如何配置和管理 Office 365 电子邮件加密

Office 365 包含强大的安全功能 Office 365 消息加密 (OME)，使组织能够在相对不安全的基础设施（邮件服务器）上安全地发送敏感信息。 OME 将电子邮件加密与由 Azure 信息保护提供支持的权限管理功能相结合。

Office 365 和 Microsoft 365 套件的 E3 和 E5 计划自动获得加密许可。若要以较低的计划使用它，必须为每个需要加密的用户添加 Azure 信息保护附加许可证。如果您的 Office 365 租户是在 2018 年 2 月之后创建的，则消息加密功能将自动存在并打开。如果你的租户是在该日期之前创建的，Microsoft 会缓慢而坚定地推出这些功能并为你启用它们；他们于 2018 年 8 月开始此流程，因此您的老租户应该很快就能获得访问权限。 OME 适用于 Office 365 邮箱以及使用 Exchange Online Protection 的本地邮箱。

电子邮件使用权限管理模板进行加密。你可以使用默认模板之一，也可以通过 Azure 门户创建自己的模板。

发送加密消息

用户可以加密他们发送的任何消息。该过程取决于他们使用的邮件客户端。

要使用 Outlook 客户端发送加密电子邮件，请从消息窗口转到“选项”选项卡，单击权限，然后从保护选项列表中选择“加密”。

图 1-1。在 Outlook 2016 中加密邮件

在 Outlook 网页版的新邮件窗口中，单击菜单栏中的保护，然后单击更改权限。在弹出的窗口中，选择“加密”保护选项：

图 1-2。在 Outlook 网页版 中加密邮件

读取和响应加密消息

当用户向外部收件人发送加密消息时，该服务将在自己的服务器上保留该消息的副本，并发送如下所示的消息：

图 1-3。接收在 Office 365 租户外部发送的加密消息

当外部用户单击“阅读消息”按钮时，他们可以使用与消息发送到的相同电子邮件地址的现有社交帐户登录，也可以选择让服务发送一次性密码到该电子邮件地址。 当满足其中任一条件时，该服务将在连接到 Office 365 邮件加密门户页面的 Web 浏览器窗口中显示受保护的邮件。收件人还可以安全地回复原始发件人。

通过 PowerShell 管理加密

要验证您的租户是否已设置加密，请使用以下命令，确保发件人值是租户中的有效帐户：

Test-IRMConfiguration -Sender [email protected]

如果您看到“总体结果：通过”，那么您就可以开始了。

您可以设置规则，以便当收件人回复受保护的邮件时，内部用户无需登录加密邮件门户即可查看回复。 （由于回复保留在 Microsoft 服务器上，因此不存在在 SMTP 传输中拦截邮件内容的风险。）使用以下命令设置此规则：

New-TransportRule - Name "Strip encryption from inbound e-mail" -SentToScope "InOrganization" -RemoveOME $true

现在您已经了解了如何配置和管理邮件加密，请查看我关于创建和管理 Office 365 组的博客文章。