Office 365とAzure Information Protectionでメール自動暗号化

最近、Office 365をご利用のお客様がAzure Information Protection(以下、AIP)をご契約されることが増えてきています。
あるOffice 365をご契約のお客様がAIPをご検討されており、以下のようなご質問をいただいました。

「社員に社外へメールを送るときには暗号化をするように言ってもきっと忘れちゃうんだよね‥。メール送るときに自動で暗号化させたいんだけど」

自動暗号化というキーワードでAIPの機能を見ていると実装不可能?と思いがちなのですが、今回のようにOffice 365(Exchange Online)をご利用いただいていれば実現可能なんです。

事前準備

必要なライセンス:Exchange Online およびAIP P1

最初に行う設定:AIPの有効化のため以下のPowerShellを実行します。

Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
Set-IRMConfiguration -RMSOnlineKeySharingLocation “https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc”
Import-RMSTrustedPublishingDomain -RMSOnline -Name “RMS Online”
※アジア以外の地域の場合や詳細は以下のURLをご参照ください。
※PowerShellが反映されるまでにタイムラグが(けっこう)必要な場合もあります

Exchange 管理センターからルールを設定

[メールフロー]-[ルールの新規作成]で新しいルールを作成します。「メッセージのセキュリティを変更する」からメッセージの暗号化を選択できます。

また、どのようなときに暗号化するかという設定も状況に応じて選択できます。

管理者が設定さえしておけば、社員は無意識に暗号化されたメールを送信することができます。
送信先のメールアドレスはとくに選ぶことがないので、安心ですね。

送信者の対応

では送信者にはどのように届くかというと、暗号化されているというメッセージとともにHTMLファイルが添付されたメールが届きます。

HTMLファイルをクリックすると、マイクロソフトアカウントでサインインする画面が表示されます。もしマイクロソフトアカウントがなく、作成したくない場合にはワンタイムパスコードでの利用も可能です。


これなら送信された側もユーザーも大きな負担はかかりませんね。
Office 365 同様、AIPも試用版の利用が可能ですので、ぜひお試しください。

RMS暗号化ファイルのオフラインでの利用

最近お客様より以下の様なご質問をいただくことがありました。

「RMSで暗号化されたファイルを解読するのは常にオンラインである必要があるか?」
ということです。

通常、相手が解読できる相手かどうか認証するためにオンラインである必要がありますが、テンプレートを利用すると指定した日数についてはオフラインでの解読が可能となります。
指定された日数の間は資格情報がキャッシュされた状態が保たれるわけですね。

以下、手順です。
事前にOffice 365管理画面で、Rights Managementを有効化しておきましょう。
※Office 365 管理画面でのActive化とともにPowerShellの実行が必要です。

設定ーアプリーMicrosoft Azure Information Protection ーMicrosoft Azure Information Protection の設定の管理から行います。
Azure クラシックポータルにて該当ディレクトリを選択し、[RIGHTS MANAGEMENT] を選択します。

[管理]ー[新しい権利ポリシーテンプレートを作成する]にてテンプレートを作成します。

[権利テンプレートの管理] より作成したテンプレートを選択し、[ユーザーおよびグループの権限の構成]にて[作業の開始]をクリックします。

[構成]タブをクリックし、[オフライン] – [インターネットに接続せずにコンテンツを利用できる日数]をチェックし、日数を入力します。

[状態]から[発行] をクリックし、[保存]をクリックします。

[権限]タブよりユーザーに該当する権限を付与します。今回はすべての権限(共同所有者の権限を付与しました)

[スコープ]タブより該当するユーザーを追加します。
有効化・反映されるまで数分~数時間かかることもありますので気長にまちましょう。メールを作成する際に作ったテンプレートを指定します。

 

テンプレートを利用したカスタマイズ、ぜひお試しください。