Compartilhar via

Microsoft Entra configuração para conteúdo encriptado

Se proteger itens confidenciais, como e-mails e documentos, através da encriptação do Serviço Azure Rights Management de Proteção de Informações do Microsoft Purview, existem algumas configurações Microsoft Entra que podem impedir o acesso autorizado a este conteúdo encriptado.

Da mesma forma, se os seus utilizadores receberem e-mails encriptados de outra organização ou colaborarem com outras organizações que encriptam documentos através do serviço Azure Rights Management, também denominado Azure RMS, os seus utilizadores poderão não conseguir abrir esse e-mail ou documento devido à forma como o respetivo ID de Microsoft Entra está configurado.

Por exemplo:

  • Um utilizador não consegue abrir e-mails encriptados enviados de outra organização. Em alternativa, um utilizador comunica que os destinatários de outra organização não podem abrir um e-mail encriptado que lhes tenham enviado.

  • A sua organização colabora com outra organização num projeto conjunto e os documentos do projeto são protegidos encriptando-os, concedendo acesso através de grupos no Microsoft Entra ID. Os utilizadores não podem abrir os documentos encriptados pelos utilizadores na outra organização.

  • Os utilizadores podem abrir com êxito um documento encriptado quando estão no escritório, mas não podem quando tentam aceder a este documento remotamente e é-lhes pedida autenticação multifator (MFA).

Para garantir que o acesso ao serviço de encriptação não é bloqueado inadvertidamente, utilize as secções seguintes para ajudar a configurar o ID de Microsoft Entra da sua organização ou reencaminhar as informações para um administrador Microsoft Entra noutra organização. Sem acesso a este serviço, os utilizadores não podem ser autenticados e não estão autorizados a abrir conteúdo encriptado.

Definições de acesso entre inquilinos e conteúdo encriptado

Importante

As definições de acesso entre inquilinos de outra organização podem ser responsáveis por os respetivos utilizadores não conseguirem abrir o conteúdo que os seus utilizadores encriptaram ou por os seus utilizadores não conseguirem abrir conteúdo encriptado pela outra organização.

A mensagem que os utilizadores veem indica que organização bloqueou o acesso. Poderá ter de direcionar o administrador Microsoft Entra de outra organização para esta secção.

Por predefinição, não há nada a configurar para que a autenticação entre inquilinos funcione quando os utilizadores protegem o conteúdo através da encriptação do serviço Azure Rights Management. No entanto, a sua organização pode restringir o acesso através das definições de acesso entre inquilinos Microsoft Entra Identidades Externas. Por outro lado, outra organização também pode configurar estas definições para restringir o acesso aos utilizadores na sua organização. Estas definições afetam a abertura de quaisquer itens encriptados, que incluem e-mails encriptados e documentos encriptados.

Por exemplo, outra organização pode ter definições configuradas que impedem os utilizadores de abrir conteúdo encriptado pela sua organização. Neste cenário, até que o administrador Microsoft Entra reconfigure as respetivas definições entre inquilinos, um utilizador externo que tente abrir esse conteúdo vê uma mensagem a informá-lo de que o Access está bloqueado pela sua organização com uma referência a O administrador inquilino.

Mensagem de exemplo para o utilizador com sessão iniciada na organização Fabrikam, Inc, quando o respetivo ID de Microsoft Entra local bloqueia o acesso:

Mensagem de exemplo quando o inquilino local Microsoft Entra bloqueia o acesso a conteúdos encriptados.

Os seus utilizadores verão uma mensagem semelhante quando for o seu Microsoft Entra configuração que bloqueia o acesso.

Do ponto de vista do utilizador com sessão iniciada, se for outra Microsoft Entra organização responsável por bloquear o acesso, a mensagem é bloqueada pela organização e apresenta o nome de domínio dessa outra organização no corpo da mensagem. Por exemplo:

Mensagem de exemplo quando outro inquilino Microsoft Entra bloqueia o acesso a conteúdos encriptados.

Sempre que as definições de acesso entre inquilinos restringem o acesso por aplicações, têm de ser configuradas para permitir o acesso ao serviço de gestão de direitos, que tem o seguinte ID de aplicação:

00000012-0000-0000-c000-000000000000

Se este acesso não for permitido, os utilizadores não podem ser autenticados e autorizados a abrir conteúdo encriptado. Esta configuração pode ser definida como predefinição e como uma definição organizacional:

  • Para permitir a partilha de conteúdo encriptado com outra organização, crie uma definição de entrada que permita o acesso ao Serviço Microsoft Rights Management (ID: 00000012-0000-0000-c000-000000000000).

  • Para permitir o acesso a conteúdos encriptados que os utilizadores recebem de outras organizações, crie uma definição de saída que permita o acesso ao Serviço Microsoft Rights Management (ID: 00000012-0000-0000-c000-00000000000)

Quando estas definições são configuradas para o serviço de encriptação, a aplicação apresenta o Microsoft Rights Management Services.

Para obter instruções para configurar estas definições de acesso entre inquilinos, veja Configurar definições de acesso entre inquilinos para colaboração B2B.

Se tiver configurado Microsoft Entra políticas de Acesso Condicional que requerem autenticação multifator (MFA) para os utilizadores, veja a secção seguinte sobre como configurar o Acesso Condicional para conteúdo encriptado.

Políticas de Acesso Condicional e documentos encriptados

Se a sua organização tiver implementado Microsoft Entra políticas de Acesso Condicional que incluem os Serviços de Gestão de Direitos da Microsoft e a política se estende a utilizadores externos que precisam de abrir documentos encriptados pela sua organização:

  • Para utilizadores externos que tenham uma conta Microsoft Entra no seu próprio inquilino, recomendamos que utilize as definições de acesso entre inquilinos de Identidades Externas para configurar definições de confiança para afirmações de MFA de uma, muitas ou de todas as organizações de Microsoft Entra externas.

  • Para utilizadores externos não abrangidos pela entrada anterior, por exemplo, utilizadores que não tenham uma conta Microsoft Entra ou que não tenham configurado definições de acesso entre inquilinos para definições de confiança, estes utilizadores externos têm de ter uma conta de convidado no seu inquilino.

Sem uma destas configurações, os utilizadores externos não conseguem abrir o conteúdo encriptado e ver uma mensagem de erro. O texto da mensagem pode informá-lo de que a conta tem de ser adicionada como um utilizador externo no inquilino, com a instrução incorreta para este cenário para Terminar sessão e iniciar sessão novamente com uma conta de utilizador Microsoft Entra diferente.

Se não conseguir cumprir estes requisitos de configuração para utilizadores externos que precisam de abrir conteúdo encriptado pela sua organização, tem de remover os Serviços de Gestão de Direitos da Microsoft das políticas de Acesso Condicional ou excluir utilizadores externos das políticas.

Para obter mais informações, consulte a pergunta mais frequente, vejo que os Serviços de Gestão de Direitos da Microsoft estão listados como uma aplicação na cloud disponível para acesso condicional – como é que isto funciona?

Contas de convidado para utilizadores externos abrirem documentos encriptados

Poderá precisar de contas de convidado no inquilino Microsoft Entra para que os utilizadores externos abram documentos encriptados pela sua organização. Opções para criar as contas de convidado:

  • Crie estas contas de convidado manualmente. Especifique qualquer endereço de email já usado por esses usuários. Por exemplo, o endereço do Gmail.

    A vantagem dessa opção é que você pode restringir o acesso e os direitos a usuários específicos, definindo o endereço de email nas configurações de criptografia. A desvantagem é a sobrecarga administrativa na criação da conta e na coordenação com a configuração do rótulo.

  • Utilize a integração do SharePoint e do OneDrive com Microsoft Entra B2B para que as contas de convidado sejam criadas automaticamente quando os seus utilizadores partilharem ligações.

    A vantagem dessa opção é a sobrecarga administrativa mínima, pois as contas são criadas automaticamente e a configuração do rótulo é mais simples. Nesse cenário, selecione a opção de criptografia Adicionar qualquer usuário autenticado, pois você não saberá os endereços de email com antecedência. O lado negativo é que essa configuração não permite restringir o acesso e os direitos de uso a usuários específicos.

Os usuários externos também podem usar uma conta Microsoft para abrir documentos criptografados ao usar o Windows e o Microsoft 365 Apps (anteriormente, aplicativos do Office 365) ou a edição autônoma do Office 2019. Mais recentemente com suporte para outras plataformas, as contas Microsoft também têm suporte para a abertura de documentos criptografados no macOS (Microsoft 365 Apps, versão 16.42+), no Android (versão 16.0.13029+) e no iOS (versão 2.42+).

Por exemplo, um usuário na organização compartilha um documento criptografado com um usuário de fora da organização, e as configurações de criptografia especificam um endereço de email do Gmail para o usuário externo. Esse usuário externo pode criar sua própria conta Microsoft que usa seu endereço de email do Gmail. Em seguida, após entrar com essa conta, será possível abrir o documento e editá-lo, de acordo com as restrições de uso especificadas para eles. Para um exemplo passo a passo desse cenário, confira Abrir e editar o documento protegido.

Observação

O endereço de e-mail da conta Microsoft tem de corresponder ao endereço de e-mail especificado para restringir o acesso às definições de encriptação.

Quando um usuário com uma conta Microsoft abre um documento criptografado dessa forma, ele cria automaticamente uma conta de convidado para o locatário se uma conta de convidado com o mesmo nome ainda não existir. Quando a conta de convidado existe, pode ser utilizada para abrir documentos no SharePoint e no OneDrive através de Office para a Web, além de abrir documentos encriptados a partir do ambiente de trabalho suportado e das aplicações móveis do Office.

No entanto, a conta de convidado automática não é criada imediatamente neste cenário, devido à latência da replicação. Se especificar endereços de e-mail pessoais como parte das definições de encriptação, recomendamos que crie contas de convidado correspondentes no Microsoft Entra ID. Em seguida, informe estes utilizadores de que têm de utilizar esta conta para abrir um documento encriptado da sua organização.

Dica

Uma vez que não tem a certeza de que os utilizadores externos irão utilizar uma aplicação cliente do Office suportada, a partilha de ligações do SharePoint e do OneDrive após a criação de contas de convidado (para utilizadores específicos) ou quando utiliza a integração do SharePoint e do OneDrive com Microsoft Entra B2B (para qualquer utilizador autenticado) é um método mais fiável para suportar a colaboração segura com utilizadores externos.

Definições de acesso entre clouds e conteúdo encriptado

As definições de acesso entre inquilinos permitem o acesso entre clouds a documentos encriptados. Como resultado, os utilizadores que fazem parte de uma organização noutro ambiente na cloud podem abrir ficheiros Word, Excel e PowerPoint encriptados pela sua organização. Por exemplo, estes utilizadores podem estar no Microsoft Azure Governamental ou no Microsoft Azure China (operado pela 21Vianet).

Cenários com suporte

Os seguintes cenários são suportados durante a pré-visualização pública:

  • As organizações na cloud Comercial do Microsoft Azure podem permitir o acesso a organizações na cloud do Microsoft Azure Governamental ou na cloud do Microsoft Azure China (operado pela 21Vianet) sem contactar a Microsoft.
  • As organizações na cloud do Microsoft Azure China (operado pela 21Vianet) podem permitir o acesso a organizações na cloud Comercial do Microsoft Azure sem contactar a Microsoft.
  • Os ficheiros encriptados Word, Excel e PowerPoint podem ser partilhados com utilizadores noutro ambiente na cloud e visualizados em dispositivos Windows, MacOS e móveis. Este cenário não se aplica a ficheiros partilhados através de ligações de partilha do SharePoint ou do OneDrive, mas sim a métodos como anexos de e-mail direto, pen USB, partilha de ficheiros ou partilhados e transferidos a partir do SharePoint.
  • Os PDFs encriptados e os ficheiros genericamente encriptados (extensão.pfile) podem ser partilhados com utilizadores noutro ambiente na cloud e visualizados através do Visualizador de Proteção de Informações do Microsoft Purview no Windows.
  • O utilizador pode ser, mas não tem de ser, um convidado na sua organização.
  • Os utilizadores e domínios externos podem ser configurados para etiquetas de confidencialidade que aplicam encriptação quando utiliza permissões definidas pelo administrador ou especificadas pelos utilizadores quando as etiquetas são configuradas para permissões definidas pelo utilizador.

Cenários não suportados

  • Email não é suportado, incluindo todos os clientes do Outlook.
  • Os visualizadores de PDF, como o Microsoft Edge ou o Adobe Acrobat, não são atualmente suportados.

Requisitos

  • Microsoft 365 Apps versão 2402 ou posterior ou Microsoft Office 2024.
  • Proteção de Informações do Microsoft Purview cliente 3.1.310.0 ou posterior.
  • Os administradores de ambos os lados têm de:
    • Configurar as definições de acesso entre inquilinos para permitir o acesso entre clouds
    • Adicionar a organização parceira como uma organização permitida
  • Os utilizadores que abrindo ficheiros encriptados têm de ter um endereço de e-mail atribuído.

Definições de acesso entre inquilinos: Ativar a colaboração entre clouds

É necessário um passo único para permitir a colaboração em diferentes ambientes na cloud:

  1. No centro de administração do Microsoft Entra, navegue para Identidades externas>Definições de acesso entre inquilinos.
  2. Selecione Definições da cloud da Microsoft.
  3. Selecione o ambiente na cloud que precisa para permitir a colaboração:
    • As organizações na Cloud Comercial veem o Microsoft Azure Governamental e o Microsoft Azure China (operado pela 21Vianet).
    • As organizações numa cloud soberana só veem a Cloud Comercial do Microsoft Azure.
  4. Selecione o ambiente na cloud onde a sua organização parceira está alojada e selecione Guardar.

Observação

Ambas as organizações têm de concluir este passo e selecionar a cloud de parceiros.

Definições de acesso entre inquilinos: Configurar definições organizacionais

Para configurar as definições organizacionais:

  1. No centro de administração do Microsoft Entra, navegue para Identidades externas>Definições de acesso entre inquilinos.
  2. Selecione Configurações organizacionais.
  3. Selecione Adicionar organização.
  4. Introduza o ID de inquilino Microsoft Entra para a organização parceira.
  5. Selecione Adicionar.

O ID do inquilino é apresentado na secção Descrição geral do centro de administração do Microsoft Entra e deve ser fornecido pela organização parceira.

Definições de acesso entre inquilinos: Confiar em afirmações de MFA externas

Se os utilizadores externos não forem convidados como convidados, as definições de fidedignidade de entrada devem ser configuradas para confiar em afirmações de MFA externas. Se os utilizadores forem convidados como convidados e confiar em afirmações de MFA externas, recomenda-se excluir utilizadores externos do registo MFA na sua organização.

Veja Gerir definições de acesso entre inquilinos para colaboração B2B para obter detalhes de configuração.

Definições de acesso entre inquilinos: Definições de acesso de entrada e saída

Os passos anteriores são suficientes para permitir que ambas as organizações consumam conteúdo protegido da organização parceira. Se quiser restringir a colaboração entre clouds para permitir apenas a desencriptação de documentos, excluindo outros serviços ou para tornar a relação unidirecional, reveja Definições de acesso entre inquilinos e conteúdo encriptado.

Alterações à partilha baseada em domínio

Quando o cenário de encriptação está confinado ao mesmo ambiente na cloud, especificar um único domínio para as definições de encriptação de etiqueta resulta na autenticação e autorização de todos os utilizadores da organização que detém o domínio especificado, independentemente do domínio de e-mail dos utilizadores. Para obter mais informações sobre este acesso baseado em domínio, veja a nota em Restringir o acesso ao conteúdo através de etiquetas de confidencialidade para aplicar a encriptação.

No entanto, a funcionalidade entre clouds depende dos dados incorporados nos tokens de acesso do Entra. A funcionalidade utiliza duas afirmações opcionais: verified_primary_email e verified_secondary_email.

Durante a autorização, estas afirmações são extraídas e avaliadas relativamente às permissões definidas na etiqueta. Quando o serviço de gestão de direitos avalia o acesso baseado em domínio, só pode avaliar os sufixos de e-mail fornecidos no token de acesso. Isto resulta num cenário em que as permissões definidas pelo administrador ou as permissões definidas pelo utilizador têm de conter um nome de domínio que mapeia exatamente para o sufixo de e-mail de um utilizador.

Problemas comuns entre clouds

Os utilizadores externos veem "O acesso está bloqueado pela sua organização" quando tentam abrir ficheiros encriptados

As definições de acesso entre inquilinos não estão configuradas corretamente num ou em ambos os lados. Reveja a secção Definições de acesso entre inquilinos e conteúdo encriptado nesta página e os exemplos específicos entre clouds.

AADSTS90072: Os utilizadores nonguest veem "Conta de utilizador {user@contoso.com} do fornecedor de identidade 'microsoftonline.com' não existe em..."

Este erro indica que as afirmações de MFA externas não são fidedignas. Para obter detalhes de configuração, veja Gerir definições de acesso entre inquilinos para colaboração B2B.

Próximas etapas

Para obter as configurações de adição que poderá ter de efetuar, veja Restringir o acesso a um inquilino. Específico da configuração da infraestrutura de rede para o serviço Azure Rights Management, veja Firewalls e infraestrutura de rede.

Se utilizar etiquetas de confidencialidade para encriptar documentos e e-mails, poderá estar interessado em Suporte para utilizadores externos e conteúdos etiquetados para compreender que definições de etiqueta se aplicam entre inquilinos. Para obter orientações de configuração para as definições de encriptação de etiquetas, veja Restringir o acesso ao conteúdo através de etiquetas de confidencialidade para aplicar a encriptação.

Está interessado em saber como e quando o serviço de encriptação é acedido? Veja Instruções sobre como o serviço funciona: Primeira utilização, encriptação de conteúdo, consumo de conteúdo.

  • Last updated on