当社は、安全な電子メール ゲートウェイ ソリューションを、MS365 に組み込まれた電子メール メッセージ暗号化に置き換えようとしています。
次のように、特定の送信アドレスから任意の受信者への暗号化を強制するメール フロー ルールが設定されています。
条件:
次の場合にルールを適用:
送信者が '[メールアドレス]'次の操作を行います: メッセージセキュリティの変更 - Office 365 メッセージ暗号化と権限保護の適用
- 権限は「暗号化」でメッセージを保護します(デフォルトの暗号化ポリシー)
さて、送信元alwaysencryptはビジネスベーシックライセンスアカウントこのテナントでは奇妙な結果が出ます。
- MS365 以外のアカウント/テナント/ドメインに送信する場合、電子メール メッセージは適切に配信され、アクセスを検証するために OTP コードを送信する必要があります。これは正常に機能します。
- 一部の MS365 テナント受信者(元のテナントの一部ではない)の場合、権限管理は適切に機能し、この外部テナントを受信者として適切に識別し、ユーザーはアクセスを許可されます。
- 元のテナントの一部ではない他の MS365 テナント受信者の場合、システムはそのユーザーがログインして MS365 テナント認証を使用してドキュメントにアクセスすることを許可せず、次のようなメッセージが表示されて失敗します。
Selected user account does not exist in tenant 'Example Tenant' and cannot access the application 'UUID' in that tenant. The account needs to be added as an external user in the tenant first. Please use a different account.
それはとても新しいこの 3 番目のオプションが実行され、MS365 は外部テナントに OTP コード オプションを提供しません。
これを解決し、元のテナントに手動で追加せずに外部テナントに権限システムへのアクセスを許可する方法がわかりません。これは、外部受信者への警告システムの一部として暗号化されたメッセージ データを送信する自動システムであるため、問題となります。
これを見た人はいますか? また、暗号化されたメッセージへのアクセスに MS365 テナント認証を使用せず、組織外の場合は OTP コード検証のみを使用するように強制するには、どうすればいいか知っている人はいますか?
MS365 では現在、Microsoft Purview の使用が強制されているため、従来の OME ソリューションは機能せず、必要に応じてこれを変更したり修正したりする方法に関するドキュメントはまったく存在しないことに注意してください。
元のテナントのグローバル管理者にアクセスできるため、必要に応じてすべての Powershell オプションにアクセスできる必要があることに注意してください。
答え1
つまり、これは実際には「テナント」の問題ではなく、ライセンスの問題であることが判明しました。ないドキュメントで見つけるのは簡単です。基本的な Purview ページではこれについて言及すらされていないため、これは FAQ にのみ記載されており、暗号化関連のデバッグを行おうとすると表示されません。
埋葬されたここMicrosoft Purview OME ドキュメントの FAQ (Purview ドキュメントの他のどこにも記載されていません) では、Purview が自動的にサポートされるプランが次のように示されています。
Microsoft Purview Message Encryption を使用するには、次のいずれかのプランが必要です。
Microsoft Purview Message Encryption は、Office 365 Enterprise E3 および E5、Microsoft 365 Enterprise E3 および E5、Microsoft 365 Business Premium、Office 365 A1、A3、A5、Office 365 Government G3 および G5 の一部として提供されます。Azure Information Protection による新しい保護機能を利用するために追加のライセンスは必要ありません。
また、Azure Information Protection プラン 1 を次のプランに追加して、Microsoft Purview Message Encryption を受け取ることもできます: Exchange Online プラン 1、Exchange Online プラン 2、Office 365 F3、Microsoft 365 Business Basic、Microsoft 365 Business Standard、または Office 365 Enterprise E1。
Microsoft Purview Message Encryption の恩恵を受ける各ユーザーには、メッセージ暗号化を使用するためのライセンスが必要です。
残念ながら、これは MS365 プラン ページには記載されておらず、MS365 プランに関するその他のドキュメントにも詳細が記載されていません (少なくとも、どこにも明白に記載されていません)。
指示に従って Azure Information Protection Plan 1 のライセンスを取得し、alwaysencrypt元のテナントのユーザーに添付しました。Microsoft にこの変更と AIP サービスを元のテナントに適用する時間を与えた後、期待どおりに動作し、外部テナントがメッセージを表示できるようになりました。MS365 以外の受信者も同様にメッセージを表示できます。
Microsoft は本日、ドキュメントの評価を -1 にしましたが、少なくとも私たちは Microsoft にさらにお金を投じるという簡単な解決策でこの問題を解決しました。