Crittografia dell'etichetta di riservatezza per la conformità del governo australiano con PSPF
Questo articolo fornisce indicazioni per le organizzazioni governative australiane sull'uso della crittografia delle etichette di riservatezza. L'obiettivo è aiutare le organizzazioni governative australiane a rafforzare i propri approcci alla sicurezza dei dati. Le raccomandazioni contenute in questa guida sono strettamente allineate ai requisiti descritti in Protective Security Policy Framework (PSPF) e Information Security Manual (ISM).Recommendations in this guide closely align with requirements outlined in the Protective Security Policy Framework (PSPF) and Information Security Manual (ISM).
Microsoft Purview offre l'opzione per crittografare gli elementi con un'etichetta di riservatezza applicata tramite Azure Rights Management. Azure Rights Management viene usato per confermare sia l'autenticazione che l'autorizzazione. Per consentire a un utente di accedere a un elemento crittografato, deve eseguire l'autenticazione al servizio Microsoft 365 e ottenere l'autorizzazione per accedere all'elemento. Azure Rights Management viene usato per applicare restrizioni di utilizzo agli elementi. Queste restrizioni impediscono agli utenti di eseguire azioni come la modifica del contenuto, il salvataggio degli elementi, la stampa, la copia del contenuto o l'inoltro ad altri utenti.
Requisiti di crittografia delle etichette
Le organizzazioni governative devono usare la crittografia delle etichette in linea con l'accesso e i requisiti di trasmissione riepilogati nei requisiti di crittografia. Questi requisiti specificano che la crittografia è necessaria per la trasmissione di informazioni OFFICIAL: Sensibili o PROTETTE tra reti pubbliche o non protette.
Consiglio
Le organizzazioni che comunicano spesso con organizzazioni ed entità esterne in OFFICIAL e versioni successive potrebbero dover valutare questo comportamento in base ai requisiti aziendali. Per altre informazioni, vedere Panoramica della crittografia.
Abilitazione della crittografia basata su etichetta a OFFICIAL: gli elementi sensibili e PROTETTI rafforzano la capacità dell'organizzazione governativa di soddisfare i requisiti di crittografia durante la trasmissione e garantiscono che gli elementi etichettati vengano crittografati quando:
- Copiato nell'archiviazione USB.
- Caricato in servizi cloud non Microsoft, inclusi i servizi di archiviazione cloud.
- Salvato in dispositivi potenzialmente non sicuri, ad esempio i dispositivi senza crittografia BitLocker.
- Inviato tramite posta elettronica a destinatari esterni che possono violare la necessità di sapere distribuendo ulteriormente le informazioni.
Le organizzazioni governative australiane in genere implementano strategie e soluzioni aggiuntive per affrontare questi vettori di rischio. Ad esempio, l'uso di unità USB crittografate, soluzioni CASB (Cloud Access Security Broker) e piattaforme di gestione dei dispositivi. La crittografia basata su etichette non è progettata per sostituire queste soluzioni. Tuttavia, viene usato per integrare queste soluzioni fornendo una protezione aggiuntiva da abusi accidentali e insider dannosi.
Considerazioni sulla crittografia delle etichette
Per informazioni sulle considerazioni standard e sui potenziali effetti dell'abilitazione della crittografia delle etichette di riservatezza, vedere considerazioni sul contenuto crittografato.
Ci sono altre considerazioni più specifiche per le organizzazioni governative australiane. Questi includono modifiche ai metadati dei documenti e requisiti relativi alla condivisione delle informazioni.
Modifiche di creazione condivisa crittografate
Microsoft 365 supporta la creazione condivisa in documenti crittografati.
L'abilitazione della creazione condivisa crittografata introduce modifiche alla modalità di applicazione dei metadati dell'etichetta di riservatezza al documento di Office e all'uso di MSIP_labels proprietà del documento. Dopo l'abilitazione della creazione condivisa crittografata, i metadati sugli elementi crittografati vengono spostati dalla posizione tradizionale della proprietà del documento al file XML interno di un documento. Per altre informazioni, vedere Modifiche ai metadati per le etichette di riservatezza.
Le organizzazioni governative australiane che applicano regole sui gateway di posta elettronica che controllano la classificazione degli allegati tramite le proprietà dei documenti devono essere a conoscenza delle modifiche dei metadati in modo che le relative configurazioni siano allineate. Gli amministratori di Microsoft Exchange devono:
- Leggere e comprendere 2.6.3 LabelInfo rispetto alle proprietà personalizzate del documento.
- Valutare la prevenzione della perdita dei dati (DLP) delle organizzazioni, la regola del flusso di posta o la sintassi delle regole di trasporto nei gateway di posta elettronica non Microsoft per potenziali problemi.
Un esempio del motivo per cui questo è importante è un flusso di posta o una regola di trasporto che controlla la presenza di allegati PROTETTI tramite GUID etichetta in una proprietà del documento non funziona correttamente quando i metadati del documento vengono spostati dalla proprietà del documento alla posizione LabelInfo.
Come alternative agli approcci basati sulle proprietà del documento:
-
ClassificationContentMarkingHeaderTexteClassificationContentMarkingFooterTextvengono usate le proprietà del documento. Queste proprietà vengono visualizzate dopo l'abilitazione della creazione condivisa crittografata e vengono popolate con il testo di contrassegno visivo applicato ai documenti di Office. - I metodi del flusso di posta vengono sottoposti a transizione a un approccio basato sulla prevenzione della perdita dei dati più recente in cui le etichette di riservatezza possono essere sottoposte a query in modo nativo come parte di un criterio DLP.
Accesso utente esterno agli elementi crittografati
Le organizzazioni governative australiane che usano la crittografia basata su etichette lo fanno in linea con Protective Security Policy Framework (PSPF).
| Requisito | Dettagli |
|---|---|
| Criterio PSPF 9 Requisito 1 - Contratti formalizzati per la condivisione di informazioni e risorse | Quando si comunicano informazioni o risorse classificate di sicurezza a una persona o a un'organizzazione al di fuori del governo, le entità devono disporre di un contratto o di un accordo, ad esempio un contratto o un atto, che disciplina la modalità di utilizzo e protezione delle informazioni. |
Per garantire che solo gli utenti di organizzazioni esterne autorizzate possano accedere agli elementi crittografati, è possibile usare gli approcci seguenti:
- Elenchi di domini esterni approvati vengono aggiunti alle autorizzazioni di Azure Rights Management, in modo analogo agli approcci DLP descritti in impedire la distribuzione di informazioni classificate tramite posta elettronica a organizzazioni non autorizzate.
- Gruppi contenenti account guest vengono usate per concedere le autorizzazioni solo a un set autorizzato di utenti provenienti da domini esterni approvati. Questo approccio è simile a consentire la distribuzione tramite posta elettronica di informazioni classificate ai guest autorizzati.
Consiglio
L'allineamento dell'approccio dell'organizzazione per la prevenzione della perdita dei dati con quello per la crittografia delle etichette per le informazioni classificate semplifica l'amministrazione. Il risultato è un approccio solido e coerente alla gestione delle informazioni classificate in cui solo gli utenti autorizzati possono essere inviati a informazioni classificate e possono accedervi.
Abilitazione della crittografia delle etichette
Per informazioni sui prerequisiti e sui passaggi necessari per abilitare la crittografia delle etichette di riservatezza, vedere Limitare l'accesso al contenuto usando le etichette di riservatezza per applicare la crittografia.
Le configurazioni di crittografia delle etichette seguenti hanno particolare rilevanza per i requisiti del governo australiano e sono descritte in dettaglio.
Assegnare le autorizzazioni adesso
Assegna autorizzazioni Ora offre un controllo coerente dell'accesso agli elementi etichettati in un intero ambiente. Tramite questa configurazione, quando un'etichetta con impostazioni di crittografia viene applicata a un elemento, la crittografia del contenuto viene attivata immediatamente.
Quando l'opzione Assegna autorizzazioni ora è selezionata, gli amministratori devono configurare le autorizzazioni da applicare agli elementi etichettati. Le opzioni disponibili sono:
Tutti gli utenti e i gruppi dell'organizzazione: questa opzione aggiunge l'autorizzazione per tutti gli utenti dell'ambiente, esclusi gli account guest. Si tratta di un buon punto introduttivo per le organizzazioni che vogliono limitare l'accesso agli elementi etichettati solo agli utenti interni.
Questa è una buona opzione per le organizzazioni che vogliono crittografare le informazioni "UFFICIALI: sensibili" e assicurarsi che possano essere aperte dall'intera organizzazione.
Qualsiasi utente autenticato: questa opzione consente l'accesso a qualsiasi utente autenticato in Microsoft 365 tramite un account, ad esempio un account Microsoft 365, un provider di social networking federato o un indirizzo di posta elettronica esterno, registrato come account Microsoft . Questa opzione garantisce che gli elementi vengano inviati e archiviati in formato crittografato, ma è il più aperto in termini di accesso agli elementi. Questa opzione non è adatta per garantire la necessità di conoscere e l'allineamento PSPF nel governo australiano.
Importante
Qualsiasi utente autenticato non è una buona opzione per le organizzazioni governative australiane per l'applicazione agli elementi classificati di sicurezza a causa della natura aperta delle autorizzazioni applicate.
Aggiungere utenti o gruppi: questa opzione consente di specificare singoli utenti (ad esempio, singoli utenti dell'organizzazione o guest). Consente di allocare le autorizzazioni ai gruppi.
Questa opzione viene usata in diversi usi per le organizzazioni governative. Ad esempio:
- Questa opzione viene usata per garantire la necessità di sapere limitando l'accesso al contenuto etichettato a un subset di utenti interni che soddisfano un requisito. Ad esempio, gli utenti autorizzati con autorizzazione di base vengono raggruppati in un gruppo di utenti protetti , che concede le autorizzazioni al contenuto PROTETTO. Agli utenti esterni al gruppo viene impedito l'accesso a qualsiasi elemento PROTETTO.
- Per le organizzazioni con un controllo di collaborazione esterno elevato (come illustrato in controllo di collaborazione esterno elevato), viene creato un gruppo dinamico che contiene tutti gli account guest. A questo gruppo potrebbero essere concesse le autorizzazioni per gli elementi crittografati, consentendo la distribuzione esterna degli elementi con un rischio ridotto di accesso da parte di entità esterne al gruppo. Tale configurazione deve anche essere allineata ai controlli DLP illustrati in consentire la distribuzione tramite posta elettronica di informazioni classificate ai guest autorizzati.
- Per le organizzazioni con un controllo di collaborazione esterno relativamente basso (come illustrato in un controllo di collaborazione esterno basso), viene mantenuto un gruppo di sicurezza contenente guest autorizzati per l'accesso a contenuto crittografato.
- Per le organizzazioni che vogliono fornire l'accesso guest al contenuto senza rendere accessibile il contenuto di un'etichetta a un intero dominio, viene creato un gruppo dinamico per concedere l'accesso ai guest di un'organizzazione, ad esempio "Guest di reparto". Questo approccio è illustrato nell'consentire la distribuzione tramite posta elettronica di informazioni classificate ai guest autorizzati.
Aggiungere domini o indirizzi di posta elettronica specifici Questa opzione consente di concedere le autorizzazioni ai singoli indirizzi di posta elettronica degli utenti esterni, che possono o meno essere guest. Può anche essere usato per concedere l'autorizzazione a un intero dominio. Passare ad esempio a Contoso.com. Le organizzazioni che hanno requisiti complessi di collaborazione e distribuzione delle informazioni o che devono distribuire INFORMAZIONI UFFICIALI: informazioni sensibili o PROTETTE ad altre organizzazioni governative possono prendere in considerazione l'aggiunta di un elenco dei domini di tutte le organizzazioni a cui distribuiscono tali informazioni. Tale elenco deve essere allineato ai domini con cui l'organizzazione ha formalizzato contratti per la condivisione di informazioni e risorse, come definito nel requisito 1 del criterio PSPF 9.
Più set di autorizzazioni vengono aggiunti alla configurazione di un'etichetta per ottenere il risultato desiderato. Ad esempio, tutti gli utenti e i gruppi possono essere usati in combinazione con un set di gruppi dinamici contenenti guest di altre organizzazioni oltre a un elenco di domini del reparto autorizzati con cui l'organizzazione collabora regolarmente.
Assegnare autorizzazioni a utenti, gruppi o domini
Per ogni utente, gruppo di utenti o dominio a cui viene concesso l'accesso, è necessario selezionare anche autorizzazioni specifiche. Queste autorizzazioni sono raggruppate in set tipici, ad esempio comproprietario, coautore o revisore. È anche possibile definire set personalizzati di autorizzazioni.
Le autorizzazioni di crittografia sono granulari, quindi le organizzazioni devono completare l'analisi aziendale e le valutazioni dei rischi per determinare l'approccio più valido. Di seguito è riportato un approccio di esempio.
| Categoria utente | Contains | Autorizzazioni |
|---|---|---|
| Tutti gli utenti e i gruppi | Tutti gli utenti interni | Co-Owner (concede tutte le autorizzazioni) |
| Guest di altri reparti con requisiti di collaborazione | Gruppi di Microsoft 365 dinamica: - Ospiti del reparto 1 - Ospiti del reparto 2 - Ospiti del reparto 3 |
Co-Author (limita le autorizzazioni di modifica, esportazione e modifica del contenuto) |
| Utenti guest cancellati dalle organizzazioni partner | Gruppi di sicurezza: - Ospiti del Partner 1 - Ospiti del Partner 2 - Ospiti del Partner 3 |
Revisore (limita le autorizzazioni di stampa, copia ed estrazione, esportazione di contenuto e modifica) |
Consentire agli utenti di decidere
Un approccio alla crittografia consiste nel consentire agli utenti di scegliere le autorizzazioni da applicare quando selezionano un'etichetta.
Il comportamento degli elementi etichettati tramite questo metodo varia a seconda dell'applicazione. Per Outlook, le opzioni disponibili sono:
Non inoltrare: Quando questa opzione è selezionata, i messaggi di posta elettronica vengono crittografati. La crittografia applica restrizioni di accesso in modo che i destinatari siano in grado di rispondere al messaggio di posta elettronica, ma le opzioni per inoltrare, stampare o copiare le informazioni non sono disponibili. Le autorizzazioni di Azure Rights Management vengono applicate a tutti i documenti di Office non protetti allegati al messaggio di posta elettronica. Questa opzione garantisce la necessità di sapere impedendo ai destinatari di posta elettronica di inoltrare gli elementi a coloro che non sono stati specificati nel messaggio di posta elettronica originale.
Solo crittografia: Questa opzione crittografa gli elementi e concede ai destinatari tutti i diritti di utilizzo, ad eccezione del salvataggio con nome, dell'esportazione e del controllo completo. È utile per soddisfare i requisiti di trasmissione crittografati, ma non applica restrizioni di accesso (il risultato è che i controlli necessari non vengono applicati).
Queste opzioni offrono una grande granularità. Tuttavia, poiché le autorizzazioni vengono applicate a livello di elemento, queste opzioni possono comportare una configurazione incoerente in quanto le opzioni selezionate da utenti diversi variano.
Non inoltrando o crittografando solo le opzioni agli utenti come sottoetichetta, un'organizzazione può fornire agli utenti un metodo per proteggere le comunicazioni quando necessario. Ad esempio:
- UFFICIOSO
- UFFICIALE
- OFFICIAL Sensitive (Categoria)
- OFFICIAL Sensitive
- Solo destinatari sensibili OFFICIAL
Le etichette con queste configurazioni applicate devono essere pubblicate solo agli utenti che richiedono tali funzionalità.
Microsoft Purview è in grado di allinearsi a PSPF con il requisito di includere i marcatori di gestione delle informazioni (IMM) e avvertenze e l'aggiunta di etichette secondarie per soddisfare requisiti aziendali specifici. Ad esempio, un gruppo di utenti a cui è richiesto di comunicare le informazioni "OFFICIAL: Sensitive Personal Privacy" con utenti esterni può avere un'etichetta "OFFICIAL: Sensitive Personal Privacy ENCRYPT-ONLY" pubblicata.
Scadenza accesso al contenuto
Le opzioni di scadenza del contenuto consentono di accedere agli elementi crittografati con l'etichetta applicata da negare in una data o dopo un periodo di tempo. Questa funzionalità viene usata per garantire che gli elementi non siano più accessibili da un momento indipendentemente dalla posizione in cui risiedono o dalle autorizzazioni applicate.
Questa opzione è utile per soddisfare i requisiti per l'accesso alle informazioni associato al tempo, in cui le organizzazioni governative devono fornire l'accesso temporaneo a informazioni o risorse. Queste situazioni sono coperte dal criterio PSPF 9:
| Requisito | Dettagli |
|---|---|
| Criterio PSPF 9 Requisito 4: Accesso temporaneo a informazioni e risorse classificate | Le entità possono fornire a una persona l'accesso temporaneo a informazioni o risorse classificate per la sicurezza sulla base di una valutazione dei rischi per ogni caso. In questi casi, le entità devono: a. Limitare la durata dell'accesso alle risorse o alle informazioni classificate per la sicurezza: i. Al periodo in cui viene elaborata una domanda di autorizzazione di sicurezza per la persona specifica o ii. Fino a un massimo di tre mesi in un periodo di 12 mesi b. Condurre controlli di screening dell'occupazione consigliati (vedere la politica PSPF: idoneità e idoneità del personale) c. Supervisionare tutti gli accessi temporanei d. Per l'accesso alle informazioni TOP SECRET, assicurarsi che la persona disponga di un'autorizzazione di sicurezza di Controllo negativo 1 esistente e e. Negare l'accesso temporaneo a informazioni riservate classificate (diverse da circostanze eccezionali e solo con l'approvazione del proprietario dell'avvertenza). |
Questo approccio garantisce la necessità di supervisione dell'accesso temporaneo e garantisce che l'utente temporaneo abbia accesso solo a ciò che è stato consentito e solo per il tempo necessario.
La crittografia di Azure Rights Management applicata tramite etichetta e con la configurazione della scadenza dell'accesso consente la condivisione di elementi sensibili con utenti o organizzazioni senza la necessità di creare account completi.
Un esempio di questo è che un'organizzazione governativa ha un set di documenti di progettazione che devono essere resi disponibili a un'organizzazione fittizia di amministrazione, denominata Contoso. Viene creata e pubblicata un'etichetta denominata "OFFICIAL Sensitive – Contoso Temp Access" con autorizzazioni che concedono l'accesso a un elenco approvato di indirizzi di posta elettronica Contoso. A una copia dei documenti di progettazione viene quindi applicata questa etichetta, che avvia un timer di accesso di 30 giorni. I documenti vengono quindi condivisi con Contoso che può accedere agli elementi nei propri sistemi fino alla scadenza del timer e l'accesso viene revocato indipendentemente dalla posizione in cui si trovano gli elementi.
Poiché la scadenza del contenuto viene applicata a un'etichetta anziché alle autorizzazioni, a tale scopo sono necessarie etichette dedicate. Questo e altri scenari di scadenza dell'accesso sono di nicchia e non sono applicabili nella maggior parte delle organizzazioni governative. Questo esempio si basa su ed estende la configurazione Microsoft Purview Information Protection PSPF di base applicata come consigliato in questa guida.
Accesso non in linea
Le opzioni di accesso offline consentono di configurare un periodo di tempo in cui gli utenti possono accedere agli elementi senza dover ripetere l'autenticazione o riautorizzare le autorizzazioni di Azure Rights Management. L'accesso offline è utile per assicurarsi che, ad esempio, sia possibile accedere ai file offline in caso di interruzione della rete o del servizio. Quando questa opzione è configurata, gli elementi vengono ancora crittografati e le relative autorizzazioni vengono memorizzate nella cache nei dispositivi client.
Le organizzazioni governative che distribuiscono la crittografia generalmente scelgono un periodo di accesso offline di tre o sette giorni per garantire che gli utenti siano in grado di lavorare offline e come misura di mitigazione delle emergenze.
Quando si considera questo approccio, è necessario completare una valutazione dei rischi dell'accesso memorizzato nella cache agli elementi rispetto all'impatto sull'usabilità di nessun accesso quando gli utenti lavorano senza accesso alla rete da parte di un'organizzazione governativa.
Configurazione di crittografia delle etichette di esempio
Nota
Questi esempi hanno lo scopo di illustrare la configurazione della crittografia delle etichette con controlli operativi proporzionali al valore delle informazioni, in linea con il criterio PSPF 8 Requisito 1. Le organizzazioni governative devono completare l'analisi aziendale, la valutazione dei rischi e i test prima di abilitare tale configurazione.
| Etichetta di riservatezza | Crittografia | Autorizzazioni |
|---|---|---|
| UFFICIOSO | - | - |
| UFFICIALE | - | - |
| OFFICIAL Sensitive (Categoria) | - | - |
| OFFICIAL Sensitive | Assegnare ora l'autorizzazione |
Tutti gli utenti e i gruppi dell'organizzazione: Co-Owner Aggiungere indirizzi di posta elettronica o domini specifici: Elenco di domini esterni approvati per l'accesso - Creazione condivisa |
| PROTECTED (Categoria) | - | - |
| PROTETTO | Assegnare ora l'autorizzazione |
Aggiungere utenti o gruppi: Gruppo - utenti protettiComproprietario Gruppo - di guest protettiCreazione condivisa |
Crittografia dei messaggi di Microsoft Purview
Microsoft Purview Message Encryption è una funzionalità di crittografia di Microsoft 365 basata su Azure Rights Management. Come per la crittografia di Azure Rights Management basata su etichette, Microsoft Purview Message Encryption conferma l'identità tramite l'autenticazione e l'autorizzazione tramite l'applicazione dell'autorizzazione agli elementi.
Per informazioni su Microsoft Purview Message Encryption, vedere come funziona la crittografia dei messaggi.
Un vantaggio fondamentale di Microsoft Purview Message Encryption è la posizione in cui le cassette postali del mittente e del destinatario sono ospitate in Exchange Online, con client che supportano Microsoft Purview Message Encryption (tra cui Microsoft 365 Apps, client mobili e basati sul Web), il processo di crittografia che include l'accesso del destinatario al messaggio di posta elettronica ricevuto è facile. Il destinatario può ricevere e visualizzare il messaggio come qualsiasi messaggio di posta elettronica non crittografato. Tuttavia, se il destinatario non usa Exchange Online e/o un client di posta elettronica con supporto Microsoft Purview Message Encryption, anziché ricevere un messaggio di posta elettronica completo, riceve un *wrapper che informa la ricezione di un messaggio di posta elettronica protetto e li indirizza a un portale Microsoft in cui possono eseguire l'autenticazione per accedere alle informazioni in modo sicuro. Questi messaggi wrapper sono completamente personalizzabili, quindi possono essere modificati in base all'organizzazione.
L'autenticazione per Microsoft Purview Message Encryption viene gestita in modo diverso rispetto ad Azure Rights Management basata su etichette perché non è necessario definire le autorizzazioni in un'etichetta. Ciò consente una maggiore flessibilità in termini di chi potrebbe essere in grado di ricevere la corrispondenza crittografata, cosa che può essere auspicabile per alcuni casi d'uso.
Esistono tre categorie di autenticazione rilevanti per Microsoft Purview Message Encryption destinatari dei messaggi:
- Se i destinatari usano identità di Microsoft 365 tramite Exchange Online, le credenziali e/o i token esistenti usati per la sessione corrente possono essere usati per l'autenticazione e l'autorizzazione.
- Se i destinatari usano identità esterne supportate, ad esempio quelle fornite da Gmail o Yahoo, dovranno eseguire l'autenticazione tramite queste credenziali per accedere al messaggio di posta elettronica wrapper e connettersi al portale fornito da Microsoft 365 per accedere al messaggio.
- Se i destinatari usano un'identità non supportata, riceveranno il messaggio di posta elettronica wrapper e potranno selezionare il collegamento per accedere al portale fornito da Microsoft 365 in quel momento in cui verrà chiesto loro di configurare il proprio indirizzo di posta elettronica come account Microsoft . Questo account Microsoft assocerà una password e altre informazioni all'indirizzo di posta elettronica dell'utente, usato per l'autenticazione futura.
Microsoft Purview Message Encryption viene usato anche per garantire la riservatezza e fornire ai destinatari la garanzia che le loro informazioni vengano trattate in modo sicuro. Ad esempio, i team hr possono usare Microsoft Purview Message Encryption quando discutono di un potenziale impiego con un candidato di lavoro. Microsoft Purview Message Encryption è utile quando si discute di questioni finanziarie sensibili con un membro del pubblico. Le università e altri istituti di istruzione possono utilizzare Microsoft Purview Message Encryption quando corrispondono agli studenti per quanto riguarda le questioni accademiche.
Di seguito sono riportati i casi d'uso per Microsoft Purview Message Encryption rilevanti per le organizzazioni governative australiane:
- L'applicazione di Microsoft Purview Message Encryption a tutti i messaggi di posta elettronica con un'etichetta (ad esempio OFFICIAL Sensitive), inviati a un elenco di organizzazioni esterne. Questo elenco include altre organizzazioni governative con cui l'organizzazione ha formalizzato contratti (in base ai criteri PSPF 9, requisito 1).
- Applicazione di Microsoft Purview Message Encryption ai messaggi di posta elettronica contenenti informazioni sensibili (identificati tramite SIT), inviati a un elenco di altre organizzazioni non governative in cui è presente una relazione. A causa di queste organizzazioni che non richiedono necessariamente di rispettare i requisiti di sicurezza del governo australiano, lo stato di questo ambiente è sconosciuto.
Per altre informazioni sulle funzionalità Microsoft Purview Message Encryption e sui potenziali usi, vedere Configurare Microsoft Purview Message Encryption
La configurazione per applicare Microsoft Purview Message Encryption alla posta elettronica può essere applicata tramite le regole del flusso di posta di Exchange. Tutti i messaggi corrispondenti a un'etichetta di riservatezza attivano una regola, che applica un modello di Microsoft Purview Message Encryption al messaggio di posta elettronica. Queste regole richiedono un metodo basato su GUID per identificare i messaggi di posta elettronica etichettati.