邮件加密常见问题解答

对新邮件保护功能的工作原理有疑问? 在此处查看答案。 此外,请查看有关 Azure 信息保护中数据保护的常见问题,获取有关 Azure 信息保护 中数据保护服务 Azure Rights Management 的解答。

什么是Microsoft Purview 邮件加密?

Microsoft Purview 邮件加密结合了电子邮件加密和权限管理功能。 权限管理功能由 Azure 信息保护提供支持。

谁可以使用Microsoft Purview 邮件加密?

可以在以下条件下使用Microsoft Purview 邮件加密:

  • 如果尚未为 Exchange 设置Office 365消息加密 (OME) 或信息权限管理 (IRM) 。

  • 如果设置了 OME 和 IRM,如果还使用 Azure 信息保护 中的 Azure Rights Management 服务,则可以使用这些步骤。

  • 如果将 Exchange 与 Active Directory Rights Management 服务 (AD RMS) 配合使用,则无法立即启用这些新功能。 相反,需要首先将 AD RMS 迁移到 Azure 信息保护。 完成迁移后,可以成功设置Microsoft Purview 邮件加密。

    如果选择继续将本地 AD RMS 与 Exchange 配合使用,而不是迁移到 Azure 信息保护,则无法使用 Microsoft Purview 邮件加密。

我需要哪些订阅才能使用Microsoft Purview 邮件加密?

若要使用Microsoft Purview 邮件加密,需要以下计划之一:

  • Microsoft Purview 邮件加密作为Office 365 企业版 E3 和 E5 的一部分提供,Microsoft 365 企业版 E3 和 E5、Microsoft 365 商业高级版、Office 365 A1、A3 和 A5 以及Office 365 政府版 G3 和 G5。 无需额外的许可证就可以接收由 Azure 信息保护提供支持的新保护功能。

  • 还可以将 Azure 信息保护 计划 1 添加到以下计划以接收Microsoft Purview 邮件加密:Exchange 计划 1、Exchange 计划 2、Office 365 F3、Microsoft 365 商业基础版、Microsoft 365 商业标准版 或Office 365 企业版 E1。

  • 每个受益于Microsoft Purview 邮件加密的用户都需要许可证才能使用消息加密。

  • 有关完整列表,请参阅Microsoft Purview 邮件加密的 Exchange 服务说明

是否可以在 Azure 信息保护中使用 Exchange 自带密钥 (BYOK) ?

可以! Microsoft建议在设置Microsoft Purview 邮件加密之前完成设置 BYOK 的步骤。

有关 BYOK 的详细信息,请参阅规划和实现 Azure 信息保护租户密钥

Microsoft Purview 邮件加密和 BYOK 与 Azure 信息保护是否Microsoft对非Microsoft数据请求(例如传票)的方法进行更改?

不正确。 Microsoft Purview 邮件加密以及从 Azure 信息保护提供和控制自己的加密密钥(称为 BYOK)的选项并不是为了响应执法传票。 OME 与 BYOK for Azure 信息保护 配合使用,专为注重合规性的组织设计。 Microsoft认真对待客户数据请求。 作为云服务提供商,我们始终倡导数据的隐私。 如果我们收到传票,我们始终尝试将请求直接重定向给你以获取信息。 (阅读 Brad Smith 的博客: 保护客户数据免受政府窥探) 。 我们会定期发布收到的请求的详细信息。 有关非Microsoft数据请求的详细信息,请参阅 响应政府和执法部门在 Microsoft 信任中心访问客户数据的请求 。 另请参阅在线服务条款中的“客户数据披露” (OST)

此功能与旧版 Office 365 消息加密 (OME) 和信息权限管理 (IRM) 功能有何关系?

Microsoft Purview 邮件加密是现有 IRM 和旧版 OME 解决方案的演变。 下表提供了更多详细信息。

旧版 OME、IRM 和Microsoft Purview 邮件加密的比较

功能 OME 的早期版本 IRM Microsoft Purview 邮件加密
发送加密电子邮件 仅通过 Exchange 邮件流规则 最终用户从 Outlook for Windows、Outlook for Mac或Outlook 网页版启动,或通过 Exchange 邮件流规则启动 最终用户从 Outlook for Windows、Outlook for Mac 或 Outlook 网页版 启动,或通过邮件流规则启动
版权管理 - “不转发”选项和自定义模板 “不转发”选项、“仅加密”选项、默认模板和自定义模板
支持的收件人类型 仅限外部收件人 仅限内部收件人 内部和外部收件人
收件人体验 外部收件人收到了一条 HTML 消息,该邮件在浏览器或下载的移动应用中下载并打开。 内部收件人仅在 Outlook for Windows、Outlook for Mac 和 Outlook 网页版 中收到加密电子邮件。 内部和外部收件人在 Outlook for Windows、Outlook for Mac、Outlook 网页版、Outlook for Android 和 Outlook for iOS 中或通过 Web 门户接收电子邮件,无论他们是在同一组织还是任何组织中。 加密的消息门户不需要单独下载。
自带密钥支持 不可用 不可用 支持 BYOK

如何实现为组织启用Microsoft Purview 邮件加密?

Office 365消息加密是否已弃用?

Office 365消息加密 (OME) 已于 2023 年 7 月 1 日弃用。 它将自动替换为Microsoft Purview 邮件加密。 如果有活动发件人邮箱,仍可以从 OME 查看邮件。

我的组织使用 Active Directory Rights Management,是否可以使用此功能?

不正确。 如果将 Exchange Online 与 Active Directory Rights Management 服务 (AD RMS) 配合使用,则无法立即启用这些新功能。 相反,需要首先将 AD RMS 迁移到 Azure 信息保护

我的组织具有 Exchange 混合部署。 是否可以使用此功能?

本地用户可以使用Exchange Online邮件流规则发送加密邮件。 你需要通过 Exchange 路由电子邮件。 有关详细信息,请参阅 第 2 部分:将邮件配置为从电子邮件服务器流向 Microsoft 365

我需要使用哪个电子邮件客户端来创建加密邮件? 支持哪些应用程序发送受保护的消息?

可以从 Outlook 2016、Outlook 2013 for Windows 和 Mac 以及Outlook 网页版创建受保护的邮件。 有关发送加密邮件的详细信息,请参阅 在 Outlook for PC 中发送、查看和答复加密邮件

支持哪些电子邮件客户端读取和答复受保护的电子邮件?

Microsoft 365 用户可以从 Outlook for Windows 和 Mac (2013 和 2016) 、Outlook 网页版 和 Outlook 移动版 (Android 和 iOS) 进行读取和响应。 如果组织允许,还可以使用 iOS 本机邮件客户端。 如果你不是 Microsoft 365 用户,可以通过 Web 浏览器读取和回复 Web 上的加密消息。

哪些电子邮件客户端支持仅加密受保护的电子邮件?

Microsoft 365 用户可以使用 Outlook for PC 版本 2019 和 Microsoft 365 来创建受仅加密策略保护的邮件。 应用了仅加密策略的邮件可以直接在 Outlook 网页版、Outlook for iOS 和 Android 以及 Outlook for PC 版本 2019 和 Microsoft 365 中读取。

可以使用 OME 发送的消息是否有大小限制?

是。 可以使用 Microsoft Purview 邮件加密(包括附件)发送的最大邮件大小为 25 MB。 有关详细信息,请参阅 消息限制

可向其发送 OME 加密邮件的收件人数量是否有限制?

是。 在某些情况下配置了 连接器 (例如 Exchange 混合部署),在 密件抄送 行中包含收件人时,会在邮件加密之前删除密件抄送收件人。 最佳做法是移动到Exchange Online,或将所有收件人置于“收件人:”或“抄送”字段中。

加密消息门户支持哪些类型的消息?

加密的邮件门户仅支持邮件。 门户不支持其他邮件类型,例如日历或语音邮件。

受保护的电子邮件中支持将哪些文件类型作为附件? 附件是否继承了与受保护电子邮件关联的保护策略和权限? PDF 呢?

可以将任何文件类型附加到受保护的邮件。 保护策略仅应用于 支持的文件类型中提到的一部分文件格式。 默认情况下,Microsoft Purview 邮件加密加密以下 Office 文件扩展名:

  • docx
  • docm
  • dotx
  • dotm
  • pptx
  • pptm
  • potx
  • potm
  • ppsx
  • ppsm
  • thmx
  • xlsx
  • xlsm
  • xlsb
  • xltx
  • xltm
  • xlam
  • xps

Microsoft Purview 邮件加密不支持以下 Office 程序的 97-2003 版本:Word (.doc) 、Excel (.xls) 和 PowerPoint (.ppt) 。

此外,如果在 Exchange Online 中启用 PDF 加密,则可以保护附加到电子邮件的敏感 PDF 文档。 发送电子邮件时,Office 365服务会加密最新版本 Outlook 的 PDF 文件附件,包括:

  • Outlook (新的) 桌面
  • Outlook 网页版
  • Outlook for Mac
  • Outlook for iOS
  • Outlook for Android

若要为 PDF 附件启用加密,请使用租户中至少具有信息权限管理角色的工作或学校帐户,请在 Exchange Online PowerShell 中运行以下命令:

   Set-IRMConfiguration -EnablePdfEncryption $true

保护仅从邮件继承到未加密的附件。 如果支持文件格式(如 Word、Excel 或 PowerPoint 文件),则即使收件人下载附件,该文件也始终受到保护。

例如,假设附件受“请勿转发”保护。 原始收件人下载文件,创建一封发送给新收件人的邮件,并附加该文件。 当新收件人收到文件时,他们无法打开该文件。

是否支持 SharePoint 或 OneDrive 附件?

Not yet. 不支持 SharePoint 或 OneDrive 附件。 可以加密邮件,但不能加密云附件。

哪些电子邮件客户端支持受保护电子邮件中加密附件的预览?

使用受保护的邮件保护附件时,可以使用 Outlook 客户端直接预览文档。 Outlook 支持 office 文档预览 (docx、xlsx、pptx、doc、xls、ppt) 。 Outlook 网页版支持预览 office 文档 (docx、xlsx、pptx) 和 PDF。

哪些电子邮件客户端支持吊销受保护的电子邮件?

Outlook 网页版支持吊销受保护的邮件。 有关详细信息 ,请参阅如何撤销已发送的加密消息

加密邮件门户是否支持受保护电子邮件中加密附件的预览?

加密邮件门户支持预览添加到加密邮件的任何加密附件副本。 支持文件类型包括Word、Excel、PowerPoint 和 PDF 文件。

是否可以通过设置策略自动加密消息?

是。 使用 Exchange Online 中的邮件流规则根据特定条件自动加密邮件。 例如,可以创建基于收件人 ID、收件人域或邮件正文或主题内容的策略。 请参阅定义邮件流规则以在 Office 365 中加密电子邮件

是否可以自动删除对传入和传出邮件的加密?

管理员可以设置邮件流规则,以删除传出邮件的加密。 只能设置规则来删除源自Exchange Online组织的传入邮件的加密。

是否可以自动删除日记邮件的加密?

对于Exchange Online邮箱,管理员必须启用日记解密并设置Exchange Online日记规则,以将邮件的解密副本生成到日记邮箱中。 日记规则接受具有加密的任何邮件或附件,并将原始邮件和解密副本发送到日记邮箱。 只能设置一个日记规则,当加密项目源自组织时,才能解密邮件或附件。
启用Exchange Online日记功能:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

是否可以通过Microsoft Purview 合规门户在数据丢失防护 (DLP) 中设置策略来自动加密消息?

可以! 可以在 Exchange Online 或使用Microsoft Purview 合规门户中的 DLP 来设置邮件流规则。

是否可以使用我的公司品牌自定义加密消息?

是的,对于从组织中的Exchange Online邮箱发送的邮件! 有关自定义电子邮件和加密邮件门户的信息,请参阅 向加密邮件添加组织的品牌

加密邮件门户活动日志适用于哪些类型的收件人?

加密的邮件门户活动日志仅通过访问加密的邮件门户来捕获外部收件人的事件。 不会记录外部收件人触发的电子邮件客户端中的任何活动。 对于内部收件人,请参阅 Purview 审核 (Premium) - 邮件项目访问日志中的 MailItemsAccessed 邮箱审核操作。

加密电子邮件是否有任何报告功能或见解?

Microsoft Purview 合规门户中有一个加密报表。 请参阅在Microsoft Purview 合规门户中查看电子邮件安全报告

是否可以将消息加密与符合性功能(例如电子数据展示)结合使用?

是的,Microsoft Purview 邮件加密保护的大多数消息都是可发现的。 Microsoft Purview 邮件加密 电子数据展示服务无法发现你从另一个Microsoft 365 组织收到的受保护邮件,该组织通过邮件流规则应用了自定义品牌。 换句话说,如果邮件无法通过用户的邮箱访问,而是只能通过指向加密邮件门户的链接显示,则邮件不可搜索。 有关详细信息 ,请参阅支持加密项的电子数据展示活动

是否可以以共享邮箱的形式发送并加密电子邮件?

当电子邮件与加密邮件流规则匹配时,Exchange 会对发送该邮件的邮件进行加密。

是否可以打开发送到共享邮箱的加密邮件?

可以! 可以为共享邮箱打开加密邮件。 当邮件从同一组织发送时,可以在登录到支持的 Outlook 客户端时打开邮件。 如果邮件是从外部组织发送的,则需要使用 Outlook 网页版。

  • 用户可以在共享邮箱中打开受保护的邮件,共享邮箱作为通讯组的一部分收到受保护的邮件。

  • 用户在使用 Outlook for Windows、Outlook for Mac、Outlook for Android、Outlook for iOS 和 Outlook 网页版 时,可以查看从电子邮件继承保护的附件。

下表列出了共享邮箱支持的客户端。

平台 阅读邮件 查看电子邮件附件
Outlook 网页版
Outlook for Windows 是*
Outlook for Mac
Outlook for Android 是*
Outlook for iOS 是*

备注

Android 和 iOS 使用 Office 移动应用来显示加密的附件,并且不会直接在 Outlook mobile 中显示附件。 当用户直接访问共享邮箱时,Outlook for Windows 可以显示加密的附件。 (请参阅以下用户分配。)

目前有两个已知限制:

  • 无法使用 Outlook 移动版打开在移动设备上收到的电子邮件的附件。

  • 有两种方法允许用户直接在 Outlook for Windows 中查看加密邮件:

    1. 直接将用户分配到共享邮箱,并启用完全访问权限和自动映射。 对于 Outlook 64 位,用户无需直接分配到邮箱。 默认情况下,Exchange 已启用自动映射。
    2. 将启用邮件的安全组分配给共享邮箱。 此方法需要 Outlook 版本 2402,并且仅支持 2024 年 6 月之后生成的邮件。

将用户分配到共享邮箱

  1. 连接到 Exchange Online PowerShell

  2. Add-MailboxPermission使用 Automapping 参数运行 cmdlet。 此示例授予 Ayla 对支持邮箱的完全访问权限。

    Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
    

将已启用邮件的安全组分配给共享邮箱

若要使用此方法,必须使用 “不转发”“仅加密” 保护选项加密邮件。 只能打开由共享邮箱发起的邮件或组织内发送的邮件。

  1. 连接到 Exchange Online PowerShell

  2. Add-MailboxPermission运行 cmdlet 以分配安全组。 以下示例为 Contoso 前台安全组授予对支持邮箱的完全访问权限。

    Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
    

打开加密消息是否支持委托访问? 即使代理人对其他用户的邮箱具有完全访问权限?

当向代理人授予对用户邮箱的完全访问权限时,Outlook 网页版、Outlook for Mac、Outlook for iOS 和 Outlook for Android 支持对加密邮件的委派访问。 Outlook for Windows 不支持委派访问。

在加密邮件门户中,我有权访问邮件多长时间?

只要发件人的组织处于活动状态且邮件未配置为过期,就可以登录到加密的邮件门户来检索邮件。

如果我在请求后未收到一次性通过代码,该怎么办?

首先,检查电子邮件客户端中的垃圾邮件文件夹。 组织的 DKIM 和 DMARC 设置可能会导致这些电子邮件最终被筛选为垃圾邮件。

接下来,在合规性门户中检查隔离。 通常,包含一次性传递代码的邮件(尤其是组织收到的第一个密码)最终被隔离。