设置消息加密

Microsoft Purview 消息加密允许组织与任何设备上的任何人共享受保护的电子邮件。 用户可使用 Outlook.com、Gmail 和其他电子邮件服务与其他 Microsoft 365 组织以及第三方交换受保护的邮件。

请按照以下步骤操作，确保 Microsoft Purview 消息加密在你的组织中可用。

提示

如果你不是 E5 客户，请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

验证 Azure 权限管理已激活

Microsoft Purview 邮件加密利用 Azure Rights Management Services (Azure RMS) 中的保护功能，Azure 信息保护使用该技术通过加密和访问控制来保护电子邮件和文档。

使用 Microsoft Purview 消息加密的唯一先决条件是必须在组织的租户中激活 Azure Rights Management。 如果是，Microsoft 365 将自动激活消息加密，无需执行任何操作。

对于最符合条件的计划，也会自动激活 Azure RMS，因此你可能也不需要在此方面执行任何操作。 有关详细信息，请参阅激活 Azure 权限管理。

重要

如果通过 Exchange Online 使用 Active Directory 权限管理服务 (AD RMS)，则需要先 迁移到 Azure 信息保护，然后才能使用信息加密。 Microsoft Purview 消息加密与 AD RMS 不兼容。

有关更多信息，请参阅：

• 用于检查订阅计划是否包括 Azure 信息保护（包括 Azure RMS 功能）的 消息加密常见问题解答。
• Azure 信息保护获取有关购买符合条件的订阅的信息。

请手动激活 Azure 权限管理

如果禁用了 Azure RMS，或者由于某种原因未自动激活，则可将其手动激活。

有关说明，请参阅 如何激活或确认保护服务的状态。

配置对 Azure 信息保护租户密钥的管理

这是一个可选步骤。 允许 Microsoft 管理 Azure 信息保护的根密钥是默认设置，并且是推荐给大多数组织的最佳做法。 如果是这种情况，则无需执行任何操作。

有多种原因（例如合规性要求）可能需要你生成和管理自己的根密钥（也称为“自带密钥”[BYOK]）。 如果是这种情况，我们建议你在设置 Microsoft Purview 消息加密之前完成所需的步骤。 有关详细信息，请参阅规划和实施 Azure 信息保护租户密钥。

验证 Exchange Online PowerShell 中的 Microsoft Purview 消息加密配置

可以验证 Microsoft 365 租户是否已正确配置为在 Exchange Online PowerShell 中使用 Microsoft Purview 消息加密。

1. 使用 Microsoft 365 租户中具有全局管理员权限的帐户连接到 Exchange Online PowerShell。

2. 运行 Get-IRMConfiguration cmdlet。

   应会看到 AzureRMSLicensingEnabled 参数的值为 $True，该值指示在租户中配置了 Microsoft Purview 消息加密。 如果未配置，请使用 Set-IRMConfiguration 将 AzureRMSLicensingEnabled 的值设置为 $True 以启用 Microsoft Purview 消息加密。

3. 使用以下语法运行 Test-IRMConfiguration cmdlet：

   Test-IRMConfiguration [-Sender <email address> -Recipient <email address>]
   

   示例：

   Test-IRMConfiguration -Sender securityadmin@contoso.com -Recipient securityadmin@contoso.com
   

   • 对于发件人和收件人，请使用Microsoft 365租户中任何用户的电子邮件地址。

     结果应类似于：

     Results : Acquiring RMS Templates ...
                - PASS: RMS Templates acquired.  Templates available: Contoso  - Confidential View Only, Contoso  - Confidential, Do Not
            Forward.
            Verifying encryption ...
                - PASS: Encryption verified successfully.
            Verifying decryption ...
                - PASS: Decryption verified successfully.
            Verifying IRM is enabled ...
                - PASS: IRM verified successfully.
     
            OVERALL RESULT: PASS
     

   • 组织名称将替换 Contoso。

   • 默认模板名称可能与上面显示的不同。 有关详细信息，请参阅配置和管理 Azure 信息保护模板。

4. 如果测试失败并出现错误消息“无法获取 RMS 模板”，请执行以下命令并运行 Test-IRMConfiguration cmdlet 以验证它是否通过。 连接到 AIPService 模块 以运行 cmdlet。

   $RMSConfig = Get-AipServiceConfiguration
   $LicenseUri = $RMSConfig.LicensingIntranetDistributionPointUrl
   Set-IRMConfiguration -LicensingLocation $LicenseUri
   Set-IRMConfiguration -InternalLicensingEnabled $true
   

5. 运行 Remove-PSSession cmdlet，从权限管理服务断开连接。

   Remove-PSSession $session
   

后续步骤：定义邮件流规则以使用 Microsoft Purview 邮件加密

如果有之前配置的用于在组织中对电子邮件进行加密的邮件流规则，则需要更新现有规则，以使用 Microsoft Purview 消息加密。 对于新部署，你需要创建新的邮件流规则。

重要

如果不更新现有的邮件流规则，你的用户将继续收到使用之前的 HTML 附件格式的加密邮件，而不是新的无缝体验。

邮件流规则确定应在哪些条件下对电子邮件进行加密，以及删除该加密的条件。 为规则设置操作时, 任何匹配规则条件的邮件都会在发送时进行加密。

有关创建邮件流规则邮件加密的步骤，请参阅 定义用于加密 Office 365 中电子邮件的邮件流规则。

若要更新现有规则以使用 Microsoft Purview 消息加密，请执行以下操作：

1. 在 Microsoft 365 管理中心中，转到管理中心>Exchange。
2. 在 Exchange 管理中心，转到 “邮件流 > 规则”。
3. 对于每条规则, 在执行下列操作中：
   • 选择“修改邮件安全性”。
   • 选择“应用 Office 365 邮件加密和权限保护”。
   • 从 RMS 模板列表中选择 “加密 ”。
   • 选择“保存”。
   • 选择“确定”。