メッセージの暗号化を管理する
Purview Message Encryption の設定が完了したら、いくつかの方法でデプロイの構成をカスタマイズできます。 たとえば、ワンタイム パス コードを有効にするかどうか、Outlook on the webに [暗号化] ボタンを表示するかどうかを構成できます。 この記事のタスクでは、その方法について説明します。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
Google、Yahoo、Microsoft アカウントの受信者がこれらのアカウントを使用して暗号化されたメッセージ ポータルにサインインできるかどうかを管理する
メッセージ暗号化を設定すると、organizationのユーザーは、organizationの外部にある受信者にメッセージを送信できます。 受信者が Google アカウント、Yahoo アカウント、Microsoft アカウントなどの ソーシャル ID を 使用している場合、受信者はソーシャル ID を使用して暗号化されたメッセージ ポータルにサインインできます。 必要に応じて、受信者がソーシャル ID を使用して暗号化されたメッセージ ポータルにサインインすることを許可しないことを選択できます。
受信者がソーシャル ID を使用して暗号化されたメッセージ ポータルにサインインできるかどうかを管理するには
SocialIdSignIn パラメーターを使用して、Set-OMEConfiguration コマンドレットを次のように実行します。
Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>
たとえば、ソーシャル ID を無効にするには、次のようにします。
Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false
ソーシャル ID を有効にするには:
Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true
暗号化されたメッセージ ポータルのワンタイム パス コードの使用を管理する
メッセージ暗号化によって暗号化されたメッセージの受信者が、受信者が使用するアカウントに関係なく Outlook を使用しない場合、受信者はメッセージを読み取ることができる期間限定の Web ビュー リンクを受け取ります。 このリンクには、ワンタイム パス コードが含まれています。 管理者は、受信者がワンタイム パス コードを使用して暗号化されたメッセージ ポータルにサインインできるかどうかを決定できます。
OME がワンタイム パス コードを生成するかどうかを管理するには
organizationでグローバル管理者権限を持つ職場または学校アカウントを使用し、Exchange Online PowerShell に接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。
OTPEnabled パラメーターを使用して、Set-OMEConfiguration コマンドレットを実行します。
Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>
たとえば、ワンタイム パス コードを無効にするには、次のようにします。
Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false
ワンタイム パス コードを有効にするには:
Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true
Outlook on the webの [暗号化] ボタンの表示を管理する
管理者は、このボタンをエンド ユーザーに表示するかどうかを管理できます。
[暗号化] ボタンをOutlook on the webに表示するかどうかを管理するには
organizationでグローバル管理者権限を持つ職場または学校アカウントを使用し、Exchange Online PowerShell に接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。
-SimplifiedClientAccessEnabled パラメーターを使用して、Set-IRMConfiguration コマンドレットを実行します。
Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>
たとえば、[ 暗号化 ] ボタンを無効にするには、次のようにします。
Set-IRMConfiguration -SimplifiedClientAccessEnabled $false
[暗号化] ボタンを有効にするには:
Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
iOS メール アプリ ユーザーのメール メッセージのサービス側暗号化解除を有効にする
iOS メール アプリは、メッセージ暗号化で保護されたメッセージの暗号化を解除できません。 Microsoft 365 管理者は、iOS メール アプリに配信されるメッセージに対してサービス側の復号化を適用できます。 サービス側の復号化を使用することを選択すると、サービスはメッセージの暗号化解除されたコピーを iOS デバイスに送信します。 クライアント デバイスは、メッセージの暗号化解除されたコピーを格納します。 また、iOS メール アプリがクライアント側の使用権限をユーザーに適用しない場合でも、メッセージは使用権限に関する情報を保持します。 ユーザーは、もともとその権限を持っていない場合でも、メッセージをコピーまたは印刷できます。 ただし、メッセージの転送など、Microsoft 365 メール サーバーを必要とするアクションをユーザーが完了しようとすると、ユーザーが最初に使用権を持っていない場合、サーバーはアクションを許可しません。 ただし、エンド ユーザーは、iOS メール アプリ内の別のアカウントからメッセージを転送することで、"転送不可" の使用制限を回避できます。 メールのサービス側暗号化解除を設定したかどうかにかかわらず、暗号化されたメールと権限で保護されたメールの添付ファイルは iOS メール アプリで表示できません。
暗号化解除されたメッセージを iOS メール アプリ ユーザーに送信できないように選択した場合、ユーザーはメッセージを表示する権限がないことを示すメッセージを受け取ります。 既定では、メール メッセージのサービス側暗号化解除は有効になっていません。
詳しくは、「 iPhone または iPad で暗号化されたメッセージを表示する」をご覧ください。
iOS メール アプリユーザーがメッセージ暗号化によって保護されたメッセージを表示できるかどうかを管理するには
organizationでグローバル管理者権限を持つ職場または学校アカウントを使用し、Exchange Online PowerShell に接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。
AllowRMSSupportForUnenlightenedApps パラメーターを使用して、Set-ActiveSyncOrganizations コマンドレットを実行します。
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>
たとえば、iOS メール アプリなどの未対応アプリにメッセージを送信する前にメッセージを復号化するようにサービスを構成するには、次のようにします。
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true
または、暗号化解除されたメッセージを未適用のアプリに送信しないようにサービスを構成するには、次のようにします。
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false
注:
個々のメールボックス ポリシー (OWA/ActiveSync) は、これらの設定をオーバーライドします (つまり、-IRMEnabled がそれぞれの OWA メールボックス ポリシーまたは ActiveSync メールボックス ポリシー内で False に設定されている場合、これらの構成は適用されません)。
Web ブラウザー メール クライアントのメール添付ファイルのサービス側暗号化解除を有効にする
通常、メッセージ暗号化Office 365使用すると、添付ファイルは自動的に暗号化されます。 管理者は、ユーザーが Web ブラウザーからダウンロードする電子メールの添付ファイルにサービス側の暗号化解除を適用できます。
サービス側の暗号化解除を使用すると、サービスは暗号化解除されたファイルのコピーをデバイスに送信します。 メッセージは引き続き暗号化されます。 また、電子メールの添付ファイルは、ブラウザーがクライアント側の使用権限をユーザーに適用しない場合でも、使用権限に関する情報を保持します。 ユーザーは、もともとその権限を持っていない場合でも、電子メールの添付ファイルをコピーまたは印刷できます。 ただし、ユーザーが添付ファイルの転送など、Microsoft 365 メール サーバーを必要とするアクションを完了しようとすると、ユーザーが最初に使用権を持っていない場合、サーバーはアクションを許可しません。
サービス側の添付ファイルの暗号化解除を設定したかどうかにかかわらず、ユーザーは iOS メール アプリで暗号化された権限で保護されたメールへの添付ファイルを表示できません。
暗号化解除された電子メールの添付ファイルを許可しないことを選択した場合(既定値)、ユーザーは添付ファイルを表示する権限がないことを示すメッセージを受け取ります。
Encrypt-Only オプションを使用して Microsoft 365 が電子メールと電子メールの添付ファイルの暗号化を実装する方法の詳細については、「電子メールの暗号化のみオプション」を参照してください。
Web ブラウザーからダウンロード時に電子メールの添付ファイルを暗号化解除するかどうかを管理するには
organizationでグローバル管理者権限を持つ職場または学校アカウントを使用し、Exchange Online PowerShell に接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。
DecryptAttachmentForEncryptOnly パラメーターを使用して、Set-IRMConfiguration コマンドレットを実行します。
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>
たとえば、ユーザーが Web ブラウザーから電子メールの添付ファイルをダウンロードするときに電子メールの添付ファイルを復号化するようにサービスを構成するには、次のようにします。
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
ダウンロード時に暗号化された電子メールの添付ファイルをそのままにするようにサービスを構成するには:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false
すべての外部受信者が暗号化されたメッセージ ポータルを使用して暗号化されたメールを読み取っていることを確認する
カスタム ブランド化テンプレートを使用すると、Outlook やOutlook on the webを使用するのではなく、暗号化されたメッセージ ポータルで暗号化されたメールを読み取るよう受信者に指示するラッパー メールを受信者に強制的に受信させることができます。 受信者が受信したメールの使用方法をより詳細に制御する場合は、このエクスペリエンスを強制することができます。 たとえば、外部の受信者が Web ポータルでメールを表示する場合は、メールの有効期限を設定し、メールを取り消すことができます。 これらの機能は、暗号化されたメッセージ ポータルでのみサポートされます。 メール フロー ルールを作成するときに、[暗号化] オプションと [転送不可] オプションを使用できます。
カスタム テンプレートを使用して、すべての外部受信者に暗号化されたメッセージ ポータルと暗号化された電子メールの使用を強制する
organizationでグローバル管理者権限を持つ職場または学校アカウントを使用し、Exchange Online PowerShell に接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。
New-TransportRule コマンドレットを実行します。
New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"
各部分の意味は次のとおりです。
mail flow rule name
は、新しいメール フロー ルールに使用する名前です。option name
はEncrypt
またはDo Not Forward
です。template name
は、カスタム ブランド化テンプレートに付けた名前です (例:OME Configuration
)。
"OME 構成" テンプレートを使用してすべての外部メールを暗号化し、Encrypt-Only オプションを適用するには:
New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
"OME 構成" テンプレートを使用してすべての外部メールを暗号化し、[転送不可] オプションを適用するには:
New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
電子メール メッセージと暗号化されたメッセージ ポータルの外観をカスタマイズする
organizationのMicrosoft Purview Message Encryptionをカスタマイズする方法の詳細については、「暗号化されたメッセージにorganizationのブランドを追加する」を参照してください。 暗号化されたメッセージを追跡および取り消すには、暗号化されたメッセージ ポータルにカスタム ブランドを追加する必要があります。
Microsoft Purview Message Encryptionを無効にする
それが実現しないことを願っていますが、必要に応じて、Microsoft Purview Message Encryptionを無効にするのは簡単です。 まず、Microsoft Purview Message Encryptionを使用して作成したすべてのメール フロー ルールを削除します。 メール フロー ルールの削除については、「メール フロー ルールの 管理」を参照してください。 次に、Exchange Online PowerShell で次の手順を実行します。
Microsoft Purview Message Encryptionを無効にするには
organizationでグローバル管理者アクセス許可を持つ職場または学校アカウントを使用して、powerShell Exchange Online接続します。 手順については、「Exchange Online PowerShell に接続する」を参照してください。
Outlook on the webで [暗号化] ボタンを有効にした場合は、SimplifiedClientAccessEnabled パラメーターを使用して Set-IRMConfiguration コマンドレットを実行して無効にします。 それ以外の場合は、この手順をスキップします。
Set-IRMConfiguration -SimplifiedClientAccessEnabled $false
AzureRMSLicensingEnabled パラメーターを false に設定して Set-IRMConfiguration コマンドレットを実行して、Microsoft Purview Message Encryptionを無効にします。
Set-IRMConfiguration -AzureRMSLicensingEnabled $false