（）のブログ

MS、IT

Office365 Exchange Onlineの添付暗号化が新しくなったようです

Exchange Office365

Office 365 のExchange Onlineには、添付ファイルの暗号化機能があります。

これがパワーアップして、一般メッセージの暗号化に対応したようです。

細かな手法は以下のサイトにありますが、Azure RMSの有効化のあと、Exchange配送ルールで設定を決めていきます。

Set up new Office 365 Message Encryption capabilities built on top of Azure Information Protection - Office 365

How do I open a protected message? - Office Support

Learn about protected messages in Office 365 - Office Support

早速設定を行ってみましょう。

まずはAzure Rights Management Administration Toolをダウンロードし、以下スクリプトを動かします。

Azure Rights Management Administration Toolはここからダウンロードできます。

Download Azure Rights Management Administration Tool - 日本語 from Official Microsoft Download Center

このスクリプトは編集なども不要で、そのままPowerShellから動かしましょう。
ログインは聞かれるので、テナントの管理者で。

$cred = Get-Credential
Get-Command -Module aadrm
Connect-AadrmService -Credential $cred
Enable-Aadrm
$rmsConfig = Get-AadrmConfiguration
$licenseUri = $rmsConfig.LicensingIntranetDistributionPointUrl
Disconnect-AadrmService
$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $session
$irmConfig = Get-IRMConfiguration
$list = $irmConfig.LicensingLocation
if (!$list) { $list = @() }
if (!$list.Contains($licenseUri)) { $list += $licenseUri }
Set-IRMConfiguration -LicensingLocation $list
Set-IRMConfiguration -AzureRMSLicensingEnabled $true -InternalLicensingEnabled $true
Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
Set-IRMConfiguration -ClientAccessServerEnabled $true

f:id:mohessu:20180304191220p:plain

細かな設定を行っていなければ最後はWARNINGで終わります。

その後、Exchange管理センターより、メールフロー-ルールを選択して、ルールの新規作成を行います。

f:id:mohessu:20180304191119p:plain

ルール作成時に実行する処理の中で、メッセージのセキュリティを変更する-Office 365 Message Encryptionと権利保護を適用するを選択、適用するセキュリティのテンプレートを決めれば完了です。

f:id:mohessu:20180304191624p:plain

あとは普通にメールを送るだけ。

GmailやYahooメール、Office365同士で動作を試してみました。

f:id:mohessu:20180304172418p:plain

まずはGmail。メッセージを受信するとメッセージへのリンクが。

f:id:mohessu:20180304172849p:plain

クリックすると、outlook.office365.comへのアクセスが始まります。

フェデレーションを利用して、ユーザーを特定する動きになるのですね。
これはいい考え方です。

f:id:mohessu:20180304171909p:plain

その後はRMSの動作です。
標準のテンプレートは外部には公開できないので当然のようにアクセス許可なし。

f:id:mohessu:20180304172100p:plain

右上のサインアウトを押すと、保護メッセージポータル（このメッセージのあるサイト）か、Googleからもサインアウトするの2種から選択することができるようです。

f:id:mohessu:20180304172153p:plain

今度はYahoo。

受信メッセージは同じですね。

f:id:mohessu:20180304172612p:plain

ログインはYahoo IDを利用するように。と、誘導されました。

これもフェデレーション可能なサイトだからでしょうか。

f:id:mohessu:20180304172821p:plain

Yahooの場合は、フェデレーションIDを入力すると、、、

f:id:mohessu:20180304173840p:plain

サインインの画面に戻ってしまいました。永久ループに。
権限がないからですかねぇ。

f:id:mohessu:20180304172821p:plain

Office365内であれば、メッセージ保護ポータルには飛ばされずに、直接開ける状態となりました。

f:id:mohessu:20180304184555p:plain

権限テンプレートの個所はこれでいいのかちょっと迷いましたが、
この相手のメールボックスによって動作が変わるのは新鮮ですね。
メッセージの横取りみたいなものへの対処であれば、権限の確認などなく動作してくれるとよいのですが、誤送信を含めた中身の保護であればこの形もうなずけるところです。

両方に対応できるように改変されて行ってもらうと更に使いどころが出てきそうですよね。

なお、この機能を利用するには、Azure RMSのライセンスが必要なので利用時は注意しましょう。

音楽：Feel the circle