Outlook clássico: como corrigir o erro ao responder e‑mails criptografados (MIP SDK vs MSIPC)

Se o Outlook clássico para Windows exibe “Microsoft Outlook was not able to create a message with restricted permission” ao responder e‑mails criptografados, este guia mostra a causa (mudança para o MIP SDK) e a correção definitiva, além de soluções rápidas e passos para administradores.

Visão geral do problema

• Sintoma: ao responder mensagens protegidas por criptografia Microsoft (OME/Purview), o Outlook clássico mostra o erro “Microsoft Outlook was not able to create a message with restricted permission”. Enviar novas mensagens funciona normalmente.
• Escopo: apenas no Outlook para Windows “clássico”. O Outlook na Web (OWA) e o Novo Outlook não apresentam o erro ao responder.
• Gatilho: a partir da Versão 2402 (Build 17328.20142), o Office trocou o mecanismo antigo MSIPC pela plataforma MIP SDK para rótulos e criptografia. Essa mudança introduziu um problema específico ao gerar a resposta de e‑mails protegidos.
• Status: Microsoft liberou correção na Versão 2407: primeiro no Beta Channel (Build 17819.15010) e depois no Current Channel Preview e Current Channel (a partir do Build 17830.20000). Se você já está em builds recentes de 2407 ou superiores, o problema deve estar resolvido.

Quem é afetado

Ambientes com Microsoft 365 Apps no Current Channel (ou Current Channel Preview) que atualizaram da versão 2401 para a 2402 (ou posterior) durante 2024 observaram falhas ao responder a e‑mails protegidos. O problema é exclusivo do cliente Outlook clássico e independe do Exchange estar em nuvem ou on‑premises. Não há relação com soluções de criptografia de terceiros — elas não “disparam” o bug.

Como confirmar que é o mesmo bug

1. Teste cruzado: no mesmo PC, tente responder ao e‑mail criptografado (gera erro) e depois criar novo e‑mail para o mesmo destinatário aplicando a mesma permissão (funciona). Em outro navegador, faça o teste pelo OWA (deve funcionar).
2. Verifique a versão: no Outlook, abra Arquivo > Conta > Sobre o Outlook e anote Versão/Build e Canal.
3. Compare com a tabela abaixo:

Canal	Versões afetadas	Build com correção	Situação
Current Channel	≥ 2402 (17328.20142)	≥ 2407 (17830.20000)	Corrigido em 2407+
Current Channel Preview	≥ 2402	≥ 2407 (17830.20000)	Corrigido em 2407+
Beta Channel	Builds entre 2402 e pré‑2407	≥ 2407 (17819.15010)	Corrigido em 2407+

Interpretação: se sua instalação está em 2402, 2403, 2404, 2405 ou 2406, ou em 2407 com build anterior ao 17830.20000, aplique uma das mitigações abaixo. Em 2407 com build igual ou superior ao 17830.20000, atualize e remova qualquer configuração de “fallback” para MSIPC.

Soluções e alternativas (resumo)

Opção	Quando aplicar	Passos principais
Responder pelo OWA ou Novo Outlook	Solução imediata para usuários finais	Acesse o Outlook na Web (OWA) ou utilize o Novo Outlook. Ambos não são afetados pelo bug de resposta no cliente clássico.
Reverter para a Versão 2401	Para manter o Outlook clássico sem o erro	No Prompt (Admin): cd %programfiles%\Common Files\Microsoft Shared\ClickToRun officec2rclient.exe /update user updatetoversion=16.0.17231.20236 Confirme o build após concluir e pausa as atualizações automáticas temporariamente.
Forçar uso de MSIPC (fallback)	Quando o downgrade é inviável	Criar o valor DWORD PreferredRmsPackage em HKCU\Software\Microsoft\Office\16.0\Common\DRM com 1 (=MSIPC). Remover após atualização para o build corrigido.
Atualizar para o build corrigido	Solução definitiva	Certifique‑se de estar em Versão 2407 ou superior. Atualize o Microsoft 365 Apps e valide que o build seja ≥ 17830.20000 (Current) ou ≥ 17819.15010 (Beta).
Baixar modelos IRM	Se o cliente nunca conectou ao RMS	No Outlook: Novo e‑mail > Opções > Permissões e selecione “Conectar aos serviços de Gerenciamento de Direitos”. Reinicie o Outlook.
Limpar cache de certificados	Se suspeitar de certificados/credenciais corrompidos	Abra inetcpl.cpl > guia Conteúdo > Certificados ou use certmgr.msc para remover entradas antigas relacionadas a RMS do perfil do usuário. Reinicie o Outlook.

Passo a passo detalhado

Opção 1 — Responder pelo OWA ou pelo Novo Outlook

É a mitigação mais rápida: peça ao usuário para acessar o Outlook na Web (OWA) ou usar o Novo Outlook. A resposta a e‑mails protegidos é enviada normalmente nessas experiências modernas.

Opção 2 — Reverter temporariamente para a Versão 2401

1. Feche os aplicativos do Office.
2. Abra o Prompt de Comando como Administrador.
3. Execute: cd %programfiles%\Common Files\Microsoft Shared\ClickToRun officec2rclient.exe /update user updatetoversion=16.0.17231.20236
4. Abra o Outlook e confirme em Arquivo > Conta > Sobre o Outlook que a versão está em 2401 (Build 17231.20236).
5. (Opcional) Desabilite atualizações automáticas por alguns dias para evitar retornar a uma build problemática antes do rollout da correção.

Dica: em dispositivos gerenciados, prefira automação (Intune/SCCM) para evitar divergências de versão.

Opção 3 — Forçar o Outlook a usar MSIPC (fallback controlado)

Use quando o downgrade é inviável, como em estações compartilhadas ou quando há dependências empresariais com a build atual. O objetivo é instruir o Office a preferir o pacote MSIPC ao criar licenças e chaves IRM, contornando o comportamento do MIP SDK em 2402‑2406.

Registro (por usuário):

REM CMD (executar como o usuário afetado)
reg add "HKCU\Software\Microsoft\Office\16.0\Common\DRM" ^
 /v PreferredRmsPackage /t REG_DWORD /d 1 /f

PowerShell:

New-Item -Path "HKCU:\Software\Microsoft\Office\16.0\Common\DRM" -Force | Out-Null
New-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Common\DRM" `
  -Name "PreferredRmsPackage" -PropertyType DWord -Value 1 -Force | Out-Null

Remoção (após atualizar para build corrigido):

Remove-ItemProperty -Path "HKCU:\Software\Microsoft\Office\16.0\Common\DRM" `
  -Name "PreferredRmsPackage" -ErrorAction SilentlyContinue

Valores suportados: 0=Não definido; 1=MSIPC; 2=MIP.

Importante: esse fallback é temporário. A Microsoft investe na plataforma MIP; mantenha o ajuste apenas até validar a correção e, então, remova‑o.

Opção 4 — Atualizar para o build corrigido (recomendado)

1. No Outlook, acesse Arquivo > Conta e clique em Opções de Atualização > Atualizar Agora.
2. Confirme que está em Versão 2407 ou superior:
   • Beta Channel: Build ≥ 17819.15010.
   • Current/Current Preview: Build ≥ 17830.20000.
3. Abra Sobre o Outlook e valide o número do build.
4. Se você aplicou a mitigação “PreferredRmsPackage=1”, remova o valor para voltar ao caminho suportado (MIP SDK).

Opção 5 — Baixar modelos IRM (primeiro uso)

1. No Outlook, clique em Novo e‑mail > Opções > Permissões.
2. Selecione “Conectar aos Serviços de Gerenciamento de Direitos (RMS)” para carregar os modelos do tenant.
3. Reinicie o Outlook e teste novamente.

Opção 6 — Limpar cache de certificados/credenciais

Em casos de perfis antigos, remover certificados ou licenças IRM obsoletos ajuda:

• Abra inetcpl.cpl > Conteúdo > Certificados e revise itens de Usuário relacionados a RMS.
• Ou utilize certmgr.msc (perfil do usuário) para excluir certificados RMS expirados/duplicados.
• Feche e reabra o Outlook.

Nota: alterações em certificados afetam apenas o perfil do usuário atual. Faça backup quando aplicável.

Fluxo de decisão rápido

1. Precisa resolver já? Use OWA/Novo Outlook para responder.
2. Quer manter o clássico sem falhar? Reverter para 2401 ou aplicar PreferredRmsPackage=1.
3. Pronto para resolver de vez? Atualize para 2407+ (builds de correção) e remova qualquer fallback para MSIPC.

O que NÃO resolveu de forma consistente

• Criar novo perfil do Outlook, limpar Autodiscover/OAB.
• Excluir certificados SSL “padrão” do Windows sem critério.
• Ajustes em soluções de terceiros (ex.: CipherPostPro) — não são a causa do bug.

Orientações para administradores Microsoft 365

1. Mapeie o parque: inventarie os builds do Office (Intune, Defender for Endpoint, scripts) e identifique quem está entre 2402 e 2406 (ou 2407 < 17830.20000).
2. Escolha a mitigação:
   • Ambiente flexível: orientar OWA/Novo Outlook provisoriamente.
   • Ambiente rígido: downgrade controlado para 2401 ou PreferredRmsPackage=1 até a janela de manutenção.
   • Ambiente já em 2407+: priorize update e remova o fallback.
3. Automatize o registro (se necessário):
   • GPO (Preferências) — Item de Registro (HKCU) criando PreferredRmsPackage (DWORD=1) em ...Common\DRM.
   • Intune — Perfil de Scripts (PowerShell) para usuários: $key = "HKCU:\Software\Microsoft\Office\16.0\Common\DRM" New-Item -Path $key -Force | Out-Null New-ItemProperty -Path $key -Name PreferredRmsPackage -PropertyType DWord -Value 1 -Force | Out-Null Agende um segundo script de “limpeza” para remover o valor após a atualização para 2407+.
4. Monitore comunicações oficiais: acompanhe páginas de “Problemas recentes do Outlook clássico para Windows” e a nota específica “Error replying to encrypted emails from Outlook Desktop” para datas de correção e regressões.
5. Comunique o usuário: explique que se trata de um bug conhecido, já corrigido em builds recentes, com alternativas temporárias seguras.

Verificações úteis

• Testes A/B: compare comportamento do mesmo usuário no Outlook clássico versus OWA/Novo Outlook.
• Logs: se o erro persistir em builds corrigidos, registre um chamado pelo portal do Microsoft 365 e inclua capturas do erro e informações de build do Office.
• IRM no tenant: confirme que políticas e rótulos com criptografia estão publicados corretamente e que o usuário tem licença elegível para Purview Message Encryption.

Perguntas frequentes

Isso depende do Exchange on‑premises? Não. É um problema do cliente Outlook clássico em Windows.

O Novo Outlook/OWA são afetados? Não para o ato de responder a e‑mails protegidos; por isso são recomendados como mitigação.

Posso deixar o fallback para MSIPC permanentemente? Não é recomendado. Use apenas enquanto necessário e remova após atualizar para o build corrigido.

Qual é a diferença entre “não conseguir responder” e “não conseguir aplicar rótulos com criptografia”? São problemas distintos que apareceram com a adoção do MIP SDK. Ambos foram endereçados em builds de 2024/2025, mas os sintomas e as correções não são idênticos. Se a falha for ao aplicar rótulo com criptografia, verifique artigos específicos desse cenário.

Boas práticas após a correção

• Remova PreferredRmsPackage=1 para voltar ao MIP SDK.
• Valide que as respostas a e‑mails protegidos funcionam em contas‑piloto e depois amplie o rollout.
• Mantenha o Microsoft 365 Apps atualizado (acima de 2407 ou canal equivalente já contendo a correção).

Checklist final para o help desk

1. Reproduzir o erro ao responder (não ao enviar novo e‑mail).
2. Validar funcionamento no OWA/Novo Outlook.
3. Coletar versão/build e canal do Office.
4. Aplicar uma mitigação (downgrade 2401, fallback MSIPC ou atualização para 2407+).
5. Confirmar resolução e, se aplicável, remover o fallback do registro.
6. Documentar o chamado e orientar o usuário.

Glossário rápido

• MSIPC: mecanismo legado de cliente RMS utilizado pelo Office.
• MIP SDK: plataforma moderna de proteção de informações utilizada para rótulos e criptografia.
• OME/Purview Message Encryption: criptografia de mensagens do Microsoft 365, controlada por políticas e rótulos.
• IRM: Information Rights Management (permissões aplicadas ao conteúdo protegido).

Conclusão

O erro ao responder e‑mails criptografados no Outlook clássico foi causado pela transição para o MIP SDK iniciada na versão 2402. A correção foi disponibilizada na linhagem 2407 e já está presente em builds atuais. Enquanto você não atingir a build corrigida, utilize OWA/Novo Outlook, faça downgrade para 2401 ou aplique o fallback temporário PreferredRmsPackage=1. Assim que atualizar para 2407 (ou superior), remova o fallback e siga com o MIP SDK, que é a plataforma suportada daqui em diante.

---

Referências essenciais para aprofundar (pesquise pelos títulos abaixo):

• “Error replying to encrypted emails from Outlook Desktop” — detalhes do erro, builds afetados e correção (atualizado em junho/2024).
• “Fixes or workarounds for recent issues in classic Outlook for Windows” — página consolidada de incidentes (atualizada regularmente; setembro/2025).
• “Outlook Desktop is unable to apply labels with encryption” — problema aparentado sobre rótulos e criptografia (corrigido em 2024).

---

Isenção de responsabilidade: editar o Registro do Windows exige cuidado. Faça backup e teste em grupos pilotos antes de aplicar em produção.