Hantera Meddelandekryptering i Office 365

När du är klar med konfigurationen Meddelandekryptering i Office 365 (OME) kan du anpassa konfigurationen av distributionen på flera olika sätt. Du kan till exempel konfigurera om du vill aktivera lösenord för endast en gång, visa knappen Kryptera i Outlook på webben med mera. Uppgifterna i den här artikeln beskriver hur.

Hantera om mottagarna av Google-, Yahoo- och Microsoft-kontona kan använda dessa konton för att logga in Meddelandekryptering i Office 365-portalen

När du konfigurerar Meddelandekryptering i Office 365 funktioner kan användare i organisationen skicka meddelanden till mottagare som finns utanför organisationen. Om mottagaren använder ett socialt ID, till exempel ett Google-konto, Yahoo-konto eller Microsoft-konto, kan mottagaren logga in på OME-portalen med ett socialt ID. Om du vill kan du välja att inte tillåta att mottagare loggar in på OME-portalen via sociala IDs.

Så här hanterar du om mottagare kan använda sociala ID:n för att logga in på OME-portalen

  1. Anslut att Exchange Online använda Remote PowerShell.

  2. Kör cmdleten Set-OMEConfiguration Med parametern SocialIdSignIn enligt följande:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>
    

    Om du till exempel vill inaktivera sociala ID:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false
    

    Så här aktiverar du sociala ID:

    Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true
    

Hantera användningen av lösenordskoder för Meddelandekryptering i Office 365 portalen

Om mottagaren av ett meddelande som krypteras med OME inte använder Outlook, oavsett vilket konto som används av mottagaren, får mottagaren en tidsbegränsad webbvylänk som gör att mottagaren kan läsa meddelandet. Den här länken innehåller en kod för ett lösenord. Som administratör kan du bestämma om mottagarna ska kunna logga in på OME-portalen med hjälp av koder som du använder som lösenord.

Hantera om OME genererar koder för en gång

  1. Använd ett arbets- eller skolkonto med global administratörsbehörighet i din organisation och starta en Windows PowerShell och anslut till Exchange Online. För instruktioner se: Ansluta till Exchange Online PowerShell.

  2. Kör Set-OMEConfiguration-cmdleten med parametern OTPEnabled:

    Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>
    

    Så här inaktiverar du till exempel lösenord för en gång:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false
    

    Så här aktiverar du lösenord för en gång:

    Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true
    

Hantera visningen av knappen Kryptera i Outlook på webben

Som administratör kan du hantera om den här knappen ska visas för slutanvändare.

Hantera om knappen Kryptera ska visas i Outlook på webben

  1. Använd ett arbets- eller skolkonto med global administratörsbehörighet i din organisation och starta en Windows PowerShell och anslut till Exchange Online. För instruktioner se: Ansluta till Exchange Online PowerShell.

  2. Kör Set-IRMConfiguration-cmdleten med parametern -SimplifiedClientAccessEnabled:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>
    

    Om du till exempel vill inaktivera knappen Kryptera:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false
    

    Så här aktiverar du knappen Kryptera:

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
    

Aktivera dekryptering av e-postmeddelanden på tjänstsidan för e-postanvändare i iOS-e-postprogrammet

E-postprogrammet i iOS kan inte dekryptera meddelanden som skyddas med Meddelandekryptering i Office 365. Som administratör Microsoft 365 kan du använda dekryptering på tjänstsidan för meddelanden som levereras till e-postprogrammet i iOS. När du väljer att dekryptera på tjänstsidan skickar tjänsten en dekrypterad kopia av meddelandet till iOS-enheten. En dekrypterad kopia av meddelandet lagras på klientenheten. Meddelandet behåller även information om användningsrättigheter även om e-postappen i iOS inte tillämpar användningsrättigheter på klientsidan för användaren. Användaren kan kopiera eller skriva ut meddelandet även om de inte ursprungligen har behörighet att göra det. Men om användaren försöker slutföra en åtgärd som kräver att Microsoft 365-e-postservern, till exempel vidarebefordrar meddelandet, tillåter servern inte åtgärden om användaren inte ursprungligen har rätt att göra det. Men slutanvändarna kan komma runt användningsbegränsningen Vidarebefordra inte genom att vidarebefordra meddelandet från ett annat konto i e-postprogrammet i iOS. Oavsett om du ställer in dekryptering på tjänstsidan av e-post kan inte bifogade filer i krypterad och rättighetsskyddad e-post visas i e-postprogrammet i iOS.

Om du väljer att inte tillåta att dekrypterade meddelanden skickas till användare i iOS-e-postprogrammet får användarna ett meddelande om att de inte har behörighet att visa meddelandet. Som standard är dekryptering av e-postmeddelanden inte aktiverat på tjänstsidan.

Mer information och en vy över klientupplevelsen finns i Visa krypterademeddelanden på din iPhone eller iPad .

Hantera om användare av iOS-e-postprogram kan visa meddelanden som skyddas av Meddelandekryptering i Office 365

  1. Använd ett arbets- eller skolkonto med global administratörsbehörighet i din organisation och starta en Windows PowerShell och anslut till Exchange Online. För instruktioner se: Ansluta till Exchange Online PowerShell.

  2. Kör Set-ActiveSyncOrganizations med parametern AllowRMSSupportForUnenlightenedApps:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>
    

    Om du till exempel vill konfigurera tjänsten för att dekryptera meddelanden innan de skickas till oaktiverade appar som e-postprogrammet i iOS:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true
    

    Om du vill konfigurera tjänsten så att inte dekrypterade meddelanden skickas till oaktiverade appar:

    Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false
    

Anteckning

Enskilda postlådeprinciper (OWA/ActiveSync) åsidosätter de här inställningarna (dvs. om -IRMEnabled är inställt på Falskt inom respektive OWA-postlådeprincip eller ActiveSync-postlådeprincip, gäller inte de här konfigurationerna).

Aktivera dekryptering av e-postbilagor på tjänstsidan för e-postklienter i webbläsaren

När du använder Office 365 krypteras bifogade filer automatiskt. Som administratör kan du använda dekryptering på tjänstsidan för e-postbilagor som användare laddar ned från en webbläsare.

När du använder dekryptering på tjänstsidan skickar tjänsten en dekrypterad kopia av filen till enheten. Meddelandet krypteras fortfarande. Den bifogade filen för e-post behåller även information om användningsrättigheter även om webbläsaren inte gäller användarens användningsrättigheter på klientsidan. Användaren kan kopiera eller skriva ut den bifogade filen i ett e-postmeddelande även om de inte ursprungligen har behörighet att göra det. Men om användaren försöker slutföra en åtgärd som kräver att Microsoft 365-e-postservern, till exempel vidarebefordrar den bifogade filen, tillåter servern inte åtgärden om användaren inte ursprungligen har rätt att göra det.

Oavsett om du krypterar bifogade filer på tjänstsidan kan användarna inte visa bifogade filer i krypterad och rättighetsskyddad e-post i iOS-e-postprogrammet.

Om du väljer att inte tillåta dekrypterade e-postbilagor, vilket är standard, får användarna ett meddelande om att de inte har behörighet att visa den bifogade filen.

Mer information om hur Microsoft 365 implementerar kryptering för e-postmeddelanden och e-postbilagor med alternativet Encrypt-Only finns i Alternativet Endast kryptering för e-postmeddelanden.

Hantera om e-postbilagor dekrypteras vid nedladdning från en webbläsare

  1. Använd ett arbets- eller skolkonto med global administratörsbehörighet i din organisation och starta en Windows PowerShell och anslut till Exchange Online. För instruktioner se: Ansluta till Exchange Online PowerShell.

  2. Kör cmdleten Set-IRMConfiguration med parametern DecryptAttachmentForEncryptOnly:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>
    

    Om du till exempel vill konfigurera tjänsten för att dekryptera e-postbilagor när en användare hämtar dem från en webbläsare:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
    

    Så här konfigurerar du tjänsten för att lämna krypterade e-postbilagor som de är vid nedladdning:

    Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false
    

Kontrollera att alla externa mottagare använder OME-portalen för att läsa krypterad e-post

Du kan använda anpassade varumärkesmallar för att tvinga mottagare att få ett radbrytningsmeddelande som säger att de ska läsa krypterad e-post i OME-portalen i stället för att använda Outlook eller Outlook på webben. Det kan vara bra att göra det om du vill ha större kontroll över hur mottagarna använder sin e-post. Om externa mottagare till exempel visar e-post i webbportalen kan du ange ett utgångsdatum för e-postmeddelandet och återkalla e-postmeddelandet. De här funktionerna stöds endast via OME-portalen. Du kan använda alternativen Kryptera och Vidarebefordra inte när du skapar e-postflödesregler.

Använda en anpassad mall för att tvinga alla externa mottagare att använda OME-portalen och för krypterad e-post

  1. Använd ett arbets- eller skolkonto med global administratörsbehörighet i din organisation och starta en Windows PowerShell och anslut till Exchange Online. För instruktioner se: Ansluta till Exchange Online PowerShell.

  2. Kör New-TransportRule cmdlet:

    New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"
    

    där:

    • mail flow rule name är det namn du vill använda för den nya e-postflödesregeln.

    • option name är antingen Encrypt eller Do Not Forward .

    • template name är namnet du gav mallen för anpassade profilering, till exempel OME Configuration .

    Om du vill kryptera all extern e-post med mallen "OME-konfiguration" och använda Encrypt-Only alternativet:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
    

    Om du vill kryptera all extern e-post med mallen "OME-konfiguration" och använda alternativet Vidarebefordra inte:

    New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
    

Anpassa utseendet på e-postmeddelanden och OME-portalen

Detaljerad information om hur du kan anpassa OME för organisationen finns i Lägga till företagets varumärke i krypterade meddelanden.

Inaktivera de nya funktionerna för OME

Vi hoppas att det inte blir så, men om du behöver det är det mycket enkelt att inaktivera de nya funktionerna för OME. Först måste du ta bort alla e-postflödesregler som du har skapat och som använder de nya OME-funktionerna. Information om hur du tar bort e-postflödesregler finns i Hantera e-postflödesregler. Utför sedan de här stegen Exchange Online PowerShell.

Inaktivera de nya funktionerna för OME

  1. Om du använder ett arbets- eller skolkonto med global administratörsbehörighet i din organisation startar du Windows PowerShell en session och ansluter till Exchange Online. För instruktioner se: Ansluta till Exchange Online PowerShell.

  2. Om du har aktiverat knappen Kryptera i Outlook på webben inaktiverar du den genom att köra cmdleten Set-IRMConfiguration med parametern SimplifiedClientAccessEnabled. Annars hoppar du över det här steget.

    Set-IRMConfiguration -SimplifiedClientAccessEnabled $false
    
  3. Inaktivera de nya funktionerna för OME genom att köra cmdleten Set-IRMConfiguration med parametern AzureRMSLicensingEnabled inställd på falskt:

    Set-IRMConfiguration -AzureRMSLicensingEnabled $false