Настройка шифрования сообщений
Шифрование сообщений Microsoft Purview позволяет организациям обмениваться защищенными сообщениями с кем угодно с любого устройства. Пользователи могут обмениваться защищенными сообщениями с другими организациями Microsoft 365, а также с организациями, использующими Outlook.com, Gmail и прочие почтовые службы.
Выполните приведенные ниже действия, чтобы убедиться, что шифрование сообщений Microsoft Purview доступно в вашей организации.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Проверьте, активна ли служба Azure Rights Management
Шифрование сообщений Microsoft Purview использует функции защиты в службах Azure Rights Management (Azure RMS), технологии, используемой azure Information Protection для защиты электронной почты и документов с помощью средств шифрования и управления доступом.
Единственное обязательное условие для использования шифрования сообщений Microsoft Purview — служба управления правами Azure должна быть активирована в клиенте вашей организации. В таком случае Microsoft 365 автоматически активирует шифрование сообщений, а от вас не потребуется никаких действий.
Кроме того, служба Azure RMS автоматически активируется для большинства соответствующих планов. В этом случае от вас тоже не потребуется никаких действий. Дополнительные сведения см. в статье Активация службы управления правами Azure.
Важно!
Если вы используете службу управления правами Active Directory (AD RMS) в Exchange Online, перед использованием шифрования сообщений необходимо перейти на службу Azure Information Protection. Шифрование сообщений Microsoft Purview несовместимо с AD RMS.
Дополнительные сведения см. в указанных ниже статьях.
- Вопросы и ответы о шифровании сообщений Эта статья поможет вам убедиться, что ваш план подписки включает службу Azure Information Protection (которая включает функции Azure RMS).
- Сведения о приобретении соответствующей подписки см. в статье Azure Information Protection.
Активация службы управления правами Azure вручную
Если вы отключили службу Azure RMS или по какой-либо причине она не была активирована автоматически, вы можете активировать ее вручную.
Инструкции см. в разделе Активация или подтверждение состояния службы защиты.
Настройка управления ключом клиента для службы Azure Information Protection
Это действие не является обязательным. По умолчанию корпорации Майкрософт разрешено управлять корневым ключом для службы Azure Information Protection. Этот вариант рекомендуется для большинства организаций. В таком случае от вас не требуется никаких действий.
Существует множество причин, по которым вам может потребоваться создать собственный корневой ключ (BYOK) и управлять им, например, обеспечение соответствия требованиям. В таком случае перед настройкой шифрования сообщений Microsoft Purview рекомендуется выполнить необходимые действия. Дополнительные сведения см. в статье Планирование и реализация ключа клиента Azure Information Protection.
Проверка конфигурации шифрования сообщений Microsoft Purview в Exchange Online PowerShell
Вы можете убедиться, что клиент Microsoft 365 правильно настроен для использования шифрования сообщений Microsoft Purview с помощью Exchange Online PowerShell.
Подключитесь к Exchange Online PowerShell с помощью учетной записи с разрешениями глобального администратора в клиенте Microsoft 365.
Запустите командлет Get-IRMConfiguration.
Вы должны увидеть значение
$True
параметра AzureRMSLicensingEnabled, указывающее, что в вашем клиенте настроено шифрование сообщений Microsoft Purview. Если это не так, используйте Set-IRMConfiguration, чтобы задать для AzureRMSLicensingEnabled значение$True
для включения шифрования сообщений Microsoft Purview.Запустите командлет Test-IRMConfiguration, используя приведенный ниже синтаксис.
Test-IRMConfiguration [-Sender <email address> -Recipient <email address>]
Пример.
Test-IRMConfiguration -Sender [email protected] -Recipient [email protected]
Используйте электронный адрес любого пользователя в клиенте Microsoft 365 для отправителя и получателя.
Результаты должны выглядеть примерно так:
Results : Acquiring RMS Templates ... - PASS: RMS Templates acquired. Templates available: Contoso - Confidential View Only, Contoso - Confidential, Do Not Forward. Verifying encryption ... - PASS: Encryption verified successfully. Verifying decryption ... - PASS: Decryption verified successfully. Verifying IRM is enabled ... - PASS: IRM verified successfully. OVERALL RESULT: PASS
Название вашей организации заменит Contoso.
Заданные по умолчанию имена шаблонов могут отличаться от указанных выше. Дополнительные сведения см. в статье Настройка шаблонов для Azure Information Protection и управление ими.
В случае сбоя теста с сообщением об ошибке Не удалось получить шаблоны RMS, выполните следующие команды и командлет Test-IRMConfiguration, чтобы убедиться, что он пройден. Подключите модуль AIPService для запуска командлета.
$RMSConfig = Get-AipServiceConfiguration $LicenseUri = $RMSConfig.LicensingIntranetDistributionPointUrl Set-IRMConfiguration -LicensingLocation $LicenseUri Set-IRMConfiguration -InternalLicensingEnabled $true
Выполните командлет Remove-PSSession, чтобы отключиться от службы управления правами.
Remove-PSSession $session
Дальнейшие действия. Определение правил потока обработки почты для использования шифрования сообщений Microsoft Purview
Если правила потока обработки почты для шифрования почты в организации уже настроены, их необходимо обновить для использования шифрования сообщений Microsoft Purview. Для выполнения новых развертываний необходимо создать новые правила потока обработки почты.
Важно!
Если не обновить существующие правила потока обработки почты, пользователи будут и дальше получать зашифрованные сообщения с вложениями в формате HTML без новых возможностей.
Правила потока обработки почты определяют, при каких условиях нужно шифровать электронную почту, а также условия для отмены такого шифрования. Если задать действие для правила, все сообщения, которые удовлетворяют его условиям, будут шифроваться при отправке.
Дополнительные сведения о создании правил потока обработки почты для шифрования сообщений см. в статье Определение правил потока обработки почты для шифрования сообщений в Office 365.
Чтобы обновить существующие правила для использования шифрования сообщений Microsoft Purview:
- В Центре администрирования Microsoft 365 выберите Центры администрирования>Exchange.
- В Центре администрирования Exchange перейдите в раздел Правила потока обработки почты>.
- Повторите представленную ниже процедуру для каждого правила в разделе Выполнить следующие действия.
- Выберите Изменить безопасность сообщения.
- Выберите Применить шифрование сообщений Office 365 и защиту с помощью прав.
- Выберите Шифровать в списке шаблонов RMS.
- Нажмите кнопку Сохранить.
- Нажмите кнопку ОК.