设置新的 Office 365 邮件加密功能基于构建 Azure 信息保护

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

使用基于 Azure 信息保护构建新的 Office 365 邮件加密功能,您的组织可以使用与您的组织内部和外部的人员的受保护的电子邮件通信。新的OME功能处理其他Office 365组织、 Outlook.com、 Gmail 和其他电子邮件服务。

OME的新功能的工作原理

新的 Office 365 邮件加密功能使用从Azure 信息保护Azure 权限管理数据保护服务。Azure 权限管理使用加密、 身份和授权策略来帮助保护您的电子邮件。您可以通过使用权限管理模板或不要转发选项加密邮件。用户可以然后加密他们的邮件和各种 Office 365 附件使用这些选项。支持的附件类型的完整列表,请参阅"文件类型被覆盖附加到邮件时 IRM 策略"中的电子邮件 IRM 的简介。作为管理员,您还可以定义邮件流规则以应用保护。例如,您可以定义在其中所有未受保护的邮件发送到特定收件人或包含特定词语主题行中的受保护未经授权的访问,收件人无法复制或打印的邮件内容的规则。

Office 邮件加密 (OME),与这些新功能提供统一的发件人的体验,无论您您的组织内部或外部Office 365收件人发送邮件。此外,接收发送到 Office 365 帐户在 Outlook 2016 或 web 上的 Outlook 中受保护的电子邮件收件人无需执行任何附加操作,以查看邮件。无缝工作。收件人使用其他电子邮件客户端和电子邮件服务提供商,也有改进的体验。信息,请参阅了解 Office 365 中受保护的邮件如何打开受保护的邮件

谁可以使用OME的新功能?

您可以按照设置为在以下情况下OME的新功能在本主题中的步骤:

  • 如果您永远不会为 Exchange Online 在 Office 365 中设置了OME或IRM 。

  • 如果您已经设置了OME和IRM,您可以使用这些步骤,如果您使用的从 Azure 信息保护 Azure 权限管理服务。

  • 如果您使用的 Exchange Online 与 Active Directory 权限管理服务 (AD RMS),则无法立即启用这些新功能。相反,您需要迁移到 Azure 信息保护 AD RMS第一次。完成迁移后,您可以成功完成这些步骤。

    如果您选择继续使用本地 AD RMS 与 Exchange Online,而不是迁移到 Azure 信息保护,您将不能使用这些新功能。

步骤设置OME的新功能

若要设置OME的新功能,您将执行以下步骤:

  1. 确保您为您的组织具有正确的订阅。若要使用此服务,您需要以下组合之一:

    • 包含Azure 权限管理以及Exchange Online或Exchange Online Protection (EOP) Office 365订阅。

    • Azure 信息保护订阅和Office 365订阅包括Exchange Online或Exchange Online Protection (EOP)。

    如果您不确定的Office 365订阅所包含的内容,请参阅邮件策略、 恢复和合规性Exchange Online服务说明。

    有关购买Azure 信息保护订阅的信息,请参阅Azure 信息保护

  2. 确定您是否想让 Microsoft 管理Azure 信息保护 (默认值) 的根键或生成和 (称为将您自己的密钥或 BYOK) 自行管理此键。如果您想要生成和自行管理此键,您需要完成之前设置OME的新功能的一些步骤。有关详细信息,请参阅规划和实施 Azure 信息保护租户密钥。Microsoft 建议您在设置OME之前完成这些步骤。

  3. 使用 Windows PowerShell 设置OME的新功能。

  4. 设置新的邮件流规则或更新现有定义如何以及何时要Office 365若要从您的组织发送的邮件进行加密的邮件流规则。

使用 Windows PowerShell 设置OME的新功能

按照以下步骤为 OME 通过 PowerShell 的 Azure,然后选择 Exchange Online PowerShell 设置的新功能。

  1. 如果您没有 Windows module for Azure 权限管理从Azure 信息保护安装,您需要下载并安装它。有关说明,请参阅安装 Windows PowerShell 的 Azure 权限管理

  2. 使用具有全局管理员权限Office 365组织中的工作或学校帐户,请启动 Windows PowerShell 会话。在运行之前,请查看脚本。如果您不需要进行任何更改,您可以复制并粘贴到 PowerShell 会话的整个脚本。如果需要您可以修改脚本之前运行它基于您所在组织的要求。例如:

    • 步骤 5: 如果您的组织使用多因子身份验证 (MFA) 连接到 Exchange Online PowerShell,按照说明中连接到 Exchange Online PowerShell 使用多重身份验证相反。您将需要将这些行替换为您使用与 MFA 进行连接的命令:

      #Step 5: Create a remote PowerShell session and connect to Exchange Online.
      $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
      Import-PSSession $session
    • 步骤 8: 可选。如果您不想要启用在 Outlook 中的保护按钮,删除以下两行:

      #Step 8: Enable the Protect button in Outlook on the web (Optional).
      Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

    完成后修改脚本以满足您的需要,在 PowerShell 会话中运行。

    #Step 1: Connect to the Azure Rights Management service. 
    $cred = Get-Credential
    Get-Command -Module aadrm
    Connect-AadrmService -Credential $cred
    #Step 2: Activate the service.
    Enable-Aadrm
    #Step 3: Get the configuration information needed for message encryption.
    $rmsConfig = Get-AadrmConfiguration
    $licenseUri = $rmsConfig.LicensingIntranetDistributionPointUrl
    #Step 4: Disconnect from the service.
    Disconnect-AadrmService
    #Step 5: Create a remote PowerShell session and connect to Exchange Online.
    $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
    Import-PSSession $session
    #Step 6: Collect IRM configuration for Office 365.
    $irmConfig = Get-IRMConfiguration
    $list = $irmConfig.LicensingLocation
    if (!$list) { $list = @() }
    if (!$list.Contains($licenseUri)) { $list += $licenseUri }
    #Step 7: Enable message encryption for Office 365.
    Set-IRMConfiguration -LicensingLocation $list
    Set-IRMConfiguration -AzureRMSLicensingEnabled $true -InternalLicensingEnabled $true
    #Step 8: Enable the Protect button in Outlook on the web (Optional).
    Set-IRMConfiguration -SimplifiedClientAccessEnabled $true
    #Step 9: Enable server decryption for Outlook on the web, Outlook for iOS, and Outlook for Android.
    Set-IRMConfiguration -ClientAccessServerEnabled $true
  3. 验证通过运行测试 IRMConfiguration cmdlet 正确配置了OME的新功能。

    Test-IRMConfiguration [-Sender <email address>]

    其中的电子邮件地址是用户的Office 365组织内的电子邮件地址。可选的提供发件人的电子邮件地址强制执行额外检查系统时间。

    您的结果应类似下面所示:

    Results : Acquiring RMS Templates ...
                  - PASS: RMS Templates acquired.  Templates available: Contoso - Confidential View Only, Contoso - Confidential, Do Not 
              Forward.
              Verifying encryption ...
                  - PASS: Encryption verified successfully.
              Verifying decryption ...
                  - PASS: Decryption verified successfully.
              Verifying IRM is enabled ...
                  - PASS: IRM verified successfully.
              
              OVERALL RESULT: PASS

    在其中Contoso替换Office 365组织的名称。

    在此示例中,可用模板列表中的也会显示不要转发选项的电子邮件。这是动态应用于其电子邮件收件人的用户,适用于 Office 365 组织,默认情况下的一组的权限。

    结果中返回的默认权限管理模板的名称可能不同于上面结果中显示有几个原因。例如:

    模板和简介关于默认模板的信息,请参阅配置和管理模板的 Azure 信息保护。有关不可转发选项的信息,包括如何创建更多模板,或了解哪些权限在现有模板,请参阅Azure 权限管理配置使用权限

    • 如果您最近获得的 Azure 信息保护的订阅,您的默认模板会创建具有以下名称:

      • 机密 \ 所有员工的读取或修改受保护的内容的权限。此模板这些权限只适用于 Office 365 组织中的用户。在您的 Office 365 组织外部的收件人不能打开受此模板的内容。

      • 高度机密 \ 所有员工只读权限的受保护的内容。此模板这些权限只适用于 Office 365 组织中的用户。在您的 Office 365 组织外部的收件人不能打开受此模板的内容。

    • 如果您获得 Azure 信息保护订阅前,一些时间,或者如果您没有 Azure 信息保护订阅,但您具有 Office 365 订阅包括 Azure 权限管理,会创建默认模板使用以下名称:

      • <组织名称> 机密的读取或修改受保护的内容的权限。此模板这些权限只适用于 Office 365 组织中的用户。在您的 Office 365 组织外部的收件人不能打开受此模板的内容。

      • <组织名称> 仅机密查看只读权限的受保护的内容。此模板这些权限只适用于 Office 365 组织中的用户。在您的 Office 365 组织外部的收件人不能打开受此模板的内容。

    • 您可以修改模板的名称。如果结果中返回的模板列表中包含不同于上面提供的默认值的名称,然后您组织中的某人具有已设置 Azure RMS 和修改默认模板的名称或可能是创建新文件并删除默认值。Microsoft 建议您确认之前将其分配给您的用户定义的任何不熟悉的模板。若要了解有关自定义的详细信息,请参阅配置和管理模板的 Azure 信息保护

  4. 运行删除 PSSession cmdlet 将与权限管理服务断开连接。

Remove-PSSession $session

注意: Outlook 网页版缓存其 UI,因此最好等待您尝试将OME的新功能应用于电子邮件使用此客户端前一天。UI 更新以反映新的配置之前, OME的新功能将不可用。用户界面中更新后,用户可以通过使用 for OME的新功能保护电子邮件。

定义使用新的OME功能的新邮件流规则

注意: 此步骤是必需的已有邮件流规则设置为对传出邮件进行加密的现有 OME 部署。如果您想要的新的 Office 365 邮件加密 (OME) 功能对您通过利用 Azure 信息保护,则必须更新您现有的邮件流规则。否则,您的用户将继续接收加密电子邮件,而不是新的无缝 OME 体验使用以前的 HTML 附件格式。此步骤是可选的新 OME 部署。

邮件流规则确定下哪些条件电子邮件应加密,以及删除加密的条件。设置规则的操作时,任何匹配规则条件的邮件进行加密时,它们将发送。

有关邮件流规则的详细信息,请参阅定义要在 Office 365 中的电子邮件进行加密的邮件流规则

相关主题

发送、 查看和回复加密邮件在 Outlook 中

启用 Aadrm

连接到 Exchange Online PowerShell

定义要在 Office 365 中的电子邮件进行加密的邮件流规则

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×