【Microsoft Purview】メールの暗号化 Part2

Microsoft Purview

前回に引き続きMicrosoft Purviewを利用したメールの暗号化方法についてです。
前回は秘密度ラベルを利用した方法とMicrosoft Purview Message Encryptionを利用した方法について紹介したので、今回はその暗号化方法を利用するオプションやよく質問されることなどをまとめてみます。

内容に合わせてメールを暗号化

前回はメールの中に重要な内容が含まれていると自分で気が付いたときは自分で暗号化設定できるよ!という話でしたが、では重要な内容が含まれていると気が付いていなかったらどうなるでしょうか?
普通だったらそのまま送信されてしまうのですが、Exchange Onlineのメールフロールールではメールの送受信時に重要な内容が含まれていると判断すれば自動的に暗号化することができます。

この画面はExchange Admin Centerから メールフロー > ルールにアクセスし、ルールを作成した画面です。ここでは

・件名または本文に「Credit」という文字が入っていたら
・Office 365 Message Encryptionのメッセージセキュリティを実装し、Do Not Forward (転送禁止) の暗号化レベルを設定

というルールを定義しています。

image

このようなルールを作成したら、あとはルールを有効化するだけで、条件に合致するメールは自動的に暗号化されます。なお、Do Not Forwardの設定は日本語だと「転送不可」と表示されるMicrosoft Purview Message Encryptionのテンプレートを流用したものですが、この設定画面では秘密度ラベルを流用することも可能です。

image

PowerShellからメール暗号化の詳細設定

秘密度ラベルに関する設定はMicrosoft Purview管理センター画面からカスタマイズできますが、Microsoft Purview Message Encryptionの設定はほとんどGUIの設定画面がありません。もしMicrosoft Purview Message Encryptionの設定を行う場合はPowerShellから設定を行います。Microsoft Purview Message Encryptionなのに、なぜか設定はExchange Online PowerShellを使います。

■モジュールのインストール
Install-Module -Name ExchangeOnlineManagement

■Exchange Online PowerShellへの接続
Connect-ExchangeOnline

接続できたら Get-IRMConfiguration コマンドレットを実行するとMicrosoft Purview Message Encryptionの設定を確認できます。

image

ここに記載のオプションのうち、いくつかを紹介します。

■LicensingLocation 項目
ライセンス発行の場所を示すURLを表します。ライセンス発行とは暗号化されたデータを復号するためのカギをとってくると捉えていただくとわかりやすいと思います。クラウドプロキシでURLアクセスがブロックされていたりするとアクセス許可があるのにメールが開けないみたいなことになります。

■SearchEnabled 項目
暗号化されたコンテンツが検索結果に表示されるかを定義した項目です。もちろんアクセス許可があるユーザーが検索しないと表示されないわけだけど、暗号化しなきゃいけないようなデータが検索結果に出ちゃうっていいの?というのは検討の余地があるでしょう。

■InternalLicensingEnabled / ExternalLicensingEnabled 項目
それぞれ内部受信者、外部受信者にライセンス発行するか?を定義するものです。これを無効にすると暗号化したメールを送信しても相手はカギを受け取れないため、メールを開けなくなります。つまりこの設定を利用することで暗号化の機能が利用できる範囲の設定できるのです。
これらの設定を変えるときは Set-IRMConfiguration コマンドレットを使って変更します。

続いて Get-OMEConfiguration コマンドレットも見てみましょう。

image

こちらは暗号化が設定されたメールを開くときのオプションが中心に項目が用意されています。

■ExternalMailExpiryInterval 項目
暗号化が設定されたメールを開くことができる日数が入ります。暗号化されたメールを開くカギを一定期間たったら渡さないようにすることでコントロールしています。

■SocialIdSignIn 項目
メールアクセス時のサインインにソーシャルIdPを利用したサインインを利用させるか?OTPEnabled 項目はワンタイムパスワードを利用させるか?を表します。ともに前回登場した、この画面の設定項目を表していますね。

こちらも設定変更するときは Set-OMEConfiguration コマンドレットを利用します。

【FAQ】メールを暗号化したら添付ファイルも暗号化される?

最後にとてもよくいただくご質問を。
秘密度ラベルまたはMicrosoft Purview Message Encryptionでメールを暗号化したら、そこに添付されているファイルも暗号化されるの?です。これはOfficeアプリケーションで作られたファイルが添付されていればメールに設定したラベル(テンプレート)に沿ったアクセス制御が適用されます。こちらは転送不可を設定したメールに添付されていたファイルに適用されたアクセス制御設定です。コピーや印刷などの操作が禁止されていることがわかります。

image

一方、PDFファイルの場合、Get-IRMConfiguration コマンドレットの設定にもある EnablePdfEncryption 項目の設定がFalseになっているとPDFは暗号化されません。
そこでPDFの添付ファイルも暗号化したいときは

■PDFファイルの暗号化の有効化
Set-IRMConfiguration -EnablePdfEncryption $true

を実行してOfficeアプリケーションと同様に暗号化されるように構成しましょう。
この設定を行った上でPDFファイルを添付すると、ご覧のようなアクセス制御設定が適用されます。こちらもOfficeアプリケーションと同じようにコピーや印刷などの操作が禁止されていることがわかります。

image
最後はとりとめもない感じになってしまったけど、お役に立てれば幸いです。

Suguru KUNII