邮件加密常见问题解答

对新邮件保护功能的工作原理有疑问? 在此处查看答案。 此外,请查看有关 Azure 信息保护中数据保护的常见问题,获取有关 Azure 信息保护 中数据保护服务 Azure Rights Management 的解答。

什么是Microsoft Purview 邮件加密?

Microsoft Purview 邮件加密结合了电子邮件加密和权限管理功能。 权限管理功能由 Azure 信息保护提供支持。

谁可以使用Microsoft Purview 邮件加密?

可以在以下条件下使用Microsoft Purview 邮件加密:

  • 如果从未为Exchange Online设置Office 365消息加密 (OME) 或信息权限管理 (IRM) 。

  • 如果已设置 OME 和 IRM,如果还使用 Azure 信息保护中的 Azure Rights Management 服务,则可以使用这些步骤。

  • 如果将 Exchange Online 与 Active Directory Rights Management 服务 (AD RMS) 配合使用,则无法立即启用这些新功能。 相反,需要首先将 AD RMS 迁移到 Azure 信息保护。 完成迁移后,可以成功设置Microsoft Purview 邮件加密。

    如果选择继续使用本地 AD RMS 和Exchange Online而不是迁移到 Azure 信息保护,则无法使用 Microsoft Purview 邮件加密。

我需要哪些订阅才能使用Microsoft Purview 邮件加密?

若要使用Microsoft Purview 邮件加密,需要以下计划之一:

  • Microsoft Purview 邮件加密作为Office 365 企业版 E3 和 E5 的一部分提供,Microsoft 365 企业版 E3 和 E5、Microsoft 365 商业高级版、Office 365 A1、A3 和 A5 以及Office 365 政府版 G3 和 G5。 无需其他许可证即可接收由 Azure 信息保护提供支持的新保护功能。

  • 还可以将 Azure 信息保护 计划 1 添加到以下计划以接收Microsoft Purview 邮件加密:Exchange Online计划 1、Exchange Online计划 2、Office 365 F3、Microsoft 365 商业基础版、Microsoft 365 商业标准版或Office 365 企业版 E1。

  • 每个受益于Microsoft Purview 邮件加密的用户都需要许可证才能使用消息加密。

  • 有关完整列表,请参阅Microsoft Purview 邮件加密的Exchange Online服务说明

是否可以使用 Exchange Online 在 Azure 信息保护 中自带密钥 (BYOK) ?

可以! Microsoft 建议在设置Microsoft Purview 邮件加密之前完成设置 BYOK 的步骤。

有关 BYOK 的详细信息,请参阅规划和实现 Azure 信息保护租户密钥

Microsoft Purview 邮件加密和 BYOK 与 Azure 信息保护更改 Microsoft 对第三方数据请求(如传票)的方法吗?

否。 Microsoft Purview 邮件加密以及从 Azure 信息保护提供和控制自己的加密密钥(称为 BYOK)的选项并不是为了响应执法传票。 OME 与 BYOK for Azure 信息保护 配合使用,专为注重合规性的组织设计。 Microsoft 认真对待第三方客户数据请求。 作为云服务提供商,我们始终倡导数据的隐私。 如果我们收到传票,我们始终尝试将第三方直接重定向给你以获取信息。 (阅读 Brad Smith 的博客: 保护客户数据免受政府窥探) 。 我们会定期发布收到的请求的详细信息。 有关第三方数据请求的详细信息,请参阅响应 Microsoft 信任中心上 访问客户数据的政府和执法部门请求 。 另请参阅在线服务条款中的“客户数据披露” (OST)

此功能与旧版 Office 365 消息加密 (OME) 和信息权限管理 (IRM) 功能有何关系?

Microsoft Purview 邮件加密是现有 IRM 和旧版 OME 解决方案的演变。 下表提供了更多详细信息。

旧版 OME、IRM 和Microsoft Purview 邮件加密的比较

功能 OME 的早期版本 IRM Microsoft Purview 邮件加密
发送加密电子邮件 仅通过 Exchange 邮件流规则 最终用户从 Outlook for Windows、Outlook for Mac或Outlook 网页版启动,或通过 Exchange 邮件流规则启动 最终用户从 Outlook for Windows、Outlook for Mac 或 Outlook 网页版 启动,或通过邮件流规则启动
版权管理 - “不转发”选项和自定义模板 “不转发”选项、“仅加密”选项、默认模板和自定义模板
支持的收件人类型 仅限外部收件人 仅限内部收件人 内部和外部收件人
收件人体验 外部收件人收到了一条 HTML 消息,该邮件在浏览器或下载的移动应用中下载并打开。 内部收件人仅在 Outlook for Windows、Outlook for Mac 和 Outlook 网页版 中收到加密电子邮件。 内部和外部收件人在 Outlook for Windows、Outlook for Mac、Outlook 网页版、Outlook for Android 和 Outlook for iOS 中或通过 Web 门户接收电子邮件,无论他们是否在同一组织或任何组织中。 加密的消息门户不需要单独下载。
自带密钥支持 不可用 不可用 支持 BYOK

如何实现为组织启用Microsoft Purview 邮件加密?

Office 365消息加密 (OME) 是否会弃用?

仍可以使用名为 Office 365 消息加密的以前版本消息加密 (OME) 。 OME 已于 2023 年 7 月 1 日弃用。 Office 邮件加密将自动替换并更新为Microsoft Purview 邮件加密。

我的组织使用 Active Directory Rights Management,是否可以使用此功能?

否。 如果将 Exchange Online 与 Active Directory Rights Management 服务 (AD RMS) 配合使用,则无法立即启用这些新功能。 相反,需要首先将 AD RMS 迁移到 Azure 信息保护

我的组织具有 Exchange 混合部署。 是否可以使用此功能?

本地用户可以使用Exchange Online邮件流规则发送加密邮件。 你需要通过 Exchange Online 路由电子邮件。 有关详细信息,请参阅 第 2 部分:将邮件配置为从电子邮件服务器流向 Microsoft 365

我需要使用哪个电子邮件客户端来创建加密邮件? 支持哪些应用程序发送受保护的消息?

可以从 Outlook 2016、Outlook 2013 for Windows 和 Mac 以及Outlook 网页版创建受保护的邮件。 有关发送加密邮件的详细信息,请参阅 在 Outlook for PC 中发送、查看和答复加密邮件

支持哪些电子邮件客户端读取和答复受保护的电子邮件?

Microsoft 365 用户可以从 Outlook for Windows 和 Mac (2013 和 2016) 、Outlook 网页版 和 Outlook mobile (Android 和 iOS) 进行读取和响应。 如果组织允许,还可以使用 iOS 本机邮件客户端。 如果你不是 Microsoft 365 用户,可以通过 Web 浏览器读取和回复 Web 上的加密邮件。

哪些电子邮件客户端支持仅加密受保护的电子邮件?

Microsoft 365 用户可以使用 Outlook for PC 版本 2019 和 Microsoft 365 创建受仅加密策略保护的邮件。 应用了仅加密策略的邮件可以直接在 Outlook 网页版、Outlook for iOS 和 Android 以及 Outlook for PC 版本 2019 和 Microsoft 365 中读取。

可以使用 OME 发送的消息是否有大小限制?

能。 可以使用 Microsoft Purview 邮件加密(包括附件)发送的最大邮件大小为 25 MB。 有关详细信息,请参阅 消息限制

加密消息门户支持哪些类型的消息?

加密的邮件门户仅支持邮件。 门户不支持其他邮件类型,例如日历或语音邮件。

受保护的电子邮件中支持将哪些文件类型作为附件? 附件是否继承了与受保护电子邮件关联的保护策略和权限?

可以将任何文件类型附加到受保护的邮件。 保护策略仅应用于 Azure 信息保护 客户端支持的文件类型中提到的一部分文件格式。 Microsoft Purview 邮件加密仅支持以下 Office 文件扩展名:

  • docx
  • docm
  • dotx
  • dotm
  • pptx
  • pptm
  • potx
  • potm
  • ppsx
  • ppsm
  • thmx
  • xlsx
  • xlsm
  • xlsb
  • xltx
  • xltm
  • xlam
  • Xps

Microsoft Purview 邮件加密不支持以下 Office 程序的 97-2003 版本:Word (.doc) 、Excel (.xls) 和 PowerPoint (.ppt) 。

保护仅从邮件继承到未加密的附件。 如果支持文件格式(如 Word、Excel 或 PowerPoint 文件),则即使收件人下载附件,该文件也始终受到保护。 例如,假设附件受“请勿转发”保护。 原始收件人下载文件,创建一封发送给新收件人的邮件,并附加该文件。 当新收件人收到该文件时,他们将无法打开它。

是否支持 PDF 文件附件?

简短的回答是肯定的! 如果在 Exchange Online 中启用 PDF 加密,则可以保护附加到电子邮件的敏感 PDF 文档。 发送电子邮件时,Office 365服务会加密Outlook 网页版、Outlook for Mac、Outlook for iOS 和 Outlook for Android 的 PDF 文件附件。 无需执行任何其他步骤即可加密发送的 PDF。

Outlook Win 32 本身不支持 PDF 文件附件加密。 相反,需要设置 Exchange 邮件流规则或 DLP 策略,以便首先对 PDF 附件应用加密。 当您从 Outlook Desktop 发送带有 PDF 附件 的未加密 邮件时,客户端会首先向服务发送带有附件的邮件。 当服务收到未加密的邮件时,该服务通过数据丢失防护 (DLP) 策略或邮件流规则在 Exchange Online 应用Microsoft Purview 邮件加密保护。 接下来,Exchange Online加密邮件和 PDF 文件附件。

若要为 PDF 附件启用加密,请在 Exchange Online PowerShell 中运行以下命令:

Set-IRMConfiguration -EnablePdfEncryption $true

PDF 加密允许通过安全通信或安全协作来保护敏感的 PDF 文档。 对于所有 Outlook 客户端,邮件和未受保护的 PDF 附件继承Exchange Online中数据丢失防护 (DLP) 策略或邮件流规则的Microsoft Purview 邮件加密保护。 此外,如果Outlook 网页版用户附加了未受保护的 PDF 文档,并且对邮件应用了保护,则邮件将继承对邮件的保护。 用户只能在支持受保护 PDF 的应用程序中打开加密附件, (例如加密的消息门户和 Azure 信息保护 查看器) 。

重要

即使启用了 PDF 加密,Outlook Win 32 客户端本身也不支持 PDF 加密。

是否支持 SharePoint Online 或 OneDrive for Business 附件?

Not yet. 不支持 SharePoint Online 或 OneDrive for Business 附件。 可以加密邮件,但不能加密云附件。

哪些电子邮件客户端支持受保护电子邮件中加密附件的预览?

使用受保护的邮件保护附件时,可以使用 Outlook 客户端直接预览文档。 Outlook 支持 office 文档预览 (docx、xlsx、pptx、doc、xls、ppt) 。 Outlook 网页版支持预览 office 文档 (docx、xlsx、pptx) 和 PDF。

哪些电子邮件客户端支持吊销受保护的电子邮件?

Outlook 网页版支持吊销受保护的邮件。 有关详细信息 ,请参阅如何撤销已发送的加密消息

加密邮件门户是否支持受保护电子邮件中加密附件的预览?

加密邮件门户支持预览添加到加密邮件的任何加密附件副本。 支持文件类型包括Word、Excel、PowerPoint 和 PDF 文件。

是否可以通过设置策略自动加密消息?

能。 使用 Exchange Online 中的邮件流规则根据特定条件自动加密邮件。 例如,可以创建基于收件人 ID、收件人域或邮件正文或主题内容的策略。 请参阅定义邮件流规则以在 Office 365 中加密电子邮件

是否可以自动删除对传入和传出邮件的加密?

管理员可以设置邮件流规则,以删除传出邮件的加密。 只能设置规则来删除源自Exchange Online组织的传入邮件的加密。

是否可以自动删除日记邮件的加密?

对于Exchange Online邮箱,管理员必须启用日记解密并设置Exchange Online日记规则,以将邮件的解密副本生成到日记邮箱中。 日记规则接受具有加密的任何邮件或附件,并将原始邮件和解密副本发送到日记邮箱。 只能设置一个日记规则,当加密项目源自组织时,才能解密邮件或附件。
启用Exchange Online日记功能:

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

是否可以通过Microsoft Purview 合规门户在数据丢失防护 (DLP) 中设置策略来自动加密消息?

可以! 可以在 Exchange Online 或使用Microsoft Purview 合规门户中的 DLP 来设置邮件流规则。

是否可以使用我的公司品牌自定义加密消息?

是的,对于从组织中的Exchange Online邮箱发送的邮件! 有关自定义电子邮件和加密邮件门户的信息,请参阅 向加密邮件添加组织的品牌

加密邮件门户活动日志适用于哪些类型的收件人?

加密的邮件门户活动日志仅通过访问加密的邮件门户来捕获外部收件人的事件。 不会记录外部收件人触发的电子邮件客户端中的任何活动。 对于内部收件人,请参阅 Purview 审核 (Premium) - 邮件项目访问日志中的 MailItemsAccessed 邮箱审核操作。

加密电子邮件是否有任何报告功能或见解?

合规中心中有一个加密报告。 请参阅在Microsoft Purview 合规门户中查看电子邮件安全报告

是否可以将消息加密与符合性功能(例如电子数据展示)结合使用?

是的,Microsoft Purview 邮件加密保护的大多数消息都是可发现的。 Microsoft Purview 邮件加密 电子数据展示服务无法发现你从另一个 Microsoft 365 组织收到的受保护邮件,该组织通过邮件流规则应用了自定义品牌。 换句话说,如果邮件无法通过用户的邮箱访问,而是只能通过指向加密邮件门户的链接显示,则邮件不可搜索。 有关详细信息 ,请参阅支持加密项的电子数据展示活动

是否可以以共享邮箱的形式发送并加密电子邮件?

当有人发送与加密邮件流规则匹配的电子邮件时,邮件在发送前会加密。

是否可以打开发送到共享邮箱的加密邮件?

可以! 可以为共享邮箱打开加密邮件。 当邮件从同一组织发送时,可以在登录到支持的 Outlook 客户端时打开邮件。 如果邮件是从外部组织发送的,则需要使用 Outlook 网页版。

  • 用户可以在共享邮箱中打开受保护的邮件,共享邮箱作为通讯组的一部分收到受保护的邮件。

  • 用户在使用 Outlook for Windows、Outlook for Mac、Outlook for Android、Outlook for iOS 和 Outlook 网页版 时,可以查看从电子邮件继承保护的附件。

下表列出了共享邮箱支持的客户端。

平台 阅读邮件 查看电子邮件附件
Outlook 网页版
Outlook for Windows
Outlook for Mac
Outlook for Android
Outlook for iOS

注意

Android 和 iOS 使用 Office 移动应用来显示加密附件,并且不会直接在 Outlook mobile 中显示附件。

目前有两个已知限制:

  • 无法使用 Outlook 移动版打开在移动设备上收到的电子邮件的附件。

  • 在 Outlook Win 32 中,对于通过启用电子邮件的安全组分配到共享邮箱的用户,用户会看到使用 Web 浏览器查看加密邮件的通知邮件。 若要直接在 Outlook Win 32 中查看加密邮件,Outlook 和 Azure 信息保护统一标记客户端要求将用户直接分配到共享邮箱,并且已启用完全访问权限和自动映射。 默认情况下,为Exchange Online启用自动映射。

将用户分配到共享邮箱

  1. 连接到 Exchange Online PowerShell.aspx) 。

  2. 使用 Automapping 参数运行 Add-MailboxPermission cmdlet。 此示例授予 Ayla 对支持邮箱的完全访问权限。

    Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
    

打开加密消息是否支持委托访问? 即使代理人对其他用户的邮箱具有完全访问权限?

当向代理人授予对用户邮箱的完全访问权限时,Outlook 网页版、Outlook for Mac、Outlook for iOS 和 Outlook for Android 支持对加密邮件的委派访问。 Outlook for Windows 不支持委派访问。

在加密邮件门户中,我有权访问邮件多长时间?

只要发件人的组织处于活动状态,并且邮件尚未配置为过期,就可以登录到加密的邮件门户来检索邮件。

如果我在请求后未收到一次性通过代码,该怎么办?

首先,检查电子邮件客户端中的垃圾邮件文件夹。 组织的 DKIM 和 DMARC 设置可能会导致这些电子邮件最终被筛选为垃圾邮件。

接下来,在合规中心检查隔离。 通常,包含一次性传递代码的邮件(尤其是组织收到的第一个密码)最终被隔离。