Office 365 邮件加密 OME

Office 365 邮件加密 (OME) 是一种 Microsoft 解决方案，可通过多层保护安全、完全加密地发送邮件。邮件不是通过 SMTP 发送给收件人，而是加密并存储在 Microsoft 查看门户上。将向收件人发送一条带有一次性密码的信息性消息，收件人可以使用该密码登录查看门户并阅读（解密的）消息，如下图所示：

要配置 OME，您必须首先启用 Azure 权限管理。为此，请打开 Office 365 管理门户，然后选择设置| 服务和插件。在详细信息窗格中，选择Microsoft Azure 信息保护。单击管理 Microsoft Azure 信息保护设置，如以下屏幕截图所示：

单击激活，几分钟后您将看到一条确认消息。

如果打开 Exchange Online Powershell 并执行 Get-IRMConfiguration，您将看到 AzureRMS 已启用，如下面的屏幕截图所示。请注意，LicensingLocation 为空，这在后续步骤中很重要。

根据 Microsoft 文档，您现在应该能够使用 Test-IRMConfiguration 命令测试 IRM 配置，但这将失败并出现“无法获取 RMS 模板”错误如下图所示：

其原因（我花了一些时间才弄清楚）是 LicensingLocation 属性为空。要填充此属性，我们可以使用 PowerShell 从 Azure AD 权限管理服务检索正确的值。可以使用Install-Module AIPService命令安装它。

安装后，打开Exchange Online PowerShell模块并执行以下命令：

PS C:\> $RMSConfig=Get-AadrmConfiguration

PS C:\> $RMSConfig

PS C:\> $LicenseUri=$RMSConfig.LicensingIntranetDistributionPointUrl

PS C:\> $LicenseUri

PS C:\> Set-IRMConfiguration -LicensingLocation $LicenseUri

PS C:\> Set-IRMConfiguration -InternalLicensingEnabled $true

注意。执行 $RMSConfig 和 $LicenseUri 命令的唯一原因是检查这些变量中是否有任何值。输出如下图所示：

当您再次执行Test-IRMConfiguration命令时，您将看到它成功：

那么你怎么知道这有效呢？

最简单的方法是使用 OWA。要在 OWA 中创建额外的“加密”按钮，请在 Exchange Online PowerShell 窗口中执行以下命令：

PS C:\> Set-IRMConfiguration -SimplifiedClientAccessEnabled $true

现在，当在 OWA 中创建新消息时，此按钮清晰可见。发送一条新消息（发送到您自己的测试帐户，例如 Gmail），然后单击“加密”按钮。将出现一条消息，表明此消息已加密，很高兴知道，收件人无法删除加密，只有消息的发件人可以更改此设置。您可以使用更改权限按钮将其从仅加密更改为不转发或机密。

几秒钟后，电子邮件将出现在 Gmail 中，但不会直接出现。您必须在查看门户上打开解密的消息。可以使用一次性密码（发送到同一电子邮件地址，即我们此处使用的 Gmail 地址），也可以使用 Gmail 帐户登录。如果收件人是 hotmail 邮箱或者更好的是 Office 365 邮箱，则后者也适用。

当您点击阅读消息时，它将在查看门户上打开。

再次显示一条消息，表明这是一条加密消息。当您回复消息时，加密消息将返回给原始发件人。如果您之前在权限下拉框中选择了不转发，则收件人没有此选项，只能回复消息。

它在 Outlook 中也运行良好（我已经使用 Outlook 2016 Click-2-Run 对此进行了测试，仍然需要测试其他版本）。如果您创建新消息并选择选项，则可以在“权限”下选择连接到权限管理服务器并获取模板，如以下屏幕截图所示：

这将从 Exchange Online 检索本博文前面创建的 RMS 模板。几秒钟后您将看到以下选项：

• 仅加密
• 请勿转发
• 机密的
• 仅限机密查看

当您选择仅加密（如以下屏幕截图所示）时，加密邮件将发送给目标收件人：

从此时起，行为将与本博客文章前面讨论的 Outlook Web App 相同。

概括

本博客文章中概述的 Outlook 邮件加密是一种向收件人发送加密邮件的方法。它不是像 TLS 或 S/MIME 那样进行传输加密，而是将加密的消息存储在 Microsoft 服务器上。收件人将收到一封加密消息正在等待的电子邮件，收件人可以使用一次性密码（或使用 Microsoft 或 Gmail 帐户）登录特殊网站。

由于使用了 RMS（权限管理服务）模板，因此还可以使用其他功能，例如不转发（转发按钮呈灰色）或将邮件标记为机密 。这可以与传输规则结合使用，以在涉及机密信息时添加附加功能或邮件流，而这些功能在使用良好的旧电子邮件时不可用。