完成設定 Purview 訊息加密之後,您可以使用數種方式自定義部署的設定。 例如,您可以設定是否啟用一次性密碼、在 Outlook 網頁版中顯示 [加密] 按鈕等等。 本文中的工作說明如何操作。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
管理 Google、Yahoo 和 Microsoft 帳戶收件者是否可以使用這些帳戶登入加密的訊息入口網站
當您設定郵件加密時,貴機構中的使用者可以將郵件傳送給貴機構外部的收件者。 如果收件者使用 Google 帳戶、Yahoo 帳戶或 Microsoft 帳戶等 社交 ID ,收件者可以使用社交 ID 登入加密的訊息入口網站。 如有需要,您可以選擇不允許收件者使用社交識別碼登入加密訊息入口網站。
管理收件者是否可以使用社交識別碼登入加密訊息入口網站
使用 SocialIdSignIn 參數執行 Set-OMEConfiguration Cmdlet,如下所示:
Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -SocialIdSignIn <$true|$false>例如,若要停用社交 ID:
Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $false若要啟用社交 ID:
Set-OMEConfiguration -Identity "OME Configuration" -SocialIdSignIn $true
管理加密訊息入口網站的一次性密碼使用情況
如果以郵件加密加密的郵件收件者不使用 Outlook,則無論收件者使用的帳戶為何,收件者都會收到限時網頁檢視連結,讓他們閱讀郵件。 此連結包含一次性密碼。 身為管理員,您可以決定收件者是否可以使用一次性密碼登入加密郵件入口網站。
管理 OME 是否產生一次性密碼
使用組織中具有足夠系統管理員許可權的公司或學校帳戶,例如合規性系統管理員,並連線到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
使用 OTPEnabled 參數執行 Set-OMEConfiguration Cmdlet:
Set-OMEConfiguration -Identity <"OMEConfigurationIdParameter"> -OTPEnabled <$true|$false>例如,若要停用一次性密碼:
Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $false若要啟用一次性密碼:
Set-OMEConfiguration -Identity "OME Configuration" -OTPEnabled $true
管理 Outlook 網頁版中 [加密] 按鈕的顯示
身為管理員,您可以管理是否向一般使用者顯示此按鈕。
管理 [加密] 按鈕是否出現在 Outlook 網頁版中
使用組織中具有足夠許可權的公司或學校帳戶,例如合規性系統管理員,並連線到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
使用 -SimplifiedClientAccessEnabled 參數執行 Set-IRMConfiguration Cmdlet:
Set-IRMConfiguration -SimplifiedClientAccessEnabled <$true|$false>例如,若要停用「 加密 」按鈕:
Set-IRMConfiguration -SimplifiedClientAccessEnabled $false若要啟用 「加密 」按鈕:
Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
為 iOS 郵件應用程式使用者啟用電子郵件訊息的服務端解密
iOS 郵件應用程式無法解密受郵件加密保護的郵件。 身為 Microsoft 365 系統管理員,您可以針對傳遞至 iOS 郵件應用程式的郵件套用服務端解密。 當您選擇使用服務端解密時,服務會將訊息的解密副本傳送到 iOS 裝置。 用戶端裝置會儲存訊息的解密副本。 即使 iOS 郵件應用程式不會將用戶端使用權限套用給使用者,訊息也會保留使用權限的相關資訊。 使用者可以複製或列印訊息,即使他們原本沒有這樣做的權限。 不過,如果使用者嘗試完成需要 Microsoft 365 郵件伺服器的動作,例如轉寄郵件,如果使用者原本沒有使用許可權,伺服器將不允許執行此動作。 不過,一般使用者可以透過從 iOS 郵件應用程式中的其他帳戶轉寄郵件來解決「請勿轉寄」使用限制。 無論您是否設定郵件的服務端解密,都無法在 iOS 郵件應用程式中檢視加密和受權限保護郵件的附件。
如果您選擇不允許將解密的郵件傳送給 iOS 郵件應用程式使用者,使用者會收到一則訊息,指出他們沒有檢視郵件的權限。 根據預設,不會啟用電子郵件訊息的服務端解密。
如需詳細資訊和用戶端體驗的檢視,請參閱在 iPhone 或 iPad 上檢視加密的訊息。
若要管理 iOS 郵件應用程式使用者是否可以檢視受郵件加密保護的郵件
使用組織中具有足夠許可權的公司或學校帳戶,例如合規性系統管理員,並連線到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
使用 AllowRMSSupportForUnenlightenedApps 參數執行 Set-ActiveSyncOrganizations Cmdlet:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps <$true|$false>例如,若要將服務設定為在將郵件傳送至未啟發的應用程式 (例如 iOS 郵件應用程式) 之前解密郵件:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $true或者,若要將服務設定為不將解密的訊息傳送至未開明的應用程式:
Set-ActiveSyncOrganizationSettings -AllowRMSSupportForUnenlightenedApps $false
注意事項
個別信箱原則 (OWA/ActiveSync) 覆寫這些設定 (,也就是說,如果在個別 OWA 信箱原則或 ActiveSync 信箱原則中將 -IRMEnabled 設定為 False,則這些設定將不會套用) 。
啟用網頁瀏覽器郵件用戶端電子郵件附件的服務端解密
一般而言,當您使用郵件加密時,附件會自動加密。 身為管理員,您可以對使用者從網頁瀏覽器下載的電子郵件附件套用服務端解密。
當您使用服務端解密時,服務會將檔案的解密副本傳送至裝置。 訊息仍會加密。 電子郵件附件也會保留使用權限的相關資訊,即使瀏覽器不會將用戶端使用權限套用至使用者。 使用者可以複製或列印電子郵件附件,即使他們原本沒有這樣做的權限。 不過,如果使用者嘗試完成需要 Microsoft 365 郵件伺服器的動作,例如轉寄附件,如果使用者原本沒有使用權限,伺服器將不允許執行此動作。
無論您是否設定附件的服務端解密,使用者都無法在 iOS 郵件應用程式中檢視加密和受權限保護郵件的任何附件。
如果您選擇不允許解密的電子郵件附件 (這是預設值),使用者會收到一則訊息,指出他們無權檢視附件。
如需 Microsoft 365 如何使用 Encrypt-Only 選項實作電子郵件和電子郵件附件加密的詳細資訊,請參閱電子郵件 的僅加密選項。
若要管理從網頁瀏覽器下載時是否解密電子郵件附件
使用組織中具有足夠許可權的公司或學校帳戶,例如合規性系統管理員,並連線到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
使用 DecryptAttachmentForEncryptOnly 參數執行 Set-IRMConfiguration Cmdlet:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly <$true|$false>例如,若要將服務設定為在使用者從網頁瀏覽器下載電子郵件附件時解密電子郵件附件:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true若要將服務設定為將加密的電子郵件附件保留為下載時的原樣:
Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $false
確保所有外部收件者都使用加密的郵件入口網站來讀取加密的郵件
您可以使用自訂品牌範本來強制收件者接收包裝函件郵件,以引導他們在加密郵件入口網站中讀取加密的電子郵件,而不是使用 Outlook 或 Outlook 網頁版。 如果您想要進一步控制收件者如何使用他們收到的郵件,您可能想要強制執行此體驗。 例如,如果外部收件者在入口網站中檢視電子郵件,您可以設定電子郵件的到期日,也可以撤銷電子郵件。 這些功能僅透過加密訊息入口網站支援。 您可以在建立郵件流程規則時使用 [加密] 選項和 [不轉送] 選項。
使用自訂範本強制所有外部收件者使用加密的郵件入口網站,以及加密的電子郵件
使用組織中具有足夠許可權的公司或學校帳戶,例如合規性系統管理員,並連線到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
執行 New-TransportRule Cmdlet:
New-TransportRule -name "<mail flow rule name>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "<option name>" -ApplyRightsProtectionCustomizationTemplate "<template name>"其中:
mail flow rule name是您要用於新郵件流程規則的名稱。option name是 或EncryptDo Not Forward。template name是您為自訂品牌範本提供的名稱,例如OME Configuration。
若要使用「OME設定」範本加密所有外部電子郵件並套用 Encrypt-Only 選項:
New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Encrypt" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"若要使用「OME設定」範本加密所有外部電子郵件,並套用「不轉寄」選項:
New-TransportRule -name "<All outgoing mail>" -FromScope "InOrganization" -ApplyRightsProtectionTemplate "Do Not Forward" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
自訂電子郵件訊息和加密訊息入口網站的外觀
如需如何為組織自訂 Microsoft Purview 郵件加密的詳細資訊,請參閱 將組織的品牌新增至加密的訊息。 若要追蹤和撤銷加密訊息,您必須將自訂品牌新增至加密訊息入口網站。
停用 Microsoft Purview 郵件加密
我們希望它不會發生,但如果您需要,禁用 Microsoft Purview 郵件加密很簡單。 首先,移除您建立的任何使用 Microsoft Purview 郵件加密的郵件流程規則。 如需移除郵件流程規則的相關資訊,請參閱 管理郵件流程規則。 然後,在 Exchange Online PowerShell 中完成這些步驟。
停用 Microsoft Purview 郵件加密
使用組織中具有足夠許可權的公司或學校帳戶,例如合規性系統管理員,連線到 Exchange Online PowerShell。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
如果您在 Outlook 網頁版 中啟用 [加密] 按鈕,請搭配 SimplifiedClientAccessEnabled 參數執行 Set-IRMConfiguration Cmdlet 來停用它。 否則,請略過此步驟。
Set-IRMConfiguration -SimplifiedClientAccessEnabled $false執行 Set-IRMConfiguration Cmdlet,並將 AzureRMSLicensingEnabled 參數設定為 false,以停用Microsoft Purview 郵件加密:
Set-IRMConfiguration -AzureRMSLicensingEnabled $false