V předchozím článku jsme si vysvětlili přínosy OMEv2 a uživatelskou zkušenost na straně odesílatele i příjemce chráněné poštovní zprávy napříč různými poštovními systémy. Nyní se zaměříme na předpoklady využití této služby.

Licenční požadavky

Protože OMEv2 není vlastně nic jiného než praktické využití Azure Information Protection (AIP) ve světě Exchange Online, musíme používat takový plán služeb, který zahrnuje AIP i Exchange Online. Konkrétně se jedná o tyto možnosti:

• Office 365 E3 a vyšší, Office 365 A1 a vyšší, Office 365 US Government Community G3 a vyšší.

  • Office 365 Message Encryption je ale možné snadno dokoupit jako doplněk i k nižším plánům.

  Detailní informace je možné najít v Exchange Online Service Description.

  ---

  ### Kdo a jak může využívat nových možností OMEv2? Využití OMEv2 závisí na době založení Office 365 organizace a na konfiguraci Office 365 Message Encryption a AIP/RMS v minulosti. Snadno se můžeme v jednotlivých scénářích zorientovat podle následujícího popisu: · Pokud jste založili Office 365 organizaci v únoru 2018 a později a máte příslušné licence, novinkou je zapnutí AIP a OMEv2 ve výchozím stavu. · Pokud Vaše Office 365 organizace vznikla před únorem 2018, ale nikdy nedošlo ke konfiguraci OME ani IRM pro Exchange Online, může OMEv2 snadno zapnout skriptem, který budeme popisovat v další části · Pokud používáte Exchange Online v kombinaci s Active Directory Rights Management service (AD RMS), není podporováno přímé zapnutí OMEv2. Nejprve je nutné provést migraci z AD RMS do Azure Information Protection (AIP). Pro tuto migraci můžete využít podporovaný migrační postup [Migrating from AD RMS to Azure Information Protection](file:///C:/Users/ondre/AppData/Local/Temp/Temp1_OMEv2 - 2.dil.zip/OMEv2 - 2.dil/Migrating%20from%20AD%20RMS%20to%20Azure%20Information%20Protection).

  Zapnutí OMEv2

  Zapnout OMEv2 není možné z grafického rozhraní, nicméně Microsoft pro nás připravil jednoduchý Powershell skript, který je možné pouze vzít, tak jak je, a spustit.

  #Connect to the Azure Rights Management service.
  
  $cred = Get-Credential
  
  Get-Command -Module aadrm
  
  Connect-AadrmService -Credential $cred
  #Activate the service.
  
  Enable-Aadrm
  #Get the configuration information needed for message encryption.
  
  $rmsConfig = Get-AadrmConfiguration
  
  $licenseUri = $rmsConfig.LicensingIntranetDistributionPointUrl
  #Disconnect from the service.
  
  Disconnect-AadrmService
  #Create a remote PowerShell session and connect to Exchange Online.
  
  $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
  
  Import-PSSession $session
  #Collect IRM configuration for Office 365.
  
  $irmConfig = Get-IRMConfiguration
  
  $list = $irmConfig.LicensingLocation
  
  if (!$list) { $list = @() }
  
  if (!$list.Contains($licenseUri)) { $list += $licenseUri }
  #Enable message encryption for Office 365.
  
  Set-IRMConfiguration -LicensingLocation $list
  
  Set-IRMConfiguration -AzureRMSLicensingEnabled $true -InternalLicensingEnabled $true
  #Enable the Protect button in Outlook on the web (Optional).
  
  Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
  #Enable server decryption for Outlook on the web, Outlook for iOS, and Outlook for Android.
  
  Set-IRMConfiguration -ClientAccessServerEnabled $true

  Pro hlubší diagnostiku o tom, zda aktuálně máte OME ve Vaší Office 365 konfiguraci zapnuté, v jaké verzi, jaké šablony ochrany jsou aktuálně uživatelům k dispozici atp. doporučuji využít následující vícefunkční skript Office Message Encryption Configuration and Troubleshooting, který naleznete v Technet Gallery.

Obrázek 1 Diagnostika nastavení OME

Obrázek 2 Zobrazení konfigurace šablon zabezpečení

Porovnání možností OMEv1, RMS/AIP a OMEv2

OMEv2 vlastně kombinuje výhody a funkce jak původní verze OMEv1, tak RMS/AIP. Pro ty z Vás, kteří právě přemýšlí nad tím, zda má smysl přejít z původních technologií na moderní OMEv2, přikládám níže přehlednou tabulku se srovnáním jednotlivých možností.

Obrázek 3 Porovnání možností jednotlivých technologií pro ochranu poštovních zpráv

Automatická ochrana zpráv pomocí OMEv2

Jak je uvedeno v předchozí srovnávací tabulce, ochranu pomocí OMEv2 může vyvolat ručně uživatel, resp. odesílatel zprávy z prostředí Outlook for PC/Mac nebo Outlook on the web. Kromě toho ale má organizace možnost pomocí konfigurace transportních pravidel v Exchange Online ochranu vynutit automaticky, pokud jsou splněny definované podmínky. Podmínkou může být mimo jiné i detekce citlivých informací ať už v těle zprávy nebo v některé z příloh. Na obrázku je příklad automaticky vynucené ochrany. Pravidlo říká:

• Pokud je ve zprávě nalezeno rodné číslo

  • A pokud je zpráva určena příjemci mimo organizaci
  • Aplikuj Office 365 Message Encryption založenou na šabloně „Do Not Forward“.

  

  Obrázek 4 Transportní pravidlo s podporou OMEv2

  Závěr

  Nasadit a začít používat Office 365 Message Encryption, třeba pro začátek jen pro pilotní skupinu uživatelů, můžete prakticky ještě dnes a myslím, že to opravdu stojí za to. Možnost poslat komukoliv na světě chráněnou zprávu se zachováním komfortu uživatelů, to je něco, po čem zákazníci volají už opravdu velmi dlouho. A díky inovacím Office 365 můžeme tento požadavek dnes konečně velmi rychle splnit. Miroslav Knotek, KPCS CZ, knotek@kpcs.cz KPCS CZ, s.r.o. je přední českou firmou specializující se na nasazení, správu a podporu informačních technologií, primárně zaměřenou na produkty společnosti Microsoft. Jako systémový integrátor poskytuje kvalitní podniková řešení na této platformě, která jsou v pravidelných intervalech hodnocena prvními příčkami v soutěžích Microsoft Awards. KPCS CZ disponuje předními odborníky na problematiku veřejného cloudu, tedy služeb Office 365 a Azure, ale i technologií privátního cloudu Windows Server, Hyper-V a produktů rodiny System Center.