Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Ochrona wiadomości Office 365

Data publikacji: 24-09-2020 Autor: Michał Gajda

Jedną z ważniejszych usług w każdej organizacji jest firmowa poczta. To właśnie tym kanałem następuje główny przepływ informacji – zarówno wewnątrz przedsiębiorstwa, jak i poza nim. Nierzadko zdarza się, iż użytkownicy dołączają do korespondencji wiadomości poufne oraz dane, które powinny podlegać szczególnej ochronie.

 

Zapewnienie prostych mechanizmów zabezpieczenia wiadomości e-mail nie musi być trudne. W usłudze Office 365 stosowane jest na przykład szyfrowanie poczty mechanizmami PGP czy S/MIME. Możliwe jest również wdrożenie innego rozwiązania, czyli Office 365 Message Encryption. Rozszerza ono funkcjonalność poczty elektronicznej o dodatkowe mechanizmy ochrony danych – wszystko za sprawą stosowania dodatkowych reguł szyfrowania i autoryzacji. Dzięki temu możemy mieć pewność, że dostęp do wiadomości uzyskają jedynie upoważnione osoby.


> Mechanizmy OME

 

Message Encryption korzysta z innej usługi ochrony, czyli z AzureRMS, który to z kolei wchodzi w skład usługi Azure Information Protection. Dlatego, aby móc wykorzystywać mechanizm OME, konieczna jest wcześniejsza aktywacja owej usługi. Można tego dokonać w prosty sposób, za pomocą portalu zarządzania usługą Office 365. W Ustawieniach organizacji (Org settings) odnajdujemy usługę Microsoft Azure Information Protection, następnie przechodzimy do witryny zarządzania usługą i aktywujemy ją.

 

Tym sposobem stosujemy dodatkowe mechanizmy ochrony wiadomości. W ramach wspominanej metody użytkownik końcowy dostaje sposobność zastosowania szyfrowania wiadomości, ograniczenia możliwości przesyłania wiadomości dalej czy też możliwość obsługi wiadomości chronionych opublikowanymi etykietami poufności usługi Azure Information Protection.
Aby było możliwe wykorzystywanie OME w ramach swojej dzierżawy usług chmurowych, konieczne jest posiadanie licencji odpowiednich dla wszystkich użytkowników końcowych korzystających z usługi. Mogą to być m.in.: Office 365 Enterprise E3, Microsoft Enterprise E3, Microsoft 365 Business Premium, Office 365 A1 lub Office 365 Government G3. Oczywiście akceptowane są również wyższe odpowiedniki wspomnianych licencji.

 

W przypadku posiadania innych licencji na usługę Exchange Online, jak na przykład pojedyncza usługa Exchange
Online Plan 1 czy Office 365 Enterprise E1, konieczne jest posiadanie dodatkowej licencji, jaką jest Azure Information Protection Plan 1. Wiadomości chronione za pomocą mechanizmów OME mogą być natywnie otwierane za pomocą narzędzi do obsługi poczty dostarczanej przez producenta, czyli firmę Microsoft. W ramach tych narzędzi znajdziemy klasyczną aplikację Outlook, Outlook for Mac, Outlook Mobile zarówno na platformę iOS, jak i Android. Wspierana jest również możliwość obsługi wiadomości za pomocą webowej aplikacji Outlook Web App. W przypadku wysyłania wiadomości poza organizację możliwość obsługi wiadomości zapewniana jest z wykorzystaniem dedykowanego webowego portalu OME. Dzięki niemu możliwe jest odczytanie zaszyfrowanej wiadomości praktycznie z dowolnej platformy sprzętowej. Dodatkowo portal pozwala również na kontynuowanie konwersacji poprzez możliwość odpowiadania na wiadomości.

 

> Aktywacja i możliwości ochrony


Funkcjonalności Office 365 Message Encryption domyślnie są nieaktywne w ramach usługi Exchange Online. Dlatego aby z nich skorzystać, konieczna jest aktywacja omawianej usługi ochrony poczty. Całości konfiguracji usługi OME można dokonać za pośrednictwem konsoli Windows PowerShell wraz z dedykowanym modułem Exchange­OnlineManagement. Jeżeli go nie posiadamy, możemy go w każdej chwili doinstalować i podłączyć się do usługi Exchange Online:


Install-Module ExchangeOnlineManagement
Connect-ExchangeOnline


Następnie powinniśmy zweryfikować stan usługi ochrony, używając polecenia:


Get-IRMConfiguration | select AzureRMSLicensingEnabled


Jeżeli ochrona jest wyłączona, czyli powyższe polecenie zwróci status False, możemy ją włączyć adekwatną komendą:


Set-IRMConfiguration -AzureRMSLicensingEnabled:$true


Dodatkowo rekomendowana jest również aktywacja parametru InternalLicensingEnabled. Będzie on przydatny w dalszej części, m.in. podczas konfigurowania reguł transportowych usługi Exchange Online.

 

Parametr może być aktywowany następującym poleceniem:

 

Set-IRMConfiguration -InternalLicensingEnabled:$true


Aby zweryfikować dostępność usługi OME dla poszczególnych nadawców, przeprowadzamy prosty test, z wykorzystaniem cmdletu (jako parametr nadawcy wskazujemy żądaną osobę):


Test-IRMConfiguration -Sender mgajda@psmvp.org


Powyższe polecenie zweryfikuje stan usługi dla wskazanego użytkownika i zwróci m.in. listę dostępnych szablonów RMS, czyli opublikowanych dla użytkownika etykiet poufności.


Office 365 Message Encryption pozwala na stosowanie trzech szablonów ochrony. Pierwszym z nich są wspomniane już opublikowane etykiety poufności, dziedziczone z ujednoliconych etykiet usługi Azure Information Protection. Pozostałe dwa szablony to predefiniowane dla usługi OME pozycje Zaszyfruj (Encrypt-only) oraz Nie przesyłaj dalej (Do Not Forward). Podgląd wszystkich możliwych do zastosowania szablonów ochrony możemy uzyskać następującym poleceniem:


Get-RMSTemplate


Będzie zawierać ono listę opublikowanych ujednoliconych etykiet poufności, jak i dodatkowe predefiniowane szablony ochrony. Jeżeli nie chcemy wykorzystywać predefiniowanych szablonów, możliwe jest wyłączenie ich w ramach konfiguracji usługi OME:


Set-IRMConfiguration -SimplifiedClientAccessEncryptOnlyDisabled:$true
Set-IRMConfiguration -SimplifiedClientAccessDoNotForwardDisabled:$true


Wszystkie szablony są domyślnie dostępne dla użytkownika w ramach klienta pocztowego Outlook lub dla webowego portalu Outlook Web App, jak możemy to zaobserwować na rys. 1.
Natomiast jeżeli nie chcemy, aby wspomniane szablony były dostępne za pomocą Outlook Web App, możemy je całkowicie wyłączyć:


Set-IRMConfiguration -ClientAccessServerEnabled:$false

 

[...]

 

Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"