Vertrauliche Informationen wie Verträge, Finanzberichte, Mitarbeiter- oder Kundendaten werden häufig über Email ausgetauscht. Diese Emails werden meist nicht verschlüsselt. Mit Information Rights Management (IRM) können verschlüsselte Emails zwischen Personen innerhalb und ausserhalb der eigenen Organisation gesendet und empfangen werden. Verschlüsselt werden gesendete Emails und deren Antworten aus Exchange Online automatisch mit Transportregeln oder manuell aus dem Emailclient (Outlook und Outlook.com).
Information Rights Management (IRM) stellt sicher, dass nur vorgesehene Empfänger die Nachricht öffnen und lesen können. Es kann auch verhindert werden, dass Emails weitergeleitet, gedruckt oder Teile davon kopiert werden. Die Nachrichtenverschlüsselung funktioniert mit Outlook, Outlook.com, Gmail und vielen weiteren, bekannten Emaildiensten.
Voraussetzungen und Lizenzierung
Für Information Rights Management (IRM) ist die Lizenzierung von Azure Information Protection (AIP) notwendig.
Azure Information Protection (AIP) ist unter anderem in den folgenden Lizenzpaketen inkludiert:
- Microsoft 365 E3 oder E5
- Microsoft 365 Business Premium
- Office 365 E3 oder E5
oder kann als eigenständiges SKU (Stock Keeping Unit) lizenziert werden:
- Azure Information Protection P1
Diese Auflistung ist nicht abschliessend.
Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Verschlüsselungsverfahren
Microsoft bietet 3 verschiedene Verschlüsselungsoptionen für Emails an.
Dieses Tutorial beschreibt die Konfiguration von Information Rights Management (IRM).
Office 365 Message Encryption (OME)
Office 365 Message Encrytpion ist ein Dienst, der auf Azure Rights Management (Azure RMS) basiert. Emails werden innerhalb oder ausserhalb der Organisation verschlüsselt versendet und empfangen.
Über Transportregeln im Exchange Online werden Nachrichten verschlüsselt. Wenn ein Benutzer eine Nachricht sendet, die mit einer Regel übereinstimmt, wird die Verschlüsselung automatisch angewendet. Zum Anzeigen verschlüsselter Nachrichten können Empfänger entweder eine einmalige Kennung abrufen, sich mit einem Microsoft-Konto anmelden oder sich mit einem Geschäfts- oder Schulkonto anmelden, das Office 365 zugeordnet ist. Wenn eine verschlüsselte Email beantwortet wird, wird diese ebenso verschlüsselt versendet. Sie benötigen kein Microsoft 365-Abonnement, um verschlüsselte Nachrichten anzuzeigen oder verschlüsselte Antworten zu senden.
Information Rights Management (IRM)
IRM ist eine Verschlüsselungslösung, die auch Nutzungseinschränkungen auf Emails anwenden kann. Mit dieser Lösung wird verhindert, dass vertrauliche Informationen von nicht autorisierten Personen gedruckt, weitergeleitet oder kopiert werden.
IRM-Funktionen in Microsoft 365 verwenden Azure Rights Management (Azure RMS).
Secure/Multipurpose internet Mail Extensions (S/MIME)
S/MIME ist eine zertifikatbasierte Verschlüsselungslösung, mit der Nachrichten sowohl verschlüsselt als auch digital signiert werden. Durch die Nachrichtenverschlüsselung kann sichergestellt werden, dass nur der vorgesehene Empfänger die Nachricht öffnen und lesen kann. Mithilfe einer digitalen Signatur kann den Empfänger die Identität des Absenders überprüfen.
Weitere Informationen über die von Microsoft zur Verfügung gestellten Verschlüsselungsverfahren können unter E-Mail-Verschlüsselung in Microsoft 365 – Microsoft 365 Compliance | Microsoft Docs nachgelesen werden.
Konfiguration
Voraussetzungen für Information Rights Management (IRM)
Information Rights Management (IRM) setzt Azure Information Protection voraus. Dieses Features wird mit einer entsprechenden Lizenz aktiviert. Mit PowerShell kann geprüft werden, ob das Feature vorhanden und aktiv ist.
1 2 3 4 | Install-Module -Name ExchangeOnlineManagement Import-Module ExchangeOnlineManagement Connect-ExchangeOnline -ShowProgress $true Get-IRMConfiguration |
Der Wert für «AzureRMSLicensingEnabled» steht auf «True»
Sollte «AzureRMSLicensingEnabled» nicht auf «True» stehen und die Organisation korrekt lizenziert sein, wird mit folgendem PowerShell das Feature aktiviert.
1 | Set-IRMConfiguration -AzureRMSLicensingEnabled 1 |
Testen von Rights Management Services (RMS)
Nachdem sichergestellt wurde, dass «AzureRMSLicensingEnabled» aktiviert ist, kann nun die Rights Management Services (RMS) geprüft werden.
Die Prüfung erfolgt mit folgendem PowerShell Cmdlet (Sender- und Emailadresse ersetzen)
1 | Test-IRMConfiguration -Sender sender@tenant.onmicrosoft.com -Recipient recipient@tenant.onmicrosoft.com |
Wird «OVERALL RESULT: PASS» angezeigt, ist der Rights Management Services (RMS) richtig konfiguriert.
Verschlüsselung anwenden
Email automatisiert verschlüsseln (Transportregeln erstellen)
Mit den Transportregeln wird festgelegt, welche Nachrichten beim Versand automatisch von Exchange Online verschlüsselt werden. Transportregeln werden im Exchange Online Admin Center konfiguriert.
Exchange Online Admin Center > «Mail Flow» > «Rules» > «Apply Office 365 Message Encryption and rights protection to messages…»
Im neu geöffneten Dialog «New transport rule» können nun die Bedingungen für die Verschlüsselung von Nachrichten festgelegt werden. In diesem Beispiel werden alle Nachrichten von der Domain «cloudkaffee.ch» verschlüsselt.
Die Regel soll immer angewendet werden.
Kontrolliert hier nochmals die Einstellungen und bestätigt diese mit Klick auf Finish.
Nach einer kurzen Wartezeit ist die neue Policy erstellt.
Der Status der neuen Policy muss Enabled sein.
Email manuell verschlüsseln
Beim Erstellen von Emails in Outlook oder Outlook.com können manuell verschiedene Optionen zum Schutz der Nachricht gewählt werden:
Encrypt-only
Die Email wird verschlüsselt und der Empfänger muss sich authentifizieren.
Do not forward
Die Email wird verschlüsselt und der Empfänger muss sich authentifizieren.
Zusätzlich können Empfänger die Email nicht weiterleiten, drucken oder Teile aus dieser kopieren.
Confidential\ All Employees
Die Email wird verschlüsselt und der Empfänger muss sich authentifizieren.
Zusätzlich können Empfänger die Email nur innerhalb der Organisation lesen, beantworten oder weiterleiten.
High Confidential \ All Employees
Die Email wird verschlüsselt und der Empfänger muss sich authentifizieren.
Die Email kann nur innerhalb der Organisation gelesen werden.
Zusätzlich können Empfänger die Email weder beantworten, weiterleiten, drucken oder Teile aus dieser zu kopieren. Externe Empfänger können die Email nicht anzeigen.
Zugriff auf verschlüsselte Emails
Der Empfänger erkennt die verschlüsselte Email am «Schloss-Symbol».
Um die erhaltene Email öffnen zu können, benötigt es eine der folgenden Authentifizierungen:
- Geschäfts- oder Schulkonto (Microsoft 365 Konto)
- Einmalkennung (Zahlencode)
- Microsoft Konto (Hotmail etc.)
Email automatische entschlüsseln
Verwendet er Empfänger bereits ein Geschäfts-, Schul- oder Microsoft Konto in Verbindung mit Outlook oder Outlook.com, wird die Nachricht ohne weitere Interaktion automatisch entschlüsselt und angezeigt.
Antwortet der Empfänger auf diese Email, so wird diese ebenfalls verschlüsselt.
Email manuell entschlüsseln
Wenn die Entschlüsselung der Email nicht automatisiert durchgeführt werden kann, sei dies weil auf dem Client kein Geschäfts-, Schul- oder Microsoft Konto angemeldet ist oder dafür kein unterstützter Maildienst verwendet wird, erscheint die folgende Meldung im Postfach des Empfängers.
Mit Klick auf «Read the message» kann die Authentifizierung manuell durchgeführt werden.
Die folgenden Optionen stehen nun zur Verfügung:
- Manuelle Anmeldung mit vorhandenem Geschäfts-, Schul- oder Microsoft Konto
- Einmalkennung, der Zahlencode wird per Email mitgeteilt und ist 15 Minuten gültig
Anmeldung (Sign In) mit Einmalkennung (One-time passcode)
Die Email wird nun entschlüsselt im Browser angezeigt.
Antwortet der Empfänger auf diese Email, so wird diese ebenfalls verschlüsselt.
Fehlersuche und Fehlerbehebung
IRM-Configuration OVERALL RESULT: FAIL
Die Prüfung des Right Management Services (RMS) schlägt mit der Meldung «OVERALL RESULT: FAIL» fehl.
1 | Test-IRMConfiguration -Sender sender@tenant.onmicrosoft.com -Recipient recipient@tenant.onmicrosoft.com |
Die Ursache für den nicht erfolgreichen Test liegt daran, dass der Wert für «LicensingLocation» nicht gesetzt ist.
1 | Get-IRMConfiguration |
Der korrekte Wert für «LicensingLocation» kann im AzureAD Rights Management Services abgerufen werden. Der notwendige Wert von «LicensingIntranetDistributionPointUrl» in die Zwischenablage kopieren.
1 2 3 | Install-Module AipService Connect-AipService Get-AadrmConfiguration |
Der Wert aus «LicensingIntranetDistributionPointUrl» kann nun mit dem folgenden PowerShell Cmdlet bei «LicensingLocation» hinterlegt werden.
1 2 | Set-IRMConfiguration -LicensingLocation "Wert aus der Zwischenablage" Set-IRMConfiguration -InternalLicensingEnabled $true |
Der Wert für «LicensingLocation» ist nun gesetzt.
1 | Get-IRMConfiguration |
Nach einer Wartezeit von bis zu 24 Stunden kann die Prüfung des Right Management Services (RMS) erfolgreich ausgeführt werden.
1 | Test-IRMConfiguration -Sender sender@tenant.onmicrosoft.com -Recipient recipient@tenant.onmicrosoft.com |
Keine RMS Vorlagen in der Organisation verfügbar
Danke für den Hinweis auf diese Challenge Harald Bättig.
Bei der Erstellung einer Exchange Nachrichtenflussregel (Transportregel) für die automatische Verschlüsselung von Emails stehen keine RMS Vorlagen zur Auswahl.
Die Ursache hierfür liegt darin, dass der Azure Information Protection (AIP) Service nicht aktiv ist. Mit folgendem PowerShell Cmlet lässt sich dies überprüfen:
1 2 | Connect-AipService Get-AipService |
Wenn der Wert für AipService auf Disabled steht, folgendes PowerShell Cmdlet für die Aktivierung ausführen.
1 | Enable-AipService |
Nach einer Wartezeit von bis zu 60 Minuten sind die RMS Vorlagen erstellt und können für Exchange Nachrichtenflussregeln (Transportregeln) ausgewählt werden.
Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.