郵件加密常見問題集

Microsoft Purview 郵件加密結合電子郵件加密與權利管理功能。 權利管理功能由 Microsoft Purview 資訊保護提供。

您可以在以下條件下使用 Microsoft Purview 郵件加密：

• 如果你還沒設定Office 365訊息加密 (OME) 或資訊權利管理 (IRM交換的資訊) 。

• 如果你設定了 OME 和 IRM，並且同時使用 Microsoft Purview 資訊保護的 Azure 權利管理服務，可以使用這些步驟。

• 如果你使用 Exchange 搭配 Active Directory 權利管理服務 (AD RMS) ，無法立即啟用這些新功能。 相反地，你需要先將 AD RMS 遷移到 Azure 資訊保護。 完成遷移後，你可以成功設定 Microsoft Purview 郵件加密。

  如果你選擇繼續使用本地的 AD RMS 搭配 Exchange，而非遷移到 Azure 權利管理服務，你就無法使用 Microsoft Purview 郵件加密。

要使用 Microsoft Purview 郵件加密，您需要以下其中一種方案：

• Microsoft Purview 郵件加密作為 E3 和 E5、Microsoft 365 企業版 E3 和 E5、Microsoft 365 商務進階版、Office 365 A1、A3 和 A5 Office 365 企業版 的一部分提供，以及Office 365 政府版 G3 和 G5。 您不需要額外的授權即可獲得由 Microsoft Purview 資訊保護所驅動的新保護功能。

• 您也可以將Azure 資訊保護方案1加入以下方案以獲得Microsoft Purview 郵件加密：交換方案1、交換方案2、Office 365 F3、Microsoft 365 商務基本版，Microsoft 365 商務標準版，或 Office 365 企業版 E1。

• 每位使用 Microsoft Purview 郵件加密的使用者都需要取得授權才能使用訊息加密。

• 完整清單請參閱 Microsoft Purview 郵件加密的 Exchange 服務說明。

是！ Microsoft 建議您在設定 Microsoft Purview 郵件加密前，先完成 BYOK 的設定步驟。

欲了解更多關於BYOK的資訊，請參閱規劃與實施您的Azure 資訊保護租戶金鑰。

不能。 Microsoft Purview 郵件加密以及提供與控制自己加密金鑰的選項，稱為 BYOK（Azure 權利管理服務），並非設計來回應執法機關的傳票。 OME與BYOK合作的Azure權利管理服務，是為注重合規的組織設計。 Microsoft 對客戶資料的請求非常重視。 作為雲端服務提供者，我們始終倡導您資料的隱私權。 若我們收到傳票，我們會嘗試直接將請求轉交給您取得相關資訊。 (閱讀 Brad Smith 的部落格： 保護客戶資料免於政府監控) 。 我們會定期公布收到的申請詳細資訊。 欲了解更多關於非 Microsoft 資料請求的資訊，請參閱 回應政府及執法機關在 Microsoft Trust Center 存取客戶資料的請求 。 另請參閱 線上服務條款 (OST) 中的「客戶資料揭露」。

Microsoft Purview 郵件加密是現有 IRM 與舊有 OME 解決方案的演進。 下表提供更多細節。

舊有 OME、IRM 與 Microsoft Purview 郵件加密的比較

請參閱設定 Microsoft Purview 郵件加密。

Office 365 訊息加密 (OME) 於 2023 年 7 月 1 日被棄用。 它會自動被 Microsoft Purview 郵件加密取代。 如果你有活躍的寄件人信箱，仍然可以查看來自 OME 的郵件。

不能。 如果你使用 Exchange Online 搭配 Active Directory 權利管理服務 (AD RMS) ，無法立即啟用這些新功能。 相反地，你需要先將 AD RMS 遷移到 Azure 資訊保護。

本地用戶可使用 Exchange Online 郵件流程規則發送加密郵件。 你需要透過 Exchange 轉發郵件。 更多資訊請參見 第二部分：設定郵件從你的電子郵件伺服器流向 Microsoft 365。

你可以從 Outlook 2016、Outlook 2013 for Windows 和 Mac 以及 Outlook 網頁版建立受保護訊息。 欲了解更多關於傳送加密訊息的資訊，請參閱 Outlook for PC 中的「發送、檢視及回覆加密訊息」。

Microsoft 365 用戶可以閱讀並回應 Outlook for Windows 和 Mac (2013 和 2016) 、Outlook 網頁版 以及 Outlook Mobile (Android 和 iOS) 。 如果組織允許，你也可以使用 iOS 原生郵件客戶端。 如果你不是 Microsoft 365 用戶，可以透過網頁瀏覽器閱讀並回覆加密訊息。

Microsoft 365 使用者可以使用 Outlook for PC 2019 版及 Microsoft 365 來建立以僅加密政策保護的郵件。 套用僅加密政策的郵件可直接在 Outlook 網頁版、Outlook for iOS 和 Android 版本，以及 Outlook for PC 2019 版和 Microsoft 365 中閱讀。

是。 使用 Microsoft Purview 郵件加密（包含附件）可傳送的最大訊息大小為 25 MB。 欲了解更多資訊，請參閱 訊息限制。

是。 在 某些配置 連接器的情況下，例如Exchange Hybrid部署，當你在 BCC 線上包含收件人時，BCC收件人會在郵件加密前被移除。 最佳做法是移到 Exchange Online，或將所有收件人放在收件人欄位或信用卡欄位。

加密訊息入口網站只支援郵件。 該入口網站不支援其他訊息類型，如行事曆或語音信箱。

你可以將任何檔案類型附加到受保護郵件上。 保護政策僅套用於 支援檔案類型中提及的部分檔案格式。 預設情況下，Microsoft Purview 郵件加密會加密以下 Office 檔案副檔名：

• docx
• DOM
• DOX
• DOT
• pptx
• PTM（私人精神療法）
• POTX
• POTM
• PPSX
• PPSM
• 謝謝
• xlsx
• XLSM
• XLSB
• XLTX
• XLTM
• XLAM
• XPS

Microsoft Purview 郵件加密 不支援以下 Office 程式的 97-2003 版本：Word (.doc) 、Excel (.xls) 和 PowerPoint (.ppt) 。

若在 Exchange Online 啟用，PDF 加密功能可保護附在電子郵件中的敏感 PDF 文件。 當您發送電子郵件時，Office 365 服務會加密 Outlook 最新版本的 PDF 附件，包括：

• Outlook (全新) 桌面
• Outlook 網頁版
• Mac 版 Outlook
• iOS 版 Outlook
• Android 版 Outlook

要啟用 PDF 附件的加密，使用租戶中至少具備資訊權利管理角色的工作或學校帳號，請在 Exchange Online PowerShell 中執行以下指令：

   Set-IRMConfiguration -EnablePdfEncryption $true

保護僅從郵件繼承至未加密附件。 若支援檔案格式，如 Word、Excel 或 PowerPoint 檔案，該檔案始終受到保護，即使收件人下載附件後仍能持續保護。

舉例來說，假設一個附件受到「請勿轉寄」保護。 原始收件人下載檔案，建立訊息給新的收件人，並將檔案附加。 當新的收件人收到檔案時，他們無法打開它。

不，你必須使用敏感度標籤來套用或移除會議邀請及其回應的加密。 欲了解更多資訊，請參閱 使用敏感標籤保護行事曆項目、Teams 會議及聊天。

Not yet. 不支援 SharePoint 或 OneDrive 附件。 你可以加密郵件訊息，但雲端附件就不行。

當附件被保護郵件保護時，你可以直接使用 Outlook 客戶端預覽文件。 Outlook 支援 Office 文件預覽 (docx、xlsx、pptx、doc、xls、ppt) 。 Outlook 網頁版 支援預覽 Office 文件 (docx、xlsx、pptx) 及 PDF。

Outlook 網頁版支援撤銷受保護郵件。 詳情請參閱 「如何撤銷你已發送的加密訊息 」。

加密訊息入口網站支援預覽新增到加密郵件中的任何加密附件副本。 支援的檔案類型包括 Word、Excel、PowerPoint 和 PDF 檔案。

是。 在 Exchange Online 中使用郵件流規則，根據特定條件自動加密訊息。 例如，你可以根據收件人 ID、收件人網域，或訊息正文或主旨的內容來建立政策。 請參見「定義 Office 365 電子郵件加密郵件流程規則」。

管理員可以設定郵件流規則來移除寄出郵件的加密。 你只能設定規則，解除來自你 Exchange Online 組織的來信加密。

對於 Exchange Online 信箱，管理員必須啟用日誌解密功能，並設定 Exchange Online 日誌規則，才能將郵件解密後的副本產生到日誌郵件箱中。 日誌規則會將任何加密的郵件或附件，並將原始郵件加上解密副本寄入日誌郵件信箱。 你只能設定日誌規則，當加密項目來自你的組織時，才能解密郵件或附件。
啟用 Exchange Online 日誌：

Set-IRMConfiguration -JournalReportDecryptionEnabled $true

是！ 你可以在 Exchange Online 或 Microsoft Purview 入口網站使用 DLP 來設定郵件流程規則。

是的，針對你組織內 Exchange Online 信箱寄出的郵件！ 關於自訂電子郵件訊息及加密訊息入口網站的資訊，請參閱 「將你組織的品牌加入加密訊息」。

加密訊息入口網站的活動日誌僅透過存取加密訊息入口網站，捕捉外部收件人的事件。 電子郵件客戶端中由外部收件人觸發的任何活動都不會被記錄。 關於內部收件人，請參閱 Purview Audit (Premium) - 郵件項目存取日誌中的郵件項目存取郵件匣稽核操作。

Microsoft Purview 入口網站上有一份加密報告。 請參閱 Microsoft Purview 報告總覽。

是的，大多數受 Microsoft Purview 郵件加密保護的訊息是可被發現的。 您從其他 Microsoft 365 組織收到且透過郵件流程規則套用自訂品牌的郵件，受 Microsoft Purview 郵件加密保護郵件，您的電子發現服務無法發現。 換句話說，如果郵件不是透過使用者的信箱存取，而是只能透過連結顯示到加密訊息入口網站，郵件就無法被搜尋。 詳情請參閱 支援加密項目的電子發現活動 。

當電子郵件訊息符合加密郵件流程規則時，Exchange 會加密發送該郵件的訊息。

是！ 你可以開啟加密郵件給共用信箱。 當郵件是從同一組織寄出時，你可以在登入支援的 Outlook 用戶端時開啟郵件。 如果郵件是從外部組織寄出，你需要使用 Outlook 網頁版。

• 使用者可以在共享信箱中開啟受保護郵件，該信箱作為分發群組的一部分接收受保護郵件。

• 使用者在使用 Outlook for Windows、Mac 版 Outlook、Outlook for Android、Outlook for iOS 及 Outlook 網頁版時，可以查看帶有電子郵件保護的附件。

下表列出支援的共享郵箱客戶端。

目前已知有兩項限制：

• 你無法透過 Outlook 行動裝置開啟在行動裝置上收到的電子郵件附件。

• 有兩種方式可以讓使用者直接在 Outlook for Windows 中查看加密郵件：

  1. 直接指派使用者到共享信箱，並啟用完整存取權限並啟用自動映射。 對於 Outlook 64-bit，使用者不需要直接指派到信箱。 Exchange 預設啟用自動映射。
  2. 將一個啟用郵件的安全群組指派到共用信箱。 此方法需 Outlook 版本 2402，且僅支援 2024 年 6 月以後產生的郵件。

指派使用者到共用信箱

1. 連線至 Exchange Online PowerShell。

2. 執行 Add-MailboxPermission 帶有參數的 Automapping 指令碼。 這個範例讓 Ayla 完全存取支援信箱。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User ayla@contoso.com -AccessRights FullAccess -AutoMapping $true
   

將啟用郵件的安全群組指派到共享信箱

使用此方法時，您必須使用「 請勿轉寄 」或 「僅加密 」保護選項來加密郵件。 只有由共用信箱發起的郵件或組織內部寄出的郵件才能被開啟。

1. 連線至 Exchange Online PowerShell。

2. 執行 Add-MailboxPermission cmdlet 來指派安全群組。 以下範例賦予 Contoso 前台安全團隊對支援信箱的完整存取權限。

   Add-MailboxPermission -Identity support@contoso.onmicrosoft.com -User frontdesk@contoso.com -AccessRights FullAccess
   

當委託人獲得對使用者信箱的完整存取權限時，Outlook 網頁版、Mac 版 Outlook、Outlook for iOS 及 Outlook for Android 都支援授權存取加密郵件。 Outlook for Windows 不支援委派存取。

只要寄件人組織活躍且郵件未設定過期，你可以登入加密訊息入口網站取郵件。

首先，檢查你的電子郵件客戶端中的垃圾郵件或垃圾郵件夾。 貴組織的 DKIM 和 DMARC 設定可能導致這些郵件被過濾成垃圾郵件。

接著，請在 Microsoft Purview 入口網站查詢隔離。 通常，包含一次性密碼的訊息，尤其是你組織收到的第一批，會被隔離。