メール暗号化 OME(Office 365 Message Encryption)

脱PPAP（パスワード付きzipファイル送信）対策として、Microsoft 365では、2通りの手法がありますが、その内の1つであるOME（Office 365 Message Encryption）をご紹介します。
OMEの最大のメリットは、送信者は従来通りメールに添付するだけなので、送信者の操作手順を変更する必要が無いことが挙げられます。

• OMEに必要なライセンス
• OME設定
  1. Azure Rights Management が有効であることを確認
  2. Exchange Online PowerShell でOME 構成を確認
  3. メール フロー ルールを定義
• 暗号化メールを送信

OMEに必要なライセンス

OMEは下記ライセンスで利用できます。
・Microsoft 365 Business Premium
・Office 365 E3
・Office 365 E5
・Microsoft 365 E3
・Microsoft 365 E5
もしくは、
Exchange Online（Exchange Onlineを含むライセンス）＋Azure Information Protection（Plan 1以上）

OME設定

1.Azure Rights Management が有効であることを確認

Azure ポータルへアクセスして、検索窓に「Azure Information Protection」と入力します。
「サービス」一覧の「Azure Information Protection」をクリックします。

左部メニューの「保護のアクティブ化」をクリックします。
「保護の状態は アクティブ化されています。」と表示されることを確認します。

2.Exchange Online PowerShell でOME 構成を確認

まず、PowerShellを管理者モードで起動します。

PowerShellGet モジュールをインストールします。

Install-PackageProvider -Name NuGet -Force

Install-Module -Name PowerShellGet -Force

インストール済みの場合はアップデートします。

Update-Module -Name PowerShellGet
Exit

Windows PowerShell ウィンドウを閉じてから再度開きます。
Install-Module コマンドレットを使用して、PowerShell ギャラリーから EXO V2 モジュールをインストールします。

Install-Module -Name ExchangeOnlineManagement

PowerShell ウィンドウで、次のコマンドを実行して EXO V2 モジュールを読み込みます。

Connect-ExchangeOnline

対象テナントの管理者アカウントでサインインします。

接続に成功すると、下記のような表示になります。

次のコマンドを実行して 「AzureRMSLicensingEnabled」が「True」となっていることを確認します。

Get-IRMConfiguration

（Trueになっていない場合は、「Set-IRMConfiguration -AzureRMSLicensingEnabled $true」コマンドでTrueにします。）

次のコマンドを実行して動作をテストします。

Test-IRMConfiguration -Sender [テストメールアドレス]

「全体的な結果：合格」と表示されればOKです。

3.メール フロー ルールを定義

Exchange Onlineのメールフロールールを作成します。
ここでは、下記２条件を満たした際に暗号化送信する設定を行います。
・ファイルサイズが1KB以上の添付ファイルがある
・社外への送信

Exchange 管理センターより「メールフロー」＞「ルール」画面を開きます。
「＋」＞「Office 365 Message Encryptionと権利保護をメッセージに適用する」をクリックします。

任意の名前「メール暗号化送信」を入力します。
「*このルールを適用する条件」から「任意の添付ファイル」＞「サイズが次の値以上である」を選択します。

「添付ファイル サイズの制限(KB)を指定する」枠に「1」と入力します。

「条件の追加」ボタンをクリックします。

「この受信者」＞「外部/内部である」を選択します。

「受信者の場所の選択」で「組織外」を選択します。

「次のテンプレートでOffice 365 Message Encryptionと権利保護をメッセージに適用する」右側の「1つ選択してください」をクリックします。

「RMSテンプレートの選択」で「暗号化」を選択します。

「保存」ボタンをクリックして設定完了です。

暗号化メールを送信

実際に暗号化メールを送信してみます。

Outlook on the webより、社外のGmail宛てに花の写真を添付したメールを送信します。

受信者（社外のGmail）は下記のようなメールが届きます。
「メッセージを読む」をクリックします。

ここでは、Gmail以外の受信者の場合と同様に、ワンタイムパスコードで閲覧するので「ワンタイムパスコードを使用してサインイン」をクリックします。

（ちなみに、Gmailの場合は「Sign in with Google」ボタンをクリックしてGoogleアカウントのパスワードを入力すると、ワンタイムパスコードは不要です）

ワンタイムパスコードが送信され、ワンタイムパスコードの入力フォームが表示されます。

受信者（社外Gmail）宛てにワンタイムパスコードが届きます。

ワンタイムパスコードを入力して「→続行」をクリックします。

メール本文及び添付ファイルが閲覧できるようになります。

添付ファイルをプレビュー表示すると下記のようになります。
もちろん、ローカルPCへダウンロードすることもできます。

受信者が閲覧するタイミングでワンタイムパスコードを発行でき、かつワンタイムパスコードの有効期限を15分に制限しているため、安全に閲覧者を限定することができます。

受信者がMicrosoft 365ユーザーで、Outlookを使用している場合は、ワンタイムパスコード無しで通常のメールのように暗号化メールが届きます。その場合、下記画面のように一覧リストには鍵のアイコンが表示され、メッセージには「このメッセージは暗号化されています。」と表示されます。

送信者側の操作手順を変えずに利用できることは、大変便利に感じます。
この記事では、ブラウザ版のOutlook on the webからメールを送信しましたが、デスクトップ版のOutlookはもちろんのこと、スマホやタブレットからiOS版やAndroid版のOutlookからでも、添付ファイルがあれば自動暗号化送信することができます。

是非一度お試しください。