Как эффективно шифровать электронную почту Office 365?

Вот что вам следует знать о шифровании электронной почты Office 365 с помощью Azure Information Protection.

1 Что такое Azure Information Protection?

2 Клиент Azure Information Protection

3 Шифрование электронной почты Office 365: настройка

3.1 Подпишитесь на Azure Information Protection

3.2 Шифрование электронной почты Office 365: активировать

4 Шифрование электронной почты Office 365: защита

4.1 Использование метки «Зашифровать»

4.2 Использование ярлыка «Не пересылать»

4.3 Использование метки «Зашифровать — защитить»

5 Защита вложений

6 Защита документа, отличного от Microsoft 365 Pro Plus

7 Защита документа Microsoft 365 Pro Plus

8 Управление защищенными документами

Что такое Azure Information Protection?

Azure Information Protection (иногда называемая AIP) — это облачное решение, которое помогает организации классифицировать и, при необходимости, защищать свои документы и электронные письма, применяя метки. Метки могут применяться автоматически администраторами, которые определяют правила и условия, вручную пользователями или комбинацией, когда пользователям даются рекомендации.

Клиент защиты информации Azure

• Чтобы предоставить услугу шифрования электронной почты, мы используем облачную службу Microsoft Azure Information Protection и ее существующую интеграцию со службой управления идентификацией Microsoft 365 и набором клиентского программного обеспечения Microsoft 365 Pro Plus.
• Политики службы AIP и метки, определяющие набор ограничений, назначаемых клиентским документам и сообщениям электронной почты, управляются в облачной службе Azure.
• Чтобы воспользоваться преимуществами этих политик и меток AIP, на рабочей станции с ОС Windows должно быть установлено клиентское программное обеспечение AIP. В настоящее время только ПК с Windows 10, а также рабочие станции macOS могут применять эти ограничения к документам или электронным письмам.

Шифрование электронной почты Office 365: настройка

Чтобы включить и настроить шифрование сообщений Microsoft 365 для безопасной доставки сообщений, необходимо выполнить следующие действия:

• Подпишитесь на Azure Information Protection
• Активировать ОМЕ

Подпишитесь на Azure Information Protection

• Пакет Azure Information Protection — это дополнительная подписка для Microsoft 365, которая позволит пользователям выполнять некоторые очень полезные функции со своей электронной почтой. Он также интегрируется с SharePoint и OneDrive, чтобы выступать в качестве инструмента предотвращения потери данных.
• С помощью AIP пользователи могут помечать сообщения или файлы, чтобы их нельзя было копировать, пересылать, удалять или выполнять ряд других обычных действий. Для электронной почты все сообщения, имеющие определенные флаги классификации или соответствующие определенным требованиям, шифруются и упаковываются в заблокированный HTML-файл, который отправляется получателю в виде вложения.
• Когда получатель получает сообщение, он должен зарегистрироваться в Azure, чтобы ему был назначен ключ для открытия электронной почты.
• Ключ привязан к их адресу электронной почты, и после регистрации пользователь может открыть вложение HTML и любые будущие вложения без необходимости входа в систему.

Опять же, если вашим пользователям назначены подписки E3 или выше, им не нужно иметь AIP. Однако каждому пользователю, который будет отправлять сообщения с конфиденциальной информацией, потребуется для этого либо лицензия AIP, либо лицензия E3/E5.

Чтобы подписаться на AIP, выполните следующие действия:

• Запустите « Центр администрирования Microsoft 365 »
• Перейти к списку « Подписки »
• Нажмите « Добавить подписку » в правом верхнем углу.
• Прокрутите вниз, чтобы найти Azure Information Protection.
• Нажмите «Купить сейчас» и следуйте инструкциям или выберите « Начать бесплатную пробную версию », чтобы получить 25 лицензий на 30 дней, чтобы опробовать их перед покупкой.
• Подождите около часа, пока служба будет подготовлена ​​в вашем клиенте Microsoft.
• После подготовки вы можете перейти к следующему шагу в этом процессе.

Шифрование электронной почты Office 365: активировать

Эта часть изменилась совсем недавно. В прошлом для активации шифрования сообщений Office 365 требовалось много работы с Powershell и ожидание его правильной работы. MS изменила метод активации OME, чтобы упростить процесс и упростить работу с ним.

Вот что вам нужно сделать:

• Откройте параметр «Настройки» на портале администрирования.
• Выберите Службы и надстройки
• Найдите Azure Information Protection в списке служб и нажмите на нее.
• Щелкните ссылку «Управление параметрами Microsoft Azure Information Protection», чтобы открыть новое окно.
• Нажмите кнопку «Активировать» в разделе «Управление правами не активировано».
• Выберите «Активировать» в появившемся окне.

Как только это будет сделано, вы сможете использовать  клиентское приложение AIP  для пометки сообщений для управления правами в Outlook. В Outlook Web App также появятся новые кнопки и параметры, которые позволят вам шифровать сообщения.

Шифрование электронной почты Office 365: защита

Основная функция службы шифрования электронной почты заключается в обеспечении защиты, чтобы предотвратить возможность чтения нежелательными лицами содержимого вашей электронной почты во время ее передачи и в то время, когда она находится в почтовом ящике. Чтобы получить доступ к содержимому вашей электронной почты, получатель должен быть подтвержден. При использовании приложений Microsoft 365 Pro Plus, таких как Microsoft Outlook, этот процесс проверки выполняется в фоновом режиме, и у получателя не запрашиваются учетные данные. Во всех остальных случаях получателю будет предложено подтвердить свою личность.

Использование метки «Зашифровать»

• Чтобы применить шифрование к электронной почте с помощью приложения Microsoft Outlook, установленного на рабочей станции с ОС Windows, вам нужно только выбрать метку « Шифровать » на « Панель чувствительности », как показано ниже:

• Эта метка « Зашифровать » также доступна из раскрывающегося меню кнопки «Меню» на ленте «Сообщение» кнопки « Защитить », как показано ниже:

• После выбора панель чувствительности будет отражать сделанный выбор и скрывать другие варианты. Подробная информация о назначенных разрешениях будет отображаться в виде « подсказки » прямо под « панелью чувствительности » в левом верхнем углу окна электронной почты, как показано ниже:

• Вы можете изменить свой выбор защиты, щелкнув значок « карандаш » рядом с выбранной меткой, чтобы открыть другие варианты, как показано ниже. Этот значок карандаша также можно использовать, чтобы снова скрыть другие варианты.

• После установки метки в дополнение к другим меткам будет доступен значок « корзины », позволяющий удалить выбранную метку и вернуть « чувствительность » сообщения электронной почты на « не установлено ». Вам будет предложено записать причину удаления ярлыка. (Для будущего использования)

• После установки ваша электронная почта будет защищена независимо от того, находится ли она в папке «Черновики» до ее отправки, в папке «Отправленные» после ее отправки или в почтовом ящике получателя. Microsoft Outlook помогает идентифицировать эту защиту с помощью следующих значков:

• Независимо от средств защиты, которые вы решите применить, вы сохраняете права « Полный контроль » над электронной почтой. Только именованные удостоверения в полях From, To, Cc и Bcc будут иметь доступ.
• Использование параметра « Зашифровать » позволяет получателю пересылать вашу электронную почту другим, которые затем также будут иметь полный доступ к содержимому электронной почты, каждый из которых должен пройти аутентификацию для получения доступа. Получатели не смогут удалить требование шифрования.

Использование метки «Не пересылать»

Защита « Не пересылать » — это базовая защита электронной почты, предоставляемая Microsoft. При выборе этой защиты получатели не смогут выполнять следующие действия:

•  Переадресация электронной почты другому лицу (а также предотвращение добавления новых получателей в поля «Кому», «Копия» или «Скрытая копия» при ответе)
•   Распечатайте свое электронное письмо или скопируйте содержимое текста электронного письма в буфер обмена.

Эти средства защиты можно установить, выбрав метку чувствительности: « Не пересылать » или нажав кнопку « Не пересылать » на ленте кнопок «Меню» — «Сообщение», как показано ниже:

Обратите внимание на « Подсказку », описывающую набор средств защиты, которая появляется сразу под полосой чувствительности.

ПРЕДУПРЕЖДЕНИЕ. Можно случайно удалить предполагаемые средства защиты , сняв флажок с кнопки « Не пересылать » на ленте кнопок «Меню» — «Сообщение», как показано ниже. Также обратите внимание, что «Подсказка» удалена, НО « Не пересылать ». Метка все еще установлена. Это электронное письмо НЕ будет защищено.

В настоящее время у нас нет способа помешать вам отменить выбор кнопки « Не пересылать », поэтому будьте осторожны.

ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ: Microsoft Outlook позволяет загружать вложения независимо от этих ограничений. См. раздел « Защита вложений » далее в этом документе.

Использование метки «Зашифровать — Защитить»

• Ярлык « Зашифровать — защитить » — это настраиваемая защита для электронной почты, которая добавляет дополнительное ограничение, запрещающее получателям редактировать или изменять исходное электронное письмо.
• Этот ярлык следует использовать ТОЛЬКО в том случае, если вы хотите, чтобы у получателя было право « Только просмотр » вашей электронной почты. При ответе ваш получатель будет вынужден прикрепить ваше исходное электронное письмо в качестве вложения к новому сообщению, поскольку он не сможет добавить его в ветку вашего исходного электронного письма.
• Эта этикетка также накладывает ограничения на печать и копирование, как описано в разделе Использование этикетки «Не пересылать» выше.

ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ: Microsoft Outlook позволяет загружать вложения независимо от этих ограничений. См. раздел « Защита вложений » далее в этом документе.

Защита вложений

Клиент Azure Information Protection ТРЕБУЕТСЯ для расшифровки и открытия защищенного документа. « Читатель » уже включен в программное обеспечение Microsoft 365 Pro Plus для ОС Windows, macOS, iOS и Android. Однако для чтения зашифрованных документов, отличных от Microsoft Office Pro Plus, требуется отдельное приложение ( доступно здесь ). AIP Reader доступен для ПК, iPhone, iPad и Android.

Защита документа, отличного от Microsoft 365 Pro Plus

• Документы, отличные от Microsoft Office, можно защитить с помощью дополнительного пункта « Горячее меню » под названием « Классифицировать и защитить », который можно найти, щелкнув правой кнопкой мыши документ в проводнике Windows, как показано ниже:

• Это приложение (показано ниже) создаст « оболочку » для упаковки файла и добавит шифрование, а также выбранные вами средства защиты.

• Для каждого желаемого использования вам нужно будет сначала выбрать метку конфиденциальности, необходимую для вашей электронной почты. Эта метка будет унаследована вашим адресом электронной почты после прикрепления защищенного файла. Для установки желаемой защиты требуется две части : « Разрешения » и « Идентификация » .

«Разрешения», доступные для предоставления:

• Просмотр — только просмотр
  . Это разрешение эквивалентно защите электронной почты: « Зашифровать — защитить » .
• Рецензент — просмотр, редактирование
  Это разрешение эквивалентно защите электронной почты: « Не пересылать ».
• Соавтор — просмотр, редактирование, копирование, печать
  . Это разрешение эквивалентно защите электронной почты: « Шифровать » .
• Совладелец — полные права
• Это разрешение также эквивалентно метке « Шифровать », однако это разрешение дает пользователю возможность удалить установленные разрешения И шифрование.
• Только для меня — этот параметр не имеет значения для отправки документов другим, но может быть полезен вам для защиты ваших отдельных документов.

Хотя это и не рекомендуется во избежание путаницы, можно выбрать разрешения, которые являются более строгими, чем желаемая метка шифрования электронной почты (например, разрешения документа « Просмотр — только просмотр » с меткой защиты электронной почты « Шифровать »). Эта комбинация ограничит документ, чтобы предотвратить просмотр нежелательными лицами, а также запретит получателям копировать, печатать или редактировать, предоставляя получателю все функции в теле текста электронной почты. Опять же, как указано выше, это может привести к путанице и не рекомендуется.

«Идентификация» может быть установлена ​​для следующих типов:

Пользователи — это адрес(а) электронной почты отдельных пользователей, получающих документ. Это основной метод, который вы будете использовать для определения того, кто может получить доступ к вашему документу.

Группы — это адреса электронной почты из списков рассылки, к которым принадлежат ваши предполагаемые получатели.  ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ : это будет работать ТОЛЬКО для получателей.

Организации — вы также можете предоставить доступ ВСЕМ в домене Active Directory.

Идентификационные данные можно ввести непосредственно в соответствующее поле или выбрать получателей из адресной книги Outlook (при условии, что приложение Outlook уже запущено и работает), щелкнув значок « книга ».

Для защиты вложений доступен третий элемент управления. Вы можете установить дату истечения срока действия предоставленных разрешений, либо введя дату напрямую, либо выбрав дату, щелкнув значок « календарь ». По истечении срока действия ВСЕ РАЗРЕШЕНИЯ для выбранных пользователей аннулируются.

Независимо от указанных выше настроек, вы сохраняете полный контроль над своим документом. После того, как вы « примените » защиту к своему документу, ваш документ ЗАМЕНЯЕТСЯ « обернутым » файлом, а расширение файла изменяется (имя файла изменяется вручную ТОЛЬКО для примера)

Клиент Azure Information Protection ТРЕБУЕТСЯ для расшифровки и открытия этого файла.

Защита документа Microsoft 365 Pro Plus

Документы Microsoft Office можно защитить из приложения Office. Как и в Microsoft Outlook, на ленте кнопки «Домой» находится раскрывающееся меню кнопки « Защитить ». Это позволяет применять « Пользовательские разрешения » к документам Office. Применение метки конфиденциальности приведет к тому, что Outlook применит те же ограничения разрешений ко всем сообщениям электронной почты, к которым прикреплен документ.

ПРЕДУПРЕЖДЕНИЕ. Вы должны выбрать метку конфиденциальности ДО назначения пользовательских разрешений. В противном случае выбор метки постфактум приведет к ПЕРЕЗАПИСИ и применению ТОЛЬКО « разрешений » по умолчанию для метки, позволяющих ЛЮБОМ расшифровывать документ.

Как и в случае с « Защитой документа, отличного от Microsoft 365 Pro Plus » выше, вы захотите защитить свой документ, указав « личность » человека, которому разрешено взаимодействовать с вашим документом, и « разрешения », которые вы хотите предоставить. Для выбора разрешений и процесса назначения удостоверения используется практически тот же графический пользовательский интерфейс, что и при « Защите документа не Microsoft 365 Pro Plus ».

ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ : после защиты и сохранения обратите внимание, что тип файла НЕ ИЗМЕНЕН :

Вам нужно будет сохранить документы Office в их собственном формате. Если вы попытаетесь сохранить файл в « совместимом » формате, настроенные вами ограничения будут сняты.

После сохранения вы увидите новую информационную панель, предупреждающую вас о том, что документ теперь имеет ограниченный доступ.

Управление защищенными документами

После установки защиты для документа вы можете « Отслеживать » просмотры этого документа, а также возможность « Отозвать » доступ к вашему документу. Для документа Microsoft Office вы можете получить доступ к этой функции из приложения Office.

Для документа, отличного от Microsoft Office, вы можете получить доступ к этой функции, дважды щелкнув документ или щелкнув его правой кнопкой мыши в проводнике Windows.

Оба запустят ваш веб-браузер и перенаправят вас в центр отслеживания документов AIP .

Отсюда вы можете:

• Просмотрите сводку взаимодействия с вашим документом получателями.
• Список тех, кто просматривал ваш документ, и дата просмотра
• Просмотрите Хронологию взаимодействия с вашим документом
• Установите настройки уведомлений, чтобы предупреждать вас, когда кто-то пытается взаимодействовать с вашим документом.
• Отменить доступ к вашему документу, чтобы он больше не был доступен получателю

Вы также можете экспортировать эту статистику в файл CSV.

У пользователей Mac есть дополнительная задача « Проверка учетных данных », прежде чем их параметры защиты будут получены из облачных служб Microsoft Office 365 .

После установки; чтобы снять или изменить защиту, необходимо установить параметр « Без ограничений » под кнопкой «Защита».

Чтобы установить защиту для документа Microsoft 365, используйте кнопку « Ограничить разрешение » в меню « Рецензирование ».

Выберите пункт меню « Ограниченный доступ… », чтобы предоставить желаемый индивидуальный доступ.

Используйте кнопку «Дополнительные параметры…», чтобы установить разрешения на печать и копирование.

Поздравляем! Теперь вы знаете, как шифровать электронную почту Office 365 с помощью Azure Information Protection. Если у вас есть дополнительные вопросы, пожалуйста, дайте мне знать.

Хотите улучшить работу с Exchange Online для повышения производительности? Ознакомьтесь с советами и рекомендациями, упомянутыми здесь .

Я хотел бы услышать от вас:

Какой вывод из сегодняшнего отчета показался вам наиболее интересным? Или, может быть, у вас есть вопрос о чем-то, что я рассмотрел.

В любом случае, я хотел бы услышать от вас. Так что продолжайте и оставьте комментарий ниже.