症状
Microsoft Exchange 组织中的用户向尝试在其 Microsoft Outlook 桌面客户端中打开该邮件的外部收件人发送加密电子邮件。 但是,收件人要么:
无法打开加密邮件 (例如,邮件正文为空)
接收邮件正文中包含“阅读邮件”链接的邮件, (该链接将收件人定向到 Microsoft Purview 邮件加密门户)
使用 Microsoft Purview 邮件加密 的电子邮件会出现此问题。
原因
出现症状的原因有以下任一:
若要解密使用 Microsoft Purview 邮件加密 的电子邮件,收件人的 Outlook 桌面客户端必须连接到 Exchange Online 租户的 Microsoft Azure 信息保护 (AIP) 终结点。 但是,如果满足以下任一条件,Outlook 桌面客户端可能无法连接到 AIP 终结点:
发送方使用的租户中面向外部的条件访问 (CA) 策略会阻止访问终结点。
在发送方使用的租户中,多重身份验证 (MFA) 策略增加了一层额外的安全层,可阻止对终结点的访问。
发送方应用了敏感度标签来加密内容,但该标签还以其他方式限制访问。 例如,标签仅限定对内部收件人的访问权限。
解决方案
根据原因使用以下解决方法或解决方法之一。
重要
我们建议你与组织的 IT 或安全团队合作,根据特定的环境和安全要求实施适当的解决方案或解决方法。
解决方案
如果发送方使用的租户中面向外部的 CA 策略阻止了对 AIP 终结点的访问,则从该策略阻止的云应用列表中排除 AIP。 有关如何配置 AIP 的信息,请参阅 AIP 的 CA 策略 和 AIP 列为适用于 CA 的云应用。
如果发送方使用敏感度标签来加密内容,则发送方应检查该标签,了解任何其他访问限制。 有关详细信息,请参阅 通过使用敏感度标签来应用加密来限制对内容的访问。
解决办法
如果发送方使用的租户中面向外部的 CA 策略阻止外部用户,但允许 来宾用户访问 AIP 终结点,则将外部收件人添加为来宾用户。
如果发送方使用的租户中的 MFA 策略增加了阻止对 AIP 终结点的访问的额外安全层,则外部收件人必须:
在 Outlook 网页版、Outlook for Android 或 Outlook for iOS 中打开加密邮件。 这些应用程序处理服务中的解密,不需要访问 AIP 终结点。
从组织的 MFA 策略中排除收件人 (,并可能排除) 的所有来宾和外部用户。 可以在 Microsoft Entra Identity Protection 和 CA 策略中配置 MFA。