Microsoft Purview 郵件加密可讓組織與任何裝置上的任何人共用加密的電子郵件。 使用者可以與其他 Microsoft 365 組織以及使用 Outlook.com、Gmail 和其他電子郵件服務的第三方交換加密郵件。
請遵循下列步驟,以確保您的組織中可使用 Microsoft Purview 郵件加密。
重要事項
Microsoft 建議您使用權限最少的角色。 將具有全域系統管理員角色的使用者數目降到最低,有助於改善組織的安全性。 深入瞭解 Microsoft Purview 角色和許可權。
驗證 Azure 版權管理作用中
Microsoft Purview 郵件加密會使用 Azure Rights Management 服務的保護功能,這是 Microsoft Purview 資訊保護 所用的加密技術,藉由使用加密和存取控制來保護電子郵件和檔。
使用 Microsoft Purview 郵件加密的唯一必要條件是必須在組織的租用戶中啟用 Azure Rights Management 服務。 如果是,Microsoft 365 會自動啟用郵件加密,您不需要採取任何動作。
Azure Rights Management 服務也會針對大多數符合資格的方案自動啟用,因此您可能也不需要在這方面執行任何動作。 如需詳細資訊,請參閱 啟用 Azure Rights Management 服務。
重要事項
如果您搭配 Exchange Online 使用 Active Directory Rights Management 服務 (AD RMS),則需要先移轉至 Azure 資訊保護,才能使用郵件加密。 Microsoft Purview 郵件加密與 AD RMS 不相容。
如需詳細資訊,請參閱:
- 訊息加密常見問題集,以檢查您的訂用帳戶方案是否包含 Azure 資訊保護 (,其中包含 Rights Management 加密功能) 。
- Azure 資訊保護可取得購買合格訂閱的相關資訊。
手動啟用 Azure 版權管理
如果您停用了 Azure Rights Management 服務,或因任何原因未自動啟用,您可以手動啟用它。
如需指示,請參閱如何 啟用或確認加密服務的狀態。
設定 Azure Rights Management 租用戶金鑰的管理
這是選擇性的步驟。 允許 Microsoft 管理 Azure Rights Management 服務的根金鑰是大部分組織的預設設定和建議的最佳做法。 如果是這種情況,您不需要執行任何動作。
有許多原因,例如合規性需求,可能要求您產生及管理您的根金鑰,也稱為「攜帶您自己的金鑰」(BYOK)。 如果是這種情況,建議您完成所需的步驟,之後再設定 Microsoft Purview 郵件加密。 如需詳細資訊,請參閱規劃及實作您的 Azure 資訊保護租用戶金鑰。
驗證 Exchange Online PowerShell 中的 Microsoft Purview 郵件加密設定
您可驗證您的 Microsoft 365 租用戶已正確設定,可使用 Exchange Online PowerShell 中的 Microsoft Purview 郵件加密。
使用組織中具有足夠許可權的公司或學校帳戶,例如合規性系統管理員,啟動 Windows PowerShell 會話並連線到 Exchange Online。 如需詳細指示,請參閱連線到 Exchange Online PowerShell。
執行 Get-IRMConfiguration Cmdlet。
您應該會看到 AzureRMSLicensingEnabled 參數的值為
$True,這表示租用戶中已設定 Microsoft Purview 郵件加密。 如果不是,請使用 Set-IRMConfiguration 將 AzureRMSLicensingEnabled 的值設為$True以啟用 Microsoft Purview 郵件加密。使用以下語法來執行 Test-IRMConfiguration Cmdlet:
Test-IRMConfiguration [-Sender <email address> -Recipient <email address>]範例:
Test-IRMConfiguration -Sender securityadmin@contoso.com -Recipient securityadmin@contoso.com針對寄件者和收件者,請使用 Microsoft 365 租用戶中任何使用者的電子郵件地址。
您的結果應該類似於:
Results : Acquiring RMS Templates ... - PASS: RMS Templates acquired. Templates available: Contoso - Confidential View Only, Contoso - Confidential, Do Not Forward. Verifying encryption ... - PASS: Encryption verified successfully. Verifying decryption ... - PASS: Decryption verified successfully. Verifying IRM is enabled ... - PASS: IRM verified successfully. OVERALL RESULT: PASS您的組織名稱將取代 Contoso。
預設範本名稱可能與上方顯示的不同。
如果測試失敗並出現錯誤訊息「無法取得 RMS 範本」,請執行下列命令並執行Test-IRMConfiguration Cmdlet 以確認其通過測試。 連線到 AIPService 模組 以執行 Cmdlet。
$RMSConfig = Get-AipServiceConfiguration $LicenseUri = $RMSConfig.LicensingIntranetDistributionPointUrl Set-IRMConfiguration -LicensingLocation $LicenseUri Set-IRMConfiguration -InternalLicensingEnabled $true移除 Remove-PSSession Cmdlet 來與版權管理服務中斷連線。
Remove-PSSession $session
後續步驟:定義郵件流程規則以使用 Microsoft Purview 郵件加密
如果有先前設定的郵件流程規則以加密貴組織中的電子郵件,您必須更新現有規則,才能使用 Microsoft Purview 郵件加密。 針對新的部署,您必須建立新的電子郵件流程規則。
重要事項
如果您不更新現有的郵件流程規則,您的使用者會繼續收到使用先前的 HTML 附件格式的加密電子郵件,而非新的無縫體驗。
郵件流程規則決定在何情況下應該加密電子郵件訊息,以及移除該加密的情況。 當您設定規則的動作時,符合規則條件的任何郵件在傳送時都會經過加密。
如需建立郵件加密郵件流程規則的步驟,請參閱 定義郵件流程規則以加密電子郵件訊息。
若要更新現有的規則以使用 Microsoft Purview 郵件加密:
- 在 Microsoft 365 系統管理中心中,移至 [系統管理中心] >Exchange。
- 在 Exchange 系統管理中心中,移至 [郵件流程 > 規則]。
- 對於每個規則,在 [執行下列動作] 中:
- 選取 [修改郵件安全性]。
- 選取 [套用 Office 365 郵件加密與權限保護]。
- 從 RMS 範本清單中選取 [ 加密 ]。
- 選取 [儲存]。
- 選取 [確定]。