Exportar (0) Imprimir
Expandir Tudo

Planejar o Gerenciamento de Direitos de Informação no Office 2013

 

Aplicável a: Office 365 ProPlus, Office 2013

Tópico modificado em: 2014-06-06

Resumo: use o Gerenciamento de Direitos de Informação (IRM) no Office 2013 para especificar permissões de acesso e usar documentos e mensagens privadas.

Público: profissionais de TI

Este artigo contém um resumo da tecnologia de IRM e de como ela funciona nos aplicativos do Office, junto com links para mais informações sobre como configurar e instalar os servidores e os softwares necessários para implantação do IRM no Office 2013.

ImportanteImportante
Este artigo faz parte do Roteiro de conteúdo para identidade, autenticação e autorização do Office 2013 para profissionais de TI. Use o mapa como um ponto inicial para artigos, downloads, pôsteres e vídeos que ajudam você a avaliar a identidade do Office 2013.
Você está procurando ajuda para aplicativos específicos do Office 2013? É possível encontrar essas informações pesquisando no Office.com.

Neste artigo:

O IRM (Gerenciamento de Direitos de Informação) é uma tecnologia persistente da Microsoft de nível de arquivo. Usa permissões e autorização para ajudar a prevenir que informações privadas sejam impressas, encaminhadas ou copiadas por indivíduos não autorizados. Quando a permissão para um documento ou uma mensagem é restrita por meio dessa tecnologia, as restrições de uso são transferidas juntamente com o documento ou a mensagem de email como parte do conteúdo do arquivo.

ObservaçãoObservação
A capacidade de criar conteúdo ou mensagens de email com permissões restritas usando o IRM está disponível no Office Professional Plus 2013 e em versões autônomas do Excel 2013, Outlook 2013, PowerPoint 2013, InfoPath 2013 e Word 2013. O conteúdo IRM criado no Office 2013 pode ser exibido no Office 2003, Office 2007, Office 2010 ou Office 2013.
Para obter mais informações sobre os recursos de IRM e Serviços de Gerenciamento de Direitos do Active Directory (AD RMS) com suporte no Office 2013, Office 2010, Office 2007 e Office 2003, consulte AD RMS e considerações de implantação do Microsoft Office.

O suporte ao IRM do Office 2013 ajuda na solução de duas questões fundamentais para as organizações e os operadores de informações:

  • Permissão restrita para informações sigilosas   O IRM ajuda na prevenção do acesso e da reutilização não autorizados de informações sigilosas. As organizações dependem de firewalls, medidas de segurança de logon e outras tecnologias de rede para proteger a propriedade intelectual sigilosa. Uma das limitações básicas no uso dessas tecnologias é que os usuários legítimos com acesso às informações podem compartilhá-las com pessoas não autorizadas, podendo causar uma violação nas políticas de segurança.

  • Privacidade, controle e integridade de informações   Os operadores de informações trabalham frequentemente com informações confidenciais ou sigilosas. Com o uso do IRM, os funcionários não precisam depender do critério de outros para garantir que os materiais sigilosos permaneçam dentro da empresa. O IRM elimina a capacidade do usuário de encaminhar, copiar ou imprimir informações confidenciais ajudando a desabilitar essas funções em documentos e mensagens com permissão restrita.

Para os gerentes de tecnologia de informação (TI), o IRM ajuda a habilitar a imposição de políticas corporativas existentes relacionadas a confidencialidade de documentos, fluxo de trabalho e retenção de email. Para CEOs e gerentes de segurança, o IRM reduz o risco de que informações importantes da empresa caiam em mãos erradas, seja por acidente, negligência ou má fé.

Os usuários do Office aplicam permissões às mensagens ou aos documentos utilizando opções na faixa de opções. Por exemplo, ao usar o comando Restringir edição, em Informações, Proteger documento. As opções de proteção disponíveis são baseadas nas políticas de permissão que você personaliza para sua organização. As políticas de permissão são grupos de direitos de IRM que você agrupa para aplicar como uma política. O Office 2013 também oferece vários grupos predefinidos de direitos, como Não encaminhar no Outlook 2013.

ObservaçãoObservação
Para o IRM proteger um documento no Office 2013, é necessário ter um servidor RMS local ou um Office 365 com RMS Online. Também é possível abrir conteúdo IRM protegido com uma Conta da Microsoft em versões mais antigas do Office e editá-los se houver permissão, no entanto, não é possível criar novos documentos protegidos com uma Conta da Microsoft.

Habilitar o IRM na sua organização geralmente exige acesso ao servidor de gerenciamento de direitos que executa o Windows Rights Management Services (RMS) para Windows Server 2003 ou o Active Directory Rights Management Services (AD RMS) para o Windows Server 2008, o Windows Server 2008 R2, o Windows Server 2012 ou o Windows Server 2012 R2. Também é possível usar o IRM utilizando uma conta individual da Microsoft para autenticar permissões, como descrito posteriormente neste artigo. As permissões são aplicadas usando autenticação, geralmente usando o serviço de diretório do Active Directory (AD DS). Uma conta da Microsoft pode ser usada para autenticar e conceder permissões se o Active Directory não estiver implantado.

Os usuários não precisam ter uma conta da Microsoft para ler documentos e mensagens protegidos. Para usuários que executam o Windows XP ou versões anteriores, o Visualizador do Excel e o Visualizador do Word permitem os usuários do Windows com as permissões corretas para ler alguns documentos com permissões restritas sem usar o software do Office. Usuários que executam o Windows XP ou versões anteriores podem usar o Outlook Web App ou o Suplemento de Gerenciamento de Direitos para Internet Explorer para ler mensagens de email com permissões restritas sem usar o software Outlook. Esta funcionalidade está disponível para usuários que executam o Windows 7, Windows 8, Windows 8.1, Windows Vista Service Pack 1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2. O software cliente Active Directory Rights Management Services é incluído com estes sistemas operacionais.

No Office 2013, as organizações podem criar as políticas de permissão que aparecem em aplicativos do Office. Por exemplo, é possível definir uma política de permissão denominada Confidencial da Empresa, que especifica que as mensagens de email ou os documentos que usam essa política somente podem ser abertos por usuários dentro do domínio da empresa. Não há nenhum limite para o número de políticas de permissão que podem ser criadas.

ObservaçãoObservação
O SharePoint Foundation suporta o uso de IRM em documentos armazenados em bibliotecas de documento. Usando o IRM, é possível controlar quais ações os usuários podem realizar em documentos quando abrem a partir de bibliotecas do SharePoint Foundation. Isto difere-se do IRM aplicado aos documentos armazenados em computadores clientes, onde o proprietário de um documento pode escolher quais direitos atribuir para cada usuário do documento. Para obter mais informações sobre como usar o IRM com bibliotecas de documentos, consulte Planejamento da biblioteca de documentos (SharePoint Foundation 2010).

Com o AD RMS no Windows Server 2008, no Windows Server 2008 R2 e no Windows Server 2012, os usuários podem compartilhar documentos protegidos por direito entre empresas com uma relação de confiança federada. Para obter mais informações, consulte Visão geral dos Serviços de Gerenciamento de Direito do Active Directory e Federando o AD RMS.

Também com o AD RMS, o Exchange Server 2012 oferece funcionalidade de email protegido por IRM incluindo proteção AD RMS para mensagens de caixa postal da Unificação de Mensagens e regras de proteção do Outlook que podem aplicar automaticamente proteção de IRM para mensagens no Outlook 2013 antes de deixar o cliente do Outlook. Para obter mais informações, consulte Novidades no Exchange 2013 e Compreendendo o Gerenciamento de Direitos de Informação.

Para obter mais informações sobre os Serviços de Gerenciamento de Direito do Active Directory.

Em uma instalação comum, o Windows Server 2003 implantado com o RMS ou o Windows Server 2008, o Windows Server 2008 R2, o Windows Server 2012 ou o Windows Server 2012 R2 implantado com o AD RMS permite usar as permissões de IRM com o Office 2013. Se um servidor RMS não está configurado no mesmo domínio que os usuários, as contas da Microsoft do usuário podem ser usadas para autenticar permissões, em vez do Active Directory. Os usuários devem ter acesso à Internet para se conectar aos servidores de conta da Microsoft.

É possível usar contas da Microsoft ao atribuir permissões aos usuários que precisam de acesso ao conteúdo de um arquivo restrito. Ao usar contas da Microsoft para autenticação, cada usuário deve ser concedido especificamente com permissões para um arquivo. Grupos de usuários não podem ser atribuídos com permissões para acessar um arquivo.

A aplicação de permissões de IRM a documentos ou mensagens de email exige o seguinte:

  • Acesso ao RMS para Windows Server 2003 ou AD RMS para Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2 para autenticar permissões. Em alternativa, a autenticação pode ser gerenciada usando a conta de serviço da Microsoft na Internet.

  • Software cliente de RM (Gerenciamento de Direitos). O software cliente de RM é fornecido no Windows Vista e nas versões posteriores ou está disponível como um suplemento para o Windows XP e o Windows Server 2003.

  • Microsoft Office 2003, Microsoft Office 2007, Office 2010 ou Office 2013. Apenas versões específicas do Office permitem os usuários criarem permissões IRM.

O Windows RMS ou o AD RMS gerencia o licenciamento e outras funções administrativas de servidor que funcionam com o IRM para fornecer gerenciamento de direitos. Um programa cliente habilitado para RMS, como o Office 2013, permite que os usuários criem e exibam conteúdo protegido por direitos.

Para saber mais sobre como o RMS funciona e como instalar e configurar um servidor RMS, consulte Serviços de Gerenciamento de Direitos do Active Directory.

O software cliente RM é incluído no Windows Vista, no Windows 7, no Windows 8 e no Windows 8.1. São exigidas a instalação e a configuração separadas do software cliente RMS necessário no Windows XP e no Windows Server 2003 para interagir com o RMS ou AD RMS no computador executando a conta de serviço do Windows ou Microsoft na Internet.

Baixe o RMS Client Service Pack para permitir que os usuários no Windows XP e Windows Server 2003 executem aplicativos que restringem permissões com base em tecnologias RMS.

Assim como no Office 2003, Office 2007 e Office 2010, o Office 2013 inclui grupos predefinidos de direitos que os usuários podem aplicar em documentos e mensagens, como Leitura e Mudança no Word 2013, Excel 2013 e PowerPoint 2013. É possível também definir políticas de permissão IRM personalizada para oferecer diferentes pacotes de direitos IRM para usuários em sua organização.

A criação e o gerenciamento de modelos de política de direitos são feitos pelo site de administração em seu RMS ou servidor AD RMS. Para obter informações sobre como criar, configurar e publicar modelos de política de permissão personalizada, consulte Guia passo a passo de implantação de modelos de política de direitos do AD RMS. Para regras de proteção do Exchange Server 2010 Outlook, consulte Compreendendo as regras de proteção do Outlook.

Os direitos que você pode incluir em modelos de política de permissões para o Office 2013 são listados nas próximas seções.

Cada direito de permissões de IRM listado na tabela a seguir pode ser imposto por aplicativos do Office 2013 configurados em uma rede que inclui um servidor executando RMS ou AD RMS.

Direitos de permissão IRM

Direito de IRM Descrição

Controle Total

Concede ao usuário todos os direitos listados nesta tabela e o direito de alterar permissões associadas ao conteúdo. A expiração não é aplicada aos usuários com Controle Total.

Exibição

Permite que o usuário abra o conteúdo do IRM. Isso corresponde ao Acesso de Leitura na interface de usuário do Office 2013.

Editar

Permite que o usuário configure o conteúdo do IRM.

Salvar

Permite que o usuário salve um arquivo.

Extrair

Permite que o usuário faça uma cópia de qualquer parte de um arquivo e cole essa parte do arquivo na área de trabalho de outro aplicativo.

Exportar

Permite que o usuário salve conteúdo em outro formato de arquivo usando o comando Salvar como. Dependendo do aplicativo que usa o formato de arquivo selecionado por você, o conteúdo pode ser salvo sem proteção.

Imprimir

Permite que o usuário imprima o conteúdo de um arquivo.

Permitir Macros

Permite que o usuário execute macros no conteúdo de um arquivo.

Encaminhar

Permite que um destinatário de email encaminhe uma mensagem de IRM e adicione ou remova destinatários das linhas Para: e Cc:.

Responder

Permite que os destinatários de email respondam a uma mensagem de email de IRM.

Responder a Todos

Permite que os destinatários de email respondam todos os usuários nas linhas Para: e Cc: de uma mensagem de email de IRM.

Exibir Direitos

Concede permissão ao usuário para exibir os direitos associados com um arquivo. O Office ignore este direito.

O Office 2013 oferece os seguintes grupos de direitos predefinidos que os usuários podem escolher quando criam conteúdo de IRM. As opções disponíveis na caixa de diálogo Permissão para Word 2013, Excel 2013 e PowerPoint 2013. No aplicativo do Office, selecione a guia Arquivo, escolha Informações, escolha o botão Proteger documento, selecione Acesso restrito e escolha nas opções listadas, que são preenchidas pelo modelo do servidor de Gerenciamento de Direitos Digital. A tabela a seguir lista os grupos de permissão predefinidas.

Grupos de permissão leitura/mudança predefinida

Grupo predefinido do IRM Descrição

Leitura

Usuários com permissão Leitura têm apenas o direito de exibição.

Alterar

Usuários com permissão Alterar possuem os direitos Exibir, Editar, Extrair, Exportar e Salvar.

No Outlook 2013, os usuários podem selecionar o seguinte grupo predefinido de direitos durante a criação de um item de email. A opção é acessada no item de email, escolhendo Arquivo, Informações e Definir Permissões. Escolha entre as opções listadas, que são preenchidas pelo modelo do servidor de Gerenciamento de Direitos Digital. A tabela a seguir lista os grupos de permissão de email predefinido.

Grupo “Não encaminhar” predefinido

Grupo predefinido do IRM Descrição

Não Encaminhar

No Outlook, o autor de uma mensagem de email de IRM pode aplicar a permissão Não Encaminhar aos usuários nas linhas Para:, Cc: e Cco:. Essa permissão inclui direitos Exibir, Editar, Responder e Responder a Todos.

Outras permissões de IRM podem ser especificadas no Word 2013, Excel 2013 e PowerPoint 2013. Em Informações, Proteger documento, escolha Editar restrições. Para mais opções de restrição, escolha Restringir permissão no final do painel Restringir edição. Por exemplo, os usuários podem especificar uma data de expiração, restringir outros usuários de imprimir ou copiar conteúdo e assim por diante.

Por padrão, o Outlook permite que as mensagens sejam exibidas por um navegador que tenha suporte para Gerenciamento de Direitos.

Quando os modelos da política de direitos estiver concluído, publique-os em um compartilhamento de servidor onde todos os usuários podem acessar os modelos e copie-os em uma pasta local no computador do usuário. As configurações de política IRM disponíveis no arquivo de modelo de Política de Grupo do Office (Office15.admx) podem ser definidas para o ponto no local onde os modelos de política de direitos são armazenados (localmente ou em um compartilhamento de servidor disponível). Para obter informações, consulte Arquivos de modelos administrativos do Office 2013 (ADMX, ADML) e Ferramenta de Personalização do Office.

É possível bloquear várias configurações para personalizar o IRM usando o modelo de Política de Grupo do Office (Office15.admx). Também é possível usar a Ferramenta de Personalização do Office (OCT) para definir as configurações padrões, que permitem os usuários definirem as configurações. Além disso, há opções de configuração IRM que podem ser definidas apenas usando as configurações de chave de Registro.

As configurações que você pode definir para IRM na Política de Grupo e usando a OCT listada na tabela a seguir. Na Política de Grupo, estas configurações estão em Configuração do Usuário\Modelos Administrativos\Microsoft Office 2013\Gerenciar Permissões Restritas. As configurações de OCT estão nos locais correspondentes da página Modificar configurações do usuário do OCT.

Configurações IRM para Política de Grupo ou OCT

Opção do IRM Descrição

Tempo limite do Active Directory para consultar uma entrada para expansão de grupo

Especificar o valor de tempo limite para consulta de uma entrada do Active Directory ao expandir um grupo.

URL para solicitação de permissões adicionais

Especifica o local onde o usuário poderá obter mais informações sobre como acessar o conteúdo do IRM.

Permite os usuários com versões anteriores do Office lerem com navegadores…

Permitir os usuários sem Office 2013 exibir direitos gerenciados pelo conteúdo usando o Suplemento de Gerenciamento de Direito para o Windows Internet Explorer.

Sempre expanda grupos no Office quando houver permissões de restrições para documentos

O nome do grupo é automaticamente expandido para exibir todos os membros do grupo quando os usuários aplicam permissões a um documento selecionando um nome de grupo na caixa de diálogo Permissão.

Sempre solicitar conexão dos usuários para verificar permissões

Usuários que abrem um documento do Office gerenciado por direitos devem ser conectar à rede de área local ou Internet para confirmar por RMS ou através de sua conta da Microsoft, que possuem uma licença IRM válida.

Nunca permitir que usuários especifiquem grupos ao restringirem permissões a documentos

Retorna um erro quando os usuários selecionam um grupo na caixa de diálogo Permissão: ''Você não pode publicar conteúdo nas Listas de Distribuição. Pode apenas especificar endereços de email para usuários individuais'.'

Impedir que os usuários alterem permissões em conteúdo com direitos gerenciados

Se essa opção estiver habilitada, os usuários poderão consumir conteúdo que já inclua permissões do IRM, mas não poderão aplicar essas permissões a um novo conteúdo, nem configurar os direitos de um documento.

Desligar a interface do usuário de Gerenciamento de Direitos de Informação

Desabilita todas as opções relacionadas ao Gerenciamento de Direitos dentro da interface do usuário de todos os aplicativos do Office.

Para obter mais informações sobre como personalizar essas configurações, consulte Configurar o Gerenciamento de Direitos de Informação no Office 2013.

As configurações que você pode definir para IRM no Registro estão listadas na tabela a seguir.

As configurações do Registro do IRM a seguir estão localizadas em HKCU\Software\Microsoft\Office\15.0\Common\DRM.

Opções de chave de Registro de IRM

Entrada de Registro Tipo Valor Descrição

RequestPermission

DWORD

1 = a caixa está marcada.

0 = a caixa está desmarcada.

Essa chave do Registro alterna o valor padrão da caixa de seleção Os usuários podem solicitar permissões adicionais de.

DoNotUseOutlookByDefault

DWORD

0 = Outlook é usado

1 = Outlook não é usado

A caixa de diálogo Permissão usa o Outlook para validar endereços de email inseridos nesta caixa de diálogo. Isto faz com que uma instância do Outlook seja iniciada quando restringir permissões. Desabilite a opção para usar esta chave.

A configuração do Registro do IRM a seguir está localizada em HKCU\Software\Microsoft\Office\15.0\Common\Security. Não há configuração de Política de Grupo correspondente.

Configuração de registro IRM para servidores de licença

Entrada de Registro Tipo Valor Descrição

LicenseServers

Key/Hive. Contém valores DWORD com o nome de um servidor de licença.

Definir para a URL do servidor. Se o valor de DWORD é 1, o Office não solicitará para obter uma licença, apenas irá obter a licença.

Se o valor for zero ou não há entrada de Registro para este servidor, o Office solicita uma licença.

Exemplo: se ‘http://contoso.com/_wmcs/licensing = 1’ for o valor da configuração, o usuário que estiver tentando obter a licença por esse servidor para abrir um documento com direitos gerenciados não será solicitado por uma licença.

A configuração do Registro do IRM a seguir está localizada em HKCU\Software\Microsoft\Office\15.0\Common\Security. Não há configuração de Política de Grupo correspondente.

Configuração do Registro de IRM para segurança

Entrada de Registro Tipo Valor Descrição

DRMEncryptProperty

DWORD

1 = o arquivo de metadados está criptografado.

0 = os metadados estão armazenados sem formatação. O valor padrão é 0.

Especifique se todos os metadados armazenados em um arquivo com direitos gerenciados deverão ser criptografados.

Para formatos Open XML (por exemplo, docx, xlsx, pptx e assim por diante), os usuários podem optar por criptografar os metadados do Office armazenados em um arquivo com direitos gerenciados. Os usuários podem criptografar todos os metadados do Office. Isso inclui referências de hiperlink ou deixar o conteúdo como não criptografado para que outros aplicativos possam acessar os dados.

Os usuários têm a opção de criptografar os metadados definindo uma chave do Registro. Você pode definir uma opção padrão para os usuários implantando a configuração do Registro. Não há opção para criptografar alguns dos metadados: pode-se criptografar todos os metadados ou nenhum.

Além disso, a configuração de Registro DRMEncryptProperty não determina se o armazenamento de metadados do cliente não Office, como o armazenamento criado no SharePoint 2013, é criptografado.

Esta opção de criptografia não se aplica ao Microsoft Office 2003 ou formatos de arquivos anteriores. O Office 2013 lida com formatos anteriores da mesma forma que faz no Office 2007 e no Microsoft Office 2003.

No Outlook 2013, os usuários podem criar e enviar mensagens de email que tenham permissão restrita para evitar que as mensagens sejam encaminhadas, impressas ou copiadas e coladas. Documentos, pastas de trabalho e apresentações do Office 2013 anexados às mensagens com permissão restrita também são automaticamente restritos.

Como administrador do Outlook, é possível configurar várias opções de email para o IRM, como desabilitar o IRM ou configurar o armazenamento da licença local em cache.

As seguintes configurações e recursos do IRM podem ser úteis ao configurar mensagens de email gerenciadas por direitos:

  • Configure o cache automático de licença para o IRM.

  • Ajude a inserir um período de expiração de mensagem de email.

  • Não use o Outlook para validar endereços de email para permissões de IRM.

ObservaçãoObservação
Para desabilitar o IRM no Outlook, você deve desabilitar o IRM para todos os aplicativos do Office. Não há opção separada para desabilitar apenas IRM no Outlook.

É possível bloquear a maioria das configurações para personalizar o IRM para o Outlook usando o modelo de Política de Grupo do Outlook (Outlk15.admx) ou o modelo de Política de Grupo do Office (Office15.admx). Em alternativa, é possível definir as configurações padrões para a maioria das opções usando a Ferramenta de Personalização do Office (OCT), que permite os usuários definirem as configurações. As configurações OCT estão em locais correspondentes na página Modificar configurações do usuário do OCT.

Opções IRM do Outlook

Local Opção do IRM Descrição

Microsoft Outlook 2013\Diversos

Não baixar informações de licença de permissões de direitos para email de IRM durante a sincronização de pastas do Exchange

Permite impedir que as informações de licença sejam armazenadas no cache local. Se estiver habilitada, os usuários precisarão se conectar à rede para recuperar informações de licença para abrir mensagens de email com direitos gerenciados.

Microsoft Outlook 2010\Opções do Outlook\Opções de Email\Opções de Email Avançadas

Ao enviar uma mensagem

Para impor a expiração de email, habilite e insira o número de dias antes de uma mensagem expirar. O período de expiração é imposto apenas quando os usuários enviam email com direitos gerenciados e a mensagem não pode ser acessada após o período de expiração.

Para obter mais informações sobre como personalizar essas configurações, consulte Configurar o Gerenciamento de Direitos de Informação no Office 2013.

A caixa de diálogo Permissão usa o Outlook para validar endereços de email inseridos nesta caixa de diálogo. Isto faz com que uma instância do Outlook inicie quando as permissões são restritas. É possível desabilitar esta opção usando a chave de Registro listada na tabela a seguir. Não há uma Política de Grupo correspondente ou configuração OCT para esta opção.

A configuração de Registro do IRM a seguir está localizada em HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM.

Opções de chave de Registro de IRM do Outlook

Entrada de Registro Tipo Valor Descrição

DoNotUseOutlookByDefault

DWORD

0 = Outlook é usado

1 = Outlook não é usado

Desabilite a opção para usar esta chave.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft