Condividi tramite


Crittografia della posta elettronica

Questo articolo confronta le opzioni di crittografia in Microsoft 365 tra cui Crittografia dei messaggi di Microsoft Purview, S/MIME, Information Rights Management (IRM) e introduce Transport Layer Security (TLS).

Microsoft 365 offre più opzioni di crittografia per soddisfare le esigenze aziendali per la sicurezza della posta elettronica. Questo articolo presenta tre modi in cui crittografare la posta elettronica in Office 365. Per altre informazioni su tutte le caratteristiche di sicurezza di Office 365, visitare il Centro protezione di Office 365. Questo articolo presenta i tre tipi di crittografia disponibili per gli amministratori di Microsoft 365 per la protezione della posta elettronica in Office 365:

  • Crittografia dei messaggi di Microsoft Purview.

  • S/MIME (Secure/Multipurpose Internet Mail Extensions).

  • Information Rights Management (IRM).

Consiglio

Se non si è cliente E5, usa la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione di Microsoft Purview. Informazioni dettagliate sui termini di registrazione e prova.

In che modo Microsoft 365 usa la crittografia della posta elettronica

La crittografia è il processo con cui le informazioni vengono codificate in modo che solo un destinatario autorizzato sia in grado di decodificarle e utilizzarle. Microsoft 365 usa la crittografia in due modi: nel servizio e come controllo cliente. Nel servizio, la crittografia viene usata per impostazione predefinita in Microsoft 365. Non è necessario configurare alcunché. Ad esempio, Microsoft 365 usa Transport Layer Security (TLS) per crittografare la connessione, o la sessione, tra due server.

Ecco come funziona in genere la crittografia della posta elettronica:

  • Un messaggio viene crittografato o trasformato da testo normale a testo crittografato illeggibile, sul computer del mittente o da un server centrale, mentre il messaggio è in transito.

  • Mentre è in transito, per impedire la lettura nel caso in cui venga intercettato, il messaggio rimane in testo crittografato.

  • Dopo la ricezione da parte del destinatario, il messaggio viene trasformato nuovamente in testo normale leggibile in uno dei due modi indicati di seguito:

    • il computer del destinatario utilizza una chiave per decrittografare il messaggio, o

    • un server centrale decrittografa il messaggio per conto del destinatario, dopo averne convalidato l'identità.

Per altre informazioni su come Microsoft 365 protegge la comunicazione tra server, ad esempio tra le organizzazioni in Microsoft 365 o tra Microsoft 365 e un partner commerciale attendibile all'esterno di Microsoft 365, vedere l'articolo su come Exchange Online usa TLS per proteggere le connessioni di posta elettronica in Office 365.

Confronto tra le opzioni di crittografia dei messaggi di posta elettronica disponibili in Office 365

Tecnologie di crittografia della posta elettronica Immagine concettuale che descrive OME. Immagine concettuale che descrive IRM Immagine concettuale che descrive SMIME
Di cosa si tratta? La crittografia dei messaggi è un servizio basato su Azure Rights Management (Azure RMS) che consente di inviare messaggi di posta elettronica crittografati a persone all'interno o all'esterno dell'organizzazione, indipendentemente dall'indirizzo di posta elettronica di destinazione (Gmail, Yahoo! Mail, Outlook.com e così via).
Come amministratore, è possibile impostare le regole di trasporto che definiscono le condizioni per la crittografia. Quando un utente invia un messaggio che corrisponde a una regola, la crittografia viene applicata automaticamente.
Per visualizzare messaggi crittografati, i destinatari possono ottenere un passcode monouso, accedere con un account Microsoft oppure accedere con un account aziendale o dell'istituto di istruzione associato a Office 365. I destinatari possono anche inviare risposte crittografate. Non devono essere titolari di un abbonamento a Microsoft 365 per poter visualizzare i messaggi crittografati o per inviare risposte crittografate.
IRM è una soluzione di crittografia che applica anche limitazioni di utilizzo ai messaggi di posta elettronica. Consente di impedire che informazioni riservate vengano stampate, inoltrate o copiate da persone non autorizzate.
Le funzionalità IRM in Microsoft 365 usano Azure Rights Management (Azure RMS).
S/MIME è una soluzione di crittografia basata su certificato che permette di crittografare e firmare digitalmente un messaggio. La crittografia del messaggio fa sì che solo il destinatario desiderato possa aprire e leggere il messaggio. Una firma digitale permette al destinatario di convalidare l'identità del mittente.
Le firme digitali e la crittografia dei messaggi vengono entrambe rese possibili tramite l'uso di certificati digitali univoci che contengono le chiavi per la verifica delle firme digitali e per la crittografia o la decrittografia dei messaggi.
Per usare S/MIME, è necessario avere chiavi pubbliche su file per ogni destinatario. I destinatari devono conservare le proprie chiavi private, che devono rimanere protette. Se le chiavi private di un destinatario vengono danneggiate, il destinatario deve ottenere una nuova chiave privata e distribuire nuovamente le chiavi pubbliche a tutti i potenziali mittenti.
Quali operazioni consente di eseguire la soluzione? OME:
Consente di crittografare i messaggi inviati a destinatari interni o esterni.
Consente agli utenti di inviare messaggi crittografati a qualsiasi indirizzo di posta elettronica, tra cui Outlook.com, Yahoo! Mail e Gmail.
Consente all'amministratore di personalizzare il portale di visualizzazione della posta elettronica per riflettere il marchio dell'organizzazione.
Microsoft gestisce e archivia in modo sicuro le chiavi per conto dell'utente.
Se il messaggio crittografato (inviato come allegato HTML) può essere aperto in un browser, non è necessario alcun software specifico dal lato client.
IRM:
Usa la crittografia e le restrizioni di utilizzo per fornire protezione online e offline per i messaggi e gli allegati di posta elettronica.
Fornisce all'amministratore la possibilità di configurare le regole di trasporto o le regole di protezione di Outlook per applicare automaticamente la protezione IRM per selezionare i messaggi.
Consente agli utenti di applicare manualmente i modelli di Outlook o Outlook sul web (in precedenza noto come Outlook Web App).
Autenticazione del mittente di indirizzi S/MIME con le firme digitali e riservatezza dei messaggi con la crittografia.
Quali sono le operazioni che la soluzione non consente? OME non consente l'applicazione di limitazioni di utilizzo ai messaggi. Ad esempio, non è possibile utilizzare la soluzione per impedire a un destinatario di inoltrare o stampare un messaggio crittografato. Alcune applicazioni potrebbero non supportare i messaggi di posta elettronica IRM su tutti i dispositivi. Per altre informazioni su questi e altri prodotti per il supporto della posta elettronica IRM, vedere Funzionalità del dispositivo client. S/MIME non consente l'analisi dei messaggi crittografati per verificare la presenza di malware, posta indesiderata o dei criteri.
Consigli e scenari di esempio È consigliabile utilizzare OME quando si desidera inviare informazioni aziendali riservate a persone esterne all'organizzazione, ovvero utenti o altre aziende. Ad esempio:
Un dipendente di banca invia comunicazioni sulla carta di credito ai clienti
Un medico che invia cartelle cliniche a un paziente
Un avvocato invia informazioni legali riservate a un altro avvocato
Si consiglia di utilizzare IRM per applicare limitazioni di utilizzo e la crittografia. Ad esempio:
Un responsabile che invia informazioni riservate al team su un nuovo prodotto applicando l'opzione "Non inoltrare".
Un dirigente che deve condividere una proposta di offerta con un'altra società, che include un allegato inviato da un partner che utilizza Office 365 e richiede che la posta elettronica e l'allegato siano entrambi protetti.
Si consiglia di utilizzare S/MIME quando la propria organizzazione o quella del destinatario richiede una reale crittografia peer-to-peer.
S/MIME viene utilizzato più comunemente nei seguenti scenari:
Comunicazione tra enti pubblici e altri enti governativi
Comunicazioni tra un'azienda e un ente governativo

Non applicare più tecnologie di crittografia della posta elettronica allo stesso messaggio di posta elettronica. Alcuni client di posta elettronica, ad esempio Outlook per Mac, Outlook per iOS e Outlook per Android, non sono in grado di aprire i messaggi con più tecnologie di crittografia della posta elettronica applicate.

Quali sono le opzioni di crittografia disponibili per il mio abbonamento a Microsoft 365?

Per informazioni sulle opzioni di crittografia disponibili per l'abbonamento a Microsoft 365, vedere la descrizione del servizio Exchange Online. Qui è possibile trovare informazioni sulle seguenti funzionalità di crittografia:

  • Azure RMS, incluse le funzionalità IRM e di Crittografia dei messaggi di Microsoft Purview

  • S/MIME

  • TLS

  • Crittografia dei dati inattivi (tramite BitLocker, crittografia del servizio e DKM)

Con Microsoft 365 è anche possibile usare strumenti di crittografia di terze parti, ad esempio PGP (Pretty Good Privacy). Microsoft 365 non supporta PGP/MIME ed è possibile usare solo PGP/Inline per inviare e ricevere messaggi di posta elettronica crittografati con PGP.

Informazioni sulla crittografia dei dati inattivi

L'espressione "dati statici" fa riferimento ai dati non attivamente in transito. In Microsoft 365, i dati di posta elettronica inattivi vengono crittografati usando Crittografia unità BitLocker. BitLocker crittografa i dischi rigidi nei data center Microsoft per offrire una protezione avanzata dall'accesso non autorizzato. Per altre informazioni, vedere Panoramica di BitLocker.

Altre informazioni sulle opzioni di crittografia dei messaggi di posta elettronica

Per altre informazioni sulle opzioni di crittografia della posta elettronica descritte in questo articolo e su TLS, vedere questi articoli:

Crittografia dei messaggi di Microsoft Purview

Crittografia dei messaggi

IRM

Information Rights Management in Exchange Online

Informazioni su Azure Rights Management

S/MIME

S/MIME per la crittografia e firma dei messaggi

Informazioni su S/MIME

Informazioni sulla crittografia a chiave pubblica

TLS

Configurare il flusso di posta tramite connettori

Modalità d'uso di TLS in Exchange Online per proteggere le connessioni di posta elettronica

Disabilitazione di TLS 1.0 e 1.1 per Microsoft 365