分享方式:

Office 365 郵件加密的舊版資訊

  • 文章

自 2023 年 7 月 1 日起,Office 365 郵件加密已淘汰。 如果您尚未將組織移至 Microsoft Purview 訊息加密,但您已部署 OME,則本文中的資訊會套用至您的組織。 Microsoft建議您在貴組織合理時,立即規劃移至 Microsoft Purview 郵件加密。 如需指示, 請參閱設定 purview 訊息加密Microsoft。 如果您想要先深入瞭解新訊息加密方式,請參閱 訊息加密。 本文的其餘部分指的是發行 Microsoft Purview 訊息加密之前 OME 行為。

使用 Office 365 郵件加密,您的組織可在組織內外的人員之間傳送和接收加密的電子郵件。 Office 365 郵件加密適用於 Outlook.com、Yahoo、Gmail 和其他電子郵件服務。 電子郵件加密有助於確保只有預定的收件者可以檢視郵件內容。

範例如下:

  • 銀行員工將信用卡對帳單傳送給客戶
  • 一位保險公司代表為客戶提供原則詳細數據
  • 貸款代理人向客戶要求貸款應用程式的財務資訊
  • 醫療保健提供者會將醫療保健資訊傳送給病患
  • 律師將機密資訊傳送給客戶或其他律師

提示

如果您不是 E5 客戶,請使用 90 天Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

Office 365 郵件加密在沒有新功能的情況下運作的方式

Office 365 郵件加密是建置在 Azure RMS) Microsoft Azure Rights Management (在線服務。 使用 Azure RMS,系統管理員可以定義郵件流程規則來判斷加密的條件。 例如,規則可能需要加密傳送給特定收件者的所有訊息。

當有人在 Exchange Online 中傳送符合加密規則的電子郵件訊息時,會以 HTML 附件傳送訊息。 收件者會開啟 HTML 附件,並遵循指示在 Office 365 郵件加密入口網站上檢視加密的郵件。 收件者可以選擇使用Microsoft帳戶或與 Office 365 相關聯的公司或學校登入,或使用一次性密碼來檢視郵件。 這兩個選項都有助於確保只有預定的收件者可以檢視加密的郵件。 此程式與 Purview 郵件加密Microsoft非常不同。

下圖摘要說明透過加密和解密程式傳遞電子郵件訊息。

顯示加密電子郵件路徑的圖表。

如需詳細資訊,請參閱 Microsoft Purview 郵件加密發行前舊版 Office 365 郵件加密的服務資訊。

針對未使用 Purview 郵件加密Microsoft Office 365 郵件加密定義郵件流程規則

若要在沒有新功能的情況下啟用 Office 365 郵件加密,Exchange Online 和 Exchange Online Protection 系統管理員會定義 Exchange 郵件流程規則。 這些規則會決定應加密電子郵件訊息的哪些條件,以及移除郵件加密的條件。 為規則設定加密動作時,服務會在傳送訊息之前,對符合規則條件的任何訊息執行動作。

郵件流程規則具有彈性,可讓您結合條件,以便在單一規則中符合特定的安全性需求。 例如,您可以建立規則來加密包含指定關鍵詞且已尋址給外部收件者的所有訊息。 Office 365 郵件加密也會加密來自加密電子郵件收件者的回復,而且您可以建立規則來解密這些回復,方便您的電子郵件使用者使用。 如此一來,您組織中的使用者就不需要登入加密入口網站即可檢視回復。

如需如何建立 Exchange 郵件流程規則的詳細資訊,請參閱 定義 Office 365 郵件加密的規則

使用 EAC 建立郵件流程規則來加密電子郵件訊息,而不需要Microsoft Purview 郵件加密

  1. 在網頁瀏覽器中,使用已授與全域管理員許可權的公司或學校帳戶,登入 Office 365

  2. 選擇 [ 系統管理] 圖格。

  3. 在 [Microsoft 365 系統管理中心] 中,選擇 [ 系統管理中心>] [Exchange]

  4. 在 EAC 中,移至 [郵件流程>規則] ,然後選取 [新增] 圖示。>建立新的規則。 如需使用EAC的詳細資訊,請參閱 Exchange Online 中的 Exchange 系統管理中心

  5. [名稱] 中,輸入規則的名稱,例如 加密 的 DrToniRamos@hotmail.com郵件。

  6. 在 [如果選取條件時套用 此規則 ],並視需要輸入值。 例如,若要加密前往 DrToniRamos@hotmail.com的訊息:

    1. [如果套用此規則] 中,選 取收件者為

    2. 從聯繫人清單中選取現有名稱,或在 複選名稱 方塊中輸入新的電子郵件位址。

      • 若要選取現有的名稱,請從清單中選取它,然後按下 [ 確定]

      • 若要輸入新名稱,請在 複選名稱 方塊中輸入電子郵件地址,然後選取 [檢查名稱>][確定]

  7. 若要新增更多條件,請選擇 [更多選項] ,然後選取 [新增條件 ],然後從清單中選取 。

    例如,若要只在收件者位於組織外部時才套用規則,請選取 [新增條件],然後選取 [收件者是組織>外部/外部>的收件者確定]

  8. 若要啟用加密而不使用新的 OME 功能,請在 [執行下列動作] 中,選取 [ 修改訊息安全性>套用舊版 OME],然後選擇 [ 儲存]

    如果您收到 IRM 授權未啟用的錯誤,表示您未使用舊版 OME。

  9. (選擇性) 選擇 新增動作 以指定另一個動作。

使用 Exchange Online PowerShell 建立郵件流程規則,以加密沒有新 OME 功能的電子郵件訊息

  1. 連線至 Exchange Online PowerShell。 如需詳細資訊,請參閱<連線至 Exchange Online PowerShell>。

  2. 使用 New-TransportRule Cmdlet 建立規則,並將 ApplyOME 參數設定為 $true

    此範例要求傳送至 DrToniRamos@hotmail.com 的所有電子郵件訊息都必須加密。

    New-TransportRule -Name "Encrypt rule for Dr Toni Ramos" -SentTo "DrToniRamos@hotmail.com" -SentToScope "NotinOrganization" -ApplyOME $true

    其中:

    • 新規則的唯一名稱是 「Encrypt rule for Dr Toni Ramos」。。
    • SentTo 參數會指定依名稱、電子郵件地址、辨別名稱等識別的郵件收件者 () 。 在此範例中,收件者是由電子郵件位址 “DrToniRamos@hotmail.com” 識別。
    • SentToScope 參數會指定郵件收件者的位置。 在此範例中,收件者的信箱位於 Hotmail 中,而且不屬於組織,因此會使用 值 NotInOrganization

    如需詳細的語法和參數資訊,請參閱 New-TransportRule

從未加密的電子郵件回復中移除加密Microsoft Purview 郵件加密

當您的電子郵件使用者傳送加密的郵件時,這些郵件的收件者可以使用加密的回復來回應。 您可以建立郵件流程規則來自回復自動移除加密,讓組織中的電子郵件使用者不需要登入加密入口網站即可檢視它們。 您可以使用 EAC 或 Exchange Online PowerShell Cmdlet 來定義這些規則。 您可以解密從組織內傳送的訊息,或是從組織內傳送之訊息的回復訊息。 您無法解密源自組織外部的加密訊息。

使用 EAC 建立規則,從未加密Microsoft Purview 郵件加密的電子郵件回復中移除加密

  1. 在網頁瀏覽器中,使用已獲授與系統管理員許可權的公司或學校帳戶,登入 Office 365

  2. 選擇 [ 系統管理] 圖格。

  3. 在 [Microsoft 365 系統管理中心] 中,選擇 [ 系統管理中心>] [Exchange]

  4. 在 EAC 中,移至 [郵件流程>規則] ,然後選取 [新增] 圖示。>建立新的規則。 如需使用EAC的詳細資訊,請參閱 Exchange Online 中的 Exchange 系統管理中心

  5. [名稱] 中,輸入規則的名稱,例如從內送郵件移除加密。

  6. 在 [ 套用此規則] 中,如果選取應從郵件中移除加密的條件,例如 收件者位於>組織內部

  7. [執行下列動作] 中,選取 [ 修改訊息安全性>][移除舊版 OME]

  8. 選取 [儲存]

使用 Exchange Online PowerShell 建立規則,從未使用新 OME 功能加密的電子郵件回復中移除加密

  1. 連線至 Exchange Online PowerShell。 如需詳細資訊,請參閱<連線至 Exchange Online PowerShell>。

  2. 使用 New-TransportRule Cmdlet 建立規則,並將 RemoveOME 參數設定為 $true

    此範例會從傳送給組織中收件者的所有郵件中移除加密。

    New-TransportRule -Name "Remove encryption from incoming mail" -SentToScope "InOrganization" -RemoveOME $true

    其中:

    • 新規則的唯一名稱是「從內送郵件移除加密」。
    • SentToScope 參數會指定郵件收件者的位置。 在此範例中,會使用 值 InOrganization ,這表示下列其中一項:
      • 收件者是組織中信箱、郵件使用者、群組或擁有郵件功能的公用資料夾。
      • 收件者的電子郵件地址位於已接受的網域中,該網域已設定為組織中的授權網域或內部轉送網域, 而且 已透過已驗證的連線傳送或接收郵件。

如需詳細的語法和參數資訊,請參閱 New-TransportRule

傳送、檢視和回復未使用新功能加密的訊息

使用 Office 365 郵件加密時,會根據系統管理員定義的規則自動加密電子郵件訊息。 含有加密郵件的電子郵件會以附加的 HTML 檔案送達收件者的收件匣。

收件者會依照訊息中的指示開啟附件,並使用Microsoft帳戶或與 Office 365 相關聯的公司或學校進行驗證。 如果收件者沒有任一帳戶,系統會引導他們建立Microsoft帳戶,讓他們登入以檢視加密的郵件。 或者,收件者可以選擇取得一次性密碼來檢視訊息。 登入或使用一次性密碼之後,收件者可以檢視解密的郵件,並傳送加密的回復。

使用 Office 365 郵件加密自訂加密的訊息

身為 Exchange Online 和 Exchange Online Protection 系統管理員,您可以自定義加密的訊息。 例如,您可以新增公司的品牌和標誌、指定簡介,以及在加密的郵件和收件者檢視加密郵件的入口網站中新增免責聲明文字。 使用 Exchange Online PowerShell Cmdlet,您可以自定義加密電子郵件訊息收件者檢視體驗的下列層面:

  • 包含加密訊息的電子郵件簡介文字
  • 包含加密訊息的電子郵件免責聲明文字
  • 將會出現在訊息檢視入口網站的入口網站文字
  • 將會出現在電子郵件和檢視入口網站的標誌

您也可以隨時回復為預設的外觀與風格。

下列範例顯示 ContosoPharma 在電子郵件附件中的自訂標誌:

檢視加密訊息頁面的範例。

使用貴組織的品牌自定義加密電子郵件訊息和加密入口網站

  1. 連線至 Exchange Online PowerShell

  2. 使用 Set-OMEConfiguration Cmdlet,如下所述: Set-OMEConfiguration 或使用下表取得指引。

    加密自訂選項

    若要自訂此加密經驗功能 使用這些 Exchange Online PowerShell 命令
    加密電子郵件隨附的預設文字

    預設文字會出現在檢視加密郵件的指示上方。

    		 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -EmailText "<string of up to 1024 characters>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -EmailText "Encrypted message from ContosoPharma secure messaging system"
    包含加密訊息之電子郵件中的免責聲明 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> DisclaimerText "<your disclaimer statement, string of up to 1024 characters>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -DisclaimerText "This message is confidential for the use of the addressee only"
    出現在加密郵件檢視入口網站上方的文字 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -PortalText "<text for your portal, string of up to 128 characters>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -PortalText "ContosoPharma secure email portal"
    標誌 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -Image <Byte[]>

                  範例:Set-OMEConfiguration -Identity "OME configuration" -Image ([System.IO.File]::ReadAllBytes('C:\Temp\contosologo.png'))

    支援的檔案格式:.png、.jpg、.bmp 或 .tiff

    標誌檔案的最佳大小:小於 40 KB

    標誌影像的最佳大小:170x70 像素

從加密電子郵件訊息和加密入口網站移除品牌自定義

  1. 連線至 Exchange Online PowerShell

  2. 使用 Set-OMEConfiguration Cmdlet,如下所述: Set-OMEConfiguration。 若要從 DisclaimerText、EmailText 和 PortalText 值中移除貴組織的品牌自定義,請將值設定為空字串 。 "" 針對所有影像值,例如 Logo,將值設定為 "$null"

    加密自訂選項

    將加密體驗的這項功能回復為預設文字和影像 使用這些 Exchange Online PowerShell 命令
    加密電子郵件隨附的預設文字

    預設文字會出現在檢視加密郵件的指示上方。

    		 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -EmailText "<empty string>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -EmailText ""
    包含加密訊息之電子郵件中的免責聲明

    		 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> DisclaimerText "<empty string>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -DisclaimerText ""
    出現在加密郵件檢視入口網站上方的文字 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -PortalText "<empty string>"

    還原回預設值的範例:Set-OMEConfiguration -Identity "OME Configuration" -PortalText ""
    標誌 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -Image <"$null">

    還原回預設值的範例:Set-OMEConfiguration -Identity "OME configuration" -Image $null

新 OME 功能發行前舊版 Office 365 郵件加密的服務資訊

下表提供發行 Microsoft Purview 郵件加密之前 Office 365 郵件加密服務的技術詳細數據。

服務詳細數據 描述
用戶端裝置需求 只要 HTML 附件可以在支援窗體貼文的新式瀏覽器中開啟,就可以在任何用戶端裝置上檢視加密的訊息。
加密演算法和聯邦資訊處理標準 (FIPS) 合規性 Office 365 郵件加密使用與 Windows Azure 資訊版權管理 (IRM) 相同的加密密鑰,並支援適用於 RSA 的密碼編譯模式 2 (2K 金鑰,以及適用於 SHA-1 系統的 256 位密鑰) 。 如需基礎 IRM 密碼編譯模式的詳細資訊,請參閱 AD RMS 密碼編譯模式
支援的訊息類型 只有訊息類別標識碼為 IPM 的專案才支援 Office 365 郵件加密 。注意。 如需詳細資訊,請 參閱專案類型和訊息類別
郵件大小限制 Office 365 郵件加密可以加密最多 25 MB 的訊息。 如需訊息大小限制的詳細資訊,請 參閱 Exchange Online 限制
Exchange Online 電子郵件保留原則 Exchange Online 不會儲存加密的訊息。
Office 365 郵件加密的語言支援 Office 365 郵件加密支援Microsoft 365 語言,如下所示:

傳入的電子郵件訊息和附加的 HTML 檔案會根據寄件者的語言設定進行當地語系化。

檢視入口網站會根據收件者的瀏覽器設定當地語系化。

加密訊息的內容) 本文 (不會當地語系化。
OME 入口網站和 OME 檢視器應用程式的隱私權資訊 Office 365 傳訊加密入口網站隱私聲明提供有關Microsoft執行哪些動作,以及不處理私人資訊的詳細資訊。

關於舊版 OME 的常見問題

有關於 Office 365 郵件加密的問題嗎? 以下是一些解答。 如果您找不到所需的內容,請查看 office 365 Microsoft Tech Community 論壇

問: 我的使用者將加密的電子郵件訊息傳送給組織外部的收件者。 外部收件者是否必須執行任何動作,才能讀取和回復使用 Office 365 郵件加密加密的電子郵件訊息?

組織外部接收Microsoft 365 加密郵件的收件者可以透過下列兩種方式之一來檢視:

  • 使用Microsoft帳戶或與 Office 365 相關聯的公司或學校帳戶登入。

  • 使用一次性密碼。

問: Microsoft 365 加密的訊息是否儲存在雲端或Microsoft伺服器上?

否,加密的郵件會保留在收件者的電子郵件系統上,而當收件者開啟郵件時,系統會暫時張貼該郵件,以便在Microsoft伺服器上檢視。 郵件並不會儲存於該處。

問: 我可以使用我的品牌自定義加密的電子郵件訊息嗎?

是的。 您可以使用 Exchange Online PowerShell Cmdlet 來自定義顯示在加密電子郵件訊息頂端的預設文字、免責聲明文字,以及您想要用於電子郵件訊息和加密入口網站的標誌。 這項功能現在可在 OMEv2 中使用。 如需詳細資訊,請參閱Add branding to encrypted messages

問: 服務是否需要組織中每個用戶的授權?

組織中傳送加密電子郵件的每位使用者皆需有授權。

問: 外部收件者是否需要訂用帳戶?

否,外部收件者不需要訂閱即可讀取或回覆加密郵件。

問: Office 365 郵件加密與 Rights Management Services (RMS) 有何不同?

RMS 藉由提供內建範本,為組織的內部電子郵件提供資訊版權保護功能,例如:[不要轉寄] 和 [公司機密]。 Office 365 郵件加密支援傳送至外部收件者和內部收件者之郵件的電子郵件加密。

問: Office 365 郵件加密與 S/MIME 有何不同?

S/MIME 基本上是一種用戶端加密技術,需要複雜的憑證管理與發佈基礎結構。 Office 365 郵件加密會使用郵件流程規則, (也稱為傳輸規則) ,且不相依於憑證發行。

問: 我可以透過行動裝置讀取加密的訊息嗎?

是,您可以從Google Play商店和Apple App Store 下載 OME Viewer 應用程式,以在 Android 和 iOS 上檢視訊息。 在 OME 檢視器應用程式中開啟 HTML 附件,然後依照指示開啟加密的郵件。 對其他行動裝置而言,只要郵件用戶端支援表單張貼,您便能夠開啟 HTML 附件。

問: 回復和轉寄的訊息是否加密?

是。 在整個執行緒期間都會對回應持續加密。

問: Office 365 郵件加密是否提供當地語系化?

內送電子郵件和 HTML 內容均依據寄件者電子郵件設定進行當地語系化。 檢視入口網站會依據收件者的瀏覽器設定進行當地語系化。 不過,加密郵件的實際內文 (內容) 不會進行當地語系化。

問: Office 365 郵件加密使用何種加密方法?

Office 365 郵件加密會使用 Rights Management Services (RMS) 作為其加密基礎結構。 使用的加密方法取決於您在哪裡取得用來加密及解密郵件的 RMS 金鑰。

  • 如果您使用 Microsoft Azure RMS 取得金鑰,則會使用密碼編譯模式 2。 密碼編譯模式 2 是已更新並增強的 AD RMS 密碼編譯實作。 它支援使用 RSA 2048 進行簽章和加密,也支援使用 SHA-256 進行簽章。

  • 如果您使用 Active Directory (AD) RMS 來取得金鑰,則會使用密碼編譯模式 1 或密碼編譯模式 2。 使用的方法取決於內部部署 AD RMS 部署。 密碼編譯模式 1 是原始的 AD RMS 密碼編譯實作。 它支援使用 RSA 1024 進行簽章和加密,也支援使用 SHA-1 進行簽章。 這個模式會繼續受到 RMS 所有目前的版本支援。

如需詳細資訊,請參閱 AD RMS 密碼編譯模式

問: 為什麼某些加密的訊息會指出它們來自 Office365@messaging.microsoft.com?

從加密入口網站或透過 OME 檢視器應用程式傳送加密的回復時,傳送的電子郵件地址會設定為 Office365@messaging.microsoft.com ,因為加密的郵件是透過Microsoft端點傳送。 這有助於避免加密的郵件被標示為垃圾郵件。 因為有此標示,加密入口網站中顯示的電子郵件名稱和地址不會變更。 此外,此標示只會套用到透過入口網站傳送的郵件,而不會套用到透過任何其他電子郵件用戶端傳送的郵件。

問: 我是 Exchange 託管加密 (EHE) 訂閱者。 哪裡可以深入了解升級至 Office 365 郵件加密?

所有 EHE 客戶都已升級至 Office 365 郵件加密。 如需詳細資訊,請造訪 Exchange 託管加密升級中心

問: 我需要在組織的防火牆中開啟任何 URL、IP 位址或埠,才能支援 Office 365 郵件加密嗎?

是。 您必須將 Exchange Online 的 URL 新增至您的組織允許清單,以針對 Office 365 郵件加密所加密的訊息啟用驗證。 如需 Exchange Online URL 的清單,請 參閱Microsoft 365 URL 和 IP 位址範圍

問: 我可以傳送Microsoft 365 加密郵件給多少收件者?

每個郵件的收件者限製為500個收件者,或在通訊組清單展開之後合併時,訊息的 [ 件者] 字段中11,980個字元,以先出現者為準。

問: 是否可以撤銷傳送給特定收件者的郵件?

不能。 您無法在訊息傳送後撤銷訊息給特定人員。

問: 我可以檢視已接收和讀取的加密訊息報告嗎?

沒有報表會顯示是否已檢視加密的郵件,但有Microsoft 365 份報告可供您用來判斷符合特定郵件流程規則的郵件數目,例如, (也稱為傳輸規則) 。

問: Microsoft如何使用我透過 OME 入口網站和 OME 查看器應用程式提供的資訊?

Office 365 傳訊加密入口網站隱私聲明提供有關Microsoft執行哪些動作,以及不處理私人資訊的詳細資訊。

問: 如果我在要求后未收到一次性密碼,該怎麼辦?

首先,檢查電子郵件用戶端中的垃圾郵件或垃圾郵件資料夾。 貴組織的 DKIM 和 DMARC 設定可能會導致這些電子郵件最終被篩選為垃圾郵件。

接下來,在 Microsoft Purview 合規性入口網站中檢查隔離。 通常,包含一次性密碼的訊息,尤其是貴組織收到的第一個密碼,最後會被隔離。