マイクロソフト、暗号化された電子メールへの委任されたアクセスに対する制御を導入

混乱を片付ける

代理人は、別のユーザーのメールボックスまたは共有メールボックスへのアクセス権を付与されたユーザーです。多くの場合、代理人は受信します フル アクセス許可 をメールボックスに追加して、受信メールと送信メールを処理できるようにします。典型的な例は、上級管理職をサポートするエグゼクティブアシスタントです。アシスタントは、マネージャーのメールボックスに対する完全な権限を持つ代理人であり、マネージャーに代わって、またはマネージャーとして電子メールを送信することもできます。

代理人アクセスは、Exchange と Outlook のよく知られた機能領域です。さまざまなOutlookクライアントで異なる実装にもかかわらず(モバイルクライアントでどのように動作するかは次のとおりです)、複雑さが生じるまで、物事は通常問題なく動作します。Microsoft Purview Information Protection (MIP) の機密ラベルを使用して暗号化された電子メールを処理することは、この種の複雑さの一例です。

幸いなことに、マイクロソフトは、Outlook クライアントが MIP で保護されたメッセージとその添付ファイルにアクセスして操作できるようにする方法をある程度制御できるようにしています。Outlook for Windows と他の Outlook クライアントが暗号化されたアイテムやコントロールを操作する場合とでは、違いがあります。 マイクロソフトは現在展開中です 次のユーザーにのみ適用します。

  • Outlook Web App.
  • Mac用の見通し。
  • Outlook Mobile for iOS and Android.
  • ウィンドウズ用のメールアプリ。

6月6日の投稿で、マイクロソフトは「いくつかの矛盾" は、Outlook クライアントのセット全体に存在します。ここで何が起こっているのですか?

新しい PowerShell コマンドレット

コントロールは、Exchange Online 管理モジュールの 3 つの新しい PowerShell コマンドレットのセットの形式です。これらは:

  • Set-MailboxIRMAccess: 指定した代理人がユーザーまたは共有メールボックス内の暗号化されたメッセージにアクセスするのをブロックします。
  • Get-MailboxIRMAccess: ユーザーまたは共有メールボックス内の指定された代理人のブロックが存在するかどうかを確認します。
  • Remove-MailboxIRMAccess: ユーザーからブロックを削除します。

フル アクセスとさまざまな Outlook クライアント

暗号化されたメッセージへの代理人アクセスは、メールボックスの種類と、代理人がフル アクセス許可を受け取る方法によって異なります。

  • Outlook for Windows クライアントは、ユーザーのメールボックスに送信される暗号化されたメッセージへの代理人アクセスをサポートしていません。代理人は、送信者が代理人を TO または CC 受信者として含めている場合にのみ、暗号化されたメッセージを読むことができます。このシナリオでは、代理人がメッセージを読むことができるかどうかは、受信者として付与されている権限によって異なります。受信者に割り当てられた権利に代理人に適用される権利が含まれている場合、受信者はコンテンツを読むことができます。そうでなければ、彼らはできません。
  • Outlook for Windows クライアントは、代理人がフル アクセス権を持ち、代理人がメールボックスへのアクセス許可を受け取ったときに自動マッピングが指定されている場合、共有メールボックスに送信される暗号化されたメッセージへの代理人アクセスをサポートします。自動マッピングにより、Outlook for Windows は、代理人が使用できるリソースの一部として共有メールボックスを開くように強制します。これは Exchange Online で使用される既定値であり、Microsoft 365 管理センターまたは Exchange 管理センターを使用してメールボックスの代理人にフル アクセスを許可するときに割り当てられます。
  • 他の Outlook クライアントは、代理人がメールボックスへのフル アクセス権を持っている場合、ユーザーと共有の両方のメールボックスで暗号化されたメッセージへの委任アクセスをサポートします。

マイクロソフトのドキュメント 暗号化されたメッセージの代理アクセスに適用されるいくつかの制限事項.

アクセスのブロック

ユーザーまたは共有メールボックスへのフル アクセス権を持つ代理人が、Outlook for Windows 以外のクライアントを使用して暗号化されたメッセージを表示できないようにするには、 Set-MailboxIRMAccess コマンドレット。たとえば、次のコマンドは、Kim Akers がカスタマー サービス メールボックスに配信された暗号化されたメッセージを読み取る機能をブロックします。

Set-MailboxIRMAccess -Identity Customer.Services@Office365itpros.com -User Kim.Akers@Office365itpros.com -AccessLevel Block

ブロックが所定の位置にあることを確認するには、 Get-MailboxIRMAccess コマンドレット。

Get-MailboxIRMAccess -Identity Customer.Services@Office365itpros.com -User Kim.Akers@Office365itpros.com

Identity                       User                           AccessLevel
--------                       ----                           -----------
Customer Services              Kim.Akers@office365itpros.com  Block

ブロックの実装に必要な時間は、クライアントによって異なります。OWA は数分以内にブロックを課しますが、他のクライアントはさらに時間がかかる場合があります。これはすべて、クライアントがサーバーにブロックが配置されていることを確認するためにいつチェックするかによって異なります。ブロックが適用されると、代理人は暗号化されたメッセージにアクセスしようとしたときに、必要なアクセス許可がないことを確認します (図 1)。

代理人が暗号化された電子メールを読むのをブロックされる

アクセスの委任
図 1: 代理人が暗号化された電子メールを読むのをブロックされている

代理人アクセスに置かれたブロックは、管理者がそれを削除し、ブロックをサポートするクライアントを使用して暗号化されたメッセージを読み取るためのデリゲートの脆弱性。たとえば、このブロックは、OWA または Outlook for iOS を使用して共有メールボックス内の暗号化されたメッセージを読み取る代理人を停止しますが、Outlook for Windows に切り替えてメッセージの内容を表示できます。さらに、アクセスをブロックしても、機密情報を含む可能性のあるメッセージの件名が非表示にされることも、代理人が暗号化されたメッセージを削除または移動することもできなくなります。ブロックは読み取り用に存在し、そのブロックをサポートするクライアントに対してのみ機能します。

ブロックを削除し、暗号化されたメッセージを代理人に読み取る機能を復元するには、 Remove-MailboxIRMAccess コマンドレット:

Remove-MailboxIRMAccess -Identity Customer.Services@Office365itpros.com -User Kim.Akers@Office365itpros.com

機密情報のための良いブロック

マイクロソフトは、これらのコントロールを使用して、お客様の実際のニーズに応えています。意図しない受信者 (代理人) がコンテンツを読むことができる場合、機密メッセージを機密ラベルで保護しても意味がありません。すべてのOutlookクライアントが同じように動作すればいいでしょう。ただし、One Outlook プロジェクトがすべてのプラットフォームで共通のクライアントを提供するまでは、おそらく期待しすぎです。Project Monarchが動いているスピードを考えると、まだ時間がかかるかもしれません。


Exchange Online と Office 365 の残りの部分を保護する方法については、 Office 365 for IT プロフェッショナル 電子ブック。Microsoft の経験を活かして、何が重要で、テナントを保護する最善の方法を理解してください。

未分類

Posted by admin