הצפנת הודעות ב Office 365 בעזרת IRM

הקדמה

 

שירות הצפנת הודעות באופיס 365 הוא שירות אשר בנוי על תשתיות ה Azure Rights Management או Azure RMS.

כאשר מופעל שרות ה Azure Rights Management ניתן לבצע הצפנה של פרטי דואר באחת מ 2 הדרכים הבאות:

  1. מנהלי מערכת יכולים להפעיל את הצפת המיילים בעזרת "חוקי תעבורת מיילים" ובהם להתאים את התנאים להצפנת ההודעות. לדוגמה – ניתן ליצור חוק הדורש שכל מייל הנשלח למשתמש מסוים יהיה מוצפן. כאשר משתמש שולח מייל התואם את התנאים של ה"חוק", ההודעה מוצפנת ונשלחת עם קובץ מצורף עם HTML.
  2. משתמשים יכולים להצפין הודעות, ואו לשלוח הודעות אשר לא ניתן להעביר באופן עצמאי ב OWA ו OUTLOOK.

על מנת שיוכל לפתוח את ההודעה, המקבל יצטרך לפתוח את הקישור המצורף בהודעה המוצפנת ומשם לעקוב אחר הוראות ההזדהות. לאחר מכן במידה והמשתמש הזדהה בהצלחה, יתאפשר לו לקרוא את תוכן ההודעה בפורטל ההצפנה של אופיס 365.

מקבל ההודעה יכול לבחור האם להזדהות עם חשבון מיקרוסופט, חשבון העבודה המקושר לאופיס 365 או שימוש בקוד חד פעמי.

שתי שיטות ההזדהות הללו מבטיחות שרק מקבל ההודעה הרצוי יוכל לפצח את ההודעה ולצפות בה.

בדיאגרמה בכותרת נוכל לראות את "הדרך" שעוברת ההודעה מתהליך ההצפנה ועד הפיצוח.

 

ההתקנה וההפעלה של שירות הצפנת ההודעות של אופיס 365 היא פשוטה.

יש לעקוב אחר שלושת השלבים הללו –

 

  1. הפעלת Azure Rights Management.
  2. התקנת Azure Rights Management עבור Exchange online.
  3. יצירת Transport Rule לאכיפה של הצפנת ההודעות.
  • על מנת שיהיה ניתן להשתמש בשירות יש לוודא ש Outlook בגרסה העדכנית ביותר!

 

שלב 1

 

הפעלת Azure Rights Management for office 365 message encryption.

 

נכנס לקישור הבא

ונפעיל את ה Rights Management

 

 

 

שלב 2

 

הפעלת השירות הצפנה ההודעות לאופיס 365 בPowershell.

 

  1. Open PowerShell as administrator
  2. נקיש את הפקודה הבאה להתחברות ל356

 

Set-ExecutionPolicy RemoteSigned
$cred = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic –AllowRedirection
Import-PSSession $Session

 

נלחץ על Y ו Enter.

נתחבר עם משתמש וסיסמת Global Administrator של אופיס 365.

 

 

 

  1. נוודא ש IRM כבר לא מוגדר ע"י הקשת הפקודה הבאה –

 

Get-IRMConfiguration

 

  1. הפעלת אפשרות ההצפנה ב IRM –

 

Set-IRMConfiguration -InternalLicensingEnabled $true

*ניתן להתעלם מההודעה המוצגת.

 

 5. נגדיר את מיקום התעודה ל RMS בהתאם למיקום שלנו בעולם –

 

Set-IRMConfiguration -RMSOnlineKeySharingLocation “Location”

 

Location RMS key sharing location
North America https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc
European Union https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc
Asia https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc
South America https://sp-rms.sa.aadrm.com/TenantManagement/ServicePartner.svc
Office 365 for Government https://sp-rms.govus.aadrm.com/TenantManagement/ServicePartner.svc1

 

 6. נייבא את ה TDP מ RMS Online –

Import-RMSTrustedPublishingDomain -RMSOnline -name "RMS Online"

 

7. נוודא שההפעלה הושלמה בהצלחה –

 

Test-IRMConfiguration –sender admin@domain.com

 

  • במידה ונרצה נוכל לבטל את אפשרויות ה IRM למשתמשים ב OWA ו OUTLOOK ע"י הפקודה הבאה –

 

Set-IRMConfiguration -ClientAccessServerEnabled $false

 

שלב 3

 

הגדרת הצפנה בהודעות מייל ב OWA בעזרת IRM

 

נכנס לOWA ובעת יצירת מייל חדש נכנס ללשונית Protect ו Change Permission. בתפריט הבא נבחר מה ברצוננו לבצע במייל זה.

 

 

 

נוכל לבצע את הפעולות גם ב Outlook

 

במידה וביטלנו את האפשרות של המשתמשים לעשות זאת מה OWA אופציית ה Protect  תהיה כבויה

 

שלב 4

 

יצירת Exchange Rules להצפנת הודעות

 

נכנס ל Admin Center – Exchange

 

Mail Flow – Rules

 

לאחר מכן נלחץ על ה + ונגדיר חוק חדש האומר שכל הודעה הגדולה מ 2MB תוצפן באופן אוטומטי

 

דוגמה נוספת היא חוק האומר שכל הודעה עם המילה Encrypt בכותרת, תוצפן.

נבדוק שהחוקים פעילים –

 

נעשה בדיקה האם החוקים עובדים ע"י יצירת הודעה חדשה עם המילה encrypt –

 

 

ההודעה שהתקבלה מוצפנת ע"י RMS

 

למידע נוסף בנושא –

 

What is Azure Information Protection?

https://docs.microsoft.com/en-us/azure/information-protection/understand-explore/what-is-information-protection

 

By: Aviel Ben Atar