設定郵件加密

Microsoft Purview 郵件加密可讓組織與任何裝置上的任何人共用受保護的電子郵件。 使用者可以與其他 Microsoft 365 組織以及使用 Outlook.com、Gmail 和其他電子郵件服務的協力廠商交換受保護的郵件。

請遵循下列步驟，以確保您的組織中可使用 Microsoft Purview 郵件加密。

提示

如果您不是 E5 客戶，請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。

驗證 Azure 版權管理作用中

Microsoft Purview 郵件加密 利用 Azure Rights Management Services 中的保護功能 (Azure RMS) ，這是 Azure 資訊保護 透過加密和訪問控制來保護電子郵件和文件的技術。

使用全 Microsoft Purview 郵件加密的唯一先決條件是必須在組織的租用戶中啟用 Azure 版權管理。 如果是，Microsoft 365 會自動啟用郵件加密，您不需要採取任何動作。

Azure RMS 也會對多數合格方案自動啟用，因此您也不需要對此採取任何動作。 如需詳細資訊，請參閱啟用 Azure 版權管理。

重要事項

如果您搭配 Exchange Online 使用 Active Directory Rights Management 服務 (AD RMS)，則需要先移轉至 Azure 資訊保護，才能使用郵件加密。 Microsoft Purview 郵件加密與 AD RMS 不相容。

如需詳細資訊，請參閱：

• 郵件加密常見問題可檢查您的訂閱方案是否包含 Azure 資訊保護 (其中包含 Azure RMS 功能)。
• Azure 資訊保護可取得購買合格訂閱的相關資訊。

手動啟用 Azure 版權管理

如果您已停用 Azure RMS，或如果它因任何原因無法自動啟用，您可以手動啟用。

如需指示，請參閱 如何啟用或確認保護服務的狀態。

設定 Azure 資訊保護租用戶金鑰的管理

這是選擇性的步驟。 允許 Microsoft 管理 Azure 資訊保護的根金鑰是大部分組織的預設設定和建議的最佳做法。 如果是這種情況，您不需要執行任何動作。

有許多原因，例如合規性需求，可能要求您產生及管理您的根金鑰，也稱為「攜帶您自己的金鑰」(BYOK)。 如果是這種情況，建議您完成所需的步驟，之後再設定 Microsoft Purview 郵件加密。 如需詳細資訊，請參閱規劃及實作您的 Azure 資訊保護租用戶金鑰。

驗證 Exchange Online PowerShell 中的 Microsoft Purview 郵件加密設定

您可驗證您的 Microsoft 365 租用戶已正確設定，可使用 Exchange Online PowerShell 中的 Microsoft Purview 郵件加密。

1. 使用具有 Microsoft 365 租用戶中全域系統管理員權限的帳戶連線至 Exchange Online PowerShell。

2. 執行 Get-IRMConfiguration Cmdlet。

   您應該會看到 AzureRMSLicensingEnabled 參數的值為 $True，這表示租用戶中已設定 Microsoft Purview 郵件加密。 如果不是，請使用 Set-IRMConfiguration 將 AzureRMSLicensingEnabled 的值設為 $True 以啟用 Microsoft Purview 郵件加密。

3. 使用以下語法來執行 Test-IRMConfiguration Cmdlet：

   Test-IRMConfiguration [-Sender <email address> -Recipient <email address>]
   

   範例：

   Test-IRMConfiguration -Sender securityadmin@contoso.com -Recipient securityadmin@contoso.com
   

   • 針對寄件者和收件者，請使用 Microsoft 365 租用戶中任何使用者的電子郵件地址。

     您的結果應該類似於：

     Results : Acquiring RMS Templates ...
                - PASS: RMS Templates acquired.  Templates available: Contoso  - Confidential View Only, Contoso  - Confidential, Do Not
            Forward.
            Verifying encryption ...
                - PASS: Encryption verified successfully.
            Verifying decryption ...
                - PASS: Decryption verified successfully.
            Verifying IRM is enabled ...
                - PASS: IRM verified successfully.
     
            OVERALL RESULT: PASS
     

   • 您的組織名稱將取代 Contoso。

   • 預設範本名稱可能與上方顯示的不同。 如需詳細資訊，請參閱設定及管理 Azure 資訊保護的範本。

4. 如果測試失敗並出現錯誤訊息「無法取得 RMS 範本」，請執行下列命令並執行Test-IRMConfiguration Cmdlet 以確認其通過測試。 連線到 AIPService 模組 以執行 Cmdlet。

   $RMSConfig = Get-AipServiceConfiguration
   $LicenseUri = $RMSConfig.LicensingIntranetDistributionPointUrl
   Set-IRMConfiguration -LicensingLocation $LicenseUri
   Set-IRMConfiguration -InternalLicensingEnabled $true
   

5. 移除 Remove-PSSession Cmdlet 來與版權管理服務中斷連線。

   Remove-PSSession $session
   

後續步驟：定義郵件流程規則以使用 Microsoft Purview 郵件加密

如果有先前設定的郵件流程規則以加密貴組織中的電子郵件，您必須更新現有規則，才能使用 Microsoft Purview 郵件加密。 針對新的部署，您必須建立新的電子郵件流程規則。

重要事項

如果您不更新現有的郵件流程規則，您的使用者會繼續收到使用先前的 HTML 附件格式的加密電子郵件，而非新的無縫體驗。

郵件流程規則決定在何情況下應該加密電子郵件訊息，以及移除該加密的情況。 當您設定規則的動作時，符合規則條件的任何郵件在傳送時都會經過加密。

如需建立郵件流程規則郵件加密的步驟，請參閱定義郵件流程規則以加密 Office 365 中的電子郵件。

若要更新現有的規則以使用 Microsoft Purview 郵件加密：

1. 在 Microsoft 365 系統管理中心中，移至 [系統管理中心] >Exchange。
2. 在 Exchange 系統管理中心，移至 [郵件流程 > 規則]。
3. 對於每個規則，在 [執行下列動作] 中：
   • 選取 [修改郵件安全性]。
   • 選取 [套用 Office 365 郵件加密與權限保護]。
   • 從 RMS 範本清單中選取 [ 加密 ]。
   • 選取 [儲存]。
   • 選取 [確定]。