Шифрование электронной почты

В этой статье сравниваются возможности шифрования в Microsoft 365, в том числе шифрование сообщений Microsoft Purview, S/MIME и службы управления правами на доступ к данным (IRM), а также объясняется протокол TLS.

Microsoft 365 предоставляет несколько вариантов шифрования, помогающих решить ваши бизнес-задачи в области защиты электронной почты. В этой статье описаны три способа шифрования электронной почты в Office 365. Если вы хотите подробнее узнать о всех функциях безопасности в Office 365, посетите Центр управления безопасностью Office 365. В этой статье описаны три типа шифрования, которые помогут администраторам Microsoft 365 защитить электронную почту в Office 365:

  • Шифрование сообщений Microsoft Purview

  • Secure/Multipurpose Internet Mail Extensions (S/MIME);

  • управления правами на доступ к данным (IRM).

Совет

Если вы не являетесь клиентом E5, вы можете бесплатно опробовать все функции уровня "Премиум" в Microsoft Purview. Используйте 90-дневную пробную версию решений Purview, чтобы узнать, как надежные возможности Purview могут помочь вашей организации управлять требованиями к безопасности данных и соответствию требованиям. Начните с центра Портал соответствия требованиям Microsoft Purview пробных версий. Сведения о регистрации и условиях пробной версии.

Способ использования шифрования электронной почты в Microsoft 365

Шифрование — это процесс шифрования информации таким образом, чтобы только авторизованный получатель мог расшифровать и использовать ее. В Microsoft 365 шифрование используется двумя способами: в работе службы и в качестве пользовательского элемента управления. В работе службы шифрование используется в Microsoft 365 по умолчанию. Вам не нужно ничего настраивать. Например, в Microsoft 365 протокол TLS используется для шифрования подключения (сеанса) между двумя серверами.

Вот как обычно работает шифрование электронной почты:

  • Сообщение шифруется или преобразуется из обычного текста в нечитаемый зашифрованный текст на компьютере отправителя или на центральном сервере во время пересылки сообщения.

  • Сообщение сохраняется в зашифрованном виде во время передачи, чтобы защитить его от чтения при возможном перехвате.

  • После получения сообщения получателем оно преобразуется в читаемый обычный текст одним из двух способов:

    • компьютер получателя использует ключ для расшифровки сообщения;

    • центральный сервер расшифровывает сообщение от имени получателя после проверки удостоверения получателя.

Дополнительные сведения о том, как Microsoft 365 защищает соединение между серверами, например между серверами нескольких организаций с Microsoft 365 или между серверами организаций с Microsoft 365 и серверами доверенного партнера, не использующего Microsoft 365, см. в статье Использование протокола TLS службой Exchange Online для защиты электронной почты в Office 365.

Сравнение вариантов шифрования электронной почты, доступных в Office 365

Технологии шифрования электронной почты Концептуальная иллюстрация, описывающая OME. Концептуальная иллюстрация, описывающая IRM Концептуальная иллюстрация, описывающая SMIME
Что это такое? Шифрование сообщений — это служба, созданная на основе Службы управления правами Azure (Azure RMS), которая позволяет отправлять зашифрованные сообщения электронной почты пользователям внутри или за пределами организации независимо от адреса назначения (Gmail, Yahoo! Mail, Outlook.com и т. д.).
Как администратор вы можете настроить правила транспорта, которые определяют условия шифрования. Когда пользователь отправляет сообщение, соответствующее правилу, шифрование применяется автоматически.
Для просмотра зашифрованных сообщений получатели могут получить одноразовый пароль, войти с учетной записью Майкрософт либо войти с помощью рабочей или учебной учетной записи, связанной с Office 365. Получатели также могут отправлять зашифрованные ответы. Им не требуется подписка на Microsoft 365 для просмотра шифрованных сообщений или отправки шифрованных ответов.
IRM — это решение шифрования, которое также применяет ограничения к письмам. Это позволяет предотвратить печать, пересылку или копирование конфиденциальных сведений несанкционированными людьми.
Для реализации возможностей IRM в Microsoft 365 используется служба управления правами Azure (Azure RMS).
S/MIME — это решение шифрования на основе сертификатов, которое позволяет шифровать и подписывать сообщения. Шифрование сообщений гарантирует, что только указанный получатель сможет открыть и прочитать сообщение. Цифровая подпись позволяет получателю проверить подлинность отправителя.
Цифровые подписи и шифрование сообщений реализуются с помощью уникальных цифровых сертификатов, которые содержат ключи для проверки цифровых подписей и шифрования или расшифровки сообщений.
Для использования S/MIME необходимы открытые ключи для каждого получателя. Получатели должны использовать собственные закрытые ключи, которые необходимо защищать. Если закрытые ключи получателя скомпрометированы, получателю необходимо получить новый закрытый ключ и повторно разослать открытые ключи всем потенциальным отправителям.
Для чего оно используется? OME:
шифрует сообщения, отправляемые внутренним или внешним получателям.
Позволяет пользователям отправлять зашифрованные сообщения на любой электронный адрес, включая Outlook.com, Yahoo! Mail и Gmail.
Позволяет администратору настроить портал для просмотра электронной почты в соответствии с фирменным стилем организации.
Корпорация Майкрософт управляет ключами и хранит их, поэтому вам не нужно об этом беспокоиться.
Специальное клиентское программное обеспечение не требуется, так как зашифрованное сообщение (оно отправляется как HTML-вложение) можно открыть в браузере.
IRM:
Использует шифрование и ограничения для защиты писем и вложений в сетевом и автономном режиме.
Предоставляет вам как администратору возможность настроить правила транспорта или правила защиты Outlook, которые автоматически применяют IRM к определенным сообщениям.
Позволяет пользователям вручную применять шаблоны в Outlook или Outlook в Интернете (прежнее название — Outlook Web App).
Протокол S/MIME используется для проверки подлинности адресов отправителей с помощью цифровых подписей и шифрования сообщений.
Для чего оно не используется? OME не позволяют применить ограничения использования к сообщениям. Например, его нельзя использовать, чтобы не позволить получателям пересылать или печатать зашифрованное сообщение. Некоторые приложения могут не поддерживать сообщения с защитой IRM на всех устройствах. Дополнительные сведения об этих и других продуктах, поддерживающих почту с защитой IRM, см. в разделе Возможности клиентских устройств. Протокол S/MIME не допускает проверку зашифрованных сообщений на наличие вредоносных программ, нежелательной почты или на соответствие политикам.
Рекомендации и примеры сценариев Мы рекомендуем использовать OME, чтобы отправлять конфиденциальные бизнес-данные пользователям за пределами организации (как отдельным лицам, так и другим организациям). Примеры:
Сотрудник банка отправляет клиентам выписки по кредитным картам.
Сотрудник больницы отправляет медицинские записи пациенту.
Адвокат передает конфиденциальные юридические сведения другому адвокату.
Мы рекомендуем использовать IRM, чтобы применять ограничения использования, а также шифрование. Например:
Руководитель отправляет своей рабочей группе конфиденциальные сведения о новом продукте с параметром "Не пересылать".
Руководителю требуется отправить предложение другой компании, которое содержит вложение от партнера, использующего Office 365, с защитой письма и вложения.
Мы рекомендуем использовать S/MIME, если вашей организации или организации получателя требуется одноранговое шифрование.
S/MIME чаще всего используется в следующих случаях:
Государственные учреждения взаимодействуют с другими государственными учреждениями.
Компания взаимодействует с государственным учреждением.

Какие варианты шифрования доступны для подписки на Microsoft 365?

Сведения о вариантах шифрования электронной почты для подписки на Microsoft 365 см. в статье Описание службы Exchange Online. Здесь вы найдете сведения о следующих функциях шифрования:

  • Azure RMS, включая возможности IRM и шифрование сообщений Microsoft Purview

  • S/MIME;

  • TLS;

  • шифрование неактивных данных (BitLocker).

С Microsoft 365 можно также использовать сторонние средства шифрования, например PGP (Pretty Good Privacy). Microsoft 365 не поддерживает стандарт PGP/MIME, и для отправки и получения сообщений, зашифрованных с помощью PGP, вы можете использовать только PGP/Inline.

Как насчет шифрования неактивных данных?

"Неактивные данные" — это данные, которые не передаются в текущий момент. В Microsoft 365 данные электронной почты при хранении шифруются с помощью шифрования диска BitLocker. Для обеспечения улучшенной защиты от несанкционированного доступа жесткие диски в центрах обработки данных корпорации Майкрософт шифруются с использованием BitLocker. Дополнительные сведения см. в обзоре компонента BitLocker.

Дополнительные сведения о вариантах шифрования электронной почты

Дополнительные сведения о вариантах шифрования электронной почты, описанных в этой статье, а также о протоколе TLS см. в следующих статьях:

Шифрование сообщений Microsoft Purview

Шифрование сообщений

IRM

Управление правами на доступ к данным в Exchange Online

Управление правами Azure

S/MIME

S/MIME для подписи и шифрования сообщений

Общие сведения о S/MIME

Общие сведения о шифровании с открытым ключом

TLS

Настройка пользовательского потока обработки почты с помощью соединителей