比较邮件加密的版本

重要

2021 年 2 月 28 日,Microsoft Exchange Online 中弃用了对 AD RMS 的支持。 如果已部署 Exchange 邮箱处于联机状态的混合环境,并且在本地将 IRM 与 Active Directory RMS 配合使用,则需要迁移到 Azure。 已部署到 GCC 中等环境中的组织也会受到影响。 有关信息,请参阅本文中的“Exchange Online中弃用 AD RMS 的概述”。

本文的其余部分将旧版 Office 365 消息加密 (OME) 与 Microsoft Purview 邮件加密 和 Microsoft Purview 高级消息加密进行比较。 Microsoft Purview 邮件加密是 OME 和信息权限管理 (IRM) 的合并和较新版本。 还概述了部署到 GCC High 的独特特征。 这两者可以在组织中共存。 有关新功能的工作原理的信息,请参阅 Office 365 消息加密 (OME)

本文是有关消息加密的较大系列文章的一部分。 本文适用于管理员和 IT 专业人员。 如果只是查找有关发送或接收加密邮件的信息,请参阅 邮件加密 中的文章列表,并找到最符合需求的文章。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

Exchange Online 中弃用 AD RMS 的概述

Exchange Online包括信息权限管理 (IRM) 功能,这些功能提供电子邮件和附件的联机和脱机保护。 默认情况下,Exchange Online使用 Azure 信息保护。 但是,你的组织可能已将 Exchange Online IRM 配置为使用 本地 Active Directory Rights Management Service (AD RMS) 。 Exchange Online中的 AD RMS 支持即将停用。 相反,Azure 信息保护将完全替换 AD RMS。

若要评估此弃用是否会影响组织,请参阅如何在 Exchange Online 中将 AD RMS 迁移到 Azure RMS。 本文提供有关迁移选项的建议。

并排比较消息加密特性和功能

情况 旧 OME AD RMS 中的 IRM Microsoft Purview 邮件加密
发送加密邮件 通过 Exchange 邮件流规则 从 Outlook 桌面版或 Outlook 网页版启动的最终用户;或通过 Exchange 邮件流规则 最终用户从 Outlook 桌面版、Outlook for Mac版或 Outlook 网页版启动;通过 Exchange 邮件流规则 (也称为传输规则) 和数据丢失防护 (DLP)
权限管理模板 不适用 “不转发”选项和自定义模板 “不转发”选项、“仅加密”选项和自定义模板
收件人类型 内部和外部收件人 仅限内部收件人 内部和外部收件人
内部收件人的经验 收件人收到一封 HTML 消息,该邮件在 Web 浏览器或移动应用中下载并打开 Outlook 客户端中的本机内联体验 使用 Outlook 客户端为同一组织中的收件人提供本机内联体验。 收件人可以使用 Outlook 以外的客户端从加密邮件门户读取邮件, (无需) 下载或应用。
外部收件人的体验 收件人收到一封 HTML 消息,该邮件在 Web 浏览器或移动应用中下载并打开 不适用 Microsoft 365 个收件人的本机内联体验。 所有其他收件人都可以从 OME 门户读取邮件, (无需下载或应用) 。
附件权限 附件没有限制 附件受到保护 附件受到“请勿转发”选项和自定义模板的保护。 管理员可以选择是否保护仅加密选项的附件。
自带密钥 (BYOK) 支持 支持 BYOK

Microsoft Purview 邮件加密优于旧版 OME 的优势

新功能具有以下优势:

  • 能够使用“仅加密”选项 (启用安全协作) 、“不要转发”选项和自定义限制。
  • 发件人可以从 Outlook 桌面版、Outlook for Mac和Outlook 网页版客户端手动发送使用新功能加密的邮件。
  • Microsoft 365 个收件人可以使用支持的 Outlook 客户端中的内联体验。 或者,管理员可以选择向 365 Microsoft收件人展示品牌体验。
  • Microsoft 365 以外的帐户(如 Gmail、Yahoo 和 Microsoft 帐户)与 OME 门户联合,从而为这些收件人提供更好的用户体验。 所有其他标识使用一次性传递代码来访问加密的消息。
  • 管理员可以自定义品牌打造,并创建多个品牌模板。
  • 管理员可以撤销使用新功能加密的电子邮件。
  • 新功能通过Microsoft Purview 合规门户提供详细的使用情况报告。

Microsoft Purview 高级消息加密功能

Microsoft Purview 高级消息加密在Microsoft Purview 邮件加密的基础上提供了更多功能。 必须在组织中设置Microsoft Purview 邮件加密才能使用高级邮件加密。 此外,为了使用这些功能,收件人必须通过Microsoft Purview 邮件加密门户查看和答复安全邮件。 高级功能包括:

  • 消息吊销

  • 邮件过期

  • 多个品牌模板

  • 加密的消息门户活动日志

有关使用高级消息加密的信息,请参阅 Microsoft Purview 高级消息加密

GCC High 部署中Microsoft Purview 邮件加密的独特特征

如果计划在 GCC High 环境中使用Microsoft Purview 邮件加密,则有一些关于收件人体验的独特特征。

GCC High 和 GCC High 收件人之间的加密电子邮件

发件人可以在 Outlook for PC 和 Mac 中手动加密电子邮件以及Outlook 网页版,或者组织可以设置使用 Exchange 邮件流规则加密电子邮件的策略。

GCC High 中的收件人在 Outlook for PC 和 Mac 中会获得与所有其他用户相同的内联阅读体验,Outlook 网页版。

GCC High 和非 GCC High 收件人之间的加密电子邮件

GCC High 中的发件人可以在 GCC High 边界之外发送加密电子邮件,反之亦然。

GCC High 以外的所有收件人(包括商业Microsoft 365 用户、Outlook.com 用户和其他电子邮件提供商(如 Gmail 和 Yahoo)的用户)都会收到包装邮件。 此包装邮件将收件人重定向到Microsoft Purview 邮件加密门户,收件人可在其中阅读和答复邮件。 对于 GCC High 之外的发件人,向 GCC High 发送 OME 加密邮件也是如此。

旧版 OME 和Microsoft Purview 邮件加密在同一租户中共存

可以在同一租户中使用旧版 OME 和 Microsoft Purview 邮件加密。 作为管理员,可以通过选择要在创建邮件流规则时使用的邮件加密版本来执行此操作。

  • 若要指定 OME 的旧版本,请使用 Exchange 邮件流规则操作 应用早期版本的 OME

  • 若要指定Microsoft Purview 邮件加密,请使用 Exchange 邮件流规则操作应用Office 365邮件加密和权限保护

用户可以从 Outlook 桌面版、Outlook for Mac和Outlook 网页版手动发送使用Microsoft Purview 邮件加密加密的邮件。

从旧版 OME 迁移到 Microsoft Purview 邮件加密

尽管这两个版本可以共存,但我们强烈建议你编辑使用规则操作的旧邮件流规则 应用早期版本的 OME 以使用 Microsoft Purview 邮件加密。 更新这些规则以使用邮件流规则操作应用Office 365邮件加密和权限保护,在 RMS 模板列表中选择“加密”。 有关说明,请参阅 定义邮件流规则以加密电子邮件

OME 入门

通常,系统会自动为组织启用Microsoft Purview 邮件加密。 有关组织内Microsoft Purview 邮件加密的详细信息,请参阅设置Microsoft Purview 邮件加密

如果已启用 Azure 信息保护,则会自动为组织启用旧版 OME。 过去,即使未启用 Azure 信息保护,旧版 OME 也能正常工作。 但现在不再如此。

若要开始使用旧版 OME,如果已启用 Azure 信息保护,请配置使用规则操作“应用早期版本的 OME”的邮件流规则。 有关说明,请参阅 定义邮件流规则以加密电子邮件