Управление шифрованием сообщений

  • Статья

Завершив настройку шифрования сообщений Purview, вы можете настроить конфигурацию развертывания несколькими способами. Например, можно настроить, следует ли включать одноразовые коды пропуска, отображать кнопку Шифровать в Outlook в Интернете и т. д. В задачах, описанных в этой статье, описано, как.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Управление тем, могут ли получатели учетных записей Google, Yahoo и Майкрософт использовать эти учетные записи для входа на портал зашифрованных сообщений.

При настройке шифрования сообщений пользователи в вашей организации могут отправлять сообщения получателям, которые находятся за пределами организации. Если получатель использует идентификатор социальной сети, например учетную запись Google, учетную запись Yahoo или учетную запись Майкрософт, получатель может войти на портал зашифрованных сообщений с идентификатором социальной сети. При необходимости можно запретить получателям использовать идентификаторы социальных параметров для входа на портал зашифрованных сообщений.

Управление тем, могут ли получатели использовать идентификаторы социальных параметров для входа на портал зашифрованных сообщений

  1. Подключение к Exchange Online PowerShell.

  2. Выполните командлет Set-OMEConfiguration с параметром SocialIdSignIn следующим образом:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>

    Например, чтобы отключить идентификаторы социальных параметров, выполните приведенные ниже действия.

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false

    Чтобы включить идентификаторы социальных параметров, выполните приведенные далее действия.

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true

Управление использованием одноразовых кодов пропуска для портала зашифрованных сообщений

Если получатель сообщения, зашифрованного с помощью шифрования сообщений, не использует Outlook, независимо от учетной записи, используемой получателем, получатель получает ссылку веб-просмотра ограниченного времени, которая позволяет ему прочитать сообщение. Эта ссылка содержит одноразовый код прохода. Администратор может решить, могут ли получатели использовать одноразовые коды передачи для входа на портал зашифрованных сообщений.

Управление тем, создает ли OME одноразовые коды пропуска

  1. Используйте рабочую или учебную учетную запись с разрешениями глобального администратора в вашей организации и подключитесь к Exchange Online PowerShell. Инструкции см. в статье Подключение к Exchange Online PowerShell.

  2. Выполните командлет Set-OMEConfiguration с параметром OTPEnabled:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>

    Например, чтобы отключить одноразовые коды пропуска, выполните приведенные ниже действия.

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false

    Чтобы включить одноразовые коды пропуска, выполните приведенные далее действия.

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true

Управление отображением кнопки "Шифровать" в Outlook в Интернете

Администратор может управлять отображением этой кнопки для конечных пользователей.

Чтобы настроить, отображается ли кнопка "Шифровать" в Outlook в Интернете

  1. Используйте рабочую или учебную учетную запись с разрешениями глобального администратора в вашей организации и подключитесь к Exchange Online PowerShell. Инструкции см. в статье Подключение к Exchange Online PowerShell.

  2. Выполните командлет Set-IRMConfiguration с параметром -SimplifiedClientAccessEnabled:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>

    Например, чтобы отключить кнопку Шифровать , выполните следующие действия:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

    Чтобы включить кнопку Шифровать, выполните следующие действия:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

Включение расшифровки сообщений электронной почты на стороне службы для пользователей почтового приложения iOS

Почтовое приложение iOS не может расшифровывать сообщения, защищенные с помощью шифрования сообщений. Администратор Microsoft 365 может применять расшифровку на стороне службы для сообщений, доставляемых в почтовое приложение iOS. При использовании расшифровки на стороне службы служба отправляет расшифрованную копию сообщения на устройство iOS. Клиентское устройство хранит расшифрованную копию сообщения. В сообщении также сохраняются сведения о правах на использование, даже если почтовое приложение iOS не применяет к пользователю права на использование на стороне клиента. Пользователь может скопировать или распечатать сообщение, даже если у него изначально не было прав на это. Однако если пользователь пытается выполнить действие, для чего требуется почтовый сервер Microsoft 365, например пересылать сообщение, сервер не будет разрешать действие, если у пользователя изначально не было права на использование. Однако пользователи могут обойти ограничение использования "Не пересылать", переадресовав сообщение из другой учетной записи в почтовом приложении iOS. Независимо от того, настроили ли вы расшифровку почты на стороне службы, вложения в зашифрованную и защищенную правами почты невозможно просмотреть в почтовом приложении iOS.

Если вы решили запретить отправку расшифрованных сообщений пользователям почтового приложения iOS, пользователи получат сообщение о том, что у них нет прав на просмотр сообщения. По умолчанию расшифровка сообщений электронной почты на стороне службы не включена.

Дополнительные сведения и представление о взаимодействии с клиентом см. в статье Просмотр зашифрованных сообщений на iPhone или iPad.

Управление тем, могут ли пользователи почтового приложения iOS просматривать сообщения, защищенные шифрованием сообщений

  1. Используйте рабочую или учебную учетную запись с разрешениями глобального администратора в вашей организации и подключитесь к Exchange Online PowerShell. Инструкции см. в статье Подключение к Exchange Online PowerShell.

  2. Выполните командлет Set-ActiveSyncOrganizations с параметром AllowRMSSupportForUnenenenedApps:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>

    Например, чтобы настроить службу для расшифровки сообщений перед их отправкой в незасвеченные приложения, такие как почтовое приложение iOS:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true

    Или, чтобы настроить службу не отправлять расшифрованные сообщения незасвеченным приложениям, выполните следующие действия.

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false

Примечание.

Отдельные политики почтовых ящиков (OWA/ActiveSync) переопределяют эти параметры (т. е. если параметру -IRMEnabled задано значение False в соответствующей политике почтовых ящиков OWA или политике почтовых ящиков ActiveSync, эти конфигурации не будут применяться).

Включение расшифровки вложений электронной почты на стороне службы для почтовых клиентов веб-браузера

Обычно при использовании Office 365 шифрования сообщений вложения шифруются автоматически. Администратор может применить расшифровку на стороне службы для вложений электронной почты, которые пользователи скачивают из веб-браузера.

При использовании расшифровки на стороне службы служба отправляет на устройство расшифрованную копию файла. Сообщение по-прежнему зашифровано. Вложение электронной почты также содержит сведения о правах использования, даже если браузер не применяет права на использование на стороне клиента к пользователю. Пользователь может скопировать или распечатать вложение электронной почты, даже если у него изначально не было прав на это. Однако если пользователь пытается выполнить действие, для чего требуется почтовый сервер Microsoft 365, например переадресацию вложения, сервер не будет разрешать действие, если у пользователя изначально не было права на использование.

Независимо от того, настроили ли вы расшифровку вложений на стороне службы, пользователи не могут просматривать вложения в зашифрованной и защищенной от прав почты в почтовом приложении iOS.

Если вы решили не разрешать расшифровку вложений электронной почты (это значение по умолчанию), пользователи получат сообщение о том, что у них нет прав на просмотр вложения.

Дополнительные сведения о том, как Microsoft 365 реализует шифрование для электронной почты и вложений электронной почты с помощью параметра Encrypt-Only, см. в разделе Параметр только шифрование для сообщений электронной почты.

Управление расшифровкой вложений электронной почты при скачивании из веб-браузера

  1. Используйте рабочую или учебную учетную запись с разрешениями глобального администратора в вашей организации и подключитесь к Exchange Online PowerShell. Инструкции см. в статье Подключение к Exchange Online PowerShell.

  2. Выполните командлет Set-IRMConfiguration с параметром DecryptAttachmentForEncryptOnly:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>

    Например, чтобы настроить службу для расшифровки вложений электронной почты, когда пользователь скачивает их из веб-браузера, выполните следующие действия.

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true

    Чтобы настроить службу на сохранение зашифрованных вложений электронной почты в том виде, в который они находятся при скачивании, выполните следующие действия:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false

Убедитесь, что все внешние получатели используют портал зашифрованных сообщений для чтения зашифрованной почты

Вы можете использовать пользовательские шаблоны фирменной символики, чтобы заставить получателей получать почту-оболочку, которая направляет их на чтение зашифрованных сообщений на портале зашифрованных сообщений вместо использования Outlook или Outlook в Интернете. Вы можете выполнить принудительное выполнение этой функции, если хотите больше контроля над тем, как получатели используют почту, которую они получают. Например, если внешние получатели просматривают электронную почту на веб-портале, вы можете задать дату окончания срока действия сообщения электронной почты и отозвать сообщение. Эти функции поддерживаются только через портал зашифрованных сообщений. При создании правил потока обработки почты можно использовать параметр Шифровать и не пересылать.

Использование пользовательского шаблона, чтобы заставить всех внешних получателей использовать портал зашифрованных сообщений и для зашифрованной электронной почты

  1. Используйте рабочую или учебную учетную запись с разрешениями глобального администратора в вашей организации и подключитесь к Exchange Online PowerShell. Инструкции см. в статье Подключение к Exchange Online PowerShell.

  2. Выполните командлет New-TransportRule:

    New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"

    где:

    • mail flow rule name — это имя, которое вы хотите использовать для нового правила потока обработки почты.

    • option name имеет значение Encrypt или Do Not Forward.

    • template name — это имя, присвоенное пользовательскому шаблону фирменной символики, например OME Configuration.

    Чтобы зашифровать все внешние сообщения электронной почты с помощью шаблона "Конфигурация OME" и применить параметр Encrypt-Only:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

    Чтобы зашифровать все внешние сообщения электронной почты с помощью шаблона "Конфигурация OME" и применить параметр Не пересылать:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"

Настройка внешнего вида сообщений электронной почты и портала зашифрованных сообщений

Подробные сведения о настройке Шифрование сообщений Microsoft Purview для организации см. в статье Добавление фирменной символики организации в зашифрованные сообщения. Чтобы отслеживать и отзывать зашифрованные сообщения, необходимо добавить пользовательскую фирменную символику на портал зашифрованных сообщений.

Отключение Шифрование сообщений Microsoft Purview

Мы надеемся, что это не дойдет, но если вам нужно, отключить Шифрование сообщений Microsoft Purview просто. Сначала удалите все созданные правила потока обработки почты, использующие Шифрование сообщений Microsoft Purview. Сведения об удалении правил потока обработки почты см. в разделе Управление правилами потока обработки почты. Затем выполните эти действия в Exchange Online PowerShell.

Отключение Шифрование сообщений Microsoft Purview

  1. С помощью рабочей или учебной учетной записи с разрешениями глобального администратора в организации подключитесь к Exchange Online PowerShell. Инструкции см. в статье Подключение к Exchange Online PowerShell.

  2. Если вы включили кнопку Шифровать в Outlook в Интернете, отключите ее, выполнив командлет Set-IRMConfiguration с параметром SimplifiedClientAccessEnabled. В противном случае пропустите этот шаг.

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false

  3. Отключите Шифрование сообщений Microsoft Purview, выполнив командлет Set-IRMConfiguration с параметром AzureRMSLicensingEnabled, который имеет значение false:

    Set-IRMConfiguration -AzureRMSLicensingEnabled $false