Regras de proteção de transporte

Aplica-se a: Exchange Server 2013

Email mensagens e anexos contêm cada vez mais informações críticas aos negócios, como especificações de produto, documentos de estratégia comercial e dados financeiros ou informações pessoais, como detalhes de contato, números de segurança social, números de cartão de crédito e registros de funcionários. Há uma série de regulamentações locais e específicas do setor em muitas partes do mundo que regem a coleção, o armazenamento e a divulgação de informações pessoais.

Para ajudar a proteger informações confidenciais, as organizações criam políticas de mensagens que fornecem diretrizes sobre como lidar com essas informações. No Microsoft Exchange Server 2013, você pode usar regras de proteção de transporte para implementar essas políticas de mensagens inspecionando conteúdo de mensagens, criptografando conteúdo de email confidencial e usando o gerenciamento de direitos para controlar o acesso ao conteúdo.

Para tarefas de gerenciamento relacionadas ao gerenciamento de IRM, consulte Procedimentos de Gerenciamento de Direitos de Informação.

Regras de proteção de transporte e AD RMS

As regras de proteção de transporte permitem que você use regras de transporte para proteger mensagens DE IRM aplicando um modelo de política de direitos do AD RMS ( Active Directory Rights Management Services ).

Observação

O AD RMS é uma tecnologia de proteção de informações que funciona com aplicativos e clientes habilitados para RMS (Rights Management Service) para proteger informações confidenciais online e offline. Para usar a proteção IRM em uma implantação local do Exchange, o Exchange 2013 requer uma implantação local do AD RMS em execução no Windows Server 2008 ou posterior.

O AD RMS usa modelos de política baseados em XML para permitir que aplicativos compatíveis habilitados para IRM apliquem políticas de proteção consistentes. No Windows Server 2008 e posteriores, o servidor do AD RMS expõe um servidor da Web que pode ser usado para enumerar e adquirir modelos. O Exchange 2013 vem com o modelo Não encaminhar.

Quando o modelo Não Encaminhar é aplicado a uma mensagem, somente os destinatários da mensagem podem descriptografá-la. Os destinatários não podem encaminhar a mensagem para ninguém, copiar conteúdo da mensagem ou imprimir a mensagem.

Modelos de RMS adicionais podem ser criados na implantação local do AD RMS para atender aos requisitos de proteção de direitos em sua organização.

Importante

Se um modelo de política de direitos for removido do servidor AD RMS, você deverá modificar todas as regras de proteção de transporte que usam o modelo removido. Se uma regra de proteção de transporte continuar a usar um modelo de política de direitos que foi removido, o servidor AD RMS falhará ao licenciar o conteúdo para qualquer um dos destinatários e um NDR (relatório de não entrega) será entregue ao remetente.

No Windows Server 2008 e posterior, os modelos de política de direitos podem ser arquivados em vez de excluídos. Modelos arquivados ainda podem ser usados para licenciar conteúdo, mas quando você cria ou modifica uma regra de proteção de transporte, modelos arquivados não são incluídos na lista de modelos.

Para obter mais informações sobre como criar modelos do AD RMS, confira Guia passo a passo da implantação de modelos de política de direitos do AD RMS.

Proteção automática usando regras de proteção de transporte

Mensagens que contêm informações críticas aos negócios ou informações pessoais podem ser identificadas usando uma combinação de condições de regra de transporte, incluindo expressões regulares para identificar padrões de texto, como números de segurança social. As organizações exigem diferentes níveis de proteção para informações confidenciais. Algumas informações podem ser restritas a funcionários, contratados ou parceiros; enquanto outras informações podem ser restritas apenas a funcionários em tempo integral. O nível de proteção desejado pode ser aplicado às mensagens aplicando um modelo de política de direitos apropriado. Por exemplo, os usuários podem marcar mensagens ou anexos de email como Confidencial da Empresa. Conforme ilustrado na figura a seguir, você pode criar uma regra de proteção de transporte para inspecionar o conteúdo da mensagem para as palavras "Empresa Confidencial" e proteger automaticamente a mensagem.

Para obter mais informações sobre como criar regras de transporte para impor a proteção de direitos, consulte Criar uma Regra de Proteção de Transporte.

Proteção persistente de anexos de email

Os usuários enviam informações críticas aos negócios e informações pessoais em anexos de email usando formatos de arquivo comuns do Microsoft Office, como Microsoft Office Word, Excel e PowerPoint. Todos esses formatos de arquivo dão suporte à proteção persistente via IRM e você pode garantir que as informações pessoais e as informações pessoais críticas aos negócios nesses documentos sejam protegidas corretamente. As regras de proteção de transporte aplicam a mesma proteção a mensagens de email e anexos em formatos de arquivo com suporte.

Agente de regras de transporte e agente de criptografia

Quando você usa regras de proteção de transporte para proteger mensagens de proteção de IRM com base nas condições de regra, o agente regras de transporte no serviço de transporte inspeciona mensagens. Se eles atenderem a todas as condições e nenhuma das exceções, ela sinaliza que a mensagem será protegida por IRM. O agente de criptografia, um agente de transporte interno que é acionado no evento OnRoutedMessage , na verdade aplica a proteção IRM à mensagem. O agente de criptografia atua em mensagens somente se o IRM estiver habilitado para mensagens internas. Para obter mais informações sobre como habilitar o IRM, consulte Habilitar ou desabilitar o IRM para Mensagens Internas.

Quando o serviço de transporte é reiniciado e processa a primeira mensagem que requer criptografia IRM, o agente de criptografia deve ser capaz de alcançar um servidor AD RMS na organização. Para mensagens subsequentes, o agente não precisa entrar em contato com o servidor AD RMS. Após a falha em criptografar uma mensagem devido a condições transitórias, o Exchange tenta novamente a mensagem três vezes em intervalos de 10 minutos. Depois de três tentativas, se a mensagem não puder ser criptografada, ela não será entregue aos destinatários. Uma NDR é enviada para o remetente. Recomendamos que você planeje sua implantação do AD RMS para alta disponibilidade para garantir que o fluxo de mensagens não seja afetado.

Ao planejar usar regras de proteção contra transporte, você deve considerar o tipo de informação que deseja proteger e planejar a criação de regras de acordo. No Exchange 2013, as regras de transporte têm um grande número de predicados que permitem inspecionar o conteúdo da mensagem, incluindo anexos com suporte, cabeçalhos de mensagem, endereços remetente e destinatário, seus atributos do Active Directory, como departamento, associação de grupo de distribuição e relações de gerenciamento do remetente com destinatários. Para obter mais detalhes sobre predicados de regra de transporte disponíveis no Exchange 2013, consulte condições de regra de transporte (predicados).

Você também deve considerar o tráfego de mensagens em sua organização e o número de mensagens que serão protegidas usando regras de proteção de transporte. Aplicar a proteção de IRM a um grande número de mensagens requer mais recursos no servidor da caixa de correio. Além disso, proteger um grande número de mensagens ou todas as mensagens também afeta a experiência do cliente, especialmente para os usuários do Microsoft Outlook.