Hai una domanda sul funzionamento delle nuove funzionalità di protezione dei messaggi? Verificare la presenza di una risposta qui. Esaminare anche le domande frequenti sulla protezione dei dati in Azure Information Protection per risposte alle domande sul servizio di protezione dei dati, Azure Rights Management, in Azure Information Protection.
Microsoft Purview Message Encryption combina la crittografia della posta elettronica e le funzionalità di rights management. Le funzionalità di Rights management si basano sulla tecnologia Azure Information Protection.
È possibile usare Microsoft Purview Message Encryption nelle condizioni seguenti:
Se non è stato configurato Office 365 Message Encryption (OME) o Information Rights Management (IRM) per Exchange.
Se si configurano OME e IRM, è possibile usare questi passaggi se si usa anche il servizio Azure Rights Management di Azure Information Protection.
Se si usa Exchange con il servizio Active Directory Rights Management (AD RMS), non è possibile abilitare immediatamente queste nuove funzionalità. È invece necessario eseguire prima la migrazione di AD RMS ad Azure Information Protection. Al termine della migrazione, è possibile configurare correttamente Microsoft Purview Message Encryption.
Se si sceglie di continuare a usare AD RMS locale con Exchange anziché eseguire la migrazione ad Azure Information Protection, non è possibile usare Microsoft Purview Message Encryption.
Per usare Microsoft Purview Message Encryption, è necessario uno dei piani seguenti:
Microsoft Purview Message Encryption è offerto nell'ambito di Office 365 Enterprise E3 ed E5, Microsoft 365 Enterprise E3 ed E5, Microsoft 365 Business Premium, Office 365 A1, A3 e A5 e Office 365 Government G3 e G5. Non sono necessarie licenze aggiuntive per ricevere le nuove funzionalità di protezione basate su Azure Information Protection.
È anche possibile aggiungere Azure Information Protection Piano 1 ai piani seguenti per ricevere Microsoft Purview Message Encryption: Exchange Piano 1, Exchange Piano 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard o Office 365 Enterprise E1.
Ogni utente che trae vantaggio da Microsoft Purview Message Encryption ha bisogno di una licenza per usare la crittografia dei messaggi.
Per l'elenco completo, vedere le descrizioni del servizio Exchange per Microsoft Purview Message Encryption.
Sì. Microsoft consiglia di completare i passaggi per configurare BYOK prima di configurare Microsoft Purview Message Encryption.
Per altre informazioni su BYOK, vedere Pianificazione e implementazione della chiave del tenant di Azure Information Protection.
Microsoft Purview Message Encryption e BYOK con Azure Information Protection modificare l'approccio di Microsoft alle richieste di dati non Microsoft, ad esempio le citazioni in giudizio?
No. Microsoft Purview Message Encryption e l'opzione per fornire e controllare le proprie chiavi di crittografia, chiamate BYOK, da Azure Information Protection non sono state progettate per rispondere alle citazioni in giudizio delle forze dell'ordine. OME, con BYOK per Azure Information Protection, è stato progettato per le organizzazioni incentrate sulla conformità. Microsoft prende sul serio le richieste per i dati dei clienti. In qualità di provider di servizi cloud, siamo sempre a favore della privacy dei dati. Nel caso in cui si ottenga un mandato di comparizione, si tenta sempre di reindirizzare la richiesta direttamente all'utente per ottenere le informazioni. (Leggi il blog di Brad Smith: Proteggere i dati dei clienti dallo spionaggio governativo). Pubblichiamo periodicamente informazioni dettagliate sulla richiesta ricevuta. Per altre informazioni sulle richieste di dati non Microsoft, vedere Risposta alle richieste delle autorità governative e delle forze dell'ordine per accedere ai dati dei clienti nel Centro protezione Microsoft. Vedere anche "Divulgazione dei dati dei clienti" nelle Condizioni dei servizi online (OST).
In che modo questa funzionalità è correlata alle funzionalità legacy di Crittografia messaggi di Office 365 (OME) e Information Rights Management (IRM)?
Microsoft Purview Message Encryption è un'evoluzione delle soluzioni IRM e OME legacy esistenti. Nella tabella seguente sono disponibili altri dettagli.
Confronto tra OME legacy, IRM e Microsoft Purview Message Encryption
Funzionalità | Versioni precedenti di OME | IRM | Crittografia dei messaggi di Microsoft Purview |
---|---|---|---|
Invio di un messaggio di posta elettronica crittografato | Solo tramite le regole del flusso di posta di Exchange | Utente finale avviato da Outlook per Windows, Outlook per Mac o Outlook sul web oppure tramite regole del flusso di posta di Exchange | Utente finale avviato da Outlook per Windows, Outlook per Mac o Outlook sul web oppure tramite regole del flusso di posta |
Gestione dei diritti | - | Opzione Non inoltrare e modelli personalizzati | Opzione Non inoltrare, opzione di sola crittografia, modelli predefiniti e personalizzati |
Tipo di destinatario supportato | Solo destinatari esterni | Solo destinatari interni | Destinatari interni ed esterni |
Esperienza per il destinatario | I destinatari esterni hanno ricevuto un messaggio HTML scaricato e aperto in un browser o in un'app per dispositivi mobili scaricata. | I destinatari interni hanno ricevuto solo messaggi di posta elettronica crittografati in Outlook per Windows, Outlook per Mac e Outlook sul web. | I destinatari interni ed esterni ricevono messaggi di posta elettronica in Outlook per Windows, Outlook per Mac, Outlook sul web, Outlook per Android e Outlook per iOS o tramite un portale Web, indipendentemente dal fatto che si trovino nella stessa organizzazione o in qualsiasi organizzazione. Il portale dei messaggi crittografati non richiede download separato. |
Supporto bring Your Own Key | Non disponibile | Non disponibile | BYOK supportato |
Office 365 Crittografia messaggi (OME) è stato deprecato il 1° luglio 2023. Viene sostituito automaticamente con Microsoft Purview Message Encryption. Se si dispone di una cassetta postale del mittente attiva, è comunque possibile visualizzare la posta da OME.
No. Se si usa Exchange Online con il servizio Active Directory Rights Management (AD RMS), non è possibile abilitare immediatamente queste nuove funzionalità. È invece necessario eseguire prima la migrazione di AD RMS ad Azure Information Protection.
L'organizzazione dispone di una distribuzione ibrida di Exchange. È possibile usare questa funzionalità?
Gli utenti locali possono inviare messaggi crittografati usando Exchange Online regole del flusso di posta. È necessario instradare la posta elettronica tramite Exchange. Per altre informazioni, vedere Parte 2: Configurare la posta elettronica per il flusso dal server di posta elettronica a Microsoft 365.
Quale client di posta elettronica è necessario usare per creare un messaggio crittografato? Quali applicazioni sono supportate per l'invio di messaggi protetti?
È possibile creare messaggi protetti da Outlook 2016, Outlook 2013 per Windows e Mac e da Outlook sul web. Per altre informazioni sull'invio di messaggi crittografati, vedere Inviare, visualizzare e rispondere ai messaggi crittografati in Outlook per PC.
Quali client di posta elettronica sono supportati per leggere e rispondere ai messaggi di posta elettronica protetti?
Gli utenti di Microsoft 365 possono leggere e rispondere da Outlook per Windows e Mac (2013 e 2016), Outlook sul web e Outlook per dispositivi mobili (Android e iOS). Se l'organizzazione lo consente, è anche possibile usare il client di posta elettronica nativo iOS. Se non si è un utente di Microsoft 365, è possibile leggere e rispondere ai messaggi crittografati sul Web tramite il Web browser.
Quali client di posta elettronica supportano i messaggi di posta elettronica protetti solo da crittografia?
Gli utenti di Microsoft 365 possono usare Outlook per PC versioni 2019 e Microsoft 365 per creare la posta protetta con i criteri di sola crittografia. I messaggi con i criteri di sola crittografia applicati possono essere letti direttamente in Outlook sul web, in Outlook per iOS e Android e in Outlook per PC versioni 2019 e Microsoft 365.
Sì. La dimensione massima del messaggio che è possibile inviare con Microsoft Purview Message Encryption, inclusi gli allegati, è di 25 MB. Per altre informazioni, vedere Limiti dei messaggi.
Sì. In alcuni casi in cui sono configurati connettori , ad esempio una distribuzione ibrida di Exchange, quando si includono destinatari nella riga Ccn , i destinatari BCC vengono rimossi prima che la posta venga crittografata. È consigliabile passare a un Exchange Online o inserire tutti i destinatari nei campi A o CC.
Il portale dei messaggi crittografati supporta solo la posta elettronica. Il portale non supporta altri tipi di messaggio, ad esempio il calendario o la segreteria telefonica.
Quali tipi di file sono supportati come allegati nei messaggi di posta elettronica protetti? Gli allegati ereditano i criteri di protezione e le autorizzazioni associati ai messaggi di posta elettronica protetti? E il PDF?
È possibile allegare qualsiasi tipo di file a un messaggio protetto. I criteri di protezione vengono applicati solo a un subset dei formati di file indicati in Tipi di file supportati. Per impostazione predefinita, Microsoft Purview Message Encryption crittografa le estensioni dei file di Office seguenti:
- docx
- docm
- dotx
- dotm
- pptx
- pptm
- potx
- potm
- ppsx
- ppsm
- thmx
- xlsx
- xlsm
- xlsb
- xltx
- xltm
- xlam
- xps
Microsoft Purview Message Encryption non supporta le versioni 97-2003 delle applicazioni di Office seguenti: Word (.doc), Excel (.xls) e PowerPoint (.ppt).
Inoltre, se abilitata in Exchange Online, la crittografia PDF consente di proteggere i documenti PDF sensibili allegati ai messaggi di posta elettronica. Quando si invia un messaggio di posta elettronica, il servizio Office 365 crittografa i file allegati PDF per le versioni più recenti di Outlook, tra cui:
- Outlook (nuovo) Desktop
- Outlook sul Web
- Outlook per Mac
- Outlook per iOS
- Outlook per Android
Per abilitare la crittografia per gli allegati PDF, usando un account aziendale o dell'istituto di istruzione con almeno il ruolo Information Rights Management nel tenant, eseguire il comando seguente in Exchange Online PowerShell:
Set-IRMConfiguration -EnablePdfEncryption $true
La protezione viene ereditata solo dalla posta elettronica agli allegati non crittografati. Se è supportato un formato di file, ad esempio un file Word, Excel o PowerPoint, il file viene sempre protetto, anche dopo che il destinatario ha scaricato l'allegato.
Ad esempio, si supponga che un allegato sia protetto da Non inoltrare. Il destinatario originale scarica il file, crea un messaggio a un nuovo destinatario e collega il file. Quando il nuovo destinatario riceve il file, non può aprirlo.
Not yet. Gli allegati di SharePoint o OneDrive non sono supportati. È possibile crittografare un messaggio di posta elettronica, ma non gli allegati cloud.
Quali client di posta elettronica supportano l'anteprima degli allegati crittografati nei messaggi di posta elettronica protetti?
Quando gli allegati sono protetti con un messaggio di posta elettronica protetto, è possibile visualizzare in anteprima i documenti direttamente usando i client di Outlook. Outlook supporta l'anteprima dei documenti di Office (docx, xlsx, pptx, doc, xls, ppt). Outlook sul web supporta l'anteprima dei documenti di Office (docx, xlsx, pptx) e PDF.
Outlook sul web supporta la revoca della posta protetta. Per informazioni dettagliate, vedere Come revocare un messaggio crittografato inviato .
Il portale dei messaggi crittografati supporta l'anteprima degli allegati crittografati nei messaggi di posta elettronica protetti?
Il portale dei messaggi crittografati supporta l'anteprima di tutte le copie degli allegati crittografate aggiunte alla posta crittografata. I tipi di file di supporto includono file Word, Excel, PowerPoint e PDF.
Sì. Usare le regole del flusso di posta in Exchange Online per crittografare automaticamente un messaggio in base a determinate condizioni. Ad esempio, è possibile creare criteri basati sull'ID destinatario, sul dominio del destinatario o sul contenuto nel corpo o nell'oggetto del messaggio. Vedere Definire le regole del flusso di posta elettronica per crittografare i messaggi di posta elettronica in Office 365.
Gli amministratori possono configurare una regola del flusso di posta per rimuovere la crittografia per la posta in uscita. È possibile configurare solo una regola per rimuovere la crittografia per la posta in arrivo che proviene dall'organizzazione Exchange Online.
Per una cassetta postale Exchange Online, gli amministratori devono abilitare la decrittografia del journal e configurare una regola di inserimento nel journal Exchange Online per generare una copia decrittografata della posta nella cassetta postale di inserimento nel journal. La regola di inserimento nel journal accetta qualsiasi messaggio di posta elettronica o allegato con crittografia e invia l'originale più una copia decrittografata nella cassetta postale di inserimento nel journal. È possibile configurare una regola di inserimento nel journal che può decrittografare posta o allegati solo quando l'elemento crittografato proviene dall'organizzazione.
Per abilitare Exchange Online inserimento nel journal:
Set-IRMConfiguration -JournalReportDecryptionEnabled $true
È possibile crittografare automaticamente i messaggi configurando i criteri in Prevenzione della perdita dei dati (DLP) tramite il Portale di conformità di Microsoft Purview?
Sì. È possibile configurare le regole del flusso di posta in Exchange Online o usando la prevenzione della perdita dei dati nel Portale di conformità di Microsoft Purview.
Sì, per la posta inviata da una cassetta postale Exchange Online nell'organizzazione. Per informazioni sulla personalizzazione dei messaggi di posta elettronica e sul portale dei messaggi crittografati, vedere Aggiungere il marchio dell'organizzazione ai messaggi crittografati.
I log attività del portale messaggi crittografati acquisiscono solo gli eventi per i destinatari esterni accedendo ai portali di messaggi crittografati. Le attività nei client di posta elettronica attivate da destinatari esterni non vengono registrate. Per i destinatari interni, vedere l'azione MailItemsAccessed mailbox-auditing in Purview Audit (Premium) - Posta elettronica a cui si accede ai log.
Sono disponibili funzionalità di creazione di report o informazioni dettagliate per i messaggi di posta elettronica crittografati?
Nel Portale di conformità di Microsoft Purview è presente un report di crittografia. Vedere Visualizzare i report di sicurezza della posta elettronica nel Portale di conformità di Microsoft Purview.
Sì, la maggior parte dei messaggi protetti da Microsoft Purview Message Encryption è individuabile. Microsoft Purview Message Encryption posta protetta ricevuta da un'altra organizzazione di Microsoft 365 con personalizzazione personalizzata applicata tramite una regola del flusso di posta non è individuabile dal servizio eDiscovery. In altre parole, se la posta elettronica non è accessibile tramite la cassetta postale dell'utente, ma viene visualizzata solo tramite un collegamento al portale di messaggi crittografati, la posta elettronica non è ricercabile. Per informazioni dettagliate, vedere Attività di eDiscovery che supportano elementi crittografati .
È possibile inviare come cassetta postale condivisa e crittografare i messaggi di posta elettronica?
Quando un messaggio di posta elettronica corrisponde a una regola del flusso di posta elettronica di crittografia, Exchange crittografa il messaggio che lo invia.
Sì. È possibile aprire messaggi crittografati per una cassetta postale condivisa. Quando la posta viene inviata dalla stessa organizzazione, è possibile aprire la posta quando si accede a un client Outlook supportato. Se la posta viene inviata da un'organizzazione esterna, è necessario usare Outlook sul web.
Gli utenti possono aprire i messaggi protetti in una cassetta postale condivisa in cui la cassetta postale condivisa ha ricevuto un messaggio protetto come parte di un gruppo di distribuzione.
Gli utenti possono visualizzare gli allegati che ereditano la protezione dalla posta elettronica quando usano Outlook per Windows, Outlook per Mac, Outlook per Android, Outlook per iOS e Outlook sul web.
Nella tabella seguente sono elencati i client supportati per le cassette postali condivise.
Piattaforma | Leggere la posta elettronica | Visualizzare gli allegati di posta elettronica |
---|---|---|
Outlook sul Web | Sì | Sì |
Outlook per Windows | Sì | Sì* |
Outlook per Mac | Sì | Sì |
Outlook per Android | Sì | Sì* |
Outlook per iOS | Sì | Sì* |
Nota
Android e iOS usano l'app Office per dispositivi mobili per visualizzare gli allegati crittografati e non visualizzano gli allegati direttamente in Outlook per dispositivi mobili. Outlook per Windows può visualizzare allegati crittografati quando l'utente è direttamente assgined a una cassetta postale condivisa. Vedere di seguito sull'assegnazione dell'utente.
Esistono attualmente due limitazioni note:
Non è possibile aprire allegati ai messaggi di posta elettronica ricevuti nei dispositivi mobili usando Outlook per dispositivi mobili.
Esistono due modi per consentire a un utente di visualizzare la posta crittografata direttamente in Outlook per Windows:
- Assegnare direttamente un utente alla cassetta postale condivisa, con autorizzazioni di accesso complete e mapping automatico abilitati. Per Outlook a 64 bit, gli utenti non devono essere assegnati direttamente alla cassetta postale. Il mapping automatico è abilitato per impostazione predefinita per Exchange.
- Assegnare un gruppo di sicurezza abilitato alla posta elettronica a una cassetta postale condivisa. Questo metodo richiede Outlook versione 2402 e supporta solo la posta generata dopo giugno 2024.
Per assegnare un utente a una cassetta postale condivisa
Eseguire il
Add-MailboxPermission
cmdlet con ilAutomapping
parametro . Questo esempio concede ad Ayla l'autorizzazione di accesso completo a una cassetta postale di supporto.Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
Per assegnare un gruppo di sicurezza abilitato alla posta elettronica alla cassetta postale condivisa
Per utilizzare questo metodo, è necessario crittografare la posta elettronica con le opzioni di protezione Non inoltrare o Crittografa. È possibile aprire solo la posta avviata dalla cassetta postale condivisa o dalla posta inviata all'interno di un'organizzazione.
Eseguire il
Add-MailboxPermission
cmdlet per assegnare il gruppo di sicurezza. L'esempio seguente concede al gruppo di sicurezza front desk Contoso l'autorizzazione di accesso completo a una cassetta postale di supporto.Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
L'accesso delegato è supportato con l'apertura di messaggi crittografati? Anche se un delegato ha accesso completo alla cassetta postale di un altro utente?
Quando ai delegati viene concessa l'autorizzazione di accesso completo alla cassetta postale di un utente, l'accesso delegato alla posta crittografata è supportato in Outlook sul web, Outlook per Mac, Outlook per iOS e Outlook per Android. Outlook per Windows non supporta l'accesso delegato.
Per quanto tempo è possibile accedere alla posta elettronica nel portale dei messaggi crittografati?
È possibile accedere al portale dei messaggi crittografati per recuperare la posta finché l'organizzazione del mittente è attiva e la posta non è configurata per scadere.
Prima di tutto, controllare la cartella posta indesiderata o posta indesiderata nel client di posta elettronica. Le impostazioni DKIM e DMARC per l'organizzazione potrebbero causare il filtro di questi messaggi di posta elettronica come posta indesiderata.
Controllare quindi la quarantena nel portale di conformità. Spesso, i messaggi contenenti un codice pass una tantum, in particolare i primi ricevuti dall'organizzazione, finiscono in quarantena.