Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve os direitos de utilização que pode configurar para serem aplicados automaticamente quando uma etiqueta de confidencialidade de Proteção de Informações do Microsoft Purview é selecionada por utilizadores, administradores ou serviços configurados.
Os direitos de utilização são selecionados quando configura etiquetas de confidencialidade ou modelos de gestão de direitos para encriptação. Por exemplo, pode selecionar funções que configuram um agrupamento lógico de direitos de utilização ou configurar os direitos individuais separadamente. Em alternativa, os utilizadores podem selecionar e aplicar os direitos de utilização.
Importante
Utilize este artigo para compreender como os direitos de utilização foram concebidos para serem interpretados pelas aplicações.
As aplicações podem variar na forma como implementam direitos de utilização e recomendamos que consulte a documentação da sua aplicação e faça os seus próprios testes para marcar comportamento da aplicação antes de implementar na produção.
Direitos de utilização e descrições
A tabela seguinte lista e descreve os direitos de utilização que o Rights Management suporta e como são utilizados e interpretados. São listadas pelo respetivo nome comum, que é normalmente a forma como pode ver o direito de utilização apresentado ou referenciado, como uma versão mais amigável do valor de palavra única que é utilizado no código (a Codificação no valor da política).
Nesta tabela:
A Constante ou Valor da API é o nome do SDK para uma chamada à API DO SDK MSIPC ou microsoft Proteção de Informações, utilizada quando escreve uma aplicação que verifica um direito de utilização ou adiciona um direito de utilização a uma política.
Os nomes dos modelos do AD RMS estão incluídos para clientes no ou a migrar a partir da solução de gestão de direitos no local, Serviços de Gestão de Direitos Ativos.
| Direito de utilização | Descrição | Implementação |
|---|---|---|
| Nome comum: Editar Conteúdo, Editar Codificação na política: DOCEDIT |
Permite que o utilizador modifique, reorganize, formate ou ordene o conteúdo dentro da aplicação, o que inclui Office na Web. Não concede o direito de guardar a cópia editada. | Direitos personalizados do Office: como parte das opções Alterar e Controlo Total . Nome no portal do Microsoft Purview: Editar Conteúdo, Editar (DOCEDIT) Nome nos modelos do AD RMS: Editar Constante ou valor da API: MSIPC: Não aplicável. SDK MIP: DOCEDIT |
| Nome comum: Guardar Codificação na política: EDITAR |
Permite que o utilizador guarde o item na localização atual. No Office na Web, também permite que o utilizador edite o conteúdo. Nas aplicações do Office, este direito permite ao utilizador guardar os conteúdos do ficheiro numa nova localização e com um novo nome se o formato de ficheiro selecionado tiver suporte incorporado para o Rights Management. A lista de formatos de ficheiro disponíveis está restrita às que suportam o Rights Management. Esta restrição garante que a encriptação original não pode ser removida do ficheiro. |
Direitos personalizados do Office: como parte das opções Alterar e Controlo Total . Nome no portal do Microsoft Purview: Guardar (EDITAR) Nome nos modelos do AD RMS: Guardar Constante ou valor da API: MSIPC: IPC_GENERIC_WRITE L"EDIT"SDK MIP: EDIT |
| Nome comum: Comentário Codificação na política: COMMENT |
Ativa a opção para adicionar anotações ou comentários ao conteúdo. Este direito está disponível no SDK, está disponível como uma política ad hoc no módulo PurviewInformationProtection do PowerShell e foi implementado em algumas aplicações de fornecedor de software. No entanto, não é amplamente utilizado e não é suportado pelas aplicações do Office. |
Direitos personalizados do Office: não implementados. Nome no portal do Microsoft Purview: Não implementado. Nome nos modelos do AD RMS: não implementado. Constante ou valor da API: MSIPC: IPC_GENERIC_COMMENT L"COMMENTSDK MIP: COMMENT |
| Nome comum: Guardar Como, Exportar Codificação na política: EXPORTAR |
Ativa a opção para guardar o conteúdo num nome de ficheiro diferente (Guardar Como). Este direito também permite que o utilizador efetue outras opções de exportação em aplicações, como Enviar para o OneNote. |
Direitos personalizados do Office: como parte da opção Controlo Total . Nome no portal do Microsoft Purview: Guardar Como, Exportar (EXPORTAR) Nome nos modelos do AD RMS: Exportar (Guardar Como) Constante ou valor da API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT"SDK MIP: EXPORT |
| Nome comum: Reencaminhar Codificação na política: FORWARD |
Ativa a opção para reencaminhar uma mensagem de e-mail e adicionar destinatários às linhas Para e Cc . Este direito não se aplica a documentos; apenas mensagens de e-mail. Não permite que o reencaminhador conceda direitos a outros utilizadores como parte da ação de reencaminhamento. Quando conceder este direito, conceda também o direito Editar Conteúdo, Editar (nome comum) e, além disso, conceda o direito Guardar (nome comum) para garantir que a mensagem de e-mail encriptada não é entregue como um anexo. Especifique também estes direitos quando envia um e-mail para outra organização que utiliza o cliente do Outlook ou o Outlook Web App. Em alternativa, para os utilizadores na sua organização que estão isentos de utilizar a encriptação Rights Management porque implementou controlos de inclusão. |
Direitos personalizados do Office: negados ao utilizar a política padrão Não Reencaminhar . Nome no portal do Microsoft Purview: Reencaminhar (AVANÇAR) Nome nos modelos do AD RMS: Reencaminhar Constante ou valor da API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD"SDK MIP: FORWARD |
| Nome comum: Controlo Total Codificação na política: PROPRIETÁRIO |
Concede todos os direitos ao item e todas as ações disponíveis podem ser executadas. Inclui a capacidade de remover a encriptação e voltar a encriptar um documento. Tenha em atenção que este direito de utilização não é o mesmo que o proprietário do Rights Management. | Direitos personalizados do Office: como a opção personalizada Controlo Total . Nome no portal do Microsoft Purview: Controlo Total (PROPRIETÁRIO) Nome nos modelos do AD RMS: Controlo Total Constante ou valor da API: MSIPC: IPC_GENERIC_ALL L"OWNER"SDK MIP: OWNER |
| Nome comum: Imprimir Codificação na política: PRINT |
Ativa as opções para imprimir o conteúdo. | Direitos personalizados do Office: como a opção Imprimir Conteúdo em permissões personalizadas. Não é uma definição por destinatário. Nome no portal do Microsoft Purview: Imprimir (IMPRIMIR) Nome nos modelos do AD RMS: Imprimir Constante ou valor da API: MSIPC: IPC_GENERIC_PRINT L"PRINT"SDK MIP: PRINT |
| Nome comum: Responder Codificação na política: REPLY |
Ativa a opção Responder num cliente de e-mail, sem permitir alterações nas linhas Para ou Cc . Quando conceder este direito, conceda também o direito Editar Conteúdo, Editar (nome comum) e, além disso, conceda o direito Guardar (nome comum) para garantir que a mensagem de e-mail encriptada não é entregue como um anexo. Especifique também estes direitos quando envia um e-mail para outra organização que utiliza o cliente do Outlook ou o Outlook Web App. Em alternativa, para os utilizadores na sua organização que estão isentos de utilizar a proteção rights management porque implementou controlos de inclusão. | Direitos personalizados do Office: não aplicável. Nome nos modelos do AD RMS: Responder Constante ou valor da API: MSIPC: IPC_EMAIL_REPLYSDK MIP: REPLY |
| Nome comum: Responder a Todos Codificação na política: REPLYALL |
Ativa a opção Responder a Todos num cliente de e-mail, mas não permite que o utilizador adicione destinatários às linhas Para ou Cc . Quando conceder este direito, conceda também o direito Editar Conteúdo, Editar (nome comum) e, além disso, conceda o direito Guardar (nome comum) para garantir que a mensagem de e-mail encriptada não é entregue como um anexo. Especifique também estes direitos quando envia um e-mail para outra organização que utiliza o cliente do Outlook ou o Outlook Web App. Em alternativa, para os utilizadores na sua organização que estão isentos de utilizar o serviço Azure Rights Management porque implementou controlos de inclusão. | Direitos personalizados do Office: não aplicável. Nome no portal do Microsoft Purview: Responder a Todos (RESPONDER A TODOS) Nome nos modelos do AD RMS: Responder a Todos Constante ou valor da API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"SDK MIP: REPLYALL |
| Nome comum: Ver, Abrir, Ler Codificação na política: VER |
Permite que o utilizador abra o documento e veja o conteúdo. Além disso: - No Microsoft 365 Copilot e noutras aplicações de IA, o LLM permite que o LLM referencie o item com uma ligação, mas sem resumir o conteúdo, para que o utilizador possa abrir e ver o conteúdo fora da aplicação de IA. No Excel, este direito não é suficiente para ordenar dados, o que requer o seguinte direito: Editar Conteúdo, Editar. Para filtrar dados no Excel, precisa dos seguintes dois direitos: Editar Conteúdo, Editar e Copiar. |
Direitos personalizados do Office: como a opção Ler política personalizada, Ver . Nome no portal do Microsoft Purview: Ver, Abrir, Ler (VER) Nome nos modelos do AD RMS: Leitura Constante ou valor da API: MSIPC: IPC_GENERIC_READ L"VIEW"SDK MIP: VIEW |
| Nome comum: Copiar Codificação na política: EXTRACT |
Permite que as opções copiem dados (incluindo capturas de ecrã) do item para o mesmo item ou outro item. Além disso: - No Microsoft 365 Copilot e noutras aplicações de IA, permite que o LLM aceda e resuma o conteúdo do utilizador requerente. - Em algumas aplicações, este direito também permite que todo o documento seja guardado sem encriptação. No Microsoft Teams e em aplicações de partilha de ecrã semelhantes, o apresentador tem de ter este direito de apresentar com êxito um documento encriptado. Se o apresentador não tiver este direito, os participantes não podem ver o documento e este é apresentado como a preto. |
Direitos personalizados do Office: como a opção Permitir que os utilizadores com acesso de Leitura copiem conteúdo de política personalizada. Nome no portal do Microsoft Purview: Copiar (EXTRAIR) Nome nos modelos do AD RMS: Extrair Constante ou valor da API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"SDK MIP: EXTRACT |
| Nome comum: Ver Direitos Codificação na política: VIEWRIGHTSDATA |
Permite que o utilizador veja a política que é aplicada ao documento. Não suportado pelas aplicações do Office ou pelo cliente Proteção de Informações do Microsoft Purview. | Direitos personalizados do Office: não implementados. Nome no portal do Microsoft Purview: Ver Direitos (VIEWRIGHTSDATA). Nome nos modelos do AD RMS: Ver Direitos Constante ou valor da API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"SDK MIP: VIEWRIGHTSDATA |
| Nome comum: Alterar Direitos Codificação na política: EDITRIGHTSDATA |
Permite que o utilizador altere a política aplicada ao documento. Inclui a remoção da encriptação. Não suportado pelas aplicações do Office ou pelo cliente Proteção de Informações do Microsoft Purview. | Direitos personalizados do Office: não implementados. Nome no portal do Microsoft Purview: Editar Direitos (EDITRIGHTSDATA). Nome nos modelos do AD RMS: Editar Direitos Constante ou valor da API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"SDK MIP: EDITRIGHTSDATA |
| Nome comum: Permitir Macros Codificação na política: OBJMODEL |
Ativa a opção para executar macros ou efetuar outro acesso programático ou remoto ao conteúdo num documento. | Direitos personalizados do Office: como a opção de política personalizada Permitir Acesso Programático . Não é uma definição por destinatário. Nome no portal do Microsoft Purview: Permitir Macros (OBJMODEL) Nome nos modelos do AD RMS: Permitir Macros Constante ou valor da API: MSIPC: Não implementado. SDK MIP: OBJMODEL |
Direitos incluídos nos níveis de permissões
Algumas aplicações agrupam direitos de utilização em conjunto em níveis de permissões, para facilitar a seleção de direitos de utilização normalmente utilizados em conjunto. Estes níveis de permissões ajudam a abstrair um nível de complexidade dos utilizadores, para que possam escolher opções baseadas em funções. Por exemplo, Visualizador e Editor Restritos. Embora estas opções mostrem frequentemente aos utilizadores um resumo dos direitos, podem não incluir todos os direitos listados na tabela anterior.
Utilize a tabela seguinte para obter uma lista destes níveis de permissões e uma lista completa dos direitos de utilização que contêm. Os direitos de utilização são listados pelo respetivo nome comum.
| Nível de permissões | Aplicativos | Direitos de utilização incluídos |
|---|---|---|
| Visualizador | Portal do Microsoft Purview Proteção de Informações do Microsoft Purview cliente |
Ver, Abrir, Ler; Ver Direitos; Responder [1]; Responder a Todos [1]; Permitir Macros [2] Nota: para e-mails, utilize Revisor em vez deste nível de permissão para garantir que uma resposta por e-mail é recebida como uma mensagem de e-mail em vez de um anexo. O revisor também é necessário quando envia um e-mail para outra organização que utiliza o cliente do Outlook ou o Outlook Web App. Em alternativa, para os utilizadores na sua organização que estão isentos de utilizar o serviço Azure Rights Management porque implementou controlos de inclusão. |
|
Editor Restritos (Revisor Anterior[3]) |
Portal do Microsoft Purview Proteção de Informações do Microsoft Purview cliente |
Ver, Abrir, Ler; Guardar; Editar Conteúdo, Editar; Ver Direitos; Responder: Responder a Todos; Reencaminhar; Permitir Macros [2] |
|
Editor (Cocriar Anteriormente[3]) |
Portal do Microsoft Purview Proteção de Informações do Microsoft Purview cliente |
Ver, Abrir, Ler; Guardar; Editar Conteúdo, Editar; Copiar; Ver Direitos; Permitir Macros [2]; Guardar Como, Exportar [4]; Imprimir; Responder; Responder a Todos; Reencaminhar |
|
Owner (CoproprietárioAnteriormente[3]) |
Portal do Microsoft Purview Proteção de Informações do Microsoft Purview cliente |
Ver, Abrir, Ler; Guardar; Editar Conteúdo, Editar; Copiar; Ver Direitos; Alterar Direitos; Permitir Macros; Guardar Como, Exportar; Imprimir; Responder; Responder a Todos; Reencaminhar; Controlo Total |
Nota de rodapé 1
Não incluído no portal do Microsoft Purview.
Nota de rodapé 2
Não incluído na caixa de diálogo de permissões personalizadas no Word, Excel e PowerPoint para Windows (versão 2408+).
Nota de rodapé 3
O portal do Microsoft Purview e a caixa de diálogo de permissões personalizadas no Word, Excel e PowerPoint para Windows (versão 2411+) atualizaram a nomenclatura ao nível das permissões. O revisorchama-se agora Editor Restrito, o Cocriador chama-se agora Editor e o Coproprietário é agora denominado Proprietário. Outras aplicações continuam a utilizar a nomenclatura de nível de permissões original.
Nota de rodapé 4
Não incluído no portal do Microsoft Purview.
Opção Não Encaminhar para emails.
Os clientes e serviços do Exchange (por exemplo, o cliente do Outlook, Outlook na Web, regras de fluxo de correio do Exchange e ações DLP para o Exchange) têm uma opção adicional de proteção de direitos de informação para e-mails: Não Reencaminhar.
Embora esta opção seja apresentada aos utilizadores (e administradores do Exchange) como se fosse um modelo de Gestão de Direitos predefinido que podem selecionar, Não Reencaminhar não é um modelo. Em vez disso, a opção Não Reencaminhar é um conjunto de direitos de utilização que é aplicado dinamicamente pelos utilizadores aos respetivos destinatários de e-mail.
Quando a opção Não Reencaminhar é aplicada a um e-mail, o e-mail é encriptado e os destinatários têm de ser autenticados. Em seguida, os destinatários não podem reencaminhá-lo, imprimi-lo ou copiá-lo a partir do mesmo. Por exemplo, no cliente do Outlook, o botão Reencaminhar não está disponível, as opções do menu Guardar Como e Imprimir não estão disponíveis e não pode adicionar ou alterar destinatários nas caixas Para, Cc ou Bcc .
Os documentos do Office não encriptados anexados ao e-mail herdam automaticamente as mesmas restrições. Os direitos de utilização aplicados a estes documentos são Editar Conteúdo, Editar; Guardar; Ver, Abrir, Ler; e Permitir Macros. Se quiser direitos de utilização diferentes para um anexo ou se o seu anexo não for um documento do Office que suporte esta encriptação herdada, encripte o ficheiro antes de o anexar ao e-mail. Em seguida, pode atribuir os direitos de utilização específicos de que precisa para o ficheiro.
Diferença entre Não Reencaminhar e não conceder o direito de Utilização de reencaminhamento
Existe uma distinção importante entre aplicar a opção Não Reencaminhar e aplicar um modelo de gestão de direitos que não concede o direito de Reencaminhar utilização a um e-mail: a opção Não Reencaminhar utiliza uma lista dinâmica de utilizadores autorizados que se baseia nos destinatários escolhidos pelo utilizador do e-mail original; que os direitos no modelo têm uma lista estática de utilizadores autorizados que o administrador especificou anteriormente. Qual é a diferença? Vejamos um exemplo:
Um utilizador quer enviar por e-mail algumas informações para pessoas específicas no departamento de Marketing que não devem ser partilhadas com mais ninguém. Devem proteger o e-mail com um modelo de gestão de direitos que restringe os direitos (visualização, resposta e gravação) ao departamento de Marketing? Ou devem escolher a opção Não Reencaminhar ? Ambas as opções fariam com que os destinatários não conseguissem reencaminhar o e-mail.
Se aplicassem o modelo, os destinatários ainda poderiam partilhar as informações com outras pessoas no departamento de marketing. Por exemplo, um destinatário pode utilizar Explorer para arrastar e largar o e-mail numa localização partilhada ou numa pen USB. Agora, qualquer pessoa do departamento de marketing (e do proprietário do e-mail) que tenha acesso a esta localização pode ver as informações no e-mail.
Se aplicarem a opção Não Reencaminhar , os destinatários não poderão partilhar as informações com mais ninguém no departamento de marketing ao mover o e-mail para outra localização. Neste cenário, apenas os destinatários originais (e o proprietário do e-mail) poderão ver as informações no e-mail.
Observação
Utilize Não Reencaminhar quando for importante que apenas os destinatários escolhidos pelo remetente vejam as informações no e-mail. Utilize um modelo para e-mails para restringir direitos a um grupo de pessoas que o administrador especifica antecipadamente, independentemente dos destinatários escolhidos pelo remetente.
Opção Encriptar apenas para e-mails
Quando Exchange Online utiliza Criptografia de Mensagens do Microsoft Purview, fica disponível uma nova opção Encriptar e-mail para encriptar os dados sem restrições adicionais.
Esta opção está disponível para inquilinos que utilizam Exchange Online e podem ser selecionados da seguinte forma:
- No Outlook na Web com a opção Encriptar ou uma etiqueta de confidencialidade configurada para Permitir que os utilizadores atribuam permissões e a opção Encriptar Apenas
- Como outra opção de proteção de direitos para uma regra de fluxo de correio
- Como ação DLP do Microsoft Purview
-
A partir da aplicação Outlook para ambientes de trabalho e dispositivos móveis:
- Com uma etiqueta de confidencialidade configurada para Permitir que os utilizadores atribuam permissões e a opção Encriptar Apenas , para Windows, macOS, iOS e Android quando utiliza etiquetas de confidencialidade com as versões mínimas listadas na tabela para capacidades de etiquetas de confidencialidade no Outlook.
- Com a opção Encriptar no Windows e macOS, para as versões listadas na tabela de versões suportadas para Microsoft 365 Apps por canal de atualização.
Para obter mais informações sobre a opção encriptar apenas, consulte a seguinte mensagem de blogue quando foi anunciada pela primeira vez pela equipa do Office: Encriptar apenas a implementação no Office 365 Encriptação de Mensagens.
Quando esta opção está selecionada, o e-mail é encriptado e os destinatários têm de ser autenticados. Em seguida, os destinatários têm todos os direitos de utilização , exceto Guardar Como, Exportar e Controlo Total. Esta combinação de direitos de utilização significa que os destinatários não têm restrições, exceto que não podem remover a encriptação. Por exemplo, um destinatário pode copiar do email, imprimi-lo e encaminhá-lo.
Da mesma forma, por predefinição, os documentos não encriptados do Office anexados ao e-mail herdam as mesmas permissões. Estes documentos são encriptados automaticamente e, quando são transferidos, podem ser guardados, editados, copiados e impressos a partir de aplicações do Office pelos destinatários. Quando o documento é guardado por um destinatário, pode ser guardado num novo nome e até mesmo num formato diferente. No entanto, apenas os formatos de ficheiro que suportam a encriptação Rights Management estão disponíveis para que o documento não possa ser guardado sem a encriptação original. Se quiser direitos de utilização diferentes para um anexo ou se o seu anexo não for um documento do Office que suporte esta encriptação herdada, encripte o ficheiro antes de o anexar ao e-mail. Em seguida, pode atribuir os direitos de utilização específicos de que precisa para o ficheiro.
Em alternativa, pode alterar esta herança de encriptação de documentos ao especificar Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true com Exchange Online PowerShell. Utilize esta configuração quando não precisar de manter a encriptação original do documento após a autenticação do utilizador. Quando os destinatários abrem a mensagem de e-mail, o documento não é encriptado.
Observação
Se vir referências a DecryptAttachmentFromPortal, este parâmetro foi preterido para Set-IRMConfiguration. A menos que tenha definido anteriormente este parâmetro, este não está disponível.
Encriptar automaticamente documentos PDF com Exchange Online
Quando Exchange Online utiliza Criptografia de Mensagens do Microsoft Purview, pode encriptar automaticamente documentos PDF quando estes são anexados a um e-mail encriptado. O documento herda as mesmas permissões que as da mensagem de e-mail. Para ativar esta configuração, defina EnablePdfEncryption $True com Set-IRMConfiguration.
Os destinatários podem utilizar o Microsoft Edge para ver o documento PDF encriptado. Em alternativa, os destinatários podem ler o documento PDF encriptado no portal do OME.
Emissor do Rights Management e proprietário do Rights Management
Quando um item é encriptado através do serviço Azure Rights Management, a conta que encripta esse conteúdo torna-se automaticamente o emissor do Rights Management para esse conteúdo. Esta conta é registada como o campo emissor nos registos de utilização.
É sempre concedido ao emissor do Rights Management o direito de utilização Controlo Total do item e, além disso:
Se as definições de encriptação incluírem uma data de expiração, o emissor do Rights Management ainda pode abrir e editar o documento ou e-mail após essa data.
O emissor do Gerenciamento de Direitos sempre pode acessar o documento ou email offline.
O emissor do Gerenciamento de Direitos ainda pode abrir um documento após a sua revogação.
Por predefinição, esta conta é também o proprietário do Rights Management para esse conteúdo, o que acontece quando um utilizador que criou o item inicia a encriptação. No entanto, existem alguns cenários em que um administrador ou serviço pode encriptar conteúdos em nome dos utilizadores. Por exemplo:
Um administrador encripta ficheiros em massa numa partilha de ficheiros: a conta de administrador no Microsoft Entra ID encripta os documentos para os utilizadores.
O conector Rights Management encripta documentos do Office numa pasta Windows Server: a conta do principal de serviço no Microsoft Entra ID criado para o conector Rights Management encripta os documentos para os utilizadores.
Nestes cenários, o emissor do Rights Management pode atribuir o proprietário do Rights Management a outra conta através dos SDKs do Microsoft Proteção de Informações ou do PowerShell. Por exemplo, quando utiliza o cmdlet Set-LabelFile do PowerShell com o cliente Proteção de Informações do Microsoft Purview, pode especificar o parâmetro Proprietário para atribuir o proprietário do Rights Management a outra conta.
Quando o emissor do Rights Management encripta em nome dos utilizadores, a atribuição do proprietário do Rights Management garante que o proprietário do item original tem o mesmo nível de controlo para os respetivos conteúdos encriptados como se tivessem iniciado a encriptação.
Por exemplo, o utilizador que criou o documento pode imprimi-lo, mesmo que esteja agora etiquetado com definições de encriptação que não incluem o direito de utilização imprimir. O mesmo utilizador pode sempre aceder ao respetivo documento, independentemente da definição de acesso offline ou da data de expiração que possa ter sido configurada nas definições de encriptação. Além disso, uma vez que o proprietário do Rights Management tem o direito de utilização Controlo Total, este utilizador também pode encriptar novamente o documento para conceder acesso a utilizadores adicionais (altura em que o utilizador se torna o emissor do Rights Management, bem como o proprietário do Rights Management) e este utilizador até pode remover a encriptação. No entanto, apenas o emissor do Rights Management pode controlar e revogar um documento.
O proprietário do Rights Management para um item é registado como o campo proprietário-e-mail nos registos de utilização.
Observação
O proprietário do Rights Management é independente do Proprietário do sistema de ficheiros do Windows. Muitas vezes, são iguais, mas podem ser diferentes, mesmo que não utilize os SDKs ou o PowerShell.
Licença de uso do Gerenciamento de Direitos
Quando um utilizador abre um item que foi encriptado pelo serviço Azure Rights Management, é concedida ao utilizador uma licença de utilização do Rights Management para esse conteúdo. Esta licença de utilização é um certificado que contém os direitos de utilização do utilizador para o item e a chave de encriptação que foi utilizada para encriptar o conteúdo. A licença de utilização também contém uma data de expiração se esta tiver sido definida e durante quanto tempo a licença de utilização é válida.
Um utilizador tem de ter uma licença de utilização válida para abrir o conteúdo, além do respetivo certificado de conta de direitos (RAC), que é um certificado concedido quando o ambiente de utilizador é inicializado e, em seguida, renovado a cada 31 dias.
Durante a licença de utilização, o utilizador não é reauthenticado ou reautorizado para o conteúdo. Isto permite que o utilizador continue a abrir o item encriptado sem uma ligação à Internet. Quando o período de validade da licença de utilização expirar, da próxima vez que o utilizador aceder ao item encriptado, o utilizador tem de ser reauthentado e reautorizado.
Quando os itens são encriptados através de uma etiqueta de confidencialidade que define as definições de encriptação, pode alterar estas definições na etiqueta de confidencialidade sem ter de encriptar novamente o conteúdo. Se o utilizador já tiver acedido ao conteúdo, as alterações entrarão em vigor após a expiração da licença de utilização. No entanto, quando os utilizadores aplicam as próprias permissões (também conhecidas como permissões definidas pelo utilizador, permissões personalizadas ou uma política de direitos ad hoc) e estas permissões têm de ser alteradas após a encriptação do item, esse conteúdo tem de ser encriptado novamente com as novas permissões. As permissões definidas pelo utilizador para uma mensagem de e-mail são implementadas com a opção Não Reencaminhar.
O período de validade da licença de utilização predefinido para um inquilino é de 30 dias e pode configurar este valor com o cmdlet do PowerShell , Set-AipServiceMaxUseLicenseValidityTime. Pode configurar uma definição mais restritiva para quando a encriptação é aplicada através de uma etiqueta de confidencialidade configurada para atribuir permissões agora ou um modelo de gestão de direitos:
Quando configura uma etiqueta de confidencialidade, o período de validade da licença de utilização retira o respetivo valor da definição Permitir acesso offline .
Para obter mais informações e documentação de orientação para configurar esta definição para uma etiqueta de confidencialidade, veja a tabela de recomendações a partir das instruções sobre como configurar permissões agora para uma etiqueta de confidencialidade.
Quando configura um modelo de gestão de direitos com o PowerShell, o período de validade da licença de utilização obtém o valor do parâmetro LicenseValidityDuration nos cmdlets Set-AipServiceTemplateProperty e Add-AipServiceTemplate .
Para obter mais informações e documentação de orientação para configurar esta definição com o PowerShell, consulte a ajuda de cada cmdlet.