Расшифровка в средствах обнаружения электронных данных (предварительная версия)
Шифрование является важной частью стратегии защиты файлов и защиты информации. Организации всех типов используют технологию шифрования для защиты конфиденциального содержимого в своей организации и обеспечения доступа к этому содержимому только нужным пользователям.
Для выполнения общих задач обнаружения электронных данных (предварительная версия) в зашифрованном содержимом диспетчеры обнаружения электронных данных должны расшифровывать содержимое сообщений электронной почты при экспорте из случаев обнаружения электронных данных. Содержимое, зашифрованное с помощью технологий шифрования Майкрософт, было недоступно для просмотра до момента экспорта.
Чтобы упростить управление зашифрованным содержимым в рабочем процессе обнаружения электронных данных, средства обнаружения электронных данных теперь включают расшифровку зашифрованных файлов, прикрепленных к сообщениям электронной почты и отправляемых в Exchange Online.1 Кроме того, зашифрованные документы, хранящиеся в SharePoint и OneDrive, расшифровываются при включении функций обнаружения электронных данных уровня "Премиум"2.
До этой возможности расшифровывались только содержимое сообщения электронной почты, защищенного с помощью управления правами (и не вложенных файлов). Зашифрованные документы в SharePoint и OneDrive не удалось расшифровать во время рабочего процесса обнаружения электронных данных. Теперь файлы, зашифрованные с помощью технологии шифрования Майкрософт, находятся в учетной записи SharePoint или OneDrive, доступны для поиска и расшифровки при подготовке результатов поиска к предварительной версии, добавлении в набор для проверки и экспорте. Кроме того, зашифрованные документы в SharePoint и OneDrive, прикрепленные к сообщению электронной почты (в виде копии), доступны для поиска. Эта возможность расшифровки позволяет диспетчерам обнаружения электронных данных просматривать содержимое зашифрованных вложений электронной почты и документов сайта при предварительном просмотре результатов поиска и просматривать их после добавления в набор проверки при включении функций обнаружения электронных данных уровня "Премиум".
Совет
Приступая к работе с Microsoft Security Copilot изучить новые способы интеллектуальной и быстрой работы с использованием возможностей ИИ. Дополнительные сведения о Microsoft Security Copilot в Microsoft Purview.
- Разрешения. Вам должна быть назначена роль расшифровки RMS для предварительного просмотра, просмотра и экспорта файлов, зашифрованных с помощью технологий шифрования Майкрософт. Эта роль также должна быть назначена для проверки и запроса зашифрованных файлов, которые добавляются в набор проверки в обнаружении электронных данных. Эта роль назначается по умолчанию группе ролей eDiscovery Manager на портале Microsoft Purview. Дополнительные сведения о роли расшифровки RMS см. в разделе Назначение разрешений обнаружения электронных данных.
- Запустите средство восстановления папки "Входящие" для экспортированных PST-файлов. После экспорта PST-файлов рекомендуется запустить средство восстановления папки "Входящие" (ScanPST.exe) для диагностики и исправления ошибок в PST-файлах.
В Exchange средства обнаружения электронных данных поддерживают элементы, зашифрованные с помощью технологий шифрования Майкрософт. К этим технологиям относятся Azure Rights Management (Azure RMS)3 и Защита информации Microsoft Purview (в частности, метки конфиденциальности). Дополнительные сведения о технологиях шифрования Майкрософт см. в разделе Шифрование и различные доступные варианты шифрования электронной почты . Содержимое, зашифрованное с помощью S/MIME или сторонних технологий шифрования, не поддерживается. Например, предварительный просмотр или экспорт содержимого, зашифрованного с помощью технологий сторонних производителей, не поддерживается.
Примечание
Расшифровка сообщений электронной почты, отправляемых с помощью пользовательского шаблона фирменной символики Шифрование сообщений Microsoft Purview, не поддерживается средствами обнаружения электронных данных Майкрософт. При использовании пользовательского шаблона фирменной символики OME сообщения электронной почты доставляются на портал OME, а не на почтовый ящик получателя. Таким образом, вы не сможете использовать средства обнаружения электронных данных для поиска зашифрованных сообщений, так как эти сообщения никогда не будут получены почтовым ящиком получателя.
Для SharePoint расшифровывается содержимое, помеченное веб-службой SharePoint . Элементы, помеченные или зашифрованные в клиенте перед отправкой в SharePoint, устаревшие шаблоны или параметры RMS библиотеки документов и S/MIME или другие стандарты не поддерживаются2.
В следующей таблице указаны поддерживаемые задачи, которые можно выполнять в средствах обнаружения электронных данных для зашифрованных файлов, прикрепленных к сообщениям электронной почты и зашифрованным документам в SharePoint и OneDrive. Эти поддерживаемые задачи можно выполнять с зашифрованными файлами, которые соответствуют критериям поиска. Значение N/A
указывает, что функциональные возможности недоступны в обнаружении электронных данных.
Задача обнаружения электронных данных | Обнаружение электронных данных | Включены функции premium |
---|---|---|
Поиск содержимого в зашифрованных файлах на сайтах и вложениях электронной почты1 | Нет | Да |
Предварительный просмотр зашифрованных файлов, вложенных в электронную почту | Нет | Да |
Предварительный просмотр зашифрованных документов в SharePoint и OneDrive | Нет | Да |
Проверка зашифрованных файлов в наборе для проверки | Недоступно | Да |
Экспорт зашифрованных файлов, вложенных в электронную почту | Да | Да |
Экспорт зашифрованных документов в SharePoint и OneDrive | Нет | Да |
В следующей таблице описывается расшифровка, поддерживаемая обнаружением электронных данных для электронной почты, электронной почты с вложениями и файлов, размещенных в SharePoint.
Тип элемента | Задача | Обнаружение электронных данных | Включены функции premium |
---|---|---|---|
Зашифрованная электронная почта | Поиск | Да | Да |
Зашифрованная электронная почта | Расшифровка в PST-файл | Нет | Да |
Зашифрованная электронная почта | Расшифровка в файл | Нет | Да |
Зашифрованная почта и вложение | Поиск | Нет | Да (с расширенным индексированием)1 |
Зашифрованная почта и вложение | Расшифровка в PST-файл | Нет | Да |
Зашифрованная почта и вложение | Расшифровка в файл | Нет | Да |
Файл в SharePoint с меткой MIP | Поиск | Нет | Да |
Файл в SharePoint с меткой MIP | Расшифровка | Нет | Да |
Файл в SharePoint с другим шифрованием2 | Поиск, расшифровка | Нет | Нет |
Важно!
Обнаружение электронных данных не поддерживает устаревшие протоколы шифрования.
На поддержку обнаружения электронных данных для расшифровки сообщений электронной почты и вложений применяются следующие ограничения:
- Расшифровка не поддерживается, если шифрование электронной почты или вложений применяется во внешней организации. Обнаружение электронных данных поддерживает расшифровку только для электронной почты и вложений, зашифрованных в вашей организации.
- При расшифровке электронных писем или вложений владелец почтового ящика, в котором электронные письма и вложения включены в действия обнаружения электронных данных, должен иметь доступ к просмотру зашифрованного содержимого. Расшифровка сообщений электронной почты или вложений не поддерживается, если они отправляются или пересылаются другими получателями, которые не могут просматривать зашифрованное содержимое. Изменения в группах владельца или других разрешениях организации также могут повлиять на поддержку расшифровки.
Обнаружение электронных данных не поддерживает зашифрованные файлы в SharePoint и OneDrive, если метка конфиденциальности, применяющая шифрование, настроена с одним из следующих параметров:
- Пользователи могут назначать разрешения, если они вручную применяют метку к документу. Иногда это называется пользовательскими разрешениями.
- Для доступа пользователей к документу задано значение, отличное от Никогда.
Дополнительные сведения об этих параметрах см. в разделе "Настройка параметров шифрования" статьи Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования.
Документы, зашифрованные с предыдущими параметрами, могут быть возвращены при поиске eDiscovery. Этот результат может произойти, когда свойство документа (например, название, автор или дата изменения) соответствует условиям поиска. Хотя эти документы могут быть включены в результаты поиска, их невозможно просмотреть или просмотреть. Эти документы остаются зашифрованными при экспорте при включении функций обнаружения электронных данных уровня "Премиум".
Важно!
Расшифровка не поддерживается для файлов, которые локально шифруются и затем передаются в SharePoint или OneDrive. Например, локальные файлы, которые шифруются клиентом Защита информации Microsoft Purview, а затем отправляются в Microsoft 365, не поддерживаются. Для расшифровки поддерживаются только файлы, зашифрованные в службе SharePoint или OneDrive.
Расшифровка защищенных RMS сообщений электронной почты и зашифрованных файлов с помощью функций обнаружения электронных данных уровня "Премиум"
Все защищенные правами (защищенные RMS) сообщения электронной почты, включенные в результаты поиска, расшифровываются при их экспорте. Эта возможность расшифровки включена по умолчанию для членов группы ролей диспетчера обнаружения электронных данных. Это связано с тем, что этой группе ролей по умолчанию назначается роль управления расшифровки RMS.
При экспорте зашифрованных сообщений электронной почты и вложений учитывайте следующее:
- Если включить расшифровку защищенных RMS сообщений при их экспорте, необходимо экспортировать результаты поиска как отдельные сообщения для поддержки расшифровки.
- Вложения, зашифрованные отдельно от сообщения электронной почты, не расшифровываются. Например, если пользователь шифрует документ Word, а затем присоединяется к незашифрованным сообщениям электронной почты, это вложение не расшифровывается.
- Вложения, зашифрованные в рамках шифрования связанного сообщения электронной почты, расшифровываются. Например, если пользователь создает сообщение электронной почты, присоединяет незашифрованное Word документе, а затем шифрует сообщение (включая вложение), это вложение расшифровывается.
- Расшифрованные сообщения определяются в отчете ResultsLog . Этот отчет содержит столбец с именем Состояние декодирования, а значение Decoded определяет расшифрованные сообщения.
- Помимо расшифровки файловых вложений при экспорте результатов поиска, можно также просмотреть расшифрованный файл при предварительном просмотре результатов поиска. Вы можете просмотреть сообщение электронной почты с защитой прав только после его экспорта.
- Если вам нужно предотвратить расшифровку сообщений RMS-protect и зашифрованных файловых вложений, необходимо создать настраиваемую группу ролей (путем копирования встроенной группы ролей диспетчера обнаружения электронных данных), а затем удалить роль управления расшифровки RMS из настраиваемой группы ролей. Затем добавьте пользователя, которого вы не хотите расшифровывать сообщения, в качестве члена настраиваемой группы ролей.
1 Зашифрованные файлы, расположенные на локальном компьютере и скопированные в сообщение электронной почты, не расшифровываются и не индексируются для обнаружения электронных данных. Если включены функции обнаружения электронных данных уровня "Премиум", зашифрованные сообщения электронной почты и вложения в почтовом ящике получателя должны быть расширены для расшифровки.
2 Расшифровываются только элементы, помеченные в SharePoint (или отправленные в SharePoint после включения интеграции с метками конфиденциальности) и имеющие метки с разрешениями, определенными администратором, без истечения срока действия. Все остальные зашифрованные файлы в SharePoint не расшифровываются. Дополнительные сведения см . в статье Включение меток конфиденциальности для файлов в SharePoint и OneDrive.
Другие документы не расшифровываются, в том числе:
- Файлы, зашифрованные в клиенте и отправленные до того, как метки конфиденциальности были интегрированы с SharePoint.
- Документы зашифрованы с помощью устаревших шаблонов RMS и не помечены метками.
- Документы с пользовательскими разрешениями или с параметрами срока действия (SMIME или другие стандарты).
3 Только содержимое, зашифрованное с помощью ключей RMS, размещенных в Microsoft 365, прозрачно расшифровывается, когда включены функции обнаружения электронных данных уровня "Премиум". Шифрование двойного ключа (DKE), хранение собственного ключа (HYOK), локальные RMS и т. д. не поддерживаются. Дополнительные сведения см. в статье Планирование и реализация ключа клиента Information Protection Azure.