重要事項
2021 年 2 月 28 日,Microsoft 停止支援 Exchange Online 中的 AD RMS。 如果你部署的是混合環境,讓 Exchange 郵箱在線上,且使用 IRM 搭配 Active Directory RMS 在本地,你需要遷移到 Azure。 部署於GCC溫和環境的組織也會受到影響。 詳情請參閱本文中的「Exchange Online 中 AD RMS 棄用概述」。
本文其餘部分將比較傳統Office 365訊息加密 (OME) 與Microsoft Purview 郵件加密及Microsoft Purview進階訊息加密。 Microsoft Purview 郵件加密 是 OME 與資訊權利管理(Information Rights Management) (IRM) 合併後的更新版本。 同時也說明了部署進入GCC High的獨特特性。 這兩者可以在你的組織中共存。 關於新功能的運作方式,請參閱 OME) (Office 365 訊息加密。
本文是關於訊息加密的更大系列文章的一部分。 本文針對管理員及資訊技術專家(ITPro)。 如果你只是想了解如何傳送或接收加密訊息,請參考 「訊息加密 」中的文章列表,找到最適合你需求的文章。
Exchange Online 中 AD RMS 棄用概述
Exchange Online包含資訊權利管理 (IRM) 功能,提供電子郵件訊息及附件的線上及離線保護。 預設情況下,Exchange Online 會使用 Azure 資訊保護。 不過,您的組織可能已將 IRM Exchange Online配置為使用 內部部署的 Active Directory 權利管理服務 (AD RMS) 。 Exchange Online 中的 AD RMS 支援即將結束。 取而代之的是,Azure 資訊保護將完全取代 AD RMS。
要評估此棄用是否影響您的組織,請參閱「如何在 Exchange Online 中遷移 AD RMS 至 Azure 權利管理」。 本文提供移民選項的建議。
訊息加密特性與能力的並排比較
| 情況 | 舊版 OME | AD RMS 中的 IRM | Microsoft Purview 郵件加密 |
|---|---|---|---|
| 發送加密郵件 | 透過 Exchange 郵件流規則 | 終端使用者可從 Outlook 桌面版或 Outlook 網頁版啟動;或透過 Exchange 郵件流程規則 | 終端使用者可從 Outlook 桌面、Mac 版 Outlook或 Outlook 網頁發起;透過 Exchange 郵件流規則 (也稱為傳輸規則) 及資料遺失防止 (DLP) |
| 權利管理範本 | 不適用 | 不轉發選項與自訂範本 | 不轉發選項、僅加密選項及自訂範本 |
| 收件者類型 | 內部與外部受助者 | 僅限內部受助者 | 內部與外部受助者 |
| 內部受贈者的經驗 | 收件人會收到一份 HTML 訊息,下載後可在網頁瀏覽器或行動應用程式中開啟 | Outlook 用戶端的原生內嵌體驗 | 同一組織內的接收者使用 Outlook 客戶端,提供原生的內嵌體驗。 收件人可透過 Outlook 以外的用戶端閱讀加密訊息入口網站的訊息 (無需下載或應用程式) 。 |
| 外部受贈者的經驗 | 收件人會收到一份 HTML 訊息,下載後可在網頁瀏覽器或行動應用程式中開啟 | 不適用 | 為 Microsoft 365 接收者提供原生的內嵌體驗。 其他收件人都可以閱讀OME入口網站的訊息, (無需下載或應用程式) 。 |
| 附件權限 | 附件沒有任何限制 | 附件會受到保護 | 附件會受到「不轉發」選項和自訂範本的保護。 管理員可以選擇僅加密選項的附件是否受到保護。 |
| 請自備 (BYOK) 支援 | 無 | 無 | BYOK 支持 |
Microsoft Purview 郵件加密相較於傳統 OME 的優勢
這些新功能帶來以下優勢:
- 可使用僅加密選項 (,實現安全協作) 、不轉發選項及自訂限制。
- 寄件人可以從 Outlook 桌面版、Mac 版 Outlook 及 Outlook 網頁版客戶端手動發送加密郵件,並具備新功能。
- Microsoft 365 的接收者可以在支援的 Outlook 用戶端中使用內嵌體驗。 或者,管理員也可以選擇向 Microsoft 365 接收者展示品牌體驗。
- Microsoft 365 以外的帳號,如 Gmail、Yahoo 和 Microsoft 帳號,則與 OME 入口網站聯合,為這些收件人提供更佳的使用者體驗。 其他所有身份都使用一次性密碼來存取加密訊息。
- 管理員可以自訂品牌形象,並建立多個品牌範本。
- 管理員可以撤銷使用新功能加密的電子郵件。
- 新功能透過 Microsoft Purview 入口網站提供詳細使用報告。
Microsoft Purview 進階訊息加密功能
Microsoft Purview 進階訊息加密在 Microsoft Purview 郵件加密之上提供更多功能。 您必須在組織中設置 Microsoft Purview 郵件加密,才能使用 Advanced Message Encryption。 此外,為了使用這些功能,收件人必須透過 Microsoft Purview 郵件加密入口網站查看並回覆安全郵件。 進階能力包括:
訊息撤銷
訊息過期
多重品牌模板
加密訊息入口網站活動日誌
有關使用進階訊息加密的資訊,請參閱 Microsoft Purview 進階訊息加密。
Microsoft Purview 郵件加密在 GCC High 部署中的獨特特性
如果你計劃在 GCC High 環境中使用 Microsoft Purview 郵件加密,接收者體驗上有一些獨特的特性。
GCC High 與 GCC High 收件人之間的加密電子郵件
寄件人可以在 Outlook for PC 和 Mac 中手動加密電子郵件,或在 Outlook 網頁版中進行加密,或組織可依照 Exchange 郵件流程規則設定加密政策。
GCC High 內的收件人在 PC 與 Mac 版 Outlook 及網頁版 Outlook 網頁版中,享有與其他使用者相同的線上閱讀體驗。
GCC 高峰與非 GCC 高峰收件者之間的加密電子郵件
GCC High 內部的寄件人可以將加密郵件發送到 GCC High 邊界之外,反之亦然。
所有非GCC High的收件人,包括商業Microsoft 365用戶、Outlook.com 用戶,以及Gmail和Yahoo等其他電子郵件服務提供者的用戶,都會收到包裝郵件。 此包裝郵件會將收件人導向至 Microsoft Purview 郵件加密入口網站,收件人可在此閱讀並回覆訊息。 這對於 GCC High 以外的寄件人,發送 OME 加密郵件到 GCC High 也同樣適用。
舊有 OME 與 Microsoft Purview 郵件加密在同一租戶中共存
你可以在同一租戶中同時使用舊有的 OME 和 Microsoft Purview 郵件加密。 作為管理員,你透過在建立郵件流程規則時選擇你想使用的郵件加密版本來達成這個目標。
若要指定 OME 的舊版,請使用 Exchange 郵件流程規則動作 「套用先前版本的 OME」。
要指定 Microsoft Purview 郵件加密,請使用 Exchange 郵件流程規則動作「套用 Office 365 訊息加密與權利保護」。
使用者可以手動發送以 Outlook 桌面、Mac 版 Outlook 和 Outlook 網頁版 加密的郵件,並以 Microsoft Purview 郵件加密 加密。
從舊有 OME 遷移到 Microsoft Purview 郵件加密
即使兩個版本可以共存,我們強烈建議您編輯舊有的郵件流規則,並使用規則動作「套用前一版本的 OME 以使用 Microsoft Purview 郵件加密」。 更新這些規則以使用郵件流規則動作「套用 Office 365 訊息加密與權利保護」,請在 RMS 範本列表中選擇「加密」。 有關說明,請參閱 「定義郵件流程規則以加密電子郵件訊息」。
開始使用 OME
通常,Microsoft Purview 郵件加密會自動啟用您的組織。 欲了解更多關於貴組織內 Microsoft Purview 郵件加密的資訊,請參閱設定 Microsoft Purview 郵件加密。
如果你已經啟用 Azure 資訊保護,舊版 OME 會自動啟用。 過去,即使沒有啟用Azure 資訊保護,舊版 OME 也能運作。 但現在情況已不同。
要開始使用舊版 OME,如果你已啟用 Azure 資訊保護,請設定使用規則動作的郵件流規則,套用先前版本的 OME。 有關說明,請參閱 「定義郵件流程規則以加密電子郵件訊息」。