(0) exportieren Drucken
Alle erweitern

Exchange Hosted Encryption Service-Abonnement für die E-Mail-Verschlüsselung in FOPE

 

Gilt für: Office 365 for enterprises, Live@edu, Forefront Online Protection for Exchange

Letzte Änderung des Themas: 2013-08-01

Microsoft Exchange Hosted Encryption (EHE) ist ein komfortabler, einfach zu handhabender E-Mail-Verschlüsselungsdienst, mit dem Sie die vertrauliche Unternehmenskommunikation sicher in einer gehosteten E-Mail-Lösung abwickeln können. Mit diesem E-Mail-Verschlüsselungsdienst können Benutzer verschlüsselte E-Mails genauso einfach wie reguläre E-Mails direkt über ihren Desktop senden und empfangen – unabhängig vom Kommunikationspartner und rund um die Uhr. Dieses Thema enthält eine Übersicht über den gehosteten sicheren E-Mail-Verschlüsselungsdienst, der von Microsoft angeboten wird.

importantWichtig:
Dieses Feature von Exchange Online ist derzeit mit Office 365, betrieben von 21Vianet in China, nicht kompatibel. Weitere Informationen finden Sie unter Weitere Informationen zu Office 365 in 21Vianet.

Wenn Ihre Organisation Microsoft® Forefront® Online Protection für Exchange (FOPE) verwendet und den E-Mail-Verschlüsselungsdienst von Microsoft Exchange abonniert, können Ihre Benutzer verschlüsselte E-Mails genau wie reguläre E-Mails direkt über ihren Desktop senden und empfangen. Die Verschlüsselung basiert auf Richtlinienregeln, und die Nachrichten werden gemäß den vom Administrator festgelegten FOPE-Richtlinienregeln am Gateway verschlüsselt. Der gehostete sichere E-Mail-Verschlüsselungsdienst fügt die ursprüngliche Nachricht als verschlüsselte Anlage hinzu. Alle Empfänger können den ursprünglichen Inhalt mit einem der Webbrowser lesen, die im Abschnitt Mit Exchange Hosted Encryption kompatible Programme dieses Themas aufgeführt sind. Dies ermöglicht eine sicherere webbasierte Verschlüsselung und Entschlüsselung für alle Empfänger von gehosteten verschlüsselten E-Mails.

Wenn Sie für die Richtlinienregel für ausgehende E-Mails die Regelaktion Verschlüsseln festlegen, können von den Benutzern der Organisation gesendete E-Mails automatisch verschlüsselt werden. Diese Verschlüsselung basiert auf einer Regelübereinstimmung nach Betreff und Nachrichtenschlüsselwörtern, regulären Ausdrücken, E-Mail-Adresse des Absenders sowie des Empfängers oder Domänen. Ausführliche Informationen zum Erstellen von Richtlinienregeln in FOPE finden Sie im Thema Richtlinienregeln oder im Video Richtlinienregeln für die Verschlüsselung in Exchange Hosted Encryption (Video möglicherweise in englischer Sprache) auf TechNet Edge.

Das folgende Diagramm zeigt eine Übersicht über die Verschlüsselung mithilfe des gehosteten sicheren E-Mail-Verschlüsselungsdiensts. Sie zeigt die Stationen, an denen Nachrichten ver- und entschlüsselt werden, wenn eine Nachricht mit FOPE vom Absender in einem Unternehmensnetzwerk an einen Empfänger außerhalb des Unternehmensnetzwerks gesendet wird.

Exchange Hosted Encryption-Nachrichtenfluss

Für die Personen, die E-Mail-Nachrichten erstellen und lesen, unterscheidet sich das Erstellen einer verschlüsselten Nachricht im Wesentlichen nicht vom Erstellen einer normalen, unverschlüsselten Nachricht. Wenn Sie als FOPE-Administrator die gehostete Verschlüsselung für ein Unternehmen konfiguriert und eine Richtlinie angewendet haben, mit der bestimmte Nachrichten für die Verschlüsselung ausgewählt werden, dann muss der Absender der Nachricht keine zusätzlichen Schritte durchführen, um verschlüsselte Nachrichten zu versenden.

Administratoren, die mehr über Richtlinienregeln und deren Verwendung mit einem gehosteten sicheren E-Mail-Verschlüsselungsdienst erfahren möchten, erhalten ausführliche Informationen über die Links am Ende dieses Themas.

Ausgehende Nachrichten, die von FOPE gesendet werden, dürfen einschließlich der Anlagen maximal 150 MB groß sein. Die Größenbeschränkung gilt gleichermaßen für verschlüsselte und unverschlüsselte Nachrichten. Bei Verwendung der gehosteten Verschlüsselung ist die Größe der eingehenden Antworten von Empfängern einschließlich der Anlagen auf 10 MB beschränkt. Es gibt keine Beschränkung in Bezug auf die Anzahl der Anlagen. Die Beschränkung auf 10 MB gilt nur für Antworten von Empfängern, die an einen Benutzer gesendet werden, der die gehostete Verschlüsselung verwendet.

Benutzer, die verschlüsselte Nachrichten versenden, müssen keine speziellen Kennwörter als Teil des Verschlüsselungsprozesses eingeben. Wenn Empfänger zum ersten Mal versuchen, eine verschlüsselte Nachricht zu öffnen, müssen Sie ihre Identität bestätigen und ein Kennwort angeben, um verschlüsselte Nachrichten vom E-Mail-Verschlüsselungsdienst sicher öffnen zu können. Bei allen nachfolgenden verschlüsselten Nachrichten müssen die Empfänger sich dann über das beim ersten Registrierungsvorgang angegebene Kennwort authentifizieren. Diese Anmeldeinformationen werden nur zum Entschlüsseln von sicheren Nachrichten verwendet.

Die Kennwortanforderungen für die erste Anmeldung eines Benutzers zum Lesen einer verschlüsselten Nachricht können vom FOPE-Administrator nicht festgelegt werden, und es kann auch nicht erzwungen werden, dass die Kennwörter ablaufen. Die folgenden Regeln für Verschlüsselungskennwörter gelten für alle Benutzer des Exchange Hosted Encryption-Diensts:

  • Die minimale Kennwortlänge beträgt 6 Zeichen.
  • Zahlen sind nicht erforderlich.
  • Großbuchstaben sind nicht erforderlich.
  • Sonderzeichen sind nicht erforderlich.
  • Triviale Kennwörter sind nicht zulässig.

Der E-Mail-Verschlüsselungsdienst ist so konzipiert, dass Kennwörter, die zur Authentifizierung für die Überprüfung verschlüsselter Nachrichten verwendet werden, nicht zurückgesetzt werden müssen. Ein Nachrichtenempfänger kann eine verschlüsselte Nachricht problemlos überprüfen, wenn er diese bereits einmal geöffnet hat und entweder eine lange Zeit verstrichen ist oder er das beim ersten Öffnen erstellte Kennwort vergessen hat. In beiden Fällen muss der Empfänger die ursprünglich erhaltene Nachricht öffnen und dieselben Schritte für die E-Mail-Rückantwort ausführen wie beim ersten Mal. Weitere Informationen zum Lesen von Nachrichten finden Sie unter Erstellen, Lesen oder Antworten auf eine verschlüsselte E-Mail.

Eine gesendete verschlüsselte Nachricht läuft nicht ab, sodass sie nach einer bestimmten Zeit nicht mehr lesbar wäre. Die verschlüsselte Nachricht kann so lange entschlüsselt werden, wie die aktuelle Version von Exchange Hosted Encryption ausgeführt wird. Weitere Informationen zur Verfügbarkeit der Funktionen in Microsoft Online Services finden Sie unter Exchange Hosted Encryption (möglicherweise in englischer Sprache). Für die Anmeldeinformationen, die für den Zugriff auf die verschlüsselte Nachricht verwendet werden, gilt keine zeitliche Beschränkung, wie in Erstellen, Lesen oder Antworten auf eine verschlüsselte E-Mail erläutert.

Weitere Informationen dazu, wie Endbenutzer auf verschlüsselte Nachrichten zugreifen können, finden Sie im Thema Erstellen, Lesen oder Antworten auf eine verschlüsselte E-Mail.

Um verschlüsselte Nachrichten senden oder empfangen zu können, müssen die von Endbenutzern verwendeten Systeme die folgenden Anforderungen erfüllen:

  • Eine E-Mail-Plattform, die für das Senden von verschlüsselten Nachrichten mit Microsoft® Forefront® Online Protection für Exchange und einem Exchange Hosted Encryption-Abonnement konfiguriert ist.
  • Internet Explorer, Version 7 oder höher, oder Mozilla Firefox, Version 2.0 oder höher, für das Lesen verschlüsselter Nachrichten.
noteHinweis:
Von den Betriebssystemen für Mobiltelefone wird das Lesen von Nachrichten, die mit dem gehosteten Exchange-E-Mail-Verschlüsselungsdienst verschlüsselt wurden, offiziell nicht unterstützt. Bei einigen gängigen Gerätetypen mit iOS, Android oder Windows Phone 7 kann EHE möglicherweise verwendet werden, jedoch ist nicht unbedingt vollständige Kompatibilität gegeben.

Verschlüsselte Nachrichten werden im Posteingang des Empfängers so gespeichert, wie dies im E-Mail-Programm des jeweiligen Benutzers bzw. durch den verwendeten E-Mail-Anbieter konfiguriert wurde. Im Ordner "Gesendet" des Absenders liegt die ursprünglich gesendete Nachricht im Klartext vor. Dies gilt auch für Benutzer von Microsoft Office 365 oder anderen webbasierten E-Mail-Anbietern, bei denen Nachrichten ggf. auf einem Remoteserver gespeichert werden. Die Einstellungen des lokalen E-Mail-Programms können von einem FOPE-Administrator oder durch Richtlinieneinstellungen nicht geändert werden, da die Verschlüsselungsrichtlinien nur ausgehende Nachrichten betreffen, die durch den FOPE-Dienst geleitet werden. Die verschlüsselten Nachrichten werden in keinem anderen Cache oder Speicher auf dem lokalen Computer gespeichert, nachdem der Empfänger die gelesene verschlüsselte Nachricht geschlossen hat.

Wenn Ihr Unternehmen einen Archivierungsdienst abonniert hat, z. B. Microsoft Exchange Hosted Archive, oder eine andere Archivierungsstrategie verwendet, bei der Nachrichten außerhalb der Posteingänge von Benutzern gespeichert werden, können mit einem gehosteten sicheren E-Mail-Verschlüsselungsdienst verschlüsselte Nachrichten ggf. in einem der angelegten Archive vorhanden sein. Dies ist abhängig von den in der verwendeten Software definierten Regeln. Nur der Absender und der Empfänger, deren E-Mail-Adressen im E-Mail-Header einer verschlüsselten Nachricht enthalten sind und die von EHE authentifiziert wurden, können den Inhalt einer verschlüsselten Nachricht anzeigen. Dieses Verhalten gilt sowohl für verschlüsselte Nachrichten in externen Archiven als auch für Nachrichten im Posteingang eines Empfängers. Weitere Informationen zum Exchange Hosted Archive-Dienst finden Sie unter Übersicht über EHA.

Microsoft Exchange Online verwendet eine Aufbewahrungsrichtlinie, die standardmäßig angewendet wird, sowie Aufbewahrungsrichtlinien, die auf Unternehmens-, Domänen- und Benutzerebene konfiguriert werden können. Weitere Informationen zu diesen Funktionen finden Sie unter Einrichten und Verwalten von Aufbewahrungsrichtlinien in Exchange Online. Weitere Informationen zu Aufbewahrungsrichtlinien in einer lokalen Microsoft Exchange Server-Umgebung finden Sie unter Grundlegendes zu Aufbewahrungstags und Aufbewahrungsrichtlinien.

In der folgenden Tabelle ist das Zustellverhalten für unterschiedliche Nachrichten und Richtlinienregeln für Absender und Empfänger bei aktivierten gehosteten Exchange-E-Mail-Verschlüsselungsdiensten aufgeführt. Bei dieser Tabelle wird Folgendes vorausgesetzt:

  • E-Mail-Benutzer in Domänen von Contoso.com verwenden gehostete Verschlüsselung.
  • E-Mail-Benutzer in Domänen von Trey Research und Woodgrove Bank sind keine Unterdomänen der Domäne Contoso.com. Weiterhin verwenden diese Unternehmen nicht FOPE EHE.
  • E-Mail-Adressen können in jedem der Empfängerfelder im Nachrichtenheader auftreten, z. B. in der Zeile An:, Cc: oder Bcc: . Dies hat keinen Einfluss auf die Verschlüsselung.

 

Richtlinienregel Nachrichtenaktion Absender Empfänger Richtlinienregel und Nachrichtenverhalten

Domänenbereich: Alle Domänen

Datenverkehrsbereich: Ausgehend

Aktion: Verschlüsseln

Senden

Antworten

Allen antworten

Weiterleiten

anton@contoso.com

boris@hr.contoso.com; carol@treyresearch.net

Die Nachricht wird verschlüsselt, wenn sie eine der Richtlinienregeln erfüllt.

Wenn Contoso über einen Connector verfügt, der für das Umgehen der FOPE-Filterung konfiguriert wurde, werden keine Nachrichten verschlüsselt. Weitere Informationen zu Connectors finden Sie unter Konfigurieren erweiterter Szenarien für E-Mail-Fluss mithilfe von FOPE-Connectors.

Empfänger können verschlüsselte Nachrichten mit dem Verfahren lesen, das im Thema Erstellen, Lesen oder Antworten auf eine verschlüsselte E-Mail beschrieben wird.

Domänenbereich: Alle Domänen

Datenverkehrsbereich: Ausgehend

Aktion: Verschlüsseln

Antworten

Allen antworten

Weiterleiten

carol@treyresearch.net

anton@contoso.com; boris@hr.contoso.com; dita@woodgrovebank.com;

Wenn die ursprüngliche Nachricht bei der Erstellung durch FOPE verschlüsselt wurde, erhalten alle Empfänger Zugriff auf eine verschlüsselte Nachricht.

Empfänger können diese lesen, wie im Thema Erstellen, Lesen oder Antworten auf eine verschlüsselte E-Mail beschrieben.

Ein FOPE-Administrator kann den EHE-Dienst aktivieren und Richtlinienregeln erstellen, mit denen die Verschlüsselung aktiviert wird. Weitere Informationen zum Bereitstellen einer Verschlüsselung für die Domänen Ihres Unternehmens finden Sie im Thema Aktivieren oder Deaktivieren von Einstellungen zur E-Mail-Verschlüsselung in FOPE für EHE-Abonnenten. Weitere Informationen zum Erstellen von Richtlinienregeln, die beeinflussen, welche Nachrichtentypen verschlüsselt werden, finden Sie im Thema Richtlinienregeln.

Richtlinien für die Verschlüsselung können auf ausgehende Nachrichten von einer einzelnen Domäne angewendet werden. Entsprechend können Richtlinien für die Entschlüsselung auf eingehende Nachrichten für eine einzelne Domäne angewendet werden. Wenn Ihr Unternehmen z. B. mehrere Domänen verwendet, können Sie die gehostete Verschlüsselung für alle Benutzer in der Domäne hr.treyresearch.net aktivieren, aber nicht für Benutzer in der Domäne london.treyresearch.net.

Der FOPE-Administrator kann keine Funktionen der E-Mail-Plattform (z. B. "Weiterleiten" oder "Allen antworten") deaktivieren. Diese Arten von Benutzeraktionen sind Bestandteil der verwendeten Nachrichtenanwendung und nicht von FOPE oder der Verschlüsselung. In der Tabelle im vorhergehenden Abschnitt dieses Themas wird das Nachrichtenverhalten bei bestimmten Nachrichtenaktionen wie "Weiterleiten", "Antworten" oder "Allen antworten" erläutert.

Um den EHE-Dienst einsetzen zu können, muss der FOPE-Administrator den Dienst für bestimmte Domänen erwerben, registrieren und konfigurieren. Wenn Sie EHE erwerben möchten, finden Sie weitere Informationen auf der Website Microsoft Online Services. Sie können sich auch an den Kundendienst und Support von Microsoft wenden. Nähere Informationen hierzu finden Sie im Thema Hilfe und technischer Support für FOPE.

Bevor Sie Verschlüsselungsrichtlinien erstellen, müssen Sie die Bedingungen ermitteln, die im Unternehmen für den Versand verschlüsselter Nachrichten gelten sollen. Beispielsweise können Sie eine Richtlinie entwerfen, die nur bestimmten Personen das Senden verschlüsselter Nachrichten gestattet. Oder Sie legen eine Richtlinie fest, die bei Nachrichten mit einem bestimmten Textinhalt eine Verschlüsselung durchführt, wenn z. B. das Wort “encrypt” in der Betreffzeile einer Nachricht enthalten ist. Anschließend teilen Sie den Benutzern mit, dass sie durch Angabe dieses Worts eine Verschlüsselung veranlassen können.

Die Bedingungen für die Verschlüsselung, die für Benutzer gelten, beeinflussen sowohl die Art der zu erstellenden Richtlinien als auch die Anzahl der erforderlichen EHE-Lizenzen.

Weitere Informationen zum Erstellen von Regeln für die Verschlüsselung finden Sie unter Richtlinienregeln. Sie können sich auch das Video Richtlinienregeln für die Verschlüsselung in Exchange Hosted Encryption (Video nur in englischer Sprache) ansehen.

Die in FOPE verfügbaren Archivberichte, z. B. Zerstörung, SEC 17a-4 oder der beweiserhebliche Bericht für die Aufsichtsüberprüfung, enthalten keine Inhalte verschlüsselter Nachrichten. Der SEC 17a-4-Bericht enthält keinerlei Informationen zu Datumsangaben, Absender und Empfänger, Betreff oder anderen Nachrichteninhalten aus eingehenden Nachrichten. Weitere Informationen zu FOPE-Berichten finden Sie unter Grundlegendes zu den in FOPE verfügbaren Berichtstypen und Berichte der Archivanzeige.

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft