Double Key Encryption (DKE) for Microsoft Information Protection

This week Microsoft Ignite starts. One of the biggest news around Microsoft Information Protection is the new encryption technology. This is meant to be the new Hold Your Own Key (HYOK) option that will replace the alternative to use AD RMS. The new technology is called Double Key Encryption (DKE), simply because it uses two keys to protect your data—one key in your control, and the other one is your Azure RMS key. Viewing data protected with Double Key Encryption requires access to both keys. Compared to AD RMS (that is built on the local Active Directory) DKE are using Azure AD. In the same way as Azure RMS information can be protected to both internal as well as external users.

The content that is being encrypted with DKE is protected with your own key (where ever the content is stored). You have a lot of options for your own key, that is running on a web service that can be stored where ever you want. Access to this key is definied by you, which give you a lot of possibilities to meet different business requirements.
The concept is still that Microsoft doesn’t have access to this key and therefor none of the online services from Microsoft will work. No support of Office Online apps/Microsoft Teams or actions like co-authoring or eDiscovery/content search is available.

This technology is built into the Modern Office, also called Office ProPlus that will have support to encrypt and decrypt with DKE. In the first release this will only work on Office for Windows, but the plan is to release this to all kind of platforms (iOS, Mac, Android etc.) The goal is to support email encryption as well (with the requirement to use the modern Outlook app) but for now, DKE only supports Office Documents, Excel files and PowerPoints.

In the same way as HYOK with AD RMS this is only meant to be use for certain highly confidential information. Information that have this specific business encryption/access requirements.

image

I will not keep trying to explain this technology more in text Have a lock at this video where I explain the concept and everything you need to know about the encryption and decryption with DKE.

Publicerat i Microsoft Information Protection | Märkt | Lämna en kommentar

Auto-labeling for Office Online services

Last week Microsoft released a new function to be able to act on data-at-rest information in Teams (SharePoint and OneDrive). In my previous article about how to prevent information leakage when inviting external guests into Teams, we had a scenario for “Project Delta”. The business case was to be able to share the project information in a secure way to all internal and external project members. There was also a requirement to restrict internal sensitive information to invited guests.

This article is about how to automatically identify and protect information. In many cases we already have existing sensitive information without correct classification and protection at rest. For local files we have had the AIP Scanner for a while that is able to both identify certain information as well as label this information with the correct information classification and protection (when needed). For data stored in the cloud (Office 365) we have had the possibility to identify the same information with the build in solutions in Compliance Center. What we now have is possibility to also apply classification and protection automatically, to identified files in the cloud.

Let’s go back to the previous business case for “Project Delta”.

When it comes to identify information all the different solutions use “Sensitive info types” from the Compliance portal. Here we have the built-in information types that includes everything from financial, privacy to medical and health information. imageWe also have possibilities to create our own information types.
In this example we have a project with a defined project number (that is used for example in document templates). We have created a sensitivity info type that looks for this number.

The result from this will show us (under Data classification in the Compliance portal) how many files we have in Office 365 that includes information related to Project Delta.

image image

Auto-labeling

The new auto-labeling feature gives us the possibility to take action on this information.
Auto-labeling is found under Information Protection in the Compliance portal

image

A new policy gives us the possibility to act on predefined information types or create a custom policy.

image

We then specify the location for the information we want to automatically apply labels to.

image

For each of these locations we can create specific rules with conditions. In our case we want to identify everything that include Project Delta information and apply protection to it.

imageimage

Another scenario would be more advanced rules for instance to only label Project Delta information that is being shared externally.

We then choose what Label we want to apply for identified information. Where we choose the Label for Project Delta.

When we turn on this policy it will start in simulation mode. This help us ensure that we apply the label to correct information.

We can then go back and review which files have been identified and ensure that the policy is properly configured.

image

When we are ready, we can turn on the policy.

image

The result will be that identified Project Delta information in all these locations will be automatically classified and protected to only the members of the project.

imageimage

Other solutions to identify Project Delta information based on this sensitivity info type

  • Auto-Labeling in Office that can auto apply a label or recommend the end-user to apply the correct labelimage

  • Scan local file shares and SharePoint servers with the AIP Scanner.
    The scanner uses the same sensitivity info types and gives a view of all local files including Project Delta information.
    image

The AIP scanner have a couple of news as well. Let’s keep that for a coming article

Publicerat i Microsoft Information Protection | Märkt | Lämna en kommentar

Information Protection reduces the risk with guest invites into Teams

I have met a lot of customers who have hesitated to enable the possibility to invite external guests into Teams (and SharePoint/OneDrive). In all cases the concern is about information leakage. “What if our users invite others that are getting access to sensitive information”?

image

The solution in all these scenarios are classification and protection.

If the information is classified correctly with protection for sensitive information, we can mitigate the risks of information leakage.

Let’s take an example with this scenario.

The business requirements

This organization wants to be able to invite external guests.

They have a couple of projects that needs to include external users that also need to be able access sensitive project information.

They also have internal information that needs to be blocked for the external users. There are also internal SharePoint and Team sites that can’t allow external guests at all.

The Solution

Let’s start with the last business requirement where we need to define which sites that should allow external invites.
Based on Classification of the site itself we are able to define if external invites are allowed or not. In this scenario, Confidential sites allow external invites while Secret sites do not.
More about what’s behind the scene can be read in my previous post

image image

Let’s focus on an example for a sensitive project that should only be accessible for the project members (both internal and external users).

This is Project Delta

Project leader, Peter can invite members (because this is classified Confidential site) and in this case he invites an external account via Azure AD B2B.

The external users get an invite and are able to access this Team site.

image

image

When we look at all stored information on this Teams site the user can easily see how each of these files are classified.

Based on the classification we also have protection and access control of these files.

image

The external user is able open information classified and protected to Project Delta

image

If he downloads these documents the local copy will be protected and only accessible for Project Delta members

image

The external user will also have access to default classified Business documents but will be restricted from accessing classified Confidential or secret information that is protected for internal use only

image

image

The Setup

In the background we have the following setup

image

There is an Office 365 group that was created in the back end by default when the Project Delta Team was created.
This group also gives access to the same SharePoint site that is used for this Project Delta Team.

 

This group is then used to give access to information protected by the Project Delta label

image

With this setup we support the project leader to follow the business requirements.

Based on the site classification he can create a Teams site that allows invites of external guests. Hi can also make sure that information for the Delta project is limited only for the project members that also include his invited guest. By classifying information as Confidential Peter can choose if information should be available for Project Delta.

image

image

Peter can also classify information as Confidential and define if the information should be restricted to “Internal” users. This prevent all external guests to access any of this content.

 

In the next article we going to go through how we can support Project Delta, to automatically identify and protect their information as soon as it being stored in Microsoft/Office 365. This with the recently released “Auto Classification” that helps us act on data-at rest in the cloud. Stay tuned!

Publicerat i Microsoft Information Protection | Märkt | 1 kommentar

Classify SharePoint sites, Teams and Groups

The demands to have a mobile way to work grows all the time. In the time of writing this article the biggest motivation is the current spread of the Covid 19 virus. More companies start using Teams, SharePoint Online and Office 365 groups as tools to access information, coworking and sharing information in or outside the organization. Information Classification and Protection is as always a mayor player when it comes to the mobile work to prevent information leakage.

The possibility to classify information grows. One of the latest update to the MIP story is the possibility to classify Teams, SharePoint sites and Office 365 groups. All these services got different settings that control if the service:

– Is Private/Public (Allows external invites)

– Only allow the owner to add members

– Allow full, limited or block access for unmanaged devices

Based on the above control settings the business (information owner) can decide what settings that meets their information classification.
A classified Team or SharePoint site will show the end users what kind of classification / sensitivity the specific site have, as well as enforcing the defined access control setting.

Classify site and teams

image

Let’s have a look how to get started and how this will affect the end user in the following video:

 

The attentive reader may have seen in the above picture that the word document is classified with a different classification/label than the SharePoint site. A classified Teams, SharePoint site will not affect document that are stored or created from this site. The purpose of the classification is to show the sensitivity for the end user of the site itself, as well as preventing information leakage by restricting permissions to different actions.

To be able to restrict different action for an unmanaged/unsanctioned device a Conditional Access policy need to be defined for the affected users, to the cloud app Office 365, with app enforced restriction for the session

image image

If there is a need to enforce a specific classification for the documents as well this can be done today by using Microsoft Cloud App Security or Auto-Labeling, but that is another (coming) article

Publicerat i Microsoft Information Protection | Märkt | 1 kommentar

Trainable classifier

I usually blog only in Swedish but will from now on mix articles based on the content in Swedish or English. In this case it’s quite easy to choose since this article is about a new fantastic technic that can help your organization to find patterns in your information which can be basis for information classification. For now, this only works for information in English.

Why and when should we have use of trainable classifiers?

Today we can choose to either let the author of the information decide the correct information classification/label or we can automatically detect content like word, phrases or expression types that decide the correct information classification.

For example, if the document includes everything from predefined information types like credit card numbers, social security numbers to organization specific types, like project names or unique identifiers of drawings or recipes, it can be automatically classified. The classification can result in encryption or other data loss prevention technics.

But what if the organization can´t identify what´s unique for certain information? For example, if there have been projects that are working with sensitive information around a new invention but doesn’t have anything that is unique for all these documents?
The trainable classifier is meant just for these kinds of cases. Based on machine learning it can identify patterns by looking at existing documents. Basically, you point out a location that includes this information. Once it processes files in the location, you test the result by giving it a mix of both matching and non-matching documents and manually help the classifier to reduce the false positive predictions.

Let’s have a look in the compliance portal to find out more.

Trainable classified can be found under Data classification in Microsoft 365 compliance portal

image

Before you can start using this function in needs to scan your content and this can take up to 2 weeks to finish. I tried this in two different tenants and for our production tenant where we had a lot of data it took 8 days and in our test tenant with less data it took 12 days.

When the analytics is done you will find 6 predefined classifiers.

image

For instance, I can see high value of looking for “Threat” that detects a specific category of offensive language text containing threats to commit violence or do physical harm or damage to a person or property. One example of action here would be to identify and block email and chat with this kind of information.

Create a trainable classifier

Let’s create our own trainable classifier. The requirement is that the content needs to be stored in SharePoint Online. The file types that are supported are listed here. It needs to be 50 files at least, where the latest 500 files are the once that will be scanned (if the location includes more files).

I had no more imagination than sending up 50+ RMS logs which I changed the file format to .txt to be able to crawl these files. This is just for testing and demonstration but a business need here could be that sensitive log data needs to identified and retained for a specific time.

image

The syntax in those two fields is very strict and needs to be as follows:

image

As you can see in the following picture it can take up to 24 hours to analyze the content. You need to be patience testing this.

image

…after 3 hours I was able to start testing my classifier

image

image

I started out with creating two word documents, one with RMS log data and another one with only some characters from a log and other data that shouldn’t be identified as a RMS log. I uploaded these to another folder in SharePoint and added this location

image

image

The work wasn’t done after reviewing 2 files.. The portal now showed the following

image

As you can read under Classified accuracy above, It’s recommended (and also required) to test 200 items at least.

I uploaded 200+ files with a mix of correct logs and other type of log files and continued with the review.
When this was done it was possible to publish my classifier

image

image

I now have a new classifier ready to use that is showed together with the pre defined classifiers created by Microsoft.

image

Start using trainable classifier

Lets have a look in different types of action that can be taken based on the trainable classifier.

It can be used to auto-label a sensitivity label for Office apps:

image image

The end user experience will be that, as soon as RMS log data is added to an Office document it will recommend (or automatically) change label and protect the file.

image

The classifier can be used as condition for a Retention Label (that can retain or delete content).
For now I had to use the classic Security & Compliance portal to be able to choose a trainable classifier as a condition for a Retention Label.

image

I can then create a Data Loss Prevention policy based on this retention label for SharePoint, OneDrive, Teams etc. To be able on act on data at rest in Office 365.

image

You can find more information and examples here

Trainable Classifier is another good example of technics that can help de business to identify and act on sensitive information. As always, it´s important to include the organizations information owners and appointed CISO or equivalent role in this work.

Publicerat i Microsoft Information Protection | Märkt | Lämna en kommentar

M365 Compliance nyheter Data classification

Arbetet fortsätter att konsolidera och centralisera både övervakning och möjligheten att ta åtgärd av verksamhetens information.

Vi har tidigare skrivit om hur alla loggar av klassificerad och skyddad informationclip_image001 centraliserats till den klassiska Azure Information Portalen. Den här klassiska portalen är fortfarande den portal som ger mest insikt idag. Där emot är och kommer detta fortsätta vara ”Public Preview” och alltså aldrig bli det Generally available (GA). Anledningen till detta är att all fortsatt utveckling går mot Microsoft Compliance Portalen. Vi kommer få se en hel del nyheter under det kommande året i den här Compliance portalen.

På samma sätt som att vi idag konfigurerar Unified Labels och kan skräddarsy egna informationstyper från den här portalen kan vi även följa upp hur dessa används. I nuläget är det mest information från data som lagras och hanteras av Office 365. Vi kan följa upp vilka informationsklassifikationer/labels som används mest och se vilka informationstyper (både fördefinierade och egna) som förekommer både i nya och lagrade filer.

image

Sensitive info types

Det här ger oss bra möjlighet att stötta verksamheten och göra utredningar, både runt färdiga standardiserade informationstyper (kreditkortsnummer, pass, person-nummer osv) samt skräddarsydda informationstyper. Vi kan skapa avancerade regler baserat på allt ifrån ord, meningar eller mönster av information (regular expression). Baserat på dessa informationstyper kan vi sedan söka igenom vår data för att få insikt i olika typer av frågeställningar. Exempelvis hur många dokument:

– förekommer med GDPR relaterade uppgifter

– innehåller kreditkortsuppgifter

– innehåller information om kommande uppköp

– innehåller information om börsnotering

… listan kan göras lång och baseras på vilka behov som finns.

image

Content explorer

För att lista data som innehåller dessa informationstyper används Content explorer. En första vy ger oss en inblick i hur många filer som uppmärksammats med de mest förekommande informationstyperna. På samma sätt listas även de mest nyttjade informationsklasserna (Sensitivity labels). Vi får en tydlig bild över vilka Office 365 tjänster (Exchange, SharePoint, OneDrive) som innehåller de här informationstyperna eller klassificerad information. Den här listan kommer växa under året med fler källor.

Exemplet här listar vilka filer som innehåller personnummer och redovisar hur många av dessa som förekommer i verksamhetens e-post (Exchange), SharePoint eller OneDrive image

Rättigheter och spårbarhet

Vidare har vi även möjlighet att se detaljer och se aktuella data som innehåller den här informationen. Första frågan som de flesta organisationer ställer sig här rör både privacy och governance, vem kan se det här och hur kan vi styra/kontrollera vilka som har den här möjligheten.

Redan nu finns flera tekniker på plats för att kontrollera tillgång till denna vy.

En global administratör kan inte se några detaljer. Utan möts av följande:

image

Precis som det redovisas finns det två olika rättigheter som ger olika typer av rättigheter till detta.
”Content Explorer List Viewer” Den här rättigheten ger en insikt i vilka dokument/tjänster som innehåller dessa informationstyper/klasser.

Administratören kommer så långt att den kan identifiera på filnamn över filer som innehåller en viss typ av information/klass. Där efter tar det stopp.

image

Genom att tilldela administratören även rättigheterna ”Content Explorer Content Viewer” ges full insikt där även de dokument som innehåller den här typen av information eller klassning redovisas.

image

Med andra ord vill vi hålla koll på vilka administratörer som innehar rättigheterna ”Content Explorer Content viewer” och se till att konton med denna roll inte är permanent administratör utan använder PIM eller dylikt för att skydda och kontrollera behörigheten till den här typen av information.
Det här är fortfarande insider preview och är en funktion i Office 365 E5.

Agera på identifierade risker

Baserat på vad som identifierat kan vi sedan använda olika typer av tekniker för att agera och exempelvis skapa en DLP Policy som antingen krypterar innehållet eller motverkar tillgång till filerna för vissa användare
image

Vill du också testa på den här funktionen, kan du ansöka om att vara med i denna preview och mycket annat här: https://aka.ms/mip-preview

Rekommenderat är att du gör detta i en test-tenant. Som alltid måste CISO (eller motsvarande verksamhetsroll) involveras innan detta tas i skarp drift.

Publicerat i Microsoft Information Protection | Märkt , | Lämna en kommentar

Kritiska sårbarheter i RDGW och CryptoAPI

Det är alltid viktig att hålla sig uppdaterad runt nya identifierade sårbarheter för sina system och se till att dessa blir patchade så snart som möjligt. Under gårdagen släpptes två extremt viktiga uppdateringar som bör vara högsta prioritet att få ut på alla berörda system.

Det är dels en uppdatering för Windows Remote Desktop Gateway (RD Gateway) där det identifierats en sårbarhet som gör det möjligt att ta sig in via en publicerad RD Gateway. Sårbarheten gör det möjligt att ta sig in via RDP mot tillgängliga system utan autentisering. Vi har redan hört flera verksamheter som blivit attackerade med den här metoden. Sårbarheten rör alla Server versioner från Windows Server 2012 till Windows Server 2019.
Patcha så snart som möjligt! Skulle det vara något som hindrar en uppdatering/omstart börja med att inaktivera den externa tillgången tills uppdateringen är på plats.
Läs mer om uppdateringen här https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0609

Det har också identifierat en sårbarhet i Windows CryptoAPI (crypt32.dll) som gör det möjligt att skriva kod som ser ut att vara korrekt signerad av en pålitlig utgivare (ECC Certifikat). Det här gör det möjligt att ta sig förbi flera säkerhetssystem som förlitar sig på signerade applikationer och även för att göra man-in-the-middle attacker som baserar sin kryptering av dessa certifikat.
Sårbarheten berör både Windows Server från 2016 till de senaste releaserna samt Windows 10!

Patcha så snart som möjligt!
Läser mer om uppdateringen här: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601

Patchar för båda sårbarheterna är inkluderade i januaris Cumulativa uppdatering:

RDGWPatch

image

Publicerat i Threat Protection | Märkt , , | Lämna en kommentar

Höj säkerheten i lokala ADt med Identity Security Posture

Advanced Threat Analytics (ATA) och dess motsvarighet med molnhantering Azure Advanced Threat Protection (Azure ATP) har förutom att detektera intrång i lokal infrastruktur också varit ett bra verktyg för att identifiera sårbarheter.

Sårbarheter kan vara allt ifrån svaga protokoll, felkonfigureringar till lösenord som går i klartext över våra nätverk. Det är inte helt ovanligt att det lokala Active Directoryt har uppgraderats succesivt utan att äldre protokoll och standarder har inaktiverats. Ofta finns det en osäkerhet vilka system som kan tänkas använda dom fortfarande och vilken påverkan det har för verksamheten att stänga ner dessa.

Identity Security Posture
För att få det underlag som oftast krävs för att göra en förändring finns nu en lösning, vid namn Identity Security Posture som redovisar sårbarheter och vilka tjänster, enheter och användare som påverkas.

image

Det här är en del av Microsoft Cloud App Security (MCAS) och förutsätter då att man integrerat Azure ATP med MCAS.

image

Identity Security Posture ligger som en ny tjänst under Investigate i MCAS och identifierar i nuläget följande sårbarheter:

· entities exposing credentials in clear text

· legacy protocols usage

· weak cipher usage

· unsecure Kerberos delegations

· Print spooler service on domain controllers

· dormant entities from sensitive groups

Respektive sårbarhet får en klassificering över hur kritisk den är för att stötta verksamheten att prioritera.

Genom att gå in på detaljer redovisas vilka objekt som är relaterade av sårbarheten och ger möjlighet att se detaljerna som Azure ATP identifierat.

Vi får även guidning över hur vi kan förhindra sårbarheten och möjligheten att via den här tjänsten få uppföljning om vi lyckats motverka den.

Som exempel har vi ofta detekterat att det går lösenord i klartext när vi börjat utreda en ny kund och första utmaningen handlar om att utreda vad som kommer påverkas i verksamheten om vi förhindrar detta. Tack vare den här lösningen får vi en insyn över vilka servrar och konton som är inblandade. På så sätt kan vi involvera tjänsteägare för att först lösa verksamhetsbehoven, för att sedan motverka sårbarheten. Exemplet nedan visar detaljer över vilka konton och servrar som använder RC4, DES och kan följa upp aktiviteterna som Azure ATP fångat upp.

image

Ett annat bra exempel handlar om våra känsliga konton med höga rättigheter. Exempelvis domänadministratörer eller andra känsliga konton. Här kommer oftast frågor som: Används fortfarande kontot eller när används det senast?

Här redovisas precis detta och ger oss underlag för att kunna ta ett beslut om kontot ska åtgärdas.

image

Publicerat i Threat Protection | Lämna en kommentar

Klassificera och skydda dokument i Office Online

Under Ignite lanserade Microsoft en preview för att aktivera Unified Labeling i SharePoint Online. Vad betyder då detta och vad blir effekten av att gå med i denna preview?

image

Först och främst. SharePoint Online täcker en hel del tjänster och innefattar också Teams, OneDrive (for business) och Office Online. Till exempel när du via Office.com eller via Teams väljer att skapa ett nytt Office dokument och jobba online med detta.

Office Online möjliggör klassificering och skydd av dokument

Vi får nu stöd att klassificera och skydda dokument som skapas online (exempelvis via Teams). Där vi finner en ”Sensitivity” -knapp som redovisar våra Unified Labels.

image image
Exempel på dokument som skapats från Teams klienten eller Office Online (i detta fall OneDrive for Business)

Detta resulterar i att vi förtydligar informationens klassning/känslighet och även att vi begränsar informationen till de som är inkluderade i den applicerade policyn. Delas eller laddas informationen, vidhålls eventuell kryptering/behörighet och säkerhetsställer att informationen är skyddad i alla typer av tillstånd.

Office online ger stöd att öppna befintligt skyddade dokument

Befintligt skyddade filer (som skyddads med Azure RMS inom samma tenant) kan nu redigeras via Office Online (Teams, SharePoint, OneDrive). När den här funktionen aktiveras får SharePoint Online rättigheter att dekryptera innehållet. Behörigheterna som är definierade i Unified Labeling för den respektive labeln kommer vidhållas.
Resultatet blir, att så länge den autentiserade användaren har behörighet definierade för den specifika labeln ger SharePoint Online motsvarande rättigheter till dokumentet via Teams eller webbläsaren.

På det här sättet får vi lager på lager skydd för att säkerhetsställa att information klassificerad exempelvis enbart för intern användning inte går att nå för en externt inbjuden användare till vår Teamskanal eller SharePoint bibliotek.

Skyddet vidhålls om filen laddas ner och återgår till ursprungsläget med den RMS kryptering som var applicerad baserat på dokumentets label.

Förkrav och möjliga undantag

Unified Labeling måste vara aktiverat så det finns publicerade labels i Unified Labeling för de användare som ska nyttja lösningen. Om man vill begränsa en pilot för möjlighet att klassificera dokument i onlinelösningen finns möjligheten att enbart publicera Unified Labeling till dessa användare/grupper.

Dokument som krypteras med användardefinierade behörigheter så som Custom Permissions (eller Do Not Forward/Encrypt via E-post) kommer inte kunna (dekrypteras) editeras via dessa online lösningar.
För att detta ska fungera måste krypteringens behörighet vara definierade i den applicerade policyn. På det här sättet kan organisationen själva styra över vilken känslighet på information som är tillåten att användas vi online tjänster.

De labels som innebär kryptering måste använda Azure Cloud Key för att få möjlighet att öppna dessa filer via online tjänsterna. Används en annan nyckel så som AD RMS måste dokumentet öppnas med lokalt installerad Office precis på samma sätt som det fungerar idag med alla skyddade filer om man inte går med i denna preview.

Viktigt beslut innan aktivering

Allt som rör informationshantering ägs av verksamheten (och eventuell utsedd CISO). Med andra ord, IT kan inte besluta om den här funktionen ska aktiveras. Beslutet ägs av verksamheten! Även om lösningen främjar vårat informationsskydd och förenklar för våra användare måste verksamheten/CISOn vara medveten om att RMS-krypteringen ersätts av befintlig data-at-rest krypteringen under lagring i Office online.
Det finns som sagt lösningar för att förhindra detta för vissa labels med hjälp av HYOK, användardefinierade behörigheter eller baserat på inställningen per bibliotek i SharePoint.


Publicerat i Microsoft Information Protection | Märkt | Lämna en kommentar

Klassificera och skydda epost oavsett enhet

Imorgon drar Microsoft Ignite igång i Orlando och Microsoft beräknas släppa en hel del nya tjänster. Redan under veckan som varit har vi fått nya funktioner för att klassificera och skydda e-postmeddelanden oavsett enhet.

Vi har dels fått nya funktioner i Outlook Web App (OWA) som gör att vi kan klassificera och skydda e-postmeddelanden direkt via webbläsaren. Vi har även fått samma möjlighet till Outlook appen för b.la. iOS som gör det enkelt när vi skickar e-post via iPhone/iPad.
Tekniken som används för kryptering är Exchange IRM med så kallad ”server side encryption” där kryptering/dekryptering sker av Exchange servern. Kraven för att det här ska fungera, är att organisationen använder Unified Labeling och Exchange Online, som tillsammans ger möjlighet att båda klassificera och skydda vår information. Klassificeringen gör att vi tydliggör känsligheten på informationen för mottagarna men också att organisationen får metadata stämplat i mailet som gör att vi kan ta olika åtgärder (DLP) på dessa mail.

image

MIPiPhoneOutlookWhite

I det här exemplet klassificerar jag ett nytt e-postmeddelande från min iPhone och tydliggör för mina kollegor att det är ”Highly Confidential” -information i detta meddelande. Jag ser även till att kryptera e-postmeddelandet med ett skydd som gör att enbart autentiserade användare i vår organisation kan läsa meddelandet. På så sätt skyddar jag informationen mot vanliga användarmisstag, så som att skicka e-post till fel (obehörig) mottagare.

Det finns även möjligheter att via Exchange transportregler baserat på informationsklassifikation/label ta olika åtgärder, exempelvis som att blockera meddelandet att skickas utanför vår organisation.

Publicerat i Exchange, Microsoft Information Protection | Märkt | Lämna en kommentar