Реклама

Message Encryption (OME) — метод, который пользователи обычно вспоминают, когда им нужно отправить зашифрованное почтовое сообщение из Office 365. С помощью OME можно отправить зашифрованное сообщение любому человеку вне вашей компании, и получателю не обязательно иметь Office 365 или даже Exchange. Сообщения проходят через OME и упаковываются в зашифрованное вложение, которое затем отправляется в исходное место назначения. Чтобы расшифровать сообщение, получателю необходимо удостоверить свою личность в Microsoft, используя известную учетную запись электронной почты. Зашифрованное сообщение не сохраняется ни на одном OME-сервере Microsoft, но временно публикуется на OME-серверах для просмотра получателем. OME позволяет настроить внешний вид зашифрованных вложений, располагая текст в верхней части зашифрованного сообщения. Сообщения, шифруемые в OME, можно дополнить юридическим текстом или логотипом компании.

OME лицензируется как часть управления правами Azure (мы рассмотрим это в следующей статье). Получателям шифрованных сообщений не требуется никаких лицензий, чтобы открыть зашифрованное сообщение, а их ответы также будут шифроваться.

Процесс установки OME на клиенте Office 365 достаточно прост, если выполняется квалифицированным администратором. Прежде чем можно будет воспользоваться шифрованием сообщений Office 365, следует установить и настроить управление правами на доступ к данным (IRM) для клиента Office 365. IRM входит в состав всех планов Enterprise, но его придется настроить.

Для настройки IRM перейдите в центр администрирования Office 365 Admin Center на своем клиентском портале. Разверните слева настройки служб и выберите управление правами. На средней панели выберите управление, чтобы получить перенаправление на новую страницу с возможностью активного управления правами (см. экран 1).

 

Настройка IRM
Экран 1. Настройка IRM

В портале управления правами выберите activate, чтобы включить управление правами. Подробнее о дополнительных возможностях будет рассказано в следующей статье, в разделе об RMS.

После того, как в портале активировано управление правами, настройка остальных параметров IRM выполняется из PowerShell. Для следующей группы настроек следует установить модуль Windows Azure Active Directory для Windows PowerShell (http://technet.microsoft.com/library/jj151815.aspx). Запустите модуль WAAD для PS и выполните следующие команды, чтобы подключиться к клиенту

Connect-MsolService

Появится приглашение ввести учетные данные глобального администратора Office 365 (см. экран 2).

 

Запрос на учетные данные глобального администратора Office 365
Экран 2. Запрос на учетные данные глобального администратора Office 365

После подключения к WAAD необходимо ввести две команды PowerShell, чтобы завершить настройку IRM. Прежде всего, нужно указать место для обмена ключами в сети. Для этого выполните одну из следующих команд в зависимости от местонахождения клиента Office 365.

  • Северная Америка: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc.
  • Европейский Союз: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc.
  • Азиатско-тихоокеанский регион: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc.

После того, как задано место для обмена ключами, необходимо импортировать доверенный домен публикации (TPD). Выполните следующую команду

Import-RMSTrustedPublishingDomain -RMSOnline -name «RMS Online»

Последний шаг требует активации внутренней лицензии IRM. Выполните команду:

Set-IRMConfiguration -InternalLicensingEnabled $True

После завершения настройки IRM для клиента следует задействовать транспортное правило, чтобы подготовить шифрование сообщений Office 365 для пользователей компании. Транспортное правило — это правило, применяемое к сообщению, пока оно находится в транспортной подсистеме. Поскольку все почтовые сообщения проходят через транспортную подсистему, прежде чем окажутся в месте назначения (даже сообщения, отправленные в ваш собственный почтовый ящик), применение транспортного правила — лучший способ добиться единообразной обработки всех сообщений.

Чтобы создать транспортное правило, в административном портале Office 365 перейдите к Admin, Exchange. В EAC на панели слева выберите поток обработки почты, а затем сверху — правила. Для нового правила выберите "+", затем — Apply rights protection to messages («Применить защиту прав к сообщениям»). В результате запускается новый мастер правил. В поле Name: назначьте имя новому правилу. В поле *Apply this rule if... («*Применить это правило, если...») выберите условия, при которых правило вступает в действие. Для правила шифрования рекомендуется добавить условие The subject includes... («Тема содержит...»), а затем ввести ключевое слово, например Secure. В результате это правило будет применяться к любым сообщениям, содержащим слово Secure в строке темы, и пользователям не составит труда шифровать сообщения.

В поле *Do the following... («*Выполнить следующие действия...») выберите пункт Modify the message security... («Изменить безопасность сообщения...»), а затем Apply Office 365 Message Encryption («Зашифровать с использованием шифрования сообщений Office 365»). Не забудьте установить флажок, чтобы применить правило, и просмотрите другие параметры, относящиеся к этому транспортному правилу. Выполнив эти действия, нажмите кнопку Save («Сохранить»). Новое транспортное правило должно выглядеть примерно таким образом, как на экране 3.

 

Новое транспортное  правило
Экран 3. Новое транспортное  правило

Теперь, после того как настройка OME завершена и можно применять шифрование, рассмотрим OME в действии. Первый шаг — написать сообщение, которое будет зашифровано. Это сообщение будет отправлено в учетную запись Gmail, чтобы вы могли убедиться в совместимости OME со сторонними почтовыми службами (см. экран 4).

 

Создание зашифрованного сообщения
Экран 4. Создание зашифрованного сообщения

Полученное сообщение выглядит в Gmail примерно так, как показано на экране 5.

 

Получение зашифрованного сообщения
Экран 5. Получение зашифрованного сообщения

Чтобы прочитать сообщение, нужно открыть вложение. В результате в браузере откроется окно, показанное на экране 6.

 

Открытие зашифрованного вложения
Экран 6. Открытие зашифрованного вложения

Выберите Sign in and view your encrypted message («Войти и просмотреть зашифрованное сообщение»). Выполнив регистрацию, вы сможете прочитать сообщение в веб-интерфейсе, который по виду похож на OWA. Если вы не можете или не хотите выполнять регистрацию с учетной записью Microsoft, чтобы прочитать сообщение, возможет вариант регистрации с одноразовым секретным кодом (см. экран 7).

 

Запрос одноразового пароля
Экран 7. Запрос одноразового пароля

В этом случае вы получите одноразовый секретный код для доступа к сообщению без необходимости входить в учетную запись Microsoft (см. экран 8).

 

Ввод одноразового пароля
Экран 8. Ввод одноразового пароля

Выполнив вход, можно прочитать это сообщение, ответить на него и даже переслать. Все ответные и пересылаемые сообщения будут зашифрованы, и при этом никому в цепочке не нужно иметь лицензию Office 365, кроме первого отправителя.

Следует отметить, что эти сообщения не хранятся в Office 365 отдельно от почтовых ящиков, принадлежащих отправителям или получателям сообщений. Таким образом, OME отличается простотой настройки и использования функций Office 365, которые обеспечивают пользователям доступ к отправке и получению зашифрованных почтовых сообщений.

Управление правами на доступ к данным Information Rights Management (IRM)

Служба управления правами Active Directory Rights Management Services (AD RMS) — система, с помощью которой пользователи могут применить защиту IRM к своим информационным материалам, в том числе сообщениям электронной почты и документам Office. После того как права на документы защищены, их могут использовать только конкретные лица при определенных обстоятельствах, в зависимости от шаблона, примененного к документам.

Например, можно задействовать шаблон IRM для защиты почтового сообщения, чтобы получатель не мог переслать его. Среди прочих типичных ограничений: определение документа как пригодного только для чтения, запрет копирования текста из почтового сообщения, запрет пользователям сохранять копии документа и запрет распечатывать или делать снимки экрана документа. Важно отметить, что хотя вы можете ограничить права доступа к почтовому сообщению, не позволив распечатать его или сделать снимки экрана, это не помешает пользователю сфотографировать экран с помощью камеры в телефоне, а затем вывести изображение на свой монитор. Управление правами следует воспринимать как способ напомнить честным пользователям, как нужно соблюдать правила, но это не метод, полностью блокирующий попытки мошенничества.

Порой в управлении правами на доступ к данным сложно разобраться из-за разнообразия возможных комбинаций. В данной статье речь идет об IRM в Exchange Online. Следует отметить, что как локальный экземпляр Active Directory, так и Azure Active Directory могут использоваться в целях установки RMS для IRM, но мы рассматриваем только установку IRM с Azure AD RMS.

IRM функционирует путем присоединения шаблона RMS к сообщению таким способом, что лицензию нельзя отделить от исходного сообщения, независимо от того, куда отправляется это сообщение. Если пользователь экспортирует сообщение из своего почтового ящика на USB-накопитель, RMS-лицензия остается прикрепленной. В будущем для любой работы с сообщением потребуется выполнить проверку подлинности с использованием инфраструктуры RMS, в которой создана лицензия. Это гарантирует, что защита прав постоянно применяется к защищенному сообщению.

Стандартная процедура настройки IRM в Exchange Online позволяет использовать три готовых шаблона.

  • Do Not Forward. Получатели могут прочитать сообщение, но не могут пересылать, печатать или копировать его содержимое. Владелец диалога имеет полные права на сообщение и все ответы.
  • CompanyName – Confidential. Содержимое принадлежит компании и предназначено только для внутренних пользователей. Его можно изменить, но нельзя копировать и печатать.
  • CompanyName — Confidential View Only. Содержимое принадлежит компании и предназначено только для внутренних пользователей. Изменять его нельзя.

По умолчанию шаблон Do Not Forward может применяться к сообщениям, передаваемым вне компании, но только в определенных обстоятельствах. Сообщения с этим шаблоном пригодны для клиентов Office 365, но получателям вне Office 365 не удастся открыть их.

Два шаблона, названия которых начинаются с CompanyName — только внутренние. Пользователи, не имеющие учетных записей на одном клиенте Office 365, не смогут прочитать эти сообщения. Шаблон CompanyName – Confidential позволяет получателям изменять сообщение, но они не могут не копировать или пересылать его. Шаблон CompanyName – Confidential View Only не позволяет изменять содержимое, вдобавок к другим ограничениям шаблона CompanyName – Confidential.

Если эти шаблоны не полностью соответствуют нуждам компании, можно подключить локальный экземпляр AD RMS к клиенту Office 365 и использовать собственные шаблоны. Однако это трудоемкая настройка и здесь мы ее рассматривать не будем.

Данные, защищенные IRM, могут обрабатываться на вашем компьютере с помощью обычных приложений Office (Outlook, Word, Excel), а также на телефоне. Защищенные IRM сообщения можно открывать, читать и отвечать на них как с телефонов iPhone, так и Android, а также с Windows Phone.

Процесс настройки IRM для клиента Exchange Online довольно прост. В портале Office 365 перейдите к Admin > Service Settings > Rights Management («Администратор» > «Параметры службы» > «Управление правами») и выберите Manage («Управление») на центральной панели мониторинга. Вы будете перенаправлены на веб-сайт Azure (повторный вход не требуется), где найдете панель мониторинга примерно такого вида, как на экране 9.

 

Настройка IRM для клиента Exchange Online
Экран 9. Настройка IRM для клиента Exchange Online

Как вы можете заметить, управление правами уже активировано в моем клиенте. Если это не так, то достаточно нажать кнопку «активировать», чтобы исправить положение.

Прежде чем перейти к кнопке Advanced features («Дополнительные параметры»), следует выполнить два действия, необходимых для подготовки к работе стандартных шаблонов.

После того как управление правами в портале активировано, оставшиеся настройки для IRM нужно выполнять из PowerShell. Для последующих настроек необходимо установить модуль Windows Azure Active Directory (technet.microsoft.com/library/jj151815.aspx) для Windows PowerShell. Запустите модуль WAAD для PowerShell и выполните команды для подключения к клиенту:

Connect-MsolService

После подключения к WAAD нужно ввести две команды PowerShell для завершения настройки IRM. Сначала необходимо указать место для обмена ключами в сети. Для этого выполните одну из команд в зависимости от местонахождения клиента Office 365.

Северная Америка: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc

Европейский Союз: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc

Азиатско-тихоокеанский регион: Set-IRMConfiguration -RMSOnlineKeySharingLocation https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc

Следующий шаг после того, как задано место для обмена ключами — импортировать доверенный домен публикации (TPD). Выполните следующую команду

Import-RMSTrustedPublishingDomain -RMSOnline -name «RMS Online»

Последний шаг — активировать внутреннюю лицензию IRM. Выполните следующую команду

Set-IRMConfiguration -InternalLicensingEnabled $True

Правильность настроек можно проверить с помощью команды Test-IRMConfiguration на клиенте Exchange Online.

Теперь три стандартных шаблона готовы к использованию в Exchange Online. Их можно применять как из поддерживаемых версий Outlook, так и из OWA.

В следующей статье я расскажу о дополнительных возможностях, доступных с помощью кнопки Advanced features, и покажу, как создать собственные специализированные шаблоны IRM, не подключаясь к локальному экземпляру Active Directory.

Купить номер с этой статьей в PDF