管理邮件加密
完成 Purview 消息加密设置后,可以通过多种方式自定义部署配置。 例如,可以配置是否启用一次性传递代码、在Outlook 网页版中显示“加密”按钮等。 本文中的任务介绍了操作方法。
提示
如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。
管理 Google、Yahoo 和 Microsoft 帐户收件人是否可以使用这些帐户登录到加密的邮件门户
设置邮件加密后,组织中的用户可以向组织外部的收件人发送邮件。 如果收件人使用 社交 ID (如 Google 帐户、Yahoo 帐户或 Microsoft 帐户),则收件人可以使用社交 ID 登录到加密的邮件门户。 如果需要,可以选择不允许收件人使用社交 ID 登录到加密的邮件门户。
管理收件人是否可以使用社交 ID 登录到加密的邮件门户
使用 SocialIdSignIn 参数运行 Set-OMEConfiguration cmdlet,如下所示:
Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>例如,若要禁用社交 ID,
Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false若要启用社交 ID,请:
Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true
管理加密消息门户的一次性传递代码的使用
如果邮件加密的收件人不使用 Outlook,而不管收件人使用的帐户如何,收件人都会收到一个允许他们阅读邮件的限时 Web 视图链接。 此链接包括一次性传递代码。 作为管理员,你可以决定收件人是否可以使用一次性密码登录到加密的邮件门户。
管理 OME 是否生成一次性传递代码
使用在组织中具有全局管理员权限的工作或学校帐户,并连接到 Exchange Online PowerShell。 有关说明,请参阅连接 PowerShell Exchange Online。
使用 OTPEnabled 参数运行 Set-OMEConfiguration cmdlet:
Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>例如,若要禁用一次性传递代码,请执行下列操作:
Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false若要启用一次性传递代码,请执行下列操作:
Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true
管理Outlook 网页版中“加密”按钮的显示
管理员可以管理是否向最终用户显示此按钮。
管理“加密”按钮是否显示在 Outlook 网页版
使用在组织中具有全局管理员权限的工作或学校帐户,并连接到 Exchange Online PowerShell。 有关说明,请参阅连接 PowerShell Exchange Online。
使用 -SimplifiedClientAccessEnabled 参数运行 Set-IRMConfiguration cmdlet:
Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>例如,若要禁用 “加密 ”按钮,
Set-IRMConfiguration -SimplifiedClientAccessEnabled $false启用“ 加密 ”按钮:
Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
为 iOS 邮件应用用户启用电子邮件服务端解密
iOS 邮件应用无法解密受邮件加密保护的邮件。 作为 Microsoft 365 管理员,你可以对传递到 iOS 邮件应用的邮件应用服务端解密。 选择使用服务端解密时,服务会将消息的解密副本发送到 iOS 设备。 客户端设备存储消息的解密副本。 即使 iOS 邮件应用不向用户应用客户端使用权限,该邮件也会保留有关使用权限的信息。 用户可以复制或打印邮件,即使他们最初没有这样做的权限。 但是,如果用户尝试完成需要 Microsoft 365 邮件服务器的操作(例如转发邮件),则如果用户最初没有执行此操作的使用权,则服务器将不允许该操作。 但是,最终用户可以通过从 iOS 邮件应用内其他帐户转发邮件来解决“请勿转发”使用限制。 无论你是否设置了邮件的服务端解密,都无法在 iOS 邮件应用中查看加密邮件和受权限保护邮件的附件。
如果选择不允许将解密的邮件发送给 iOS 邮件应用用户,则用户会收到一条消息,指出他们无权查看邮件。 默认情况下,未启用电子邮件的服务端解密。
有关详细信息和客户端体验视图,请参阅 在 iPhone 或 iPad 上查看加密消息。
管理 iOS 邮件应用用户是否可以查看邮件加密保护的邮件
使用在组织中具有全局管理员权限的工作或学校帐户,并连接到 Exchange Online PowerShell。 有关说明,请参阅连接 PowerShell Exchange Online。
使用 AllowRMSSupportForUnenlightenedApps 参数运行 Set-ActiveSyncOrganizations cmdlet:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>例如,若要将服务配置为在邮件发送到 iOS 邮件应用等未启发的应用之前对其进行解密:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true或者,若要将服务配置为不将解密消息发送到未启发的应用,请执行以下操作:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false
注意
单个邮箱策略 (OWA/ActiveSync) 覆盖这些设置 (即,如果在相应的 OWA 邮箱策略或 ActiveSync 邮箱策略中将 -IRMEnabled 设置为 False,则这些配置将不适用) 。
为 Web 浏览器邮件客户端启用电子邮件附件的服务端解密
通常,使用Office 365邮件加密时,会自动加密附件。 作为管理员,你可以对用户从 Web 浏览器下载的电子邮件附件应用服务端解密。
使用服务端解密时,服务会将文件的解密副本发送到设备。 消息仍处于加密状态。 即使浏览器不对用户应用客户端使用权限,电子邮件附件也会保留有关使用权限的信息。 用户可以复制或打印电子邮件附件,即使他们最初没有这样做的权限。 但是,如果用户尝试完成需要 Microsoft 365 邮件服务器的操作(例如转发附件),则如果用户最初没有执行此操作的使用权,则服务器将不允许该操作。
无论你是否设置了附件的服务端解密,用户都无法在 iOS 邮件应用中查看任何已加密且受权限保护的邮件的附件。
如果选择不允许解密的电子邮件附件(默认),用户将收到一条消息,指出他们无权查看附件。
有关 Microsoft 365 如何使用“Encrypt-Only”选项实现电子邮件和电子邮件附件加密的详细信息,请参阅 电子邮件的“仅加密”选项。
管理从 Web 浏览器下载时是否解密电子邮件附件
使用在组织中具有全局管理员权限的工作或学校帐户,并连接到 Exchange Online PowerShell。 有关说明,请参阅连接 PowerShell Exchange Online。
使用 DecryptAttachmentForEncryptOnly 参数运行 Set-IRMConfiguration cmdlet:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>例如,若要将服务配置为在用户从 Web 浏览器下载电子邮件附件时解密附件,请执行以下操作:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true若要将服务配置为在下载时保留加密的电子邮件附件,请执行以下操作:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false
确保所有外部收件人使用加密邮件门户读取加密邮件
可以使用自定义品牌模板来强制收件人接收包装邮件,该邮件指示他们在加密邮件门户中阅读加密电子邮件,而不是使用 Outlook 或 Outlook 网页版。 如果你希望更好地控制收件人如何使用他们收到的邮件,则可能需要强制使用此体验。 例如,如果外部收件人在 Web 门户中查看电子邮件,则可以设置电子邮件的到期日期,并且可以撤销电子邮件。 仅通过加密的消息门户支持这些功能。 创建邮件流规则时,可以使用“加密”选项和“不转发”选项。
使用自定义模板强制所有外部收件人使用加密邮件门户和加密电子邮件
使用在组织中具有全局管理员权限的工作或学校帐户,并连接到 Exchange Online PowerShell。 有关说明,请参阅连接 PowerShell Exchange Online。
运行 New-TransportRule cmdlet:
New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"其中:
mail flow rule name是要用于新邮件流规则的名称。option nameEncrypt为 或Do Not Forward。template name是你为自定义品牌打造模板提供的名称,例如OME Configuration。
使用“OME 配置”模板加密所有外部电子邮件并应用 Encrypt-Only 选项:
New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"使用“OME 配置”模板加密所有外部电子邮件并应用“不转发”选项:
New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
自定义电子邮件和加密邮件门户的外观
有关如何为组织自定义Microsoft Purview 邮件加密的详细信息,请参阅将组织的品牌添加到加密邮件。 若要跟踪和撤销加密邮件,必须将自定义品牌添加到加密的消息门户。
禁用Microsoft Purview 邮件加密
我们希望它不会出现,但如果需要,禁用Microsoft Purview 邮件加密非常简单。 首先,删除已创建的任何使用Microsoft Purview 邮件加密的邮件流规则。 有关删除邮件流规则的信息,请参阅 管理邮件流规则。 然后,在 Exchange Online PowerShell 中完成这些步骤。
禁用Microsoft Purview 邮件加密
使用在组织中具有全局管理员权限的工作或学校帐户,连接到 Exchange Online PowerShell。 有关说明,请参阅连接 PowerShell Exchange Online。
如果在 Outlook 网页版 中启用了“加密”按钮,请使用 SimplifiedClientAccessEnabled 参数运行 Set-IRMConfiguration cmdlet 来禁用它。 否则,请跳过此步骤。
Set-IRMConfiguration -SimplifiedClientAccessEnabled $false通过运行 azureRMSLicensingEnabled 参数设置为 false 的 Set-IRMConfiguration cmdlet 来禁用Microsoft Purview 邮件加密:
Set-IRMConfiguration -AzureRMSLicensingEnabled $false
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈