Шифрование электронной почтыEmail encryption

В этой статье сравниваются возможности шифрования в Microsoft 365, в том числе шифрование сообщений Office (OME), S/MIME и службы управления правами на доступ к данным (IRM), а также объясняется протокол TLS.This article compares encryption options in Microsoft 365 including Office Message Encryption (OME), S/MIME, Information Rights Management (IRM), and introduces Transport Layer Security (TLS).

Microsoft 365 delivers multiple encryption options to help you meet your business needs for email security. This article presents three ways to encrypt email in Office 365. If you want to learn more about all security features in Office 365, visit the Office 365 Trust Center. This article introduces the three types of encryption available for Microsoft 365 administrators to help secure email in Office 365:Microsoft 365 delivers multiple encryption options to help you meet your business needs for email security. This article presents three ways to encrypt email in Office 365. If you want to learn more about all security features in Office 365, visit the Office 365 Trust Center. This article introduces the three types of encryption available for Microsoft 365 administrators to help secure email in Office 365:

  • шифрование сообщений Microsoft (OME);Office Message Encryption (OME).

  • Secure/Multipurpose Internet Mail Extensions (S/MIME);Secure/Multipurpose Internet Mail Extensions (S/MIME).

  • управления правами на доступ к данным (IRM).Information Rights Management (IRM).

Шифрование писем и способ его использования в Microsoft 365Email encryption and how Microsoft 365 uses it

Encryption is the process by which information is encoded so that only an authorized recipient can decode and consume the information. Microsoft 365 uses encryption in two ways: in the service, and as a customer control. In the service, encryption is used in Microsoft 365 by default; you don't have to configure anything. For example, Microsoft 365 uses Transport Layer Security (TLS) to encrypt the connection, or session, between two servers.Encryption is the process by which information is encoded so that only an authorized recipient can decode and consume the information. Microsoft 365 uses encryption in two ways: in the service, and as a customer control. In the service, encryption is used in Microsoft 365 by default; you don't have to configure anything. For example, Microsoft 365 uses Transport Layer Security (TLS) to encrypt the connection, or session, between two servers.

Вот как обычно работает шифрование электронной почты:Here's how email encryption typically works:

  • Сообщение шифруется или преобразуется из обычного текста в нечитаемый зашифрованный текст на компьютере отправителя или на центральном сервере во время пересылки сообщения.A message is encrypted, or transformed from plain text into unreadable ciphertext, either on the sender's machine, or by a central server while the message is in transit.

  • Сообщение сохраняется в зашифрованном виде во время передачи, чтобы защитить его от чтения при возможном перехвате.The message remains in ciphertext while it's in transit in order to protect it from being read in case the message is intercepted.

  • После получения сообщения получателем оно преобразуется в читаемый обычный текст одним из двух способов:Once the message is received by the recipient, the message is transformed back into readable plain text in one of two ways:

    • компьютер получателя использует ключ для расшифровки сообщения;The recipient's machine uses a key to decrypt the message, or

    • центральный сервер расшифровывает сообщение от имени получателя после проверки удостоверения получателя.A central server decrypts the message on behalf of the recipient, after validating the recipient's identity.

Дополнительные сведения о том, как Microsoft 365 защищает соединение между серверами, например между серверами нескольких организаций с Microsoft 365 или между серверами организаций с Microsoft 365 и серверами доверенного партнера, не использующего Microsoft 365, см. в статье Использование протокола TLS службой Exchange Online для защиты электронной почты в Office 365.For more information on how Microsoft 365 secures communication between servers, such as between organizations within Microsoft 365 or between Microsoft 365 and a trusted business partner outside of Microsoft 365, see How Exchange Online uses TLS to secure email connections in Office 365.

Просмотрите видеоролик о шифровании в Office 365.Watch this video for an introduction to Encryption in Office 365.

Сравнение вариантов шифрования электронной почты, доступных в Office 365Comparing email encryption options available in Office 365

Концептуальная иллюстрация, описывающая OME Концептуальная иллюстрация, описывающая IRM Концептуальная иллюстрация, описывающая SMIME
Что это такое?What is it? Шифрование сообщений Office 365 (OME) — это служба, основанная на службе Azure RMS, которая позволяет отправлять шифрованные письма пользователям внутри или за пределами организации независимо от того конечного электронного адреса (Gmail, Yahoo! Mail, Outlook.com и т. д.).Office 365 Message Encryption (OME) is a service built on Azure Rights Management (Azure RMS) that lets you send encrypted email to people inside or outside your organization, regardless of the destination email address (Gmail, Yahoo! Mail, Outlook.com, etc.).
Как администратор вы можете настроить правила транспорта, которые определяют условия шифрования. Когда пользователь отправляет сообщение, соответствующее правилу, шифрование применяется автоматически.As an admin, you can set up transport rules that define the conditions for encryption. When a user sends a message that matches a rule, encryption is applied automatically.
To view encrypted messages, recipients can either get a one-time passcode, sign in with a Microsoft account, or sign in with a work or school account associated with Office 365. Recipients can also send encrypted replies. They don't need a Microsoft 365 subscription to view encrypted messages or send encrypted replies.To view encrypted messages, recipients can either get a one-time passcode, sign in with a Microsoft account, or sign in with a work or school account associated with Office 365. Recipients can also send encrypted replies. They don't need a Microsoft 365 subscription to view encrypted messages or send encrypted replies.
IRM — это решение шифрования, которое также применяет ограничения к письмам. Это позволяет предотвратить печать, пересылку или копирование конфиденциальных сведений несанкционированными людьми.IRM is an encryption solution that also applies usage restrictions to email messages. It helps prevent sensitive information from being printed, forwarded, or copied by unauthorized people.
Для реализации возможностей IRM в Microsoft 365 используется служба управления правами Azure (Azure RMS).IRM capabilities in Microsoft 365 use Azure Rights Management (Azure RMS).
S/MIME is a certificate-based encryption solution that allows you to both encrypt and digitally sign a message. The message encryption helps ensure that only the intended recipient can open and read the message. A digital signature helps the recipient validate the identity of the sender.S/MIME is a certificate-based encryption solution that allows you to both encrypt and digitally sign a message. The message encryption helps ensure that only the intended recipient can open and read the message. A digital signature helps the recipient validate the identity of the sender.
Цифровые подписи и шифрование сообщений реализуются с помощью уникальных цифровых сертификатов, которые содержат ключи для проверки цифровых подписей и шифрования или расшифровки сообщений.Both digital signatures and message encryption are made possible through the use of unique digital certificates that contain the keys for verifying digital signatures and encrypting or decrypting messages.
To use S/MIME, you must have public keys on file for each recipient. Recipients have to maintain their own private keys, which must remain secure. If a recipient's private keys are compromised, the recipient needs to get a new private key and redistribute public keys to all potential senders.To use S/MIME, you must have public keys on file for each recipient. Recipients have to maintain their own private keys, which must remain secure. If a recipient's private keys are compromised, the recipient needs to get a new private key and redistribute public keys to all potential senders.
Для чего оно используется?What does it do? OME:OME:
шифрует сообщения, отправляемые внутренним или внешним получателям.Encrypts messages sent to internal or external recipients.
Позволяет пользователям отправлять зашифрованные сообщения на любой электронный адрес, включая Outlook.com, Yahoo! Mail и Gmail.Allows users to send encrypted messages to any email address, including Outlook.com, Yahoo! Mail, and Gmail.
Позволяет администратору настроить портал для просмотра электронной почты в соответствии с фирменным стилем организации.Allows you, as an admin, to customize the email viewing portal to reflect your organization's brand.
Корпорация Майкрософт управляет ключами и хранит их, поэтому вам не нужно об этом беспокоиться.Microsoft securely manages and stores the keys, so you don't have to.
Специальное клиентское программное обеспечение не требуется, так как зашифрованное сообщение (оно отправляется как HTML-вложение) можно открыть в браузере.No special client side software is needed as long as the encrypted message (sent as an HTML attachment) can be opened in a browser.
IRM:IRM:
Использует шифрование и ограничения для защиты писем и вложений в сетевом и автономном режиме.Uses encryption and usage restrictions to provide online and offline protection for email messages and attachments.
Предоставляет вам как администратору возможность настроить правила транспорта или правила защиты Outlook, которые автоматически применяют IRM к определенным сообщениям.Gives you, as an admin, the ability to set up transport rules or Outlook protection rules to automatically apply IRM to select messages.
Позволяет пользователям вручную применять шаблоны в Outlook или Outlook в Интернете (прежнее название — Outlook Web App).Lets users manually apply templates in Outlook or Outlook on the web (formerly known as Outlook Web App).
Протокол S/MIME используется для проверки подлинности адресов отправителей с помощью цифровых подписей и шифрования сообщений.S/MIME addresses sender authentication with digital signatures, and message confidentiality with encryption.
Для чего оно не используется?What does it not do? OME doesn't let you apply usage restrictions to messages. For example, you can't use it to stop a recipient from forwarding or printing an encrypted message.OME doesn't let you apply usage restrictions to messages. For example, you can't use it to stop a recipient from forwarding or printing an encrypted message. Some applications may not support IRM emails on all devices. For more information about these and other products that support IRM email, see Client device capabilities.Some applications may not support IRM emails on all devices. For more information about these and other products that support IRM email, see Client device capabilities. Протокол S/MIME не допускает проверку зашифрованных сообщений на наличие вредоносных программ, нежелательной почты или на соответствие политикам.S/MIME doesn't allow encrypted messages to be scanned for malware, spam, or policies.
Рекомендации и примеры сценариевRecommendations and example scenarios We recommend using OME when you want to send sensitive business information to people outside your organization, whether they're consumers or other businesses. For example:We recommend using OME when you want to send sensitive business information to people outside your organization, whether they're consumers or other businesses. For example:
Сотрудник банка отправляет клиентам выписки по кредитным картам.A bank employee sending credit card statements to customers
Сотрудник больницы отправляет медицинские записи пациенту.A doctor's office sending medical records to a patient
Адвокат передает конфиденциальные юридические сведения другому адвокату.An attorney sending confidential legal information to another attorney
Мы рекомендуем использовать IRM, чтобы применять ограничения использования, а также шифрование. Например:We recommend using IRM when you want to apply usage restrictions as well as encryption. For example:
Руководитель отправляет своей рабочей группе конфиденциальные сведения о новом продукте с параметром "Не пересылать".A manager sending confidential details to her team about a new product applies the "Do Not Forward" option.
Руководителю требуется отправить предложение другой компании, которое содержит вложение от партнера, использующего Office 365, с защитой письма и вложения.An executive needs to share a bid proposal with another company, which includes an attachment from a partner who is using Office 365, and require both the email and the attachment to be protected.
Мы рекомендуем использовать S/MIME, если вашей организации или организации получателя требуется одноранговое шифрование.We recommend using S/MIME when either your organization or the recipient's organization requires true peer-to-peer encryption.
S/MIME чаще всего используется в следующих случаях:S/MIME is most commonly used in the following scenarios:
Государственные учреждения взаимодействуют с другими государственными учреждениями.Government agencies communicating with other government agencies
Компания взаимодействует с государственным учреждением.A business communicating with a government agency

Если вы используете как Azure Information Protection, так и шифрование писем для защиты данных, рассмотрите следующие возможности:In case of using both Azure Information Protection and email encryption to protect the data, consider following:

  • Вы можете использовать метки конфиденциальности с шифрованием OME и IRM.You can use sensitivity labels with OME and IRM encryption. Дополнительные сведения см. в статье Ограничение доступа к содержимому при использовании меток конфиденциальности для шифрования.For more details, see Restrict access to content by using sensitivity labels to apply encryption.
  • Вы можете применять метки конфиденциальности к сообщениям с цифровой подписью S/MIME.You can apply sensitivity labels to emails digitally signed using S/MIME.
  • Вы не можете применять метки конфиденциальности к сообщениям, зашифрованным с помощью S/MIME, так как сообщения, защищенные с помощью комплексного шифрования, не обрабатываются политиками.You can't apply sensitivity labels to emails encrypted using S/MIME, because messages protected by end-to-end encryption are not processed by policies.

Доступные варианты шифрования для подписки на Microsoft 365Encryption options available for my Microsoft 365 subscription

Сведения о вариантах шифрования электронной почты для подписки на Microsoft 365 см. в статье Описание службы Exchange Online.For information about email encryption options for your Microsoft 365 subscription see the Exchange Online service description. Здесь вы найдете сведения о следующих функциях шифрования:Here, you can find information about the following encryption features:

  • Azure RMS, включая возможности IRM и новые возможности OMEAzure RMS, including both IRM capabilities and the new OME capabilities

  • S/MIMES/MIME

  • TLS;TLS

  • шифрование неактивных данных (BitLocker).Encryption of data at rest (through BitLocker)

С Microsoft 365 можно также использовать сторонние средства шифрования, например PGP (Pretty Good Privacy).You can also use third-party encryption tools with Microsoft 365, for example, PGP (Pretty Good Privacy). Microsoft 365 не поддерживает стандарт PGP/MIME, и для отправки и получения сообщений, зашифрованных с помощью PGP, вы можете использовать только PGP/Inline.Microsoft 365 does not support PGP/MIME and you can only use PGP/Inline to send and receive PGP-encrypted emails.

Как насчет шифрования неактивных данных?What about encryption for data at rest?

"Неактивные данные" — это данные, которые не передаются в текущий момент."Data at rest" refers to data that isn't actively in transit. В Microsoft 365 данные электронной почты при хранении шифруются с помощью шифрования диска BitLocker.In Microsoft 365, email data at rest is encrypted using BitLocker Drive Encryption. Для обеспечения улучшенной защиты от несанкционированного доступа жесткие диски в центрах обработки данных корпорации Майкрософт шифруются с использованием BitLocker.BitLocker encrypts the hard drives in Microsoft datacenters to provide enhanced protection against unauthorized access. Дополнительные сведения см. в обзоре компонента BitLocker.To learn more, see BitLocker Overview.

Дополнительные сведения о вариантах шифрования электронной почтыMore information about email encryption options

Дополнительные сведения о вариантах шифрования электронной почты, описанных в этой статье, а также о протоколе TLS см. в следующих статьях:For more information about the email encryption options in this article as well as TLS, see these articles:

OMEOME

Шифрование сообщений Office 365 (OME)Office 365 Message Encryption (OME)

IRMIRM

Управление правами на доступ к данным в Exchange OnlineInformation Rights Management in Exchange Online

Управление правами AzureWhat is Azure Rights Management?

S/MIMES/MIME

S/MIME для подписи и шифрования сообщенийS/MIME for message signing and encryption

Общие сведения о S/MIMEUnderstanding S/MIME

Общие сведения о шифровании с открытым ключомUnderstanding Public Key Cryptography

TLSTLS

Настройка пользовательского потока обработки почты с помощью соединителейConfigure custom mail flow by using connectors