Regras de proteção do Outlook
Aplica-se a: Exchange Server 2013
Todos os dias, os trabalhadores de informações trocam informações confidenciais por email, incluindo relatórios financeiros e dados, informações de clientes e funcionários e informações e especificações confidenciais do produto. Em Microsoft Exchange Server 2013, o Microsoft Outlook e o Microsoft Office Outlook Web App, os usuários podem aplicar proteção do IRM (Information Rights Management) às mensagens aplicando um modelo de política de direitos dos Serviços de Gerenciamento de Direitos do Active Directory (AD RMS). Isso requer uma implantação do AD RMS na organização. Para obter mais informações sobre o AD RMS, consulte Active Directory Rights Management Services.
No entanto, quando deixadas a critério dos usuários, as mensagens podem ser enviadas em texto claro sem proteção IRM. Em organizações que usam o email como um serviço hospedado, há o risco de vazamento de informações, pois uma mensagem deixa o cliente e é roteada e armazenada fora dos limites de uma organização. Embora as empresas de hospedagem de email possam ter procedimentos e verificações bem definidos para ajudar a mitigar o risco de vazamento de informações, depois que uma mensagem deixa o limite de uma organização, a organização perde o controle das informações. As regras de proteção do Outlook podem ajudar a proteger contra esse tipo de vazamento de informações.
Para tarefas de gerenciamento relacionadas ao gerenciamento de IRM, consulte Procedimentos de Gerenciamento de Direitos de Informação.
Proteção automática de IRM no Outlook
No Exchange 2013, as regras de proteção do Outlook ajudam sua organização a proteger contra o risco de vazamento de informações aplicando automaticamente proteção IRM a mensagens no Exchange 2013. As mensagens são protegidas por IRM antes de deixar o cliente do Outlook. Essa proteção também é aplicada a todos os anexos usando formatos de arquivo com suporte.
Quando você cria regras de proteção do Outlook em um servidor do Exchange 2013, as regras são distribuídas automaticamente para o Outlook 2010 usando o Exchange Web Services. Para que o Outlook 2010 aplique a regra, o modelo de política de direitos do AD RMS especificado deve estar disponível nos computadores dos usuários.
Importante
Se um modelo de política de direitos for removido do servidor AD RMS, você deverá modificar todas as regras de proteção do Outlook que usam o modelo removido. Se uma regra de proteção do Outlook continuar a usar um modelo de política de direitos que foi removido e a descriptografia de transporte estiver habilitada na organização, o agente de descriptografia falhará em descriptografar a mensagem protegida com um modelo que não está mais disponível. Se a descriptografia de transporte for configurada como obrigatória, o serviço de transporte rejeitará a mensagem e enviará um NDR (relatório de não entrega) para o remetente. Para obter mais detalhes sobre a descriptografia de transporte, consulte Descriptografia de transporte. Para obter mais detalhes sobre modelos de política de direitos do AD RMS, consulte Considerações de modelo de política do AD RMS.
No Windows Server 2008 e posterior, os modelos de política de direitos podem ser arquivados em vez de excluídos. Modelos arquivados ainda podem ser usados para licenciar conteúdo, mas quando você cria ou modifica uma regra de proteção do Outlook, modelos arquivados não são incluídos na lista de modelos.
As regras de proteção do Outlook são semelhantes às regras de proteção de transporte. Ambos são aplicados com base em condições de mensagem e ambos protegem mensagens aplicando um modelo de proteção de direitos do AD RMS. No entanto, as regras de proteção de transporte são aplicadas no serviço de transporte no servidor caixa de correio pelo agente regras de transporte. As regras de proteção do Outlook são aplicadas no Outlook 2010, antes que a mensagem saia do computador do usuário. Mensagens protegidas por uma regra de proteção do Outlook entram no pipeline de transporte com proteção IRM já aplicada. Além disso, as mensagens protegidas com uma regra de proteção do Outlook também são salvas em um formato criptografado na pasta Itens Enviados da caixa de correio do remetente.
Observação
Se a descriptografia de transporte estiver habilitada em sua organização do Exchange, as mensagens protegidas pelo IRM por uma regra de proteção do Outlook usando o servidor AD RMS em sua organização poderão ser descriptografadas pelo agente de descriptografia no serviço de transporte. O conteúdo da mensagem pode ser inspecionado pelo agente regras de transporte e outros agentes de transporte instalados no serviço de transporte. Para obter mais detalhes sobre a descriptografia de transporte, consulte Descriptografia de transporte.
Quando você usa regras de proteção de transporte, os usuários não têm nenhuma indicação de se uma mensagem será protegida automaticamente no serviço de transporte. Quando uma regra de proteção do Outlook é aplicada a uma mensagem no Outlook 2010, os usuários sabem se uma mensagem será protegida por IRM. Se necessário, os usuários também podem selecionar um modelo de política de direitos diferente.
Criando regras de proteção do Outlook
Para criar regras de proteção do Outlook, você deve usar o cmdlet New-OutlookProtectionRule no Shell de Gerenciamento do Exchange. Para obter instruções detalhadas, consulte Criar uma Regra de Proteção do Outlook.
Ao criar uma regra, você pode especificar se o usuário pode substituí-la, removendo a proteção IRM ou aplicando um modelo de política de direitos do AD RMS diferente do especificado na regra. Se um usuário substituir a proteção IRM aplicada por uma regra de proteção do Outlook, o Outlook 2010 inserirá o X-MS-Outlook-Client-Rule-Overridden
cabeçalho na mensagem, o que permite determinar que a regra foi substituída pelo usuário.
Predicados nas regras de proteção do Outlook
As regras de proteção do Outlook permitem que você use três predicados para aplicar automaticamente a proteção de IRM no Outlook 2010:
FromDepartment: o predicado FromDepartment pesquisa o atributo de departamento do remetente no Active Directory e protege automaticamente a mensagem se o departamento do remetente corresponder ao departamento especificado na regra. Por exemplo, você pode criar uma regra de proteção do Outlook para proteger automaticamente todas as mensagens enviadas pelo departamento de pesquisa.
SentTo: sua organização pode precisar proteger as mensagens enviadas a determinados destinatários confidenciais, como os grupos de distribuição All Company ou Finance. Usando o predicado SentTo , você pode criar uma regra de proteção do Outlook para proteger automaticamente as mensagens enviadas aos destinatários especificados.
SentToScope: o predicado SentToScope permite que você crie uma regra de proteção do Outlook para proteger automaticamente as mensagens enviadas dentro ou fora da organização. Por exemplo, você pode usar o predicado SentToScope com o predicado FromDepartment para mensagens de proteção de IRM enviadas por um departamento específico para usuários internos.