配置 Azure 信息保护标签的 Exchange Online 邮件流规则

适用范围:**Azure 信息保护Office 365

*相关 内容:适用于 Windows 的 Azure 信息保护经典客户端。 有关统一的标记客户端,请参阅 Microsoft 365 文档中的 " 了解敏感度标签DLP 标签 "。 *

备注

为了提供统一、简化的客户体验,Azure 门户中的 Azure 信息保护经典客户端和标签管理已于 2021 年 3 月 31 日弃用 。 虽然经典客户端可以继续按配置运行,但不提供进一步的支持,也不再发布经典客户端的维护版本。

本文中的内容仅为具有外延支持的客户提供支持。 建议迁移到统一标记并升级到统一标记客户端。 有关详细信息,请查看我们最近的弃用博客

下面介绍了如何将 Exchange Online 邮件流规则配置为使用 Azure 信息保护标签,并为特定方案应用其他保护。 例如:

  • 默认标签为不应用保护的“常规”。 对于有此标签且在外部发送的电子邮件,额外应用“不转发”保护操作。

  • 如果通过电子邮件将包含 机密 \ 合作伙伴 标签的附件通过电子邮件发送给组织外部的人员,而不保护电子邮件,请应用 "仅加密" 保护操作。

如果电子邮件受保护,将保护配置应用为操作的邮件流规则会遭忽略。 例如,通过 "不转发" 保护的电子邮件无法被 Exchange 邮件流规则更改为使用 "仅加密" 选项。

可以扩展和修改这些示例。 例如,添加更多条件。 有关配置邮件流规则的详细信息,请参阅 exchange online 文档 中的邮件流规则 (传输规则) 在 Exchange online 中

有关配置邮件流规则以加密电子邮件的详细信息,请参阅 Office 文档 中的定义用于加密电子邮件的邮件流规则 Microsoft 365

必备组件:知道标签 GUID

因为 Azure 信息保护标签存储在元数据中,所以 Exchange Online 邮件流规则可以为邮件和 Office 文档附件读取此类信息。 邮件流规则不支持为 PDF 文档检查元数据。

将邮件流规则配置为确定已标记的邮件和文档前,请确保自己知道要使用的 Azure 信息保护标签的 GUID。

若要详细了解标签存储的元数据,以及如何确定标签 GUID,请参阅电子邮件和文档中存储的标签信息

示例配置

对于下面的示例,请按照以下步骤操作,新建邮件流规则:

  1. 在 web 浏览器中,使用已被授予全局管理员权限的工作或学校帐户登录到 Microsoft 365。

  2. 选择 " 管理员 " 磁贴。

  3. 在 Microsoft 365 管理中心,选择 "管理中心 > Exchange"。

  4. 在 Exchange 管理中心中:邮件流 > 规则 > + > 创建新规则

提示

如果在配置规则时无法使用用户界面,请尝试使用其他浏览器(如 Internet Explorer)。

当电子邮件在组织外部发送时,下面的示例有一个保护应用条件。 有关您可以选择的其他条件的详细信息,请参阅 Exchange Online 中的邮件流规则条件和异常 (谓词)

示例 1:向在组织外部发送时包含“常规”标签的电子邮件应用“不转发”选项的规则

在此示例中,“常规”标签的 GUID 为 0e421e6d-ea17-4fdb-8f01-93a3e71333b8。 替换为要对此规则使用的自己的标签或子标签 GUID。

在 Azure 信息保护策略中,此标签已配置为默认标签来将电子邮件分类为“常规”,此标签未应用保护。

  1. 在“名称”中,键入规则名称(如 Apply Do Not Forward for General emails sent externally)。

  2. 对于“此规则的应用条件”:依次选择“收件人位于”、“组织外部”和“确定”。

  3. 依次选择“更多选项”和“添加条件”。

  4. 对于“和”,依次选择“邮件头”和“包含任意这些字词”:

    a. 选择“输入文本”,再输入“msip_labels”。

    b. 选择“输入字词”,再输入“MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled=True

    c. 选择 + "",然后选择 "确定"

  5. 对于“执行以下操作”:依次选择“修改消息安全性” > “应用 Office 365 消息加密和权限保护” > “不转发”和“确定”。

    规则配置现在应如下所示:  为 Azure 信息保护标签配置的 Exchange Online 邮件流规则-示例1

  6. 选择“保存”

若要详细了解“不转发”选项,请参阅适用于电子邮件的“不转发”选项

示例2:当电子邮件具有标记为 " 机密 \ 伙伴 " 的附件,并且在组织外部发送这些电子邮件时,将 "仅加密" 选项应用于电子邮件的规则

在此示例中,机密\合作伙伴子标签的 GUID 为 0e421e6d-ea17-4fdb-8f01-93a3e71333b8。 替换为要对此规则使用的自己的标签或子标签 GUID。

此标签用于分类和保护合作伙伴协作文档。

  1. 在“名称”中,键入规则名称(如 Apply Encrypt to emails sent externally if protected attachments)。

  2. 对于“此规则的应用条件”:依次选择“收件人位于”、“组织外部”和“确定”。

  3. 依次选择“更多选项”和“添加条件”。

  4. 对于“和”:依次选择“任何附件”和“包含这些属性,包括任意这些字词”:

    a. 选择 " + > 指定自定义附件属性"。

    b. 对于“属性”,输入“MSIP_Label_0e421e6d-ea17-4fdb-8f01-93a3e71333b8_Enabled”。

    c. 对于“值”,输入“True

    d. 依次选择“保存”和“确定”。

  5. 对于“执行以下操作”:依次选择“修改消息安全性” > “应用 Office 365 消息加密和权限保护” > “加密”和“确定”。

    规则配置现在应如下所示:  为 Azure 信息保护标签配置的 Exchange Online 邮件流规则-示例2

  6. 选择“保存”

有关加密选项的详细信息,请参阅 电子邮件的仅加密选项

后续步骤

若要了解如何创建和配置用于 Exchange Online 邮件流规则的标签,请参阅配置 Azure 信息保护策略

此外,若要分类包含附件的电子邮件,请考虑使用以下 Azure 信息保护策略设置:对于有附件的电子邮件,应用与这些附件的最高分类匹配的标签。