現象
Microsoft Exchange organizationのユーザーは、暗号化された電子メール メッセージを外部の受信者に送信し、Microsoft Outlook デスクトップ クライアントで開こうとします。 ただし、受信者は次のいずれかを行います。
暗号化されたメッセージを開けない (メッセージ本文が空白など)
メッセージ本文に "メッセージの読み取り" リンクがあるメッセージを受信します (リンクは受信者を Microsoft Purview メッセージ暗号化ポータルに送信します)
この問題は、Microsoft Purview Message Encryptionを使用する電子メール メッセージに対して発生します。
原因
症状は、次のいずれかの理由で発生する可能性があります。
Microsoft Purview Message Encryptionを使用する電子メール メッセージを復号化するには、受信者の Outlook デスクトップ クライアントが、Exchange Online テナントの Microsoft Azure Information Protection (AIP) エンドポイントに接続する必要があります。 ただし、次のいずれかの条件に該当する場合、Outlook デスクトップ クライアントが AIP エンドポイントに接続しない可能性があります。
送信者が使用するテナント内の外部向け条件付きアクセス (CA) ポリシーは、エンドポイントへのアクセスをブロックします。
送信者が使用するテナントの多要素認証 (MFA) ポリシーは、エンドポイントへのアクセスをブロックするセキュリティの追加レイヤーを追加します。
送信者は秘密度ラベルを適用してコンテンツを暗号化しましたが、ラベルは他の方法でもアクセスを制限します。 たとえば、ラベルスコープは内部受信者にのみアクセスします。
ソリューション
原因に応じて、次のいずれかの解決策または回避策を使用します。
重要
特定の環境とセキュリティの要件に基づいて適切な解決策または回避策を実装するには、organizationの IT チームまたはセキュリティ チームと協力することをお勧めします。
解決策
送信者によって使用されるテナント内の外部向け CA ポリシーが AIP エンドポイントへのアクセスをブロックする場合は、ポリシーがブロックするクラウド アプリの一覧から AIP を除外します。 AIP を構成する方法については、「 AIP の CA ポリシー 」と「 AIP が CA のクラウド アプリとして一覧表示される」を参照してください。
送信者が秘密度ラベルを使用してコンテンツを暗号化した場合、送信者は他のアクセス制限のラベルをチェックする必要があります。 詳細については、「 秘密度ラベルを使用してコンテンツへのアクセスを制限して暗号化を適用する」を参照してください。
回避策
送信者によって使用されるテナント内の外部向け CA ポリシーが外部ユーザーをブロックし、 ゲスト ユーザー が AIP エンドポイントにアクセスできるようにする場合は、外部受信者をゲスト ユーザーとして追加します。
送信者が使用するテナント内の MFA ポリシーで、AIP エンドポイントへのアクセスをブロックするセキュリティの追加レイヤーを追加する場合、外部受信者は次のいずれかを行う必要があります。
Outlook on the web、Outlook for Android、または Outlook for iOS で暗号化されたメッセージを開きます。 これらのアプリケーションはサービス内の復号化を処理し、AIP エンドポイントへのアクセスを必要としません。
organizationの MFA ポリシーから受信者 (場合によってはすべてのゲストユーザーと外部ユーザー) を除外します。 MFA は、Microsoft Entra Identity Protection と CA ポリシーで構成できます。