先日の Ignite で発表されていた Office 365 Message Encryption の新機能が使えるようになっていました。これは既存の Office 365 Message Encryption (OME) と Information Rights Management (IRM) が統合されたもののようです。
メールの暗号化や、転送禁止・読み取り専用・印刷禁止などの制限を Office 365 のテナント外の相手に対しても送信できるようになり、新たに Mac 版の Outlook (読むだけなら Outlook for Android / iOS も*1 ) もサポートされるようになります。
新機能を使うには
この機能を使うには「Exchange Online または Exchange Online Protection と Azure Rights Management」または「Exchange Online または Exchange Online Protection と Azure Information Protection のサブスクリプション」が必要になります。
Office 365 E3 や E5, E5 Education あたりだとすぐに試すことができますが、一般のご家庭で導入が多い Office 365 Business Premium/Essentials だと、追加で Azure Information Protection や Enterprise Mobility + Security を追加する必要があります。ちょっと敷居が高いですね。
新機能を試してみる
幸いにして E3 の契約があったので、早速有効化してみました。設定は PowerShell でおこなうので、 Azure Rights Management 用 Windows PowerShell が必要になります。
ちょっと長いですが、ドキュメントを見ながらコマンドを入力していきます。
Step 1: Azure Rights Management サービスに接続する
$cred = Get-Credential Get-Command -Module aadrm Connect-AadrmService -Credential $cred
もし、多要素認証を使っている場合はコチラを参照するか、素直に管理者アカウントを別に作っておきましょう。
Step 2: サービスの有効化
Enable-Aadrm
何か警告が出ていますが、無視して進めます。
Step 3: Message Encryption に必要な設定情報の取得
$rmsConfig = Get-AadrmConfiguration $licenseUri = $rmsConfig.LicensingIntranetDistributionPointUrl
Step 4: Azure Rights Management サービスから切断する
Disconnect-AadrmService
Step 5: Exchange Online に接続する
$session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection Import-PSSession $session
Step 6: IRM の設定を取得する
$irmConfig = Get-IRMConfiguration $list = $irmConfig.LicensingLocation if (!$list) { $list = @() } if (!$list.Contains($licenseUri)) { $list += $licenseUri }
Step 7: Message Encryption を有効化する
Set-IRMConfiguration -LicensingLocation $list Set-IRMConfiguration -AzureRMSLicensingEnabled $true -InternalLicensingEnabled $true
Step 8: Outlook on the Web の「保護」ボタンを有効にする(お好みで)
Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
Step 9: Outlook on the Web, Outlook for Android/iOS 接続用の設定を有効にする
Set-IRMConfiguration -ClientAccessServerEnabled $true
ここでも何か警告が出ましたが、どんどん進みます。
動作確認
Test-IRMConfiguration コマンドレットを使って動作確認します。
Test-IRMConfiguration
最後に「全体的な結果: 合格」と表示されれば成功です。セッションを閉じて終了しましょう。
Remove-PSSession $session
メールを送ってみる
設定後、Outlook on the Web でボタンが表示されるようになるまで 1 日程度待った方がと書かれていましたが、手元の環境ではすぐに「保護」ボタンが表示されていました。
「保護」を押すと転送不可の設定になりましたが、他にも何通りかのテンプレートが設定されています。
一番厳しそうな「組織内限定、読み取り専用」のテンプレートで、わざと外部にメールを送ってみます。
受信者には保護されたメッセージを受信したというメールが届きました。
「メッセージを読む」ボタンを押すと、ブラウザで OME ポータルが開き、Microsoft アカウントまたはワンタイムパスワードでのサインインを要求されます。ここで、ワンタイムパスワードを選ぶと別途メールでパスワードが送信されてきました。
ただ、今回は組織内限定のテンプレートで送っていたので、メールの中身を見ることはできませんでした。秘密は守られた!
尚、同じメールを組織内のアカウントに送ると、ちゃんと中身を見ることができました。期待通りに動作しているようですね。
*1:Windows Phone 版 Outlook は?
