Teknologiatorstai Q&A: Office 365 Message Encryption (OME) -käyttöönotto

Mietityttääkö joku salattuun sähköpostiin liittyvä asia? Katso, löytyisikö tältä sivulta vastaus kysymykseesi. Kysymykset ja vastaukset ovat Teknologiatorstain Office 365 Message Encryption (OME) -käyttöönotto -webinaarista.

Konfiguraatiot kytketään käyttöön päälle automaattisesti Microsoftin toimesta, kunhan ympäristössä on yksikin siihen oikeuttava lisenssi. Jos aktivoinnissa on ongelmia, niin sen korjaaminen tehdään PowerShellin avulla, johon yleensä kannattaa käyttää apukäsiä. 

Tällä lisenssillä saat muutamia lisäominaisuuksia, kuten useamman branding templaten sekä hiukan laajemmat kontrollit esimerkiksi automatiikan osalta. Microftin sivuilta löydät lisätietoja.

Salatun postin avaamiseksi henkilön pitää tunnistautua joko käyttämällä omaa tunnustaan (esim. M365, Gmail) tai vaihtoehtoisesti kertakäyttöisellä koodilla, jonka käyttäjä saa sähköpostiinsa.  Käytännössä rajaus määrätylle henkilölle toteutuu, kun posti lähetetään henkilön omaan osoitteeseen. 

Oletuksena tiedostot kryptataan (suojataan) tuettujen tiedostotyyppien osalta erikseen. Tällöin tiedosto on myös erikseen kryptattu, jolloin käyttäjällä tulee olla valmius avata tällaisia tiedostoja. Suojaus voidaan konfiguraatiossa poistaa käytöstä, jolloin liitetiedostoa ei erikseen kryptata ja käyttäjä voi muokata sitä ilman erillisiä konfiguraatioita. Tämä riippumatta siitä, onko käyttäjällä käytössään Microsoft 365 vai ei. 

Kyllä integroituu. Viestit sinällään käyttäytyvät samalla tavalla kuin perinteiset sähköpostit, mutta ne ovat vain suojattu (kryptattu). Niitä voi käsitellä lähes samalla tavalla kuin muitakin. 

Saa, mutta lähtökohtaisesti ei kannata. Käytännössä tähän on parikin toteutustapaa, (esim. Mail Flow rulet) mutta harva organisaatio lähettää koko ajan sähköpostia, joka on salattava. Jatkuva kryptaus aiheuttaa ongelmia postin käsittelyyn ja on omiaan hankaloittamaan viestintää. Salauksen tulisi aina olla tietoinen päätös. Jos salaus on jatkuvasti päällä, päästään yleensä huonompaan tilanteeseen kuin ilman salausta. 

Vastaanottajan tulee korjata omat verkkorajoitteensa, koska tähän ei lähettäjä pysty vaikuttamaan. 

Riippuu siitä, miten salattu sähköposti on toteutettu. Jos liitteitä ei erikseen kryptata (salata), voidaan ne siirtää dokumenttienhallintajärjestelmään sellaisenaan. Tässä kohdassa on tärkeää muistaa, että liitettä ei jätetä työasemalle. 

Jos myös liite on salattu erikseen, tulee dokumentinhallintajärjestelmissä yleensä haasteita. Niihin harvemmin voidaan kryptattuja tiedostoja viedä käytettävyys säilyttäen. Tällöin tiedoston kryptaus pitäisi purkaa välissä.

Yleisesti tähän väliin ei rakenneta suojauksia. Periaatteessa Mail flow rulella päästäisiin vaikuttamaan suojaukseen, mutta posti on joka tapauksessa jo liikkunut Microsoftin omaan verkkoon toimiston internet-yhteyttä pitkin, jolloin kryptauksen merkitys ei ole niin suuri. Käyttäjiä voisi myös ohjeistaa käyttämään OneDrive-sovellusta mobiiliissa ja skannaamaan sillä.

Jos suojaukseen käytetään ”taikasanaa”, voidaan suojata myös muilla sovelluksilla lähetettyjä viestejä. Jos halutaan helppokäyttöisyyttä ja toimitaan viestin lähettäjinä, on Outlook-sovellus tai selainversio paras vaihtoehto.  Viestin vastaanottajalla ei tarvitse olla Outlookia käytössä

Tähän pitää pohtia ratkaisu aina tapauskohtaisesti, tehdäänkö se esimerkiksi Exchangen käytäntöjen avulla.

Riippuu tapauksesta. Sensitivity labelin osalta organisaation käyttämät järjestelmät, kulttuuri ja arkistoinnin tarpeet vaikuttavat paljon siihen, mitä kannattaa tehdä ja mitä ei.

Suoraan ei, mutta virittämällä (moduulin asentaminen) ne voisi saada toimimaan. 

Liitteet kulkevat samalla tavalla kuin salattu posti, vaikka niitä ei erikseen salata. Erillinen salaus on vain ns. lisäturva, jossa liite on salattu vielä erikseen. Tämä vaikuttaa lähinnä siihen, mitä vastapuoli voi liitteellä tehdä. 

Exchange ja Gmail pyrkivät todellakin hyödyntämään TSL:ää aina kun se on mahdollista. Ne osaavat myös tarvittaessa käyttää vähemmän suojattua väylää viestinvälitykseen. Viestin salaaminen varmistaa, että se ei aiheuta ongelmia.

Tämä riippuu käytössä olevasta Outlook-versiosta. Viesti pyritään avaamaan suoraan Outlookissa, mutta jos se ei onnistu, niin näette vastaavan sivun kuin Gmailissa. 

Lähtökohtaisesti kyllä, mutta sillä erotuksella, että osassa palveluista käytössä on vain ”one time passcode”. Gmailissa voi myös tunnistautua Gmail-tunnuksella. 

Kyllä, silloin kun salatun viestin lähettää eteenpäin siitä portaalista, johon Gmailista päätyy.

Liitteiden kokorajoitus salatuille viesteille (sisältäen viestin) on 25MB ja sitä ei saa muutettua. 

Tällä hetkellä Microsoftin salattu sähköposti ei tue puhelinvarmistusta (esim. SMS), mutta One time passcode sähköpostilla on tuettu.

Kyllä. Konfiguraatiossa on mahdollista ottaa liitteiden kryptaaminen käyttöön tai poistaa se käytöstä (myös PDF). 

Tämä riippuu konfiguraatiosta, mutta se saadaan toimimaan myös hybridissä, kun sähköpostin reititys on konfiguroitu oikein. 

OME v1 (ns. Legacy OME) on perustunut Mail Flow ruleihin,ja  niitä muokkaamalla se poistuu käytöstä. Lisätietoja löydät Microsoftin sivuilta. 

Kyseessä oli kaksi erilaista esimerkkiä, miten Outlook pystyy salatun postin näyttämään ja miten se näkyy Gmailissa. Vastaanottajan sähköpostipalvelulle ei ole rajoituksia.

Kevätkauden tallenteet

Palaa hetkeksi takaisin Teknologiatorstain kevätkauden tunnelmiin, ja katso menneen kauden tallenteita.

Siirry tallenteisiin

Teknologiatorstai

Uudessa webinaarisarjassamme opit asiantuntijoilta, mitä sinun kuuluu tietää tietoturvasta juuri nyt.

Teknologiatorstai

Uudessa webinaarisarjassamme opit asiantuntijoilta, mitä sinun kuuluu tietää tietoturvasta juuri nyt.