Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Antes de utilizar o serviço Azure Rights Management para encriptar conteúdos para a sua organização, compreenda como o serviço funciona com contas para utilizadores e grupos no Microsoft Entra ID.
Existem diferentes formas de criar estas contas para utilizadores e grupos, que incluem:
Pode criar os utilizadores no Centro de administração do Microsoft 365 e os grupos no centro de administração do Exchange Online.
Pode criar os utilizadores e grupos no portal do Azure.
Pode criar os utilizadores e o grupo com cmdlets do PowerShell.
Pode criar os utilizadores e grupos na sua Active Directory local e sincronizá-los para Microsoft Entra ID.
Crie os utilizadores e grupos noutro diretório e sincronize-os para Microsoft Entra ID.
Quando cria utilizadores e grupos através dos três primeiros métodos desta lista, com uma exceção, estes são criados automaticamente no Microsoft Entra ID e o serviço Azure Rights Management pode utilizar estas contas diretamente. No entanto, algumas redes empresariais utilizam um diretório no local para criar e gerir utilizadores e grupos. O serviço Azure Rights Management não pode utilizar estas contas diretamente; tem de sincronizá-los para Microsoft Entra ID.
A exceção referida no parágrafo anterior são as listas de distribuição dinâmicas que pode criar para Exchange Online. Ao contrário das listas de distribuição estática, estes grupos não são replicados para Microsoft Entra ID, pelo que não podem ser utilizados pelo serviço Azure Rights Management.
Como os utilizadores e grupos são utilizados pelo serviço Azure Rights Management
Existem dois cenários para utilizar utilizadores e grupos com o serviço Azure Rights Management:
Para definições de encriptação quando utiliza o serviço Azure Rights Management para encriptar documentos e e-mails. Os administradores e utilizadores podem selecionar utilizadores e grupos que podem abrir o conteúdo encriptado e, além disso:
Direitos de utilização que determinam como podem utilizar o conteúdo. Por exemplo, se só podem lê-lo ou lê-lo e imprimi-lo ou lê-lo e editá-lo.
Os controlos de acesso incluem uma data de expiração e se é necessária uma ligação à Internet para acesso.
Para configurar o serviço Azure Rights Management para suportar cenários específicos e, portanto, apenas os administradores selecionam estes grupos. Os exemplos incluem a configuração do seguinte:
Superutilizadores, para que os serviços ou pessoas designados possam abrir conteúdo encriptado, se necessário, para a Deteção de Dados Eletrónicos ou recuperação de dados.
Administração delegada do serviço Azure Rights Management.
Controlos de inclusão para suportar uma implementação faseada.
Requisitos do serviço Azure Rights Management para contas de utilizador
Para definições de encriptação e configuração do serviço Azure Rights Management:
Para autorizar utilizadores, são utilizados dois atributos no Microsoft Entra ID: proxyAddresses e userPrincipalName.
O atributo Microsoft Entra proxyAddresses armazena todos os endereços de e-mail de uma conta e pode ser preenchido de formas diferentes. Por exemplo, um utilizador no Microsoft 365 que tenha uma caixa de correio Exchange Online tem automaticamente um endereço de e-mail armazenado neste atributo. Se atribuir um endereço de e-mail alternativo a um utilizador do Microsoft 365, este também será guardado neste atributo. Também pode ser preenchido pelos endereços de e-mail que são sincronizados a partir de contas no local.
O serviço Azure Rights Management pode utilizar qualquer valor neste Microsoft Entra atributo proxyAddresses, desde que o domínio tenha sido adicionado ao seu inquilino (um "domínio verificado"). Para obter mais informações sobre a verificação de domínios:
Para Microsoft Entra ID: Adicionar um nome de domínio personalizado ao Microsoft Entra ID
Para o Microsoft 365: Adicionar um domínio ao Microsoft 365
O atributo Microsoft Entra userPrincipalName só é utilizado quando uma conta no inquilino não tem valores no atributo Microsoft Entra proxyAddresses. Por exemplo, crie um utilizador no portal do Azure ou crie um utilizador para o Microsoft 365 que não tenha uma caixa de correio.
Definições de encriptação para utilizadores externos
Além de utilizar o Microsoft Entra proxyAddresses e Microsoft Entra userPrincipalName para utilizadores no seu inquilino, o serviço Azure Rights Management também utiliza estes atributos da mesma forma para autorizar utilizadores de outro inquilino.
Outros métodos de autorização:
Para endereços de e-mail que não estão no Microsoft Entra ID, o serviço Azure Rights Management pode autorizá-los quando são autenticados com uma conta Microsoft. No entanto, nem todas as aplicações podem abrir conteúdo encriptado quando uma conta Microsoft é utilizada para autenticação.
Quando um e-mail é enviado através de Criptografia de Mensagens do Microsoft Purview a um utilizador que não tem uma conta no Microsoft Entra ID, o utilizador é autenticado pela primeira vez através da federação com um fornecedor de identidade social ou através de um código de acesso único. Em seguida, o endereço de e-mail especificado no e-mail protegido é utilizado para autorizar o utilizador.
Requisitos de serviço do Azure Rights Management para contas de grupo
Para atribuir direitos de utilização e controlos de acesso:
- Pode utilizar qualquer tipo de grupo no Microsoft Entra ID que tenha um endereço de e-mail que contenha um domínio verificado para o inquilino do utilizador. Um grupo que tenha um endereço de e-mail é frequentemente referido como um grupo com capacidade de correio.
Para configurar o serviço Azure Rights Management:
Pode utilizar qualquer tipo de grupo no Microsoft Entra ID que tenha um endereço de e-mail de um domínio verificado no seu inquilino, com uma exceção. Essa exceção ocorre quando configura controlos de inclusão para utilizar um grupo, que tem de ser um grupo de segurança no Microsoft Entra ID do seu inquilino.
Pode utilizar qualquer grupo no Microsoft Entra ID (com ou sem um endereço de e-mail) de um domínio verificado no seu inquilino para administração delegada do serviço Azure Rights Management.
Definições de encriptação para grupos externos
Além de utilizar o Microsoft Entra proxyAddresses para grupos no seu inquilino, o serviço Azure Rights Management também utiliza este atributo da mesma forma para autorizar grupos de outro inquilino.
Utilizar contas do Active Directory no local
Se tiver contas geridas no local que pretende utilizar com o serviço Azure Rights Management, tem de as sincronizar com Microsoft Entra ID. Para facilitar a implementação, recomendamos que utilize o Microsoft Entra Connect. No entanto, pode utilizar qualquer método de sincronização de diretórios que obtenha o mesmo resultado.
Quando sincroniza as suas contas, não precisa de sincronizar todos os atributos. Para obter uma lista dos atributos que têm de ser sincronizados, veja a secção Azure RMS na documentação do Microsoft Entra.
Na lista de atributos do Azure Rights Management, pode ver que para os utilizadores, os atributos do AD no local de correio, proxyAddresses e userPrincipalName são necessários para sincronização. Os valores de correio e proxyAddresses são sincronizados com o atributo Microsoft Entra proxyAddresses. Para obter mais informações, veja How the proxyAddresses attribute is populated in Microsoft Entra ID (Como o atributo proxyAddresses é preenchido no ID do Microsoft Entra)
Considerações se os endereços de e-mail forem alterados
Se alterar o endereço de e-mail de um utilizador ou grupo, recomendamos que adicione o endereço de e-mail antigo como um segundo endereço de e-mail (também conhecido como endereço proxy, alias ou endereço de e-mail alternativo) ao utilizador ou grupo. Ao fazê-lo, o endereço de e-mail antigo é adicionado ao atributo Microsoft Entra proxyAddresses. Esta administração de conta garante a continuidade do negócio para quaisquer direitos de utilização ou outras configurações que tenham sido guardadas quando o endereço de e-mail antigo estava a ser utilizado.
Se não conseguir fazê-lo, o utilizador ou grupo com o novo endereço de e-mail corre o risco de lhe ser negado o acesso a documentos e e-mails que estavam anteriormente protegidos com o endereço de e-mail antigo. Neste caso, tem de repetir a configuração de proteção para guardar o novo endereço de e-mail. Por exemplo, se o utilizador ou grupo tiver direitos de utilização em modelos ou etiquetas, edite esses modelos ou etiquetas e especifique o novo endereço de e-mail com os mesmos direitos de utilização que concedeu ao endereço de e-mail antigo.
Tenha em atenção que é raro um grupo alterar o respetivo endereço de e-mail e, se atribuir direitos de utilização a um grupo em vez de utilizadores individuais, não importa se o endereço de e-mail do utilizador é alterado. Neste cenário, os direitos de utilização são atribuídos ao endereço de e-mail do grupo e não aos endereços de e-mail de utilizador individuais. Este é o método mais provável (e recomendado) para um administrador configurar direitos de utilização que protegem documentos e e-mails. No entanto, normalmente, os utilizadores podem atribuir permissões personalizadas a utilizadores individuais. Uma vez que nem sempre pode saber se uma conta de utilizador ou grupo foi utilizado para conceder acesso, é mais seguro adicionar sempre o endereço de e-mail antigo como um segundo endereço de e-mail.
Colocação em cache da associação a grupos
Por motivos de desempenho, o serviço Azure Rights Management coloca em cache a associação ao grupo. Esta colocação em cache significa que quaisquer alterações à associação a grupos no Microsoft Entra ID podem demorar até três horas a entrar em vigor quando estes grupos são utilizados pelo serviço Azure Rights Management e este período de tempo está sujeito a alterações.
Lembre-se de considerar este atraso em quaisquer alterações ou testes que faça quando utiliza grupos para conceder direitos de utilização ou configurar o serviço Azure Rights Management.
Próximas etapas
Quando tiver confirmado que os seus utilizadores e grupos podem ser utilizados com o serviço Azure Rights Management, marcar se precisa de ativar o serviço Azure Rights Management:
A partir de fevereiro de 2018: se a sua subscrição que inclui o Azure Rights Management ou Proteção de Informações do Microsoft Purview tiver sido obtida durante ou depois deste mês, o serviço será automaticamente ativado.
Se a sua subscrição tiver sido obtida antes de fevereiro de 2018: tem de ativar o serviço manualmente.
Para obter mais informações, incluindo a verificação do status de ativação, veja Ativar o serviço Azure Rights Management.