使用 Microsoft Purview 邮件加密为组织创建敏感信息类型策略

可以使用 Exchange 邮件流规则或Microsoft Purview 数据丢失防护 (DLP) 创建包含Microsoft Purview 邮件加密的敏感信息类型策略。 若要创建 Exchange 邮件流规则，可以使用 Exchange 管理中心 (EAC) 或 Exchange PowerShell。

提示

如果你不是 E5 客户，请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

使用 EAC 中的邮件流规则创建策略

登录到 Exchange 管理中心 并转到 “邮件流>规则”。 在“规则”页上，创建应用邮件加密的规则。 可以根据邮件或附件中是否存在某些关键字或敏感信息类型等条件创建规则。

在 Exchange PowerShell 中使用邮件流规则创建策略

使用组织中具有全局管理员权限的工作或学校帐户，连接到 Exchange Online PowerShell。 有关说明，请参阅连接 PowerShell Exchange Online。 Set-IRMConfiguration使用 和 New-TransportRule cmdlet 创建策略。

使用 Exchange PowerShell 创建的邮件流规则示例

在 PowerShell 中运行以下命令，以创建 Exchange 邮件流规则，如果电子邮件或其附件包含以下敏感信息类型，则使用仅加密选项自动加密组织外部发送的电子邮件：

• ABA 银行代号
• 信用卡号
• 药品管制局 (DEA) 号码
• 美国或英国护照号码
• 美国银行帐号
• 美国单独的纳税人标识号 (ITIN)
• 美国社会保险号 (SSN)

PowerShell

Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
New-TransportRule -Name "Encrypt outbound sensitive emails (out of box rule)" -SentToScope  NotInOrganization  -ApplyRightsProtectionTemplate "Encrypt" -MessageContainsDataClassifications @(@{Name="ABA Routing Number"; minCount="1"},@{Name="Credit Card Number"; minCount="1"},@{Name="Drug Enforcement Agency (DEA) Number"; minCount="1"},@{Name="U.S. / U.K. Passport Number"; minCount="1"},@{Name="U.S. Bank Account Number"; minCount="1"},@{Name="U.S. Individual Taxpayer Identification Number (ITIN)"; minCount="1"},@{Name="U.S. Social Security Number (SSN)"; minCount="1"}) -SenderNotificationType "NotifyOnly"

有关详细信息，请参阅 Set-IRMConfiguration 和 New-TransportRule。

收件人如何访问附件

Microsoft加密邮件后，收件人在访问和打开其加密电子邮件时可以不受限制地访问附件。

准备此更改

你可能想要更新任何适用的最终用户文档和培训材料，以便为组织中的人员准备此更改。 根据需要与用户共享这些邮件加密资源：

• 在 Outlook for PC 中发送、查看和答复加密邮件
• Microsoft 365 Essentials 视频：消息加密

在审核日志中查看这些更改

Microsoft 365 审核此活动并将其提供给管理员。 操作为“New-TransportRule”，合规性门户中“审核日志搜索”中的示例审核条目片段如下：

text

*{"CreationTime":"2018-11-28T23:35:01","Id":"a1b2c3d4-daa0-4c4f-a019-03a1234a1b0c","Operation":"New-TransportRule","OrganizationId":"123456-221d-12345 ","RecordType":1,"ResultStatus":"True","UserKey":"Microsoft Operator","UserType":3,"Version":1,"Workload":"Exchange","ClientIP":"123.456.147.68:17584","ObjectId":"","UserId":"Microsoft Operator","ExternalAccess":true,"OrganizationName":"contoso.onmicrosoft.com","OriginatingServer":"CY4PR13MBXXXX (15.20.1382.008)","Parameters": {"Name":"Organization","Value":"123456-221d-12346"{"Name":"ApplyRightsProtectionTemplate","Value":"Encrypt"},{"Name":"Name","Value":"Encrypt outbound sensitive emails (out of box rule)"},{"Name":"MessageContainsDataClassifications"...etc.*

禁用或自定义敏感信息类型策略

创建 Exchange 邮件流规则后，可以通过转到 Exchange 管理中心的邮件流>规则并禁用规则“加密出站敏感电子邮件 (现装规则) ”来禁用或编辑规则。