Estamos intentando reemplazar una solución de puerta de enlace de correo electrónico segura con el cifrado de mensajes de correo electrónico incorporado de MS365.
Tenemos una regla de flujo de correo configurada para forzar el cifrado desde una dirección de envío específica a cualquier destinatario, de la siguiente manera:
CONDICIONES:
Aplicar regla si:
El remitente es '[correo electrónico protegido]'Haga lo siguiente: Modificar la seguridad de los mensajes: aplicar el cifrado de mensajes y la protección de derechos de Office 365
- Los derechos protegen el mensaje con 'Cifrar' (política de cifrado predeterminada)
Ahora, cuando enviamos desde alwaysencrypt- que es unCuenta con licencia Business Basicen este inquilino, tenemos resultados extraños.
- Cuando se envían a una cuenta/inquilino/dominio que no es MS365, los mensajes de correo electrónico se entregan de forma propiedad y requieren el envío de un código OTP para validar el acceso. Esto funciona bien.
- Para algunos destinatarios de inquilinos de MS365, pero que NO forman parte del inquilino de origen, la administración de derechos funciona correctamente e identifica correctamente a este inquilino externo como destinatario y al usuario se le permite el acceso.
- Para otros destinatarios de inquilinos de MS365 que NO forman parte del inquilino de origen, el sistema no permite que su usuario inicie sesión y use la autenticación de inquilino de MS365 para acceder al documento y falla con un mensaje similar a
Selected user account does not exist in tenant 'Example Tenant' and cannot access the application 'UUID' in that tenant. The account needs to be added as an external user in the tenant first. Please use a different account.
Es muynuevoque tenemos esta tercera opción, y MS365 NO ofrece a los inquilinos externos la opción de código OTP.
No veo una manera de abordar esto y permitir el acceso al sistema de derechos a inquilinos externos sin agregarlos manualmente a nuestro inquilino de origen, y esto es un problema porque se trata de un sistema automatizado que envía datos de mensajes cifrados como parte de los sistemas de alerta a destinatarios externos.
¿Alguien ha visto esto y tiene alguna idea de cómo podemos resolverlo para obligarlo a NO usar la autenticación de inquilinos de MS365 para acceder a mensajes cifrados y ser solo verificación de código OTP si están fuera de la organización?
Debo señalar que MS365 ahora obliga al uso de Microsoft Purview, por lo que las soluciones OME heredadas no funcionarán, y no hay documentación sobre cómo modificar esto o realizar estas revisiones según sea necesario.
Tenga en cuenta que tengo acceso a un administrador global en el inquilino de origen, por lo que DEBO tener acceso a todas las opciones de Powershell si es necesario.
Respuesta1
Entonces, de hecho, resulta que esto no es un problema de "inquilino" en absoluto, sino de licencia. Cual esnoEs fácil de encontrar en la documentación, porque las páginas básicas de Purview ni siquiera hacen referencia a esto, solo está en las preguntas frecuentes que no ve cuando intenta depurar elementos de cifrado.
Enterradoaquíen la documentación de Microsoft Purview OME en las preguntas frecuentes (pero NO en ningún otro lugar de la documentación de Purview), indica en qué planes se admite automáticamente Purview:
Para utilizar Microsoft Purview Message Encryption, necesita uno de los siguientes planes:
Microsoft Purview Message Encryption se ofrece como parte de Office 365 Enterprise E3 y E5, Microsoft 365 Enterprise E3 y E5, Microsoft 365 Business Premium, Office 365 A1, A3 y A5, y Office 365 Government G3 y G5. No necesita licencias adicionales para recibir las nuevas capacidades de protección impulsadas por Azure Information Protection.
También puede agregar el Plan 1 de Azure Information Protection a los siguientes planes para recibir el cifrado de mensajes de Microsoft Purview: Plan 1 de Exchange Online, Plan 2 de Exchange Online, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard u Office 365 Enterprise E1.
Cada usuario que se beneficia del cifrado de mensajes de Microsoft Purview necesita una licencia para utilizar el cifrado de mensajes.
Desafortunadamente, esto NO aparece en las páginas de planes de MS365 y no se detalla en ninguna otra documentación sobre los planes de MS365; al menos, no es obvio en ninguna parte.
Obtuvimos una licencia para el Plan 1 de protección de información de Azure como se indica y se la adjuntamos al alwaysencryptusuario en el inquilino de origen. Después de darle tiempo a Microsoft para aplicar este cambio y el servicio AIP al inquilino de origen, funciona como se esperaba y los inquilinos externos ahora pueden ver los mensajes, al igual que los destinatarios que no son MS365.
Microsoft obtuvo una puntuación de -1 en su documentación hoy, pero al menos resolvimos esto con una solución simple: invertir más dinero en Microsoft.