Мы пытаемся заменить безопасное решение шлюза электронной почты встроенным шифрованием сообщений электронной почты MS365.
У нас есть правило почтового потока, настроенное на принудительное шифрование сообщений от определенного адреса отправителя к любому получателю, как показано ниже:
УСЛОВИЯ:
Применить правило, если:
Отправитель — '[email protected]'Выполните следующие действия: Измените безопасность сообщений — примените шифрование сообщений Office 365 и защиту прав.
- Сообщение о защите прав с помощью «Шифрования» (политика шифрования по умолчанию)
Теперь, когда мы отправляем из alwaysencrypt- что являетсяЛицензированный аккаунт Business Basicв этом арендаторе - у нас странные результаты.
- При отправке на не-MS365 аккаунт/арендатора/домен сообщения электронной почты доставляются по назначению и требуют отправки кода OTP для проверки доступа. Это работает отлично.
- Для некоторых получателей арендаторов MS365, которые НЕ являются частью исходного арендатора, управление правами работает правильно и правильно идентифицирует этого внешнего арендатора как получателя, а пользователю разрешается доступ.
- Для других получателей арендаторов MS365, которые НЕ являются частью исходного арендатора, система не позволяет их пользователю войти в систему и использовать аутентификацию арендатора MS365 для доступа к документу и выдает сообщение, похожее на следующее:
Selected user account does not exist in tenant 'Example Tenant' and cannot access the application 'UUID' in that tenant. The account needs to be added as an external user in the tenant first. Please use a different account.
Это оченьновыйчто у нас есть этот третий вариант, и MS365 НЕ предлагает внешним арендаторам вариант кода OTP.
Я не вижу способа решить эту проблему и разрешить доступ к системе прав внешним арендаторам без их ручного добавления в нашего исходного арендатора, и это проблема, поскольку это автоматизированная система, отправляющая зашифрованные данные сообщений в рамках систем оповещения внешних получателей.
Кто-нибудь с этим сталкивался и есть ли у кого-нибудь идеи, как решить эту проблему, чтобы заставить его НЕ использовать аутентификацию клиента MS365 для доступа к зашифрованным сообщениям и использовать только проверку по одноразовому паролю, если они находятся за пределами организации?
Следует отметить, что MS365 теперь принудительно использует Microsoft Purview, поэтому устаревшие решения OME работать не будут, и нет никакой документации о том, как это изменить или внести необходимые изменения.
Обратите внимание, что у меня есть доступ к глобальному администратору на исходном клиенте, поэтому у меня ДОЛЖЕН быть доступ ко всем параметрам Powershell при необходимости.
решение1
Так что, по сути, получается, что это вообще не вопрос «арендатора», а вопрос лицензирования.нетлегко найти в документации, потому что на основных страницах Purview об этом даже не упоминается, это есть только в разделе часто задаваемых вопросов, который вы не увидите, когда попытаетесь отладить шифрование.
ПохороненныйздесьВ документации Microsoft Purview OME в разделе часто задаваемых вопросов (но НЕ где-либо еще в документации Purview) указано, в каких планах Purview автоматически поддерживается:
Для использования Microsoft Purview Message Encryption вам понадобится один из следующих планов:
Microsoft Purview Message Encryption предлагается как часть Office 365 Enterprise E3 и E5, Microsoft 365 Enterprise E3 и E5, Microsoft 365 Business Premium, Office 365 A1, A3 и A5, а также Office 365 Government G3 и G5. Вам не нужны дополнительные лицензии для получения новых возможностей защиты на базе Azure Information Protection.
Вы также можете добавить Azure Information Protection Plan 1 к следующим планам для получения шифрования сообщений Microsoft Purview: Exchange Online Plan 1, Exchange Online Plan 2, Office 365 F3, Microsoft 365 Business Basic, Microsoft 365 Business Standard или Office 365 Enterprise E1.
Каждому пользователю, использующему Microsoft Purview Message Encryption, необходима лицензия на использование шифрования сообщений.
К сожалению, это НЕ указано на страницах планов MS365 и не подробно описано в какой-либо другой документации о планах MS365 — по крайней мере, нигде не очевидно.
Мы получили лицензию на Azure Information Protection Plan 1, как указано, и прикрепили ее к alwaysencryptпользователю в исходном арендаторе. После того, как Microsoft дали время применить это изменение и службу AIP к исходному арендатору, все заработало так, как и ожидалось, и внешние арендаторы теперь могут просматривать сообщения, как и получатели, не являющиеся пользователями MS365.
Сегодня Microsoft получила оценку -1 за свою документацию, но, по крайней мере, мы решили эту проблему простым способом: влили в Microsoft больше денег.