Microsoft Purview 电子数据展示工具中的解密
提示
电子数据展示 (预览) 现已在新的 Microsoft Purview 门户中提供。 若要详细了解如何使用新的电子数据展示体验,请参阅 了解电子数据展示 (预览版) 。
加密是文件保护和信息保护策略的重要组成部分。 所有类型的组织都使用加密技术来保护其组织中的敏感内容,并确保只有合适的人有权访问该内容。
若要对加密内容运行常见的电子数据展示任务,电子数据展示管理员需要在从内容搜索导出时解密电子邮件内容,Microsoft Purview 电子数据展示 (标准) 事例,以及Microsoft Purview 电子数据展示 (高级) 案例。 使用Microsoft加密技术加密的内容在导出后才可供审阅。
为了更轻松地管理电子数据展示工作流中的加密内容,Microsoft Purview 电子数据展示工具现在包含对附加到电子邮件并在 Exchange Online 中发送的加密文件的解密。1 此外,存储在 SharePoint Online 和 OneDrive for Business 中的加密文档在电子数据展示 (Premium) 2 中解密。
在此新功能之前,仅解密受权限管理 (保护的电子邮件内容,而不是) 附加文件。 在电子数据展示工作流期间,无法解密 SharePoint 和 OneDrive 中的加密文档。 现在,使用Microsoft加密技术加密的文件位于 SharePoint 或 OneDrive 帐户上,可在搜索结果准备好预览版、添加到电子数据展示 (Premium) 中的审阅集并导出时进行搜索和解密。 此外,SharePoint 和 OneDrive 中附加到电子邮件的加密文档 (作为副本) 可搜索。 此解密功能允许电子数据展示管理员在预览搜索结果时查看加密电子邮件附件和网站文档的内容,并在将它们添加到电子数据展示 (Premium) 中的审阅集后进行审阅。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。
电子数据展示中的解密要求
- 权限:必须分配 RMS 解密 角色才能预览、查看和导出使用Microsoft加密技术加密的文件。 还必须分配此角色才能查看和查询电子数据展示 (Premium) 中添加到审阅集的加密文件。 默认情况下,此角色在 Purview 合规性门户的 “权限 Microsoft” 页上将此角色分配给电子数据展示管理器角色组。 有关 RMS 解密角色的详细信息,请参阅 分配电子数据展示权限。
- 对导出的 PST 文件运行收件箱修复工具:导出 PST 文件后,建议运行收件箱修复工具 (ScanPST.exe) 来诊断和修复 PST 文件中的任何错误。
支持的加密技术
对于 Exchange,Microsoft Purview 电子数据展示工具支持使用Microsoft加密技术加密的项目。 这些技术是 Azure Rights Management (Azure RMS) 3 和 Microsoft Purview 信息保护 (专门) 敏感度标签。 有关Microsoft加密技术的详细信息,请参阅 加密 和可用的各种 电子邮件加密 选项。 不支持通过 S/MIME 或第三方加密技术加密的内容。 例如,不支持预览或导出使用非Microsoft技术加密的内容。
注意
Microsoft电子数据展示工具不支持对使用 Microsoft Purview 邮件加密自定义品牌模板 发送的电子邮件进行解密。 使用 OME 自定义品牌模板时,电子邮件将传递到 OME 门户,而不是收件人的邮箱。 因此,无法使用电子数据展示工具搜索加密邮件,因为收件人的邮箱永远不会收到这些邮件。
对于 SharePoint,将解密标记为 SharePoint Online 服务的内容。 在上传到 SharePoint、旧文档库 RMS 模板或设置以及 S/MIME 或其他标准之前,不支持在客户端中标记或加密的项目2。
支持加密项的电子数据展示活动
下表标识了可以在 Microsoft Purview 电子数据展示工具中对附加到 SharePoint 和 OneDrive 中的电子邮件和加密文档的加密文件执行的支持任务。 可以在符合搜索条件的加密文件上执行这些支持的任务。 值 N/A 指示在相应的电子数据展示工具中不提供该功能。
| 电子数据展示任务 | 内容搜索 | 电子数据展示(标准版) | 电子数据展示(高级版) |
|---|---|---|---|
| 在网站和电子邮件附件中搜索加密文件中的内容1 | 否 | 否 | 是 |
| 预览附加到电子邮件的加密文件 | 是 | 是 | 是 |
| 在 SharePoint 和 OneDrive 中预览加密的文档 | 否 | 否 | 是 |
| 查看审阅集中的加密文件 | 不适用 | 不适用 | 是 |
| 导出附加到电子邮件的加密文件 | 是 | 是 | 是 |
| 在 SharePoint 和 OneDrive 中导出加密的文档 | 否 | 否 | 是 |
支持的解密
下表介绍了电子数据展示 (标准版) 和电子数据展示 (高级) 支持对电子邮件、包含附件的电子邮件和 SharePoint 托管的文件的解密。
| 项目类型 | 任务 | 电子数据展示(标准版) | 电子数据展示(高级版) |
|---|---|---|---|
| 加密电子邮件 | 搜索 | 是 | 是 |
| 加密电子邮件 | 解密到 .pst | 否 | 是 |
| 加密电子邮件 | 解密到文件 | 是 | 是 |
| 加密的邮件和附件 | 搜索 | 否 | 是 (,高级索引) 1 |
| 加密的邮件和附件 | 解密到 .pst | 否 | 是 |
| 加密的邮件和附件 | 解密到文件 | 否 | 是 |
| SharePoint 中带有 MIP 标签的文件 | 搜索 | 否 | 是 |
| SharePoint 中带有 MIP 标签的文件 | 解密 | 否 | 是 |
| SharePoint 中具有其他加密2 的文件 | 搜索、解密 | 否 | 否 |
重要
电子数据展示 (标准) 不支持旧加密协议。
电子邮件和附件的解密限制
对电子邮件和附件解密的电子数据展示支持受以下限制的约束:
- 在外部组织中应用电子邮件或附件加密时,不支持解密。 电子数据展示仅支持对组织中加密的电子邮件和附件进行解密。
- 解密电子邮件或附件时,电子邮件和附件包含在电子数据展示活动中邮箱的所有者必须有权查看加密内容。 如果发送或转发了无法查看加密内容的其他收件人,则不支持对电子邮件或附件进行解密。 所有者组或其他组织权限的更改也可能会影响解密支持。
SharePoint 和 OneDrive 中敏感度标签的解密限制
如果使用以下设置之一配置了应用加密的敏感度标签,则电子数据展示不支持 SharePoint 和 OneDrive 中的加密文件:
- 当用户手动将标签应用于文档时,可以分配权限。 这有时称为 用户定义的权限。
- 用户对文档的访问具有一个过期设置,该设置设置为 “从不”以外的值。
有关这些设置的详细信息,请参阅 使用敏感度标签应用加密来限制对内容的访问中的“配置加密设置”部分。
电子数据展示搜索仍可返回使用先前设置加密的文档。 当文档属性 ((如标题、作者或修改日期)) 与搜索条件匹配时,可能会出现此结果。 尽管这些文档可能包含在搜索结果中,但无法预览或审阅它们。 在电子数据展示 (Premium) 中导出这些文档时,这些文档也会保持加密状态。
重要
本地加密后上传到 SharePoint 或 OneDrive 的文件不支持解密。 例如,不支持由 Microsoft Purview 信息保护客户端加密然后上传到 Microsoft 365 的本地文件。 仅支持在 SharePoint 或 OneDrive 服务中加密的文件进行解密。
使用内容搜索或电子数据展示 (标准) 解密受 RMS 保护的电子邮件和加密的文件附件
导出内容搜索结果中包含的任何受权限保护 (受 RMS 保护) 电子邮件时,都会对其进行解密。 默认情况下,电子数据展示管理器角色组的成员已启用此解密功能。 这是因为默认情况下,RMS Decrypt 管理角色分配给此角色组。
导出加密电子邮件和附件时,请记住以下事项:
- 如果在导出受 RMS 保护的邮件时启用解密,则必须将搜索结果导出为单个邮件才能支持解密。
- 不会解密与电子邮件分开加密的附件。 例如,如果用户加密 Word 文档,然后附加到未加密的电子邮件,则不会解密此附件。
- 作为关联电子邮件加密的一部分加密的附件将被解密。 例如,如果用户创建电子邮件,附加未加密的 Word 文档,然后加密邮件 (包括附件) ,则会解密此附件。
- 解密的消息在 ResultsLog 报表中标识。 此报表包含一个名为 “解码状态”的列,值 “解码 ”标识已解密的消息。
- 除了在导出搜索结果时解密文件附件外,还可以在预览搜索结果时预览解密的文件。 只能在导出受权限保护的电子邮件后查看它。
- 如果需要阻止某人解密 RMS 保护邮件和加密的文件附件,则必须通过复制内置电子数据展示管理器角色组) 创建自定义角色组 (,然后从自定义角色组中删除 RMS 解密管理角色。 然后,将不想解密邮件的人员添加为自定义角色组的成员。
注释
1 不会解密位于本地计算机上并复制到电子邮件的加密文件,也不会为电子数据展示编制索引。 对于电子数据展示 (Premium) ,收件人邮箱中的加密电子邮件和附件需要高级索引才能解密。 有关高级索引的详细信息,请参阅 保管人数据的高级索引编制。
2 只有在与敏感度标签集成后在 SharePoint 中标记的项目 (或上传到 SharePoint 的项目才会启用) 并且具有管理员定义权限且未过期的标签的项目才会解密。 SharePoint 中的所有其他加密文件不会解密。 有关详细信息,请参阅 为 SharePoint 和 OneDrive 中的文件启用敏感度标签。
其他文档不会解密,包括:
- 在客户端中加密并在敏感度标签与 SharePoint Online 集成之前上传的文件。
- 使用旧版 RMS 模板加密且未标记的文档。
- 具有用户定义的权限或过期设置的文档 (SMIME 或其他标准) 。
3 仅使用 Microsoft 365 中托管的 RMS 密钥加密的内容才会通过电子数据展示 (Premium) 进行透明解密。 不支持双密钥加密 (DKE) 、将自己的密钥 (HYOK) 、本地 RMS 等。 有关详细信息,请参阅 规划和实现 Azure 信息保护租户密钥。