Configurar os direitos de uso da Proteção de Informações do Azure

Este artigo descreve os direitos de uso que você pode configurar para serem aplicados automaticamente quando um rótulo ou modelo é selecionado por usuários, administradores ou serviços configurados.

Os direitos de uso são selecionados quando você configura rótulos de confidencialidade ou modelos de proteção para criptografia. Por exemplo, você pode selecionar funções que configuram um agrupamento lógico de direitos de uso ou configurar os direitos individuais separadamente. Como alternativa, os usuários podem selecionar e aplicar os próprios direitos de uso.

Para fins de integridade, este artigo inclui valores do Portal Clássico do Azure, que foi desativado em 08 de janeiro de 2018.

Importante

Use este artigo para entender como os direitos de uso são projetados para serem interpretados por aplicativos.

Os aplicativos podem variar na forma como implementam direitos de uso e recomendamos consultar a documentação do aplicativo e executar seus próprios testes para verificar o comportamento do aplicativo antes de implantar em produção.

Direitos de uso e descrições

A tabela a seguir lista e descreve os direitos de uso compatíveis com o Rights Management e como eles são usados e interpretados. Eles estão listados pelo nome comum, que é normalmente como você pode ver o direito de uso exibido ou referenciado, como uma versão mais amigável do valor de palavra única que é usado no código (o valor Codificação na política).

Nesta tabela:

  • A Constante de API ou Valor é o nome do SDK para uma chamada de API do SDK do MSIPC ou Proteção de Informações do Microsoft Purview, usada quando você escreve um aplicativo que verifica um direito de uso ou adiciona um direito de uso a uma política.

  • O centro de administração de rotulagem é o portal de conformidade do Microsoft Purview, em que você configura rótulos de confidencialidade.

Direito de uso Descrição Implementação
Nome comum: Editar Conteúdo, Editar

Codificação na política: DOCEDIT
Permite que o usuário modifique, reorganize, formate ou classifique o conteúdo dentro do aplicativo, o que inclui Office na Web. Ele não concede o direito para salvar a cópia editada.

No Word, a menos que você tenha Office 365 ProPlus com uma versão mínima de 1807, esse direito não é suficiente para ativar ou desativar Alterações de Faixa ou para usar todos os recursos de alterações de faixa como revisor. Em vez disso, para usar todas as opções de controle de alterações, é necessário o seguinte direito: Controle Total.
Direitos personalizados do Office: como parte das opções Alterar e Controle Total.

Nome no Portal Clássico do Azure: Editar Conteúdo

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Editar Conteúdo, Editar (DOCEDIT)

Nome em modelos do AD RMS: Editar

Constante ou valor de API:
MSIPC: Não aplicável.
SDK da MIP:DOCEDIT
Nome comum: Salvar

Codificação na política: EDIT
Permite ao usuário salvar o documento no local atual. Em Office na Web, ele também permite que o usuário edite o conteúdo.

Em aplicativos do Office, esse direito permite que o usuário salve o arquivo em um novo local e com um novo nome se o formato de arquivo selecionado tiver suporte interno para proteção do Rights Management. A restrição de formato do arquivo garante que a proteção original não possa ser removida do arquivo.
Direitos personalizados do Office: como parte das opções Alterar e Controle Total.

Nome no Portal Clássico do Azure: Salvar Arquivo

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Salvar (EDIT)

Nome em modelos do AD RMS: Salvar

Constante ou valor de API:
MSIPC:IPC_GENERIC_WRITE L"EDIT"
SDK da MIP:EDIT
Nome comum: Comentar

Codificação na política: COMMENT
Habilita a opção para adicionar anotações ou comentários ao conteúdo.

Esse direito está disponível no SDK como uma política ad hoc no módulo AzureInformationProtection e Proteção do RMS para Windows PowerShell e foi implementado em alguns aplicativos de fornecedores de software. No entanto, ele não é amplamente usado e não é compatível com aplicativos do Office.
Direitos personalizados do Office: não implementado.

Nome no Portal Clássico do Azure: não implementado.

Nome no portal de conformidade do Microsoft Purview e portal do Azure: não implementado.

Nome em modelos do AD RMS: não implementado.

Constante ou valor de API:
MSIPC:IPC_GENERIC_COMMENT L"COMMENT
SDK da MIP:COMMENT
Nome comum: Salvar Como, Exportar

Codificação na política: EXPORT
Habilita a opção para salvar o conteúdo com um nome de arquivo diferente (Salvar Como).

Para o cliente da Proteção de Informações do Azure, o arquivo pode ser salvo sem proteção e protegido novamente com novas configurações e permissões. Essas ações permitidas significam que um usuário que tem esse direito pode alterar ou remover um rótulo da Proteção de Informações do Azure de um documento ou email protegido.

Esse direito também permite que o usuário execute outras opções de exportação em aplicativos, como Enviar para o OneNote.
Direitos personalizados do Office: como parte da opção Controle Total.

Nome no Portal Clássico do Azure: Exportar Conteúdo (Salvar Como)

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Salvar como, Exportar (EXPORTAR)

Nome em modelos do AD RMS: Exportar (Salvar Como)

Constante ou valor de API:
MSIPC:IPC_GENERIC_EXPORT L"EXPORT"
SDK da MIP:EXPORT
Nome comum: Encaminhar

Codificação na política: FORWARD
Habilita a opção para encaminhar uma mensagem de email e adicionar destinatários nas linhas Para e Cc. Esse direito não se aplica a documentos; apenas a mensagens de email.

Não permite que o encaminhador conceda direitos a outros usuários como parte da ação de encaminhamento.

Ao conceder esse direito, conceda também o direito de Editar Conteúdo, Editar (nome comum) e, adicionalmente, conceda o direito de Salvar (nome comum) para garantir que a mensagem de email protegida não seja entregue como um anexo. Especifique também esses direitos quando você envia um email para outra organização que usa o cliente Outlook ou o Outlook Web App. Ou, para usuários em sua organização que estão isentos de usar a proteção do Rights Management porque você implementou controles de integração.
Direitos personalizados do Office: negados ao usar a política padrão Não Encaminhar.

Nome no Portal Clássico do Azure: Encaminhar

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Avançar (FORWARD)

Nome em modelos do AD RMS: Encaminhar

Constante ou valor de API:
MSIPC:IPC_EMAIL_FORWARD L"FORWARD"
SDK da MIP:FORWARD
Nome comum: Controle Total

Codificação na política: OWNER
Concede todos os direitos ao documento e todas as ações disponíveis podem ser executadas.

Inclui a capacidade de remover a proteção e proteger novamente um documento.

Observe que esse direito de uso não é igual ao proprietário do Rights Management.
Direitos personalizados do Office: como a opção personalizada Controle Total.

Nome no Portal Clássico do Azure: Controle Total

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Controle Total (OWNER)

Nome em modelos do AD RMS: Controle Total

Constante ou valor de API:
MSIPC:IPC_GENERIC_ALL L"OWNER"
SDK da MIP:OWNER
Nome comum: Imprimir

Codificação na política: PRINT
Habilita as opções para imprimir o conteúdo. Direitos personalizados do Office: como a opção Imprimir Conteúdo nas permissões personalizadas. Não é uma configuração por destinatário.

Nome no Portal Clássico do Azure: Imprimir

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Imprimir (PRINT)

Nome em modelos do AD RMS: Imprimir

Constante ou valor de API:
MSIPC:IPC_GENERIC_PRINT L"PRINT"
SDK do MIP: PRINT
Nome comum: Responder

Codificação na política: REPLY
Habilita a opção Responder em um cliente de email, sem permitir alterações nas linhas Para ou Cc.

Ao conceder esse direito, conceda também o direito de Editar Conteúdo, Editar (nome comum) e, adicionalmente, conceda o direito de Salvar (nome comum) para garantir que a mensagem de email protegida não seja entregue como um anexo. Especifique também esses direitos quando você envia um email para outra organização que usa o cliente Outlook ou o Outlook Web App. Ou, para usuários em sua organização que estão isentos de usar a proteção do Rights Management porque você implementou controles de integração.
Direitos personalizados do Office: não aplicável.

Nome no Portal Clássico do Azure: Responder

Nome no Portal Clássico do Azure: Responder (REPLY)

Nome em modelos do AD RMS: Responder

Constante ou valor de API:
MSIPC:IPC_EMAIL_REPLY
SDK do MIP:REPLY
Nome comum: Responder a Todos

Codificação na política: REPLYALL
Habilita a opção Responder a todos em um cliente de email, mas não permite que o usuário adicione destinatários nas linhas Para ou Cc.

Ao conceder esse direito, conceda também o direito de Editar Conteúdo, Editar (nome comum) e, adicionalmente, conceda o direito de Salvar (nome comum) para garantir que a mensagem de email protegida não seja entregue como um anexo. Especifique também esses direitos quando você envia um email para outra organização que usa o cliente Outlook ou o Outlook Web App. Ou, para usuários em sua organização que estão isentos de usar a proteção do Rights Management porque você implementou controles de integração.
Direitos personalizados do Office: não aplicável.

Nome no Portal Clássico do Azure: Responder a Todos

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Responder a Todos (RESPONDER TUDO)

Nome em modelos do AD RMS: Responder a Todos

Constante ou valor de API:
MSIPC:IPC_EMAIL_REPLYALL L"REPLYALL"
SDK do MIP:REPLYALL
Nome comum: Exibir, Abrir, Ler

Codificação na política: VIEW
Permite que o usuário abra o documento e visualize o conteúdo.

No Excel, esse direito não é suficiente para classificar dados, o que exige o seguinte direito: Editar conteúdo, Editar. Para filtrar dados no Excel, são necessários estes dois direitos: Editar Conteúdo, Editar e Copiar.
Direitos personalizados do Office: como a política personalizada Ler, opção Exibir.

Nome no Portal Clássico do Azure: Exibir

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Exibir, Abrir, Ler (VIEW)

Nome nos modelos do AD RMS: Ler

Constante ou valor de API:
MSIPC:IPC_GENERIC_READ L"VIEW"
SDK do MIP:VIEW
Nome comum: Copiar

Codificação na política: EXTRACT
Habilita opções para copiar dados (incluindo capturas de tela) do documento para o mesmo documento ou outro.

Em alguns aplicativos, também permite que todo o documento seja salvo no formato não protegido.

No Skype for Business e aplicativos de compartilhamento de tela semelhantes, o apresentador deve ter esse direito para apresentar com êxito um documento protegido. Se o apresentador não tiver esse direito, os participantes não poderão visualizar o documento e ele será exibido como desabilitado para eles.
Direitos personalizados do Office: como a opção de política personalizada Permitir que usuários com Acesso de leitura copiem conteúdo.

Nome no Portal Clássico do Azure: Copiar e Extrair conteúdo

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Cópia (EXTRACT)

Nome em modelos do AD RMS: Extrair

Constante ou valor de API:
MSIPC:IPC_GENERIC_EXTRACT L"EXTRACT"
SDK do MIP:EXTRACT
Nome comum: Exibir Direitos

Codificação na política: VIEWRIGHTSDATA
Permite que o usuário veja a política aplicada ao documento.

Não há suporte para aplicativos do Office ou clientes do Azure Proteção de Informações.
Direitos personalizados do Office: não implementado.

Nome no Portal Clássico do Azure: Exibir Direitos Atribuídos

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Exibir Direitos (VIEWRIGHTSDATA).

Nome em modelos do AD RMS: Exibir Direitos

Constante ou valor de API:
MSIPC:IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
SDK do MIP:VIEWRIGHTSDATA
Nome comum: Alterar Direitos

Codificação na política: EDITRIGHTSDATA
Permite que o usuário altere a política aplicada ao documento. Inclui a remoção da proteção.

Não há suporte para aplicativos do Office ou clientes do Azure Proteção de Informações.
Direitos personalizados do Office: não implementado.

Nome no Portal Clássico do Azure: Alterar Direitos

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Editar Direitos (EDITRIGHTSDATA).

Nome em modelos do AD RMS: Editar Direitos

Constante ou valor de API:
MSIPC:PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
SDK do MIP:EDITRIGHTSDATA
Nome comum: Permitir Macros

Codificação na política: OBJMODEL
Habilita a opção para executar macros ou realizar outro acesso remoto ou por programação ao conteúdo em um documento. Direitos personalizados do Office: como a opção de política personalizada Permitir o Acesso Programático. Não é uma configuração por destinatário.

Nome no Portal Clássico do Azure: Permitir Macros

Nome no portal de conformidade do Microsoft Purview e portal do Azure: Permitir Macros (OBJMODEL)

Nome em modelos do AD RMS: Permitir Macros

Constante ou valor da API: MSIPC: não implementado. SDK do MIP:OBJMODEL

Direitos incluídos nos níveis de permissões

Alguns aplicativos agrupam os direitos de uso em níveis de permissões, para facilitar a seleção dos direitos de uso que normalmente são usados juntos. Estes níveis de permissões ajudam a abstrair um nível de complexidade dos usuários, de forma que eles podem escolher as opções baseadas em funções. Por exemplo, Revisor e Coautor. Embora essas opções muitas vezes mostrem aos usuários um resumo dos direitos, elas podem não incluir todos os direitos listados na tabela anterior.

Use a tabela a seguir para obter uma lista desses níveis de permissões e uma lista completa dos direitos de uso que eles contêm. Os direitos de uso são listados pelo nome comum.

Nível de permissões Aplicativos Direitos de uso incluídos
Visualizador Portal Clássico do Azure

Portal do Azure

Cliente da Proteção de Informações do Azure para Windows
Exibir, Abrir, Ler; Exibir direitos; Responder [1], Responder a Todos [1], Permitir Macros [2]

Observação: para emails, use Revisor em vez desse nível de permissão para garantir que uma resposta de email seja recebida como uma mensagem de email em vez de um anexo. O Revisor também é necessário quando você envia um email para outra organização que usa o cliente Outlook ou o Outlook Web App. Ou, para usuários em sua organização que estão isentos de usar o serviço Azure Rights Management porque você implementou os controles de integração.
Revisor Portal Clássico do Azure

Portal do Azure

Cliente da Proteção de Informações do Azure para Windows
Exibir, Abrir, Ler, Salvar, Editar Conteúdo, Editar, Responder, Exibir Direitos, Responder: Responder a Todos [3], Encaminhar [3], Permitir Macros [2]
Coautor Portal Clássico do Azure

Portal do Azure

Cliente da Proteção de Informações do Azure para Windows
Exibir, Abrir, Ler, Salvar, Editar Conteúdo, Editar, Copiar, Exibir Direitos, Permitir Macros, Salvar como, Exportar [4], Imprimir, Responder [3], Responder a Todos [3], Encaminhar [3]
Coproprietário Portal Clássico do Azure

Portal do Azure

Cliente da Proteção de Informações do Azure para Windows
Exibir, Abrir, Ler, Salvar, Editar Conteúdo, Editar, Copiar, Exibir Direitos, Alterar Direitos, Permitir Macros, Salvar como, Exportar, Imprimir, Responder [3], Responder a Todos [3], Encaminhar [3], Controle Total
Nota de rodapé 1

Não incluído no portal de conformidade do Microsoft Purview ou portal do Azure.

Nota de rodapé 2

Para o cliente Proteção de Informações do Azure para Windows, esse direito é necessário para a barra de Proteção de Informações em aplicativos do Office.

Nota de rodapé 3

Não aplicável para o cliente Proteção de Informações do Azure para Windows.

Nota de rodapé 4

Não incluído no portal de conformidade do Microsoft Purview, no portal do Azure ou no cliente Proteção de Informações do Azure para Windows.

Opções Não Encaminhar para emails

Os clientes e serviços do Exchange (por exemplo, o cliente do Outlook, Outlook na Web, regras de fluxo de email do Exchange e ações DLP para Exchange) têm uma opção adicional de proteção de direitos de informações para emails: Não Encaminhar.

Embora essa opção apareça para os usuários (e os administradores do Exchange) como se fosse um modelo padrão do Rights Management que eles podem selecionar, Não Encaminhar não é um modelo. Isso explica por que você não a vê no Portal do Azure quando você exibe e gerencia modelos de proteção. Em vez disso, a opção Não Encaminhar é um conjunto de direitos de uso que é aplicado dinamicamente por usuários para seus destinatários de email.

Quando a opção Não Encaminhar é aplicada a um email, o email é criptografado e os destinatários devem ser autenticados. Dessa forma, os destinatários não podem encaminhá-lo, imprimi-lo ou copiá-lo. Por exemplo, no cliente do Outlook, o botão Encaminhar não está disponível, as opções de menu Salvar Como e Imprimir não estão disponíveis e não é possível adicionar ou alterar destinatários nas caixas Para, Cc ou Cco.

Os documentos do Office desprotegidos que estão anexados ao email herdam automaticamente as mesmas restrições. Os direitos de uso aplicados a esses documentos são Editar Conteúdo, Editar, Salvar, Exibir, Abrir, Ler e Permitir Macros. Se você desejar direitos de uso diferentes para um anexo, ou o anexo não for um documento do Office compatível com essa proteção herdada, proteja o arquivo antes de anexá-lo ao email. Então, você pode atribuir os direitos de uso específicos que você precisa para o arquivo.

Diferença entre Não Encaminhar e não conceder o direito de uso de Encaminhar

Há uma distinção importante entre aplicar a opção Não Encaminhar e aplicar um modelo que não concede o direito de uso de Encaminhar um email: a opção Não Encaminhar usa uma lista dinâmica de usuários autorizados baseada nos destinatários escolhidos pelo usuário do email original, enquanto os direitos no modelo têm uma lista estática de usuários autorizados que o administrador especificou anteriormente. Qual é a diferença? Vejamos um exemplo:

Uma usuária deseja enviar algumas informações por email para pessoas específicas do departamento de marketing e essas informações não devem ser compartilhadas com mais ninguém. Ela deve proteger o email com um modelo que restringe os direitos (exibir, responder e salvar) para o departamento de marketing? Ou deve escolher a opção Não Encaminhar? Ambas as opções fariam com que os destinatários não pudessem encaminhar o email.

  • Se ela aplicasse o modelo, os destinatários ainda poderiam compartilhar as informações com outras pessoas no departamento de marketing. Por exemplo, um destinatário poderia usar o Explorer para arrastar e soltar o email para um local compartilhado ou uma unidade USB. Agora, qualquer pessoa do departamento de marketing (e o proprietário do email) com acesso a esse local poderia exibir as informações no email.

  • Se ela aplicasse a opção Não Encaminhar, os destinatários não poderiam compartilhar as informações com nenhuma outra pessoa no departamento de marketing movendo o email para outro local. Nesse cenário, somente os destinatários originais (e o proprietário do email) poderiam exibir as informações no email.

Observação

Use Não Encaminhar quando for importante que somente os destinatários que o remetente escolher possam ver as informações no email. Use um modelo para emails para restringir direitos a um grupo de pessoas que o administrador especifica antecipadamente, independentemente dos destinatários escolhidos pelo remetente.

Opção somente criptografar para emails

Quando Exchange Online usa os novos recursos para Office 365 Criptografia de Mensagens, uma nova opção criptografar email fica disponível para criptografar os dados sem restrições adicionais.

Essa opção está disponível para locatários que usam Exchange Online e podem ser selecionados da seguinte maneira:

Para obter mais informações sobre a opção somente criptografia, consulte a seguinte postagem no blog quando ela foi anunciada pela primeira vez da equipe do Office: Criptografar somente a distribuição em Office 365 Criptografia de Mensagens.

Quando essa opção é selecionada, o email é criptografado e os destinatários devem ser autenticados. Assim, os destinatários obtêm todos os direitos de uso, exceto Salvar como, Exportar e Controle Total. Essa combinação de direitos de uso permite que os destinatários não tenham restrições, exceto que eles não podem remover a proteção. Por exemplo, um destinatário pode copiar do email, imprimi-lo e encaminhá-lo.

Da mesma forma, por padrão, os documentos do Office desprotegidos que estão anexados ao email herdam as mesmas permissões. Esses documentos são protegidos automaticamente e, quando baixados, podem ser salvos, editados, copiados e impressos pelos destinatários de aplicativos do Office. Quando o documento é salvo por um destinatário, ele pode ser salvo com um novo nome e até mesmo um formato diferente. No entanto, apenas os formatos de arquivo compatíveis com a proteção estão disponíveis de maneira que o documento não possa ser salvo sem a proteção original. Se você desejar direitos de uso diferentes para um anexo, ou o anexo não for um documento do Office compatível com essa proteção herdada, proteja o arquivo antes de anexá-lo ao email. Então, você pode atribuir os direitos de uso específicos que você precisa para o arquivo.

Como alternativa, você pode alterar essa herança de proteção de documentos, especificando Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true com Exchange Online PowerShell. Use essa configuração quando não precisar manter a proteção original para o documento depois que o usuário for autenticado. Quando os destinatários abrirem a mensagem de email, o documento não estará protegido.

Caso você precise manter a proteção original do documento anexado, confira Assegurar a colaboração de documentos por meio da Proteção de Informações do Azure.

Observação

caso você veja referências ao DecryptAttachmentFromPortal, saiba que esse parâmetro foi preterido para Set-IRMConfiguration. A menos que você já tenha definido esse parâmetro, ele não estará disponível.

Criptografar automaticamente documentos PDF com Exchange Online

Quando Exchange Online usa os novos recursos para Office 365 Criptografia de Mensagens, você pode criptografar automaticamente documentos PDF desprotegidos quando eles são anexados a um email criptografado. O documento herda as mesmas permissões que as da mensagem de email. Para habilitar essa configuração, defina EnablePdfEncryption $True com Set-IRMConfiguration.

Os destinatários que ainda não têm um leitor instalado que dá suporte ao padrão ISO para criptografia PDF podem instalar um dos leitores listados em leitores pdf que dão suporte a Proteção de Informações do Microsoft Purview. Como alternativa, os destinatários podem ler o documento PDF protegido no portal do OME.

Emissor do Rights Management e proprietário do Rights Management

Quando um documento ou email é protegido usando o serviço do Azure Rights Management, a conta que protege o conteúdo se torna automaticamente a emissora do Rights Management para esse conteúdo. Essa conta é registrada como o campo emissor nos logs de uso.

O emissor do Rights Management sempre recebe o direito de uso de Controle Total para o documento ou email e, além disso:

  • Se as configurações de proteção incluem uma data de expiração, o emissor do Rights Management ainda pode abrir e editar o documento ou email após essa data.

  • O emissor do Rights Management sempre pode acessar o documento ou email offline.

  • O emissor do Rights Management ainda pode abrir um documento depois que ele é revogado.

Por padrão, essa conta é também o proprietário do Rights Management desse conteúdo, que é o caso quando um usuário que criou o documento ou email inicia a proteção. Mas há alguns cenários em que um administrador ou o serviço pode proteger o conteúdo em nome dos usuários. Por exemplo:

  • Um administrador protege arquivos em massa em um compartilhamento de arquivo: a conta de administrador no Azure AD protege os documentos para os usuários.

  • O conector do Rights Management protege documentos do Office em uma pasta do Windows Server: a conta da entidade de serviço no Azure AD que é criada para o conector do RMS protege os documentos para os usuários.

Nesses cenários, o emissor do Rights Management pode atribuir o proprietário do Rights Management para outra conta, usando o PowerShell ou os SDKs da Proteção de Informações do Azure. Por exemplo, ao usar o cmdlet do PowerShell Protect-RMSFile com o cliente da Proteção de Informações do Azure, você pode especificar o parâmetro OwnerEmail para atribuir o proprietário do Rights Management para outra conta.

Quando o emissor do Rights Management protege em nome de usuários, a atribuição do proprietário do Rights Management garante que o proprietário original do documento ou do email tenha o mesmo nível de controle de seu conteúdo protegido como se eles próprios tivessem iniciado a proteção.

Por exemplo, o usuário que criou o documento pode imprimi-lo, mesmo que agora o documento esteja protegido com um modelo que não inclua o direito de uso Imprimir. O mesmo usuário sempre pode acessar o documento, independentemente da configuração de acesso offline ou da data de expiração que possa ter sido configurada nesse modelo. Além disso, uma vez que o proprietário do Rights Management tem o direito de uso de Controle Total, esse usuário também pode proteger novamente o documento para conceder acesso a usuários adicionais (ponto em que o usuário se torna o emissor do Rights Management, bem como o proprietário do Rights Management) e esse usuário pode, inclusive, remover a proteção. No entanto, somente o emissor do Rights Management pode acompanhar e revogar um documento.

O proprietário do Rights Management de um documento ou email é registrado como o campo owner-email nos logs de uso.

Observação

O proprietário do Rights Management é independente do Proprietário do sistema de arquivos do Windows. Eles são geralmente os mesmos, mas podem ser diferentes, mesmo se você não usar o SDK ou o PowerShell.

Licença de uso do Rights Management

Quando um usuário abre um documento ou email que foi protegido pelo Azure Rights Management, uma licença de uso do Rights Management para esse conteúdo é concedida ao usuário. Essa licença de uso é um certificado que contém os direitos de uso do usuário para o documento ou mensagem de email e a chave de criptografia usada para criptografar o conteúdo. A licença de uso também conterá uma data de expiração, se ela tiver sido definida e por quanto tempo a licença de uso é válida.

O usuário precisa ter uma licença válida para abrir o conteúdo, além de seu RAC (certificado de conta de direitos), que é um certificado concedido quando o ambiente do usuário é inicializado que é renovado a cada 31 dias.

Durante o prazo da licença de uso, o usuário não é autenticado nem autorizado novamente para o conteúdo. Isso permite que o usuário continue a abrir o documento ou o email protegido sem uma conexão com a Internet. Quando o período de validade da licença de uso termina, na próxima vez que o usuário acessar o documento ou email protegido, ele precisará ser autenticado e autorizado novamente.

Quando documentos e mensagens de email são protegidos usando um rótulo ou um modelo que define as configurações de proteção, você pode alterar essas configurações em seu rótulo ou modelo sem precisar proteger o conteúdo novamente. Quando um usuário já tiver acessado o conteúdo, as alterações entrarão em vigor depois que a sua licença de uso tiver expirado. No entanto, quando os usuários aplicam permissões personalizadas (também conhecidas como uma política de direitos ad hoc) e essas permissões precisam ser alteradas após o documento ou o email ser protegido, esse conteúdo deve ser protegido novamente com as novas permissões. Permissões personalizadas para uma mensagem de email são implementadas com a opção Não Encaminhar.

O período de validade de licença de uso padrão para um locatário é de 30 dias e você pode configurar esse valor usando o cmdlet do PowerShell, Set-AipServiceMaxUseLicenseValidityTime. Você pode configurar uma configuração mais restritiva para quando a proteção é aplicada usando um rótulo de confidencialidade configurado para atribuir permissões agora ou um modelo:

  • Quando você configura um rótulo de confidencialidade, o período de validade da licença de uso tira seu valor da configuração Permitir acesso offline .

    Para obter mais informações e diretrizes para definir essa configuração para um rótulo de confidencialidade, consulte a tabela de recomendações das instruções de como configurar permissões agora para um rótulo de confidencialidade.

  • Quando você configura um modelo usando o PowerShell, o período de validade da licença de uso usa seu valor do parâmetro LicenseValidityDuration nos cmdlets Set-AipServiceTemplateProperty e Add-AipServiceTemplate .

    Para obter mais informações e diretrizes para definir essa configuração usando o PowerShell, consulte a ajuda para cada cmdlet.

Consulte Também