Implante proteção avançada em documentos e mensagens de e-mail no Office 365 com o Microsoft RMS–Parte 2: Configure e utilize IRM/RMS com Office e Add-on

BNNARMS

No começo desta semana, publiquei um artigo mostrando como implantar o IRM/RMS com Azure RMS. Desta vez irei mostrar como configurar o recurso nos cliente Windows e dispositivos móveis.

 

Como funciona o Gerenciamento de Direitos do Windows Azure Rights Management no Office 365?

Em alguns casos, a proteção de informações é aplicada automaticamente, de acordo com as políticas que você configurar. Por exemplo, esse é o caso de bibliotecas do SharePoint, arquivos confidenciais e regras de transporte do Exchange. Em outros casos, os usuários devem aplicar a proteção das informações diretamente em seus aplicativos, seja selecionando um modelo ou opções específicas. Por exemplo, este é o caso quando os usuários compartilham um arquivo por e-mail ou protegem um arquivo no local, restringindo o acesso ou o uso a usuários selecionados ou usuários fora da organização.

IC751074

Os modelos facilitam para os usuários (e administradores que configuram políticas) a aplicação do nível correto de proteção e restringir o acesso a pessoas dentro de sua organização. Embora o Azure Rights Management seja fornecido com dois modelos padrão, é recomendável criar modelos personalizados para reduzir as ocasiões em que eles precisam especificar as opções individuais.

Para os casos em que os próprios usuários devem aplicar as informações de proteção, lembre-se de dar orientações e instruções sobre como e quando fazer isso. As instruções devem ser específicas para o aplicativo e as versões que eles usam e como usam, e as orientações sobre quando e como aplicar as informações de proteção devem ser adequadas para seu negócio.

 

O Microsoft Office e o RMS

Os aplicativos do Microsoft Office suportam nativamente informações do Rights Management Service e permitem que os usuários apliquem proteção a um documento salvo ou a uma mensagem de e-mail a ser enviada. Os usuários podem aplicar modelos ou escolher configurações bem personalizadas de acesso, direitos e restrições de uso. Por exemplo, os usuários podem configurar um arquivo para que ele possa ser acessado somente por pessoas de sua organização, ou controlar se o arquivo pode ser editado ou restrito a somente leitura, ou impedir que ele seja impresso. Para arquivos que têm data para vencer, pode ser configurada uma data de validade (diretamente por usuários ou aplicando um modelo) para quando o arquivo não puder mais ser acessado. Para o Outlook, os usuários podem também escolher a opção Não Encaminhar para ajudar a evitar o vazamento de dados.

 

Posso ter proteção avançada do IRM/RMS no Exchange e no SharePoint?

A resposta é pode!

Ao usar o Exchange Online ou o Exchange Server, você pode usar a integração de gerenciamento de direitos de informação (IRM), que fornece soluções de proteção de informações adicionais como:

  • ActiveSync IRM
  • Regras de Proteção
  • Regras de Transporte
  • Políticas de DLP’s – Data Loss Prevention (Prevenção de Perda de Dados)
  • Em relação à SharePoint não é muito diferente, pois podemos utilizar estas tecnologias de proteção avançadas também em Microsoft SharePoint.

Ao usar o SharePoint Online ou o SharePoint Server, você pode usar a integração de gerenciamento de direitos de informação (IRM), que permite que os administradores protejam listas ou bibliotecas, para que um arquivo fique protegido quando um usuário fechá-lo e apenas pessoas autorizadas possam visualizar e usar o arquivo de acordo com as políticas de proteção de informações especificadas. Por exemplo, o arquivo pode ser somente leitura, pode desativar a cópia de texto, pode impedir que uma cópia local seja salva e pode evitar a impressão do arquivo

 

Configurando o IRM/RMS no seu ambiente de clientes

A partir do momento que você configura o IRM/RMS no seu Office 365 através do Azure RMS como mostrado em artigo anterior, suas estações de trabalho Windows, dispositivos móveis compatíveis e seu Office já fica preparado para receber as instruções e configurações para trabalhar com o recurso de proteção avançada. Acompanhe como configurar pela primeira vez no em um documento Office:

1.   Na guia Arquivo e na seção Informações vá até Proteger Documentos e escolha Restringir Acesso.

MC09885

 

Quando você configura o IRM/RMS pela primeira vez, a aplicação solicita uma conexão com os servidores de Gerenciamento de Direitos para obter os modelos de políticas que serão usados, veja:

 

MC09887

MC09888

Como as licenças de Office 365 são atreladas ao usuário e não mais à máquina (o modelo de licenciamento SaaS proporciona isso como já expliquei alguma vezes), a aplicação Office já reconhece a licença do usuário, valida se ele possui licença de Gerenciamento de Direitos do Azure e aplica os modelos de políticas.

Em outras palavras, ao tentar abrir pela primeira vez um documento ou uma mensagem de e-mail que utilize permissão restrita, você será conectado ao servidor de licenciamento. Se o servidor de licenciamento confirmar suas credenciais, ele emitirá uma licença de uso, definindo o seu nível de acesso a um arquivo. Esse processo é obrigatório para cada arquivo que utilize permissões restritas. Ou seja, não será possível abrir o conteúdo com permissão restrita se o servidor de licenciamento não tiver emitido uma licença de uso para esse conteúdo.

O download de permissões exige que o Microsoft Office envie suas credenciais (incluindo seu endereço de e-mail) e informações sobre seus direitos de permissão ao servidor de licenciamento. As informações contidas no documento ou na mensagem de e-mail (o conteúdo propriamente dito) não são enviadas ao servidor de licenciamento.

MC09886

MC09889

2.   . A opção Restringir Acesso oferece a possibilidade de você usar os modelos de políticas do IRM/RMS. São eles:

  • Acesso Irrestrito: Esta opção, usada por default, não aplica nenhuma restrição no documento, possibilitando que os usuários trabalhem no documento da mesma forma que uma empesa sem IRM/RMS ativado trabalharia
  • Acesso Restrito: Esta opção permite que você defina pessoas específicas para acessarem o documento. Esta restrição é definida pelo endereço de e-mail dos usuários que irão fazer o acesso. Nela, é possível definir também quais usuários apenas poderão ler o documento e quais usuários poderão editá-lo. É possível definir ainda se a pessoa poderá imprimir, copiar conteúdo ou não.
  • Confidencial: Restringe acesso ao documento apenas à usuários internos e bloqueia cópia de conteúdo e impressão
  • Somente para exibição confidencial: O documento só pode ser exibido para usuários internos e às pessoas destinadas. Neste tipo de proteção a´cópia de conteúdo não é possível, impressão, extração, e até print screen.

Aplicando a proteção IRM Acesso Restrito à documentos

1.   Na aplicação Officer, escolha Restringir Acesso e em seguida Acesso Restrito:

MC09891

 

2.   Ative a restrição flegando a caixa de seleção Restringir permissão a Documento e nas opções Ler ou Alterar, insira o endereço de e-mail dos usuários que deverão ter acesso de leitura e de alteração. No meu cenário, darei permissão de alteração para a Elaine:

MC09892

 

3.   Perceba que na configuração da permissão, existe o botão Mais Opções… que possibilita um controle de permissão mais granular, definindo se os usuários poderão copiarem conteúdo do documento ou realizarem impressões:

MC09893

 

Veja o resultado depois do documento protegido:

MC09894

 

MC09895

 

Depois de configurado todo o escopo de restrição do documento, salve e já pode entregá-lo ao(s ) destinatário(s ) (diretamente, por rede, hospedado em SharePoint, por Lync ou por e-mail).

Quando o(s ) seu(s ) remetente(s ) acessam, pela primeira vez, um documento protegido por direitos de informação do IRM/RMS, o Windows e o Office realiza as mesmas conexões aos servidores Azure RMS do Office 365 para confirmar as credenciais e habilitar a proteção antes de abrir o documento. Veja:

MC09896

O resultado disso é a Elaine abrindo o documento e sendo informada pelo Office que o mesmo possui restrições:

MC09897

MC09898

Ao clicar em Exibir Permissão… na faixa de notificações do Office ou indo até Arquivo>Informações, a Elaine consegue visualizar quais os tipos de ações estão bloqueadas no documento:

MC09899

 

MC098100

MC098102

MC098101

 

Veja agora uma restrição de acesso para Somente Leitura com o IRM/RMS:

MC098103

MC098104

Visualização a partir do usuário Elaine ao receber e abrir o documento:

MC098105

 

 

Aplicando a proteção IRM com o modelo de política Confidencial à documentos

1.   Na aplicação Officer, escolha Restringir Acesso e em seguida …Confidencial:

MC098106

 

MC098107

 

Note que, ao aplicar a política de IRM/RMS, as informações sobre o que é possível ou não realizar como um destinatário no documento ficam sempre disponível em um resumo das informações do documento:

MC098109

Acompanhe a experiência de abertura de documento da Elaine:

MC098110

 

Agora vem a melhor parte… depois do documento protegido com a política Confidencial, eu anexei-o à uma mensagem de e-mail e enviei-a à Elaine.

MC098112

Ao abrir o anexo do documento, além de visualizar as permissões a Elaine deu um print screen (usou a captura de tela), colou em um editor de imagens qualquer e salvou a imagem. Vejam o resultado:

MC098113

o.O

Pois é… pasme! ele bloqueia até captura de tela, substituindo o conteúdo do documento protegido por um plano de fundo preto!

Além disso, também desabilita a cópia e a impressão MESMO! Veja:

MC098114

MC098115

 

 

Aplicando a proteção IRM com o modelo de política Somente para Exibição Confidencial à documentos

Ao ser aplicada, o modelo de política IRM/RMS Somente para Exibição Confidencial exibe ao(s ) seu(s ) destinatário(s ) as seguintes informações:

MC098116

Apenas exibição! Isso mesmo Smiley piscando

Note que não é possível printar também:

MC098118

Nem Editar:

MC098117

Nem copiar, nem imprimir, nem salvar/salvar como nem exportar:

MC098119

Desta forma, eu concluo a demonstração sobre como utilizar o IRM/RMS do Azure RMS (Office 365) para proteger documentos com o próprio recurso Proteger Documento das aplicações Office.

 

Protegendo mensagens de e-mail com IRM/RMS do Azure RMS

Assim como documentos, mensagens de e-mail também podem ser protegidas pelo serviço Azure RMS. Quando a necessidade é proteger o conteúdo do corpo de uma mensagem de e-mail e não do(s ) seus(s ) anexo( s), o Azure RMS atende da mesma forma pois o Outlook também recebe as configurações dos servidores RMS e as aplica às mensagens. Vamos ver isso funcionando?

1.   Crie um e-mail da forma convencional como sempre faz. Preenchendo os destinatários, assunto e corpo da mensagem (com anexo ou não)

MC098120

2.   Na guia Opções da Faixa de Opções do Outlook, no grupo Permissão e na ferramenta Permissão, você encontra os mesmos modelos de políticas do IRM/RMS dos quais demonstrei na proteção de documentos:

MC098121

MC098122

 

Aplicando a proteção IRM com o modelo de política Não Encaminhar à mensagens de e-mail

1.   Opções>Permissão>Permissão>Não Encaminhar

Este modelo de política desabilita a opção de encaminhar uma mensagem com proteção IRM/RMS. Note que ao aplicar a o modelo de política, o Outlook exibe que tipo de restrição o destinatário encontrará ao receber a mensagem do Exchange Online – Office 365:

MC098123

Também é possível enviar mensagens protegidas por IRM/RMS via OWA – Outlook Web App, pois as políticas são ativadas lá também e um novo item surge nos menus do OWA (“definir permissões”), veja:

MC098124

MC098125

Ao receber a mensagem de e-mail, note que a Elaine não consegue encaminhar a mensagem pois a opção Encaminhar fica desativada tanto no Outlook quanto no OWA:

MC098128

WP_20140925_00_00_36_Pro2

WP_20140925_00_00_36_Pro3

MC098129

MC098130

 

 

Aplicando a proteção IRM com o modelo de política Confidencial e Somente para Exibição Confidencial em mensagens de e-mail

Escolhendo o segundo modelo de política de proteção de mensagens do Azure RMS (modelo “Confidencial”), o caminho é o mesmo (Opções>Permissão>Permissão>…Confidencial). Note que ao aplicar a proteção, a notificação no Outlook se altera conforme a escolha:

MC098126

Acompanhe a experiência de recebimento da mensagem pela Elaine:

MC098131

Veja que as opções Salvar Como, Salvar Anexos e Imprimir ficam REALMENTE desativadas:

MC098132

Para OWA as regras também se aplicam da mesma forma:

MC098131

 

Veja agora a aplicação do modelo de política Somente para Exibição Confidencial:

MC098127

Neste modelo, a Elaine não consegue ter ação nenhuma sobre o e-mail. Nem responder ela consegue:

MC098133

Ao tentar usar a Ferramenta de Captura de imagem de tela do próprio Windows, a Elaine não conseguiu pintar o recorte de tela pois o IRM/RMS protegeu também deixando o plano de fundo cinza, veja:

WP_20140924_23_59_20_Pro

 

Instalando e configurando o Microsoft Rigths Management

O aplicativo add-on Microsoft Rigths Management também pode ser utilizado para trabalhar com o IRM/RMS do Azure RMS. Embora seja possível trabalhar com as próprias opções do Office como eu já mostrei, com este complemento para proteger documentos, os usuários têm mais opções de personalizar o nível das restrições/permissões e gerencia de forma mais prática e rápida de uma única vez em uma mesma janela.

1.   Acesse https://portal.aadrm.com/home/download e escolha a sua plataforma para implantar o Microsoft RMS:

MC098134

2.   Avance na etapa de instalação e aguarde o Wizard instalar e configurar e aplicação para, por fim, concluí-la:

MC098135

MC098136

MC098137

Após a instalação e ativação do RMS no Office, o Add-on aparece na faixa de opções como uma nova ferramenta:

MC098138

MC098139

MC098140

MC098141

 

No meu cenário, escolhi proteger um documento do Microsoft Word. Clicando em Compartilhamento Protegido, na Faixa de Opções do meu Word, a ferramenta inicia:

MC098142

Neste momento, se é a primeira vez que irá usar IRM/RMS, como dito anteriormente, você será conectado ao servidor de licenciamento. Se o servidor de licenciamento confirmar suas credenciais, ele emitirá uma licença de uso, definindo o seu nível de acesso a um arquivo. Esse processo é obrigatório para cada arquivo que utilize permissões restritas. Ou seja, não será possível abrir o conteúdo com permissão restrita se o servidor de licenciamento não tiver emitido uma licença de uso para esse conteúdo:

MC098143

 

Em USUÁRIOS, inserem-se os destinatários que irão receber o documento protegido. Note que não é possível enviar documentos protegidos pelo IRM/RMS do Azure RMS para endereços de e-mail de provedores públicos como Gmail, Outlook.com, Yahoo Mail, etc. Veja:

MC098144

 

Agora sim, inserindo um endereço de e-mail com domínio personalizado, a ferramenta permite passar para as próximas etapas:

MC098145

Nesta etapa, configura-se o nível de permissão do documento:

MC098146

 

Define-se uma data de expiração para a permissão e se deverá ser disparado um e-mail para o remetente quando o arquivo for aberto pelo(s ) destinatário(s ):

MC098147

O serviço de RMS do Azure se encarrega de anexar o documento à uma mensagem de e-mail e incluir no rodapé da mensagem informações sobre a proteção dos anexos e, inclusive, o hyperlink que direciona o(s ) destinatário(s ) para o portal de instalação do Add-on Microsoft RMS para que abram os documentos protegidos e para que possam proteger os seus próprios documentos (desde que tenham licença de Gerenciamento de Direitos do Azure em suas licenças de Office 365):

MC098148

Veja como a Elaine recebe este e-mail:

MC098149

Verificação das propriedades de segurança do documento pela Elaine:

MC098151

Tentativa de dar print no e-mail e colar no Paint:

MC098152

Tentativa de usar a Ferramenta de Captura do Windows:

MC098150

 

Acompanhe agora a experiência de instalação do Add-on Microsoft RMS para um usuário que recebeu uma mensagem de e-mail protegida por direitos da informação e acessou o hyperlink para implantar seu o recurso na sua máquina:

MC098153

MC098154

MC098155

MC098156

MC098157

Após isto, ainda chega um e-mail da Microsoft para a Elaine informando o sucesso da configuração:

MC098158

Passará pelas mesmas etapas que eu passei:

MC098159

Pronto! A Elaine já está pronta para utilizar 100% das capacidades do IRM/RMS no Azure RMS – Office 365 com Windows e Office.

Espero que tenha gostado deste segundo artigo aonde abordo implementação de IRM/RMS do Azure RMS no Office 365. No próximo e terceiro artigo sobre este tema, abordarei proteção de arquivo com o Microsoft RMS diretamente no Windows Explorer e em dispositivos móveis Smiley piscando

Mauricio Cassemiro

Profissional de TI desde 2010, especialista Microsoft, Microsoft Office Specialist (MOS) em Microsoft Outlook e MVP de Office Servers and Services no Brasil.

Website: https://www.mauriciocassemiro.com

0 Comentários

  1. Outstanding post, you have pointed out some fantastic points, I as well think this is a very great website. dbbdfgafbcccebdk

  2. Fabio Pessoa

    Muito legal Cassemiro, top! Valeu por te escrito esse artigo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *