Configurare la crittografia dei messaggi

La crittografia dei messaggi di Microsoft Purview consente alle organizzazioni di condividere la posta elettronica protetta con qualsiasi dispositivo. Gli utenti possono scambiare messaggi protetti con altre organizzazioni di Microsoft 365, oltre che con clienti che usano Outlook.com, Gmail e altri servizi di posta elettronica.

Seguire la procedura seguente per assicurarsi che la crittografia dei messaggi di Microsoft Purview sia disponibile nella propria organizzazione.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Verificare che Azure Rights Management sia attivo

Microsoft Purview Message Encryption sfrutta le funzionalità di protezione di Azure Rights Management Services (Azure RMS), la tecnologia usata da Azure Information Protection per proteggere messaggi di posta elettronica e documenti tramite la crittografia e i controlli di accesso.

L'unico requisito necessario per usare la crittografia dei messaggi di Microsoft Purview è che Azure Rights Management debba essere attivato nel tenant dell'organizzazione. In tal caso, Microsoft 365 attiva automaticamente la crittografia dei messaggi e non è necessario eseguire alcuna operazione.

Azure RMS viene attivato automaticamente anche per la maggior parte dei piani idonei, pertanto non è necessario eseguire alcuna operazione a tal riguardo. Per altre informazioni, vedere Attivazione di Azure Rights Management.

Importante

Se si usa Active Directory Rights Management Services (AD RMS) con Exchange Online, è necessario eseguire la migrazione ad Azure Information Protection prima di poter usare la crittografia dei messaggi. La crittografia dei messaggi di Microsoft Purview non è compatibile con AD RMS.

Per altre informazioni, vedere:

Attivazione manuale di Azure Rights Management

Se è stato disabilitato Azure RMS, o se non è stato attivato automaticamente, è possibile attivarlo manualmente.

Per istruzioni, vedere Come attivare o confermare lo stato del servizio di protezione.

Configurare la gestione della chiave tenant di Azure Information Protection

Questo passo è facoltativo. A Microsoft è consentita la gestione della chiave radice di Azure Information Protection per impostazione predefinita ed è la procedura consigliata per la maggior parte delle organizzazioni. Se questo è il caso, non è necessario eseguire alcuna operazione.

Esistono molti motivi, ad esempio i requisiti di conformità, che possono richiedere la generazione e la gestione della propria chiave radice, nota anche come BYOK (Bring Your Own Key). In questo caso, è consigliabile completare i passaggi necessari prima di configurare la crittografia dei messaggi di Microsoft Purview. Per altre informazioni, vedere Pianificazione e implementazione della chiave tenant di Azure Information Protection.

Verificare la configurazione della crittografia dei messaggi di Microsoft Purview in Exchange Online PowerShell

È possibile verificare se il tenant di Microsoft 365 è configurato correttamente per l'uso della crittografia dei messaggi di Microsoft Purview in PowerShell di Exchange Online.

  1. Connettersi a PowerShell di Exchange Online usando un account con autorizzazioni di amministratore globale nel tenant di Microsoft 365.

  2. Eseguire il cmdlet Get-IRMConfiguration.

    Verrà visualizzato un valore di $True per il parametro AzureRMSLicensingEnabled, che indica che indica che la crittografia di Microsoft Purview è configurata nel tenant. In alternativa, utilizzare Set-IRMConfiguration per impostare il valore di AzureRMSLicensingEnabled su $True per abilitare Microsoft Purview Message Encryption.

  3. Eseguire il cmdlet Test-IRMConfiguration usando la sintassi seguente:

    Test-IRMConfiguration [-Sender <email address> -Recipient <email address>]
    

    Esempio:

    Test-IRMConfiguration -Sender securityadmin@contoso.com -Recipient securityadmin@contoso.com
    
    • Per il mittente e destinatario, utilizzare l’indirizzo di posta elettronica di un utente nel proprio tenant di Microsoft 365.

      Il risultato dovrebbe essere simile al seguente:

      Results : Acquiring RMS Templates ...
                 - PASS: RMS Templates acquired.  Templates available: Contoso  - Confidential View Only, Contoso  - Confidential, Do Not
             Forward.
             Verifying encryption ...
                 - PASS: Encryption verified successfully.
             Verifying decryption ...
                 - PASS: Decryption verified successfully.
             Verifying IRM is enabled ...
                 - PASS: IRM verified successfully.
      
             OVERALL RESULT: PASS
      
    • Il nome dell'organizzazione sostituirà Contoso.

    • I nomi dei modelli predefiniti potrebbero essere diversi rispetto a quelli visualizzati in precedenza. Per altre informazioni, vedere Configurazione e gestione dei modelli per Azure Information Protection.

  4. Se il test ha esito negativo con il messaggio di errore Non è stato possibile acquisire i modelli RMS, eseguire i comandi seguenti ed eseguire il cmdlet Test-IRMConfiguration per verificare che venga superato. Connettersi al modulo AIPService per eseguire il cmdlet.

    $RMSConfig = Get-AipServiceConfiguration
    $LicenseUri = $RMSConfig.LicensingIntranetDistributionPointUrl
    Set-IRMConfiguration -LicensingLocation $LicenseUri
    Set-IRMConfiguration -InternalLicensingEnabled $true
    
  5. Eseguire il cmdlet Remove-PSSession per disconnettersi dal servizio Rights Management.

    Remove-PSSession $session
    

Passaggi successivi: definire le regole del flusso di posta per usare la crittografia dei messaggi di Microsoft Purview.

Se in precedenza sono state configurate regole del flusso di posta per crittografare la posta elettronica nell'organizzazione, è necessario aggiornare le regole esistenti per usare la crittografia dei messaggi di Microsoft Purview. Per le nuove distribuzioni, è necessario creare nuove regole per il flusso di posta.

Importante

In caso contrario, gli utenti continueranno a ricevere messaggi crittografati che usano il formato dell'allegato HTML precedente invece della nuova esperienza semplificata.

Le regole del flusso di posta elettronica determinano le condizioni con cui i messaggi di posta elettronica devono essere crittografati e le condizioni per rimuovere la crittografia. Quando si imposta un'azione per una regola, tutti i messaggi che soddisfano le condizioni della regola vengono crittografati al momento dell'invio.

Per altri passaggi sulla creazione della crittografa dei messaggi per le regole del flusso di posta elettronica, vedere Definire le regole del flusso di posta elettronica per crittografare i messaggi di posta elettronica in Office 365.

Per aggiornare le regole esistenti per l'uso della crittografia dei messaggi di Microsoft Purview:

  1. Nell’interfaccia di amministrazione di Microsoft 365 accedere a Interfaccia di amministrazione>Exchange.
  2. Nell'interfaccia di amministrazione di Exchange passare a Regole flusso > di posta.
  3. Per ogni regola, in Fai quanto segue:
    • Selezionare Modifica la sicurezza del messaggio.
    • Selezionare Applica Office 365 Message Encryption e la protezione tramite diritti.
    • Selezionare Crittografa dall'elenco dei modelli RMS.
    • Selezionare Salva.
    • Selezionare OK.