管理郵件加密
完成 Purview 訊息加密的設定後,您可以透過數種方式自定義部署的組態。 例如,您可以設定是否要啟用一次性密碼、在 Outlook 網頁版 中顯示 [加密] 按鈕等等。 本文中的工作說明如何。
提示
如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據。
管理 Google、Yahoo 和 Microsoft 帳戶收件者是否可以使用這些帳戶登入加密的郵件入口網站
當您設定郵件加密時,組織中的使用者可以將郵件傳送給組織外部的收件者。 如果收件者使用Google帳戶、Yahoo帳戶或 Microsoft 帳戶等 社交標識 碼,收件者可以使用社交標識元登入加密的郵件入口網站。 如有需要,您可以選擇不允許收件者使用社交標識元登入加密的郵件入口網站。
管理收件者是否可以使用社交標識碼登入加密的郵件入口網站
使用 SocialIdSignIn 參數執行 Set-OMEConfiguration Cmdlet,如下所示:
Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>
例如,若要停用社交標識碼:
Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false
若要啟用社交識別碼:
Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true
管理加密訊息入口網站的一次性密碼使用
如果以郵件加密加密的郵件收件者不使用 Outlook,不論收件者使用的帳戶為何,收件者都會收到限時網頁檢視連結,讓他們讀取郵件。 此連結包含一次性密碼。 身為系統管理員,您可以決定收件者是否可以使用一次性密碼來登入加密的郵件入口網站。
管理 OME 是否產生一次性密碼
使用在組織中具有全域系統管理員許可權的工作或學校帳戶,並聯機到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
使用 OTPEnabled 參數執行 Set-OMEConfiguration Cmdlet:
Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>
例如,若要停用一次性密碼:
Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false
若要啟用一次性密碼:
Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true
在 Outlook 網頁版 中管理 [加密] 按鈕的顯示 Outlook 網頁版
身為系統管理員,您可以管理是否要向用戶顯示此按鈕。
管理 [加密] 按鈕是否出現在 Outlook 網頁版
使用在組織中具有全域系統管理員許可權的工作或學校帳戶,並聯機到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
使用 -SimplifiedClientAccessEnabled 參数執行 Set-IRMConfiguration Cmdlet:
Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>
例如,若要停用 [ 加密] 按鈕:
Set-IRMConfiguration -SimplifiedClientAccessEnabled $false
若要開啟 [ 加密] 按鈕:
Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
為 iOS 郵件應用程式使用者啟用電子郵件訊息的服務端解密
iOS 郵件應用程式無法解密以郵件加密保護的郵件。 身為 Microsoft 365 系統管理員,您可以對傳遞至 iOS 郵件應用程式的郵件套用服務端解密。 當您選擇使用服務端解密時,服務會將訊息的解密復本傳送至iOS裝置。 用戶端裝置會儲存訊息的解密復本。 即使 iOS 郵件應用程式不會將用戶端許可權套用至使用者,訊息也會保留許可權的相關信息。 用戶可以複製或列印訊息,即使他們原本沒有執行此動作的許可權。 不過,如果用戶嘗試完成需要 Microsoft 365 郵件伺服器的動作,例如轉寄郵件,如果使用者原本沒有執行此動作的許可權,則伺服器將不會允許此動作。 不過,終端使用者可以透過從 iOS 郵件應用程式內的不同帳戶轉寄訊息,來解決「不可轉寄」使用限制。 不論您是否設定郵件的服務端解密,都無法在 iOS 郵件應用程式中檢視加密和許可權保護郵件的附件。
如果您選擇不允許將解密的郵件傳送給iOS郵件應用程式使用者,使用者會收到一則訊息,指出他們無權檢視郵件。 根據預設,不會啟用電子郵件訊息的服務端解密。
如需詳細資訊,以及如需客戶端體驗的檢視,請參 閱在iPhone或iPad上檢視加密的訊息。
管理 iOS 郵件應用程式使用者是否可以檢視受郵件加密保護的郵件
使用在組織中具有全域系統管理員許可權的工作或學校帳戶,並聯機到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
使用 AllowRMSSupportForUnenlightenedApps 参数執行 Set-ActiveSyncOrganizations Cmdlet:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>
例如,若要將服務設定為在將訊息傳送至 iOS 郵件應用程式之類的非覺察型應用程式之前,先將訊息解密:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true
或者,若要設定服務不要將解密的訊息傳送至未啟用的應用程式:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false
注意事項
個別信箱原則 (OWA/ActiveSync) 覆寫這些設定 (也就是,如果在個別的 OWA 信箱原則或 ActiveSync 信箱原則內 ,將 -IRMEnabled 設定為 False,則這些設定將不會套用) 。
為網頁瀏覽器郵件用戶端啟用電子郵件附件的服務端解密
一般而言,當您使用 Office 365 訊息加密時,附件會自動加密。 身為系統管理員,您可以對使用者從網頁瀏覽器下載的電子郵件附件套用服務端解密。
當您使用服務端解密時,服務會將檔案解密的複本傳送至裝置。 訊息仍會加密。 電子郵件附件也會保留許可權的相關信息,即使瀏覽器未將客戶端許可權套用至使用者也一樣。 用戶可以複製或列印電子郵件附件,即使他們原本沒有執行此動作的許可權。 不過,如果用戶嘗試完成需要 Microsoft 365 郵件伺服器的動作,例如轉寄附件,如果使用者原本沒有執行此動作的許可權,伺服器將不會允許此動作。
不論您是否設定附件的服務端解密,使用者都無法檢視 iOS 郵件應用程式中加密和許可權保護郵件的任何附件。
如果您選擇不允許解密的電子郵件附件,這是預設值,使用者會收到一則訊息,指出他們無權檢視附件。
如需 Microsoft 365 如何使用 [Encrypt-Only] 選項來實作電子郵件和電子郵件附件加密的詳細資訊,請參閱 電子郵件的僅加密選項。
管理從網頁瀏覽器下載時是否將電子郵件附件解密
使用在組織中具有全域系統管理員許可權的工作或學校帳戶,並聯機到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
使用 DecryptAttachmentForEncryptOnly 參数執行 Set-IRMConfiguration Cmdlet:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>
例如,若要將服務設定為在使用者從網頁瀏覽器下載電子郵件附件時解密電子郵件附件:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
若要將服務設定為在下載時保留加密的電子郵件附件:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false
確定所有外部收件者都使用加密的郵件入口網站來讀取加密的郵件
您可以使用自定義商標範本來強制收件者接收包裝函式郵件,引導收件者讀取加密郵件入口網站中的加密電子郵件,而不是使用 Outlook 或 Outlook 網頁版。 如果您想要進一步控制收件者如何使用收件者所收到的郵件,您可能會想要強制執行此體驗。 例如,如果外部收件者檢視入口網站中的電子郵件,您可以設定電子郵件的到期日,而且您可以撤銷電子郵件。 只有透過加密的訊息入口網站才支援這些功能。 您可以在建立郵件流程規則時,使用 [加密] 選項和 [不可轉寄] 選項。
使用自訂範本強制所有外部收件者使用加密的郵件入口網站和加密的電子郵件
使用在組織中具有全域系統管理員許可權的工作或學校帳戶,並聯機到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
執行 New-TransportRule Cmdlet:
New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"
其中:
mail flow rule name
是您想要用於新郵件流程規則的名稱。option name
為或Encrypt
Do Not Forward
。template name
是您為自訂商標範本提供的名稱,例如OME Configuration
。
若要使用 「OME 設定」範本加密所有外部電子郵件,並套用 Encrypt-Only 選項:
New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
若要使用 「OME 設定」範本加密所有外部電子郵件,並套用 [不可轉寄] 選項:
New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
自訂電子郵件訊息和加密郵件入口網站的外觀
如需如何為組織自定義 Microsoft Purview 郵件加密的詳細資訊,請參閱將組織的品牌新增至加密的訊息。 若要追蹤和撤銷加密的訊息,您必須將自定義商標新增至加密的訊息入口網站。
停用 Microsoft Purview 郵件加密
我們希望這不會發生,但如有需要,停用 Microsoft Purview 郵件加密 很簡單。 首先,移除您已建立且使用 Microsoft Purview 郵件加密 的任何郵件流程規則。 如需移除郵件流程規則的資訊,請 參閱管理郵件流程規則。 然後,在 Exchange Online PowerShell 中完成這些步驟。
停用 Microsoft Purview 郵件加密
使用組織中具有全域系統管理員許可權的公司或學校帳戶,聯機到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
如果您在 Outlook 網頁版 中啟用 [加密] 按鈕,請使用 SimplifiedClientAccessEnabled 參數執行 Set-IRMConfiguration Cmdlet 來停用它。 否則,請略過此步驟。
Set-IRMConfiguration -SimplifiedClientAccessEnabled $false
執行 AzureRMSLicensingEnabled 參數設為 false 的 Set-IRMConfiguration Cmdlet 來停用 Microsoft Purview 郵件加密:
Set-IRMConfiguration -AzureRMSLicensingEnabled $false