Als ich meine ersten Artikel zur Office Message Encryption v2 geschrieben habe, fiel mir vorallen Dingen die Vererbung der Protection Tags auf Anhänge negativ auf. Im Sinne der Data Loss Prevention ist dies natürlich wünschenswert, wenn man die Nachrichtenverschlüsselung allerdings als solche sieht, ist der nochmalige Schutz der Anhänge eher weniger erfreulich.
Für externe Empfänger die über das OME-Portal auf die Inhalte zugreifen, konnte man bereits zu Beginn das Protection Tag entfernen lassen. Dies kann man in der Exchange Online Management Shell wie folgt konfigurieren: Set-IRMConfiguration -DecryptAttachmentFromPortal $true
Bei der letzten Konfiguration eines Tenants für OMEv2 ist mir ein neuer Parameter aufgefallen "DecryptAttachmentForEncryptOnly". Und tatsächlich tut dieser auch, was er verspricht. Wird das Template "Verschlüssen" in Outlook bzw. Outlook on the Web als Protection gewählt, kann der Empfänger die Anhänge ohne Protection Tag öffnen. Hier nochmal der vollständige Befehl zur Deakivierung der Attachment-Protection: Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
Ich bin wirklich positiv überrascht wie schnell die Anforderung von vielen umgesetzt wurde.
Wenn dann in Zukunft noch das Thema mit den Shared Mailboxen angegangen wird, ist die Lösung zumindest innerhalb einer nativen O365/Exchange Online Organisation brauchbar.
Im Zuge der Implementation ist mir noch ein ungewöhnliches Verhalten in Kombination mit dem "Nicht weiterleiten"-Tag aufgefallen. Wird im Unternehmen der IRM-Schutz für ActiveSync-basierte Verbindungen entfernt, greift die Entschlüsselung der Anhänge hier nicht, d. h. die Anhänge lassen sich nicht auf dem iOS-Device nativ öffnen. Wird dagegen "Verschlüsseln" als Tag verwendet, funktioniert das Öffnen fehlerfrei.
Um das Problem zumindest aus Outlook-Sicht zu umgehen, kann man mittel eines Registry-Keys das Protection-Tag "Nicht weiterleiten" deaktivieren: Schlüsselpfad: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM DWORD-Wertname: DisableDNF Wertinhalt: 1
Unter Outlook on the Web lässt sich das Protection-Tag (Stand heute) leider noch nicht abschalten.
Über den Autor
Thomas Windscheif arbeitet bei excITe Consulting und ist langjähriger Berater im Bereich IT-Infrastruktur und Groupware. Sowohl Kleinunternehmen z. B. im Handwerk als auch der größere fertigende Mittelstand gehören zu seinem Projektumfeld. Im Wesentlichen gehören die Planung von Infrastruktur-Migrationen, Cloud-Lösungen (Microsoft 365), Groupware-Umgebungen (z. B. Exchange) und deren Umsetzung zu seinen Aufgaben. Insbesondere im Umfeld hybrider Identitätsumgebungen mit Entra Connect und den Möglichkeiten zur Härtung der IT-Landschaft konnte er in vielen Projekten Erfahrungen sammeln. Neues begeistert ihn aber ebenso und so unterstützt Thomas Windscheif auch bei themenfremden IT-Systemen, überall da wo er helfen kann.
Sein Ziel: Die Mehrwerte der heutigen IT-Lösungen für einfacheres und modernes Arbeiten beim Kunden einbringen.
Login
Sie haben ein ungelöstes Problem in Ihrer Exchange Server oder Microsoft-Infrastruktur? Treten Sie gerne mit mir in Kontakt.
Sowohl bei einfachen Exchange Installationen, als auch bei hochverfügbaren, lastverteilten Mehrstandort-DAG-Topologien mit Loadbalancern
unterstütze ich Sie -auch kurzfristig- sehr gerne.
- Spontaner Administrationsverlust unter Exchange Online - Und wie man es behebt! -
Zweimal in diesem Jahr hatte ich bei Kunden das Phänonem, dass spontan bestimmte Administrationsrechte unter Exchange Online fehlten, trotz der Rollenmitgliedschaft "Globaler Administrator" bzw. "Exchange Administrator".
Aus ungeklärten Gründen waren verschiedene RBAC-Rechte unter Exchange Online für "Organization Management" spontan verschwunden.
Im folgenden Artikel löse ich das Problem mit Skripten und erläutere das Vorgehen