Flera verksamheter har behov att kunna dela skyddsvärd information med andra organisationer vilket är en syftena med Azure Information Protection.

Att kunna skydda valfri fil med behörighet till en extern organisation, på enkelt sätta kunna dela den via epost och följa upp dess användning är något som ofta efterfrågas.

Följande scenario beskrivs i den här artikeln

En användare klassificerar och skyddar en fil med Custom permission för att skydda den en hel organisation

Användaren skall sedan skicka filen till en kontakt hos den andra organisationen som i sin tur behöver kunna dela den vidare inom sin organisation.

När användaren bifogar den här filen i Outlook kommer Outlook rekommendera användaren att applicera motsvarande informationsklassificering även på själva epostmeddelandet

När användaren bekräftar rekommendationen får själva e-postmeddelandet motsvarande label och när det skickas kommer Exchange att kryptera epostmeddelandet till mottagaren utan att begränsa dess möjlighet att skicka det vidare. Behörigheten på den bifogade filen skyddar filen att kunna delas utanför mottagarens organisation.

Mottagaren får det skyddade epostmeddelandet och dess bilaga och kan sedan dela det vidare. Oavsett var den bifogade filen sedan kopieras eller lagras bevaras skyddet till enbart mottagarens organisation (och avsändaren som skyddade filen)

Avsändaren kan sedan följa upp vilka inom organisationen som tagit del av dokumentet. Skulle det finnas ett behov kan även tillgången till dokumentet återtas (revokeras).
På det sättet bevarar vi kontrollen av dokumentet oavsett delning

Problematiken och lösningen för denna konfigurationen

Problematiken rör att ”Custom Permission” inte finns som alternativ för Outlook. Enda konfigurationsmöjligheten som idag finns i Azure Information Protection (AIP) är att definiera att e-post som klassificeras med samma Label skyddas med begränsade rättigheter att exempelvis vidarebefordra i Outlook.
Den här konfigurationen kräver att man utelämnar det alternativt vilket resulterar i att e-postmeddelandet enbart får själva Labeln och dess metadata.

För att få Outlook att antingen rekommendera eller påtvinga motsvarande Label som bifogad bilaga ändrar vi detta i AIP Policyn. Skiljer behoven inom verksamheten kan vi definiera flera policys och på så sätt få olika beteenden för olika användare/avdelningar.

För att få kryptering lägger vi på en Exchange Transport Rule som krypterar epostmeddelanden med denna Label. Krypteringen som vi applicerar ger fulla rättigheter till mottagarna som då även kan vidarebefordra epostmeddelandet vid behov. Eftersom själva dokumentet redan är krypterat (med Custom Permission) kommer inte e-postmeddelandets bilaga förändras utan behörigheten till dokumentet begränsas alltid till det som användaren definierade initialt.

Förutom den tekniska konfigurationen behövs som alltid även en väl genomförd användarutbildning/instruktion över hur den här funktionen skall användas och vilken upplevelse det blir för mottagaren av e-postmeddelandet.