脱PPAP(パスワード付きzipファイル送信)対策として、Microsoft 365では、2通りの手法がありますが、その内の1つであるOME(Office 365 Message Encryption)をご紹介します。
OMEの最大のメリットは、送信者は従来通りメールに添付するだけなので、送信者の操作手順を変更する必要が無いことが挙げられます。
OMEに必要なライセンス
OMEは下記ライセンスで利用できます。
・Microsoft 365 Business Premium
・Office 365 E3
・Office 365 E5
・Microsoft 365 E3
・Microsoft 365 E5
もしくは、
Exchange Online(Exchange Onlineを含むライセンス)+Azure Information Protection(Plan 1以上)
OME設定
1.Azure Rights Management が有効であることを確認
Azure ポータルへアクセスして、検索窓に「Azure Information Protection」と入力します。
「サービス」一覧の「Azure Information Protection」をクリックします。
左部メニューの「保護のアクティブ化」をクリックします。
「保護の状態は アクティブ化されています。」と表示されることを確認します。
2.Exchange Online PowerShell でOME 構成を確認
まず、PowerShellを管理者モードで起動します。
PowerShellGet モジュールをインストールします。
Install-PackageProvider -Name NuGet -ForceInstall-Module -Name PowerShellGet -Forceインストール済みの場合はアップデートします。
Update-Module -Name PowerShellGet
ExitWindows PowerShell ウィンドウを閉じてから再度開きます。
Install-Module コマンドレットを使用して、PowerShell ギャラリーから EXO V2 モジュールをインストールします。
Install-Module -Name ExchangeOnlineManagement
PowerShell ウィンドウで、次のコマンドを実行して EXO V2 モジュールを読み込みます。
Connect-ExchangeOnline対象テナントの管理者アカウントでサインインします。
接続に成功すると、下記のような表示になります。
次のコマンドを実行して 「AzureRMSLicensingEnabled」が「True」となっていることを確認します。
Get-IRMConfiguration
(Trueになっていない場合は、「Set-IRMConfiguration -AzureRMSLicensingEnabled $true」コマンドでTrueにします。)
次のコマンドを実行して動作をテストします。
Test-IRMConfiguration -Sender [テストメールアドレス]
「全体的な結果:合格」と表示されればOKです。
3.メール フロー ルールを定義
Exchange Onlineのメールフロールールを作成します。
ここでは、下記2条件を満たした際に暗号化送信する設定を行います。
・ファイルサイズが1KB以上の添付ファイルがある
・社外への送信
Exchange 管理センターより「メールフロー」>「ルール」画面を開きます。
「+」>「Office 365 Message Encryptionと権利保護をメッセージに適用する」をクリックします。
任意の名前「メール暗号化送信」を入力します。
「*このルールを適用する条件」から「任意の添付ファイル」>「サイズが次の値以上である」を選択します。
「添付ファイル サイズの制限(KB)を指定する」枠に「1」と入力します。
「条件の追加」ボタンをクリックします。
「この受信者」>「外部/内部である」を選択します。
「受信者の場所の選択」で「組織外」を選択します。
「次のテンプレートでOffice 365 Message Encryptionと権利保護をメッセージに適用する」右側の「1つ選択してください」をクリックします。
「RMSテンプレートの選択」で「暗号化」を選択します。
「保存」ボタンをクリックして設定完了です。
暗号化メールを送信
実際に暗号化メールを送信してみます。
Outlook on the webより、社外のGmail宛てに花の写真を添付したメールを送信します。
受信者(社外のGmail)は下記のようなメールが届きます。
「メッセージを読む」をクリックします。
ここでは、Gmail以外の受信者の場合と同様に、ワンタイムパスコードで閲覧するので「ワンタイムパスコードを使用してサインイン」をクリックします。
(ちなみに、Gmailの場合は「Sign in with Google」ボタンをクリックしてGoogleアカウントのパスワードを入力すると、ワンタイムパスコードは不要です)
ワンタイムパスコードが送信され、ワンタイムパスコードの入力フォームが表示されます。
受信者(社外Gmail)宛てにワンタイムパスコードが届きます。
ワンタイムパスコードを入力して「→続行」をクリックします。
メール本文及び添付ファイルが閲覧できるようになります。
添付ファイルをプレビュー表示すると下記のようになります。
もちろん、ローカルPCへダウンロードすることもできます。
受信者が閲覧するタイミングでワンタイムパスコードを発行でき、かつワンタイムパスコードの有効期限を15分に制限しているため、安全に閲覧者を限定することができます。
受信者がMicrosoft 365ユーザーで、Outlookを使用している場合は、ワンタイムパスコード無しで通常のメールのように暗号化メールが届きます。その場合、下記画面のように一覧リストには鍵のアイコンが表示され、メッセージには「このメッセージは暗号化されています。」と表示されます。
送信者側の操作手順を変えずに利用できることは、大変便利に感じます。
この記事では、ブラウザ版のOutlook on the webからメールを送信しましたが、デスクトップ版のOutlookはもちろんのこと、スマホやタブレットからiOS版やAndroid版のOutlookからでも、添付ファイルがあれば自動暗号化送信することができます。
是非一度お試しください。
