Proteger mensagens e documentos confidenciais usando o Gerenciamento de Direitos de Informação (IRM) no Office 2016

Resumo: Use o IRM (Gerenciamento de Direitos de Informação) no Office 2016 para especificar permissão para acessar e usar documentos e mensagens confidenciais.

O IRM permite que indivíduos e administradores especifiquem quem pode acessar documentos, pastas de trabalho e apresentações. Isso ajuda a impedir que informações confidenciais sejam impressas, encaminhadas ou copiadas por pessoas não autorizadas. Este artigo contém um resumo da tecnologia IRM e como ela funciona em aplicativos do Office, juntamente com links para obter mais informações sobre como configurar e instalar o software necessário para implementar o IRM no Office 2016.

Visão geral do IRM

O Azure Rights Management e o Active Directory Rights Management são tecnologias persistentes de proteção de informações no nível do documento da Microsoft. Eles usam permissões e autorização para ajudar a impedir que informações confidenciais sejam impressas, encaminhadas ou copiadas por usuários autorizados ou acessadas por pessoas não autorizadas. Depois de restringir a permissão para um documento ou mensagem com IRM, as restrições de uso viajam com o documento ou a mensagem de email como parte do conteúdo do arquivo. Microsoft Office implementa o suporte para essas tecnologias usando recursos do IRM (Gerenciamento de Direitos de Informação).

A capacidade de criar documentos ou mensagens de email com permissão restrita usando IRM está disponível no Office Professional Plus 2016 e Microsoft 365 Apps para Grandes Empresas e nas versões autônomas do Excel 2016, Outlook 2016, PowerPoint 2016, InfoPath 2016 e Word 2016. O conteúdo do IRM criado no Office 2016 pode ser exibido no Office 2007, Office 2010, Office 2013 ou Office 2016.

Para obter mais informações sobre os recursos do IRM e do Active Directory Rights Management Services (AD RMS) com suporte no Office 2016, Office 2013, Office 2010 e Office 2007, consulte AD RMS e Microsoft Office Considerações sobre implantação. Para obter informações sobre o IRM e o Azure RMS, confira como os aplicativos dão suporte ao Azure Rights Management e o que é o Azure Rights Management.

O suporte a IRM no Office 2016 ajuda organizações e trabalhadores do conhecimento a atender a duas necessidades fundamentais:

  • Permissões restritas para informações confidenciais O IRM ajuda a proteger informações confidenciais contra acesso e reutilização não autorizados. As organizações dependem de firewalls, medidas relacionadas à segurança de logon e outras tecnologias de rede para ajudar a proteger a propriedade intelectual confidencial. No entanto, uma limitação básica do uso dessas tecnologias é que os usuários legítimos que têm acesso às informações podem compartilhá-los com pessoas não autorizadas. Isso pode levar a uma possível violação de políticas de segurança.

  • Privacidade, controle e integridade de informações Os operadores de informações geralmente trabalham com informações confidenciais ou confidenciais. Ao usar o IRM, os funcionários não precisam depender da discrição de outras pessoas para garantir que materiais confidenciais permaneçam dentro da empresa. O IRM impede que os usuários possam encaminhar, copiar ou imprimir informações confidenciais desabilitando essas funções em documentos e mensagens que usam permissões restritas.

Para gerentes de TI (tecnologia da informação), o IRM ajuda a habilitar a imposição de políticas corporativas existentes sobre confidencialidade de documentos, fluxo de trabalho e retenção de email. Para executivos e agentes de segurança, o IRM reduz o risco de que as principais informações da empresa caiam nas mãos das pessoas erradas, seja por acidente, insuidade ou por intenção mal-intencionada.

Como o IRM funciona no Office 2016

Office usuários aplicam permissões a mensagens ou documentos usando opções no menu Arquivo; por exemplo, usando a opção Restringir Acesso, em Informações, Proteger Documento. As opções de proteção disponíveis são baseadas em Modelos de Política de Direitos que você pode personalizar para sua organização. Os Modelos de Política de Direitos são grupos de direitos de IRM que você empacota em uma política predefinida que os usuários podem aplicar aos seus documentos. Office 2016 também fornece uma opção predefinida Não Encaminhar que concede direitos específicos aos destinatários de um email. Para saber mais sobre modelos do Rights Policy, consulte Configurando e gerenciando modelos para o Azure Proteção de Informações.

Observação

Além de usar as opções no menu Arquivo, os usuários podem selecionar Compartilhar Protegido na faixa de opções Office quando você instala o aplicativo de compartilhamento Rights Management para Windows. Esse aplicativo também permite funcionalidades adicionais, como a capacidade de acompanhar o consumo de documentos compartilhados. Para obter mais informações, consulte Rights Management Sharing Application for Windows.

Para proteger um documento no Office 2016 usando o IRM, você deve ter um AD RMS local ou uma assinatura do Azure RMS como parte do Office 365 ou como um serviço autônomo.

Usando IRM com Active Directory Rights Management Services

Habilitar o IRM em sua organização requer acesso a um computador que executa o Active Directory Rights Management Services (AD RMS) para Windows Server 2012 ou Windows Server 2012 R2 ou para um locatário de nuvem com uma assinatura do Azure RMS. As permissões são impostas usando a autenticação, normalmente usando Active Directory Domain Services (AD DS) ou Azure Active Directory.

As organizações podem definir as políticas de permissões que aparecem Office aplicativos criando modelos de política de direitos. Por exemplo, você pode definir um modelo de política de direitos chamado Marketing Confidencial, que especifica que documentos ou mensagens de email que usam a política só podem ser abertos por usuários dentro desse departamento. Embora não haja limite para o número de políticas de permissão que podem ser criadas, o Office só pode exibir até 20 modelos de política por vez. O Azure Rights Management fornece dois modelos predefinido em toda a organização aos quais você pode adicionar seus próprios modelos personalizados ou, como alternativa, desabilitar os modelos se desejar.

Com o AD RMS Windows Server 2012, os usuários podem compartilhar documentos protegidos por direitos entre empresas que têm uma relação de confiança federada. Para obter mais informações, Active Directory Rights Management Services visão geral e federação do AD RMS. Com o Azure RMS, a capacidade de colaborar com segurança entre organizações é interna e não exige que você conclua nenhuma configuração especial.

Embora a capacidade de criar e consumir emails protegidos no Outlook 2016 não exija nenhuma configuração especial no servidor de email, o Exchange Server 2016 oferece funcionalidade de email adicional protegida por IRM, incluindo proteção RMS para mensagens de caixa postal de Unificação de Mensagens e regras de proteção do Microsoft Outlook que podem aplicar automaticamente a proteção de IRM às mensagens Outlook 2016 antes de deixar o cliente microsoft Outlook. Além disso, habilitar a integração do IRM no Exchange Server permite que os usuários criem e consumam emails protegidos no Outlook Web App e em dispositivos móveis habilitados para IRM do Exchange ActiveSync. Para obter mais informações, Gerenciamento de Direitos de Informação Exchange 2016.

Configurando o IRM para Office 2016

A aplicação de permissões irM a documentos ou mensagens de email requer o seguinte:

  • Acesso ao AD RMS para Windows Server 2012 ou Windows Server 2012 R2 ou ao Azure Rights Management para obter licenças para consumir conteúdo.

  • Software cliente do Rights Management. Este software cliente está incluído no Windows Vista e versões posteriores. Os aplicativos de compartilhamento rights management fornecem um complemento opcional que aprimora a funcionalidade de IRM no Office.

  • Microsoft Office 2007, Office 2010, Office 2013 ou Office 2016. Somente edições específicas do Office permitem que os usuários criem permissões de IRM.

Configurando o acesso ao servidor RMS

O AD RMS e o Azure RMS gerenciam o licenciamento e outras funções de servidor que funcionam com o IRM para fornecer gerenciamento de direitos a aplicativos cliente, como o Office 2016. Um programa cliente habilitado para RMS, como o Office 2016, permite que os usuários criem e exibam conteúdo protegido por direitos.

Configurando o Rights Management no cliente

O software cliente RMS está incluído no Windows Vista, Windows 7, Windows 8.1 e Windows 10. Para habilitar a funcionalidade de IRM adicional no Office usando o aplicativo RMS sharing, os usuários podem instalá-lo por conta própria ou os administradores podem implantá-lo automaticamente para os usuários.

Observação

Windows vista e Windows 7 não têm mais suporte.

Definindo e implantando modelos de política de direitos para Office 2016

Como no Office 2007, no Office 2010 e no Office 2013, o Office 2016 inclui a opção para que os usuários apliquem direitos individuais a documentos e mensagens, como Leitura e Alteração no Word 2016, Excel 2016, PowerPoint 2016 e Visio 2016. No Outlook você pode usar a opção Não Encaminhar que permite compartilhar emails com confiança, concedendo apenas direitos limitados aos destinatários pretendido da mensagem. Você também pode definir modelos de política de direitos personalizados para sua organização que são implantados em clientes automaticamente para que eles possam ser aplicados pelos usuários com um clique.

Você cria e gerencia modelos de política de direitos usando o site de administração no servidor RMS ou AD RMS. Para obter informações sobre como criar, configurar e postar modelos de política personalizados, consulte o Guia passo a passo de implantação de modelos de política do AD RMS Rights Policy.

Os direitos que você pode incluir em modelos de política de permissões para Office 2016 estão listados nas seções a seguir.

Direitos de IRM

Cada direito de IRM listado na tabela a seguir pode ser imposto por aplicativos do Office 2016 configurados para funcionar com o AD RMS ou o Azure RMS.

Direitos de permissões do IRM

Direito do IRM Descrição
Controle total
Concede ao usuário todos os direitos listados nesta tabela e o direito de alterar as permissões associadas ao conteúdo. A expiração não se aplica aos usuários que têm Controle Total.
Exibir
Permite que o usuário abra o conteúdo do IRM. Isso corresponde ao Acesso de Leitura na interface do Office 2016.
Editar
Permite que o usuário modifique o conteúdo do documento. Isso inclui a capacidade de classificar e filtrar conteúdo em Excel.
Salvar
Permite que o usuário salve um arquivo.
Extrair
Permite que o usuário faça uma cópia de qualquer parte de um arquivo e cole essa parte do arquivo na área de trabalho de outro aplicativo.
Exportar
Permite que o usuário salve o conteúdo em outro formato de arquivo usando o comando Salvar como . Dependendo do aplicativo que usa o formato de arquivo selecionado, o conteúdo pode ser salvo sem proteção.
Imprimir
Permite que o usuário imprima o conteúdo de um arquivo.
Permitir Macros
Permite ao usuário executar macros no conteúdo de um arquivo, bem como executar acesso programático ao conteúdo de outros aplicativos e vincular ao conteúdo entre planilhas.
Encaminhar
Permite que um destinatário de email encaminhe uma mensagem de email do IRM e adicione ou remova destinatários das linhas Para: e Cc:. Esse direito não implica a capacidade de conceder direitos a usuários adicionais e, mesmo que um usuário seja encaminhado o conteúdo, se esse usuário não receber direitos pelo modelo, o usuário será impedido de abrir o conteúdo. Não conceder esse direito em um modelo não é equivalente a usar a opção Não Encaminhar no Outlook, pois essa opção concede direitos somente aos usuários especificados nas linhas Para: e Cc: do email.
Responder
Permite que os destinatários de email respondam a uma mensagem de email do IRM.
Responder a Todos
Permite que os destinatários de email respondam a todos os usuários nas linhas Para: e Cc: de uma mensagem de email do IRM.
Direitos de Exibição
Concede ao usuário permissão para exibir os direitos associados a um arquivo. Office ignora esse direito.

Grupos predefinidos de permissões

Office 2016 fornece os seguintes grupos predefinidos de direitos que os usuários podem escolher ao criar conteúdo IRM. As opções estão disponíveis na caixa de diálogo Permissão para Word 2016, Excel 2016, PowerPoint 2016 e Visio 2016. No aplicativo Office, selecione a guia Arquivo, escolha Informações, escolha o botão Proteger Documento, selecione Restringir Acesso e escolha entre os modelos de política de direitos listados ou escolha Acesso Restrito. Se você escolher Acesso Restrito, receberá a opção de selecionar um dos grupos de permissões predefinidos para cada usuário individual.

Grupos de permissões de leitura/alteração predefinidos

Grupo predefinido de IRM Descrição
Leitura
Os usuários que têm permissão de Leitura têm direitos de exibição.
Alteração
Os usuários que têm a permissão Alterar têm direitos para Exibir, Editar, Extrair e Salvar.

Nesse Outlook 2016, os usuários podem selecionar o seguinte grupo predefinido de direitos ao criar um item de email. Para acessar a opção do item de email, escolha Arquivo**, Informações** e, em seguida, Definir Permissões. Em seguida, escolha entre os Modelos de Política de Direitos listados, que são preenchidos pelo servidor ou serviço do Rights Management, ou escolha Não Encaminhar, que implementa os direitos a seguir.

Grupo predefinido "Não encaminhar"

Grupo predefinido de IRM Descrição
Não Encaminhar
No Outlook, Não Encaminhar para um email concede aos usuários os direitos Para:, Cc:e Cco: linhas dos direitos Exibir, Editar, Responder e Responder a Todos.

Permissões avançadas

No Word 2016, outras permissões de IRM podem ser especificadas para partes de um documento. Em Informações, Proteger Documento**, escolha Restringir** Edição e selecione a opção Mais Usuários para adicionar usuários com direitos para editar as seções indicadas de um documento. Para obter ainda mais opções de restrição, escolha Restringir permissão na parte inferior do painel Restringir Edição . Por exemplo, os usuários podem especificar uma data de validade, impedir que outros usuários imprimam ou copiem conteúdo e assim por diante.

Definindo configurações de IRM para Office 2016

Você pode bloquear muitas configurações para personalizar o IRM usando o Office Política de Grupo (Office). Use este Política de Grupo para configurar objetos Política de Grupo no Active Directory e não deve ser confundido com os modelos de política de direitos. Além disso, há opções de configuração de IRM que só podem ser definidas usando as configurações de chave do Registro.

Office configurações do IRM 2016

As configurações que você pode definir para IRM Política de Grupo listadas na tabela a seguir. No Política de Grupo, essas configurações estão em Configuração do Usuário\Políticas\Modelos Administrativos\Microsoft Office 2016\Gerenciar Permissões Restritas.

Configurações de IRM para Política de Grupo

Opção IRM Descrição
Tempo limite do Active Directory para consultar uma entrada para expansão de grupo
Especifique o valor de tempo limite para consultar uma entrada do Active Directory quando você expandir um grupo.
URL de solicitação de permissões adicionais
Especifique o local em que um usuário pode obter mais informações sobre como acessar o conteúdo do IRM ao consumir conteúdo protegido neste cliente.
Sempre expandir grupos em Office permissão de restrição para documentos
O nome do grupo é expandido automaticamente para exibir todos os membros do grupo quando os usuários aplicam permissões a um documento selecionando um nome de grupo na caixa de diálogo Permissão.
Sempre exija que os usuários se conectem para verificar a permissão
Os usuários que abrem um documento gerenciado por direitos Office devem se conectar ao serviço RMS para verificar se ainda têm direito de consumir o conteúdo adquirindo uma nova licença irm.
Nunca permitir que os usuários especifiquem grupos ao restringir a permissão para documentos
Retornar um erro quando os usuários selecionarem um grupo na caixa de diálogo Permissão: ''Você não pode publicar conteúdo em Listas de Distribuição. Você só pode especificar endereços de email para usuários individuais.''
Impedir que os usuários alterem a permissão no conteúdo gerenciado por direitos
Se habilitado, os usuários podem consumir conteúdo que já inclui permissões de IRM, mas não podem aplicar permissões de IRM ao novo conteúdo nem configurar os direitos em um documento.
Desativar a interface do usuário do Gerenciamento de Direitos de Informação
Desabilite todas as opções relacionadas ao Rights Management na interface do usuário de todos os Office aplicativos.

Office de chave do Registro IRM 2016

As configurações que você pode definir para IRM no Registro são listadas nas tabelas a seguir.

As seguintes configurações do Registro IRM estão localizadas em HKCU\Software\Microsoft\Office\16.0\Common\DRM.

Opções de chave do Registro irm

Entrada do Registro Tipo Valor Descrição
RequestPermission
DWORD
1 = A caixa está marcada.

0 = A caixa está desmarcada.
Essa chave do Registro alterna o valor padrão dos Usuários que podem solicitar permissões adicionais na caixa de seleção.
DoNotUseOutlookByDefault
DWORD
0 = O microsoft Outlook é usado

1 = O microsoft Outlook não é usado
A caixa de diálogo Permissão usa o Microsoft Outlook para validar endereços de email inseridos nessa caixa de diálogo. Isso faz com que uma instância do Microsoft Outlook seja iniciada ao restringir permissões. Desabilite a opção usando essa chave.

A seguinte configuração do Registro IRM está localizada em HKCU\Software\Microsoft\Office\16.0\Common\DRM\LicenseServers. Não há nenhuma configuração Política de Grupo correspondente.

Configuração do registro IRM para servidores de licença

Entrada do Registro Tipo Valor Descrição
LicenseServers
Chave/Hive. Contém valores DWORD que têm o nome de um servidor de licença.
Defina como a URL do servidor. Se o valor do DWORD for 1, Office solicitará a obtenção de uma licença, ele obterá a licença automaticamente.

Se o valor for zero ou se não houver nenhuma entrada de registro para esse servidor, Office solicitará uma licença.
Exemplo: se http://contoso.com/_wmcs/licensing = 1 for um valor para essa configuração, um usuário que tentar obter uma licença desse servidor para abrir um documento gerenciado por direitos não será solicitado a autorização. Isso é o mesmo que o usuário marcando a caixa de seleção solicitando que não seja notificado novamente na primeira vez que consumir o conteúdo.

A seguinte configuração do Registro IRM está localizada em HKCU\Software\Microsoft\Office\16.0\Common\Security. Não há nenhuma configuração Política de Grupo correspondente.

Configurações do Registro irm para segurança

Entrada do Registro Tipo Valor Descrição
DRMEncryptProperty
DWORD
1 = Os metadados do arquivo são criptografados.

0 = Os metadados são armazenados em texto não criptografado. O valor padrão é 0.
Especifique se deseja criptografar todos os metadados armazenados dentro de um documento gerenciado por direitos.

Os metadados criptografados não são compatíveis com rótulos de Proteção de Informações Azure. Se você usar esses rótulos, não defina o valor como 1.

Para formatos Open XML (por exemplo, docx, xlsx, pptx e assim por diante), os usuários podem decidir criptografar os metadados do Office armazenados dentro de um arquivo gerenciado por direitos ou deixar o conteúdo de metadados como não criptografado para que outros aplicativos, como a funcionalidade FCI em um servidor de arquivos do Windows, possam acessar os dados.

Os usuários podem optar por criptografar os metadados definindo uma chave do Registro. Você pode definir uma opção padrão para os usuários implantando a configuração do Registro. Não há nenhuma opção para criptografar alguns dos metadados: todos os metadados são criptografados ou nenhum é criptografado.

Além disso, a configuração do Registro DRMEncryptProperty não determina se o armazenamento de metadados de cliente não Office, como metadados criados pelo SharePoint Server 2016, é criptografado.

Definindo configurações de IRM para Outlook 2016

No Outlook 2016, os usuários podem criar e enviar mensagens de email que têm permissão restrita para ajudar a impedir que mensagens sejam encaminhadas, impressas ou copiadas. Office documentos, pastas de trabalho e apresentações do 2016 anexados a mensagens que têm permissão restrita também são automaticamente restritos.

Como administrador do Microsoft Outlook, você pode configurar várias opções para email IRM, como desabilitar o IRM ou configurar o cache de licença local.

As seguintes configurações e recursos de IRM podem ser úteis ao configurar mensagens de email gerenciadas por direitos:

  • Configure o cache automático de licenças para IRM.

  • Ajude a impor um período de expiração de mensagem de email.

  • Não use o Outlook para validar endereços de email para permissões irM.

Observação

Para desabilitar o IRM Outlook, você deve desabilitar o IRM para todos os Office aplicativos. Não há nenhuma opção separada para desabilitar o IRM somente Outlook.

Outlook de IRM

Você pode bloquear a maioria das configurações para personalizar o IRM para o Microsoft Outlook usando o modelo do Microsoft Outlook Política de Grupo (Outlk) ou o Office Política de Grupo (Office). Ou você pode definir as configurações padrão para a maioria das opções usando a OCT (ferramenta de personalização) do Office, que permite que os usuários definam as configurações. As configurações de OCT estão em locais correspondentes na página Modificar configurações do usuário do OCT.

Outlook opções de IRM

Location Opção IRM Descrição
Microsoft Outlook 2016\Diversos
Não baixe as informações de licença de permissões de direitos para email do IRM durante Exchange de pastas
Habilite para impedir que as informações de licença sejam armazenadas em cache localmente. Se habilitado, os usuários devem se conectar à rede para recuperar informações de licença para abrir mensagens de email gerenciadas por direitos. Isso não afeta o Exchange pré-licenciamento que é executado no servidor.
Opções > mais opções > opções de entrega
Ao enviar uma mensagem
Para impor a expiração do email, habilite e insira o número de dias antes que uma mensagem expire. O período de expiração é imposto somente quando os usuários enviam emails gerenciados por direitos e a mensagem não pode ser acessada após o período de expiração.

Outlook 2016 de chave do Registro IRM

A caixa de diálogo Permissão usa o Microsoft Outlook para validar endereços de email inseridos nessa caixa de diálogo. Isso faz com que uma instância do Microsoft Outlook comece quando as permissões forem restritas. Você pode desabilitar essa opção usando a chave do Registro listada na tabela a seguir. Não há nenhuma configuração Política de Grupo ou OCT correspondente para essa opção.

A seguinte configuração do registro IRM está localizada HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM.

Outlook de chave do Registro IRM

Entrada do Registro Tipo Valor Descrição
DoNotUseOutlookByDefault
DWORD
0 = O microsoft Outlook é usado

1 = O microsoft Outlook não é usado
Desabilite a opção usando essa chave.

Visão geral para configurar o IRM no Office 2016

Você pode bloquear muitas configurações para personalizar o IRM usando os arquivos de Modelo Administrativo do Office 2016 (Office16.admx) e o modelo do Microsoft Outlook Política de Grupo (Outlk16.admx). Além disso, há opções de configuração de IRM que você só pode definir usando as configurações de chave do Registro.

No Outlook 2016, os usuários podem criar e enviar mensagens de email que têm permissão restrita para ajudar a impedir que mensagens sejam encaminhadas, impressas ou copiadas e coladas. Office documentos, pastas de trabalho e apresentações do 2016 anexados a mensagens que têm permissão restrita também são automaticamente restritos.

Como administrador do Microsoft Outlook, você pode configurar várias opções para email IRM, como desabilitar o IRM ou configurar o cache de licença local. Você também pode criar permissões personalizadas de IRM para usuários, além do grupo de permissões padrão Não Encaminhar.

Antes de começar

Antes de iniciar a implantação, determine as configurações que talvez você tenha que definir para IRM.

Você pode baixar os modelos Office 2016 e Outlook 2016 do Centro de Download da Microsoft, arquivos de Modelo Administrativo (ADMX/ADML) para Office.

Desativar o Gerenciamento de Direitos de Informação Office 2016

Você pode desativar o IRM para todos os Office aplicativos. Para desativar o IRM no Outlook 2016, você deve desativar o IRM para todos os Office aplicativos. Não há nenhuma opção separada para desativar o IRM somente no Microsoft Outlook.

Para desativar o IRM no Office 2016 usando Política de Grupo

  1. No Política de Grupo, carregue o modelo do Office 2016 (Office) e localize User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Manage Restricted Permissions.

  2. Escolha Desativar a interface do usuário do Information Rights Management.

  3. Escolha Habilitado.

  4. Selecione OK.

Configurar o cache automático de licenças para Outlook 2016

Por padrão, Outlook 2016 baixa automaticamente a licença do IRM para email gerenciado por direitos quando Outlook sincroniza com Exchange Server. Você pode configurar o Outlook 2016 para impedir que as informações de licença sejam armazenadas em cache localmente. Isso força os usuários a se conectarem à rede para recuperar informações de licença antes que possam abrir mensagens de email gerenciadas por direitos.

Para desabilitar o cache automático de licenças para IRM usando Política de Grupo

  1. No Política de Grupo, carregue o modelo Outlook 2016 (Outlk) e localize User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous.

  2. Escolha Não baixar informações de licença de permissão de direitos para email irm durante Exchange de pastas.

  3. Escolha Habilitado.

  4. Selecione OK.