安全注意事项

本文探讨安全邮件的安全注意事项以及您可以启用以帮助提高数据安全性的特定设置。

微软IRM和AIP电子邮件权限保护支持

Android安全邮件和iOS安全邮件支持受Microsoft信息权限管理(IRM)保护的邮件和Azure信息保护(AIP)解决方案。此支持受Citrix端点管理上已配置的IRM策略的制约。

此功能允许使用irm的组织对消息内容应用保护。此功能还允许移动设备用户能够创建和使用受权限保护的内容。默认情况下，irm支持设置为关。要启用irm支持功能，请将"信息权限管理"策略设置为开。

在安全邮件中启用信息权限管理

1. 登录到终端管理并导航到配置>应用程序，然后单击添加。
2. 在添加应用程序屏幕中，单击MDX。
3. 在应用程序信息屏幕中，输入应用程序详细信息，然后单击下一步。
4. 根据您的设备操作系统，选择并上载.mdx文件。
5. 在应用程序设置下启用信息权限管理。

注意：

启用适用于iOS和Android的信息权限管理。

收到受权限保护的电子邮件时

当用户收到内容受保护的邮件时，他们会看到以下屏幕：

要查看用户享有的权限的详细信息，请轻按详细信息。

撰写受权限保护的电子邮件时

在撰写邮件时，用户可以设置限制配置文件以启用电子邮件保护。

要对电子邮件设置限制，请执行以下操作：

1. 登录到安全邮件并轻按编写图标。

2. 在撰写屏幕中，轻按电子邮件限制图标。

   

3. 在限制配置文件屏幕中，轻按所需的限制以应用到电子邮件，然后单击"后退"。

   

   应用的限制将显示在主题字段下方。

   

一些组织可能要求严格遵守他们的irm策略。具有安全邮件访问权限的用户可尝试通过篡改安全邮件、操作系统甚至硬件平台跳过IRM策略。

虽然端点管理可以检测某些攻击,但是请考虑采取以下预防措施以提高安全性:

• 查看设备供应商提供的安全指导。
• 使用端点管理功能或其他功能，相应地配置设备。
• 为用户提供有关正确使用IRM功能(包括安全邮件)的指导。
• 部署其他第三方安全软件，以抵抗此类型攻击。

电子邮件安全性分类

安全邮件为iOS和安全的邮件iOS Android支持电子邮件分类标记,允许用户在发送电子邮件时指定安全性(SEC)标记和分发限制标记(DLM)。秒标记包括“保护”(受保护),“机密”(私密)和“秘密”(机密)。DLM包括“敏感”(敏感)，“法律”(法律)或“个人”(个人)。撰写电子邮件时，安全邮件用户可以选择一个标记以指示电子邮件的分类级别，如下图所示。

收件人可以在电子邮件主题中查看分类标记。例如：

• 主题:规划[SEC = PROTECTED, DLM = Sensitive]
• 主题:规划[DLM =敏感]
• 题材:规划[SEC =非机密]

电子邮件标头包括作为互联网邮件标头扩展的分类标记，如下例中粗体文本所示:

日期:2015年5月01日星期五12:34:50 +530

主题:规划[SEC = PROTECTED, DLM = Sensitive]

优先级:正常

X-Priority:正常X-Protective-Marking:版本- 2012.3,NS =政府。au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

来自:operations@example.com

:团队< mylist@example.com >

MIME-Version: 1.0内容类型:多部分/替代;边界= " _com.example.email_6428e5e4 - 9 - db4 - 4133 - 9 - f48 - 155913 - e39a980”

安全邮件仅显示分类标记。该应用程序不会根据这些标记采取操作。

用户答复或转发带有分类标记的电子邮件时，sec和DLM值将默认为原始电子邮件的标记。用户可以选择其他标记。安全邮件不验证与原始电子邮件有关的此类更改。

可以通过以下MDX策略配置电子邮件分类标记。

• 电子邮件分类：如果设置为开，安全邮件将支持SEC和DLM的电子邮件分类标记。分类标记在电子邮件标头中作为x保护标记的值显示。请务必配置相关的电子邮件分类策略。默认值为关。

• 电子邮件分类命名空间：根据所使用的分类标准指定电子邮件标头中所需的分类命名空间。例如，命名空间gov.au在标头中显示为NS=gov.au。默认值为空。

• 电子邮件分类版本：根据所使用的分类标准指定电子邮件标头中所需的分类版本。例如，版本2012.3在标头中显示为ver =2012.3。默认值为空。

• 默认电子邮件分类：指定用户未选择标记时，安全邮件对电子邮件应用的保护标记。此值必须在"电子邮件分类标记"策略的列表中。默认值为非官方的。

• 电子邮件分类标记：指定最终用户可用的分类标记。如果列表为空，安全邮件将不包括保护标记列表。标记列表中包含冒号分隔的值对。每个值对中都包含安全邮件中显示的列表值以及标记值(在安全邮件中附加到电子邮件主题和标头的文本)。例如,在标记对非官方,秒=非官方中,列表值为非官方,标记值为秒=非官方的。

默认值为能够修改的分类标记列表。安全邮件附带以下标记。

• 非官方的,秒=非官方的
• 非保密,秒=非保密
• 仅供官方使用，DLM=For Official-Use-Only
• 敏感,DLM =敏感
• 敏感:法律,DLM =敏感:合法的
• 敏感:个人,DLM =敏感:个人
• 保护,秒=保护
• 保护+敏感,秒=保护
• 保护+敏感:法律、秒=保护DLM =敏感:合法的
• 保护+敏感:个人、秒=保护DLM =敏感:个人
• 保护+敏感:内阁,秒=保护,DLM =敏感:内阁
• 保密,秒=保密
• 机密+敏感,秒=机密,DLM =敏感
• 机密+敏感:法律、秒=机密DLM =敏感:合法的
• 机密+敏感:个人,秒=保密,DLM =敏感:个人
• 机密+敏感:内阁,秒=机密DLM =敏感:内阁
• 秘密,秒=秘密
• 秘密+敏感,秒=秘密,DLM =敏感
• 秘密+敏感:法律、秒=秘密,DLM =敏感:合法的
• 秘密+敏感:个人,秒=秘密,DLM =敏感:个人
• 秘密+敏感:内阁,秒=秘密,DLM =敏感:内阁
• 绝密,秒=绝密
• 绝密+敏感,秒=绝密,DLM =敏感
• 绝密+敏感:法律、秒=绝密DLM =敏感:合法的
• 绝密+敏感:个人、秒=绝密DLM =敏感:个人
• 绝密+敏感:内阁,秒=绝密DLM =敏感:内阁

iOS数据保护

必须满足澳大利亚信号局(ASD)数据保护要求的企业可以对安全邮件和安全Web使用启用iOS数据保护策略。默认情况下，策略设置为关。

对于安全网络，启用iOS数据保护设置为开时，安全网络为沙盒中的所有文件使用A类保护级别。有关安全邮件数据保护的详细信息，请参阅澳大利亚信号局数据保护。如果启用此策略，将使用最高数据保护类，因此无需再指定最低数据保护类策略。

更改"启用iOS数据保护"策略

1. 使用端点管理控制台将安全Web和安全邮件MDX文件加载到端点管理:对于新应用程序，请导航到配置 > 应用程序 > 添加，然后单击MDX。有关升级的信息，请参阅升级MDX或企业应用程序。

2. 对于安全邮件，请浏览到应用程序设置，找到启用iOS数据保护策略，然后将其设置为开。启用此策略不会影响运行较低操作系统版本的设备。

3. 对于安全网络，请浏览到应用程序设置，找到启用iOS数据保护策略，然后将其设置为开。启用此策略不会影响运行较低操作系统版本的设备。

4. 正常配置应用程序策略并保存设置,以将应用程序部署到端点管理应用商店。

澳大利亚信号局(澳大利亚信号局)数据保护

安全邮件为必须满足澳大利亚信号局(ASD)计算机安全要求的企业支持ASD数据保护。默认情况下，“启用iOS数据保护”策略设置为关、安全邮件提供C类数据保护或使用预配文件中设置的数据保护。

如果此策略设置为开，安全邮件在应用程序沙盒中创建和打开文件时指定保护级别。安全邮件为以下各项设置A类数据保护:

• 发件箱项目
• 相机或本机照片中的照片
• 从其他应用程序粘贴的图像
• 下载的文件附件

安全邮件为以下各项设置B类数据保护:

• 存储的邮件
• 日历项目
• 通讯录
• ActiveSync策略文件

B类保护使锁定设备可以同步，并在下载开始后锁定设备的情况下使下载可以完成。

启用数据保护后，设备锁定时将不发送排队的发件箱项目，因为文件无法打开。如果设备在锁定时终止安全邮件,然后又将其重新启动,安全邮件在设备解锁并启动安全邮件之前将无法进行同步。

Citrix建议,如果启用此策略,仅在需要避免创建采用C类数据保护的日志文件时启用安全邮件日志记录。