Office 365 Message Encryption

Diese Woche gerade von zwei Kunden zum Thema “Office 365 Message Encryption” (OME) befragt worden. Wenn wohl auch zwei Schwalben noch keinen Frühling machen, möchte ich doch etwas zu OME und den Unterschieden zu “Azure Information Protection” (AIP) sagen.

Ein erster Unterschied ist die notwendige Lizenz. Während AIP nur über Microsoft 365, Enterprise Mobility & Security oder einer separaten AIP-Lizenz genutzt werden kann, ist OME bereits in Office 365 E3 enthalten.

OME wird im Exchange Admin Center als “Mailflow rule” konfiguriert. Dabei lässt sich der Schutz entsprechend automatisiert hinzufügen:

Daneben gibt es auch die Möglichkeit den Anwendern die Möglichkeit zur Verschlüsselung zu geben.

OME Verschlüsselung in der Outlook Web App OME Verschlüsselung in der Outlook Web App

Innerhalb einer Organisation ist der Schutz transparent und Anwender merken nichts von der Entschlüsselung der Nachricht.

Ist der Empfänger extern, erhält er folgende Meldungen:

Danach erhält der Anwender einen komplett im Browser stattfindenden Mailclient von Microsoft:

Hier fangen die Limitationen von OME an. Die Anmeldung ist für externe Empfänger sehr einfach. Das ist einerseits erfreulich, andererseits wäre eine Anmeldung mit Zwei-Faktor wünschenswert. 
Wie man im Screenshot sieht, ist die Verschlüsselung nur auf der E-Mail angewandt. Die Anlage kann problemlos weiter verwendet werden.

AIP ist kompletter auf den Schutz aller Informationen ausgelegt. So können mit AIP sowohl E-Mails als auch Dokumente geschützt werden. Eine Anlage erbt dabei die Klassifikation des E-Mails (ausser das Dokument ist schon höher klassifiziert). Auch komplexere Regeln mit “Azure ActiveDirectory Conditional Access” werden mit AIP möglich. Beispielsweise die Notwendigkeit seinen Account mit Zweifaktor-Authentisierung zu verifizieren bevor auf geschützte Informationen zugegriffen werden kann. Die Handhabung ist dabei für die Anwender sehr ähnlich und wird immer weiter in Office eingebaut.