Partilhar via


Perguntas frequentes sobre a criptografia de mensagens

Tem alguma pergunta sobre como funcionam as novas capacidades de proteção de mensagens? Procure uma resposta aqui. Além disso, veja Perguntas mais frequentes sobre a proteção de dados no Azure Proteção de Informações para obter respostas a perguntas sobre o serviço de proteção de dados, o Azure Rights Management, no Azure Proteção de Informações.

O que é Criptografia de Mensagens do Microsoft Purview?

Criptografia de Mensagens do Microsoft Purview combina funcionalidades de encriptação de e-mail e gestão de direitos. As capacidades de gestão de direitos são suportadas pelo Azure Proteção de Informações.

Quem pode utilizar Criptografia de Mensagens do Microsoft Purview?

Pode utilizar Criptografia de Mensagens do Microsoft Purview nas seguintes condições:

  • Se ainda não tiver configurado Office 365 Encriptação de Mensagens (OME) ou Gestão de Direitos de Informação (IRM) para o Exchange.

  • Se configurar o OME e o IRM, pode utilizar estes passos se também estiver a utilizar o serviço Azure Rights Management do Azure Proteção de Informações.

  • Se estiver a utilizar o Exchange com o serviço Active Directory Rights Management (AD RMS), não poderá ativar estas novas capacidades de imediato. Em vez disso, primeiro tem de migrar o AD RMS para o Azure Proteção de Informações. Quando terminar a migração, pode configurar Criptografia de Mensagens do Microsoft Purview com êxito.

    Se optar por continuar a utilizar o AD RMS no local com o Exchange em vez de migrar para o Azure Proteção de Informações, não poderá utilizar Criptografia de Mensagens do Microsoft Purview.

Que subscrições preciso de utilizar Criptografia de Mensagens do Microsoft Purview?

Para utilizar Criptografia de Mensagens do Microsoft Purview, precisa de um dos seguintes planos:

  • Criptografia de Mensagens do Microsoft Purview é oferecido como parte do Office 365 Enterprise E3 e E5, Microsoft 365 Enterprise E3 e E5, Microsoft 365 Business Premium, Office 365 A1, A3 e A5 e Office 365 para o Governo G3 e G5. Não precisa de licenças adicionais para receber as novas capacidades de proteção com tecnologia do Azure Proteção de Informações.

  • Também pode adicionar o Azure Proteção de Informações Plano 1 aos seguintes planos para receber Criptografia de Mensagens do Microsoft Purview: Exchange Plano 1, Exchange Plano 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard ou Office 365 Enterprise E1.

  • Cada utilizador que beneficie de Criptografia de Mensagens do Microsoft Purview precisa de uma licença para utilizar a encriptação de mensagens.

  • Para obter a lista completa, consulte as descrições do serviço Exchange para Criptografia de Mensagens do Microsoft Purview.

Posso utilizar o Exchange com bring your own key (BYOK) no Azure Proteção de Informações?

Sim! A Microsoft recomenda que conclua os passos para configurar o BYOK antes de configurar Criptografia de Mensagens do Microsoft Purview.

Para obter mais informações sobre o BYOK, veja Planear e implementar a chave de inquilino do Azure Proteção de Informações.

O Criptografia de Mensagens do Microsoft Purview e o BYOK com o Azure Proteção de Informações alterar a abordagem da Microsoft a pedidos de dados que não sejam da Microsoft, como intimações?

Não. Criptografia de Mensagens do Microsoft Purview e a opção para fornecer e controlar as suas próprias chaves de encriptação, denominadas BYOK, do Azure Proteção de Informações não foram concebidas para responder a intimações da aplicação da lei. O OME, com BYOK para o Azure Proteção de Informações, foi concebido para organizações focadas na conformidade. A Microsoft leva a sério os pedidos de dados dos clientes. Enquanto fornecedor de serviços cloud, defendemos sempre a privacidade dos seus dados. Caso seja apresentada uma intimação, tentamos sempre redirecionar o pedido diretamente para si para obter as informações. (Leia o blogue de Brad Smith: Proteger os dados dos clientes contra a espionagem do governo). Publicamos periodicamente informações detalhadas do pedido que recebemos. Para obter mais informações sobre pedidos de dados não Microsoft, veja Responder a pedidos governamentais e de aplicação da lei para aceder aos dados dos clientes no Centro de Confiança da Microsoft. Além disso, consulte "Divulgação de Dados do Cliente" nos Termos dos Serviços Online (OST).

Como é que esta funcionalidade está relacionada com as funcionalidades de Encriptação de Mensagens (OME) e Gestão de Direitos de Informação (IRM) Office 365 legadas?

Criptografia de Mensagens do Microsoft Purview é uma evolução das soluções de IRM e OME legadas existentes. A tabela seguinte fornece mais detalhes.

Comparação de OME, IRM e Criptografia de Mensagens do Microsoft Purview legados

Recursos Versões anteriores do OME IRM Criptografia de Mensagem do Microsoft Purview
Enviar um e-mail encriptado Apenas através de regras de fluxo de correio do Exchange O utilizador final foi iniciado a partir do Outlook para Windows, Outlook para Mac ou Outlook na Web; ou através das regras de fluxo de correio do Exchange O utilizador final foi iniciado a partir do Outlook para Windows, Outlook para Mac ou Outlook na Web; ou através de regras de fluxo de correio
Gerenciamento de direitos - Opção Não Reencaminhar e modelos personalizados Opção Não Reencaminhar, opção encriptar apenas, modelos predefinidos e personalizados
Tipo de destinatário suportado Apenas destinatários externos Apenas destinatários internos Destinatários internos e externos
Experiência para destinatários Os destinatários externos receberam uma mensagem HTML a informar que transferiram e abriram num browser ou transferiram uma aplicação móvel. Os destinatários internos só receberam e-mails encriptados no Outlook para Windows, Outlook para Mac e Outlook na Web. Os destinatários internos e externos recebem e-mails no Outlook para Windows, Outlook para Mac, Outlook na Web, Outlook para Android e Outlook para iOS, ou através de um portal Web, independentemente de estarem na mesma organização ou em qualquer organização. O portal de mensagens encriptadas não requer nenhuma transferência separada.
Suporte da Bring Your Own Key Não disponível Não disponível BYOK suportado

Como fazer ativar Criptografia de Mensagens do Microsoft Purview para a minha organização?

O Office 365 Encriptação de Mensagens foi preterido?

Office 365 a Encriptação de Mensagens (OME) foi preterida a 1 de julho de 2023. Está a ser substituído automaticamente por Criptografia de Mensagens do Microsoft Purview. Se tiver uma caixa de correio do remetente ativa, ainda pode ver o correio da OME.

A minha organização utiliza o Active Directory Rights Management. Posso utilizar esta funcionalidade?

Não. Se estiver a utilizar Exchange Online com o serviço Active Directory Rights Management (AD RMS), não poderá ativar estas novas capacidades de imediato. Em vez disso, primeiro tem de migrar o AD RMS para o Azure Proteção de Informações.

A minha organização tem uma implementação híbrida do Exchange. Posso utilizar esta funcionalidade?

Os utilizadores no local podem enviar correio encriptado com Exchange Online regras de fluxo de correio. Tem de encaminhar o e-mail através do Exchange. Para obter mais informações, consulte Parte 2: Configurar o correio para fluir do seu servidor de e-mail para o Microsoft 365.

Que cliente de e-mail preciso de utilizar para criar uma mensagem encriptada? Que aplicações são suportadas para o envio de mensagens protegidas?

Pode criar mensagens protegidas a partir de Outlook 2016, Outlook 2013 para Windows e Mac e a partir de Outlook na Web. Para obter mais informações sobre como enviar mensagens encriptadas, consulte Enviar, ver e responder a mensagens encriptadas no Outlook para PC.

Que clientes de e-mail são suportados para ler e responder a e-mails protegidos?

Os utilizadores do Microsoft 365 podem ler e responder a partir do Outlook para Windows e Mac (2013 e 2016), Outlook na Web e outlook mobile (Android e iOS). Também pode utilizar o cliente de correio nativo do iOS se a sua organização o permitir. Se não for um utilizador do Microsoft 365, pode ler e responder a mensagens encriptadas na Web através do browser.

Que clientes de e-mail suportam os e-mails protegidos apenas por encriptação?

Os utilizadores do Microsoft 365 podem utilizar o Outlook para PC versões 2019 e Microsoft 365 para criar correio protegido com a política apenas de encriptação. As mensagens que têm a política só de encriptação aplicada podem ser lidas diretamente no Outlook na Web, no Outlook para iOS e Android e nas versões 2019 e Microsoft 365 do Outlook para PC.

Existe um limite de tamanho para as mensagens que pode enviar com o OME?

Sim. O tamanho máximo da mensagem que pode enviar com Criptografia de Mensagens do Microsoft Purview, incluindo anexos, é de 25 MB. Para obter mais informações, veja Limites de mensagens.

Existe um limite para o número de destinatários aos quais pode enviar mensagens encriptadas por OME?

Sim. Em alguns casos que têm conectores configurados, como uma implementação Híbrida do Exchange, quando inclui destinatários na linha BCC , os destinatários BCC são removidos antes de o correio ser encriptado. A melhor prática é mover para um Exchange Online ou colocar todos os destinatários nos campos Para: ou CC.

Que tipo de mensagens suporta o portal de mensagens encriptadas?

O portal de mensagens encriptadas só suporta correio. O portal não suporta outros tipos de mensagens, como o calendário ou o voice mail.

Que tipos de ficheiro são suportados como anexos em e-mails protegidos? Os anexos herdam as políticas de proteção e as permissões associadas a e-mails protegidos? E o PDF?

Pode anexar qualquer tipo de ficheiro a um e-mail protegido. As políticas de proteção são aplicadas apenas a um subconjunto dos formatos de ficheiro mencionados em Tipos de ficheiro suportados. Por predefinição, Criptografia de Mensagens do Microsoft Purview encripta as seguintes extensões de ficheiros do Office:

  • docx
  • docm
  • dotx
  • dotm
  • pptx
  • pptm
  • potx
  • potm
  • ppsx
  • ppsm
  • thmx
  • xlsx
  • xlsm
  • xlsb
  • xltx
  • xltm
  • xlam
  • xps

Criptografia de Mensagens do Microsoft Purview não suporta as versões 97-2003 dos seguintes programas do Office: Word (.doc), Excel (.xls) e PowerPoint (.ppt).

Além disso, se estiver ativada no Exchange Online, a encriptação de PDF permite-lhe proteger documentos PDF confidenciais anexados a e-mails. Quando envia um e-mail, o serviço Office 365 encripta anexos de ficheiro PDF para as versões mais recentes do Outlook, incluindo:

  • Outlook (novo) Ambiente de Trabalho
  • Outlook na Web
  • Outlook para Mac
  • Outlook para iOS
  • Outlook para Android

Para ativar a encriptação para anexos PDF, utilizando uma conta escolar ou profissional que tenha a função Gestão de Direitos de Informação no mínimo no seu inquilino, execute o seguinte comando no Exchange Online PowerShell:

   Set-IRMConfiguration -EnablePdfEncryption $true

A proteção é herdada do correio apenas para anexos não encriptados. Se for suportado um formato de ficheiro, como um ficheiro Word, Excel ou PowerPoint, o ficheiro é sempre protegido, mesmo depois de o destinatário transferir o anexo.

Por exemplo, digamos que um anexo está protegido por Não Reencaminhar. O destinatário original transfere o ficheiro, cria uma mensagem para um novo destinatário e anexa o ficheiro. Quando o novo destinatário recebe o ficheiro, não o consegue abrir.

Os anexos do SharePoint ou do OneDrive são suportados?

Not yet. Os anexos do SharePoint ou do OneDrive não são suportados. Pode encriptar uma mensagem de correio, mas não os anexos na nuvem.

Que clientes de e-mail suportam a pré-visualização de anexos encriptados em e-mails protegidos?

Quando os anexos estão protegidos por um e-mail protegido, pode pré-visualizar documentos diretamente através de clientes do Outlook. O Outlook suporta a pré-visualização de documentos do Office (docx, xlsx, pptx, doc, xls, ppt). Outlook na Web suporta a pré-visualização de documentos do Office (docx, xlsx, pptx) e PDF.

Que clientes de e-mail suportam a revogação de e-mails protegidos?

Outlook na Web suporta a revogação de correio protegido. Veja Como revogar uma mensagem encriptada que enviou para obter detalhes.

O portal de mensagens encriptadas suporta a pré-visualização de anexos encriptados em e-mails protegidos?

O portal de mensagens encriptadas suporta a pré-visualização de quaisquer cópias de anexo encriptadas adicionadas ao correio encriptado. Os tipos de ficheiro de suporte incluem ficheiros Word, Excel, PowerPoint e PDF.

Posso encriptar automaticamente mensagens ao configurar políticas?

Sim. Utilize regras de fluxo de correio no Exchange Online para encriptar automaticamente uma mensagem com base em determinadas condições. Por exemplo, pode criar políticas baseadas no ID do destinatário, no domínio do destinatário ou no conteúdo no corpo ou assunto da mensagem. Consulte Definir regras de fluxo de correio para encriptar mensagens de e-mail no Office 365.

Posso remover automaticamente a encriptação no correio recebido e enviado?

Os administradores podem configurar uma regra de fluxo de correio para remover a encriptação para envio de correio. Só pode configurar uma regra para remover a encriptação de correio recebido proveniente da sua organização Exchange Online.

Posso remover automaticamente a encriptação no correio do diário?

Para uma caixa de correio Exchange Online, os administradores têm de ativar a desencriptação de diários e configurar uma regra de diário Exchange Online para gerar uma cópia desencriptada do correio para a caixa de correio de diário. A regra de criação de diários utiliza qualquer correio ou anexo que tenha encriptação e envia o original mais uma cópia desencriptada para a caixa de correio de diário. Só pode configurar uma regra de criação de diários que possa desencriptar correio ou anexos quando o item encriptado tiver origem na sua organização.
Para ativar Exchange Online diário:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Posso encriptar automaticamente mensagens ao configurar políticas na Prevenção de Perda de Dados (DLP) através do portal de conformidade do Microsoft Purview?

Sim! Pode configurar regras de fluxo de correio no Exchange Online ou através do DLP no portal de conformidade do Microsoft Purview.

Posso personalizar mensagens encriptadas com a imagem corporativa da minha empresa?

Sim, para e-mails enviados a partir de uma caixa de correio Exchange Online na sua organização! Para obter informações sobre como personalizar mensagens de e-mail e o portal de mensagens encriptadas, consulte Adicionar a marca da sua organização às suas mensagens encriptadas.

Em que tipos de destinatários funcionam os registos de atividades do portal de mensagens encriptadas?

Os registos de atividades do portal de mensagens encriptadas capturam apenas eventos para destinatários externos ao aceder aos portais de mensagens encriptadas. As atividades nos clientes de e-mail acionadas por destinatários externos não são registadas. Para destinatários internos, consulte a ação MailItemsAccessed mailbox-auditing em Auditoria do Purview (Premium) – Registos acedidos a itens de correio.

Existem capacidades de relatórios ou informações para e-mails encriptados?

Existe um relatório de Encriptação no portal de conformidade do Microsoft Purview. Consulte Ver relatórios de segurança de e-mail no portal de conformidade do Microsoft Purview.

Posso utilizar a encriptação de mensagens com funcionalidades de conformidade, como a Deteção de Dados Eletrónicos?

Sim, a maioria das mensagens protegidas por Criptografia de Mensagens do Microsoft Purview são detetáveis. Criptografia de Mensagens do Microsoft Purview correio protegido que recebe de outra organização do Microsoft 365 que tenha a imagem corporativa personalizada aplicada através de uma regra de fluxo de correio não é detetável pelo seu serviço de Deteção de Dados Eletrónicos. Por outras palavras, se o e-mail não estiver acessível através da caixa de correio do utilizador, mas apenas for apresentado através de uma ligação para o portal de mensagens encriptadas, o e-mail não é pesquisável. Veja Atividades de Deteção de Dados Eletrónicos que suportam itens encriptados para obter detalhes.

Posso enviar como uma caixa de correio partilhada e encriptar e-mails?

Quando uma mensagem de e-mail corresponde a uma regra de fluxo de correio de encriptação, o Exchange encripta a mensagem que a envia.

Posso abrir mensagens encriptadas enviadas para uma caixa de correio partilhada?

Sim! Pode abrir mensagens encriptadas para uma caixa de correio partilhada. Quando o e-mail é enviado a partir da mesma organização, pode abrir o e-mail quando tiver sessão iniciada num cliente do Outlook suportado. Se o e-mail for enviado de uma organização externa, terá de utilizar Outlook na Web.

  • Os utilizadores podem abrir e-mails protegidos numa caixa de correio partilhada onde a caixa de correio partilhada recebeu um e-mail protegido como parte de um grupo de distribuição.

  • Os utilizadores podem ver anexos que herdam a proteção do e-mail quando utilizam o Outlook para Windows, Outlook para Mac, Outlook para Android, Outlook para iOS e Outlook na Web.

A tabela seguinte lista os clientes suportados para caixas de correio partilhadas.

Plataforma Ler correio Ver anexos de e-mail
Outlook na Web Sim Sim
Outlook para Windows Sim Sim*
Outlook para Mac Sim Sim
Outlook para Android Sim Sim*
Outlook para iOS Sim Sim*

Observação

O Android e o iOS utilizam a aplicação office para dispositivos móveis para apresentar anexos encriptados e não apresentam anexos diretamente no Outlook Mobile. O Outlook para Windows pode apresentar anexos encriptados quando o utilizador é diretamente assginado numa caixa de correio partilhada. (Veja abaixo sobre a atribuição de utilizadores.)

Existem atualmente duas limitações conhecidas:

  • Não pode abrir anexos para e-mails que recebe em dispositivos móveis utilizando o Outlook Mobile.

  • Existem duas formas de permitir que um utilizador veja o e-mail encriptado diretamente no Outlook para Windows:

    1. Atribua diretamente um utilizador à caixa de correio partilhada, com permissões de acesso total e mapeamento automático ativado. Para o Outlook de 64 bits, os utilizadores não precisam de ser diretamente atribuídos à caixa de correio. O mapeamento automático está ativado por predefinição para o Exchange.
    2. Atribua um grupo de segurança com capacidade de correio a uma caixa de correio partilhada. Este método requer a versão 2402 do Outlook e só suporta correio gerado após junho de 2024.

Para atribuir um utilizador a uma caixa de correio partilhada

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o Add-MailboxPermission cmdlet com o Automapping parâmetro . Este exemplo dá permissão de acesso total ao Ayla para uma caixa de correio de suporte.

    Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
    

Para atribuir um grupo de segurança com capacidade de correio à caixa de correio partilhada

Para utilizar este método, tem de encriptar correio com as opções de proteção Não Reencaminhar ou Encriptar apenas . Só é possível abrir o correio iniciado pela caixa de correio partilhada ou pelo correio enviado numa organização.

  1. Conectar-se ao Exchange Online PowerShell.

  2. Execute o Add-MailboxPermission cmdlet para atribuir o grupo de segurança. O exemplo seguinte dá ao grupo de segurança de front-desk da Contoso permissão de acesso total a uma caixa de correio de suporte.

    Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
    

O acesso delegado é suportado com a abertura de mensagens encriptadas? Mesmo que um delegado tenha acesso total à caixa de correio de outro utilizador?

Quando os delegados recebem permissão de acesso total à caixa de correio de um utilizador, o acesso delegado de correio encriptado é suportado em Outlook na Web, Outlook para Mac, Outlook para iOS e Outlook para Android. O Outlook para Windows não suporta o acesso delegado.

Durante quanto tempo tenho acesso ao e-mail no portal de mensagens encriptadas?

Pode iniciar sessão no portal de mensagens encriptadas para obter correio, desde que a organização do remetente esteja ativa e o e-mail não esteja configurado para expirar.

O que devo fazer se não receber o código de passe único depois de o ter pedido?

Primeiro, marcar a pasta de lixo ou spam no seu cliente de e-mail. As definições de DKIM e DMARC para a sua organização podem fazer com que estes e-mails acabem por ser filtrados como spam.

Em seguida, marcar quarentena no portal de conformidade. Muitas vezes, as mensagens que contêm um código de passagem único, especialmente as primeiras que a sua organização recebe, acabam em quarentena.