Вопросы и ответы по шифрованию сообщений

Шифрование сообщений Microsoft Purview сочетает в себе возможности шифрования электронной почты и управления правами. Возможности управления правами работают на базе Azure Information Protection.

Шифрование сообщений Microsoft Purview можно использовать при следующих условиях:

• Если вы еще не настроили шифрование сообщений Office 365 (OME) или управление правами на доступ к данным (IRM) для Exchange.

• Если вы настроили OME и IRM, можно выполнить следующие действия, если вы также используете службу Azure Rights Management из Azure Information Protection.

• Если вы используете Exchange со службой Active Directory Rights Management (AD RMS), вы не сможете сразу включить эти новые возможности. Вместо этого сначала необходимо перенести AD RMS в Azure Information Protection . Завершив миграцию, вы сможете успешно настроить шифрование сообщений Microsoft Purview.

  Если вы решили продолжать использовать локальную службу AD RMS с Exchange вместо миграции в Azure Information Protection, вы не сможете использовать шифрование сообщений Microsoft Purview.

Чтобы использовать шифрование сообщений Microsoft Purview, вам потребуется один из следующих планов:

• Шифрование сообщений Microsoft Purview предлагается в составе Office 365 корпоративный E3 и E5, Microsoft 365 корпоративный E3 и E5, Microsoft 365 бизнес премиум, Office 365 A1, A3 и A5, а также Office 365 для государственных организаций G3 и G5. Дополнительные лицензии не требуются для получения новых возможностей защиты на базе Azure Information Protection.

• Вы также можете добавить Azure Information Protection плана 1 в следующие планы для получения шифрования сообщений Microsoft Purview: Exchange Plan 1, Exchange Plan 2, Office 365 F3, Microsoft 365 бизнес базовый, Microsoft 365 бизнес стандартный или Office 365 корпоративный E1.

• Каждому пользователю, получающим преимущества шифрования сообщений Microsoft Purview, требуется лицензия на использование шифрования сообщений.

• Полный список см. в описании служб Exchange для шифрования сообщений Microsoft Purview.

Конечно! Корпорация Майкрософт рекомендует выполнить действия по настройке BYOK перед настройкой шифрования сообщений Microsoft Purview.

Дополнительные сведения о BYOK см. в статье Планирование и реализация ключа клиента Azure Information Protection.

Нет. Шифрование сообщений Microsoft Purview и возможность предоставления и управления собственными ключами шифрования, называемыми BYOK, из Azure Information Protection, не предназначены для реагирования на повестки в правоохранительные органы. OME с BYOK для Azure Information Protection был разработан для организаций, ориентированных на соответствие требованиям. Корпорация Майкрософт серьезно относится к запросам данных клиентов. Как поставщик облачных служб, мы всегда выступаем за конфиденциальность ваших данных. В случае получения повестки мы всегда пытаемся перенаправить запрос непосредственно к вам, чтобы получить информацию. (Читайте блог Брэда Смита: Защита данных клиентов от государственного слежки). Мы периодически публикуем подробные сведения о запросе, который мы получаем. Дополнительные сведения о запросах данных сторонних разработчиков см. в статье Реагирование на запросы государственных и правоохранительных органов на доступ к данным клиентов в Центре управления безопасностью Майкрософт. Кроме того, см. раздел "Раскрытие данных клиента" в условиях использования веб-служб (OST).

Шифрование сообщений Microsoft Purview — это эволюция существующих решений IRM и устаревших решений OME. В следующей таблице приведены дополнительные сведения.

Сравнение устаревших OME, IRM и шифрования сообщений Microsoft Purview

См . раздел Настройка шифрования сообщений Microsoft Purview.

Шифрование сообщений Office 365 (OME) было устарело с 1 июля 2023 г. Он автоматически заменяется шифрованием сообщений Microsoft Purview. Если у вас есть активный почтовый ящик отправителя, вы по-прежнему можете просматривать почту из OME.

Нет. Если вы используете Exchange Online со службой Active Directory Rights Management (AD RMS), вы не сможете сразу включить эти новые возможности. Вместо этого сначала необходимо перенести AD RMS в Azure Information Protection .

Локальные пользователи могут отправлять зашифрованную почту с помощью правил потока обработки почты Exchange Online. Вам нужно маршрутизировать электронную почту через Exchange. Дополнительные сведения см. в разделе Часть 2. Настройка отправки почты с сервера электронной почты в Microsoft 365.

Вы можете создавать защищенные сообщения из Outlook 2016, Outlook 2013 для Windows и Mac, а также из Outlook в Интернете. Дополнительные сведения об отправке зашифрованных сообщений см. в статье Отправка, просмотр и ответ на зашифрованные сообщения в Outlook для ПК.

Пользователи Microsoft 365 могут читать и отвечать из Outlook для Windows и Mac (2013 и 2016), Outlook в Интернете и Outlook mobile (Android и iOS). Вы также можете использовать собственный почтовый клиент iOS, если это разрешено вашей организацией. Если вы не пользователь Microsoft 365, вы можете читать зашифрованные сообщения в Интернете и отвечать на них через веб-браузер.

Пользователи Microsoft 365 могут использовать Outlook для ПК версий 2019 и Microsoft 365 для создания почты, защищенной политикой только шифрования. Сообщения, к которым применена политика шифрования, можно считывать непосредственно в Outlook в Интернете, в Outlook для iOS и Android, а также в Outlook для ПК версий 2019 и Microsoft 365.

Да. Максимальный размер сообщения, которое можно отправить с помощью шифрования сообщений Microsoft Purview, включая вложения, составляет 25 МБ. Дополнительные сведения см. в разделе Ограничения сообщений.

Да. В некоторых случаях с настроенными соединителями , например гибридным развертыванием Exchange, при включении получателей в строку BCC получатели BCC удаляются до шифрования почты. Рекомендуется перейти в Exchange Online или поместить всех получателей в поля Кому: или Копия .

Портал зашифрованных сообщений поддерживает только почту. Портал не поддерживает сообщения других типов, таких как календарь или голосовая почта.

В защищенную почту можно вложить файл любого типа. Политики защиты применяются только к подмножествию форматов файлов, упомянутых в разделе Поддерживаемые типы файлов. Шифрование сообщений Microsoft Purview поддерживает только следующие расширения файлов Office:

• DOCX
• docm
• dotx
• dotm
• PPTX
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• XLSX
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Шифрование сообщений Microsoft Purview не поддерживает версии 97–2003 для следующих программ Office: Word (.doc), Excel (.xls) и PowerPoint (.ppt).

Защита наследуется только от почты к незашифрованным вложениям. Если поддерживается формат файла, например Word, Excel или PowerPoint, файл всегда будет защищен даже после того, как получатель загрузит вложение. Например, предположим, что вложение защищено с помощью параметра Не пересылать. Исходный получатель скачивает файл, создает сообщение новому получателю и присоединяет файл. Когда новый получатель получает файл, он не может открыть его.

Короткий ответ да! Если этот параметр включен в Exchange Online, шифрование PDF позволяет защищать конфиденциальные PDF-документы, вложенные в сообщения электронной почты. При отправке сообщения электронной почты служба Office 365 шифрует вложения PDF-файлов для Outlook в Интернете, Outlook для Mac, Outlook для iOS и Outlook для Android. Вы можете зашифровать отправляемые PDF-файлы без дополнительных действий.

64-разрядная версия Outlook изначально поддерживает шифрование вложений в PDF-файлах, а 32-разрядная версия Outlook — нет. Если вы используете 32-разрядную версию Outlook, необходимо настроить правила потока обработки почты Exchange или политики защиты от потери данных, чтобы сначала применить шифрование к вложениям PDF. При отправке незашифрованного сообщения из Outlook Desktop с вложениями в формате PDF клиент сначала отправляет сообщение с вложением в службу. Когда служба получает незашифрованную почту, служба применяет защиту от шифрования сообщений Microsoft Purview с помощью политики защиты от потери данных (DLP) или правила потока обработки почты в Exchange Online. Затем Exchange Online шифрует сообщение и вложение PDF-файла.

Чтобы включить шифрование для вложений PDF, выполните следующую команду в Exchange Online PowerShell:

Set-IRMConfiguration -EnablePdfEncryption $true

Шифрование PDF позволяет защитить конфиденциальные PDF-документы путем безопасного обмена данными или безопасной совместной работы. Для всех клиентов Outlook сообщения и незащищенные вложения PDF наследуют защиту от шифрования сообщений Microsoft Purview политики защиты от потери данных (DLP) или правила потока обработки почты в Exchange Online. Кроме того, если пользователь Outlook в Интернете присоединяет незащищенный PDF-документ и применяет защиту к сообщению, сообщение наследует защиту сообщения. Пользователи могут открывать зашифрованные вложения только в приложениях, поддерживающих защищенные PDF-файлы (например, на портале зашифрованных сообщений и в средстве просмотра Azure Information Protection).

Not yet. Вложения SharePoint или OneDrive не поддерживаются. Вы можете зашифровать почтовое сообщение, но не облачные вложения.

Если вложения защищены с помощью защищенной почты, вы можете просматривать документы непосредственно с помощью клиентов Outlook. Outlook поддерживает предварительный просмотр документов Office (docx, xlsx, pptx, doc, xls, ppt). Outlook в Интернете поддерживает предварительный просмотр документов Office (docx, xlsx, pptx) и PDF.

Outlook в Интернете поддерживает отзыв защищенной почты. Дополнительные сведения см. в статье Отзыв отправленного зашифрованного сообщения .

Портал зашифрованных сообщений поддерживает предварительный просмотр всех зашифрованных копий вложений, добавленных в зашифрованную почту. К вспомогательным типам файлов относятся файлы Word, Excel, PowerPoint и PDF.

Да. Используйте правила потока обработки почты в Exchange Online для автоматического шифрования сообщения на основе определенных условий. Например, можно создать политики на основе идентификатора получателя, домена получателя или содержимого в тексте или теме сообщения. См . раздел Определение правил потока обработки почты для шифрования сообщений электронной почты в Office 365.

Администраторы могут настроить правило потока обработки почты для удаления шифрования исходящей почты. Вы можете настроить правило только для удаления шифрования для входящей почты, поступающей из вашей организации Exchange Online.

Для почтового ящика Exchange Online администраторы должны включить расшифровку журналов и настроить правило авторизации Exchange Online, чтобы создать расшифрованную копию почты в почтовый ящик журнала. Правило авторизации принимает любую почту или вложение с шифрованием и отправляет исходную и расшифрованную копию в почтовый ящик журнала. Вы можете настроить правило авторизации, которое может расшифровывать почту или вложения, когда зашифрованный элемент поступает из вашей организации.
Чтобы включить ведение журнала Exchange Online, выполните приведенные далее действия.

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Конечно! Вы можете настроить правила потока обработки почты в Exchange Online или с помощью защиты от потери данных на портале соответствия требованиям Microsoft Purview.

Да, для почты, отправляемой из почтового ящика Exchange Online в вашей организации! Сведения о настройке сообщений электронной почты и портала зашифрованных сообщений см. в статье Добавление фирменной символики вашей организации в зашифрованные сообщения.

Журналы действий портала зашифрованных сообщений фиксируют события только для внешних получателей путем доступа к порталам зашифрованных сообщений. Все действия в почтовых клиентах, активированные внешними получателями, не записываются. Сведения о внутренних получателях см. в действии MailItemsAccessed mailbox-auditing в разделе Аудит Purview (премиум) — журналы доступа к элементам почты.

На портале соответствия требованиям Microsoft Purview есть отчет о шифровании. См . статью Просмотр отчетов о безопасности электронной почты на портале соответствия требованиям Microsoft Purview.

Да, большинство сообщений, защищенных с помощью шифрования сообщений Microsoft Purview, можно обнаружить. Защищенное шифрование сообщений Microsoft Purview почты, которое вы получаете от другой организации Microsoft 365, в рамках которого применяется настраиваемая фирменная символика с помощью правила потока обработки почты, не может быть обнаружена службой обнаружения электронных данных. Иными словами, если почта недоступна через почтовый ящик пользователя, а отображается только через ссылку на портал зашифрованных сообщений, это сообщение не поддерживает поиск. Дополнительные сведения см. в разделе Действия обнаружения электронных данных, поддерживающие зашифрованные элементы .

Если сообщение электронной почты соответствует правилу потока обработки почты для шифрования, Exchange шифрует сообщение, отправляя его.

Конечно! Вы можете открыть зашифрованные сообщения для общего почтового ящика. При отправке сообщения из той же организации вы можете открыть его при входе в поддерживаемый клиент Outlook. Если почта отправляется из внешней организации, необходимо использовать Outlook в Интернете.

• Пользователи могут открывать защищенные сообщения в общем почтовом ящике, где общий почтовый ящик получил защищенное письмо в составе группы рассылки.

• Пользователи могут просматривать вложения, наследующие защиту от электронной почты, при использовании Outlook для Windows, Outlook для Mac, Outlook для Android, Outlook для iOS и Outlook в Интернете.

В следующей таблице перечислены поддерживаемые клиенты для общих почтовых ящиков.

В настоящее время существуют два известных ограничения:

• Вы не можете открывать вложения в сообщениях электронной почты, которые вы получаете на мобильных устройствах с помощью Outlook mobile.

• Существует два способа разрешить пользователю просматривать зашифрованную почту непосредственно в 32-разрядной версии Outlook:

  1. Назначьте пользователя в общий почтовый ящик напрямую с разрешениями на полный доступ и включенным автоматическим сопоставлением. Для 64-разрядной версии Outlook пользователи не должны назначаться непосредственно почтовому ящику. Автоматическое сопоставление включено по умолчанию для Exchange.
  2. Назначьте группу безопасности с поддержкой почты общему почтовому ящику. Для этого метода требуется Outlook версии 2402 и поддерживается только почта, созданная после июня 2024 г.

Назначение пользователя общему почтовому ящику

1. Подключение к PowerShell для Exchange Online.

2. Add-MailboxPermission Запустите командлет с параметром Automapping . В этом примере Ayla предоставляется разрешение на полный доступ к почтовому ящику службы поддержки.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

Назначение группы безопасности с поддержкой почты общему почтовому ящику

Чтобы использовать этот метод, необходимо зашифровать почту с помощью параметров защиты "Не пересылать" или "Только шифрование ". Можно открыть только почту, инициированную общим почтовым ящиком или отправленную внутри организации.

1. Подключение к PowerShell для Exchange Online.

2. Add-MailboxPermission Выполните командлет , чтобы назначить группу безопасности. В следующем примере группа безопасности contoso front desk дает разрешение на полный доступ к почтовому ящику службы поддержки.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

Когда делегатам предоставляется полное разрешение на доступ к почтовому ящику пользователя, делегированный доступ к зашифрованной почте поддерживается в Outlook в Интернете, Outlook для Mac, Outlook для iOS и Outlook для Android. Outlook для Windows не поддерживает делегированный доступ.

Вы можете войти на портал зашифрованных сообщений, чтобы получить почту, если организация отправителя активна и срок действия почты не истекает.

Сначала проверьте папку нежелательной почты или нежелательной почты в почтовом клиенте. Параметры DKIM и DMARC для вашей организации могут привести к тому, что эти сообщения электронной почты будут отфильтрованы как спам.

Затем проверьте карантин на портале соответствия требованиям. Часто сообщения, содержащие одноразовый код, особенно те, которые получает ваша организация, помещаются в карантин.