Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



31.12.2020

Cykl webinarów

weinnovators.club
30.12.2020

Integracja z Teams

Veeam Backup
30.12.2020

Namierzanie zagrożeń

Flowmon Networks i Fortinet
30.12.2020

Wsparcie dla przedsiębiorstw

VMware Cloud on AWS
29.12.2020

Nowe NAS-y Thunderbolt 3

QNAP QuTS TVS-h1288X i TVS-h1688X
29.12.2020

Modele kompaktowe

VPL-PHZ60 i VPL-PHZ50
28.12.2020

Dedykowane przemysłowi

Seria TJ
28.12.2020

Nowa generacja

Router QHora-301W

Ochrona wiadomości Office 365

Data publikacji: 24-09-2020 Autor: Michał Gajda

Jedną z ważniejszych usług w każdej organizacji jest firmowa poczta. To właśnie tym kanałem następuje główny przepływ informacji – zarówno wewnątrz przedsiębiorstwa, jak i poza nim. Nierzadko zdarza się, iż użytkownicy dołączają do korespondencji wiadomości poufne oraz dane, które powinny podlegać szczególnej ochronie.

 

Zapewnienie prostych mechanizmów zabezpieczenia wiadomości e-mail nie musi być trudne. W usłudze Office 365 stosowane jest na przykład szyfrowanie poczty mechanizmami PGP czy S/MIME. Możliwe jest również wdrożenie innego rozwiązania, czyli Office 365 Message Encryption. Rozszerza ono funkcjonalność poczty elektronicznej o dodatkowe mechanizmy ochrony danych – wszystko za sprawą stosowania dodatkowych reguł szyfrowania i autoryzacji. Dzięki temu możemy mieć pewność, że dostęp do wiadomości uzyskają jedynie upoważnione osoby.


> Mechanizmy OME

 

Message Encryption korzysta z innej usługi ochrony, czyli z AzureRMS, który to z kolei wchodzi w skład usługi Azure Information Protection. Dlatego, aby móc wykorzystywać mechanizm OME, konieczna jest wcześniejsza aktywacja owej usługi. Można tego dokonać w prosty sposób, za pomocą portalu zarządzania usługą Office 365. W Ustawieniach organizacji (Org settings) odnajdujemy usługę Microsoft Azure Information Protection, następnie przechodzimy do witryny zarządzania usługą i aktywujemy ją.

 

Tym sposobem stosujemy dodatkowe mechanizmy ochrony wiadomości. W ramach wspominanej metody użytkownik końcowy dostaje sposobność zastosowania szyfrowania wiadomości, ograniczenia możliwości przesyłania wiadomości dalej czy też możliwość obsługi wiadomości chronionych opublikowanymi etykietami poufności usługi Azure Information Protection.
Aby było możliwe wykorzystywanie OME w ramach swojej dzierżawy usług chmurowych, konieczne jest posiadanie licencji odpowiednich dla wszystkich użytkowników końcowych korzystających z usługi. Mogą to być m.in.: Office 365 Enterprise E3, Microsoft Enterprise E3, Microsoft 365 Business Premium, Office 365 A1 lub Office 365 Government G3. Oczywiście akceptowane są również wyższe odpowiedniki wspomnianych licencji.

 

W przypadku posiadania innych licencji na usługę Exchange Online, jak na przykład pojedyncza usługa Exchange
Online Plan 1 czy Office 365 Enterprise E1, konieczne jest posiadanie dodatkowej licencji, jaką jest Azure Information Protection Plan 1. Wiadomości chronione za pomocą mechanizmów OME mogą być natywnie otwierane za pomocą narzędzi do obsługi poczty dostarczanej przez producenta, czyli firmę Microsoft. W ramach tych narzędzi znajdziemy klasyczną aplikację Outlook, Outlook for Mac, Outlook Mobile zarówno na platformę iOS, jak i Android. Wspierana jest również możliwość obsługi wiadomości za pomocą webowej aplikacji Outlook Web App. W przypadku wysyłania wiadomości poza organizację możliwość obsługi wiadomości zapewniana jest z wykorzystaniem dedykowanego webowego portalu OME. Dzięki niemu możliwe jest odczytanie zaszyfrowanej wiadomości praktycznie z dowolnej platformy sprzętowej. Dodatkowo portal pozwala również na kontynuowanie konwersacji poprzez możliwość odpowiadania na wiadomości.

 

> Aktywacja i możliwości ochrony


Funkcjonalności Office 365 Message Encryption domyślnie są nieaktywne w ramach usługi Exchange Online. Dlatego aby z nich skorzystać, konieczna jest aktywacja omawianej usługi ochrony poczty. Całości konfiguracji usługi OME można dokonać za pośrednictwem konsoli Windows PowerShell wraz z dedykowanym modułem Exchange­OnlineManagement. Jeżeli go nie posiadamy, możemy go w każdej chwili doinstalować i podłączyć się do usługi Exchange Online:


Install-Module ExchangeOnlineManagement
Connect-ExchangeOnline


Następnie powinniśmy zweryfikować stan usługi ochrony, używając polecenia:


Get-IRMConfiguration | select AzureRMSLicensingEnabled


Jeżeli ochrona jest wyłączona, czyli powyższe polecenie zwróci status False, możemy ją włączyć adekwatną komendą:


Set-IRMConfiguration -AzureRMSLicensingEnabled:$true


Dodatkowo rekomendowana jest również aktywacja parametru InternalLicensingEnabled. Będzie on przydatny w dalszej części, m.in. podczas konfigurowania reguł transportowych usługi Exchange Online.

 

Parametr może być aktywowany następującym poleceniem:

 

Set-IRMConfiguration -InternalLicensingEnabled:$true


Aby zweryfikować dostępność usługi OME dla poszczególnych nadawców, przeprowadzamy prosty test, z wykorzystaniem cmdletu (jako parametr nadawcy wskazujemy żądaną osobę):


Test-IRMConfiguration -Sender mgajda@psmvp.org


Powyższe polecenie zweryfikuje stan usługi dla wskazanego użytkownika i zwróci m.in. listę dostępnych szablonów RMS, czyli opublikowanych dla użytkownika etykiet poufności.


Office 365 Message Encryption pozwala na stosowanie trzech szablonów ochrony. Pierwszym z nich są wspomniane już opublikowane etykiety poufności, dziedziczone z ujednoliconych etykiet usługi Azure Information Protection. Pozostałe dwa szablony to predefiniowane dla usługi OME pozycje Zaszyfruj (Encrypt-only) oraz Nie przesyłaj dalej (Do Not Forward). Podgląd wszystkich możliwych do zastosowania szablonów ochrony możemy uzyskać następującym poleceniem:


Get-RMSTemplate


Będzie zawierać ono listę opublikowanych ujednoliconych etykiet poufności, jak i dodatkowe predefiniowane szablony ochrony. Jeżeli nie chcemy wykorzystywać predefiniowanych szablonów, możliwe jest wyłączenie ich w ramach konfiguracji usługi OME:


Set-IRMConfiguration -SimplifiedClientAccessEncryptOnlyDisabled:$true
Set-IRMConfiguration -SimplifiedClientAccessDoNotForwardDisabled:$true


Wszystkie szablony są domyślnie dostępne dla użytkownika w ramach klienta pocztowego Outlook lub dla webowego portalu Outlook Web App, jak możemy to zaobserwować na rys. 1.
Natomiast jeżeli nie chcemy, aby wspomniane szablony były dostępne za pomocą Outlook Web App, możemy je całkowicie wyłączyć:


Set-IRMConfiguration -ClientAccessServerEnabled:$false

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"