La sicurezza informatica delle aziende è fondamentale per assicurare la continuità lavorativa e spesso viene sottovalutata andando a prediligere solamente la protezione dei dati intesi come singoli bit ma non la sicurezza delle informazioni intese come il significato che questi dati trasportano.
Esistono molti software che agiscono molto bene come BitLocker ovvero proteggono i bit che viaggiano nella rete (quindi da server a client), nei pc o nel sistema informatico però in questo modo, nonostante quello che si possa pensare, non si stanno coprendo tutti i rischi legati alla perdita di informazioni e dati spesso anche molto importanti.
Un esempio banale che spiega chiaramente dei rischi di cui stiamo parlando: se ad esempio dovessimo mandare una email con informazioni riservate all’esterno della nostra organizzazione come sappiamo che anche l’azienda che riceverà l’email abbia le giuste policy di sicurezza per proteggere i dati trasmessi?
Office 365 Message Encryption (OME) è la soluzione Microsoft per risolvere questo problema: si tratta di un prodotto che protegge il contenuto e gli allegati di messaggi di posta elettronica sensibili che vengono inviate e ricevute all’esterno della azienda, aiutandosi con crittografia standard.
I piani in cui è disponibile Office 365 Encryption sono:
- Office 365 Enterprise E3/E5
- Microsoft 365 Enterprise E3/E5
- Microsoft 365 Business Premium
- Office 365 A1/A3/A5
- Office 365 Government G3/G5
In alternativa si può utilizzare uno dei seguenti piani e aggiungere la licenza Azure Information Protection Plan 1. In questo modo verrà automaticamente aggiunto OME:
- Exchange Online Plan 1
- Exchange Online Plan 2
- Office 365 F1
- Microsoft 365 Business Basic
- Microsoft 365 Business Standard
- Office 365 Enterprise E1
Office 365 Message Encryption
La tecnologia utilizzata da Office 365 Message Encryption è Azure Rights Management Services (RMS) ovvero l’unico prerequisito necessario. Dopo che l’avremo abilitato, OME si attiverà automaticamente.
Se si vuole verificare lo stato di Azure RMS e attivarlo bisogna entrare nell’Admin Center di Microsoft 365, andare su Settings -> Services & add-ins ->Microsoft Azure Information Protection -> Manage Microsoft Azure Information Protection settings
In questo modo si aprirà una pagina in cui potrai verificare lo stato di Azure RMS e se non è attivo potrai attivarlo
Se volete controllare l’attivazione di Office Message Encryption bisogna collegarsi a Exchange Online installando il modulo di Exchange Online PowerShell V2 (EXO V2) in modo che gli amministratori possano connettersi a Exchange Online in Office 365 per recuperare i dati, creare nuovi oggetti o aggiornare quelli esistenti.
Dopo aver aperto PowerShell come amministratore, digitate i seguenti comandi:
Install-Module PowershellGet -Force Set-ExecutionPolicy RemoteSigned
Install-Module -Name ExchangeOnlineManagement
Dopo aver quindi installato EXO V2 si può collegarsi a Exchange Online in questo modo:
Dopo essersi connessi, si potrà verificare l’avvenuto successo della configurazione tramite questo comando:
Test-IRMConfiguration -Sender "indirizzo e-mail del tenant"
Utilizzo di Office 365 Message Encryption
Utilizzare Office 365 Message Encryption è molto semplice e lo si usa in Outlook sia in Outlook on the web ma non su iOS o Android nei quali si possono ricevere messaggi protetti ma non inviarli.
Per applicare la protezione su una email di Outlook basterà premere su Options -> Encrypt e scegliere fra:
- Encrypt-Only: applica la crittografia ma non mette altre restrizioni al messaggio
- Do Not Forward: applica sia la crittografia sia ulteriori restrizioni al messaggio. Non si potrà copiare, stampare o inoltrare il messaggio.
Come potete vedere qui vengono applicate correttamente le restrizioni imposte (ci troviamo su Outlook on the Web). Non è presente la funzione copy e il tasto Forward del messaggio.
Qui in basso vedete invece cosa succede se si tenta di eseguire uno screenshot di un messaggio cifrato con OME:
Qui sotto invece mostriamo che anche Outlook per iOS imposta le restrizioni per i messaggi ricevuti:
Creare un messaggio con la protezione OME è molto semplice anceh su Outlook on the web. Anche con degli allegati come in qiesto caso in basso tutto il messaggio verrà protetto.
In questo caso tutti e due i documenti vengono protetti in ogni computer in cui verranno copiati.
Office 365 Message Encryption e PDF
Anche dunque i pdf che viaggiano attraverso email di Outlook o Outlook on the web attraverso OME vengono protetti. Per leggere il documento quindi che non è “joinato” con Azure AD, verranno richieste le credenziali Azure RMS per ottenere la licenza necessaria a leggere il file.
La licenza d’uso appena citata è un metadato del documento che è formato da:
- Chiave per decrittografare il documento
- Policy del client compatibile con Azure RMS
Ricordatevi che mentre la protezione dei file di Office avviene per impostazione predefinita, per i PDF va abilitata tramite il comando (su Exchange PowerShell):
Set-IRMConfiguration -EnablePdfEncryption $true
Office 365 Advanced Message Encryption
Chi possiede una licenza più completa come:
- Microsoft 365 Enterprise E5
- Office 365 Enterprise E5
- Office 365 Education A5
- Licenze E3 con il plugin Microsoft 365 E5 Compliance
potrà usufruire di Office 365 Advanced Message Encryption ovvero lo stesso servizio OME ma con l’aggiunta della possibilità di definire più branding templates, revocare email inviate, definire la scadenza di un messaggio di posta elettronica e utilizzare le main-flow rules di Exchange Online per la protezione dei messaggi.
Così è come si presenta il template di Office 365 Advanced Message Encryption:
Comandi di Office 365 Advanced Message Encryption
Vediamo un paio di comandi utili quando si utilizza OAME:
-
New-OMEConfiguration -Identity "TemplateName OME Template"
Comando per creare un template personalizzato. Al posto di TemplateName andrà inserito il nome del template
- Set-OMEConfiguration -Identity “TemplateName OME Template” -ExternalMailExpiryInDays 7 -DisclaimerText “TemplateName – All Right Reserved.”
Comando per impostare un disclaimer e far scadere le mail dopo 7 giorni.
Office 365 Message Encryption è un validissimo alleato che copre la sicurezza dei messaggi di posta elettronica inviati tramite Outlook o Outlook on the web. La sicurezza informatica dei sistemi e dei dati è in continua evoluzione e rimanere aggiornati su queste tecnologie al giorno d’oggi è importantissimo per essere competitivi e per ridurre al minimo i rischi per la propria orzanizzazione. Nexsys propone corsi di formazione Office 365 per IT pro i quali attraverso docenti preparati ti porteranno a diventare un esperto in materia.