Message Encryption (OME) — метод, который пользователи обычно вспоминают, когда им нужно отправить зашифрованное почтовое сообщение из Office 365. С помощью OME можно отправить зашифрованное сообщение любому человеку вне вашей компании, и получателю не обязательно иметь Office 365 или даже Exchange. Сообщения проходят через OME и упаковываются в зашифрованное вложение, которое затем отправляется в исходное место назначения. Чтобы расшифровать сообщение, получателю необходимо удостоверить свою личность в Microsoft, используя известную учетную запись электронной почты. Зашифрованное сообщение не сохраняется ни на одном OME-сервере Microsoft, но временно публикуется на OME-серверах для просмотра получателем. OME позволяет настроить внешний вид зашифрованных вложений, располагая текст в верхней части зашифрованного сообщения. Сообщения, шифруемые в OME, можно дополнить юридическим текстом или логотипом компании.
OME лицензируется как часть управления правами Azure (мы рассмотрим это в следующей статье). Получателям шифрованных сообщений не требуется никаких лицензий, чтобы открыть зашифрованное сообщение, а их ответы также будут шифроваться.
Процесс установки OME на клиенте Office 365 достаточно прост, если выполняется квалифицированным администратором. Прежде чем можно будет воспользоваться шифрованием сообщений Office 365, следует установить и настроить управление правами на доступ к данным (IRM) для клиента Office 365. IRM входит в состав всех планов Enterprise, но его придется настроить.
Для настройки IRM перейдите в центр администрирования Office 365 Admin Center на своем клиентском портале. Разверните слева настройки служб и выберите управление правами. На средней панели выберите управление, чтобы получить перенаправление на новую страницу с возможностью активного управления правами (см. экран 1).
.jpg) |
| Экран 1. Настройка IRM |
В портале управления правами выберите activate, чтобы включить управление правами. Подробнее о дополнительных возможностях будет рассказано в следующей статье, в разделе об RMS.
После того, как в портале активировано управление правами, настройка остальных параметров IRM выполняется из PowerShell. Для следующей группы настроек следует установить модуль Windows Azure Active Directory для Windows PowerShell (http://technet.microsoft.com/library/jj151815.aspx). Запустите модуль WAAD для PS и выполните следующие команды, чтобы подключиться к клиенту
Connect-MsolService
Появится приглашение ввести учетные данные глобального администратора Office 365 (см. экран 2).
.jpg) |
| Экран 2. Запрос на учетные данные глобального администратора Office 365 |
После подключения к WAAD необходимо ввести две команды PowerShell, чтобы завершить настройку IRM. Прежде всего, нужно указать место для обмена ключами в сети. Для этого выполните одну из следующих команд в зависимости от местонахождения клиента Office 365.
- Северная Америка: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc.
- Европейский Союз: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc.
- Азиатско-тихоокеанский регион: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc.
После того, как задано место для обмена ключами, необходимо импортировать доверенный домен публикации (TPD). Выполните следующую команду
Import-RMSTrustedPublishingDomain -RMSOnline -name «RMS Online»
Последний шаг требует активации внутренней лицензии IRM. Выполните команду:
Set-IRMConfiguration -InternalLicensingEnabled $True
После завершения настройки IRM для клиента следует задействовать транспортное правило, чтобы подготовить шифрование сообщений Office 365 для пользователей компании. Транспортное правило — это правило, применяемое к сообщению, пока оно находится в транспортной подсистеме. Поскольку все почтовые сообщения проходят через транспортную подсистему, прежде чем окажутся в месте назначения (даже сообщения, отправленные в ваш собственный почтовый ящик), применение транспортного правила — лучший способ добиться единообразной обработки всех сообщений.
Чтобы создать транспортное правило, в административном портале Office 365 перейдите к Admin, Exchange. В EAC на панели слева выберите поток обработки почты, а затем сверху — правила. Для нового правила выберите "+", затем — Apply rights protection to messages («Применить защиту прав к сообщениям»). В результате запускается новый мастер правил. В поле Name: назначьте имя новому правилу. В поле *Apply this rule if... («*Применить это правило, если...») выберите условия, при которых правило вступает в действие. Для правила шифрования рекомендуется добавить условие The subject includes... («Тема содержит...»), а затем ввести ключевое слово, например Secure. В результате это правило будет применяться к любым сообщениям, содержащим слово Secure в строке темы, и пользователям не составит труда шифровать сообщения.
В поле *Do the following... («*Выполнить следующие действия...») выберите пункт Modify the message security... («Изменить безопасность сообщения...»), а затем Apply Office 365 Message Encryption («Зашифровать с использованием шифрования сообщений Office 365»). Не забудьте установить флажок, чтобы применить правило, и просмотрите другие параметры, относящиеся к этому транспортному правилу. Выполнив эти действия, нажмите кнопку Save («Сохранить»). Новое транспортное правило должно выглядеть примерно таким образом, как на экране 3.
.jpg) |
| Экран 3. Новое транспортное правило |
Теперь, после того как настройка OME завершена и можно применять шифрование, рассмотрим OME в действии. Первый шаг — написать сообщение, которое будет зашифровано. Это сообщение будет отправлено в учетную запись Gmail, чтобы вы могли убедиться в совместимости OME со сторонними почтовыми службами (см. экран 4).
.jpg) |
| Экран 4. Создание зашифрованного сообщения |
Полученное сообщение выглядит в Gmail примерно так, как показано на экране 5.
.jpg) |
| Экран 5. Получение зашифрованного сообщения |
Чтобы прочитать сообщение, нужно открыть вложение. В результате в браузере откроется окно, показанное на экране 6.
.jpg) |
| Экран 6. Открытие зашифрованного вложения |
Выберите Sign in and view your encrypted message («Войти и просмотреть зашифрованное сообщение»). Выполнив регистрацию, вы сможете прочитать сообщение в веб-интерфейсе, который по виду похож на OWA. Если вы не можете или не хотите выполнять регистрацию с учетной записью Microsoft, чтобы прочитать сообщение, возможет вариант регистрации с одноразовым секретным кодом (см. экран 7).
.jpg) |
| Экран 7. Запрос одноразового пароля |
В этом случае вы получите одноразовый секретный код для доступа к сообщению без необходимости входить в учетную запись Microsoft (см. экран 8).
.jpg) |
| Экран 8. Ввод одноразового пароля |
Выполнив вход, можно прочитать это сообщение, ответить на него и даже переслать. Все ответные и пересылаемые сообщения будут зашифрованы, и при этом никому в цепочке не нужно иметь лицензию Office 365, кроме первого отправителя.
Следует отметить, что эти сообщения не хранятся в Office 365 отдельно от почтовых ящиков, принадлежащих отправителям или получателям сообщений. Таким образом, OME отличается простотой настройки и использования функций Office 365, которые обеспечивают пользователям доступ к отправке и получению зашифрованных почтовых сообщений.
Управление правами на доступ к данным Information Rights Management (IRM)
Служба управления правами Active Directory Rights Management Services (AD RMS) — система, с помощью которой пользователи могут применить защиту IRM к своим информационным материалам, в том числе сообщениям электронной почты и документам Office. После того как права на документы защищены, их могут использовать только конкретные лица при определенных обстоятельствах, в зависимости от шаблона, примененного к документам.
Например, можно задействовать шаблон IRM для защиты почтового сообщения, чтобы получатель не мог переслать его. Среди прочих типичных ограничений: определение документа как пригодного только для чтения, запрет копирования текста из почтового сообщения, запрет пользователям сохранять копии документа и запрет распечатывать или делать снимки экрана документа. Важно отметить, что хотя вы можете ограничить права доступа к почтовому сообщению, не позволив распечатать его или сделать снимки экрана, это не помешает пользователю сфотографировать экран с помощью камеры в телефоне, а затем вывести изображение на свой монитор. Управление правами следует воспринимать как способ напомнить честным пользователям, как нужно соблюдать правила, но это не метод, полностью блокирующий попытки мошенничества.
Порой в управлении правами на доступ к данным сложно разобраться из-за разнообразия возможных комбинаций. В данной статье речь идет об IRM в Exchange Online. Следует отметить, что как локальный экземпляр Active Directory, так и Azure Active Directory могут использоваться в целях установки RMS для IRM, но мы рассматриваем только установку IRM с Azure AD RMS.
IRM функционирует путем присоединения шаблона RMS к сообщению таким способом, что лицензию нельзя отделить от исходного сообщения, независимо от того, куда отправляется это сообщение. Если пользователь экспортирует сообщение из своего почтового ящика на USB-накопитель, RMS-лицензия остается прикрепленной. В будущем для любой работы с сообщением потребуется выполнить проверку подлинности с использованием инфраструктуры RMS, в которой создана лицензия. Это гарантирует, что защита прав постоянно применяется к защищенному сообщению.
Стандартная процедура настройки IRM в Exchange Online позволяет использовать три готовых шаблона.
- Do Not Forward. Получатели могут прочитать сообщение, но не могут пересылать, печатать или копировать его содержимое. Владелец диалога имеет полные права на сообщение и все ответы.
- CompanyName – Confidential. Содержимое принадлежит компании и предназначено только для внутренних пользователей. Его можно изменить, но нельзя копировать и печатать.
- CompanyName — Confidential View Only. Содержимое принадлежит компании и предназначено только для внутренних пользователей. Изменять его нельзя.
По умолчанию шаблон Do Not Forward может применяться к сообщениям, передаваемым вне компании, но только в определенных обстоятельствах. Сообщения с этим шаблоном пригодны для клиентов Office 365, но получателям вне Office 365 не удастся открыть их.
Два шаблона, названия которых начинаются с CompanyName — только внутренние. Пользователи, не имеющие учетных записей на одном клиенте Office 365, не смогут прочитать эти сообщения. Шаблон CompanyName – Confidential позволяет получателям изменять сообщение, но они не могут не копировать или пересылать его. Шаблон CompanyName – Confidential View Only не позволяет изменять содержимое, вдобавок к другим ограничениям шаблона CompanyName – Confidential.
Если эти шаблоны не полностью соответствуют нуждам компании, можно подключить локальный экземпляр AD RMS к клиенту Office 365 и использовать собственные шаблоны. Однако это трудоемкая настройка и здесь мы ее рассматривать не будем.
Данные, защищенные IRM, могут обрабатываться на вашем компьютере с помощью обычных приложений Office (Outlook, Word, Excel), а также на телефоне. Защищенные IRM сообщения можно открывать, читать и отвечать на них как с телефонов iPhone, так и Android, а также с Windows Phone.
Процесс настройки IRM для клиента Exchange Online довольно прост. В портале Office 365 перейдите к Admin > Service Settings > Rights Management («Администратор» > «Параметры службы» > «Управление правами») и выберите Manage («Управление») на центральной панели мониторинга. Вы будете перенаправлены на веб-сайт Azure (повторный вход не требуется), где найдете панель мониторинга примерно такого вида, как на экране 9.
.jpg) |
| Экран 9. Настройка IRM для клиента Exchange Online |
Как вы можете заметить, управление правами уже активировано в моем клиенте. Если это не так, то достаточно нажать кнопку «активировать», чтобы исправить положение.
Прежде чем перейти к кнопке Advanced features («Дополнительные параметры»), следует выполнить два действия, необходимых для подготовки к работе стандартных шаблонов.
После того как управление правами в портале активировано, оставшиеся настройки для IRM нужно выполнять из PowerShell. Для последующих настроек необходимо установить модуль Windows Azure Active Directory (technet.microsoft.com/library/jj151815.aspx) для Windows PowerShell. Запустите модуль WAAD для PowerShell и выполните команды для подключения к клиенту:
Connect-MsolService
После подключения к WAAD нужно ввести две команды PowerShell для завершения настройки IRM. Сначала необходимо указать место для обмена ключами в сети. Для этого выполните одну из команд в зависимости от местонахождения клиента Office 365.
Северная Америка: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc
Европейский Союз: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc
Азиатско-тихоокеанский регион: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc
Следующий шаг после того, как задано место для обмена ключами — импортировать доверенный домен публикации (TPD). Выполните следующую команду
Import-RMSTrustedPublishingDomain -RMSOnline -name «RMS Online»
Последний шаг — активировать внутреннюю лицензию IRM. Выполните следующую команду
Set-IRMConfiguration -InternalLicensingEnabled $True
Правильность настроек можно проверить с помощью команды Test-IRMConfiguration на клиенте Exchange Online.
Теперь три стандартных шаблона готовы к использованию в Exchange Online. Их можно применять как из поддерживаемых версий Outlook, так и из OWA.
В следующей статье я расскажу о дополнительных возможностях, доступных с помощью кнопки Advanced features, и покажу, как создать собственные специализированные шаблоны IRM, не подключаясь к локальному экземпляру Active Directory.