Microsoft 365 データ損失防止と暗号化されたメッセージタイプの例外

暗号化、署名、およびアクセス許可制御された電子メールの処理

最近の質問 マイクロソフト テクニカル コミュニティ データ損失防止 (DLP) ポリシーについて 暗号化メッセージ、アクセス許可制御メッセージ、および署名付きメッセージの違いについて説明しました。この場合、DLP ポリシー規則には、機密データを含むメッセージが暗号化されている場合に渡すことを許可する例外が含まれていました。ただし、Office 365 メッセージの暗号化 (OME) または機密ラベルで保護されたメッセージに対して例外はトリガーされませんでした。ザ 電子メールの例外に関するドキュメント 多くの洞察を加えませんでした。

電子メールの暗号化は何年も前から存在しています。S/MIME と PGP は、一般的に使用される電子メール暗号化テクノロジの 2 つの例です。まずは Exchange Server 2003 でサポートされています。、メッセージの暗号化と署名のための S/MIME サポートは Exchange Online ではまだ利用可能ただし、テナントは、ユーザーへの S/MIME の展開と管理の詳細を担当する必要があることに注意してください。

マイクロソフトは、OME および機密ラベル テクノロジが S/MIME の直接の競合相手であることを認めています。これらの製品は、 Azure Rights Management 公開鍵技術ではなく。Office 365 テナントの場合、Microsoft の保護は展開と管理が容易であり、受信側組織がアクションを実行することなく、他の Microsoft 365 テナントおよび外部ドメインに送信される電子メールを暗号化できます。

それも可能です 権限管理保護の代わりに S/MIME を使用するように機密ラベルを構成する.これは、統一されたラベル付けクライアント (および Azure Information Protection ライセンス) を必要とする機密ラベルのカスタム構成です。私はこの施設を使用したことがなく、実際にどれほどうまく機能するかはわかりません。

DLP の電子メールの例外

これらすべてから、DLP ルールで使用できる電子メール メッセージの種類の例外のセットについて説明します (図 1)。Microsoft がサービス全体のデータ損失防止機能の開発を開始したとき、Microsoft 365 DLP ポリシーで使用できる一連のアクション、例外、および条件は、Exchange Online DLP よりも電子メールで制限されていました。時間が経つにつれて、Microsoft 365 DLP 処理機能はますます向上しました。ルール処理で使用可能な例外を組み出すことは、改善が行われた場所の例です。1 年ほど前、テナントは機能を失うことなく、データ損失防止の焦点を Exchange Online トランスポート ルール (ETR) から Microsoft 365 DLP に移行できました。

電子メールのデータ損失防止ルールの例外
図 1: 電子メールの DLP ルールの例外

オンプレミスとクラウドの両方の電子メールワークロードで同じ DLP 処理を維持したい以外に、Microsoft 365 内で ETR を使用し続ける明白な理由はわかりません。ただし、一部の組織では、Microsoft 365 DLP ポリシーに移行するためにかなりの労力を必要とする非常に複雑な DLP ルールがあります。場合によっては、これらのテナントは、強制的に移動するまで ETR を使用し続けます。

図 1 からわかることは、DLP 例外に使用できるメッセージの種類は次のとおりです。

  • 署名付きメッセージ (S/MIME によって適用されるデジタル署名)。
  • 暗号化されたメッセージ (S/MIME)。これを見る Exchange 2010 のドキュメント.
  • アクセス許可の制御 (権限管理)。

アクセス許可の制御は奇妙な用語です。権限管理は、コンテンツを操作するためのアクセス許可をユーザーまたはグループに付与することがすべてであるため、なぜこれが使用されるのか理解できますが、この用語は管理者に権限管理を意味することを伝えません。しかし、それはそうです、そして、権利管理が電子メールを暗号化することができるという事実にもかかわらず、 暗号化 例外は、OME または機密ラベルで保護されたメッセージでは機能しません。

許可が進むべき道を制御

ほとんどの組織では、署名付きメッセージの種類と暗号化されたメッセージの種類が従来のカテゴリにしっかりと含まれており、これらの種類に対処するためにデータ損失防止ルールを展開する必要はなくなりました。大多数は OME ラベルや機密ラベルを使用するため、DLP ポリシー規則の例外でアクセス許可制御のメッセージの種類を使用する必要があります。私は今までこの詳細を知らなかった。Microsoft 365 が毎日どのように機能するかについての新しいことを発見することは、クラウドに対処することのユニークな喜び (または痛み) の 1 つです。少なくとも、私はそれがそうだと思う…


Office 365 アプリケーションが実際に継続的にどのように機能するかについては、 Office 365 for IT プロフェッショナル 電子ブック。毎月の更新プログラムにより、Office 365 ecosyst 全体で重要な点についてサブスクライバーに通知されます。全角。

未分類

Posted by admin