Office 365 郵件加密自 2023 年 7 月 1 日起已被取代。 如果您尚未將組織移至 Microsoft Purview 郵件加密,但您已部署 OME,則本文中的資訊會套用至您的組織。 Microsoft 建議您制定計劃,一旦對您的組織合理,就會移至 Microsoft Purview 郵件加密。 如需指示,請參閱 設定 Microsoft Purview 郵件加密。 如果您想要進一步瞭解如何先加密新訊息,請參閱 訊息加密。 本文的其餘部分參考發行 Microsoft Purview 郵件加密之前的 OME 行為。
使用 Office 365 郵件加密,您的組織可在組織內外的人員之間傳送和接收加密的電子郵件。 Office 365 郵件加密適用於 Outlook.com、Yahoo、Gmail 和其他電子郵件服務。 電子郵件加密有助於確保只有預定的收件者可以檢視郵件內容。
範例如下:
- 銀行員工向客戶發送信用卡對帳單
- 保險公司代表向客戶提供保單詳情
- 抵押貸款經紀人要求客戶提供財務信息以申請貸款
- 醫療保健提供者向患者發送醫療保健資訊
- 律師將機密資訊傳送給客戶或其他律師
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
Office 365 郵件加密如何在沒有新功能的情況下運作
Office 365 訊息加密是以 Microsoft Azure Rights Management (Azure RMS) 為基礎所建置的線上服務。 使用 Azure RMS,系統管理員可以定義 Exchange 郵件流程規則 (也稱為傳輸規則) 來判斷加密的條件。 例如,規則可以要求對傳送給特定收件者的所有郵件進行加密。
當有人在 Exchange Online 中傳送符合加密規則的電子郵件訊息時,會以 HTML 附件傳送郵件。 收件者會開啟 HTML 附件,並依照指示在 Office 365 郵件加密入口網站上檢視加密的郵件。 收件者可以選擇使用 Microsoft 帳戶或與 Office 365 相關聯的公司或學校登入,或使用一次性密碼來檢視郵件。 這兩個選項都有助於確保只有預期的收件者才能檢視加密的訊息。 此程式對於 Microsoft Purview 郵件加密非常不同。
下圖摘要說明電子郵件訊息在加密和解密程序中的傳遞。
如需詳細資訊,請參閱 Microsoft Purview 郵件加密發行之前舊版 Office 365 郵件加密的服務資訊。
定義不使用 Microsoft Purview 郵件加密的 Office 365 郵件加密郵件流程規則
若要在沒有新功能的情況下啟用 Office 365 郵件加密,Exchange Online 系統管理員會定義 Exchange 郵件流程規則。 這些規則會決定在什麼條件下應該加密電子郵件訊息,以及移除郵件加密的條件。 為規則設定加密動作時,服務會在傳送訊息之前,對符合規則條件的任何訊息執行動作。
郵件流程規則很靈活,可讓您結合條件,以便在單一規則中符合特定的安全性需求。 例如,您可以建立規則來加密包含指定關鍵字且傳送給外部收件者的所有郵件。 Office 365 郵件加密也會加密加密電子郵件收件者的回覆,您可以建立規則來解密這些回覆,以方便電子郵件使用者使用。 如此一來,組織中的使用者就不需要登入加密入口網站即可檢視回覆。
如需如何建立 Exchange 郵件流程規則的詳細資訊,請參閱 定義 Office 365 郵件加密的規則。
使用 EAC 來建立郵件流程規則,以加密沒有 Microsoft Purview 郵件加密的電子郵件訊息
在網頁瀏覽器中,使用組織中具有足夠許可權的公司或學校帳戶,例如合規性系統管理員,登入 Microsoft 365。
選擇 [管理員] 磚。
在 Microsoft 365 系統管理中心中,選擇 [管理員中心Exchange>]。
在 EAC 中,移至 [郵件流程>規則],然後選取[新增]
>建立新規則。 如需使用 EAC 的詳細資訊,請參閱 Exchange Online 中的 Exchange 系統管理中心。在 [名稱] 中,輸入規則的名稱,例如 [加密郵件 DrToniRamos@hotmail.com]。
在 [套用此規則] 中,選取條件,並視需要輸入值。 例如,若要加密前往 DrToniRamos@hotmail.com的訊息:
在 [套用此規則 ] 中,選取 收件者是。
從連絡人清單中選取現有的名稱,或在 核取名稱 方塊中輸入新的電子郵件地址。
若要選取現有名稱,請從清單中選取該名稱,然後按一下 確定。
若要輸入新名稱,請在 核取名稱 方塊中輸入電子郵件地址,然後選取 檢查名稱>確定。
若要新增更多條件,請選擇 [更多選項 ],然後選取 [ 新增條件 ],然後從清單中選取。
例如,若要僅在收件者位於組織外部時套用規則,請選取 [新增條件],然後選取 [收件者是外部/內部>][組織>外部] 確定。
若要在不使用新的 OME 功能的情況下啟用加密,請在執行下列動作中,選取 [修改訊息安全性>] 套用舊版 OME,然後選擇 [儲存]。
如果您收到未啟用 IRM 授權的錯誤,表示您沒有使用舊版 OME。
(選用) 選擇 新增動作 以指定另一個動作。
使用 Exchange Online PowerShell 建立郵件流程規則,以加密電子郵件訊息,而不需要新的 OME 功能
連線至 Exchange Online PowerShell。 如需詳細資訊,請參閱<連線至 Exchange Online PowerShell>。
使用 New-TransportRule Cmdlet 建立規則,並將 ApplyOME 參數設定為
$true。此範例要求傳送至 DrToniRamos@hotmail.com 的所有電子郵件訊息都必須加密。
New-TransportRule -Name "Encrypt rule for Dr Toni Ramos" -SentTo "DrToniRamos@hotmail.com" -SentToScope "NotinOrganization" -ApplyOME $true其中:
- 新規則的唯一名稱是“托尼·拉莫斯博士的加密規則”。
- SentTo 參數指定郵件收件者 (以名稱、電子郵件地址、識別名稱等識別 ) 。 在此範例中,收件者由電子郵件地址「DrToniRamos@hotmail.com」來識別。
-
SentToScope 參數會指定訊息收件者的位置。 在此範例中,收件者的信箱位於 hotmail 中,而且不是組織的一部分,因此會使用值
NotInOrganization。
如需詳細的語法和參數資訊,請參閱 New-TransportRule。
從沒有 Microsoft Purview 郵件加密的電子郵件回覆中移除加密
當您的電子郵件使用者傳送加密訊息時,這些訊息的收件者可以使用加密回覆來回覆。 您可以建立郵件流程規則,以自動移除回覆中的加密,讓組織中的電子郵件使用者不需要登入加密入口網站即可檢視它們。 您可以使用 EAC 或 Exchange Online PowerShell Cmdlet 來定義這些規則。 您可以解密從組織內部傳送的訊息,或回覆從組織內部傳送的訊息的訊息。 您無法解密源自組織外部的加密郵件。
使用 EAC 建立規則,以從沒有 Microsoft Purview 郵件加密的電子郵件回覆中移除加密
在網頁瀏覽器中,使用組織中具有足夠許可權的公司或學校帳戶,例如合規性系統管理員,登入 Microsoft 365。
選擇 [管理員] 磚。
在 Microsoft 365 系統管理中心中,選擇 [管理員中心Exchange>]。
在 EAC 中,移至 [郵件流程>規則],然後選取[新增]
>建立新規則。 如需使用 EAC 的詳細資訊,請參閱 Exchange Online 中的 Exchange 系統管理中心。在 [名稱] 中,輸入規則的名稱,例如 [從傳入郵件中移除加密]。
在 [套用此規則] 中,選取應從郵件中移除加密的條件,例如 收 件者位於>組織內部。
在 執行下列動作中,選取 [修改訊息安全性>] [移除舊版 OME]。
選取 [儲存]。
使用 Exchange Online PowerShell 建立規則,以移除加密的電子郵件回覆,而沒有新的 OME 功能
連線至 Exchange Online PowerShell。 如需詳細資訊,請參閱<連線至 Exchange Online PowerShell>。
使用 New-TransportRule Cmdlet 建立規則,並將 RemoveOME 參數設定為
$true。此範例會從傳送給組織中收件者的所有郵件中移除加密。
New-TransportRule -Name "Remove encryption from incoming mail" -SentToScope "InOrganization" -RemoveOME $true其中:
- 新規則的唯一名稱是「從傳入郵件中移除加密」。
-
SentToScope 參數會指定訊息收件者的位置。 在此範例中,會使用值
InOrganization值,指出下列其中一項:- 收件者是組織中的信箱、郵件使用者、群組或已啟用郵件的公用資料夾。
- 收件者的電子郵件地址位於接受的網域中,該網域設定為組織中的授權網域或內部轉送網域,而且郵件是透過已驗證的連線傳送或接收。
如需詳細的語法和參數資訊,請參閱 New-TransportRule。
傳送、檢視和回覆沒有新功能的加密訊息
使用 Office 365 郵件加密,會根據系統管理員定義的規則自動加密電子郵件訊息。 帶有加密郵件的電子郵件會附上 HTML 檔案到達收件者的收件匣。
收件者會依照訊息中的指示開啟附件,並使用 Microsoft 帳戶或與 Office 365 相關聯的公司或學校進行驗證。 如果收件者沒有這兩個帳戶,系統會引導他們建立 Microsoft 帳戶,讓他們登入以檢視加密的郵件。 或者,收件人可以選擇獲取一次性密碼來查看消息。 登入或使用一次性密碼後,收件者可以查看解密的訊息並傳送加密回覆。
使用 Office 365 郵件加密自訂加密郵件
身為 Exchange Online 系統管理員,您可以自定義加密郵件。 例如,您可以新增公司的品牌和標誌、指定簡介,以及在加密訊息和收件者檢視加密訊息的入口網站中新增免責聲明文字。 使用 Exchange Online PowerShell Cmdlet,您可以自訂加密電子郵件訊息收件者檢視體驗的下列層面:
- 包含加密訊息的電子郵件簡介文字
- 包含加密訊息的電子郵件免責聲明文字
- 將會出現在訊息檢視入口網站的入口網站文字
- 將會出現在電子郵件和檢視入口網站的標誌
您也可以隨時回復為預設的外觀與風格。
下列範例顯示 ContosoPharma 在電子郵件附件中的自訂標誌:
若要使用貴組織的品牌自訂加密電子郵件訊息和加密入口網站
使用 Set-OMEConfiguration Cmdlet,如這裡所述: Set-OMEConfiguration 或使用下表作為指引。
加密自訂選項
若要自訂此加密經驗功能 使用這些 Exchange Online PowerShell 命令 加密電子郵件隨附的預設文字 預設文字會出現在檢視加密郵件的指示上方。
Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -EmailText "<string of up to 1024 characters>"範例:
Set-OMEConfiguration -Identity "OME Configuration" -EmailText "Encrypted message from ContosoPharma secure messaging system"包含加密訊息之電子郵件中的免責聲明 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> DisclaimerText "<your disclaimer statement, string of up to 1024 characters>"範例:
Set-OMEConfiguration -Identity "OME Configuration" -DisclaimerText "This message is confidential for the use of the addressee only"出現在加密郵件檢視入口網站上方的文字 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -PortalText "<text for your portal, string of up to 128 characters>"範例:
Set-OMEConfiguration -Identity "OME Configuration" -PortalText "ContosoPharma secure email portal"標誌 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -Image <Byte[]>範例:
Set-OMEConfiguration -Identity "OME configuration" -Image ([System.IO.File]::ReadAllBytes('C:\Temp\contosologo.png'))支援的檔案格式:.png、.jpg、.bmp 或 .tiff
標誌檔案的最佳大小:小於 40 KB
標誌影像的最佳大小:170x70 像素
若要從加密電子郵件訊息和加密入口網站移除品牌自訂
使用 Set-OMEConfiguration Cmdlet,如下所述: Set-OMEConfiguration。 若要從 DisclaimerText、EmailText 和 PortalText 值中移除組織的品牌自訂,請將值設定為空字串
""。 對於所有影像值 (例如 Logo),請將值設定為"$null"。加密自訂選項
將加密體驗的這項功能回復為預設文字和影像 使用這些 Exchange Online PowerShell 命令 加密電子郵件隨附的預設文字 預設文字會出現在檢視加密郵件的指示上方。
Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -EmailText "<empty string>"範例:
Set-OMEConfiguration -Identity "OME Configuration" -EmailText ""包含加密訊息之電子郵件中的免責聲明 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> DisclaimerText "<empty string>"範例:
Set-OMEConfiguration -Identity "OME Configuration" -DisclaimerText ""出現在加密郵件檢視入口網站上方的文字 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -PortalText "<empty string>"恢復為默認值的示例:
Set-OMEConfiguration -Identity "OME Configuration" -PortalText ""標誌 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -Image <"$null">恢復為默認值的示例:
Set-OMEConfiguration -Identity "OME configuration" -Image $null
舊版 Office 365 郵件加密在新 OME 功能發行之前的服務資訊
下表提供發行 Microsoft Purview 郵件加密之前 Office 365 郵件加密服務的技術詳細數據。
| 服務詳情 | 描述 |
|---|---|
| 用戶端裝置需求 | 加密的訊息可以在任何用戶端裝置上檢視,只要HTML附件可以在支援Form Post的現代瀏覽器中開啟即可。 |
| 加密演算法和聯邦資訊處理標準 (FIPS) 合規性 | Office 365 訊息加密使用與 Windows Azure 資訊版權管理 (IRM) 相同的加密金鑰,並支援 RSA 的密碼編譯模式 2 (2K 金鑰,以及 SHA-1 系統) 的 256 位金鑰。 如需基礎 IRM 密碼編譯模式的詳細資訊,請參閱 AD RMS 密碼編譯模式。 |
| 支援的訊息類型 | Office 365 郵件加密僅支援郵件類別識別碼為 IPM 的項目。筆記。 如需詳細資訊,請參閱 項目類型和訊息類別。 |
| 郵件大小限制 | Office 365 郵件加密可以加密高達 25 MB 的郵件。 如需郵件大小限制的詳細資訊,請參閱 Exchange Online 限制。 |
| Exchange Online 電子郵件保留原則 | Exchange Online 不會儲存加密的郵件。 |
| Office 365 郵件加密的語言支援 | Office 365 郵件加密支援 Microsoft 365 語言,如下所示: 傳入的電子郵件和附加的 HTML 檔案會根據寄件者的語言設定進行本地化。 檢視入口網站會根據收件者的瀏覽器設定進行本地化。 加密訊息的本文 (內容) 未當地語系化。 |
| OME 入口網站和 OME 檢視器應用程式的隱私權資訊 | Office 365 傳訊加密入口網站隱私權聲明提供 Microsoft 對您的私人資訊執行和不執行的動作的詳細資訊。 |
關於舊版 OME 的常見問題
對 Office 365 郵件加密有疑問嗎? 以下是一些解答。 如果您找不到所需的內容,請查看 Office 365 的 Microsoft Tech Community 論壇。
問: 我的使用者會傳送加密的電子郵件訊息給組織外部的收件者。 外部收件者是否必須執行任何動作,才能讀取和回覆使用 Office 365 郵件加密加密的電子郵件訊息?
收到 Microsoft 365 加密郵件的組織外部收件者可以透過以下兩種方式之一來檢視它們:
使用 Microsoft 帳戶或與 Office 365 相關聯的公司或學校帳戶登入。
通過使用一次性密碼。
問: Microsoft 365 加密訊息是儲存在雲端還是 Microsoft 伺服器上?
不會,加密的郵件會保存在收件者的電子郵件系統上,當收件者開啟郵件時,會暫時發佈在 Microsoft 伺服器上查看。 郵件並不會儲存於該處。
問: 我可以使用我的品牌自訂加密電子郵件嗎?
是。 您可以使用 Exchange Online PowerShell Cmdlet 來自訂出現在加密電子郵件訊息頂端的預設文字、免責聲明文字,以及您想要用於電子郵件訊息和加密入口網站的標誌。 此功能現在可在 OMEv2 中使用。 如需詳細資訊,請參閱Add branding to encrypted messages。
問: 服務是否需要組織中每個使用者的授權?
組織中傳送加密電子郵件的每位使用者皆需有授權。
問: 外部收件者需要訂閱嗎?
否,外部收件者不需要訂閱即可讀取或回覆加密郵件。
問: Office 365 Message Encryption 與 Rights Management Services (RMS) 有何不同?
RMS 會藉由提供內建範本,為組織的內部電子郵件提供資訊權利保護功能,例如:請勿轉寄和公司機密。 Office 365 郵件加密支援傳送至外部收件者和內部收件者之郵件的電子郵件加密。
問: Office 365 郵件加密與 S/MIME 有何不同?
S/MIME 基本上是一種用戶端加密技術,需要複雜的憑證管理與發佈基礎結構。 Office 365 郵件加密會使用郵件流程規則 (也稱為傳輸規則) ,而且不相依於憑證發佈。
問: 我可以透過行動裝置閱讀加密訊息嗎?
是的,您可以透過從 Google Play 商店和 Apple App Store 下載 OME Viewer 應用程式來查看 Android 和 iOS 上的訊息。 在 OME 檢視器應用程式中開啟 HTML 附件,然後依照指示開啟加密的郵件。 對其他行動裝置而言,只要郵件用戶端支援表單張貼,您便能夠開啟 HTML 附件。
問: 回覆和轉寄的訊息是否加密?
是。 在整個執行緒期間都會對回應持續加密。
問: Office 365 郵件加密是否提供當地語系化?
內送電子郵件和 HTML 內容均依據寄件者電子郵件設定進行當地語系化。 檢視入口網站會依據收件者的瀏覽器設定進行當地語系化。 不過,加密郵件的實際內文 (內容) 不會進行當地語系化。
問: Office 365 郵件加密使用什麼加密方法?
Office 365 Message Encryption 會使用 Rights Management Services (RMS) 作為其加密基礎結構。 使用的加密方法取決於您在哪裡取得用來加密及解密郵件的 RMS 金鑰。
如果您使用 Microsoft Azure RMS 來取得金鑰,則會使用密碼編譯模式 2。 密碼編譯模式 2 是已更新並增強的 AD RMS 密碼編譯實作。 它支援使用 RSA 2048 進行簽章和加密,也支援使用 SHA-256 進行簽章。
如果您使用 Active Directory (AD) RMS 來取得金鑰,則會使用密碼編譯模式 1 或密碼編譯模式 2。 使用的方法取決於內部部署 AD RMS 部署。 密碼編譯模式 1 是原始的 AD RMS 密碼編譯實作。 它支援使用 RSA 1024 進行簽章和加密,也支援使用 SHA-1 進行簽章。 這個模式會繼續受到 RMS 所有目前的版本支援。
如需詳細資訊,請參閱 AD RMS 密碼編譯模式。
問: 為什麼有些加密訊息會說它們來自 Office365@messaging.microsoft.com?
從加密入口網站或透過 OME 檢視器應用程式傳送加密回覆時,傳送電子郵件地址會設定為 Office365@messaging.microsoft.com ,因為加密的訊息是透過 Microsoft 端點傳送。 這有助於避免加密的郵件被標示為垃圾郵件。 因為有此標示,加密入口網站中顯示的電子郵件名稱和地址不會變更。 此外,此標示只會套用到透過入口網站傳送的郵件,而不會套用到透過任何其他電子郵件用戶端傳送的郵件。
問: 我是 Exchange 託管加密 (EHE) 訂閱者。 哪裡可以深入瞭解升級至 Office 365 郵件加密?
所有 EHE 客戶都已升級至 Office 365 郵件加密。 如需詳細資訊,請流覽 Exchange 裝載加密升級中心。
問: 我是否需要在組織的防火牆中開啟任何 URL、IP 位址或連接埠,才能支援 Office 365 郵件加密?
是。 您必須將 Exchange Online 的 URL 新增至組織的允許清單,才能啟用 Office 365 郵件加密加密郵件的驗證。 如需 Exchange Online URL 的清單,請參閱 Microsoft 365 URL 和 IP 位址範圍。
問: 我可以將 Microsoft 365 加密郵件傳送給多少個收件者?
收件者限制為每封郵件 500 個收件者,或者在通訊組清單展開之後合併時,郵件的 [ 收件者 ] 欄位中有 11,980 個字元,以先到者為準。
問: 是否可以撤銷傳送給特定收件者的訊息?
不能。 傳送訊息後,您無法撤銷傳送給特定人員的訊息。
問: 我可以檢視已接收和讀取的加密訊息報告嗎?
沒有報告顯示是否已檢視加密郵件,但有Microsoft 365 報告可用,您可以利用這些報告來判斷符合特定郵件流程規則的郵件數目 (例如,也稱為傳輸規則) 。
問: Microsoft 會如何處理我透過 OME 入口網站和 OME 檢視器應用程式提供的資訊?
Office 365 傳訊加密入口網站隱私權聲明提供 Microsoft 對您的私人資訊執行和不執行的動作的詳細資訊。
問: 如果我申請一次性密碼後沒有收到,該怎麼辦?
首先,檢查電子郵件用戶端中的垃圾郵件或垃圾郵件資料夾。 貴組織的 DKIM 和 DMARC 設定可能會導致這些電子郵件最終被過濾為垃圾郵件。
接下來,檢查 Microsoft Purview 入口網站中的隔離區。 通常,包含一次性密碼的郵件,尤其是貴組織收到的第一個郵件,最終會被隔離。