Recursos de criptografia de gerenciamento de cliente
Para obter mais informações sobre estas tecnologias, consulte as descrições do serviço Microsoft 365.
Dica
Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.
Azure Rights Management
O Azure Rights Management (Azure RMS) é a tecnologia de proteção utilizada pelo Azure Proteção de Informações. Utiliza políticas de encriptação, identidade e autorização para ajudar a proteger os seus ficheiros e e-mails em várias plataformas e dispositivos: telemóveis, tablets e PCs. As informações podem ser protegidas dentro e fora da sua organização porque a proteção permanece com os dados. O Azure RMS fornece proteção persistente de todos os tipos de ficheiro, protege ficheiros em qualquer lugar, suporta colaboração empresa-empresa e uma vasta gama de dispositivos Windows e não Windows. A proteção do Azure RMS também pode aumentar as políticas de prevenção de perda de dados (DLP). Para obter mais informações sobre que aplicações e serviços podem utilizar o serviço Azure Rights Management do Azure Proteção de Informações, veja Como as aplicações suportam o serviço Azure Rights Management.
O Azure RMS está integrado no Microsoft 365 e está disponível para todos os clientes. Para configurar o Microsoft 365 para utilizar o Azure RMS, veja Configurar a IRM para utilizar o Azure Rights Management e Configurar a Gestão de Direitos de Informação (IRM) no centro de administração do SharePoint. Se operar Active Directory local servidor RMS (AD), também pode configurar a IRM para utilizar um servidor do AD RMS no local, mas recomendamos vivamente que migre para o Azure RMS para utilizar novas funcionalidades, como a colaboração segura com outras organizações.
Quando protege os dados dos clientes com o Azure RMS, o Azure RMS utiliza uma chave assimétrica RSA de 2048 bits com algoritmo hash SHA-256 para integridade para encriptar os dados. A chave simétrica para documentos e e-mail do Office é AES de 128 bits. Para cada documento ou e-mail protegido pelo Azure RMS, o Azure RMS cria uma única chave AES (a "chave de conteúdo") e essa chave é incorporada no documento e persiste através das edições do documento. A chave de conteúdo está protegida com a chave RSA da organização (a "chave de inquilino do Azure Proteção de Informações") como parte da política no documento e a política também é assinada pelo autor do documento. Esta chave de inquilino é comum a todos os documentos e e-mails protegidos pelo Azure RMS para a organização e esta chave só pode ser alterada por um administrador do Azure Proteção de Informações se a organização estiver a utilizar uma chave de inquilino gerida pelo cliente. Para obter mais informações sobre os controlos criptográficos utilizados pelo Azure RMS, veja Como funciona o Azure RMS? Debaixo dos bastidores.
Numa implementação predefinida do Azure RMS, a Microsoft gera e gere uma chave de raiz exclusiva para cada inquilino. Os clientes podem gerir o ciclo de vida da chave raiz no Azure RMS com o Azure Key Vault Services através de um método de gestão de chaves denominado Bring Your Own Key (BYOK) que lhe permite gerar a sua chave em HSMs no local (módulos de segurança de hardware) e manter o controlo desta chave após a transferência para os HSMs validados por FIPS 140-2 de Nível 2 da Microsoft. O acesso à chave de raiz não é dado a qualquer pessoal, uma vez que as chaves não podem ser exportadas ou extraídas dos HSMs que as protegem. Além disso, pode aceder a um registo quase em tempo real que mostre todo o acesso à chave raiz em qualquer altura. Para obter mais informações, veja Registo e Análise da Utilização do Azure Rights Management.
O Azure Rights Management ajuda a mitigar ameaças como escutas telefónicas, ataques man-in-the-middle, roubo de dados e violações não intencionais de políticas de partilha organizacional. Ao mesmo tempo, qualquer acesso injustificado dos dados dos clientes em trânsito ou inativos por um utilizador não autorizado que não tenha as permissões adequadas é impedido através de políticas que seguem esses dados, atenuando assim o risco de esses dados ficarem em mãos erradas, quer de forma consciente ou desconhecida, quer fornecendo funções de prevenção de perda de dados. Se for utilizado como parte do Azure Proteção de Informações, o Azure RMS também fornece capacidades de Classificação e etiquetagem de Dados, marcação de conteúdo, controlo de acesso a documentos e capacidades de revogação de acesso. Para saber mais sobre estas capacidades, veja O que é o Azure Proteção de Informações, o plano de implementação do Azure Proteção de Informações e o Tutorial de início rápido do Azure Proteção de Informações.
Secure Multipurpose Internet Mail Extension
As Extensões de Correio da Internet (S/MIME) Seguras/Multiusos são uma norma para encriptação de chaves públicas e assinatura digital de dados MIME. S/MIME é definido em RFCs 3369, 3370, 3850, 3851 e outros. Permite que um utilizador encripte um e-mail e assine digitalmente um e-mail. Um e-mail encriptado através de S/MIME só pode ser desencriptado pelo destinatário do e-mail através da respetiva chave privada, que só está disponível para esse destinatário. Como tal, os e-mails não podem ser desencriptados por ninguém além do destinatário do e-mail.
A Microsoft suporta S/MIME. Os certificados públicos são distribuídos para o Active Directory local do cliente e armazenados em atributos que podem ser replicados para um inquilino do Microsoft 365. As chaves privadas que correspondem às chaves públicas permanecem no local e nunca são transmitidas para Office 365. Os utilizadores podem compor, encriptar, desencriptar, ler e assinar digitalmente e-mails entre dois utilizadores numa organização através do Outlook, Outlook na Web e Exchange ActiveSync clientes.
Criptografia de Mensagem do Office 365
Office 365 Encriptação de Mensagens (OME) criada com base no Azure Proteção de Informações (AIP) permite-lhe enviar correio encriptado e protegido por direitos a qualquer pessoa. A OME mitiga ameaças como escutas telefónicas e ataques man-in-the-middle e outras ameaças, como o acesso injustificado de dados por um utilizador não autorizado que não tem as permissões adequadas. Fizemos investimentos que lhe proporcionam uma experiência de e-mail mais simples, intuitiva e segura, criada com base no Azure Proteção de Informações. Pode proteger mensagens enviadas do Microsoft 365 para qualquer pessoa dentro ou fora da sua organização. Estas mensagens podem ser visualizadas num conjunto diversificado de clientes de correio com qualquer identidade, incluindo Microsoft Entra ID, Conta Microsoft e IDs google. Para obter mais informações sobre como a sua organização pode utilizar mensagens encriptadas, consulte Office 365 Encriptação de Mensagens.
Protocolo TLS
Se quiser garantir uma comunicação segura com um parceiro, pode utilizar conectores de entrada e saída para fornecer segurança e integridade de mensagens. Pode configurar o TLS de entrada e saída forçados em cada conector através de um certificado. A utilização de um canal SMTP encriptado pode impedir que os dados sejam roubados através de um ataque man-in-the-middle. Para obter mais informações, veja How Exchange Online uses TLS to secure email connections (Como Exchange Online utiliza o TLS para proteger as ligações de e-mail).
Domain Keys Identified Mail (DKIM)
O Exchange Online Protection (EOP) e o Exchange Online suportam validação de entrada de mensagens de Email Identificado por Chaves de Domínio (DKIM). O DKIM é um método para validar que uma mensagem foi enviada do domínio do qual diz ter origem e que não foi falsificada por outra pessoa. Liga uma mensagem de e-mail à organização responsável pelo envio e faz parte de um paradigma maior de encriptação de e-mail. Para obter mais informações sobre as três partes deste paradigma, consulte: