У вас есть вопросы о том, как работают новые возможности защиты сообщений? Проверьте ответ здесь. Кроме того, ознакомьтесь с часто задаваемыми вопросами о защите данных в Azure Information Protection, чтобы получить ответы на вопросы о службе защиты данных Azure Rights Management в Azure Information Protection.
Шифрование сообщений Microsoft Purview объединяет возможности шифрования электронной почты и управления правами. Возможности управления правами на основе Azure Information Protection.
Вы можете использовать Шифрование сообщений Microsoft Purview при следующих условиях:
Если вы не настроили Office 365 шифрование сообщений (OME) или управление правами на доступ к данным (IRM) для Exchange.
Если вы настроили OME и IRM, вы можете выполнить следующие действия, если вы также используете службу Azure Rights Management из Azure Information Protection.
Если вы используете Exchange со службой Active Directory Rights Management (AD RMS), вы не сможете сразу включить эти новые возможности. Вместо этого сначала необходимо перенести AD RMS в Azure Information Protection. После завершения миграции можно успешно настроить Шифрование сообщений Microsoft Purview.
Если вы решили продолжать использовать локальную службу AD RMS с Exchange вместо миграции в Azure Information Protection, вы не сможете использовать Шифрование сообщений Microsoft Purview.
Чтобы использовать Шифрование сообщений Microsoft Purview, вам потребуется один из следующих планов:
Шифрование сообщений Microsoft Purview предлагается в рамках Office 365 корпоративный E3 и E5, Microsoft 365 корпоративный E3 и E5, Microsoft 365 бизнес премиум Office 365 A1, A3 и A5, а также Office 365 для государственных организаций G3 и G5. Дополнительные лицензии не требуются для получения новых возможностей защиты на платформе Azure Information Protection.
Вы также можете добавить Azure Information Protection плана 1 в следующие планы для получения Шифрование сообщений Microsoft Purview: Exchange Plan 1, Exchange Plan 2, Office 365 F3, Microsoft 365 бизнес базовый, Microsoft 365 бизнес стандарт или Office 365 корпоративный E1.
Каждому пользователю, получающим преимущества Шифрование сообщений Microsoft Purview, требуется лицензия на использование шифрования сообщений.
Полный список см. в описании служб Exchange для Шифрование сообщений Microsoft Purview.
Можно ли использовать Exchange с использованием собственного ключа (BYOK) в Azure Information Protection?
Конечно! Корпорация Майкрософт рекомендует выполнить действия по настройке BYOK перед настройкой Шифрование сообщений Microsoft Purview.
Дополнительные сведения о BYOK см. в статье Планирование и реализация ключа клиента Information Protection Azure.
Измените ли Шифрование сообщений Microsoft Purview и BYOK в Azure Information Protection подход Корпорации Майкрософт к запросам данных сторонних поставщиков, таким как повестки?
Нет. Шифрование сообщений Microsoft Purview и возможность предоставления и управления собственными ключами шифрования, называемыми BYOK, из Azure Information Protection не предназначены для реагирования на запросы правоохранительных органов. OME с BYOK для Azure Information Protection разработан для организаций, ориентированных на соответствие требованиям. Корпорация Майкрософт серьезно относится к запросам данных клиентов. Как поставщик облачных служб, мы всегда выступаем за конфиденциальность ваших данных. В случае получения повестки мы всегда пытаемся перенаправить запрос непосредственно к вам, чтобы получить информацию. (Читайте блог Брэда Смита: Защита данных клиентов от государственного слежки). Мы периодически публикуем подробные сведения о запросе, который мы получаем. Дополнительные сведения о запросах данных сторонних разработчиков см. в статье Реагирование на запросы государственных и правоохранительных органов на доступ к данным клиентов в Центре управления безопасностью Майкрософт. Кроме того, см. раздел "Раскрытие данных клиента" в условиях использования веб-служб (OST).
Как эта функция связана с устаревшими функциями шифрования сообщений Office 365 (OME) и управления правами на доступ к данным (IRM)?
Шифрование сообщений Microsoft Purview — это эволюция существующих решений IRM и устаревших решений OME. В следующей таблице приведены дополнительные сведения.
Сравнение устаревших OME, IRM и Шифрование сообщений Microsoft Purview
Возможность | Предыдущие версии OME | IRM | Шифрование сообщений Microsoft Purview |
---|---|---|---|
Отправка зашифрованного сообщения электронной почты | Только через правила потока обработки почты Exchange | Пользователь, инициированный из Outlook для Windows, Outlook для Mac или Outlook в Интернете, или с помощью правил потока обработки почты Exchange | Пользователь, инициированный из Outlook для Windows, Outlook для Mac или Outlook в Интернете или с помощью правил потока обработки почты |
Управление правами на доступ | - | Параметр "Не пересылать" и пользовательские шаблоны | Параметр "Не пересылать", параметр только для шифрования, шаблоны по умолчанию и пользовательские шаблоны |
Поддерживаемый тип получателя | Только внешние получатели | Только внутренние получатели | Внутренние и внешние получатели |
Взаимодействие с получателем | Внешние получатели получили HTML-сообщение, которое они скачали и открыли в браузере или мобильном приложении. | Внутренние получатели получали зашифрованную почту только в Outlook для Windows, Outlook для Mac и Outlook в Интернете. | Внутренние и внешние получатели получают сообщения электронной почты в Outlook для Windows, Outlook для Mac, Outlook в Интернете, Outlook для Android и Outlook для iOS или через веб-портал независимо от того, находятся ли они в одной организации или в какой-либо организации. Портал зашифрованных сообщений не требует отдельной загрузки. |
Поддержка собственных ключей | Недоступно | Недоступно | Поддерживается BYOK |
Шифрование сообщений Office 365 (OME) было устарело с 1 июля 2023 г. Он автоматически заменяется Шифрование сообщений Microsoft Purview. Если у вас есть активный почтовый ящик отправителя, вы по-прежнему можете просматривать почту из OME.
Нет. Если вы используете Exchange Online со службой Active Directory Rights Management (AD RMS), вы не сможете сразу включить эти новые возможности. Вместо этого сначала необходимо перенести AD RMS в Azure Information Protection.
Локальные пользователи могут отправлять зашифрованную почту с помощью Exchange Online правил потока обработки почты. Вам нужно маршрутизировать электронную почту через Exchange. Дополнительные сведения см. в разделе Часть 2. Настройка отправки почты с сервера электронной почты в Microsoft 365.
Какой почтовый клиент необходимо использовать для создания зашифрованного сообщения? Какие приложения поддерживают отправку защищенных сообщений?
Защищенные сообщения можно создавать из Outlook 2016, Outlook 2013 для Windows и Mac, а также из Outlook в Интернете. Дополнительные сведения об отправке зашифрованных сообщений см. в статье Отправка, просмотр и ответ на зашифрованные сообщения в Outlook для ПК.
Пользователи Microsoft 365 могут читать и отвечать из Outlook для Windows и Mac (2013 и 2016), Outlook в Интернете и Outlook mobile (Android и iOS). Вы также можете использовать собственный почтовый клиент iOS, если это разрешено вашей организацией. Если вы не пользователь Microsoft 365, вы можете читать зашифрованные сообщения в Интернете и отвечать на них через веб-браузер.
Пользователи Microsoft 365 могут использовать Outlook для ПК версий 2019 и Microsoft 365 для создания почты, защищенной политикой только шифрования. Сообщения, к которым применена политика только шифрования, можно считывать непосредственно в Outlook в Интернете, в Outlook для iOS и Android, а также в Outlook для ПК версий 2019 и Microsoft 365.
Да. Максимальный размер сообщения, которое можно отправить с помощью Шифрование сообщений Microsoft Purview, включая вложения, составляет 25 МБ. Дополнительные сведения см. в разделе Ограничения сообщений.
Существует ли ограничение на количество получателей, в которых можно отправлять зашифрованные OME сообщения?
Да. В некоторых случаях с настроенными соединителями , например гибридным развертыванием Exchange, при включении получателей в строку BCC получатели BCC удаляются до шифрования почты. Рекомендуется перейти к Exchange Online или поместить всех получателей в поля Кому: или Копия.
Портал зашифрованных сообщений поддерживает только почту. Портал не поддерживает сообщения других типов, таких как календарь или голосовая почта.
Какие типы файлов поддерживаются в виде вложений в защищенных сообщениях электронной почты? Наследуют ли вложения политики защиты и разрешения, связанные с защищенными электронными письмами? Как насчет PDF- файла?
В защищенную почту можно вложить файл любого типа. Политики защиты применяются только к подмножествию форматов файлов, упомянутых в разделе Поддерживаемые типы файлов. По умолчанию Шифрование сообщений Microsoft Purview шифрует следующие расширения файлов Office:
- DOCX
- docm
- dotx
- dotm
- PPTX
- pptm
- potx
- potm
- ppsx
- ppsm
- thmx
- XLSX
- xlsm
- xlsb
- xltx
- xltm
- xlam
- xps
Шифрование сообщений Microsoft Purview не поддерживает версии Office 97–2003: Word (.doc), Excel (.xls) и PowerPoint (.ppt).
Кроме того, если включено в Exchange Online, шифрование PDF позволяет защищать конфиденциальные PDF-документы, вложенные в сообщения электронной почты. При отправке сообщения электронной почты служба Office 365 шифрует вложения PDF-файлов для новейших версий Outlook, в том числе:
- Outlook (новый) Desktop
- Outlook в Интернете
- Outlook для Mac
- Outlook для iOS
- Outlook для Android
Чтобы включить шифрование для вложений PDF с помощью рабочей или учебной учетной записи с ролью "Управление правами на доступ к данным" в клиенте, выполните следующую команду в Exchange Online PowerShell:
Set-IRMConfiguration -EnablePdfEncryption $true
Защита наследуется только от почты к незашифрованным вложениям. Если поддерживается формат файла, например файл Word, Excel или PowerPoint, он всегда будет защищен даже после того, как получатель загрузит вложение.
Например, предположим, что вложение защищено с помощью параметра Не пересылать. Исходный получатель скачивает файл, создает сообщение новому получателю и присоединяет файл. Когда новый получатель получает файл, он не может открыть его.
Not yet. Вложения SharePoint или OneDrive не поддерживаются. Вы можете зашифровать почтовое сообщение, но не облачные вложения.
Какие почтовые клиенты поддерживают предварительный просмотр зашифрованных вложений в защищенных сообщениях электронной почты?
Если вложения защищены с помощью защищенной почты, вы можете просматривать документы непосредственно с помощью клиентов Outlook. Outlook поддерживает предварительный просмотр документов Office (docx, xlsx, pptx, doc, xls, ppt). Outlook в Интернете поддерживает предварительный просмотр документов Office (docx, xlsx, pptx) и PDF.
Outlook в Интернете поддерживает отзыв защищенной почты. Дополнительные сведения см. в статье Отзыв отправленного зашифрованного сообщения .
Поддерживает ли портал зашифрованных сообщений предварительный просмотр зашифрованных вложений в защищенных сообщениях электронной почты?
Портал зашифрованных сообщений поддерживает предварительный просмотр всех зашифрованных копий вложений, добавленных в зашифрованную почту. К вспомогательным типам файлов относятся Word, Excel, PowerPoint и PDF-файлы.
Да. Используйте правила потока обработки почты в Exchange Online для автоматического шифрования сообщения на основе определенных условий. Например, можно создать политики на основе идентификатора получателя, домена получателя или содержимого в тексте или теме сообщения. См. раздел Определение правил потока обработки почты для шифрования сообщений электронной почты в Office 365.
Администраторы могут настроить правило потока обработки почты для удаления шифрования исходящей почты. Вы можете настроить правило только для удаления шифрования для входящей почты, поступающей из вашей Exchange Online организации.
Для почтового ящика Exchange Online администраторы должны включить расшифровку журналов и настроить правило авторизации Exchange Online, чтобы создать расшифрованную копию почты в почтовом ящике журнала. Правило авторизации принимает любую почту или вложение с шифрованием и отправляет исходную и расшифрованную копию в почтовый ящик журнала. Вы можете настроить правило авторизации, которое может расшифровывать почту или вложения, когда зашифрованный элемент поступает из вашей организации.
Чтобы включить ведение журнала Exchange Online, выполните приведенные далее действия.
Set-IRMConfiguration -JournalReportDecryptionEnabled $true
Можно ли автоматически шифровать сообщения, настроив политики в защите от потери данных (DLP) через Портал соответствия требованиям Microsoft Purview?
Конечно! Правила потока обработки почты можно настроить в Exchange Online или с помощью защиты от потери данных в Портал соответствия требованиям Microsoft Purview.
Да, для почты, отправленной из почтового ящика Exchange Online в вашей организации! Сведения о настройке сообщений электронной почты и портала зашифрованных сообщений см. в статье Добавление фирменной символики вашей организации в зашифрованные сообщения.
Журналы действий портала зашифрованных сообщений фиксируют события только для внешних получателей путем доступа к порталам зашифрованных сообщений. Все действия в почтовых клиентах, активированные внешними получателями, не записываются. Сведения о внутренних получателях см. в действии MailItemsAccessed mailbox-auditing в разделе Аудит Purview (премиум) — журналы доступа к элементам почты.
Существуют ли возможности создания отчетов или аналитические сведения для зашифрованных сообщений электронной почты?
В Портал соответствия требованиям Microsoft Purview есть отчет о шифровании. См. статью Просмотр отчетов о безопасности электронной почты в Портал соответствия требованиям Microsoft Purview.
Можно ли использовать шифрование сообщений с функциями соответствия, такими как обнаружение электронных данных?
Да, большинство сообщений, защищенных Шифрование сообщений Microsoft Purview, можно обнаружить. Шифрование сообщений Microsoft Purview защищенная почта, которую вы получаете от другой организации Microsoft 365, в рамках которого применяется настраиваемая фирменная символика с помощью правила потока обработки почты, не может быть обнаружена службой обнаружения электронных данных. Иными словами, если почта недоступна через почтовый ящик пользователя, а отображается только через ссылку на портал зашифрованных сообщений, это сообщение не поддерживает поиск. Дополнительные сведения см. в разделе Действия обнаружения электронных данных, поддерживающие зашифрованные элементы .
Можно ли отправлять сообщения в качестве общего почтового ящика и шифровать сообщения электронной почты?
Если сообщение электронной почты соответствует правилу потока обработки почты для шифрования, Exchange шифрует сообщение, отправляя его.
Конечно! Вы можете открыть зашифрованные сообщения для общего почтового ящика. При отправке сообщения из той же организации вы можете открыть его при входе в поддерживаемый клиент Outlook. Если почта отправляется из внешней организации, необходимо использовать Outlook в Интернете.
Пользователи могут открывать защищенные сообщения в общем почтовом ящике, где общий почтовый ящик получил защищенное письмо в составе группы рассылки.
Пользователи могут просматривать вложения, наследующие защиту от электронной почты, при использовании Outlook для Windows, Outlook для Mac, Outlook для Android, Outlook для iOS и Outlook в Интернете.
В следующей таблице перечислены поддерживаемые клиенты для общих почтовых ящиков.
Платформа | Чтение почты | Просмотр вложений электронной почты |
---|---|---|
Outlook в Интернете | Да | Да |
Outlook для Windows | Да | Да* |
Outlook для Mac | Да | Да |
Outlook для Android | Да | Да* |
Outlook для iOS | Да | Да* |
Примечание
Android и iOS используют мобильное приложение Office для отображения зашифрованных вложений и не отображают вложения непосредственно в Outlook Mobile. Outlook для Windows может отображать зашифрованные вложения, если пользователь напрямую связан с общим почтовым ящиком. (См. ниже сведения о назначении пользователей.)
В настоящее время существуют два известных ограничения:
Вы не можете открывать вложения в сообщениях электронной почты, которые вы получаете на мобильных устройствах с помощью Outlook mobile.
Существует два способа разрешить пользователю просматривать зашифрованную почту непосредственно в Outlook для Windows:
- Назначьте пользователя в общий почтовый ящик напрямую с разрешениями на полный доступ и включенным автоматическим сопоставлением. Для 64-разрядной версии Outlook пользователи не должны назначаться непосредственно почтовому ящику. Автоматическое сопоставление включено по умолчанию для Exchange.
- Назначьте группу безопасности с поддержкой почты общему почтовому ящику. Для этого метода требуется Outlook версии 2402 и поддерживается только почта, созданная после июня 2024 г.
Назначение пользователя общему почтовому ящику
Add-MailboxPermission
Запустите командлет с параметромAutomapping
. В этом примере Ayla предоставляется разрешение на полный доступ к почтовому ящику службы поддержки.Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
Назначение группы безопасности с поддержкой почты общему почтовому ящику
Чтобы использовать этот метод, необходимо зашифровать почту с помощью параметров защиты "Не пересылать" или "Только шифрование ". Можно открыть только почту, инициированную общим почтовым ящиком или отправленную внутри организации.
Add-MailboxPermission
Выполните командлет , чтобы назначить группу безопасности. В следующем примере группа безопасности contoso front desk дает разрешение на полный доступ к почтовому ящику службы поддержки.Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
Поддерживается ли делегированный доступ при открытии зашифрованных сообщений? Даже если делегат имеет полный доступ к почтовому ящику другого пользователя?
Когда делегатам предоставляется полное разрешение на доступ к почтовому ящику пользователя, делегированный доступ к зашифрованной почте поддерживается в Outlook в Интернете, Outlook для Mac, Outlook для iOS и Outlook для Android. Outlook для Windows не поддерживает делегированный доступ.
Вы можете войти на портал зашифрованных сообщений, чтобы получить почту, если организация отправителя активна и срок действия почты не истекает.
Сначала проверка папку нежелательной почты или нежелательной почты в почтовом клиенте. Параметры DKIM и DMARC для вашей организации могут привести к тому, что эти сообщения электронной почты будут отфильтрованы как спам.
Затем проверка карантин на портале соответствия требованиям. Часто сообщения, содержащие одноразовый код, особенно те, которые получает ваша организация, помещаются в карантин.