Вопросы и ответы по шифрованию сообщений

Шифрование сообщений Microsoft Purview объединяет возможности шифрования электронной почты и управления правами. Возможности управления правами на основе Azure Information Protection.

Вы можете использовать Шифрование сообщений Microsoft Purview при следующих условиях:

• Если вы никогда не настроили Office 365 шифрование сообщений (OME) или управление правами на доступ к данным (IRM) для Exchange Online.

• Если вы настроили OME и IRM, вы можете выполнить следующие действия, если вы также используете службу Azure Rights Management из Azure Information Protection.

• Если вы используете Exchange Online со службой Active Directory Rights Management (AD RMS), вы не сможете сразу включить эти новые возможности. Вместо этого сначала необходимо перенести AD RMS в Azure Information Protection. Завершив миграцию, вы сможете успешно настроить Шифрование сообщений Microsoft Purview.

  Если вы решили продолжать использовать локальную службу AD RMS с Exchange Online вместо миграции в Azure Information Protection, вы не сможете использовать Шифрование сообщений Microsoft Purview.

Чтобы использовать Шифрование сообщений Microsoft Purview, вам потребуется один из следующих планов:

• Шифрование сообщений Microsoft Purview предлагается в рамках Office 365 корпоративный E3 и E5, Microsoft 365 корпоративный E3 и E5, Microsoft 365 бизнес премиум Office 365 A1, A3 и A5, а также Office 365 для государственных организаций G3 и G5. Дополнительные лицензии не требуются для получения новых возможностей защиты на платформе Azure Information Protection.

• Вы также можете добавить azure Information Protection план 1 в следующие планы для получения Шифрование сообщений Microsoft Purview: Exchange Online план 1, Exchange Online план 2, Office 365 F3, Microsoft 365 бизнес базовый, Microsoft 365 бизнес стандарт или Office 365 корпоративный E1.

• Каждому пользователю, получающим преимущества Шифрование сообщений Microsoft Purview, требуется лицензия на использование шифрования сообщений.

• Полный список см. в описании служб Exchange Online для Шифрование сообщений Microsoft Purview.

Конечно! Корпорация Майкрософт рекомендует выполнить действия по настройке BYOK перед настройкой Шифрование сообщений Microsoft Purview.

Дополнительные сведения о BYOK см. в статье Планирование и реализация ключа клиента Information Protection Azure.

Нет. Шифрование сообщений Microsoft Purview и возможность предоставления и управления собственными ключами шифрования, называемыми BYOK, из Azure Information Protection не предназначены для реагирования на запросы правоохранительных органов. OME с BYOK для Azure Information Protection разработан для организаций, ориентированных на соответствие требованиям. Корпорация Майкрософт серьезно относится к сторонним запросам данных клиентов. Как поставщик облачных служб, мы всегда выступаем за конфиденциальность ваших данных. В случае получения повестки мы всегда пытаемся перенаправить стороннюю сторону непосредственно к вам для получения информации. (Читайте блог Брэда Смита: Защита данных клиентов от государственного слежки). Мы периодически публикуем подробные сведения о запросе, который мы получаем. Дополнительные сведения о запросах сторонних данных см. в статье Реагирование на запросы государственных и правоохранительных органов на доступ к данным клиентов в Центре управления безопасностью Майкрософт. Кроме того, см. раздел "Раскрытие данных клиента" в условиях использования веб-служб (OST).

Шифрование сообщений Microsoft Purview — это эволюция существующих решений IRM и устаревших решений OME. В следующей таблице приведены дополнительные сведения.

Сравнение устаревших OME, IRM и Шифрование сообщений Microsoft Purview

См. раздел Настройка Шифрование сообщений Microsoft Purview.

Вы по-прежнему можете использовать предыдущую версию шифрования сообщений, которая называется Office 365 шифрование сообщений (OME). OME не рекомендуется использовать с 1 июля 2023 г. Шифрование сообщений Office будет автоматически заменено и обновлено до Шифрование сообщений Microsoft Purview.

Нет. Если вы используете Exchange Online со службой Active Directory Rights Management (AD RMS), вы не сможете сразу включить эти новые возможности. Вместо этого сначала необходимо перенести AD RMS в Azure Information Protection.

Локальные пользователи могут отправлять зашифрованную почту с помощью Exchange Online правил потока обработки почты. Вам нужно маршрутизировать электронную почту через Exchange Online. Дополнительные сведения см. в разделе Часть 2. Настройка отправки почты с сервера электронной почты в Microsoft 365.

Защищенные сообщения можно создавать из Outlook 2016, Outlook 2013 для Windows и Mac, а также из Outlook в Интернете. Дополнительные сведения об отправке зашифрованных сообщений см. в статье Отправка, просмотр и ответ на зашифрованные сообщения в Outlook для ПК.

Пользователи Microsoft 365 могут читать и отвечать из Outlook для Windows и Mac (2013 и 2016), Outlook в Интернете и Outlook mobile (Android и iOS). Вы также можете использовать собственный почтовый клиент iOS, если это разрешено вашей организацией. Если вы не пользователь Microsoft 365, вы можете читать зашифрованные сообщения в Интернете и отвечать на них через веб-браузер.

Пользователи Microsoft 365 могут использовать Outlook для ПК версий 2019 и Microsoft 365 для создания почты, защищенной политикой только шифрования. Сообщения, к которым применена политика только шифрования, можно считывать непосредственно в Outlook в Интернете, в Outlook для iOS и Android, а также в Outlook для ПК версий 2019 и Microsoft 365.

Да. Максимальный размер сообщения, которое можно отправить с помощью Шифрование сообщений Microsoft Purview, включая вложения, составляет 25 МБ. Дополнительные сведения см. в разделе Ограничения сообщений.

Портал зашифрованных сообщений поддерживает только почту. Портал не поддерживает сообщения других типов, таких как календарь или голосовая почта.

В защищенную почту можно вложить файл любого типа. Политики защиты применяются только к подмножествию форматов файлов, упомянутых в разделе Типы файлов, поддерживаемые клиентом azure Information Protection. Шифрование сообщений Microsoft Purview поддерживает только следующие расширения файлов Office:

• DOCX
• Docm
• Dotx
• Dotm
• PPTX
• Pptm
• Potx
• potm
• Ppsx
• Ppsm
• Thmx
• XLSX
• Xlsm
• Xlsb
• Xltx
• Xltm
• Xlam
• Xps

Шифрование сообщений Microsoft Purview не поддерживает версии Office 97–2003: Word (.doc), Excel (.xls) и PowerPoint (.ppt).

Защита наследуется только от почты к незашифрованным вложениям. Если поддерживается формат файла, например файл Word, Excel или PowerPoint, он всегда будет защищен даже после того, как получатель загрузит вложение. Например, предположим, что вложение защищено с помощью параметра Не пересылать. Исходный получатель скачивает файл, создает сообщение новому получателю и присоединяет файл. Когда новый получатель получит файл, он не сможет открыть его.

Короткий ответ да! Если включено в Exchange Online, шифрование PDF позволяет защитить конфиденциальные PDF-документы, вложенные в сообщения электронной почты. При отправке сообщения электронной почты служба Office 365 шифрует вложения PDF-файлов для Outlook в Интернете, Outlook для Mac, Outlook для iOS и Outlook для Android. Вы можете зашифровать отправляемые PDF-файлы без дополнительных действий.

64-разрядная версия Outlook изначально поддерживает шифрование вложений в PDF-файлах, а 32-разрядная версия Outlook — нет. Если вы используете 32-разрядную версию Outlook, необходимо настроить правила потока обработки почты Exchange или политики защиты от потери данных, чтобы сначала применить шифрование к вложениям PDF. При отправке незашифрованного сообщения из Outlook Desktop с вложениями в формате PDF клиент сначала отправляет сообщение с вложением в службу. Когда служба получает незашифрованную почту, служба применяет защиту Шифрование сообщений Microsoft Purview с помощью политики защиты от потери данных (DLP) или правила потока обработки почты в Exchange Online. Затем Exchange Online шифрует сообщение и вложение PDF-файла.

Чтобы включить шифрование для вложений PDF, выполните следующую команду в Exchange Online PowerShell:

Set-IRMConfiguration -EnablePdfEncryption $true

Шифрование PDF позволяет защитить конфиденциальные PDF-документы путем безопасного обмена данными или безопасной совместной работы. Для всех клиентов Outlook сообщения и незащищенные вложения PDF наследуют Шифрование сообщений Microsoft Purview защиту политики защиты от потери данных (DLP) или правила потока обработки почты в Exchange Online. Кроме того, если пользователь Outlook в Интернете присоединяет незащищенный документ PDF и применяет защиту к сообщению, сообщение наследует защиту сообщения. Пользователи могут открывать зашифрованные вложения только в приложениях, поддерживающих защищенные PDF-файлы (например, на портале зашифрованных сообщений и в средстве просмотра Information Protection Azure).

Not yet. Вложения SharePoint Online или OneDrive для бизнеса не поддерживаются. Вы можете зашифровать почтовое сообщение, но не облачные вложения.

Если вложения защищены с помощью защищенной почты, вы можете просматривать документы непосредственно с помощью клиентов Outlook. Outlook поддерживает предварительный просмотр документов Office (docx, xlsx, pptx, doc, xls, ppt). Outlook в Интернете поддерживает предварительный просмотр документов Office (docx, xlsx, pptx) и PDF.

Outlook в Интернете поддерживает отзыв защищенной почты. Дополнительные сведения см. в статье Отзыв отправленного зашифрованного сообщения .

Портал зашифрованных сообщений поддерживает предварительный просмотр всех зашифрованных копий вложений, добавленных в зашифрованную почту. К вспомогательным типам файлов относятся Word, Excel, PowerPoint и PDF-файлы.

Да. Используйте правила потока обработки почты в Exchange Online для автоматического шифрования сообщения на основе определенных условий. Например, можно создать политики на основе идентификатора получателя, домена получателя или содержимого в тексте или теме сообщения. См. раздел Определение правил потока обработки почты для шифрования сообщений электронной почты в Office 365.

Администраторы могут настроить правило потока обработки почты для удаления шифрования исходящей почты. Вы можете настроить правило только для удаления шифрования для входящей почты, поступающей из вашей Exchange Online организации.

Для почтового ящика Exchange Online администраторы должны включить расшифровку журналов и настроить правило авторизации Exchange Online, чтобы создать расшифрованную копию почты в почтовом ящике журнала. Правило авторизации принимает любую почту или вложение с шифрованием и отправляет исходную и расшифрованную копию в почтовый ящик журнала. Вы можете настроить правило авторизации, которое может расшифровывать почту или вложения, когда зашифрованный элемент поступает из вашей организации.
Чтобы включить ведение журнала Exchange Online, выполните приведенные далее действия.

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Конечно! Правила потока обработки почты можно настроить в Exchange Online или с помощью защиты от потери данных в Портал соответствия требованиям Microsoft Purview.

Да, для почты, отправленной из почтового ящика Exchange Online в вашей организации! Сведения о настройке сообщений электронной почты и портала зашифрованных сообщений см. в статье Добавление фирменной символики вашей организации в зашифрованные сообщения.

Журналы действий портала зашифрованных сообщений фиксируют события только для внешних получателей путем доступа к порталам зашифрованных сообщений. Все действия в почтовых клиентах, активированные внешними получателями, не записываются. Сведения о внутренних получателях см. в действии MailItemsAccessed mailbox-auditing в разделе Аудит Purview (премиум) — журналы доступа к элементам почты.

В центре соответствия требованиям есть отчет о шифровании. См. статью Просмотр отчетов о безопасности электронной почты в Портал соответствия требованиям Microsoft Purview.

Да, большинство сообщений, защищенных Шифрование сообщений Microsoft Purview, можно обнаружить. Шифрование сообщений Microsoft Purview защищенная почта, которую вы получаете от другой организации Microsoft 365, в рамках которого применяется настраиваемая фирменная символика с помощью правила потока обработки почты, не может быть обнаружена службой обнаружения электронных данных. Иными словами, если почта недоступна через почтовый ящик пользователя, а отображается только через ссылку на портал зашифрованных сообщений, это сообщение не поддерживает поиск. Дополнительные сведения см. в разделе Действия обнаружения электронных данных, поддерживающие зашифрованные элементы .

Когда кто-то отправляет сообщение электронной почты, соответствующее правилу потока обработки почты, оно шифруется перед отправкой.

Конечно! Вы можете открыть зашифрованные сообщения для общего почтового ящика. При отправке сообщения из той же организации вы можете открыть его при входе в поддерживаемый клиент Outlook. Если почта отправляется из внешней организации, необходимо использовать Outlook в Интернете.

• Пользователи могут открывать защищенные сообщения в общем почтовом ящике, где общий почтовый ящик получил защищенное письмо в составе группы рассылки.

• Пользователи могут просматривать вложения, наследующие защиту от электронной почты, при использовании Outlook для Windows, Outlook для Mac, Outlook для Android, Outlook для iOS и Outlook в Интернете.

В следующей таблице перечислены поддерживаемые клиенты для общих почтовых ящиков.

В настоящее время существуют два известных ограничения:

• Вы не можете открывать вложения в сообщениях электронной почты, которые вы получаете на мобильных устройствах с помощью Outlook mobile.

• В 32-разрядной версии Outlook для пользователей, назначенных общему почтовому ящику с помощью группы безопасности с поддержкой электронной почты, пользователь видит уведомление о просмотре зашифрованной почты с помощью веб-браузера. Для просмотра зашифрованной почты непосредственно в 32-разрядной версии Outlook и клиенту защиты информации требуется, чтобы пользователь был напрямую назначен в общий почтовый ящик с разрешениями на полный доступ и включенным автоматическим сопоставлением. Для 64-разрядной версии Outlook пользователя не нужно назначать непосредственно почтовому ящику. Автоматическое сопоставление включено по умолчанию для Exchange Online.

Назначение пользователя общему почтовому ящику

1. Подключение к Exchange Online PowerShell.aspx).

2. Запустите командлет Add-MailboxPermission с параметром Automapping. В этом примере Ayla предоставляет полный доступ к почтовому ящику поддержки.

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

Когда делегатам предоставляется полное разрешение на доступ к почтовому ящику пользователя, делегированный доступ к зашифрованной почте поддерживается в Outlook в Интернете, Outlook для Mac, Outlook для iOS и Outlook для Android. Outlook для Windows не поддерживает делегированный доступ.

Вы можете войти на портал зашифрованных сообщений, чтобы получить почту, если организация отправителя активна и срок действия почты не истек.

Сначала проверка папку нежелательной почты или нежелательной почты в почтовом клиенте. Параметры DKIM и DMARC для вашей организации могут привести к тому, что эти сообщения электронной почты будут отфильтрованы как спам.

Затем проверка карантин в Центре соответствия требованиям. Часто сообщения, содержащие одноразовый код, особенно те, которые получает ваша организация, помещаются в карантин.