Configurando o Office Message Encryption (OME)

O que é o Office Message Encryption (OME)?

O Office Message Encryption (OME) permite que sua organização envie e receba mensagens criptografadas, mesmo para pessoas de fora da organização. A criptografia faz com que apenas o público-alvo possa ver as informações confidenciais que suas mensagens contêm.

Leia Mais:

Como Conectar no Exchange Online via Powershell?
Como configurar um Tenant de Microsoft 365: Criação de grupos
Como configurar um Tenant de Microsoft 365: Criação e inclusão de Domínio
Usando o Powershell para aplicar políticas de mensagens a usuários de equipes
Recuperando itens deletados no novo Exchange Admin Center

Configurando o Office 365 Message Encryption 

Tudo bem, agora que temos o básico sob nosso controle, vamos começar!

1- Acesse https://portal.office.com
2- Faça login com credenciais de administrador global
3- Clique em  Admin 
4- Clique em  Configurações 
5- Clique em  Serviços e suplementos 
6- Clique em  Microsoft Azure Information Protection 

Você será enviado para: 

1- Clique na configuração Gerenciar proteção de informações do Microsoft Azure
2- Certifique-se de que o Rights Management esteja ativado (se não, ative-o) 

Se sua organização usa autenticação multifator (MFA) para se conectar ao Exchange Online PowerShell, siga as instruções: MFA requer que você instale o Módulo PowerShell Remoto do Exchange Online e use o   cmdlet Connect-EXOPSSession para se conectar.  

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

1- Vá para o centro de administração do Exchange

2- Você precisa usar o Edge – o Chrome não funciona
3- Entre no  Office 365 usando sua conta de trabalho ou escola e escolha o   bloco Admin . 
4- No centro de administração do Office 365, escolha  Centros de administração  >  Exchange
5- Clique em  Híbrido 
6- Clique no botão Configurar em  O Módulo do PowerShell do Exchange Online oferece suporte à autenticação multifator. Baixe o módulo para gerenciar o Exchange Online com mais segurança

 Você receberá o seguinte prompt:

1- Clique em  Abrir
2- A seguinte tela irá aparecer 

1- Clique em Instalar
2- Uma vez feito isso, uma tela semelhante será aberta

1- Agora você pode fechar a tela acima
2- O Gerenciamento Remoto do Windows (WinRM) em seu computador precisa permitir a autenticação básica (é habilitado por padrão). Para verificar se a autenticação básica está ativada, faça o seguinte:
3- Abra uma sessão de prompt de comando (como administrador)
4- Execute este comando em um Prompt de Comando:

Quickconfig Winrm

5- Responda Y para fazer essas alterações [s / n]
6- Você provavelmente obterá o erro abaixo – apenas ignore 

1- Digite:  winrm get winrm / config / client / auth

  • Se você não vir o valor Basic = true, precisará executar este comando para habilitar a autenticação básica para WinRM: winrm set winrm / config / client / auth @ {Basic = “true”}

2- Se a autenticação básica estiver desativada, você receberá este erro ao tentar se conectar:

  • O cliente WinRM não pode processar a solicitação. A autenticação básica está atualmente desativada na configuração do cliente. Altere a configuração do cliente e tente a solicitação novamente. 

 Uma vez feito isso, você deverá ver a tela abaixo 

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Conecte-se ao Exchange Online PowerShell usando MFA 

1- No computador local, abra o Módulo PowerShell Remoto do  Exchange Online  (Microsoft Corporation  >  Módulo PowerShell Remoto do Microsoft Exchange Online). 

2- O comando que você precisa executar usa a seguinte sintaxe:

Connect-IPPSSession -UserPrincipalName <username> @ <dominio> 

 Uma vez conectado, você verá uma tela semelhante a: 

1- Agora você precisará importar os módulos recém-instalados. 

  •  Módulo de importação AADRM 

2- Para ver qual cmdlet está disponível para o módulo recém-importado, digite o seguinte. 

Get-Command -Module ADDRM

3- Para começar, precisamos nos conectar ao  Azure RMS, digite o seguinte cmdlet e insira as  credenciais  de um  Administrador Global.

Connect-AadrmService

4- Agora que estabelecemos uma conexão bem-sucedida com o  Azure RMS, podemos prosseguir e executar o seguinte cmdlet para habilitar o  Azure RMS.

Enable-Aadrm

5- Obtenha as informações de configuração necessárias para a criptografia da mensagem.

$ rmsConfig = Get-AadrmConfiguration $ licenseUri = $ rmsConfig.LicensingIntranetDistributionPointUrl

6- Desconecte-se do serviço.

Disconnect-AadrmService

7- Crie uma sessão remota do PowerShell e conecte-se ao Exchange Online. Connect-EXOPSSession -UserPrincipalName <username> @ <dominio>

8- Colete a configuração do IRM para o Office 365

$ irmConfig = Get-IRMConfiguration $ list = $ irmConfig.LicensingLocation if (! $ list) {$ list = @ ()} if (! $ list.Contains ($ licenseUri)) {$ list + = $ licenseUri}

9- Habilitar criptografia de mensagem para Office 365

Set-IRMConfiguration -LicensingLocation $ list Set-IRMConfiguration -AzureRMSLicensingEnabled $ true -InternalLicensingEnabled $ true

10- Habilite a descriptografia do servidor para Outlook na web, Outlook para iOS e Outlook para Android.

Set-IRMConfiguration -ClientAccessServerEnabled $ true

11- Uma vez feito isso, execute o seguinte teste

Test-IRMConfiguration –sender <username> @ <dominio>

12- Desative os modelos de IRM no OWA e no Outlook

Set-IRMConfiguration -ClientAccessServerEnabled $ false

13- Veja a configuração do IRM

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Criptografia de mensagem do Office – pontos a serem considerados

1) Você precisa permitir que os destinatários das contas do Google, Yahoo e Microsoft usem essas contas para fazer login no portal do Office 365 Message Encryption 

Por padrão, quando você configura os novos recursos de Criptografia de Mensagem do Office 365, os usuários em sua organização podem enviar mensagens a destinatários que estão fora de sua organização do Office 365. Se o destinatário usar um  ID social  , como uma conta do Google, conta do Yahoo ou conta da Microsoft, o destinatário pode entrar no portal OME usando o ID social.  

2) Gerenciar se deve ou não permitir que os destinatários usem IDs sociais para fazer login no portal OME 

1- Execute o cmdlet Set-OMEConfiguration com o parâmetro SocialIdSignIn da seguinte maneira:

Set-OMEConfiguration -Identity "Configuração OME" -SocialIdSignIn $ false

2- Para habilitar IDs sociais:

Set-OMEConfiguration -Identity "Configuração OME" -SocialIdSignIn $ true 

3) Gerenciar o uso de senhas únicas para entrar no portal do Office 365 Message Encryption 

Por padrão, se o destinatário de uma mensagem criptografada pelo OME não usar o Outlook, independentemente da conta usada pelo destinatário, o destinatário receberá um link de visualização da web por tempo limitado que permite a leitura da mensagem. Isso inclui uma senha de uso único. Como administrador, você pode gerenciar se as senhas de uso único podem ou não ser usadas para fazer login no portal OME. 

Para gerenciar se as senhas únicas são geradas ou não para o Office Message Encryption

1- Execute o cmdlet Set-OMEConfiguration com o parâmetro OTPEnabled da seguinte maneira:

Por exemplo, para desativar as senhas únicas:

Set-OMEConfiguration -Identity "Configuração OME" -OTPEnabled $ false

Para habilitar senhas de uso único:

Set-OMEConfiguration -Identity "Configuração OME" -OTPEnabled $ true 

4) Gerenciando a exibição do botão Proteger no Outlook na web 

Por padrão, o  botão Criptografar no Outlook na web não é habilitado quando você configura o OME. Como administrador, você pode gerenciar se deseja ou não exibir este botão para os usuários finais.  Para gerenciar se o botão Proteger aparece ou não no Outlook na web: 

1- Execute o cmdlet Set-IRMConfiguration com o parâmetro -SimplifiedClientAccessEnabled da seguinte maneira:
2- Por exemplo, para desativar o   botão Criptografar:

Set-IRMConfiguration -SimplifiedClientAccessEnabled $ false

3- Para habilitar o  botão Criptografar:

Set-IRMConfiguration -SimplifiedClientAccessEnabled $ true 

5) Ative a descriptografia do lado do serviço de mensagens de e-mail para usuários de aplicativos de e-mail iOS 

O aplicativo de email iOS não pode descriptografar mensagens protegidas com o Office 365 Message Encryption. Como administrador do Office 365, você pode aplicar a descriptografia do lado do serviço para mensagens entregues a clientes não esclarecidos, como o aplicativo de email iOS. Quando você decidir fazer isso, o serviço enviará uma cópia descriptografada da mensagem para o dispositivo iOS. A mensagem é armazenada descriptografada no dispositivo cliente. A mensagem também retém informações sobre os direitos de uso, embora o aplicativo de e-mail iOS não aplique direitos de uso do lado do cliente ao usuário. Isso significa que o usuário pode copiar ou imprimir a mensagem, mesmo que não tenha originalmente os direitos para fazer isso.

No entanto, se o usuário tentar concluir uma ação que exija o servidor de email do Office 365, como encaminhar a mensagem, o servidor não permitirá a ação se o usuário não tiver originalmente o direito de uso para fazê-lo. Ainda assim, os usuários finais podem contornar a restrição de uso de Não Encaminhar, encaminhando a mensagem de uma conta diferente em seu aplicativo de correio iOS.

Independentemente de você configurar a descriptografia do serviço de correio, quaisquer anexos de correio criptografado e protegido por direitos não podem ser exibidos no aplicativo de correio iOS. Se você optar por não permitir que mensagens descriptografadas sejam enviadas aos usuários do aplicativo de e-mail iOS, os usuários receberão uma mensagem informando que não têm direitos para visualizar a mensagem. Por padrão, a descriptografia do lado do serviço de mensagens de e-mail não está habilitada. 

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!