Office 365 郵件加密的舊版資訊

  • 發行項

Office 365訊息加密自 2023 年 7 月 1 日起淘汰。 如果您尚未將組織移至Microsoft Purview 郵件加密,但您已部署 OME,則本文中的資訊會套用至您的組織。 Microsoft 建議您在組織合理時,立即規劃移至Microsoft Purview 郵件加密。 如需指示,請參閱設定Microsoft Purview 郵件加密。 如果您想要先深入瞭解新訊息加密方式,請參閱 訊息加密。 本文的其餘部分指的是發行Microsoft Purview 郵件加密之前的 OME 行為。

使用 Office 365 郵件加密,您的組織可在組織內外的人員之間傳送和接收加密的電子郵件。 Office 365郵件加密適用于 Outlook.com、Yahoo、Gmail 和其他電子郵件服務。 電子郵件加密有助於確保只有預定的收件者可以檢視郵件內容。

範例如下:

  • 銀行員工將信用卡對帳單傳送給客戶
  • 一位保險公司代表為客戶提供原則詳細資料
  • 貸款代理人向客戶要求貸款應用程式的財務資訊
  • 醫療保健提供者會將醫療保健資訊傳送給病患
  • 律師將機密資訊傳送給客戶或其他律師

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

不使用新功能Office 365訊息加密的運作方式

Office 365訊息加密是以 Microsoft Azure Rights Management (Azure RMS) 為基礎的線上服務。 使用 Azure RMS,系統管理員可以定義郵件流程規則來判斷加密的條件。 例如,規則可能需要加密傳送給特定收件者的所有訊息。

當有人在Exchange Online中傳送符合加密規則的電子郵件訊息時,會以 HTML 附件傳送訊息。 收件者會開啟 HTML 附件,並遵循指示在Office 365郵件加密入口網站上檢視加密的郵件。 收件者可以選擇使用 Microsoft 帳戶或與Office 365相關聯的公司或學校登入,或使用一次性密碼來檢視訊息。 這兩個選項都有助於確保只有預定的收件者可以檢視加密的郵件。 此程式對於Microsoft Purview 郵件加密而言非常不同。

下圖摘要說明透過加密和解密程式傳遞電子郵件訊息。

顯示加密電子郵件路徑的圖表。

如需詳細資訊,請參閱發行Microsoft Purview 郵件加密之前舊版Office 365訊息加密的服務資訊

針對未使用Office 365郵件加密定義郵件流程規則Microsoft Purview 郵件加密

若要在沒有新功能的情況下啟用Office 365郵件加密,Exchange Online和Exchange Online Protection系統管理員會定義 Exchange 郵件流程規則。 這些規則會決定應加密電子郵件訊息的哪些條件,以及移除郵件加密的條件。 為規則設定加密動作時,服務會在傳送訊息之前,對符合規則條件的任何訊息執行動作。

郵件流程規則具有彈性,可讓您結合條件,以便在單一規則中符合特定的安全性需求。 例如,您可以建立規則來加密包含指定關鍵字且已定址給外部收件者的所有訊息。 Office 365郵件加密也會加密來自加密電子郵件收件者的回復,而且您可以建立規則來解密這些回復,以方便您的電子郵件使用者使用。 如此一來,您組織中的使用者就不需要登入加密入口網站即可檢視回復。

如需如何建立 Exchange 郵件流程規則的詳細資訊,請參閱定義Office 365郵件加密的規則

使用 EAC 建立郵件流程規則來加密電子郵件訊息,而不需要Microsoft Purview 郵件加密

  1. 在網頁瀏覽器中,使用已獲授與全域管理員許可權的公司或學校帳戶,登入Office 365

  2. 選擇管理員圖格。

  3. 在Microsoft 365 系統管理中心中,選擇[管理員中心>Exchange]

  4. 在 EAC 中,移至[郵件流程>規則],然後選取[新增] 圖示。>建立新的規則。 如需使用 EAC 的詳細資訊,請參閱Exchange Online 中的 Exchange 系統管理中心

  5. [名稱] 中,輸入規則的名稱,例如 加密 的 DrToniRamos@hotmail.com 郵件。

  6. 在 [如果選取條件時套用 此規則 ],並視需要輸入值。 例如,若要加密前往 DrToniRamos@hotmail.com 的訊息:

    1. [如果套用此規則]中,選 取收件者為

    2. 從連絡人清單中選取現有名稱,或在 複選名稱 方塊中輸入新的電子郵件地址。

      • 若要選取現有的名稱,請從清單中選取它,然後按一下 [ 確定]

      • 若要輸入新名稱,請在複選名稱方塊中輸入電子郵件地址,然後選取[檢查名稱>][確定]

  7. 若要新增更多條件,請選擇 [更多選項] ,然後選取 [新增條件 ],然後從清單中選取 。

    例如,若要只在收件者位於組織外部時才套用規則,請選取[新增條件],然後選取[收件者是組織>外部/外部 > 的收件者確定]

  8. 若要啟用加密而不使用新的 OME 功能,請在[執行下列動作] 中,選取 [修改訊息安全性>套用舊版 OME],然後選擇 [儲存]

    如果您收到 IRM 授權未啟用的錯誤,表示您未使用舊版 OME。

  9. (選擇性) 選擇 新增動作 以指定另一個動作。

使用 Exchange Online PowerShell 建立郵件流程規則,以加密沒有新 OME 功能的電子郵件訊息

  1. 連線至 Exchange Online PowerShell。 如需詳細資訊,請參閱<連線至 Exchange Online PowerShell>。

  2. 使用 New-TransportRule Cmdlet 建立規則,並將 ApplyOME 參數設定為 $true

    此範例要求傳送至 DrToniRamos@hotmail.com 的所有電子郵件訊息都必須加密。

    New-TransportRule -Name "Encrypt rule for Dr Toni Ramos" -SentTo "DrToniRamos@hotmail.com" -SentToScope "NotinOrganization" -ApplyOME $true

    其中:

    • 新規則的唯一名稱是 「Encrypt rule for Dr Toni Ramos」。
    • SentTo參數會指定依名稱、電子郵件地址、辨別名稱等識別的郵件收件者 () 。 在此範例中,收件者是由電子郵件地址 「 DrToniRamos@hotmail.com 」 識別。
    • SentToScope參數會指定郵件收件者的位置。 在此範例中,收件者的信箱位於 Hotmail 中,而且不屬於組織,因此會使用 值 NotInOrganization

    如需詳細的語法和參數資訊,請參閱 New-TransportRule

從未加密的電子郵件回復中移除加密Microsoft Purview 郵件加密

當您的電子郵件使用者傳送加密的郵件時,這些郵件的收件者可以使用加密的回復來回應。 您可以建立郵件流程規則來自回復自動移除加密,讓組織中的電子郵件使用者不需要登入加密入口網站即可檢視它們。 您可以使用 EAC 或Exchange Online PowerShell Cmdlet 來定義這些規則。 您可以解密從組織內傳送的訊息,或是從組織內傳送之訊息的回復訊息。 您無法解密源自組織外部的加密訊息。

使用 EAC 建立規則,以從未加密的電子郵件回復中移除加密Microsoft Purview 郵件加密

  1. 在網頁瀏覽器中,使用已獲授與系統管理員許可權的公司或學校帳戶,登入 Office 365

  2. 選擇管理員圖格。

  3. 在Microsoft 365 系統管理中心中,選擇[管理員中心>Exchange]

  4. 在 EAC 中,移至[郵件流程>規則],然後選取[新增] 圖示。>建立新的規則。 如需使用 EAC 的詳細資訊,請參閱Exchange Online 中的 Exchange 系統管理中心

  5. [名稱] 中,輸入規則的名稱,例如從內送郵件移除加密。

  6. 在 [套用此規則]中,如果選取應從郵件中移除加密的條件,例如收件者位於>組織內部

  7. [執行下列動作] 中,選取 [修改訊息安全性>][移除舊版 OME]

  8. 選取 [儲存]

使用 Exchange Online PowerShell 建立規則,從未使用新 OME 功能加密的電子郵件回復中移除加密

  1. 連線至 Exchange Online PowerShell。 如需詳細資訊,請參閱<連線至 Exchange Online PowerShell>。

  2. 使用 New-TransportRule Cmdlet 建立規則,並將 RemoveOME 參數設定為 $true

    此範例會從傳送給組織中收件者的所有郵件中移除加密。

    New-TransportRule -Name "Remove encryption from incoming mail" -SentToScope "InOrganization" -RemoveOME $true

    其中:

    • 新規則的唯一名稱是「從內送郵件移除加密」。
    • SentToScope參數會指定郵件收件者的位置。 在此範例中,會使用 值 InOrganization ,這表示下列其中一項:
      • 收件者是組織中信箱、郵件使用者、群組或擁有郵件功能的公用資料夾。
      • 收件者的電子郵件地址位於已接受的網域中,該網域已設定為組織中的授權網域或內部轉送網域,已透過已驗證的連線傳送或接收郵件。

如需詳細的語法和參數資訊,請參閱 New-TransportRule

傳送、檢視和回復未使用新功能加密的訊息

使用Office 365郵件加密時,會根據系統管理員定義的規則自動加密電子郵件訊息。 含有加密郵件的電子郵件會以附加的 HTML 檔案送達收件者的收件匣。

收件者會依照訊息中的指示開啟附件,並使用 Microsoft 帳戶或與Office 365相關聯的公司或學校進行驗證。 如果收件者沒有任一帳戶,系統會將他們導向建立 Microsoft 帳戶,讓他們登入以檢視加密的郵件。 或者,收件者可以選擇取得一次性密碼來檢視訊息。 登入或使用一次性密碼之後,收件者可以檢視解密的郵件,並傳送加密的回復。

使用Office 365訊息加密來自訂加密的訊息

身為Exchange Online和Exchange Online Protection系統管理員,您可以自訂加密的訊息。 例如,您可以新增公司的品牌和標誌、指定簡介,以及在加密的郵件和收件者檢視加密郵件的入口網站中新增免責聲明文字。 使用 Exchange Online PowerShell Cmdlet,您可以自訂加密電子郵件訊息收件者檢視體驗的下列層面:

  • 包含加密訊息的電子郵件簡介文字
  • 包含加密訊息的電子郵件免責聲明文字
  • 將會出現在訊息檢視入口網站的入口網站文字
  • 將會出現在電子郵件和檢視入口網站的標誌

您也可以隨時回復為預設的外觀與風格。

下列範例顯示 ContosoPharma 在電子郵件附件中的自訂標誌:

檢視加密訊息頁面的範例。

使用貴組織的品牌自訂加密電子郵件訊息和加密入口網站

  1. 連線至 Exchange Online PowerShell

  2. 使用 Set-OMEConfiguration Cmdlet,如下所述: Set-OMEConfiguration 或使用下表取得指引。

    加密自訂選項

    若要自訂此加密經驗功能 使用這些Exchange Online PowerShell 命令
    加密電子郵件隨附的預設文字

    預設文字會出現在檢視加密郵件的指示上方。

    		 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -EmailText "<string of up to 1024 characters>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -EmailText "Encrypted message from ContosoPharma secure messaging system"
    包含加密訊息之電子郵件中的免責聲明 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> DisclaimerText "<your disclaimer statement, string of up to 1024 characters>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -DisclaimerText "This message is confidential for the use of the addressee only"
    出現在加密郵件檢視入口網站上方的文字 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -PortalText "<text for your portal, string of up to 128 characters>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -PortalText "ContosoPharma secure email portal"
    標誌 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -Image <Byte[]>

                  範例:Set-OMEConfiguration -Identity "OME configuration" -Image ([System.IO.File]::ReadAllBytes('C:\Temp\contosologo.png'))

    支援的檔案格式:.png、.jpg、.bmp 或 .tiff

    標誌檔案的最佳大小:小於 40 KB

    標誌影像的最佳大小:170x70 像素

從加密電子郵件訊息和加密入口網站移除品牌自訂

  1. 連線至 Exchange Online PowerShell

  2. 使用 Set-OMEConfiguration Cmdlet,如下所述: Set-OMEConfiguration。 若要從 DisclaimerText、EmailText 和 PortalText 值中移除貴組織的品牌自訂,請將值設定為空字串 。 "" 針對所有影像值,例如 Logo,將值設定為 "$null"

    加密自訂選項

    將加密體驗的這項功能回復為預設文字和影像 使用這些Exchange Online PowerShell 命令
    加密電子郵件隨附的預設文字

    預設文字會出現在檢視加密郵件的指示上方。

    		 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -EmailText "<empty string>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -EmailText ""
    包含加密訊息之電子郵件中的免責聲明

    		 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> DisclaimerText "<empty string>"

                  範例:Set-OMEConfiguration -Identity "OME Configuration" -DisclaimerText ""
    出現在加密郵件檢視入口網站上方的文字 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -PortalText "<empty string>"

    還原回預設值的範例:Set-OMEConfiguration -Identity "OME Configuration" -PortalText ""
    標誌 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -Image <"$null">

    還原回預設值的範例:Set-OMEConfiguration -Identity "OME configuration" -Image $null

新 OME 功能發行前舊版Office 365郵件加密的服務資訊

下表提供發行Microsoft Purview 郵件加密之前Office 365訊息加密服務的技術詳細資料。

服務詳細資料 描述
用戶端裝置需求 只要 HTML 附件可以在支援表單貼文的新式瀏覽器中開啟,就可以在任何用戶端裝置上檢視加密的訊息。
加密演算法和聯邦資訊處理標準 (FIPS) 合規性 Office 365訊息加密使用與 Windows Azure 資訊版權管理 (IRM) 相同的加密金鑰,並支援適用于 RSA 的密碼編譯模式 2 (2K 金鑰,以及適用于 SHA-1 系統的 256 位金鑰) 。 如需基礎 IRM 密碼編譯模式的詳細資訊,請參閱 AD RMS 密碼編譯模式
支援的訊息類型 Office 365訊息加密僅支援具有 IPM 訊息類別識別碼的專案。注意。 如需詳細資訊,請 參閱專案類型和訊息類別
郵件大小限制 Office 365訊息加密可以加密最多 25 MB 的訊息。 如需訊息大小限制的詳細資訊,請參閱 Exchange Online 限制]
Exchange Online電子郵件保留原則 Exchange Online不會儲存加密的訊息。
Office 365郵件加密的語言支援 Office 365訊息加密支援 Microsoft 365 語言,如下所示:

傳入的電子郵件訊息和附加的 HTML 檔案會根據寄件者的語言設定進行當地語系化。

檢視入口網站會根據收件者的瀏覽器設定當地語系化。

加密訊息的內容) 本文 (不會當地語系化。
OME 入口網站和 OME 檢視器應用程式的隱私權資訊 Office 365通訊加密入口網站隱私權聲明會提供 Microsoft 如何執行和不使用私人資訊的詳細資訊。

關於舊版 OME 的常見問題

有關于Office 365訊息加密的問題嗎? 以下是一些解答。 如果您找不到所需的內容,請查看Microsoft Tech Community論壇以取得Office 365

問: 我的使用者將加密的電子郵件訊息傳送給組織外部的收件者。 外部收件者是否必須執行任何動作,才能讀取和回復使用Office 365郵件加密加密的電子郵件訊息?

組織外部接收 Microsoft 365 加密郵件的收件者可以透過下列兩種方式之一來檢視:

  • 使用 Microsoft 帳戶或與Office 365相關聯的公司或學校帳戶登入。

  • 使用一次性密碼。

問: Microsoft 365 加密的訊息是否儲存在雲端或 Microsoft 伺服器上?

否,加密的郵件會保留在收件者的電子郵件系統上,而當收件者開啟郵件時,系統會暫時張貼該郵件,以便在 Microsoft 伺服器上檢視。 郵件並不會儲存於該處。

問: 我可以使用我的品牌自訂加密的電子郵件訊息嗎?

是的。 您可以使用 Exchange Online PowerShell Cmdlet 來自訂顯示在加密電子郵件訊息頂端的預設文字、免責聲明文字,以及您想要用於電子郵件訊息和加密入口網站的標誌。 這項功能現在可在 OMEv2 中使用。 如需詳細資訊,請參閱Add branding to encrypted messages

問: 服務是否需要組織中每個使用者的授權?

組織中傳送加密電子郵件的每位使用者皆需有授權。

問: 外部收件者是否需要訂用帳戶?

否,外部收件者不需要訂閱即可讀取或回覆加密郵件。

問: Office 365訊息加密與 Rights Management Services (RMS) 有何不同?

RMS 藉由提供內建範本,為組織的內部電子郵件提供資訊版權保護功能,例如:[不要轉寄] 和 [公司機密]。 Office 365 郵件加密支援傳送至外部收件者和內部收件者之郵件的電子郵件加密。

問: Office 365訊息加密與 S/MIME 有何不同?

S/MIME 基本上是一種用戶端加密技術,需要複雜的憑證管理與發佈基礎結構。 Office 365郵件加密會使用郵件流程規則 (也稱為傳輸規則) ,且不相依于憑證發行。

問: 我可以透過行動裝置讀取加密的訊息嗎?

是,您可以從 Google Play 商店和 Apple App Store 下載 OME Viewer 應用程式,以在 Android 和 iOS 上檢視訊息。 在 OME 檢視器應用程式中開啟 HTML 附件,然後依照指示開啟加密的郵件。 對其他行動裝置而言,只要郵件用戶端支援表單張貼,您便能夠開啟 HTML 附件。

問: 回復和轉寄的訊息是否加密?

是的。 在整個執行緒期間都會對回應持續加密。

問: Office 365訊息加密是否提供當地語系化?

內送電子郵件和 HTML 內容均依據寄件者電子郵件設定進行當地語系化。 檢視入口網站會依據收件者的瀏覽器設定進行當地語系化。 不過,加密郵件的實際內文 (內容) 不會進行當地語系化。

問: 哪些加密方法用於Office 365訊息加密?

Office 365訊息加密會使用 Rights Management Services (RMS) 作為其加密基礎結構。 使用的加密方法取決於您在哪裡取得用來加密及解密郵件的 RMS 金鑰。

  • 如果您使用 Microsoft Azure RMS 取得金鑰,則會使用密碼編譯模式 2。 密碼編譯模式 2 是已更新並增強的 AD RMS 密碼編譯實作。 它支援使用 RSA 2048 進行簽章和加密,也支援使用 SHA-256 進行簽章。

  • 如果您使用 Active Directory (AD) RMS 來取得金鑰,則會使用密碼編譯模式 1 或密碼編譯模式 2。 使用的方法取決於內部部署 AD RMS 部署。 密碼編譯模式 1 是原始的 AD RMS 密碼編譯實作。 它支援使用 RSA 1024 進行簽章和加密,也支援使用 SHA-1 進行簽章。 這個模式會繼續受到 RMS 所有目前的版本支援。

如需詳細資訊,請參閱 AD RMS 密碼編譯模式

問: 為什麼某些加密的訊息會指出它們來自 Office365@messaging.microsoft.com?

從加密入口網站或透過 OME 檢視器應用程式傳送加密的回復時,傳送的電子郵件地址會設定為 Office365@messaging.microsoft.com ,因為加密的郵件是透過 Microsoft 端點傳送。 這有助於避免加密的郵件被標示為垃圾郵件。 因為有此標示,加密入口網站中顯示的電子郵件名稱和地址不會變更。 此外,此標示只會套用到透過入口網站傳送的郵件,而不會套用到透過任何其他電子郵件用戶端傳送的郵件。

問: 我是 Exchange 託管加密 (EHE) 訂閱者。 哪裡可以深入瞭解升級至Office 365訊息加密?

所有 EHE 客戶都已升級至 Office 365 郵件加密。 如需詳細資訊,請造訪 Exchange 託管加密升級中心

問: 我是否需要在組織的防火牆中開啟任何 URL、IP 位址或埠,以支援Office 365郵件加密?

是的。 您必須將Exchange Online的 URL 新增至貴組織的允許清單,以針對Office 365郵件加密所加密的訊息啟用驗證。 如需Exchange Online URL 的清單,請參閱Microsoft 365 URL 和 IP 位址範圍

問: 我可以傳送 Microsoft 365 加密郵件給多少收件者?

每個郵件的收件者限制為 500 個收件者,或在通訊群組清單展開之後合併時,訊息的 [ 件者] 欄位中 11,980 個字元,以先出現者為准。

問: 是否可以撤銷傳送給特定收件者的郵件?

不能。 您無法在訊息傳送後撤銷訊息給特定人員。

問: 我可以檢視已接收和讀取的加密訊息報告嗎?

例如,沒有顯示是否已檢視加密郵件的報表,但您可以利用 Microsoft 365 報告來判斷符合特定郵件流程規則的郵件數目, (也稱為傳輸規則) 。

問: Microsoft 如何使用我透過 OME 入口網站和 OME 檢視器應用程式提供的資訊?

Office 365通訊加密入口網站隱私權聲明會提供 Microsoft 如何執行和不使用私人資訊的詳細資訊。

問: 如果我在要求後未收到一次性密碼,該怎麼辦?

首先,檢查電子郵件用戶端中的垃圾郵件或垃圾郵件資料夾。 貴組織的 DKIM 和 DMARC 設定可能會導致這些電子郵件最終被篩選為垃圾郵件。

接下來,檢查Microsoft Purview 合規性入口網站中的隔離。 通常,包含一次性密碼的訊息,尤其是貴組織收到的第一個密碼,最後會被隔離。