Domande frequenti sulla crittografia dei messaggi

Microsoft Purview Message Encryption combina la crittografia della posta elettronica e le funzionalità di rights management. Le funzionalità di Rights management si basano sulla tecnologia Azure Information Protection.

È possibile usare Microsoft Purview Message Encryption nelle condizioni seguenti:

• Se non è stato configurato Office 365 Message Encryption (OME) o Information Rights Management (IRM) per Exchange.

• Se si configurano OME e IRM, è possibile usare questi passaggi se si usa anche il servizio Azure Rights Management di Azure Information Protection.

• Se si usa Exchange con il servizio Active Directory Rights Management (AD RMS), non è possibile abilitare immediatamente queste nuove funzionalità. È invece necessario eseguire prima la migrazione di AD RMS ad Azure Information Protection . Al termine della migrazione, è possibile configurare correttamente Microsoft Purview Message Encryption.

  Se si sceglie di continuare a usare AD RMS locale con Exchange anziché eseguire la migrazione ad Azure Information Protection, non è possibile usare Microsoft Purview Message Encryption.

Per usare Microsoft Purview Message Encryption, è necessario uno dei piani seguenti:

• Microsoft Purview Message Encryption è disponibile come parte di Office 365 Enterprise E3 ed E5, Microsoft 365 Enterprise E3 ed E5, Microsoft 365 Business Premium, Office 365 A1, A3 e A5 e Office 365 Government G3 e G5. Non sono necessarie licenze aggiuntive per ricevere le nuove funzionalità di protezione basate su Azure Information Protection.

• È anche possibile aggiungere Azure Information Protection Piano 1 ai piani seguenti per ricevere Crittografia messaggi Microsoft Purview: Exchange Piano 1, Exchange Piano 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard o Office 365 Enterprise E1.

• Ogni utente che trae vantaggio da Microsoft Purview Message Encryption ha bisogno di una licenza per usare la crittografia dei messaggi.

• Per l'elenco completo, vedere le descrizioni del servizio Exchange per Microsoft Purview Message Encryption.

Sì. Microsoft consiglia di completare i passaggi per configurare BYOK prima di configurare Microsoft Purview Message Encryption.

Per altre informazioni su BYOK, vedere Pianificazione e implementazione della chiave del tenant di Azure Information Protection.

No. Microsoft Purview Message Encryption e l'opzione per fornire e controllare le proprie chiavi di crittografia, chiamate BYOK, da Azure Information Protection non sono state progettate per rispondere alle citazioni in giudizio delle forze dell'ordine. OME, con BYOK per Azure Information Protection, è stato progettato per le organizzazioni incentrate sulla conformità. Microsoft prende sul serio le richieste per i dati dei clienti. In qualità di provider di servizi cloud, siamo sempre a favore della privacy dei dati. Nel caso in cui si ottenga un mandato di comparizione, si tenta sempre di reindirizzare la richiesta direttamente all'utente per ottenere le informazioni. (Leggi il blog di Brad Smith: Proteggere i dati dei clienti dallo spionaggio governativo). Pubblichiamo periodicamente informazioni dettagliate sulla richiesta ricevuta. Per altre informazioni sulle richieste di dati non Microsoft, vedere Risposta alle richieste delle autorità governative e delle forze dell'ordine per accedere ai dati dei clienti nel Centro protezione Microsoft. Vedere anche "Divulgazione dei dati dei clienti" nelle Condizioni dei servizi online (OST).

Microsoft Purview Message Encryption è un'evoluzione delle soluzioni IRM e OME legacy esistenti. Nella tabella seguente sono disponibili altri dettagli.

Confronto tra OME legacy, IRM e Microsoft Purview Message Encryption

Vedere Configurare Microsoft Purview Message Encryption.

Office 365 Message Encryption (OME) è stato deprecato il 1° luglio 2023. Viene sostituito automaticamente con Microsoft Purview Message Encryption. Se si dispone di una cassetta postale del mittente attiva, è comunque possibile visualizzare la posta da OME.

No. Se si usa Exchange Online con il servizio Active Directory Rights Management (AD RMS), non è possibile abilitare immediatamente queste nuove funzionalità. È invece necessario eseguire prima la migrazione di AD RMS ad Azure Information Protection .

Gli utenti locali possono inviare messaggi crittografati usando le regole del flusso di posta di Exchange Online. È necessario instradare la posta elettronica tramite Exchange. Per altre informazioni, vedere Parte 2: Configurare la posta elettronica per il flusso dal server di posta elettronica a Microsoft 365.

È possibile creare messaggi protetti da Outlook 2016, Outlook 2013 per Windows e Mac e da Outlook sul Web. Per altre informazioni sull'invio di messaggi crittografati, vedere Inviare, visualizzare e rispondere ai messaggi crittografati in Outlook per PC.

Gli utenti di Microsoft 365 possono leggere e rispondere da Outlook per Windows e Mac (2013 e 2016), Outlook sul Web e Outlook per dispositivi mobili (Android e iOS). Se l'organizzazione lo consente, è anche possibile usare il client di posta elettronica nativo iOS. Se non si è un utente di Microsoft 365, è possibile leggere e rispondere ai messaggi crittografati sul Web tramite il Web browser.

Gli utenti di Microsoft 365 possono usare Outlook per PC versioni 2019 e Microsoft 365 per creare la posta protetta con i criteri di sola crittografia. I messaggi con i criteri di sola crittografia applicati possono essere letti direttamente in Outlook sul Web, in Outlook per iOS e Android e in Outlook per PC versioni 2019 e Microsoft 365.

Sì. Le dimensioni massime dei messaggi che è possibile inviare con Microsoft Purview Message Encryption, inclusi gli allegati, sono di 25 MB. Per altre informazioni, vedere Limiti dei messaggi.

Sì. In alcuni casi in cui sono configurati connettori , ad esempio una distribuzione ibrida di Exchange, quando si includono destinatari nella riga Ccn , i destinatari BCC vengono rimossi prima che la posta venga crittografata. La procedura consigliata consiste nel passare a exchange online o inserire tutti i destinatari nei campi A o CC .

Il portale dei messaggi crittografati supporta solo la posta elettronica. Il portale non supporta altri tipi di messaggio, ad esempio il calendario o la segreteria telefonica.

È possibile allegare qualsiasi tipo di file a un messaggio protetto. I criteri di protezione vengono applicati solo a un subset dei formati di file indicati in Tipi di file supportati. Microsoft Purview Message Encryption supporta solo le estensioni dei file di Office seguenti:

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Microsoft Purview Message Encryption non supporta le versioni 97-2003 dei programmi di Office seguenti: Word (.doc), Excel (.xls) e PowerPoint (.ppt).

La protezione viene ereditata solo dalla posta elettronica agli allegati non crittografati. Se è supportato un formato di file, ad esempio un file di Word, Excel o PowerPoint, il file viene sempre protetto, anche dopo che il destinatario ha scaricato l'allegato. Ad esempio, si supponga che un allegato sia protetto da Non inoltrare. Il destinatario originale scarica il file, crea un messaggio a un nuovo destinatario e collega il file. Quando il nuovo destinatario riceve il file, non può aprirlo.

La risposta breve è sì! Se abilitata in Exchange Online, la crittografia PDF consente di proteggere i documenti PDF sensibili allegati ai messaggi di posta elettronica. Quando si invia un messaggio di posta elettronica, il servizio Office 365 crittografa i file allegati PDF per Outlook sul Web, Outlook per Mac, Outlook per iOS e Outlook per Android. È possibile crittografare i PDF inviati senza altri passaggi.

Outlook a 64 bit supporta in modo nativo la crittografia dei file allegati PDF, mentre Outlook a 32 bit no. Se si usa Outlook a 32 bit, è necessario configurare le regole del flusso di posta di Exchange o i criteri DLP per applicare prima la crittografia agli allegati PDF. Quando si invia un messaggio di posta non crittografato da Outlook Desktop con un allegato PDF, il client invia prima il messaggio con l'allegato al servizio. Quando il servizio riceve la posta non crittografata, il servizio applica la protezione di Microsoft Purview Message Encryption tramite i criteri di prevenzione della perdita dei dati (DLP) o la regola del flusso di posta in Exchange Online. Exchange Online crittografa quindi il messaggio e il file allegato PDF.

Per abilitare la crittografia per gli allegati PDF, eseguire il comando seguente in PowerShell di Exchange Online:

Set-IRMConfiguration -EnablePdfEncryption $true

La crittografia PDF consente di proteggere i documenti PDF sensibili tramite comunicazioni sicure o collaborazione sicura. Per tutti i client di Outlook, i messaggi e gli allegati PDF non protetti ereditano la protezione di Microsoft Purview Message Encryption dei criteri di prevenzione della perdita dei dati o della regola del flusso di posta in Exchange Online. Inoltre, se un utente di Outlook sul Web collega un documento PDF non protetto e applica la protezione al messaggio, il messaggio eredita la protezione del messaggio. Gli utenti possono aprire solo gli allegati crittografati nelle applicazioni che supportano pdf protetti, ad esempio il portale dei messaggi crittografati e il Visualizzatore di Azure Information Protection.

Not yet. Gli allegati di SharePoint o OneDrive non sono supportati. È possibile crittografare un messaggio di posta elettronica, ma non gli allegati cloud.

Quando gli allegati sono protetti con un messaggio di posta elettronica protetto, è possibile visualizzare in anteprima i documenti direttamente usando i client di Outlook. Outlook supporta l'anteprima dei documenti di Office (docx, xlsx, pptx, doc, xls, ppt). Outlook sul Web supporta l'anteprima dei documenti di Office (docx, xlsx, pptx) e PDF.

Outlook sul Web supporta la revoca della posta protetta. Per informazioni dettagliate, vedere Come revocare un messaggio crittografato inviato .

Il portale dei messaggi crittografati supporta l'anteprima di tutte le copie degli allegati crittografate aggiunte alla posta crittografata. I tipi di file di supporto includono file Word, Excel, PowerPoint e PDF.

Sì. Usare le regole del flusso di posta in Exchange Online per crittografare automaticamente un messaggio in base a determinate condizioni. Ad esempio, è possibile creare criteri basati sull'ID destinatario, sul dominio del destinatario o sul contenuto nel corpo o nell'oggetto del messaggio. Vedere Definire le regole del flusso di posta per crittografare i messaggi di posta elettronica in Office 365.

Gli amministratori possono configurare una regola del flusso di posta per rimuovere la crittografia per la posta in uscita. È possibile configurare solo una regola per rimuovere la crittografia per la posta in arrivo che proviene dall'organizzazione di Exchange Online.

Per una cassetta postale di Exchange Online, gli amministratori devono abilitare la decrittografia del journal e configurare una regola di inserimento nel journal di Exchange Online per generare una copia decrittografata della posta nella cassetta postale di inserimento nel journal. La regola di inserimento nel journal accetta qualsiasi messaggio di posta elettronica o allegato con crittografia e invia l'originale più una copia decrittografata nella cassetta postale di inserimento nel journal. È possibile configurare una regola di inserimento nel journal che può decrittografare posta o allegati solo quando l'elemento crittografato proviene dall'organizzazione.
Per abilitare l'inserimento nel journal di Exchange Online:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Sì. È possibile configurare le regole del flusso di posta in Exchange Online o usando la prevenzione della perdita dei dati nel portale di conformità di Microsoft Purview.

Sì, per la posta inviata da una cassetta postale di Exchange Online nell'organizzazione. Per informazioni sulla personalizzazione dei messaggi di posta elettronica e sul portale dei messaggi crittografati, vedere Aggiungere il marchio dell'organizzazione ai messaggi crittografati.

I log attività del portale messaggi crittografati acquisiscono solo gli eventi per i destinatari esterni accedendo ai portali di messaggi crittografati. Le attività nei client di posta elettronica attivate da destinatari esterni non vengono registrate. Per i destinatari interni, vedere l'azione MailItemsAccessed mailbox-auditing in Purview Audit (Premium) - Posta elettronica a cui si accede ai log.

Nel portale di conformità di Microsoft Purview è disponibile un report di crittografia. Vedere Visualizzare i report sulla sicurezza della posta elettronica nel portale di conformità di Microsoft Purview.

Sì, la maggior parte dei messaggi protetti da Microsoft Purview Message Encryption è individuabile. La posta protetta di Microsoft Purview Message Encryption ricevuta da un'altra organizzazione di Microsoft 365 con personalizzazione personalizzata applicata tramite una regola del flusso di posta non è individuabile dal servizio eDiscovery. In altre parole, se la posta elettronica non è accessibile tramite la cassetta postale dell'utente, ma viene visualizzata solo tramite un collegamento al portale di messaggi crittografati, la posta elettronica non è ricercabile. Per informazioni dettagliate, vedere Attività di eDiscovery che supportano elementi crittografati .

Quando un messaggio di posta elettronica corrisponde a una regola del flusso di posta elettronica di crittografia, Exchange crittografa il messaggio che lo invia.

Sì. È possibile aprire messaggi crittografati per una cassetta postale condivisa. Quando la posta viene inviata dalla stessa organizzazione, è possibile aprire la posta quando si accede a un client Outlook supportato. Se il messaggio viene inviato da un'organizzazione esterna, è necessario usare Outlook sul Web.

• Gli utenti possono aprire i messaggi protetti in una cassetta postale condivisa in cui la cassetta postale condivisa ha ricevuto un messaggio protetto come parte di un gruppo di distribuzione.

• Gli utenti possono visualizzare gli allegati che ereditano la protezione dalla posta elettronica quando usano Outlook per Windows, Outlook per Mac, Outlook per Android, Outlook per iOS e Outlook sul Web.

Nella tabella seguente sono elencati i client supportati per le cassette postali condivise.

Esistono attualmente due limitazioni note:

• Non è possibile aprire allegati ai messaggi di posta elettronica ricevuti nei dispositivi mobili usando Outlook per dispositivi mobili.

• Esistono due modi per consentire a un utente di visualizzare la posta crittografata direttamente in Outlook a 32 bit:

  1. Assegnare direttamente un utente alla cassetta postale condivisa, con autorizzazioni di accesso complete e mapping automatico abilitati. Per Outlook a 64 bit, gli utenti non devono essere assegnati direttamente alla cassetta postale. Il mapping automatico è abilitato per impostazione predefinita per Exchange.
  2. Assegnare un gruppo di sicurezza abilitato alla posta elettronica a una cassetta postale condivisa. Questo metodo richiede Outlook versione 2402 e supporta solo la posta generata dopo giugno 2024.

Per assegnare un utente a una cassetta postale condivisa

1. Connettersi a PowerShell per Exchange Online.

2. Eseguire il Add-MailboxPermission cmdlet con il Automapping parametro . Questo esempio concede ad Ayla l'autorizzazione di accesso completo a una cassetta postale di supporto.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

Per assegnare un gruppo di sicurezza abilitato alla posta elettronica alla cassetta postale condivisa

Per utilizzare questo metodo, è necessario crittografare la posta elettronica con le opzioni di protezione Non inoltrare o Crittografa. È possibile aprire solo la posta avviata dalla cassetta postale condivisa o dalla posta inviata all'interno di un'organizzazione.

1. Connettersi a PowerShell per Exchange Online.

2. Eseguire il Add-MailboxPermission cmdlet per assegnare il gruppo di sicurezza. L'esempio seguente concede al gruppo di sicurezza front desk Contoso l'autorizzazione di accesso completo a una cassetta postale di supporto.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

Quando ai delegati viene concessa l'autorizzazione di accesso completo alla cassetta postale di un utente, l'accesso delegato alla posta crittografata è supportato in Outlook sul Web, Outlook per Mac, Outlook per iOS e Outlook per Android. Outlook per Windows non supporta l'accesso delegato.

È possibile accedere al portale dei messaggi crittografati per recuperare la posta finché l'organizzazione del mittente è attiva e la posta non è configurata per scadere.

Prima di tutto, controllare la cartella posta indesiderata o posta indesiderata nel client di posta elettronica. Le impostazioni DKIM e DMARC per l'organizzazione potrebbero causare il filtro di questi messaggi di posta elettronica come posta indesiderata.

Controllare quindi la quarantena nel portale di conformità. Spesso, i messaggi contenenti un codice pass una tantum, in particolare i primi ricevuti dall'organizzazione, finiscono in quarantena.