邮件加密常见问题解答

Microsoft Purview 邮件加密结合了电子邮件加密和权限管理功能。 权限管理功能由 Azure 信息保护提供支持。

可以在以下条件下使用 Microsoft Purview 消息加密：

• 如果尚未为 Exchange 设置 Office 365 邮件加密 (OME) 或信息权限管理 (IRM) 。

• 如果设置了 OME 和 IRM，如果还使用 Azure 信息保护中的 Azure Rights Management 服务，则可以使用这些步骤。

• 如果将 Exchange 与 Active Directory Rights Management 服务 (AD RMS) 配合使用，则无法立即启用这些新功能。 相反，需要首先将 AD RMS 迁移到 Azure 信息保护 。 完成迁移后，可以成功设置Microsoft Purview 消息加密。

  如果选择继续使用 Exchange 的本地 AD RMS 而不是迁移到 Azure 信息保护，则无法使用 Microsoft Purview 消息加密。

若要使用 Microsoft Purview 消息加密，需要以下计划之一：

• Microsoft Purview 邮件加密作为 Office 365 企业版 E3 和 E5、Microsoft 365 企业版 E3 和 E5、Microsoft 365 商业高级版、Office 365 A1、A3 和 A5 以及 Office 365 政府版 G3 和 G5 的一部分提供。 无需额外的许可证就可以接收由 Azure 信息保护提供支持的新保护功能。

• 还可以将 Azure 信息保护计划 1 添加到以下计划以接收 Microsoft Purview 邮件加密：Exchange 计划 1、Exchange 计划 2、Office 365 F3、Microsoft 365 Business Basic、Microsoft 365 商业标准版或 Office 365 企业版 E1。

• 从 Microsoft Purview 消息加密中受益的每个用户都需要一个许可证才能使用消息加密。

• 有关完整列表，请参阅 Microsoft Purview 邮件加密的 Exchange 服务说明 。

可以！ Microsoft建议在设置 Microsoft Purview 消息加密之前完成设置 BYOK 的步骤。

有关 BYOK 的详细信息，请参阅 规划和实现 Azure 信息保护租户密钥。

否。 Microsoft Purview 消息加密以及从 Azure 信息保护提供和控制自己的加密密钥（称为 BYOK）的选项并不是为了响应执法传票而设计的。 使用 BYOK 进行 Azure 信息保护的 OME 是为注重合规性的组织设计的。 Microsoft认真对待客户数据请求。 作为云服务提供商，我们始终倡导数据的隐私。 如果我们收到传票，我们始终尝试将请求直接重定向给你以获取信息。 (阅读 Brad Smith 的博客： 保护客户数据免受政府窥探) 。 我们会定期发布收到的请求的详细信息。 有关非Microsoft数据请求的详细信息，请参阅 响应政府和执法部门在 Microsoft 信任中心访问客户数据的请求 。 另请参阅在线服务条款中的“客户数据披露” (OST) 。

Microsoft Purview 消息加密是现有 IRM 和旧版 OME 解决方案的演变。 下表提供了更多详细信息。

旧版 OME、IRM 和 Microsoft Purview 消息加密的比较

请参阅 设置 Microsoft Purview 消息加密。

Office 365 邮件加密 (OME) 已于 2023 年 7 月 1 日弃用。 它将自动替换为 Microsoft Purview 消息加密。 如果有活动发件人邮箱，仍可以从 OME 查看邮件。

不正确。 如果将 Exchange Online 与 Active Directory Rights Management 服务 (AD RMS) 配合使用，则无法立即启用这些新功能。 相反，需要首先将 AD RMS 迁移到 Azure 信息保护 。

本地用户可以使用 Exchange Online 邮件流规则发送加密邮件。 你需要通过 Exchange 路由电子邮件。 有关详细信息，请参阅 第 2 部分：将邮件配置为从电子邮件服务器流向 Microsoft 365。

可以从 Outlook 2016、Outlook 2013 for Windows 和 Mac 以及 Outlook 网页版创建受保护的邮件。 有关发送加密邮件的详细信息，请参阅 在 Outlook for PC 中发送、查看和答复加密邮件。

Microsoft 365 用户可以从 Outlook for Windows 和 Mac (2013 和 2016) 、Outlook 网页版和 Outlook mobile (Android 和 iOS) 进行读取和响应。 如果组织允许，还可以使用 iOS 本机邮件客户端。 如果你不是 Microsoft 365 用户，可以通过 Web 浏览器读取和回复 Web 上的加密消息。

Microsoft 365 用户可以使用 Outlook for PC 版本 2019 和 Microsoft 365 来创建受仅加密策略保护的邮件。 应用了仅加密策略的邮件可以直接在 Outlook 网页版、Outlook for iOS 和 Android 版以及 Outlook for PC 版本 2019 和 Microsoft 365 中读取。

是。 可以使用 Microsoft Purview 邮件加密（包括附件）发送的最大邮件大小为 25 MB。 有关详细信息，请参阅 消息限制。

是。 在某些情况下配置了 连接器 （例如 Exchange 混合部署），在 密件抄送 行中包含收件人时，会在邮件加密之前删除密件抄送收件人。 最佳做法是移动到 Exchange Online，或将所有收件人置于 “收件人： ”或 “抄送 ”字段中。

加密的邮件门户仅支持邮件。 门户不支持其他邮件类型，例如日历或语音邮件。

可以将任何文件类型附加到受保护的邮件。 保护策略仅应用于 支持的文件类型中提到的一部分文件格式。 Microsoft Purview 邮件加密仅支持以下 Office 文件扩展名：

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Microsoft Purview 邮件加密不支持以下 Office 程序的 97-2003 版本：Word (.doc) 、Excel (.xls) 和 PowerPoint (.ppt) 。

保护仅从邮件继承到未加密的附件。 如果支持文件格式（如 Word、Excel 或 PowerPoint 文件），则文件始终受到保护，即使在收件人下载附件之后也是如此。 例如，假设附件受“请勿转发”保护。 原始收件人下载文件，创建一封发送给新收件人的邮件，并附加该文件。 当新收件人收到文件时，他们无法打开该文件。

简短的回答是肯定的！ 如果在 Exchange Online 中启用 PDF 加密，则可以保护附加到电子邮件的敏感 PDF 文档。 发送电子邮件时，Office 365 服务会加密 Outlook 网页版、Outlook for Mac、Outlook for iOS 和 Outlook for Android 的 PDF 文件附件。 无需执行任何其他步骤即可加密发送的 PDF。

Outlook 64 位本机支持 PDF 文件附件加密，而 Outlook 32 位不支持。 如果使用 Outlook 32 位，则需要首先设置 Exchange 邮件流规则或 DLP 策略，以便对 PDF 附件应用加密。 当您从 Outlook Desktop 发送带有 PDF 附件 的未加密 邮件时，客户端会首先向服务发送带有附件的邮件。 当服务收到未加密的邮件时，该服务将通过数据丢失防护 (Exchange Online 中的 DLP) 策略或邮件流规则来应用 Microsoft Purview 邮件加密保护。 接下来，Exchange Online 加密邮件和 PDF 文件附件。

若要为 PDF 附件启用加密，请在 Exchange Online PowerShell 中运行以下命令：

Set-IRMConfiguration -EnablePdfEncryption $true

PDF 加密允许通过安全通信或安全协作来保护敏感的 PDF 文档。 对于所有 Outlook 客户端，邮件和未受保护的 PDF 附件继承 Exchange Online 中数据丢失防护 (DLP) 策略或邮件流规则Microsoft Purview 邮件加密保护。 此外，如果 Outlook 网页版用户附加了未受保护的 PDF 文档，并且对邮件应用了保护，则邮件将继承邮件的保护。 用户只能在支持受保护 PDF 的应用程序中打开加密附件， (例如加密的消息门户和 Azure 信息保护查看器) 。

Not yet. 不支持 SharePoint 或 OneDrive 附件。 可以加密邮件，但不能加密云附件。

使用受保护的邮件保护附件时，可以使用 Outlook 客户端直接预览文档。 Outlook 支持 office 文档预览 (docx、xlsx、pptx、doc、xls、ppt) 。 Outlook 网页版支持 office 文档预览 (docx、xlsx、pptx) 和 PDF。

Outlook 网页版支持吊销受保护的邮件。 有关详细信息 ，请参阅如何撤销已发送的加密消息 。

加密邮件门户支持预览添加到加密邮件的任何加密附件副本。 支持文件类型包括 Word、Excel、PowerPoint 和 PDF 文件。

是。 使用 Exchange Online 中的邮件流规则根据特定条件自动加密邮件。 例如，可以创建基于收件人 ID、收件人域或邮件正文或主题内容的策略。 请参阅 在 Office 365 中定义邮件流规则以加密电子邮件。

管理员可以设置邮件流规则，以删除传出邮件的加密。 只能设置规则来删除来自 Exchange Online 组织的传入邮件的加密。

对于 Exchange Online 邮箱，管理员必须启用日记解密并设置 Exchange Online 日记规则，以将邮件的解密副本生成到日记邮箱中。 日记规则接受具有加密的任何邮件或附件，并将原始邮件和解密副本发送到日记邮箱。 只能设置一个日记规则，当加密项目源自组织时，才能解密邮件或附件。
若要启用 Exchange Online 日记功能，请执行：

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

可以！ 可以在 Exchange Online 中设置邮件流规则，也可以在 Microsoft Purview 合规性门户中使用 DLP 来设置邮件流规则。

是的，对于从组织中的 Exchange Online 邮箱发送的邮件！ 有关自定义电子邮件和加密邮件门户的信息，请参阅 向加密邮件添加组织的品牌。

加密的邮件门户活动日志仅通过访问加密的邮件门户来捕获外部收件人的事件。 不会记录外部收件人触发的电子邮件客户端中的任何活动。 对于内部收件人，请参阅 Purview 审核 (Premium) - 邮件项目访问日志中的 MailItemsAccessed 邮箱审核操作。

Microsoft Purview 合规性门户中有一个加密报告。 请参阅 在 Microsoft Purview 合规性门户中查看电子邮件安全报告。

是的，Microsoft Purview 消息加密保护的大多数消息都是可发现的。 Microsoft从通过邮件流规则应用了自定义品牌的另一个 Microsoft 365 组织收到的 Purview 邮件加密受保护邮件无法被电子数据展示服务发现。 换句话说，如果邮件无法通过用户的邮箱访问，而是只能通过指向加密邮件门户的链接显示，则邮件不可搜索。 有关详细信息 ，请参阅支持加密项的电子数据展示活动 。

当电子邮件与加密邮件流规则匹配时，Exchange 会对发送该邮件的邮件进行加密。

可以！ 可以为共享邮箱打开加密邮件。 当邮件从同一组织发送时，可以在登录到支持的 Outlook 客户端时打开邮件。 如果邮件是从外部组织发送的，则需要使用 Outlook 网页版。

• 用户可以在共享邮箱中打开受保护的邮件，共享邮箱作为通讯组的一部分收到受保护的邮件。

• 当用户使用 Outlook for Windows、Outlook for Mac、Outlook for Android、Outlook for iOS 和 Outlook 网页版时，可以查看从电子邮件继承保护的附件。

下表列出了共享邮箱支持的客户端。

目前有两个已知限制：

• 无法使用 Outlook 移动版打开在移动设备上收到的电子邮件的附件。

• 有两种方法允许用户直接在 Outlook 32 位中查看加密邮件：

  1. 直接将用户分配到共享邮箱，并启用完全访问权限和自动映射。 对于 Outlook 64 位，用户无需直接分配到邮箱。 默认情况下，Exchange 已启用自动映射。
  2. 将启用邮件的安全组分配给共享邮箱。 此方法需要 Outlook 版本 2402，并且仅支持 2024 年 6 月之后生成的邮件。

将用户分配到共享邮箱

1. 连接到 Exchange Online PowerShell。

2. Add-MailboxPermission使用 Automapping 参数运行 cmdlet。 此示例授予 Ayla 对支持邮箱的完全访问权限。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

将已启用邮件的安全组分配给共享邮箱

若要使用此方法，必须使用 “不转发” 或 “仅加密” 保护选项加密邮件。 只能打开由共享邮箱发起的邮件或组织内发送的邮件。

1. 连接到 Exchange Online PowerShell。

2. Add-MailboxPermission运行 cmdlet 以分配安全组。 以下示例为 Contoso 前台安全组授予对支持邮箱的完全访问权限。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

当向代理人授予对用户邮箱的完全访问权限时，Outlook 网页版、Outlook for Mac 版、Outlook for iOS 版和 Outlook for Android 版支持对加密邮件的委派访问。 Outlook for Windows 不支持委派访问。

只要发件人的组织处于活动状态且邮件未配置为过期，就可以登录到加密的邮件门户来检索邮件。

首先，检查电子邮件客户端中的垃圾邮件文件夹。 组织的 DKIM 和 DMARC 设置可能会导致这些电子邮件最终被筛选为垃圾邮件。

接下来，在合规性门户中检查隔离区。 通常，包含一次性传递代码的邮件（尤其是组织收到的第一个密码）最终被隔离。