Gerenciamento de Direitos de Informação

  • Artigo

Aplica-se a: Exchange Server 2013

Todos os dias, funcionários que lidam com informações usam emails para trocar informações importantes, como relatórios e dados financeiros, contratos, informações confidenciais de produtos, relatórios e projeções de vendas, análises da concorrência, informações de pesquisas e patentes e informações sobre clientes e empregados. Como as pessoas podem acessar seus emails de praticamente qualquer lugar, as caixas de correio se transformaram em repositórios contendo grandes quantidades de informações potencialmente confidenciais. Como resultado, o vazamento de informações pode ser uma séria ameaça para as organizações. Para evitar o vazamento de informações, o Microsoft Exchange Server 2013 inclui recursos de Gerenciamento de Direitos de Informação (IRM) que oferecem proteção persistente online e offline de mensagens e anexos de email.

O que é o vazamento de informações?

O vazamento de informações potencialmente confidenciais pode ser oneroso para uma organização e ter um amplo impacto na organização e em seus negócios, funcionários, clientes e parceiros. Regulamentos locais e industriais controlam, cada vez mais, como certos tipos de informações são armazenadas, transmitidas e protegidas. Para não violar as regulamentações aplicáveis, as organizações devem se proteger contra vazamentos intencionais, inadvertidos e acidentais de informações.

Estas são algumas conseqüências do vazamento de informações:

  • Danos financeiros: dependendo do tamanho, da indústria e das regulamentações locais, o vazamento de informações pode resultar em impacto financeiro devido à perda de negócios ou devido a multas e danos punitivos impostos por tribunais ou autoridades regulatórias. As companhias de capital aberto também se arriscam a perder valor no mercado, devido à cobertura negativa na mídia.

  • Danos à imagem e à credibilidade: o vazamento de informações pode prejudicar a imagem e a credibilidade de uma organização com os clientes. Mais do que isso, dependendo da natureza das informações, os emails vazados podem ser uma fonte de embaraços para o remetente e a organização.

  • Perda de vantagem competitiva: uma das ameaças mais graves do vazamento de informações é a perda de vantagem competitiva nos negócios. A divulgação de planos estratégicos ou de informações de fusão e aquisição pode potencialmente levar a perda de lucros ou capitalização no mercado. Outras ameaças incluem a perda de informações de pesquisa, dados analíticos e outra propriedade intelectual.

Soluções tradicionais para vazamento de informações

Apesar de as soluções tradicionais para vazamento de informações poderem proteger o acesso inicial a dados, elas frequentemente não oferecem proteção constante. A tabela a seguir lista algumas das soluções tradicionais e suas limitações.

Soluções tradicionais

Solução Descrição Limitações
Segurança da Camada de Transporte (TLS) O TLS é um protocolo padrão da Internet usado para proteger as comunicações em uma rede por meio da criptografia. Em um ambiente de mensagens, o TLS é usado para proteger comunicações de servidor/servidor e cliente/servidor.

Por padrão, o Exchange 2010 usa TLS para todas as transferências de mensagens internas. O TLS oportunista também está habilitado por padrão para sessões com hosts externos. O Exchange primeiro tenta usar a criptografia TLS para a sessão, mas se uma conexão TLS não puder ser estabelecida com o servidor de destino, o Exchange usará o SMTP. Você também pode configurar a segurança de domínio para impor o TLS mútuo com organizações externas.		 O TLS protege apenas a sessão SMTP entre dois hosts SMTP. Em outras palavras, o TLS protege as informações em movimento e não fornece proteção no nível da mensagem ou para informações em repouso. A menos que as mensagens sejam criptografadas usando outro método, as mensagens nas caixas de correio do remetente e dos destinatários permanecem desprotegidas. Para emails enviados fora da organização, você pode exigir TLS somente para o primeiro salto. Depois que um host SMTP remoto fora de sua organização receber a mensagem, ele poderá retransmiti-la para outro host SMTP em uma sessão não criptografada. Como o TLS é uma tecnologia de camada de transporte, ele não pode fornecer controle sobre o que o destinatário faz com a mensagem.
Criptografia de email Os usuários podem usar tecnologias como S/MIME para criptografar mensagens. Os usuários decidem se uma mensagem é criptografada. Há custos adicionais de uma implantação de PKI (infraestrutura de chave pública), com a sobrecarga que acompanha o gerenciamento de certificados para usuários e a proteção de chaves privadas. Depois que uma mensagem é descriptografada, não há controle sobre o que o destinatário pode fazer com as informações. As informações descriptografadas podem ser copiadas, impressas ou encaminhadas. Por padrão, os anexos salvos não são protegidos.

Mensagens criptografadas usando tecnologias como S/MIME não podem ser acessadas pela sua organização. A organização não pode inspecionar o conteúdo da mensagem e, portanto, não pode impor políticas de mensagens, verificar mensagens em busca de vírus ou conteúdo mal-intencionado ou tomar qualquer outra ação que exija acessar o conteúdo.

Finalmente, as soluções tradicionais geralmente não têm as ferramentas de imposição que aplicam as políticas de mensagens uniformes para evitar o vazamento de informações. Por exemplo, um usuário envia uma mensagem contendo informações importantes e a marca como Confidencial da empresa e Não encaminhar. Após a mensagem ser entregue ao destinatário, o remetente ou a organização não tem mais controle sobre as informações. O destinatário pode encaminhar a mensagem, propositalmente ou não (usando recursos como regras de encaminhamento automático) para contas de email externas, expondo sua organização a grandes riscos de vazamento de informações.

IRM no Exchange 2013

No Exchange 2013, você pode usar os recursos de IRM para aplicar proteção persistente para as mensagens e anexos. O IRM usa o Active Directory Rights Management Services (AD RMS), uma tecnologia de proteção de informações do Windows Server 2008 e versões posteriores. Com os recursos de IRM no Exchange 2013, sua organização e seus usuários podem controlar os direitos que os destinatários têm para email. O IRM também ajuda a proteger ou restringir as ações do destinatário, como encaminhar uma mensagem para outros destinatários, imprimir uma mensagem ou anexo ou extrair conteúdo da mensagem ou do anexo via copiar-e-colar. A proteção IRM pode ser aplicada por usuários no Microsoft Outlook ou no Microsoft Office Outlook Web App ou pode ser baseada nas políticas de mensagens da sua organização e aplicada usando regras de proteção de transporte ou regras de proteção do Outlook. Ao contrário de outras soluções de criptografia de emails, o IRM também permite que a sua organização descriptografe conteúdo protegido, para impor a conformidade com as diretivas.

O AD RMS usa certificados e licenças baseados em XrML (eXtensible Rights Markup Language) para certificar computadores e usuários e para proteger conteúdo. Quando conteúdo, como um documento ou uma mensagem, é protegido com AD RMS, é anexada uma licença XrML contendo os direitos que os usuários autorizados têm para o conteúdo anexado. Para acessar o conteúdo protegido por IRM, os aplicativos habilitados para AD RMS devem conseguir uma licença de uso para o usuário autorizado do cluster AD RMS.

Observação

No Exchange 2013, o agente de pré-licenciamento anexa uma licença de uso a mensagens protegidas usando o cluster AD RMS na sua organização. Para mais informações, consulte Pré-licenciamento, posteriormente neste tópico.

Os aplicativos usados para criar conteúdo devem estar habilitados para RMS, para aplicar proteção persistente a conteúdos usando AD RMS. Aplicativos do Microsoft Office, como Word, Excel, PowerPoint e Outlook, são habilitados para RMS e podem ser usados para criar e consumir conteúdo protegido.

O IRM ajuda a fazer o seguinte:

  • Evitar que um destinatário autorizado de conteúdo protegido por IRM encaminhe, modifique, imprima, envie por fax, salve ou copie-e-cole o conteúdo.
  • Proteger os formatos de arquivos anexos suportados com o mesmo nível de proteção da mensagem.
  • Suportar a expiração das mensagens e anexos protegidos por IRM, para que eles não possam mais ser exibidos após o período especificado.
  • Evitar que conteúdo protegido por IRM seja copiado usando a Ferramenta de Captura no Microsoft Windows.

No entanto, o IRM não pode impedir que informações sejam copiadas usando estes métodos:

  • Programas de captura de tela de terceiros
  • Uso de dispositivos de imagem, como câmeras, para fotografar o conteúdo protegido por IRM exibido na tela
  • Usuários lembrando ou transcrevendo manualmente as informações

Para mais informações sobre o AD RMS, consulte Active Directory Rights Management Services.

Modelos de políticas de direitos do AD RMS

O AD RMS usa modelos de diretiva de direitos baseados em XrML para permitir que aplicativos habilitados para IRM apliquem diretivas de proteção consistentes. No Windows Server 2008 e posteriores, o servidor do AD RMS expõe um servidor da Web que pode ser usado para enumerar e adquirir modelos. O Exchange 2013 vem com o modelo Não encaminhar. Quando o modelo Não Encaminhar é aplicado a uma mensagem, somente os destinatários da mensagem podem descriptografá-la. Os destinatários não podem encaminhar a mensagem, copiar conteúdo dela ou imprimi-la. Você pode criar mais modelos RMS no servidor do AD RMS, na sua organização, para cumprir os requisitos de proteção do IRM.

A proteção de IRM é aplicada, aplicando-se um modelo de diretiva de direitos do AD RMS. Usando modelos de diretiva, você pode controlar as permissões que os destinatários têm sobre uma mensagem. Ações como responder, responder a todos, encaminhar, extrair informações de uma mensagem, salvar uma mensagem ou imprimir uma mensagem podem ser controladas, aplicando-se o modelo de política de direitos apropriada à mensagem.

Para mais informações sobre modelos de políticas de direitos, consulte Considerações sobre Modelos de Políticas do AD RMS.

Para mais informações sobre criar modelos de políticas de direitos do AD RMS, consulte Guia Passo a Passo Criando e Implantando Modelos de Políticas de Direitos do Active Directory Rights Management Services.

Aplicar proteção IRM a mensagens

No Exchange 2010, a proteção IRM pode ser aplicada a mensagens usando os seguintes métodos:

  • Manualmente pelos usuários do Outlook: os usuários do Outlook podem proteger mensagens com o IRM com os modelos de política de direitos do AD RMS disponíveis para eles. Esse processo usa a funcionalidade IRM no Outlook e não o Exchange. No entanto, você pode usar o Exchange para acessar mensagens e pode tomar ações (como aplicar regras de transporte) para impor a política de mensagens da sua organização. Para obter mais informações sobre como usar o IRM no Outlook, consulte Introdução ao IRM para mensagens de email.

  • Manualmente por Outlook Web App usuários: quando você habilita o IRM em Outlook Web App, os usuários podem proteger mensagens de IRM que enviam e exibir mensagens protegidas pelo IRM que recebem. Na Atualização Cumulativa 1 (CU1) do Exchange 2013, os usuários do Outlook Web App também podem exibir os anexos protegidos por IRM usando a Exibição de Documento Webready. Para obter mais informações sobre IRM no Outlook Web App, consulte Gerenciamento de direitos de informação no Outlook Web App.

  • Manualmente pelo Windows Mobile e usuários de dispositivos Exchange ActiveSync: na versão de versão para fabricação (RTM) do Exchange 2010, os usuários de dispositivos Windows Mobile podem exibir e criar mensagens protegidas por IRM. Isso requer que os usuários conectem seus dispositivos Windows Mobile com suporte a um computador e ative-os para IRM. No Exchange 2010 SP1, você pode habilitar o IRM no Microsoft Exchange ActiveSync para permitir que usuários de dispositivos Exchange ActiveSync (incluindo dispositivos Windows Mobile) visualizem, respondam, encaminhem e criem mensagens protegidas por IRM. Para obter mais informações sobre IRM no Exchange ActiveSync, consulte Gerenciamento de direitos de informação no Exchange ActiveSync.

  • Automaticamente no Outlook 2010 e posterior: você pode criar regras de proteção do Outlook para proteger automaticamente mensagens de IRM no Outlook 2010 e posterior. As regras de proteção do Outlook são implantadas automaticamente para clientes do Outlook 2010, e a proteção de IRM é aplicada pelo Outlook 2010 quando o usuário compõe uma mensagem. Para mais informações sobre regras de proteção do Outlook, consulte Regras de proteção do Outlook.

  • Automaticamente em servidores de caixa de correio: você pode criar regras de proteção de transporte para proteger automaticamente mensagens de IRM em servidores da caixa de correio do Exchange 2013. Para mais informações sobre regras de proteção de transporte, consulte Regras de proteção de transporte.

    Observação

    A proteção de IRM não é aplicada novamente a mensagens que já estão protegidas por IRM. Por exemplo, se um usuário proteger com IRM uma mensagem no Outlook ou Outlook Web App, a proteção com IRM não será aplicada à mensagem, com o uso de uma regra de proteção de transporte.

Cenários para proteção de IRM

Os cenários para proteção de IRM são descritos na tabela abaixo.

Enviar mensagens protegidas por IRM Com suporte Requisitos
Na mesma implantação local do Exchange 2013 Sim Para obter requisitos, consulte Requisitos de IRM mais adiante neste tópico.
Entre diferentes florestas em uma implantação local Sim Para obter requisitos, consulte Configurando o AD RMS para integrar com Exchange Server 2010 em várias florestas.
Entre uma implantação local do Exchange 2013 e uma organização do Exchange baseada em nuvem Sim
  • Use um servidor AD RMS local.
  • Exporte o domínio de publicação confiável do servidor AD RMS local.
  • Importe o domínio de publicação confiável em sua organização baseada em nuvem.
Para destinatários externos Não O Exchange 2010 não inclui uma solução para enviar mensagens protegidas por IRM para destinatários externos em uma organização não federada. O AD RMS oferece soluções usando políticas de confiança. Você pode configurar uma política de confiança entre o cluster do AD RMS e a conta microsoft (anteriormente conhecida como ID do Windows Live). Para mensagens enviadas entre duas organizações, você pode criar uma confiança federada entre as duas florestas do Active Directory usando Serviços de Federação do Active Directory (AD FS) (AD FS). Para saber mais, confira Noções básicas sobre políticas de confiança do AD RMS.

Descriptografando mensagens protegidas com IRM para impor políticas de mensagens

Para impor diretivas de mensagens e para conformidade regulamentar, você deve poder acessar o conteúdo da mensagem criptografada. Para atender a requisitos de descoberta eletrônica devido a litígios, auditorias regulamentares ou investigações internas, você deverá ter a possibilidade de pesquisar mensagens criptografadas. Para ajudar com essas tarefas, o Exchange 2013 inclui os seguintes recursos do IRM:

  • Descriptografia de transporte: para aplicar políticas de mensagens, agentes de transporte, como o agente regras de transporte, devem ter acesso ao conteúdo da mensagem. As descriptografia de transporte permite que os agentes de transporte instalados nos servidores do Exchange 2013 acessem o conteúdo da mensagem. Para mais informações, consulte Descriptografia de transporte.

  • Diário descriptografia de relatório: para atender aos requisitos de conformidade ou de negócios, as organizações podem usar o diário para preservar o conteúdo de mensagens. O agente de Registro no diário cria um relatório de registro no diário para mensagens sujeitas a esse registro e inclui metadados sobre a mensagem no relatório. A mensagem original é anexada ao relatório de registro no diário. Se a mensagem em um relatório de registro no diário for protegida com IRM, a descriptografia de relatório de registro no diário anexa uma cópia em texto simples da mensagem ao relatório de registro no diário. Para mais informações, consulte Criptografia do relatório de diário.

  • Descriptografia do IRM para Pesquisa de Exchange: com a descriptografia IRM para Pesquisa do Exchange, o Exchange Search pode indexar o conteúdo em mensagens protegidas por IRM. Quando um gerenciador de descobertas executa uma pesquisa de Descoberta Eletrônica In-loco, as mensagens protegidas com IRM que tiverem sido indexadas são retornadas nos resultados da pesquisa. Para mais informações, consulte Descoberta eletrônica In-loco.

    Observação

    No Exchange 2010 SP1 e posterior, os membros do grupo de funções de Gerenciamento de Descoberta podem acessar mensagens protegidas por IRM retornadas por uma pesquisa de descoberta e residindo em uma caixa de correio de descoberta. Para habilitar essa funcionalidade, use o parâmetro EDiscoverySuperUserEnabled com o cmdlet Set-IRMConfiguration . Para obter mais informações, consulte Configurar o IRM para descoberta eletrônica In-loco e de pesquisa do Exchange.

Para habilitar esses recursos de descriptografia, os servidores do Exchange devem ter acesso à mensagem. Isso é conseguido adicionando-se a caixa de correio de Federação, uma caixa de correio do sistema criada pela Configuração do Exchange, para o grupo de superusuários no servidor AD RMS. Para detalhes, consulte Adicionar a caixa de correio de Federação ao grupo de usuários do AD RMS Super.

Pré-licenciamento

Exibir mensagens e anexos protegidos com IRM, o Exchange 2013 automaticamente anexa uma pré-licença às mensagens protegidas. Isso evita que o cliente tenha que fazer repetidas viagens ao servidor do AD RMS para recuperar uma licença de uso e habilita a visualização offline de mensagens e anexos protegidos por IRM. O pré-licenciamento também permite que as mensagens protegidas por IRM sejam exibidas no Outlook Web App. Quando você ativa recursos do IRM, o pré-licenciamento é ativado por padrão.

Agentes IRM

No Exchange 2013, a funcionalidade do IRM é habilitada usando-se agentes de transporte no serviço de Transporte, nos servidores de Caixa de Correio. Os agentes do IRM são instalados pela Instalação do Exchange em um servidor de Caixa de Correio. Não é possível controlar agentes IRM usando as tarefas de gerenciamento de agentes de transporte.

Observação

No Exchange 2013, os agentes de IRM são agentes embutidos. Agentes integrados não estão incluídos na lista de agentes retornados pelo cmdlet Get-TransportAgent. Para mais informações, consulte Agentes de transporte.

A tabela a seguir lista os agentes IRM implementados no serviço de Transporte em servidores de Caixa de Correio.

Agentes DO IRM no serviço de transporte em servidores de caixa de correio

Agente Evento Função
Agente de descriptografia do RMS OnEndOfData (SMTP) e OnSubmittedMessage Descriptografa mensagens para permitir o acesso aos agentes de transporte.
Agente de Regras de Transporte OnRoutedMessage Sinaliza mensagens que correspondem às condições de regra em uma regra de proteção de transporte para serem protegidas pelo IRM pelo agente de criptografia RMS.
Agente de criptografia RMS OnRoutedMessage Aplica proteção de IRM a mensagens sinalizadas pelo agente regras de transporte e criptografa novamente mensagens descriptografadas de transporte.
Agente de pré-licenciamento OnRoutedMessage Anexa uma prelicense a mensagens protegidas por IRM.
Diário agente de descriptografia de relatório OnCategorizedMessage Descriptografa mensagens protegidas por IRM anexadas a relatórios de diários e incorpora versões de texto cleartext junto com as mensagens criptografadas originais.

Para mais informações sobre agentes de transporte, consulte Agentes de transporte.

Requisitos de IRM

Para implementar o IRM na sua organização do Exchange 2013, sua implantação deve atender aos requisitos descritos na seguinte tabela.

Servidor Requisitos
Cluster do AD RMS
  • Sistema operacional: Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008 SP2 com a função hotfix Active Directory Rights Management Services no Windows Server 2008 é necessária.
  • Ponto de conexão de serviço: os aplicativos com reconhecimento do Exchange 2010 e do AD RMS usam o ponto de conexão de serviço registrado no Active Directory para descobrir um cluster E URLs do AD RMS. O AD RMS permite que você registre o ponto de conexão de serviço de dentro da Instalação do AD RMS. Se a conta usada para configurar o AD RMS não for um membro do grupo de segurança dos administradores corporativos, o registro do ponto de conexão de serviço poderá ser realizado após a conclusão da instalação. Há apenas um ponto de conexão de serviço para o AD RMS em uma floresta do Active Directory.
  • Permissões: permissões de leitura e execução para o pipeline de certificação do servidor do AD RMS (ServerCertification.asmx arquivo em servidores AD RMS) devem ser atribuídas ao seguinte:
    • Grupo do Exchange Servers ou servidores exchange individuais
    • Grupo de serviços do AD RMS em servidores do AD RMS

    Por padrão, o arquivo ServerCertification.asmx está localizado na \inetpub\wwwroot\_wmcs\certification\ pasta em servidores AD RMS. Para obter detalhes, consulte Definir permissões no Pipeline de Certificação do Servidor do AD RMS.

  • Super usuários do AD RMS: para habilitar a descriptografia de transporte, descriptografia de relatório de diário, IRM em Outlook Web App e IRM para Exchange Search, você deve adicionar a caixa de correio Federação, uma caixa de correio do sistema criada pelo Exchange 2013 Setup, ao grupo de super usuários no cluster do AD RMS. Para detalhes, consulte Adicionar a caixa de correio de Federação ao grupo de usuários do AD RMS Super.
Exchange
Outlook
  • Os usuários podem proteger mensagens de IRM no Outlook. A partir do Outlook 2003, há suporte para modelos do AD RMS para mensagens de proteção de IRM.
  • As regras de proteção do Outlook são um recurso do Exchange 2010 e do Outlook 2010. Versões anteriores do Outlook não dão suporte a esse recurso.
Exchange ActiveSync
  • Dispositivos com suporte Exchange ActiveSync protocolo versão 14.1, incluindo dispositivos Windows Mobile, podem dar suporte ao IRM em Exchange ActiveSync. O aplicativo de email móvel em um dispositivo deve dar suporte à marca RightsManagementInformation definida em Exchange ActiveSync protocolo versão 14.1. No Exchange 2013, o IRM em Exchange ActiveSync permite que usuários com dispositivos com suporte exibam, respondam, encaminhem e criem mensagens protegidas por IRM sem exigir que o usuário conecte o dispositivo a um computador e o ative-o para IRM. Para obter detalhes, consulte Gerenciamento de Direitos de Informações em Exchange ActiveSync.

Observação

Cluster do AD RMSé o termo usado para uma implantação do AD RMS em uma organização, incluindo uma implantação de servidor único. O AD RMS é um serviço da web. Você não precisa configurar um cluster de failover do Windows Server. Para alta disponibilidade e equilíbrio de carga, você pode implantar vários servidores do AD RMS no cluster e usar Balanceamento de Carga de Rede.

Importante

Em um ambiente de produção, não é possível instalar o AD RMS e o Exchange no mesmo servidor.

O Exchange 2013 IRM tem suporte aos formatos de arquivo do Microsoft Office. Você pode estender a proteção IRM a outros formatos de arquivo implantando protetores personalizados. Para obter mais informações sobre protetores personalizados, consulte Proteção de Informações e parceiros de controle no Centro de Parceiros da Microsoft.

Configurando e testando o IRM

Você deve usar o Shell de Gerenciamento do Exchange para configurar os recursos de IRM no Exchange 2013. Para configurar recursos de IRM individuais, use o cmdlet Set-IRMConfiguration. Você pode habilitar ou desabilitar o IRM para mensagens internas, descriptografia de transporte, descriptografia de relatório do registro no diário, Pesquisa do Exchange e Outlook Web App. Para obter mais informações sobre como configurar recursos do IRM, consulte Procedimentos de Gerenciamento de Direitos de Informação.

Depois de configurar um servidor do Exchange 2013, você poderá usar o cmdlet Test-IRMConfiguration para executar testes de ponta a ponta da sua implantação do IRM. Esses testes são úteis para verificar a funcionalidade do IRM imediatamente após a configuração inicial do IRM e também continuamente. O cmdlet executa os testes a seguir:

  • Inspeciona a configuração do IRM para sua organização do Exchange 2013.
  • Examina o servidor do AD RMS para obter informações de versão e hotfix.
  • Verifica se um servidor do Exchange pode ser ativado por RMS, recuperando Certificados de Contas de Direitos (RAC) e um certificado de licenciante do cliente.
  • Adquire modelos de política de direitos do AD RMS do servidor do AD RMS.
  • Verifica se o remetente especificado pode enviar mensagens protegidas com IRM.
  • Recupera uma licença de uso de superusuário para o destinatário especificado.
  • Adquire uma pré-licença para o destinatário especificado.

Estenda o Gerenciamento de Direitos com o conector Rights Management.

O conector Microsoft Rights Management (conector RMS) é um aplicativo opcional que aumenta a proteção dos dados para o seu servidor do Exchange 2013 usando os serviços baseados na nuvem do Microsoft Rights Management. Ao instalar o conector RMS, o mesmo oferece proteção contínua dos dados durante o tempo de vida das informações e como estes serviços são personalizáveis, você pode definir o nível de proteção de que você precisa. Por exemplo, você pode limitar o acesso à mensagem de email para usuários específicos ou definir direitos somente de leitura para certas mensagens.

Para saber mais sobre o conector RMS e como instalá-lo, consulte Conector Rights Management.