郵件加密常見問題集

Microsoft Purview 郵件加密 結合電子郵件加密和版權管理功能。 版權管理功能是由 Azure 資訊保護 所提供。

您可以在下列情況下使用 Microsoft Purview 郵件加密：

• 如果您尚未設定 Office 365 訊息加密 (OME) 或資訊版權管理 (Exchange 的 IRM) 。

• 如果您設定了 OME 和 IRM，如果您也使用來自 Azure 資訊保護 的 Azure Rights Management 服務，則可以使用這些步驟。

• 如果您使用 Exchange 搭配 Active Directory Rights Management 服務 (AD RMS) ，則無法立即啟用這些新功能。 相反地，您必須先將AD RMS移轉至 Azure 資訊保護。 當您完成移轉時，可以成功設定 Microsoft Purview 郵件加密。

  如果您選擇繼續搭配 Exchange 使用內部部署 AD RMS，而不是移轉至 Azure 資訊保護，則無法使用 Microsoft Purview 郵件加密。

若要使用 Microsoft Purview 郵件加密，您需要下列其中一個方案：

• Microsoft Purview 郵件加密 會在 Office 365 企業版 E3 和 E5、Microsoft 365 企業版 E3 和 E5、Microsoft 365 商務進階版、Office 365 A1、A3 和 A5 中提供，以及Office 365 政府版 G3 和 G5。 您不需要額外的授權，即可接收由 Azure 資訊保護 提供的新保護功能。

• 您也可以將 Azure 資訊保護 方案 1 新增至下列方案以接收 Microsoft Purview 郵件加密：Exchange 方案 1、Exchange 方案 2、Office 365 F3、Microsoft 365 商務基本版、Microsoft 365 商務標準版 或Office 365 企業版 E1。

• 每個從 Microsoft Purview 郵件加密 獲益的使用者都需要使用訊息加密的授權。

• 如需完整清單，請參閱適用於 Microsoft Purview 郵件加密的 Exchange 服務描述。

是！ Microsoft建議您先完成設定 BYOK 的步驟，再設定 Microsoft Purview 郵件加密。

如需 BYOK 的詳細資訊，請參閱規劃和實作您的 Azure 資訊保護 租使用者密鑰。

不能。 Microsoft Purview 郵件加密 和從 Azure 資訊保護 提供及控制您自己的加密密鑰，稱為 BYOK 的選項，並不是設計來響應執法機關的傳票。 OME 搭配 BYOK for Azure 資訊保護，專為以合規性為主的組織所設計。 Microsoft非常重視客戶數據的要求。 身為雲端服務提供者，我們一律提倡您數據的隱私權。 如果我們收到傳票，我們一律會嘗試直接將要求重新導向給您，以取得資訊。 (閱讀 Brad Smith 的部落格： 保護客戶數據不受政府 通知) 。 我們會定期發佈所收到要求的詳細資訊。 如需非Microsoft數據要求的詳細資訊，請參閱 回應政府機關和執法機關要求，以存取 Microsoft信任中心的客戶數據。 Also, see "Disclosure of Customer Data" in the Online Services Terms (OST).

Microsoft Purview 郵件加密 是現有 IRM 和舊版 OME 解決方案的演進。 下表提供更多詳細數據。

舊版 OME、IRM 和 Microsoft Purview 郵件加密 的比較

請參閱設定 Microsoft Purview 郵件加密。

Office 365 訊息加密 (OME) 已於 2023 年 7 月 1 日淘汰。 系統會自動將它取代為 Microsoft Purview 郵件加密。 如果您有作用中的寄件者信箱，您仍然可以檢視來自 OME 的郵件。

不能。 如果您使用 Exchange Online 搭配 Active Directory Rights Management Service (AD RMS) ，則無法立即啟用這些新功能。 相反地，您必須先將AD RMS移轉至 Azure 資訊保護。

內部部署使用者可以使用 Exchange Online 郵件流程規則來傳送加密的郵件。 您需要透過 Exchange 路由傳送電子郵件。 如需詳細資訊，請參閱 第 2 部分：設定郵件從您的電子郵件伺服器流向 Microsoft 365。

您可以從 Outlook 2016、Windows 和 Mac 版 Outlook 2013，以及從 Outlook 網頁版 建立受保護的訊息。 如需傳送加密訊息的詳細資訊，請參閱在計算機版 Outlook 中傳 送、檢視和回復加密的郵件。

Microsoft 365 用戶可以在 Android 和 iOS (Android 和 iOS) (，從 Windows 和 Mac 版 Outlook (2013 和 2016) 、Outlook 網頁版 和 Outlook 行動裝置版讀取及回應。 如果您的組織允許，您也可以使用 iOS 原生郵件用戶端。 如果您不是 Microsoft 365 使用者，您可以透過網頁瀏覽器讀取和回復網頁上加密的郵件。

Microsoft 365 使用者可以使用計算機版 Outlook 2019 和 Microsoft 365 來建立受加密原則保護的郵件。 套用僅加密原則的訊息可直接在 Outlook 網頁版、iOS 版和 Android 版 Outlook 中讀取，以及在電腦版 2019 和 Microsoft 365 中讀取。

是。 您可以使用 Microsoft Purview 郵件加密 傳送的訊息大小上限為 25 MB，包括附件。 如需詳細資訊，請參閱 訊息限制。

是。 在某些情況下，如果已設定 連接器 ，例如 Exchange 混合式部署，當您在 BCC 行上包含收件者時， BCC 收件者會在郵件加密之前移除。 最佳做法是移至 Exchange Online，或將所有收件者放在 [收件者：] 或 [副本] 字段中。

加密的郵件入口網站僅支援郵件。 入口網站不支援其他郵件類型，例如行事曆或語音信箱。

您可以將任何檔案類型附加至受保護的郵件。 保護原則只會套用至 支援的檔類型中所述檔格式的子集。 根據預設，Microsoft Purview 郵件加密 會加密下列 Office 檔案擴充功能：

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Microsoft Purview 郵件加密 不支援下列 Office 程式的 97-2003 版本：Word (.doc) 、Excel (.xls) 和 PowerPoint (.ppt) 。

此外，如果在 Exchange Online 中啟用，PDF 加密可讓您保護附加至電子郵件的敏感性 PDF 檔。 當您傳送電子郵件時，Office 365 服務會加密最新版 Outlook 的 PDF 檔案附件，包括：

• Outlook (新) 桌面
• Outlook 網頁版
• Mac 版 Outlook
• iOS 版 Outlook
• Android 版 Outlook

若要啟用 PDF 附件的加密，請使用在租使用者中至少具有資訊版權管理角色的工作或學校帳戶，在 Exchange Online PowerShell 中執行下列命令：

   Set-IRMConfiguration -EnablePdfEncryption $true

保護只會從郵件繼承至未加密的附件。 如果支援檔格式，例如 Word、Excel 或 PowerPoint 檔案，即使收件者下載附件之後，檔案一律會受到保護。

例如，假設附件受到「不可轉寄」保護。 原始收件者會下載檔案、建立訊息給新的收件者，然後附加檔案。 當新的收件者收到檔案時，他們無法開啟檔案。

Not yet. 不支援 SharePoint 或 OneDrive 附件。 您可以加密郵件訊息，但不能加密雲端附件。

當附件受到受保護的郵件保護時，您可以直接使用 Outlook 用戶端預覽檔。 Outlook 支援 office 文件預覽 (docx、xlsx、pptx、doc、xls、ppt) 。 Outlook 網頁版 支援 docx、xlsx、pptx) 和 PDF (Office 檔預覽。

Outlook 網頁版 支援撤銷受保護的郵件。 如需詳細資訊，請參閱 如何撤銷您傳送的加密訊息 。

加密的郵件入口網站支援預覽已新增至加密郵件的任何加密附件複本。 支援文件類型包括 Word、Excel、PowerPoint 和 PDF 檔案。

是。 在 Exchange Online 中使用郵件流程規則，根據特定條件自動加密郵件。 例如，您可以建立以收件者標識碼、收件者網域或郵件本文或主旨內容為基礎的原則。 請參閱定義郵件流程規則以加密 Office 365 中的電子郵件訊息。

系統管理員可以設定郵件流程規則，以移除外寄郵件的加密。 您只能設定規則來移除來自您 Exchange Online 組織的內送郵件加密。

針對 Exchange Online 信箱，系統管理員必須啟用日誌解密，並設定 Exchange Online 日誌記錄規則，以將郵件解密複本產生到日誌信箱。 日誌規則會接受任何已加密的郵件或附件，並將原始加上解密的複本傳送至日誌信箱。 您只能設定日誌規則，以便在加密專案源自貴組織時解密郵件或附件。
若要啟用 Exchange Online 紀錄：

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

是！ 您可以在 Exchange Online 中設定郵件流程規則，或在 Microsoft Purview 合規性入口網站 中使用 DLP。

是，針對從組織中 Exchange Online 信箱傳送的郵件！ 如需自定義電子郵件訊息和加密郵件入口網站的相關信息，請參閱將 貴組織的品牌新增至加密的郵件。

加密的郵件入口網站活動記錄只會藉由存取加密的郵件入口網站來擷取外部收件者的事件。 不會記錄外部收件者所觸發之電子郵件用戶端中的任何活動。 對於內部收件者，請參閱 Purview Audit (Premium) - 郵件專案存取記錄中的 MailItemsAccessed 信箱稽核動作。

Microsoft Purview 合規性入口網站 中有加密報告。 請參閱檢視 Microsoft Purview 合規性入口網站 中的電子郵件安全性報告。

是，大部分受 Microsoft Purview 郵件加密 保護的訊息都是可探索的。 您的電子檔案探索服務無法探索 Microsoft Purview 郵件加密 您從另一個透過郵件流程規則套用自定義商標的Microsoft 365 組織收到的受保護郵件。 換句話說，如果無法透過使用者的信箱存取郵件，而是只透過加密郵件入口網站的連結呈現，則無法搜尋郵件。 如需詳細資訊，請參閱 支援加密專案的電子檔探索活動 。

當電子郵件訊息符合加密郵件流程規則時，Exchange 會加密傳送該郵件的訊息。

是！ 您可以開啟共用信箱的加密郵件。 當郵件從同一個組織傳送時，您可以在登入支援的 Outlook 用戶端時開啟郵件。 如果郵件是從外部組織傳送，您必須使用 Outlook 網頁版。

• 用戶可以在共用信箱中開啟受保護的郵件，共用信箱會在通訊群組中收到受保護的郵件。

• 用戶可以在使用 Windows 版 Outlook、Mac 版 Outlook 版、Android 版 Outlook、iOS 版 Outlook 和 Outlook 網頁版 版時，檢視從電子郵件繼承保護的附件。

下表列出共用信箱的支援用戶端。

目前有兩個已知限制：

• 您無法使用 Outlook 行動裝置版開啟您在行動裝置上收到的電子郵件附件。

• 有兩種方式可讓使用者直接在 Windows 版 Outlook 中檢視加密的郵件：

  1. 直接將使用者指派給共用信箱，並啟用完整訪問許可權和自動對應。 針對 Outlook 64 位，使用者不需要直接指派給信箱。 默認會針對 Exchange 啟用自動對應。
  2. 將擁有郵件功能的安全組指派給共用信箱。 此方法需要 Outlook 2402 版，且僅支援在 2024 年 6 月之後產生的郵件。

將使用者指派給共用信箱

1. 連線至 Exchange Online PowerShell。

2. Add-MailboxPermission使用 參數執行 Automapping Cmdlet。 此範例會提供支援信箱的 Ayla 完整存取許可權。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

將啟用郵件的安全組指派給共用信箱

若要使用此方法，您必須使用 [ 不可轉 寄] 或 [僅加密 保護] 選項來加密郵件。 只能開啟由共用信箱或組織內傳送之郵件所起始的郵件。

1. 連線至 Exchange Online PowerShell。

2. 執行 Cmdlet Add-MailboxPermission 來指派安全組。 下列範例會為 Contoso 前臺安全組提供支援信箱的完整訪問許可權。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

當委派獲得使用者信箱的完整訪問許可權時，Outlook 網頁版、Mac 版 Outlook、iOS 版 Outlook 和 Android 版 Outlook 支援加密郵件的委派存取權。 Windows 版 Outlook 不支援委派的存取權。

您可以登入加密的郵件入口網站，以擷取郵件，只要寄件人的組織在使用中且郵件未設定為過期即可。

首先，檢查電子郵件用戶端中的垃圾郵件或垃圾郵件資料夾。 貴組織的 DKIM 和 DMARC 設定可能會導致這些電子郵件最終被篩選為垃圾郵件。

接下來，在合規性入口網站中檢查隔離。 通常，包含一次性密碼的訊息，尤其是貴組織收到的第一個密碼，最後會被隔離。