Office365 Message Encryption- Entfernung des vererbten Protection Tags - 05.10.2018
von Thomas Windscheif / Microlinc
Office 365
Exchange Online
Office Message Encryption
Als ich meine ersten Artikel zur Office Message Encryption v2 geschrieben habe, fiel mir vorallen Dingen die Vererbung der Protection Tags auf Anhänge negativ auf. Im Sinne der Data Loss Prevention ist dies natürlich wünschenswert, wenn man die Nachrichtenverschlüsselung allerdings als solche sieht, ist der nochmalige Schutz der Anhänge eher weniger erfreulich.
Für externe Empfänger die über das OME-Portal auf die Inhalte zugreifen, konnte man bereits zu Beginn das Protection Tag entfernen lassen. Dies kann man in der Exchange Online Management Shell wie folgt konfigurieren:
Set-IRMConfiguration -DecryptAttachmentFromPortal $true
Bei der letzten Konfiguration eines Tenants für OMEv2 ist mir ein neuer Parameter aufgefallen "DecryptAttachmentForEncryptOnly". Und tatsächlich tut dieser auch, was er verspricht.
Wird das Template "Verschlüssen" in Outlook bzw. Outlook on the Web als Protection gewählt, kann der Empfänger die Anhänge ohne Protection Tag öffnen.
Hier nochmal der vollständige Befehl zur Deakivierung der Attachment-Protection:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
Ich bin wirklich positiv überrascht wie schnell die Anforderung von vielen umgesetzt wurde.
Wenn dann in Zukunft noch das Thema mit den Shared Mailboxen angegangen wird, ist die Lösung zumindest innerhalb einer nativen O365/Exchange Online Organisation brauchbar.
Im Zuge der Implementation ist mir noch ein ungewöhnliches Verhalten in Kombination mit dem "Nicht weiterleiten"-Tag aufgefallen. Wird im Unternehmen der IRM-Schutz für ActiveSync-basierte Verbindungen entfernt, greift die Entschlüsselung der Anhänge hier nicht, d. h. die Anhänge lassen sich nicht auf dem iOS-Device nativ öffnen. Wird dagegen "Verschlüsseln" als Tag verwendet, funktioniert das Öffnen fehlerfrei.
Um das Problem zumindest aus Outlook-Sicht zu umgehen, kann man mittel eines Registry-Keys das Protection-Tag "Nicht weiterleiten" deaktivieren:
Schlüsselpfad:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
DWORD-Wertname:
DisableDNF
Wertinhalt:
1
Unter Outlook on the Web lässt sich das Protection-Tag (Stand heute) leider noch nicht abschalten.