Proteger a caixa postal no Exchange Server

Artigo
04/04/2023

Aplica-se a: Exchange Server 2013, Exchange Server 2016

Alguns sistemas de telefonia PBX (Private Branch eXchange) e IP PBX herdados permitem que o chamador marque uma mensagem de correio de voz como privada, bloqueando o destinatário pretendido da mensagem de encaminhá-la para outras pessoas. Em sistemas de correio de voz integrados, uma mensagem de voz pode ser acessada de várias maneiras, o que torna mais um desafio impedir que mensagens de voz marcadas como privadas sejam expostas a ouvintes não intencionais.

O UM (Unified Messaging) pode ser configurado para usar o AD RMS (Active Directory Rights Management Services) para proteger mensagens de voz para uma organização. Esse recurso é conhecido como Caixa Postal Protegida.

Quando uma mensagem de voz é protegida, o destinatário não só é impedido de encaminhar a mensagem, mas também garante que apenas o destinatário ou os destinatários pretendidos da mensagem possam acessar seu conteúdo. As mensagens de voz protegidas podem ser acessadas usando o Microsoft Outlook 2010 ou posterior, Outlook Web App, ou o Outlook Voice Access.

Visão geral do Email protegido

O recurso de Email protegido está disponível com o Exchange 2010 e versões posteriores do UM (Unified Messaging). Ele pode ser configurado em uma política de caixa de correio um e todas as configurações de Email protegido podem ser configuradas usando o Console de Gerenciamento do Exchange ou o Shell no Exchange 2010 ou usando o Centro de Administração do Exchange (EAC) ou cmdlets no Shell no Exchange 2013.

O Voice Mail protegido é implementado aplicando o IRM (Gerenciamento de Direitos de Informação) a mensagens de voz. Quando as mensagens de voz são protegidas pela UM:

Os usuários podem responder a mensagens de voz protegidas.
Os destinatários de uma mensagem de voz não podem encaminhá-la.
Os usuários não podem salvar uma cópia da mensagem de voz.
Os usuários não podem salvar ou copiar o áudio anexado da mensagem de voz.
Uma mensagem de voz só pode ser aberta pelo destinatário ou destinatários pretendidos.

Tanto mensagens de voz que atendem chamadas quanto mensagens de voz interpessoais (mensagens de voz enviadas a um usuário usando o Outlook Voice Access) podem ser protegidas pela UM. No entanto, a proteção não será aplicada aos seguintes tipos de mensagens:

Mensagens de fax.
Mensagens que não são de voz. Por exemplo, mensagens de email ou solicitações de reunião, mesmo quando são criadas usando o Outlook Voice Access (respostas de voz).

Visão geral dos Serviços de Gerenciamento de Direitos do Active Directory

O AD RMS, um componente do Windows Server 2008 e versões posteriores, está disponível para ajudar a proteger arquivos para que apenas os usuários que o remetente pretende exibir um arquivo possam fazê-lo. O AD RMS protege um arquivo especificando os direitos que um usuário deve ter para acessar o arquivo. Os direitos podem ser configurados para permitir que um usuário abra, modifique, imprima, encaminhe ou tome outras ações com as informações gerenciadas por direitos. Com o AD RMS, você pode proteger os dados quando eles são distribuídos fora da rede.

Um sistema AD RMS tem um servidor e um componente cliente, incluindo o seguinte:

Um servidor que tem o Windows Server 2008 R2 ou uma versão posterior instalada que está executando a função de servidor dos Serviços de Gerenciamento de Direitos do Active Directory, que lida com certificados e licenciamento.
Um servidor de banco de dados.
O cliente do AD RMS. A versão mais recente do cliente do AD RMS é incluída como parte dos sistemas operacionais Windows 7 e Windows 8.

O componente do servidor é composto por vários serviços Web executados em um servidor da Microsoft, como o Windows Server 2008 ou uma versão posterior. O componente cliente pode ser executado em um sistema operacional cliente ou servidor e inclui funções que permitem a um aplicativo criptografar e descriptografar conteúdo, recuperar modelos e listas de revogação e adquirir licenças e certificados de um servidor.

Usando o AD RMS e o cliente do AD RMS, você pode aumentar a estratégia de segurança de uma organização protegendo informações por meio de políticas de uso persistentes que permanecem com as informações, independentemente de onde elas sejam movidas. Você pode usar o AD RMS para ajudar a evitar que informações confidenciais (como relatórios financeiros, especificações do produto, dados do cliente e mensagens confidenciais de email e correio de voz) entrem intencionalmente ou acidentalmente em mãos erradas. Para obter informações detalhadas, consulte Visão geral do AD RMS.

No Exchange UM, você pode usar recursos do IRM (Information Rights Management) para aplicar proteção persistente a mensagens e anexos.

Usando os recursos IRM e o Protected Voice Mail, sua organização e seus usuários podem controlar os direitos que os destinatários têm para acessar mensagens de email e correio de voz. O IRM também pode ser usado para restringir ações do destinatário, como encaminhar uma mensagem para outros destinatários, imprimir uma mensagem ou anexo ou extrair conteúdo de mensagem ou anexo copiando e colando.

Requisitos de IRM

Antes de implementar o IRM no Exchange, primeiro você deve implantar e configurar sua infraestrutura do AD RMS. Para obter informações detalhadas, consulte Active Directory Rights Management Services. Para implementar o IRM para dar suporte ao Protected Voice Mail em sua organização do Exchange, sua implantação deve atender aos requisitos a seguir.

Servidor	Requisito
AD RMS Cluster	Windows Server 2008 R2 Standard ou Enterprise com SP1 ou Windows Server 2012 Standard ou Datacenter. Para obter mais informações sobre os requisitos do sistema, consulte Requisitos do sistema do Exchange 2013. SCP (ponto de conexão de serviço): os aplicativos com reconhecimento do Exchange 2013 e do AD RMS usam o SCP registrado no Active Directory para descobrir clusters e URLs do AD RMS. O AD RMS permite que você registre o SCP na configuração do AD RMS. Se a conta usada para configurar o AD RMS não for um membro do grupo de segurança de administradores corporativos, o registro SCP poderá ser realizado após a configuração. Há apenas um SCP para AD RMS em uma floresta do Active Directory. Permissões: servidores no grupo de servidores exchange ou servidores exchange individuais devem receber permissões de leitura e execução para o pipeline de certificação do servidor AD RMS. O caminho padrão é \inetpub\wwwroot_wmcs\certification\ServerCertification.asmx em servidores AD RMS. Super usuários do AD RMS: para habilitar a descriptografia de transporte, descriptografia de relatório de diário, IRM em Outlook Web App e IRM para Exchange Search, você deve adicionar a caixa de correio Entrega Federada, uma caixa de correio do sistema criada pela Configuração do Exchange, ao grupo de super usuários do AD RMS no cluster do AD RMS. Para obter informações detalhadas, consulte Adicionar a caixa de correio de federação ao Grupo de Super Usuários do AD RMS.

Servidor

Requisito

AD RMS Cluster

Windows Server 2008 R2 Standard ou Enterprise com SP1 ou Windows Server 2012 Standard ou Datacenter. Para obter mais informações sobre os requisitos do sistema, consulte Requisitos do sistema do Exchange 2013.
SCP (ponto de conexão de serviço): os aplicativos com reconhecimento do Exchange 2013 e do AD RMS usam o SCP registrado no Active Directory para descobrir clusters e URLs do AD RMS. O AD RMS permite que você registre o SCP na configuração do AD RMS. Se a conta usada para configurar o AD RMS não for um membro do grupo de segurança de administradores corporativos, o registro SCP poderá ser realizado após a configuração. Há apenas um SCP para AD RMS em uma floresta do Active Directory.
Permissões: servidores no grupo de servidores exchange ou servidores exchange individuais devem receber permissões de leitura e execução para o pipeline de certificação do servidor AD RMS. O caminho padrão é \inetpub\wwwroot_wmcs\certification\ServerCertification.asmx em servidores AD RMS.
Super usuários do AD RMS: para habilitar a descriptografia de transporte, descriptografia de relatório de diário, IRM em Outlook Web App e IRM para Exchange Search, você deve adicionar a caixa de correio Entrega Federada, uma caixa de correio do sistema criada pela Configuração do Exchange, ao grupo de super usuários do AD RMS no cluster do AD RMS. Para obter informações detalhadas, consulte Adicionar a caixa de correio de federação ao Grupo de Super Usuários do AD RMS.

Configurando e testando o IRM

Você deve usar o Shell para configurar recursos IRM. Para configurar recursos de IRM individuais, use o cmdlet Set-IRMConfiguration. Para obter mais informações sobre como configurar recursos do IRM, consulte Procedimentos de Gerenciamento de Direitos de Informação.

Depois de configurar um servidor exchange, você pode usar o cmdlet Test-IRMConfiguration para executar testes de ponta a ponta da implantação do IRM. Esse cmdlet verifica a configuração do IRM para uma organização e deve ser executado antes de habilitar o Protected Voice Mail. O cmdlet Test-IRMConfiguration executa os seguintes testes:

Inspeciona a configuração do IRM para sua organização do Exchange.
Examina o servidor do AD RMS para obter informações de versão e hotfix.
Verifica se um servidor do Exchange pode ser ativado para RMS recuperando um CERTIFICADO de Conta de Direitos e um CLC (Certificado de Licenciamento de Cliente).
Adquire modelos de política de direitos do AD RMS do servidor do AD RMS.
Verifica se o remetente especificado pode enviar mensagens protegidas com IRM.
Recupera uma licença de uso de superusuário para o destinatário especificado.
Adquire uma pré-licença para o destinatário especificado.

Suporte ao cliente e recursos do usuário final

O software cliente de email usado para ouvir uma mensagem do Protected Voice Mail deve dar suporte ao IRM e saber como ler uma mensagem de voz protegida pelo UM. Email clientes com suporte incluem versões Microsoft Outlook 2010 ou posteriores, Outlook Web App e o Outlook Voice Access. A tabela a seguir contém uma lista de clientes de email e se eles têm suporte.

Cliente de email	Descrição
Outlook	Há suporte para mensagens de voz protegidas nas versões do Outlook 2010 e posteriores.
Microsoft Outlook Web App	Outlook Web App no Exchange 2010 ou versões posteriores dão suporte a mensagens protegidas do Voice Mail. Versões anteriores do Outlook Web App, conhecidas como Outlook Web Access, não as dão suporte.
Outlook Voice Access	O Outlook Voice Access no Exchange 2010 e versões posteriores dão suporte ao Protected Voice Mail. O Outlook Voice Access incluído no Exchange 2007 não dá suporte ao Protected Voice Mail. A caixa de correio do usuário deve residir em um servidor de caixa de correio no Exchange 2010 ou em uma versão posterior.
Exchange ActiveSync	O Voice Mail protegido tem suporte no Exchange 2010 SP1 e versões posteriores.
Outros clientes de email	Não há suporte para o Voice Mail protegido.

Estrutura de mensagem de voz protegida

Na verdade, há duas mensagens envolvidas para cada mensagem do Protected Voice Mail. A primeira mensagem é a mensagem externa, que não é criptografada. Ele contém um anexo chamado message.rpmsg. O anexo contém a mensagem de voz protegida pelo IRM e os dados de controle de gerenciamento de direitos internos. Os dados de controle de gerenciamento de direitos incluem uma chave de conteúdo e informações de direitos que especificam quem pode acessar a mensagem de voz e como esses usuários podem acessá-los.

Mensagens de voz protegidas são mostradas na caixa de entrada do usuário na pasta de pesquisa do Voice Mail . O usuário pode ouvir as mensagens de voz usando o reprodutor de áudio inserido da mesma forma que ouviria uma mensagem de voz regular, exceto que o botão Avançar será desabilitado e uma nota será mostrada na parte superior da mensagem informando que ela está protegida e que não pode ser encaminhada.

Para clientes de email que não dão suporte ao Protected Voice Mail, o corpo da mensagem externa será exibido. Os administradores podem incluir texto quando o software do cliente não dá suporte ao Protected Voice Mail usando políticas de caixa de correio um. Você pode personalizar o texto padrão incluído na mensagem de email configurando uma política de caixa de correio um. Por exemplo, você pode configurar a política de caixa de correio um com texto personalizado, como:

Você não pode abrir essa mensagem de correio de voz porque ela está protegida. Para exibir ou ouvir essa mensagem de voz, entre na caixa de correio https://mail.contoso.com em ou ligue para +1 (425) 555-1234 para chamar o Outlook Voice Access.

Compondo uma mensagem de Email protegido

Há duas situações em que mensagens de voz protegidas podem ser criadas:

Resposta de chamada: a resposta de chamada ocorre quando um chamador chama um usuário habilitado para UM, mas o usuário não está disponível para atender a chamada ou encaminhá-la diretamente para o correio de voz. Em cenários de resposta de chamada, o sistema de correio de voz reproduzirá uma série de prompts de voz depois que o chamador gravar uma mensagem de voz.

Em seguida, o chamador pode escolher entre opções adicionais de mensagem, incluindo a opção de marcar a mensagem de voz como privada pressionando a tecla libra (#). Se o chamador pressionar a tecla #, ele poderá seguir as instruções fornecidas pela UM para marcar a mensagem como privada, remover a marcação privada da mensagem de voz privada ou marcar a mensagem de voz com alta importância. O diagrama a seguir mostra as opções de menu que estão disponíveis para os chamadores quando eles deixam uma mensagem de voz privada para um usuário.

Observação

Para chamadas de atendimento de chamada, o UM usa as configurações do Email protegido na política de caixa de correio um do destinatário pretendido da mensagem, porque o chamador não é autenticado.
Outlook Voice Access: o Outlook Voice Access permite que usuários habilitados para UM acessem sua caixa de correio usando telefones analógicos, digitais ou celulares discando o número do Outlook Voice Access. Existem duas interfaces de usuário de Unificação de Mensagens disponíveis para usuários habilitados para a UM: a TUI (interface do usuário de telefone) e a VUI (interface do usuário de voz).

Os usuários do Outlook Voice Access podem pesquisar contatos no diretório e enviar mensagens de voz. Se o Voice Mail Protegido tiver sido habilitado para os destinatários habilitados para UM, os chamadores poderão marcar as mensagens como privadas após serem gravadas. Como alternativa, os administradores podem configurar uma política de caixa de correio um para garantir que todas as mensagens de voz enviadas por usuários autenticados sejam protegidas pelo UM.

Observação

Se um chamador for autenticado, as configurações do Email protegido na política de caixa de correio um vinculada ao chamador serão aplicadas, independentemente das configurações da política de caixa de correio UM para o destinatário pretendido da mensagem de voz.

Políticas de caixa de correio de Unificação de Mensagens

Você pode criar uma política de caixa de correio de Mensagens Unificadas para aplicar um conjunto comum de configurações de política um, como configurações de política PIN, restrições de discagem e configurações de Email de Voz Protegida, a uma coleção de caixas de correio habilitadas para UM. Para saber mais sobre políticas de caixa de correio um, consulte Gerenciar uma política de caixa de correio um.

Você pode usar o EAC ou o cmdlet Set-UMMailboxPolicy no Shell para configurar opções de Email protegido. A tabela a seguir lista as configurações que podem ser configuradas para o Protected Voice Mail.

Parâmetro do Shell	Configuração disponível no EAC?	Descrição
ProtectAuthenticatedVoiceMail	Sim	O parâmetro ProtectAuthenticatedVoiceMail especifica se os usuários habilitados para UM podem enviar mensagens de voz protegidas quando estiverem acessando sua caixa de correio usando o Outlook Voice Access. A configuração padrão é `None`. Isso significa que nenhuma proteção é aplicada quando as mensagens de voz são compostas e que os chamadores não terão a opção de marcar mensagens de voz como Privadas. Se o valor for definido como `Private`, somente as mensagens marcadas como Privadas pelo chamador serão protegidas. Se o valor for definido como `All`, cada mensagem de voz será protegida, independentemente da opção escolhida pelo chamador.
ProtectUnauthenticatedVoiceMail	Sim	O parâmetro ProtectUnauthenticatedVoiceMail especifica se os servidores de caixa de correio que atendem chamadas para usuários habilitados para UM associados a uma política de caixa de correio um criam mensagens de voz protegidas. Essa configuração também se aplica quando uma mensagem é enviada de um atendente automático da UM para um usuário habilitado para UM. A configuração padrão é `None`. Isso significa que nenhuma proteção é aplicada a mensagens de voz e que o chamador não será oferecido a opção de marcar a mensagem como Privada. Se o valor for definido como `Private`, somente as mensagens marcadas como Privadas pelo chamador serão protegidas. Se o valor for definido como `All`, cada mensagem de voz será protegida, independentemente de a mensagem ter sido marcada como privada pelo chamador.
ProtectedVoiceMailText	Sim	O parâmetro ProtectedVoiceMailText especifica o texto a ser incluído no corpo da mensagem externa de uma mensagem de Email de Voz Protegida. Este texto será mostrado em todos os aplicativos cliente de email que não dão suporte a mensagens protegidas do Voice Mail. Observe que uma mensagem padrão é sempre fornecida pelo UM quando essa propriedade está definida como `Null` ou está vazia.
RequireProtectedPlayOnPhone	Sim	O parâmetro RequireProtectedPlayOnPhone especifica se os usuários associados à política de caixa de correio um serão forçados a ouvir a mensagem de voz protegida pelo telefone (usando o Play On Phone). O valor padrão é `$false.` Quando o valor é definido como `$true`, o player de mídia de áudio nos formulários de Email protegido no Outlook ou Outlook Web App será mostrado como desabilitado. Observe que o texto de visualização da mensagem de voz sempre pode ser acessado. O usuário não pode reproduzir o arquivo de áudio usando qualquer software do media player ou usar o player de mídia inserido para ouvir a mensagem de voz.
AllowVoiceResponseToOtherMessageTypes	Sim	O parâmetro AllowVoiceResponseToOtherMessageTypes especifica se os chamadores que se autenticaram no Outlook Voice Access para acessar seu email poderão compor uma resposta de voz a mensagens de email e solicitações de reunião.

Para obter mais informações sobre como gerenciar configurações protegidas do Voice Mail, consulte Procedimentos protegidos do Voice Mail ou Set-UMMailboxPolicy.

Notificações de mensagem de texto e Email protegido

Os usuários que configurarem sua conta um para enviar notificações de mensagem de texto (também chamadas de notificações SMS) para seu celular quando as mensagens de voz são recebidas também receberão texto de transcrição de áudio (Voice Mail Preview) como parte do corpo da mensagem de texto. No entanto, para mensagens de voz protegidas, isso representa um problema de segurança porque o conteúdo das mensagens de voz deve ser sempre protegido.

Quando a UM cria uma notificação de mensagem de texto para uma mensagem de voz protegida, ela verifica se a mensagem de voz está marcada como Privada. Nesse caso, ele não adicionará o texto de áudio transcrito à mensagem de texto que ele envia para o celular. Em vez disso, o texto a seguir será incluído na mensagem de texto:

Use o Outlook Voice Access para acessar essa mensagem de email protegida.