Noções Básicas Sobre Regras de Proteção do Outlook

Aplica-se a: Exchange Server 2010

Tópico modificado em: 2010-01-13

Pessoas que trabalham com informações trocam dados confidenciais, como relatórios e dados financeiros, informações sobre clientes e funcionários e informações e especificações confidenciais sobre produtos diariamente, por email. No Microsoft Exchange Server 2010, Microsoft Outlook, e Microsoft Office Outlook Web App, os usuários podem aplicar a proteção IRM (Information Rights Management) às mensagens, usando um modelo de diretiva de direitos do Active Directory Rights Management Services (AD RMS). Isso requer uma implantação do AD RMS na organização. Para obter mais informações sobre o AD RMS, consulte Active Directory Rights Management Services.

No entanto, nas mãos dos usuários, as mensagens podem ser enviadas em texto não criptografado, sem a proteção IRM. Em organizações que usam o email como um serviço hospedado, existe o risco de vazamento de informações a partir do momento em que a mensagem deixa o cliente e é roteada e armazenada fora dos limites de uma organização. Embora empresas de hospedagem de email possam ter procedimentos bem definidos e trabalhem para atenuar o risco de vazamento de informações, depois que uma mensagem deixa os limites de uma organização, a empresa perde o controle da informação. As regras de proteção do Outlook podem ajudar a proteger contra esse tipo de vazamento de informações.

Procurando tarefas de gerenciamento relacionadas ao gerenciamento de IRM? Consulte Gerenciando Proteção de Direitos.

Proteção de IRM Automática no Outlook 2010

No Exchange 2010, as regras de proteção do Outlook ajudam sua organização a se proteger contra o risco de vazamento de informações, aplicando automaticamente a proteção IRM a mensagens no Outlook 2010. As mensagens são protegidas por IRM antes de sair do cliente Outlook. Essa proteção também é aplicada a todos os anexos que usam formatos de arquivo suportados.

Ao criar regras de proteção do Outlook em um servidor do Exchange 2010, as regras são automaticamente distribuídas no Outlook 2010 usando os Serviços Web do Exchange. Para que o Outlook 2010 aplique a regra, o modelo de diretiva de direitos do AD RMS especificado deve estar disponível nos computadores dos usuários.

Importante

Se um modelo de diretiva de direitos for removido do servidor AD RMS, você deve modificar as regras de proteção do Outlook que usam o modelo removido. Se uma regra de proteção do Outlook continuar a usar o modelo de diretiva de direitos que foi removido, e a descriptografia de transporte estiver habilitada na organização, o agente de Descriptografia não conseguirá descriptografar a mensagem protegida com um modelo que não está mais disponível. Se a descriptografia de transporte estiver configurada como obrigatória, o servidor de Transporte de Hub rejeitará a mensagem e enviará uma notificação de falha na entrega (NDR) ao remetente. Para mais detalhes sobre a descriptografia de transporte, consulte Noções Básicas Sobre Descriptografia de Transporte. Para mais detalhes sobre os modelos de diretiva de direitos do AD RMS, consulte Considerações sobre Modelos de Diretiva do AD RMS.
No Windows Server 2008, os modelos de diretiva de direitos podem ser arquivados ao invés de excluídos. Modelos arquivados ainda podem ser usados para conteúdo de licença, mas ao criar ou modificar uma regra de proteção do Outlook, modelos arquivados não são incluídos na lista de modelos.

Regras de proteção do Outlook são similares às regras de proteção de transporte. Ambas são aplicadas com base em condições de mensagens, e ambas protegem mensagens aplicando um modelo de proteção de direitos do AD RMS. No entanto, regras de proteção de transporte são aplicadas no servidor de Transporte de Hub pelo agente Regras de Transporte. Regras de proteção do Outlook são aplicadas no Outlook 2010 antes que a mensagem deixe o computador do usuário. Mensagens protegidas por uma regra de proteção do Outlook entram no pipeline de transporte com a proteção por IRM já aplicada. Além disso, mensagens protegidas por uma regra de proteção do Outlook também são salvas em um formato criptografado na pasta Itens Enviados da caixa de correio do remetente.

Dica

Se a descriptografia de transporte estiver habilitada em sua organização do Exchange, mensagens protegidas por IRM por uma regra de proteção do Outlook usando o servidor AD RMS em sua organização, podem ser descriptografadas pelo agente de Descriptografia nos servidores de Transporte de Hub. O conteúdo da mensagem pode ser inspecionado pelo agente Regras de Transporte e por outros agentes de transporte instalados no servidor de Transporte de Hub. Para obter mais informações sobre descriptografia de transporte, consulte Noções Básicas Sobre Descriptografia de Transporte.

Ao utilizar regras de proteção de transporte, os usuários não têm indicação se a mensagem será automaticamente protegida no servidor de Transporte de Hub. Quando uma regra de proteção do Outlook for aplicada a uma mensagem no Outlook 2010, os usuários sabem se a mensagem será protegida por IRM. Se necessário, os usuários também podem selecionar um modelo de diretiva de direitos diferente.

Criando Regras de Proteção do Outlook

Para criar regras de proteção do Outlook, você deve usar o cmdlet New-OutlookProtectionRule no Shell de Gerenciamento do Exchange. Para instruções detalhadas, consulte Criar uma regra de proteção do Outlook.

Ao criar uma regra, você pode especificar se o usuário pode substituí-la, removendo a proteção IRM ou aplicando um modelo de diretiva de direitos do AD RMS diferente daquele especificado na regra. Se um usuário substituir a proteção IRM aplicada por uma regra de proteção do Outlook, o Outlook 2010 insere o cabeçalho X-MS-Outlook-Client-Rule-Overridden na mensagem, o que permite que você determine que a regra foi substituída pelo usuário. 

Predicados em Regras de Proteção do Outlook

As regras de proteção do Outlook permitem que três predicados sejam usados para aplicar a proteção IRM automaticamente no Outlook 2010:

• FromDepartment   O predicado FromDepartment pesquisa o atributo departamento do remetente no Active Directory  e automaticamente protege a mensagem por IRM caso o departamento do remetente corresponda ao departamento especificado na regra. Por exemplo, você pode criar uma regra de proteção do Outlook para proteger automaticamente todas as mensagens enviadas pelo departamento de Pesquisa.
• SentTo   Sua organização pode precisar proteger mensagens enviadas para determinados destinatários sensíveis, como Toda a Empresa ou o grupo de distribuição Financeiro. Usando o predicado SentTo, você pode criar uma regra de proteção do Outlook para automaticamente proteger por IRM as mensagens enviadas para destinatários específicos.
• SentToScope   O predicado SentToScope permite que você crie uma regra de proteção do Outlook para automaticamente proteger por IRM mensagens enviadas dentro ou fora da organização. Por exemplo, você pode usar o predicado SentToScope com o predicado FromDepartment para proteger por IRM mensagens enviadas por um departamento particular para usuários internos.