郵件加密常見問題集

Microsoft Purview 郵件加密結合了電子郵件加密和版權管理功能。 版權管理功能是由 Azure 資訊保護提供技術支援。

您可以在下列情況下使用 Microsoft Purview 訊息加密：

• 如果您尚未設定 Office 365 郵件加密 (OME) 或資訊版權管理 (Exchange 的 IRM) 。

• 如果您設定了 OME 和 IRM，如果您也使用 Azure 資訊保護的 Azure Rights Management 服務，可以使用這些步驟。

• 如果您使用 Exchange 搭配 Active Directory Rights Management 服務 (AD RMS) ，則無法立即啟用這些新功能。 相反地，您必須先將 AD RMS移轉至 Azure 資訊保護 。 當您完成移轉時，可以成功設定 Microsoft Purview 訊息加密] 。

  如果您選擇繼續搭配 Exchange 使用內部部署 AD RMS，而不是移轉至 Azure 資訊保護，則無法使用 Microsoft Purview 訊息加密。

若要使用 Microsoft Purview 訊息加密，您需要下列其中一個方案：

• Microsoft Purview 訊息加密會隨附於 Office 365 企業版 E3 和 E5、Microsoft 365 企業版 E3 和 E5、Microsoft 365 商務進階版、Office 365 A1、A3 和 A5，以及 Office 365 政府版 G3 和 G5。 您不需要額外的授權，即可接收由 Azure 資訊保護提供的新保護功能。

• 您也可以將 Azure 信息保護方案 1 新增至下列方案，以接收 Microsoft Purview 郵件加密：Exchange 方案 1、Exchange 方案 2、Office 365 F3、Microsoft 365 商務基本版、Microsoft 365 商務標準版或 Office 365 企業版 E1。

• 每個受益於 Microsoft Purview 郵件加密的使用者都需要使用訊息加密的授權。

• 如需完整清單，請參閱 Microsoft Purview 訊息加密的 Exchange 服務描述 。

是！ Microsoft建議您在設定 Purview 訊息加密之前，先完成設定 BYOK 的步驟Microsoft。

如需 BYOK 的詳細資訊，請參閱 規劃和實作您的 Azure 資訊保護租使用者密鑰。

否。 Microsoft Purview 訊息加密，以及從 Azure 資訊保護提供和控制您自己的加密密鑰，稱為 BYOK 的選項，並非設計來響應執法機關的傳票。 OME 搭配適用於 Azure 資訊保護的 BYOK，專為以合規性為主的組織所設計。 Microsoft非常重視客戶數據的要求。 身為雲端服務提供者，我們一律提倡您數據的隱私權。 如果我們收到傳票，我們一律會嘗試直接將要求重新導向給您，以取得資訊。 (閱讀 Brad Smith 的部落格： 保護客戶數據不受政府 通知) 。 我們會定期發佈所收到要求的詳細資訊。 如需非Microsoft數據要求的詳細資訊，請參閱 回應政府機關和執法機關要求，以存取 Microsoft信任中心的客戶數據。 Also, see "Disclosure of Customer Data" in the Online Services Terms (OST).

Microsoft Purview 訊息加密是現有 IRM 和舊版 OME 解決方案的演進。 下表提供更多詳細數據。

舊版 OME、IRM 和 Microsoft Purview 訊息加密的比較

請參閱設定 Microsoft Purview 訊息加密。

Office 365 郵件加密 (OME) 已於 2023 年 7 月 1 日淘汰。 它會自動取代為 Microsoft Purview 訊息加密。 如果您有作用中的寄件者信箱，您仍然可以檢視來自 OME 的郵件。

否。 如果您使用 Exchange Online 搭配 Active Directory Rights Management 服務 (AD RMS) ，則無法立即啟用這些新功能。 相反地，您必須先將 AD RMS移轉至 Azure 資訊保護 。

內部部署使用者可以使用 Exchange Online 郵件流程規則傳送加密的郵件。 您需要透過 Exchange 路由傳送電子郵件。 如需詳細資訊，請參閱 第 2 部分：設定郵件從您的電子郵件伺服器流向 Microsoft 365。

您可以從 Outlook 2016、Outlook 2013 for Windows 和 Mac，以及從 Outlook 網頁版建立受保護的郵件。 如需傳送加密訊息的詳細資訊，請參閱在計算機版 Outlook 中傳 送、檢視和回復加密的郵件。

Microsoft 365 用戶可以在 2013 和 2016 (2013 和 2016) 、Outlook 網頁版，以及 Outlook 行動裝置版 (Android 和 iOS) 讀取和回應。 如果您的組織允許，您也可以使用 iOS 原生郵件用戶端。 如果您不是 Microsoft 365 使用者，您可以透過網頁瀏覽器讀取和回復網頁上加密的郵件。

Microsoft 365 使用者可以使用計算機版 Outlook 2019 和 Microsoft 365 來建立受加密原則保護的郵件。 套用僅加密原則的訊息可直接在 Outlook 網頁版、iOS 版和 Android 版 Outlook，以及電腦版 2019 和 Microsoft 365 的 Outlook 中讀取。

是的。 您可以使用 Purview 郵件加密Microsoft傳送的訊息大小上限為 25 MB，包括附件。 如需詳細資訊，請參閱 訊息限制。

是。 在某些情況下，如果已設定 連接器 ，例如 Exchange 混合式部署，當您在 BCC 行上包含收件者時， BCC 收件者會在郵件加密之前移除。 最佳做法是移至 Exchange Online，或將所有收件者放在 [收件者 ： ] 或 [副本] 字 段中。

加密的郵件入口網站僅支援郵件。 入口網站不支援其他郵件類型，例如行事曆或語音信箱。

您可以將任何檔案類型附加至受保護的郵件。 保護原則只會套用至 支援的檔類型中所述檔格式的子集。 Microsoft Purview 郵件加密僅支援下列 Office 檔案擴充功能：

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• xps

Microsoft Purview 郵件加密不支援下列 Office 程式的 97-2003 版本：Word (.doc) 、Excel (.xls) 和 PowerPoint (.ppt) 。

保護只會從郵件繼承至未加密的附件。 如果支援檔格式，例如 Word、Excel 或 PowerPoint 檔案，即使收件者下載附件之後，檔案仍一律會受到保護。 例如，假設附件受到「不可轉寄」保護。 原始收件者會下載檔案、建立訊息給新的收件者，然後附加檔案。 當新的收件者收到檔案時，他們無法開啟檔案。

簡短答案是肯定的！ 如果在 Exchange Online 中啟用，PDF 加密可讓您保護附加至電子郵件的敏感性 PDF 檔。 當您傳送電子郵件時，Office 365 服務會加密 Outlook 網頁版、Mac 版 Outlook、iOS 版 Outlook 和 Android 版 Outlook 的 PDF 檔案附件。 您可以加密傳送的 PDF，而不需要執行任何步驟。

Outlook 64 位原生支援加密 PDF 檔案附件，而 Outlook 32 位則不支援。 如果您使用 Outlook 32 位，則必須設定 Exchange 郵件流程規則或 DLP 原則，以先將加密套用至 PDF 附件。 當您使用 PDF 附件從 Outlook Desktop 傳送 未加密 的郵件時，用戶端會先將附件傳送至服務的郵件。 當服務收到未加密的郵件時，服務會透過 Exchange Online 中的數據外洩防護 (DLP) 原則或郵件流程規則，套用 Microsoft Purview 郵件加密保護。 接下來，Exchange Online 會加密訊息和 PDF 檔案附件。

若要啟用 PDF 附件的加密，請在 Exchange Online PowerShell 中執行下列命令：

Set-IRMConfiguration -EnablePdfEncryption $true

PDF 加密可讓您透過安全通訊或安全的共同作業來保護敏感性 PDF 檔。 對於所有 Outlook 用戶端，郵件和未受保護的 PDF 附件會繼承 Exchange Online 中數據外洩防護 (DLP) 原則或郵件流程規則的 Microsoft Purview 郵件加密保護。 此外，如果 Outlook 網頁版使用者附加未受保護的 PDF 檔，並將保護套用至訊息，則訊息會繼承訊息的保護。 使用者只能在支援受保護 PDF 的應用程式中開啟加密的附件 (例如，加密的郵件入口網站和 Azure 資訊保護查看器) 。

Not yet. 不支援 SharePoint 或 OneDrive 附件。 您可以加密郵件訊息，但不能加密雲端附件。

當附件受到受保護的郵件保護時，您可以直接使用 Outlook 用戶端預覽檔。 Outlook 支援 office 文件預覽 (docx、xlsx、pptx、doc、xls、ppt) 。 Outlook 網頁版支援 Docx、xlsx、pptx) 和 PDF (Office 檔預覽。

Outlook 網頁版支持撤銷受保護的郵件。 如需詳細資訊，請參閱 如何撤銷您傳送的加密訊息 。

加密的郵件入口網站支援預覽已新增至加密郵件的任何加密附件複本。 支援文件類型包括 Word、Excel、PowerPoint 和 PDF 檔案。

是。 使用 Exchange Online 中的郵件流程規則，根據特定條件自動加密郵件。 例如，您可以建立以收件者標識碼、收件者網域或郵件本文或主旨內容為基礎的原則。 請參閱 定義郵件流程規則以加密 Office 365 中的電子郵件訊息。

系統管理員可以設定郵件流程規則，以移除外寄郵件的加密。 您只能設定規則來移除來自 Exchange Online 組織之內送郵件的加密。

對於 Exchange Online 信箱，系統管理員必須啟用日誌解密，並設定 Exchange Online 日誌規則，以在日誌信箱中產生郵件的解密複本。 日誌規則會接受任何已加密的郵件或附件，並將原始加上解密的複本傳送至日誌信箱。 您只能設定日誌規則，以便在加密專案源自貴組織時解密郵件或附件。
若要啟用 Exchange Online 日誌：

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

是！ 您可以在 Exchange Online 中或在 Microsoft Purview 合規性入口網站中使用 DLP 來設定郵件流程規則。

是，針對從您組織中的 Exchange Online 信箱傳送的郵件！ 如需自定義電子郵件訊息和加密郵件入口網站的相關信息，請參閱將 貴組織的品牌新增至加密的郵件。

加密的郵件入口網站活動記錄只會藉由存取加密的郵件入口網站來擷取外部收件者的事件。 不會記錄外部收件者所觸發之電子郵件用戶端中的任何活動。 對於內部收件者，請參閱 Purview Audit (Premium) - 郵件專案存取記錄中的 MailItemsAccessed 信箱稽核動作。

Microsoft Purview 合規性入口網站中有加密報告。 請參閱在 Microsoft Purview 合規性入口網站中檢視電子郵件安全性報告。

是，Microsoft Purview 訊息加密保護的大部分訊息都是可探索的。 Microsoft您從另一個已透過郵件流程規則套用自定義商標的Microsoft 365 組織收到的 Purview 郵件加密受保護郵件，您的電子檔探索服務無法探索該郵件。 換句話說，如果無法透過使用者的信箱存取郵件，而是只透過加密郵件入口網站的連結呈現，則無法搜尋郵件。 如需詳細資訊，請參閱 支援加密專案的電子檔探索活動 。

當電子郵件訊息符合加密郵件流程規則時，Exchange 會加密傳送該郵件的訊息。

是！ 您可以開啟共用信箱的加密郵件。 當郵件從同一個組織傳送時，您可以在登入支援的 Outlook 用戶端時開啟郵件。 如果郵件是從外部組織傳送，您必須使用 Outlook 網頁版。

• 用戶可以在共用信箱中開啟受保護的郵件，共用信箱會在通訊群組中收到受保護的郵件。

• 當使用者使用 Windows 版 Outlook、Mac 版 Outlook、Android 版 Outlook、iOS 版 Outlook 和 Outlook 網頁版時，可以檢視從電子郵件繼承保護的附件。

下表列出共用信箱的支援用戶端。

目前有兩個已知限制：

• 您無法使用 Outlook 行動裝置版開啟您在行動裝置上收到的電子郵件附件。

• 有兩種方式可讓使用者直接在 Outlook 32 位中檢視加密的郵件：

  1. 直接將使用者指派給共用信箱，並啟用完整訪問許可權和自動對應。 針對 Outlook 64 位，使用者不需要直接指派給信箱。 默認會針對 Exchange 啟用自動對應。
  2. 將擁有郵件功能的安全組指派給共用信箱。 此方法需要 Outlook 2402 版，且僅支援在 2024 年 6 月之後產生的郵件。

將使用者指派給共用信箱

1. 連線至 Exchange Online PowerShell。

2. Add-MailboxPermission使用 參數執行 Automapping Cmdlet。 此範例會提供支援信箱的 Ayla 完整存取許可權。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

將啟用郵件的安全組指派給共用信箱

若要使用此方法，您必須使用 [ 不可轉 寄] 或 [僅加密 保護] 選項來加密郵件。 只能開啟由共用信箱或組織內傳送之郵件所起始的郵件。

1. 連線至 Exchange Online PowerShell。

2. 執行 Cmdlet Add-MailboxPermission 來指派安全組。 下列範例會為 Contoso 前臺安全組提供支援信箱的完整訪問許可權。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

當委派獲得使用者信箱的完整訪問許可權時，Outlook 網頁版、Mac 版 Outlook、iOS 版 Outlook 和 Android 版 Outlook 支援加密郵件的委派存取權。 Windows 版 Outlook 不支援委派的存取權。

您可以登入加密的郵件入口網站，以擷取郵件，只要寄件人的組織在使用中且郵件未設定為過期即可。

首先，檢查電子郵件用戶端中的垃圾郵件或垃圾郵件資料夾。 貴組織的 DKIM 和 DMARC 設定可能會導致這些電子郵件最終被篩選為垃圾郵件。

接下來，在合規性入口網站中檢查隔離。 通常，包含一次性密碼的訊息，尤其是貴組織收到的第一個密碼，最後會被隔離。