IRM em implantações híbridas do Exchange
Resumo: como o IRM funciona em um ambiente híbrido do Exchange e como configurar o IRM para funcionar entre o Exchange Online e seus servidores locais do Exchange.
O Gerenciamento de Direitos de Informação (IRM) ajuda a proteger contra vazamento de informações confidenciais, fornecendo proteção persistente online e offline de mensagens de email e anexos. Sua organização local do Exchange e Exchange Online, no Microsoft 365 ou Office 365 para empresas, dão suporte ao IRM. Entretanto, existem diferenças entre as duas implementações e é necessário configurar o IRM na organização do Exchange Online antes de os usuários da organização poderem usá-lo.
O IRM usa o Active Directory Rights Management Services (AD RMS), que é um componente do Windows Server 2008 e posteriores. O AD RMS permite que os usuários criem um conteúdo protegido por direitos, como mensagens de email e anexos, além de controlar como o conteúdo é usado e para quem ele é distribuído. Os usuários podem especificar os modelos que determinam como o conteúdo pode ser usado. Por exemplo, um usuário pode especificar que uma mensagem de email não possa ser encaminhada para outros destinatários ou que as informações na mensagem não possam ser copiadas.
Saiba mais sobre o IRM no Exchange 2010 em: Noções Básicas Sobre o Gerenciamento de Direitos de Informação.
Saiba mais sobre o IRM em Exchange Server no Information Rights Management.
Saiba mais sobre o AD RMS em Visão geral do Active Directory Rights Management Services.
A funcionalidade do IRM disponível em sua organização local do Exchange pode ser diferente das funcionalidades disponíveis na organização do Exchange Online. A tabela a seguir fornece um resumo dos recursos e funcionalidades disponíveis em cada organização. (Saiba mais sobre esses recursos em: Gerenciamento de Direitos de Informações)
Recursos disponíveis de IRM
Recurso | Disponível no Exchange 2007 e anteriores | Disponível no Exchange 2010 | Disponível no Exchange Online e no Exchange 2013 e posteriores |
---|---|---|---|
Proteção manual de mensagens no Outlook | Sim | Sim | Sim |
Proteção manual de mensagens no Outlook Web App | Não | Sim | Sim |
Exibir mensagens protegidas por IRM no Outlook | Sim | Sim | Sim |
Exibir mensagens protegidas por IRM no Outlook Web App | Não | Sim | Sim |
Agente de pré-licenciamento de IRM | Sim | Sim | Sim |
Modelos de política RMS | Não | Sim | Sim |
Descriptografia de transporte | Não | Sim | Sim |
Criptografia do relatório de diário | Não | Sim | Sim |
Descriptografia de pesquisa e descoberta do Exchange | Não | Sim | Sim |
Regras de proteção automática do Outlook | Não | Não | Sim |
Regras de proteção de transporte automática | Não | Sim | Sim |
O Exchange usa servidores AD RMS na floresta do Active Directory na qual o servidor do Exchange está instalado. Para os servidores locais do Exchange, o servidor local do AD RMS é usado. Para sua organização Exchange Online, os servidores do AD RMS mantidos nos datacenters do Microsoft 365 e Office 365 são usados. A configuração do AD RMS que cada organização do Exchange usa é independente de qualquer outra implantação do AD RMS.
A configuração do AD RMS e, portanto, a configuração do IRM, não é duplicada automaticamente entre a organização local do Exchange e a organização do Exchange Online. Todos os modelos do AD RMS que você definiu não são copiados automaticamente para a organização do Exchange Online. Se você quiser que os mesmos modelos do AD RMS estejam disponíveis no Exchange Online organização, você deve exportar manualmente os modelos de sua organização local e aplicá-los à organização microsoft 365 ou Office 365. Confira Configurar IRM em implantações híbridas mais adiante neste tópico.
A configuração de IRM que é aplicada a um usuário depende do cliente usado pelo usuário e da localização da caixa de correio do usuário. A tabela a seguir mostra o servidor AD RMS que usuário deve utilizar.
Servidor AD RMS Ativo
Client | Caixa de correio local | Caixa de correio do Exchange Online |
---|---|---|
Clientes da área de trabalho do Outlook | AD RMS local | AD RMS local |
Outlook na Web | AD RMS local | AD RMS do Exchange Online |
Dispositivo ActiveSync | AD RMS local | AD RMS do Exchange Online |
Dependendo da configuração do AD RMS que você definir em suas organizações local e do Exchange Online, é possível que um usuário que usa o Outlook 2007 e o Outlook na Web veja modelos de AD RMS diferentes. Por esse motivo, é altamente recomendável que você aplique os mesmos modelos para as organizações do Exchange Online e local.
Não deve haver nenhuma diferença na experiência do IRM para os usuários clientes do Outlook, independentemente se suas caixas de correio estão localizadas na organização do Exchange Online ou local.
Um usuário do Outlook na Web com caixa de correio localizada em um servidor local do Exchange só pode abrir mensagens protegidas por direitos depois de instalar o complemento Rights Management para Internet Explorer. Ele não poderá responder ou criar novas mensagens protegidas por direitos.
Um usuário do Outlook na Web cuja caixa de correio está localizada no Exchange Online pode abrir mensagens protegidas por direitos sem nenhum software adicional, além de responder e criar novas mensagens protegidas por direitos.
Os servidores do Exchange no local usam o agente de pré-licenciamento AD RMS para descriptografar as mensagens protegidas por direitos para que os usuários não precisem fornecer as credenciais quando abrirem essas mensagens. O servidor do Exchange local contata o servidor do AD RMS local para verificar direitos e políticas de uso e solicitar a autorização para descriptografar a mensagem.
A organização do Exchange Online oferece vários recursos adicionais relacionados a IRM que usam o AD RMS do Exchange Online. Esses recursos, como descriptografia de relatório de diário, disponibilizam o conteúdo de mensagens protegidas por direitos para os serviços do Exchange para processamento adicional. Por exemplo, o conteúdo descriptografado de uma mensagem registrada no diário pode ser salvo junto com a mensagem original protegida por direitos para permitir uma descoberta mais fácil. Além disso, os modelos IRM podem ser aplicados às mensagens automaticamente usando regras de transporte ou regras de proteção do Outlook para garantir que mensagens estejam de acordo com as políticas da organização relacionadas a proteção das informações.
O IRM no Exchange depende do AD RMS que estiver sendo implantado na floresta do Active Directory na qual o servidor do Exchange reside. A configuração do AD RMS não é sincronizada automaticamente entre as organizações do Exchange Online e local. Você deve exportar manualmente a configuração do AD RMS, conhecida como um domínio de publicação confiável (TPD), do seu servidor do AD RMS local e importar essa configuração para a organização do Exchange Online. O TPD contém a configuração do AD RMS, incluindo modelos, que a organização do Exchange Online precisa para usar o IRM.
Saiba mais em Considerações de domínio de publicação confiável AD RMS .
Além de aplicar suas configuração do AD RMS local para a organização do Exchange Online, você deve garantir que seus servidores AD RMS podem ser contatados pelos clientes do Outlook e do ActiveSync de fora da sua rede local. Você deve fazer isso se quiser que esses clientes acessem mensagens protegidas por direitos fora da sua rede local.
Depois de configurar a sua rede local e exportar os dados de TPD, você precisa configurar a organização do Exchange Online importando os dados de TPD e habilitando o IRM.
Observação
Sempre que você modificar as configurações do AD RMS local, deve aplicar manualmente a nova configuração na organização do Exchange Online. Para fazer isso, exporte os dados TPD do servidor AD RMS local e importe-os para a organização do Exchange Online.
Se você usa o IRM em sua organização do Exchange local e deseja que os usuários do Exchange Online também usem o IRM, é necessário fazer o seguinte:
Configurar o Gerenciamento de Direitos de Informação (AD RMS) do servidor do Active Directory local.
Habilitar o IRM da organização do Exchange Online.
Distribuir os modelos do AD RMS importados para os usuários da organização do Exchange Online.
Para configurar o IRM em uma implantação híbrida, você precisa usar o Windows PowerShell para acessar o servidor AD RMS local. Saiba mais em: Usando o Windows PowerShell para administrar o AD RMS
Siga este procedimento para exportar dados de domínio de publicação confiável (TPD) do servidor do AD RMS local e, em seguida, configure o acesso ao servidor AD RMS para clientes externos.
Exporte dados TPD da organização local. Saiba mais em: Exportando um domínio de publicação confiável
Configure o acesso aos servidores do AD RMS de clientes externos. Saiba mais em: Adicionando uma URL de Cluster da Extranet
Depois de exportar os dados TPD do servidor do AD RMS local, você precisa importar dados para a organização do Exchange Online e, em seguida, habilitar o IRM.
Na organização do Exchange Online, importe os dados TPD.
Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<Path to exported TPD file>'))
Habilitar o IRM na organização do Exchange Online.
Set-IRMConfiguration -InternalLicensingEnabled $True
Depois de habilitar o IRM na organização do Exchange Online, distribua os modelos do AD RMS importados. Os seguintes recursos e usuários do Exchange Online usam os modelos de AD RMS:
Usuários do Outlook na Web
Usuários do Exchange ActiveSync
Regras de transporte
Criptografia do relatório de diário
Regras de proteção do Outlook
Na organização do Exchange Online, recupere uma lista de modelos do AD RMS.
Get-RMSTemplate -Type All
Distribua os modelos do AD RMS aos usuários e recursos na organização do Exchange Online.
Set-RMSTemplate <template name> -Type Distributed
Observação
Você não pode modificar o modelo "Não encaminhar" do AD RMS.
Repita a etapa 2 para cada modelo do AD RMS que você deseja distribuir.
Os usuários do Outlook na Web podem aplicar modelos AD RMS às novas mensagens. Os usuários do Outlook na Web e do Exchange ActiveSync devem conseguir ler as mensagens que possuem modelos AD RMS aplicados a elas. Além disso, todos os modelos do AD RMS que foram importados da organização local devem estar listados quando você executa o cmdlet Get-RMSTemplate.
Execute o seguinte comando na organização Exchange Online:
Get-RMSTemplate
Saiba mais em: Gerenciamento de direitos de informação em Outlook Web App