Recursos de criptografia de gerenciamento de cliente

Para obter mais informações sobre essas tecnologias, confira as descrições do serviço do Microsoft 365.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Azure Rights Management

O Azure Rights Management (Azure RMS) é a tecnologia de proteção usada pelo Azure Proteção de Informações. Ele usa políticas de criptografia, identidade e autorização para ajudar a proteger seus arquivos e emails em várias plataformas e dispositivos: telefones, tablets e computadores. As informações podem ser protegidas dentro e fora de sua organização porque a proteção permanece com os dados. O Azure RMS fornece proteção persistente de todos os tipos de arquivo, protege arquivos em qualquer lugar, dá suporte à colaboração entre empresas e uma ampla gama de dispositivos Windows e não Windows. A proteção do Azure RMS também pode aumentar as políticas de DLP (prevenção contra perda de dados). Para obter mais informações sobre quais aplicativos e serviços podem usar o serviço de Gerenciamento de Direitos do Azure do Azure Proteção de Informações, confira Como os aplicativos dão suporte ao serviço de Gerenciamento de Direitos do Azure.

O Azure RMS é integrado ao Microsoft 365 e está disponível para todos os clientes. Para configurar o Microsoft 365 para usar o Azure RMS, consulte Configurar IRM para usar o Azure Rights Management e Configurar o IRM (Information Rights Management) no centro de administração do SharePoint. Se você opera Active Directory local servidor RMS (AD), também pode configurar o IRM para usar um servidor AD RMS local, mas recomendamos que você migre para o Azure RMS para usar novos recursos, como colaboração segura com outras organizações.

Quando você protege os dados do cliente com o Azure RMS, o Azure RMS usa uma chave assimétrica RSA de 2048 bits com algoritmo de hash SHA-256 para integridade para criptografar os dados. A chave simétrica para documentos e email do Office é AES de 128 bits. Para cada documento ou email protegido pelo Azure RMS, o Azure RMS cria uma única chave AES (a "chave de conteúdo") e essa chave está inserida no documento e persiste por meio de edições do documento. A chave de conteúdo é protegida com a chave RSA da organização (a "chave de locatário do Azure Proteção de Informações") como parte da política no documento, e a política também é assinada pelo autor do documento. Essa chave de locatário é comum a todos os documentos e emails protegidos pelo Azure RMS para a organização e essa chave só pode ser alterada por um administrador do Azure Proteção de Informações se a organização estiver usando uma chave de locatário gerenciada pelo cliente. Para obter mais informações sobre os controles criptográficos usados pelo Azure RMS, confira Como funciona o Azure RMS? Sob o capô.

Em uma implementação padrão do Azure RMS, a Microsoft gera e gerencia a chave raiz exclusiva para cada locatário. Os clientes podem gerenciar o ciclo de vida de sua chave raiz no Azure RMS com o Azure Key Vault Services usando um método de gerenciamento de chave chamado Bring Your Own Key (BYOK) que permite gerar sua chave em HSMs locais (módulos de segurança de hardware) e manter o controle dessa chave após a transferência para HSMs validados pelo FIPS 140-2 Nível 2 da Microsoft. O acesso à chave raiz não é dado a nenhum pessoal, pois as chaves não podem ser exportadas ou extraídas dos HSMs que as protegem. Além disso, você pode acessar um log quase em tempo real mostrando todo o acesso à chave raiz a qualquer momento. Para obter mais informações, confira Registro em log e análise do uso do Gerenciamento de Direitos do Azure.

O Azure Rights Management ajuda a mitigar ameaças como escutas telefônicas, ataques de homem no meio, roubo de dados e violações não intencionais de políticas de compartilhamento organizacional. Ao mesmo tempo, qualquer acesso injustificado de dados do cliente em trânsito ou em repouso por um usuário não autorizado que não tem permissões apropriadas é impedido por meio de políticas que seguem esses dados, mitigando assim o risco de que esses dados caiam em mãos erradas conscientemente ou sem saber e fornecendo funções de prevenção de perda de dados. Se usado como parte do Azure Proteção de Informações, o Azure RMS também fornecerá recursos de classificação e rotulagem de dados, marcação de conteúdo, controle de acesso a documentos e recursos de revogação de acesso. Para saber mais sobre esses recursos, consulte O que é o Azure Proteção de Informações, o roteiro de implantação do Azure Proteção de Informações e o tutorial de início rápido para o Azure Proteção de Informações.

Proteger a extensão do Internet Mail multiuso

As Extensões de Email da Internet Segura/Multiuso (S/MIME) são um padrão para criptografia de chave pública e assinatura digital de dados MIME. S/MIME é definido nos RFCs 3369, 3370, 3850, 3851 e outros. Ele permite que um usuário criptografe um email e assine digitalmente um email. Um email criptografado usando S/MIME só pode ser descriptografado pelo destinatário do email usando sua chave privada, que só está disponível para esse destinatário. Como tal, os emails não podem ser descriptografados por ninguém além do destinatário do email.

A Microsoft dá suporte a S/MIME. Os certificados públicos são distribuídos ao Active Directory local do cliente e armazenados em atributos que podem ser replicados para um locatário do Microsoft 365. As chaves privadas que correspondem às chaves públicas permanecem locais e nunca são transmitidas para Office 365. Os usuários podem compor, criptografar, descriptografar, ler e assinar digitalmente emails entre dois usuários em uma organização usando clientes do Outlook, Outlook na Web e Exchange ActiveSync.

Criptografia de Mensagem do Office 365

Office 365 OME (Criptografia de Mensagens) criado em cima do AIP (Azure Proteção de Informações) permite que você envie emails criptografados e protegidos por direitos para qualquer pessoa. O OME atenua ameaças como escutas telefônicas e ataques de homem no meio e outras ameaças, como acesso injustificado de dados por um usuário não autorizado que não tem permissões apropriadas. Fizemos investimentos que fornecem uma experiência de email mais simples, mais intuitiva e segura baseada em Proteção de Informações do Azure. Você pode proteger mensagens enviadas do Microsoft 365 para qualquer pessoa dentro ou fora de sua organização. Essas mensagens podem ser exibidas em um conjunto diversificado de clientes de email usando qualquer identidade, incluindo Azure Active Directory, Microsoft Account e IDs do Google. Para obter mais informações sobre como sua organização pode usar mensagens criptografadas, consulte Office 365 Criptografia de Mensagens.

Protocolo TLS   

Se você quiser garantir uma comunicação segura com um parceiro, poderá usar conectores de entrada e de saída para fornecer integridade de segurança e mensagem. Você pode configurar o TLS de entrada e saída forçados em cada conector, usando um certificado. O uso de um canal SMTP criptografado pode impedir que os dados sejam roubados por meio de um ataque de homem no meio. Para obter mais informações, consulte Como Exchange Online usa o TLS para proteger conexões de email.

Domain Keys Identified Mail (DKIM)

O Exchange Online Protection (EOP) e o Exchange Online suportam validação de entrada de mensagens de Email Identificado por Chaves de Domínio (DKIM). O DKIM é um método para validar que uma mensagem foi enviada do domínio do qual diz ter se originado e que não foi falsificada por outra pessoa. Ele vincula uma mensagem de email à organização responsável por enviá-la e faz parte de um paradigma maior de criptografia de email. Para obter mais informações sobre as três partes desse paradigma, confira: