trabalho suportado e das aplicações móveis do Office.

No entanto, a conta de convidado automática não é criada imediatamente nesse cenário, devido à latência de replicação. Se especificar endereços de e-mail pessoais como parte das suas definições de encriptação, recomendamos que crie contas de convidado correspondentes no Microsoft Entra ID. Em seguida, informe a esses usuários que eles devem usar essa conta para abrir um documento criptografado da organização.

Dica

Uma vez que não tem a certeza de que os utilizadores externos irão utilizar uma aplicação cliente do Office suportada, a partilha de ligações do SharePoint e do OneDrive após a criação de contas de convidado (para utilizadores específicos) ou quando utiliza a integração do SharePoint e do OneDrive com Microsoft Entra B2B (para qualquer utilizador autenticado) é um método mais fiável para suportar a colaboração segura com utilizadores externos.

Próximas etapas

Para obter as configurações de adição que poderá ter de efetuar, veja Restringir o acesso a um inquilino. Específico da configuração da infraestrutura de rede para o serviço Azure Rights Management, veja Firewalls e infraestrutura de rede.

Se utilizar etiquetas de confidencialidade para encriptar documentos e e-mails, poderá estar interessado em Suporte para utilizadores externos e conteúdos etiquetados para compreender que definições de etiqueta se aplicam entre inquilinos. Para obter orientações de configuração para as definições de encriptação de etiquetas, veja Restringir o acesso ao conteúdo através de etiquetas de confidencialidade para aplicar a encriptação.

Está interessado em saber como e quando o serviço de encriptação é acedido? Veja Instruções sobre como funciona o Azure RMS: Primeira utilização, proteção de conteúdo, consumo de conteúdo.