Office 365 邮件加密的旧信息
自 2023 年 7 月 1 日起,Office 365 邮件加密已弃用。 如果尚未将组织移动到 Microsoft Purview 消息加密,但已部署 OME,则本文中的信息适用于你的组织。 Microsoft建议在组织合理时立即计划迁移到 Microsoft Purview 消息加密。 有关说明,请参阅 设置 Microsoft Purview 消息加密。 若要详细了解如何首先加密新消息,请参阅 消息加密。 本文的其余部分介绍了发布 Microsoft Purview 消息加密之前的 OME 行为。
使用 Office 365 邮件加密,贵组织可以在组织内外的人员之间发送和接收加密的电子邮件。 Office 365 邮件加密适用于 Outlook.com、Yahoo、Gmail 和其他电子邮件服务。 电子邮件加密有助于确保只有目标收件人才能查看邮件内容。
下面是一些示例:
- 银行员工向客户发送信用卡对帐单
- 保险公司代表向客户提供保险单详细信息
- 抵押贷款经纪人向客户请求财务信息以申请贷款
- 医疗保健提供者向患者发送医疗保健信息
- 律师向客户或其他律师发送机密信息
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从 Microsoft Purview 合规性门户试用中心开始。 了解有关 注册和试用条款的详细信息。
在没有新功能的情况下 Office 365 邮件加密的工作原理
Office 365 邮件加密是一项联机服务,它基于 azure Rights Management Microsoft (Azure RMS) 。 使用 Azure RMS,管理员可以定义邮件流规则以确定加密条件。 例如,规则可能需要加密发送到特定收件人的所有邮件。
当有人在 Exchange Online 中发送与加密规则匹配的电子邮件时,该邮件将随 HTML 附件一起发送。 收件人打开 HTML 附件,并按照说明在 Office 365 邮件加密门户上查看加密邮件。 收件人可以选择使用与 Office 365 关联的Microsoft帐户或工作或学校登录,或者使用一次性通行证代码登录,从而查看邮件。 两个选项均可以确保只有目标收件人可以查看加密邮件。 对于 Microsoft Purview 消息加密,此过程大不相同。
下方的图表总结了电子邮件是如何通过加密和解密过程的。
有关详细信息,请参阅 发布 Microsoft Purview 邮件加密之前旧版 Office 365 邮件加密的服务信息。
为不使用 Microsoft Purview 邮件加密的 Office 365 邮件加密定义邮件流规则
若要在没有新功能的情况下启用 Office 365 邮件加密,Exchange Online 和 Exchange Online Protection 管理员定义 Exchange 邮件流规则。 这些规则确定应在哪些条件下加密电子邮件,以及删除邮件加密的条件。 为规则设置加密操作时,服务在发送消息之前对符合规则条件的任何邮件执行该操作。
邮件流规则非常灵活,使你可以组合条件,以便在单个规则中满足特定的安全要求。 例如,您可以创建一个规则,对包含特定关键字且发送给外部收件人的所有邮件进行加密。 Office 365 邮件加密还对加密邮件的收件人的回复进行加密;您可以创建一个规则来对这些回复进行解密,为您的电子邮件用户提供方便。 这样,组织中的用户就无需登录到加密门户即可查看答复。
有关如何创建 Exchange 邮件流规则的详细信息,请参阅 定义 Office 365 邮件加密的规则。
使用 EAC 创建邮件流规则来加密电子邮件,而不Microsoft Purview 邮件加密
在 Web 浏览器中,使用已授予全局管理员权限的工作或学校帐户 登录到 Office 365。
选择 “管理员” 磁贴。
在 Microsoft 365 管理中心中,选择 “管理中心>Exchange”。
在 EAC 中,转到“邮件流>规则”,然后选择“新建”>创建新规则。 有关使用 EAC 的详细信息,请参阅 Exchange Online 中的 Exchange 管理中心。
在“名称”中,键入规则的名称,例如加密邮件。DrToniRamos@hotmail.com
在“在以下情况应用此规则”中,选择一个条件,并根据需要输入值。 例如,若要加密要转到 DrToniRamos@hotmail.com的消息:
在“在以下情况应用此规则”中,选择“收件人为”。
从联系人列表中选择一个现有名称,或在“检查名称”框中键入一个新的电子邮件地址。
若要选择一个现有名称,可以从列表中进行选择,然后单击“确定”。
若要输入新名称,请在 “复选框名称 ”框中键入电子邮件地址,然后选择“ 检查名称>确定”。
若要添加更多条件,请选择“ 更多选项 ”,然后选择 “添加条件 ”,然后从列表中选择。
例如,若要仅当收件人在组织外部应用规则,请选择“添加条件”,然后选择“收件人为外部/内部>组织>外部确定”。
若要在不使用新的 OME 功能的情况下启用加密,请在“ 执行以下操作”中,选择“ 修改消息安全性>”“应用以前版本的 OME”,然后选择“ 保存”。
如果收到未启用 IRM 许可的错误,则表示未使用旧版 OME。
(可选) 选择 添加操作 以指定其他操作。
使用 Exchange Online PowerShell 创建邮件流规则来加密没有新的 OME 功能的电子邮件
连接到 Exchange Online PowerShell。 有关详细信息,请参阅使用远程 PowerShell 连接到 Exchange Online。
使用 New-TransportRule cmdlet 创建规则,并将 ApplyOME 参数设置为
$true
。此示例要求发送到 DrToniRamos@hotmail.com 的所有电子邮件都必须加密。
New-TransportRule -Name "Encrypt rule for Dr Toni Ramos" -SentTo "DrToniRamos@hotmail.com" -SentToScope "NotinOrganization" -ApplyOME $true
其中:
- 新规则的唯一名称是“Toni Ramos 博士的加密规则”。
- SentTo 参数指定按姓名、电子邮件地址、可分辨姓名等 ) 标识的邮件收件人 (。 在此示例中,收件人由电子邮件地址“”DrToniRamos@hotmail.com标识。
- SentToScope 参数指定邮件收件人的位置。 在此示例中,收件人的邮箱位于热邮件中,不属于组织,因此使用 值
NotInOrganization
。
有关语法和参数的详细信息,请参阅 New-TransportRule。
从未Microsoft Purview 邮件加密的情况下加密的电子邮件答复中删除加密
您的电子邮件用户发送加密邮件后,这些邮件的收件人可以使用加密答复回复。 可以创建邮件流规则以自动从答复中删除加密,以便组织中的电子邮件用户无需登录到加密门户即可查看它们。 可以使用 EAC 或 Exchange Online PowerShell cmdlet 来定义这些规则。 可以解密从组织内部发送的邮件或答复从组织内部发送的邮件的邮件。 无法解密来自组织外部的加密邮件。
使用 EAC 创建一个规则,用于从未Microsoft Purview 邮件加密的情况下加密的电子邮件答复中删除加密
在 Web 浏览器中,使用已被授予管理员权限的工作或学校帐户 登录到 Office 365。
选择 “管理员” 磁贴。
在 Microsoft 365 管理中心中,选择 “管理中心>Exchange”。
在 EAC 中,转到“邮件流>规则”,然后选择“新建”>创建新规则。 有关使用 EAC 的详细信息,请参阅 Exchange Online 中的 Exchange 管理中心。
在 “名称”中,键入规则的名称,例如从传入邮件中删除加密。
在 “如果应用此规则” 中,选择应从邮件中删除加密的条件,例如 收件人位于>组织内部。
在 “执行以下操作”中,选择“ 修改消息安全性>”“删除以前版本的 OME”。
选择“保存”。
使用 Exchange Online PowerShell 创建规则,从没有新的 OME 功能加密的电子邮件答复中删除加密
连接到 Exchange Online PowerShell。 有关详细信息,请参阅使用远程 PowerShell 连接到 Exchange Online。
使用 New-TransportRule cmdlet 创建规则,并将 RemoveOME 参数设置为
$true
。本示例从发送给组织中收件人的所有邮件中删除加密。
New-TransportRule -Name "Remove encryption from incoming mail" -SentToScope "InOrganization" -RemoveOME $true
其中:
- 新规则的唯一名称是“从传入邮件中删除加密”。
- SentToScope 参数指定邮件收件人的位置。 在此示例中,使用值
InOrganization
,该值指示以下值之一:- 收件人是组织中的邮箱、邮件用户、组或已启用邮件的公用文件夹。
- 收件人的电子邮件地址位于已配置为组织中的权威域或内部中继域的接受域中, 并且 邮件是通过经过身份验证的连接发送或接收的。
有关语法和参数的详细信息,请参阅 New-TransportRule。
发送、查看和答复未经新功能加密的消息
使用 Office 365 邮件加密,电子邮件将根据管理员定义的规则自动加密。 包含加密邮件的电子邮件到达收件人的收件箱中,其中包含附加的 HTML 文件。
收件人按照邮件中的说明打开附件,并使用Microsoft帐户或与 Office 365 关联的工作或学校进行身份验证。 如果收件人没有这两个帐户,系统会指示他们创建一个Microsoft帐户,以便他们登录以查看加密邮件。 或者,收件人可以选择获取一次性通行证代码来查看邮件。 登录或使用一次性通行码后,收件人可以查看解密的邮件并发送加密回复。
使用 Office 365 邮件加密自定义加密邮件
作为 Exchange Online 和 Exchange Online Protection 管理员,你可以自定义加密的邮件。 例如,可以添加公司的品牌和徽标,指定简介,并在加密邮件和收件人查看加密邮件的门户中添加免责声明文本。 使用 Exchange Online PowerShell cmdlet,可以自定义加密电子邮件收件人查看体验的以下方面:
- 包含加密邮件的电子邮件介绍性文本
- 包含加密邮件的电子邮件免责声明文本
- 显示在邮件查看门户中的门户文本
- 显示在电子邮件和查看门户中的徽标
您也可以随时还原到默认的外观。
以下示例显示电子邮件附件中的 ContosoPharma 的自定义徽标:
使用组织的品牌自定义加密电子邮件和加密门户
使用 Set-OMEConfiguration cmdlet,如下所述: Set-OMEConfiguration 或使用下表获取指导。
加密自定义选项
自定义加密体验的这一功能 使用这些 Exchange Online PowerShell 命令 加密电子邮件随附的默认文本 默认文本显示在说明的上方,以查看加密邮件
Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -EmailText "<string of up to 1024 characters>"
示例:
Set-OMEConfiguration -Identity "OME Configuration" -EmailText "Encrypted message from ContosoPharma secure messaging system"
包含加密邮件的电子邮件中的免责声明 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> DisclaimerText "<your disclaimer statement, string of up to 1024 characters>"
示例:
Set-OMEConfiguration -Identity "OME Configuration" -DisclaimerText "This message is confidential for the use of the addressee only"
显示在加密邮件查看门户顶部的文本 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -PortalText "<text for your portal, string of up to 128 characters>"
示例:
Set-OMEConfiguration -Identity "OME Configuration" -PortalText "ContosoPharma secure email portal"
徽标 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -Image <Byte[]>
示例:
Set-OMEConfiguration -Identity "OME configuration" -Image ([System.IO.File]::ReadAllBytes('C:\Temp\contosologo.png'))
支持的文件格式:.png、.jpg、.bmp 或 .tiff
徽标文件的最佳大小:小于 40 KB
徽标图像的最佳大小:170x70 像素
从加密电子邮件和加密门户删除品牌自定义项
使用 Set-OMEConfiguration cmdlet,如下所述: Set-OMEConfiguration。 若要从 DisclaimerText、EmailText 和 PortalText 值中删除组织的品牌自定义项,请将值设置为空字符串
""
。 对于所有图像值(如徽标),请将值设置为"$null"
。加密自定义选项
将加密体验的此功能还原到默认的文本和图片 使用这些 Exchange Online PowerShell 命令 加密电子邮件随附的默认文本 默认文本显示在说明的上方,以查看加密邮件
Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -EmailText "<empty string>"
示例:
Set-OMEConfiguration -Identity "OME Configuration" -EmailText ""
包含加密邮件的电子邮件中的免责声明 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> DisclaimerText "<empty string>"
示例:
Set-OMEConfiguration -Identity "OME Configuration" -DisclaimerText ""
显示在加密邮件查看门户顶部的文本 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -PortalText "<empty string>"
恢复为默认值的示例:
Set-OMEConfiguration -Identity "OME Configuration" -PortalText ""
徽标 Set-OMEConfiguration -Identity <OMEConfigurationIdParameter> -Image <"$null">
恢复为默认值的示例:
Set-OMEConfiguration -Identity "OME configuration" -Image $null
发布新 OME 功能之前旧版 Office 365 邮件加密的服务信息
下表提供了在发布 Microsoft Purview 邮件加密之前 Office 365 邮件加密服务的技术详细信息。
服务详细信息 | 说明 |
---|---|
客户端设备要求 | 只要 HTML 附件可以在支持窗体发布的现代浏览器中打开,就可以在任何客户端设备上查看加密邮件。 |
加密算法和美国联邦信息处理标准 (FIPS) 合规性 | Office 365 邮件加密使用与 Windows Azure 信息权限管理 (IRM) 相同的加密密钥,并支持加密模式 2(对于 RSA 是 2K 密钥,对于 SHA-1 系统是 256 位密钥)。 有关基础 IRM 加密模式的详细信息,请参阅 AD RMS 加密模式。 |
支持的邮件类型 | 如果是针对那些具有 IPM.Note 的邮件类 ID 项,才支持使用 Office 365 邮件加密。 有关详细信息,请参阅 项类型和消息类。 |
邮件大小限制 | Office 365 邮件加密可以加密最多 25 兆字节的邮件。 有关邮件大小限制的更多详细信息,请参阅 Exchange Online 限制。 |
Exchange Online 电子邮件保留策略 | Exchange Online 不存储加密的邮件。 |
Office 365 邮件加密的语言支持 | Office 365 邮件加密支持 Microsoft 365 种语言,如下所示: 根据发件人的语言设置本地化传入电子邮件和附加的 HTML 文件。 查看门户根据收件人的浏览器设置进行本地化。 加密邮件的正文(内容)不进行本地化。 |
OME 门户和 OME 查看器应用的隐私信息 | Office 365 Messaging Encryption Portal privacy statement提供了有关 Microsoft 如何处理您的隐私信息的详细信息。 |
有关旧版 OME 的常见问题解答
有关于 Office 365 邮件加密的问题? 下面对一些问题进行了解答。 如果找不到所需内容,请查看 Office 365 Microsoft技术社区论坛。
问: 我的用户向组织外部的收件人发送加密电子邮件。 外部收件人是否必须执行任何操作才能阅读和答复使用 Office 365 邮件加密进行加密的电子邮件?
组织外部接收Microsoft 365 加密邮件的收件人可以通过以下两种方式之一查看这些邮件:
使用与 Office 365 关联的Microsoft帐户或工作或学校帐户登录。
通过使用一次性传递代码。
问: Microsoft 365 加密消息是存储在云中还是存储在Microsoft服务器上?
否,加密邮件将保留在收件人的电子邮件系统上,当收件人打开邮件时,该邮件会暂时发布到 Microsoft 服务器上查看。 邮件并不存储在其中。
问: 是否可以使用我的品牌自定义加密电子邮件?
是。 可以使用 Exchange Online PowerShell cmdlet 自定义显示在加密电子邮件顶部的默认文本、免责声明文本以及要用于电子邮件和加密门户的徽标。 此功能现已在 OMEv2 中提供。 有关详细信息,请参阅 向加密邮件添加品牌。
问: 该服务是否需要为组织中的每个用户提供许可证?
组织中发送加密电子邮件的每个用户都必须有许可证。
问: 外部收件人是否需要订阅?
否,外部收件人不需要订阅即可阅读或回复加密邮件。
问: Office 365 邮件加密与 Rights Management Services (RMS) 有何不同?
RMS 通过提供内置模板(例如:不转发和公司机密)为组织的内部电子邮件提供信息权限保护功能。 Office 365 邮件加密支持对发送给外部以及内部收件人的邮件进行加密。
问: Office 365 邮件加密与 S/MIME 有何不同?
S/MIME 实质上是一种客户端加密技术,需要复杂的证书管理和发布基础结构。 Office 365 邮件加密使用邮件流规则 (也称为) 传输规则,不依赖于证书发布。
问: 是否可以通过移动设备读取加密邮件?
是的,你可以通过从 Google Play 应用商店和 Apple App Store 下载 OME 查看器应用,在 Android 和 iOS 上查看消息。 在 OME 查看器应用中打开 HTML 附件,然后按照说明打开加密邮件。 对于其他移动设备,只要邮件客户端支持 Form Post,就可以打开 HTML 附件。
问: 答复和转发的邮件是否加密?
是。 在整个线程期间,响应将继续加密。
问: Office 365 邮件加密是否提供本地化?
传入电子邮件和 HTML 内容会进行本地化,具体取决于发件人电子邮件设置。 查看门户根据收件人的浏览器设置进行本地化。 不过,加密邮件的实际正文(内容)不会进行本地化。
问: Office 365 邮件加密使用哪种加密方法?
Office 365 邮件加密使用 Rights Management Services (RMS) 作为其加密基础结构。 所使用的加密方法取决于从何处获取用来加密和解密邮件的 RMS 密钥。
如果使用 Microsoft Azure RMS 获取密钥,则使用加密模式 2。 加密模式 2 是更新和增强的 AD RMS 加密实现。 它支持 RSA 2048 签名和加密,并支持 sha-256 签名。
如果您使用 Active Directory (AD) RMS 获取这些密钥,则可以使用加密模式 1,也可以使用加密模式 2。 使用的方法取决于您的本地 AD RMS 部署。 加密模式 1 是原始的 AD RMS 加密实现。 它支持 RSA 1024 签名和加密,并支持 sha-1 签名。 该模式继续支持 RMS 的所有当前版本。
有关详细信息,请参阅 AD RMS 加密模式。
问: 为什么一些加密邮件说它们来自 Office365@messaging.microsoft.com?
从加密门户或通过 OME 查看器应用发送加密答复时,发送电子邮件地址设置为 Office365@messaging.microsoft.com ,因为加密邮件是通过Microsoft终结点发送的。 这有助于防止加密邮件被标记为垃圾邮件。 电子邮件上显示的名称和加密门户内的地址不会因为这个标签而更改。 此外,该标签仅适用于通过门户而不是通过任何其他电子邮件客户端发送的邮件。
问: 我是 Exchange 托管加密 (EHE) 订阅者。 在哪里可以了解有关升级到 Office 365 邮件加密的详细信息?
所有 EHE 客户已升级为 Office 365 邮件加密客户。 有关详细信息,请访问 Exchange 托管加密升级中心。
问: 是否需要在组织的防火墙中打开任何 URL、IP 地址或端口来支持 Office 365 邮件加密?
是。 您必须将 Exchange Online 的 URL 添加到组织的允许列表,以便为 Office 365 邮件加密加密的邮件启用身份验证。 有关 Exchange Online URL 的列表,请参阅 Microsoft 365 个 URL 和 IP 地址范围。
问: 我可以向多少收件人发送Microsoft 365 加密邮件?
收件人限制为每封邮件 500 个收件人,或者,在通讯组列表扩展后合并时,邮件的“ 收件人 ”字段中有 11,980 个字符,以先到者为准。
问: 是否可以撤销发送给特定收件人的邮件?
否。 在向特定人员发送消息后,无法撤销该邮件。
问: 是否可以查看已接收和读取的加密邮件的报告?
没有显示是否已查看加密邮件的报告,但有Microsoft 365 个报告可用于确定与特定邮件流规则 (也称为传输规则) 匹配的邮件数。
问: Microsoft通过 OME 门户和 OME 查看器应用提供的信息有什么关系?
Office 365 消息加密门户隐私声明提供有关Microsoft对你的私人信息执行的操作和不执行的操作的详细信息。
问: 如果我在请求后未收到一次性通过代码,该怎么办?
首先,检查电子邮件客户端中的垃圾邮件文件夹。 组织的 DKIM 和 DMARC 设置可能会导致这些电子邮件最终被筛选为垃圾邮件。
接下来,在 Microsoft Purview 合规性门户中检查隔离区。 通常,包含一次性传递代码的邮件(尤其是组织收到的第一个密码)最终被隔离。