邮件加密常见问题解答

Microsoft Purview 邮件加密结合了电子邮件加密和权限管理功能。 权限管理功能由 Azure 信息保护提供支持。

可以在以下条件下使用Microsoft Purview 邮件加密：

• 如果从未为Exchange Online设置Office 365消息加密 (OME) 或信息权限管理 (IRM) 。

• 如果已设置 OME 和 IRM，如果还使用 Azure 信息保护中的 Azure Rights Management 服务，则可以使用这些步骤。

• 如果将 Exchange Online 与 Active Directory Rights Management 服务 (AD RMS) 配合使用，则无法立即启用这些新功能。 相反，需要首先将 AD RMS 迁移到 Azure 信息保护。 完成迁移后，可以成功设置Microsoft Purview 邮件加密。

  如果选择继续使用本地 AD RMS 和Exchange Online而不是迁移到 Azure 信息保护，则无法使用 Microsoft Purview 邮件加密。

若要使用Microsoft Purview 邮件加密，需要以下计划之一：

• Microsoft Purview 邮件加密作为Office 365 企业版 E3 和 E5 的一部分提供，Microsoft 365 企业版 E3 和 E5、Microsoft 365 商业高级版、Office 365 A1、A3 和 A5 以及Office 365 政府版 G3 和 G5。 无需其他许可证即可接收由 Azure 信息保护提供支持的新保护功能。

• 还可以将 Azure 信息保护 计划 1 添加到以下计划以接收Microsoft Purview 邮件加密：Exchange Online计划 1、Exchange Online计划 2、Office 365 F3、Microsoft 365 商业基础版、Microsoft 365 商业标准版或Office 365 企业版 E1。

• 每个受益于Microsoft Purview 邮件加密的用户都需要许可证才能使用消息加密。

• 有关完整列表，请参阅Microsoft Purview 邮件加密的Exchange Online服务说明。

可以！ Microsoft 建议在设置Microsoft Purview 邮件加密之前完成设置 BYOK 的步骤。

有关 BYOK 的详细信息，请参阅规划和实现 Azure 信息保护租户密钥。

否。 Microsoft Purview 邮件加密以及从 Azure 信息保护提供和控制自己的加密密钥（称为 BYOK）的选项并不是为了响应执法传票。 OME 与 BYOK for Azure 信息保护 配合使用，专为注重合规性的组织设计。 Microsoft 认真对待第三方客户数据请求。 作为云服务提供商，我们始终倡导数据的隐私。 如果我们收到传票，我们始终尝试将第三方直接重定向给你以获取信息。 (阅读 Brad Smith 的博客： 保护客户数据免受政府窥探) 。 我们会定期发布收到的请求的详细信息。 有关第三方数据请求的详细信息，请参阅响应 Microsoft 信任中心上 访问客户数据的政府和执法部门请求 。 另请参阅在线服务条款中的“客户数据披露” (OST) 。

Microsoft Purview 邮件加密是现有 IRM 和旧版 OME 解决方案的演变。 下表提供了更多详细信息。

旧版 OME、IRM 和Microsoft Purview 邮件加密的比较

请参阅设置Microsoft Purview 邮件加密。

仍可以使用名为 Office 365 消息加密的以前版本消息加密 (OME) 。 OME 已于 2023 年 7 月 1 日弃用。 Office 邮件加密将自动替换并更新为Microsoft Purview 邮件加密。

否。 如果将 Exchange Online 与 Active Directory Rights Management 服务 (AD RMS) 配合使用，则无法立即启用这些新功能。 相反，需要首先将 AD RMS 迁移到 Azure 信息保护。

本地用户可以使用Exchange Online邮件流规则发送加密邮件。 你需要通过 Exchange Online 路由电子邮件。 有关详细信息，请参阅 第 2 部分：将邮件配置为从电子邮件服务器流向 Microsoft 365。

可以从 Outlook 2016、Outlook 2013 for Windows 和 Mac 以及Outlook 网页版创建受保护的邮件。 有关发送加密邮件的详细信息，请参阅 在 Outlook for PC 中发送、查看和答复加密邮件。

Microsoft 365 用户可以从 Outlook for Windows 和 Mac (2013 和 2016) 、Outlook 网页版 和 Outlook mobile (Android 和 iOS) 进行读取和响应。 如果组织允许，还可以使用 iOS 本机邮件客户端。 如果你不是 Microsoft 365 用户，可以通过 Web 浏览器读取和回复 Web 上的加密邮件。

Microsoft 365 用户可以使用 Outlook for PC 版本 2019 和 Microsoft 365 创建受仅加密策略保护的邮件。 应用了仅加密策略的邮件可以直接在 Outlook 网页版、Outlook for iOS 和 Android 以及 Outlook for PC 版本 2019 和 Microsoft 365 中读取。

是。 可以使用 Microsoft Purview 邮件加密（包括附件）发送的最大邮件大小为 25 MB。 有关详细信息，请参阅 消息限制。

加密的邮件门户仅支持邮件。 门户不支持其他邮件类型，例如日历或语音邮件。

可以将任何文件类型附加到受保护的邮件。 保护策略仅应用于 Azure 信息保护 客户端支持的文件类型中提到的一部分文件格式。 Microsoft Purview 邮件加密仅支持以下 Office 文件扩展名：

• docx
• docm
• dotx
• dotm
• pptx
• pptm
• potx
• potm
• ppsx
• ppsm
• thmx
• xlsx
• xlsm
• xlsb
• xltx
• xltm
• xlam
• Xps

Microsoft Purview 邮件加密不支持以下 Office 程序的 97-2003 版本：Word (.doc) 、Excel (.xls) 和 PowerPoint (.ppt) 。

保护仅从邮件继承到未加密的附件。 如果支持文件格式（如 Word、Excel 或 PowerPoint 文件），则即使收件人下载附件，该文件也始终受到保护。 例如，假设附件受“请勿转发”保护。 原始收件人下载文件，创建一封发送给新收件人的邮件，并附加该文件。 当新收件人收到该文件时，他们将无法打开它。

简短的回答是肯定的！ 如果在 Exchange Online 中启用 PDF 加密，则可以保护附加到电子邮件的敏感 PDF 文档。 发送电子邮件时，Office 365服务会加密Outlook 网页版、Outlook for Mac、Outlook for iOS 和 Outlook for Android 的 PDF 文件附件。 无需执行任何其他步骤即可加密发送的 PDF。

Outlook 64 位本机支持 PDF 文件附件加密，而 Outlook 32 位不支持。 如果使用 Outlook 32 位，则需要首先设置 Exchange 邮件流规则或 DLP 策略，以便对 PDF 附件应用加密。 当您从 Outlook Desktop 发送带有 PDF 附件 的未加密 邮件时，客户端会首先向服务发送带有附件的邮件。 当服务收到未加密的邮件时，该服务通过数据丢失防护 (DLP) 策略或邮件流规则在 Exchange Online 应用Microsoft Purview 邮件加密保护。 接下来，Exchange Online加密邮件和 PDF 文件附件。

若要为 PDF 附件启用加密，请在 Exchange Online PowerShell 中运行以下命令：

Set-IRMConfiguration -EnablePdfEncryption $true

PDF 加密允许通过安全通信或安全协作来保护敏感的 PDF 文档。 对于所有 Outlook 客户端，邮件和未受保护的 PDF 附件继承Exchange Online中数据丢失防护 (DLP) 策略或邮件流规则的Microsoft Purview 邮件加密保护。 此外，如果Outlook 网页版用户附加了未受保护的 PDF 文档，并且对邮件应用了保护，则邮件将继承对邮件的保护。 用户只能在支持受保护 PDF 的应用程序中打开加密附件， (例如加密的消息门户和 Azure 信息保护 查看器) 。

Not yet. 不支持 SharePoint Online 或 OneDrive for Business 附件。 可以加密邮件，但不能加密云附件。

使用受保护的邮件保护附件时，可以使用 Outlook 客户端直接预览文档。 Outlook 支持 office 文档预览 (docx、xlsx、pptx、doc、xls、ppt) 。 Outlook 网页版支持预览 office 文档 (docx、xlsx、pptx) 和 PDF。

Outlook 网页版支持吊销受保护的邮件。 有关详细信息 ，请参阅如何撤销已发送的加密消息 。

加密邮件门户支持预览添加到加密邮件的任何加密附件副本。 支持文件类型包括Word、Excel、PowerPoint 和 PDF 文件。

是。 使用 Exchange Online 中的邮件流规则根据特定条件自动加密邮件。 例如，可以创建基于收件人 ID、收件人域或邮件正文或主题内容的策略。 请参阅定义邮件流规则以在 Office 365 中加密电子邮件。

管理员可以设置邮件流规则，以删除传出邮件的加密。 只能设置规则来删除源自Exchange Online组织的传入邮件的加密。

对于Exchange Online邮箱，管理员必须启用日记解密并设置Exchange Online日记规则，以将邮件的解密副本生成到日记邮箱中。 日记规则接受具有加密的任何邮件或附件，并将原始邮件和解密副本发送到日记邮箱。 只能设置一个日记规则，当加密项目源自组织时，才能解密邮件或附件。
启用Exchange Online日记功能：

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

可以！ 可以在 Exchange Online 或使用Microsoft Purview 合规门户中的 DLP 来设置邮件流规则。

是的，对于从组织中的Exchange Online邮箱发送的邮件！ 有关自定义电子邮件和加密邮件门户的信息，请参阅 向加密邮件添加组织的品牌。

加密的邮件门户活动日志仅通过访问加密的邮件门户来捕获外部收件人的事件。 不会记录外部收件人触发的电子邮件客户端中的任何活动。 对于内部收件人，请参阅 Purview 审核 (Premium) - 邮件项目访问日志中的 MailItemsAccessed 邮箱审核操作。

合规中心中有一个加密报告。 请参阅在Microsoft Purview 合规门户中查看电子邮件安全报告。

是的，Microsoft Purview 邮件加密保护的大多数消息都是可发现的。 Microsoft Purview 邮件加密 电子数据展示服务无法发现你从另一个 Microsoft 365 组织收到的受保护邮件，该组织通过邮件流规则应用了自定义品牌。 换句话说，如果邮件无法通过用户的邮箱访问，而是只能通过指向加密邮件门户的链接显示，则邮件不可搜索。 有关详细信息 ，请参阅支持加密项的电子数据展示活动 。

当有人发送与加密邮件流规则匹配的电子邮件时，邮件在发送前会加密。

可以！ 可以为共享邮箱打开加密邮件。 当邮件从同一组织发送时，可以在登录到支持的 Outlook 客户端时打开邮件。 如果邮件是从外部组织发送的，则需要使用 Outlook 网页版。

• 用户可以在共享邮箱中打开受保护的邮件，共享邮箱作为通讯组的一部分收到受保护的邮件。

• 用户在使用 Outlook for Windows、Outlook for Mac、Outlook for Android、Outlook for iOS 和 Outlook 网页版 时，可以查看从电子邮件继承保护的附件。

下表列出了共享邮箱支持的客户端。

目前有两个已知限制：

• 无法使用 Outlook 移动版打开在移动设备上收到的电子邮件的附件。

• 在 Outlook 32 位中，对于通过启用电子邮件的安全组分配到共享邮箱的用户，用户会看到使用 Web 浏览器查看加密邮件的通知邮件。 若要直接在 Outlook 32 位中查看加密邮件，Outlook 和信息保护客户端要求将用户直接分配到具有完全访问权限和自动映射功能的共享邮箱。 对于 Outlook 64 位，用户无需直接分配到邮箱。 默认情况下，为Exchange Online启用自动映射。

将用户分配到共享邮箱

1. 连接到 Exchange Online PowerShell.aspx) 。

2. 使用 Automapping 参数运行 Add-MailboxPermission cmdlet。 此示例授予 Ayla 对支持邮箱的完全访问权限。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

当向代理人授予对用户邮箱的完全访问权限时，Outlook 网页版、Outlook for Mac、Outlook for iOS 和 Outlook for Android 支持对加密邮件的委派访问。 Outlook for Windows 不支持委派访问。

只要发件人的组织处于活动状态，并且邮件尚未配置为过期，就可以登录到加密的邮件门户来检索邮件。

首先，检查电子邮件客户端中的垃圾邮件文件夹。 组织的 DKIM 和 DMARC 设置可能会导致这些电子邮件最终被筛选为垃圾邮件。

接下来，在合规中心检查隔离。 通常，包含一次性传递代码的邮件（尤其是组织收到的第一个密码）最终被隔离。