Gestire la crittografia dei messaggi

  • Articolo

Dopo aver configurato Purview Message Encryption, è possibile personalizzare la configurazione della distribuzione in diversi modi. Ad esempio, è possibile configurare se abilitare i codici pass una tantum, visualizzare il pulsante Crittografa in Outlook sul web e altro ancora. Le attività in questo articolo descrivono come.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Gestire se i destinatari di Google, Yahoo e account Microsoft possono usare questi account per accedere al portale di messaggi crittografati

Quando si configura la crittografia dei messaggi, gli utenti dell'organizzazione possono inviare messaggi a destinatari esterni all'organizzazione. Se il destinatario usa un ID social , ad esempio un account Google, un account Yahoo o un account Microsoft, il destinatario può accedere al portale dei messaggi crittografato con un ID social. Se si vuole, è possibile scegliere di non consentire ai destinatari di usare gli ID di social networking per accedere al portale di messaggi crittografati.

Per gestire se i destinatari possono usare gli ID di social networking per accedere al portale di messaggi crittografati

  1. Connettersi a PowerShell per Exchange Online.

  2. Eseguire il cmdlet Set-OMEConfiguration con il parametro SocialIdSignIn come indicato di seguito:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>

    Ad esempio, per disabilitare gli ID social:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false

    Per abilitare gli ID social:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true

Gestire l'uso di codici pass una tantum per il portale dei messaggi crittografati

Se il destinatario di un messaggio crittografato dalla crittografia dei messaggi non usa Outlook, indipendentemente dall'account usato dal destinatario, il destinatario riceve un collegamento a visualizzazione Web a tempo limitato che consente di leggere il messaggio. Questo collegamento include un codice pass una tantum. In qualità di amministratore, è possibile decidere se i destinatari possono usare codici pass una tantum per accedere al portale dei messaggi crittografati.

Per gestire se OME genera codici pass una tantum

  1. Usare un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione e connettersi a Exchange Online PowerShell. Per istruzioni, vedere Connettersi a PowerShell di Exchange Online.

  2. Eseguire il cmdlet Set-OMEConfiguration con il parametro OTPEnabled:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>

    Ad esempio, per disabilitare i codici pass una tantum:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false

    Per abilitare i codici pass una tantum:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true

Gestire la visualizzazione del pulsante Crittografa in Outlook sul web

In qualità di amministratore, è possibile gestire se visualizzare questo pulsante agli utenti finali.

Per gestire se il pulsante Crittografa viene visualizzato in Outlook sul web

  1. Usare un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione e connettersi a Exchange Online PowerShell. Per istruzioni, vedere Connettersi a PowerShell di Exchange Online.

  2. Eseguire il cmdlet Set-IRMConfiguration con il parametro -SimplifiedClientAccessEnabled:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>

    Ad esempio, per disabilitare il pulsante Crittografa :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

    Per abilitare il pulsante Crittografa :

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

Abilitare la decrittografia sul lato servizio dei messaggi di posta elettronica per gli utenti dell'app di posta elettronica iOS

L'app di posta elettronica iOS non può decrittografare i messaggi protetti con la crittografia dei messaggi. Gli amministratori di Microsoft 365 possono applicare la decrittografia sul lato servizio per i messaggi recapitati all'app di posta iOS. Quando si sceglie di usare la decrittografia sul lato servizio, il servizio invia una copia decrittografata del messaggio al dispositivo iOS. Il dispositivo client archivia una copia decrittografata del messaggio. Il messaggio conserva anche le informazioni sui diritti di utilizzo anche se l'app di posta elettronica iOS non applica i diritti di utilizzo lato client all'utente. L'utente può copiare o stampare il messaggio anche se in origine non aveva i diritti per farlo. Tuttavia, se l'utente tenta di completare un'azione che richiede il server di posta di Microsoft 365, ad esempio l'inoltro del messaggio, il server non consentirà l'azione se l'utente non ha originariamente il diritto di utilizzo per farlo. Tuttavia, gli utenti finali possono aggirare la restrizione di utilizzo "Non inoltrare" inoltrando il messaggio da un account diverso all'interno dell'app di posta elettronica iOS. Indipendentemente dal fatto che sia stata configurata la decrittografia lato servizio della posta, gli allegati alla posta crittografata e i messaggi protetti con diritti non possono essere visualizzati nell'app di posta elettronica iOS.

Se si sceglie di non consentire l'invio di messaggi decrittografati agli utenti dell'app di posta iOS, gli utenti riceveranno un messaggio che indica di non avere i diritti per visualizzare il messaggio. Per impostazione predefinita, la decrittografia sul lato servizio dei messaggi di posta elettronica non è abilitata.

Per altre informazioni e per una visualizzazione dell'esperienza client, vedere Visualizzare i messaggi crittografati sull'iPhone o sull'iPad.

Per gestire se gli utenti dell'app di posta iOS possono visualizzare i messaggi protetti dalla crittografia dei messaggi

  1. Usare un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione e connettersi a Exchange Online PowerShell. Per istruzioni, vedere Connettersi a PowerShell di Exchange Online.

  2. Eseguire il cmdlet Set-ActiveSyncOrganizations con il parametro AllowRMSSupportForUnenlightenedApps:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>

    Ad esempio, per configurare il servizio per decrittografare i messaggi prima che vengano inviati ad app non illuminate come l'app di posta elettronica iOS:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true

    In alternativa, per configurare il servizio per non inviare messaggi decrittografati ad app non illuminate:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false

Nota

I singoli criteri cassetta postale (OWA/ActiveSync) sostituiscono queste impostazioni, ad esempio se -IRMEnabled è impostato su False all'interno dei rispettivi criteri cassetta postale OWA o dei criteri cassetta postale di ActiveSync, queste configurazioni non verranno applicate.

Abilitare la decrittografia sul lato servizio degli allegati di posta elettronica per i client di posta elettronica del Web browser

In genere, quando si usa Office 365 crittografia dei messaggi, gli allegati vengono crittografati automaticamente. Gli amministratori possono applicare la decrittografia sul lato servizio per gli allegati di posta elettronica scaricati dagli utenti da un Web browser.

Quando si usa la decrittografia sul lato servizio, il servizio invia una copia decrittografata del file al dispositivo. Il messaggio è ancora crittografato. L'allegato di posta elettronica mantiene anche le informazioni sui diritti di utilizzo, anche se il browser non applica i diritti di utilizzo lato client all'utente. L'utente può copiare o stampare l'allegato di posta elettronica anche se in origine non aveva i diritti per farlo. Tuttavia, se l'utente tenta di completare un'azione che richiede il server di posta di Microsoft 365, ad esempio l'inoltro dell'allegato, il server non consentirà l'azione se l'utente non ha originariamente il diritto di utilizzo per farlo.

Indipendentemente dal fatto che si imposti la decrittografia sul lato servizio degli allegati, gli utenti non possono visualizzare alcun allegato alla posta crittografata e protetta con diritti nell'app di posta iOS.

Se si sceglie di non consentire allegati di posta elettronica decrittografati, che è l'impostazione predefinita, gli utenti ricevono un messaggio che indica che non hanno i diritti per visualizzare l'allegato.

Per altre informazioni su come Microsoft 365 implementa la crittografia per i messaggi di posta elettronica e gli allegati di posta elettronica con l'opzione Encrypt-Only, vedere Opzione Di sola crittografia per i messaggi di posta elettronica.

Per gestire se gli allegati di posta elettronica vengono decrittografati al download da un Web browser

  1. Usare un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione e connettersi a Exchange Online PowerShell. Per istruzioni, vedere Connettersi a PowerShell di Exchange Online.

  2. Eseguire il cmdlet Set-IRMConfiguration con il parametro DecryptAttachmentForEncryptOnly:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>

    Ad esempio, per configurare il servizio per decrittografare gli allegati di posta elettronica quando un utente li scarica da un Web browser:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true

    Per configurare il servizio in modo da lasciare gli allegati di posta elettronica crittografati durante il download:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false

Assicurarsi che tutti i destinatari esterni usno il portale messaggi crittografati per leggere la posta crittografata

È possibile usare modelli di personalizzazione personalizzati per forzare i destinatari a ricevere un messaggio wrapper che li indirizza a leggere la posta elettronica crittografata nel portale dei messaggi crittografati anziché usare Outlook o Outlook sul web. Potrebbe essere necessario forzare questa esperienza se si vuole un maggiore controllo sul modo in cui i destinatari usano la posta ricevuta. Ad esempio, se i destinatari esterni visualizzano la posta elettronica nel portale Web, è possibile impostare una data di scadenza per il messaggio e revocare il messaggio di posta elettronica. Queste funzionalità sono supportate solo tramite il portale di messaggi crittografati. È possibile usare l'opzione Crittografa e l'opzione Non inoltrare quando si creano le regole del flusso di posta.

Usare un modello personalizzato per forzare tutti i destinatari esterni a usare il portale di messaggi crittografati e per la posta elettronica crittografata

  1. Usare un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione e connettersi a Exchange Online PowerShell. Per istruzioni, vedere Connettersi a PowerShell di Exchange Online.

  2. Eseguire il cmdlet New-TransportRule:

    New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"

    dove:

    • mail flow rule name è il nome che si vuole usare per la nuova regola del flusso di posta.

    • option nameEncrypt è o Do Not Forward.

    • template name è il nome assegnato al modello di personalizzazione personalizzato, ad esempio OME Configuration.

    Per crittografare tutti i messaggi di posta elettronica esterni con il modello "Configurazione OME" e applicare l'opzione Encrypt-Only:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

    Per crittografare tutti i messaggi di posta elettronica esterni con il modello "Configurazione OME" e applicare l'opzione Non inoltrare:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

Personalizzare l'aspetto dei messaggi di posta elettronica e il portale dei messaggi crittografati

Per informazioni dettagliate su come personalizzare Microsoft Purview Message Encryption per l'organizzazione, vedere Aggiungere il marchio dell'organizzazione ai messaggi crittografati. Per tenere traccia e revocare i messaggi crittografati, è necessario aggiungere la personalizzazione personalizzata al portale dei messaggi crittografati.

Disabilitare Microsoft Purview Message Encryption

Ci auguriamo che non arrivi, ma se necessario, disabilitare Microsoft Purview Message Encryption è semplice. Prima di tutto, rimuovere tutte le regole del flusso di posta create che usano Microsoft Purview Message Encryption. Per informazioni sulla rimozione delle regole del flusso di posta, vedere Gestire le regole del flusso di posta. Completare quindi questi passaggi in Exchange Online PowerShell.

Per disabilitare Microsoft Purview Message Encryption

  1. Usando un account aziendale o dell'istituto di istruzione con autorizzazioni di amministratore globale nell'organizzazione, connettersi a Exchange Online PowerShell. Per istruzioni, vedere Connettersi a PowerShell di Exchange Online.

  2. Se è stato abilitato il pulsante Crittografa in Outlook sul web, disabilitarlo eseguendo il cmdlet Set-IRMConfiguration con il parametro SimplifiedClientAccessEnabled. In caso contrario, ignorare questo passaggio.

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

  3. Disabilitare il Microsoft Purview Message Encryption eseguendo il cmdlet Set-IRMConfiguration con il parametro AzureRMSLicensingEnabled impostato su false:

    Set-IRMConfiguration -AzureRMSLicensingEnabled $false