Blog链接:https://blog.51cto.com/13969817
如上一篇Blog小议Microsoft 365 数据加密和传输加密策略所介绍,默认情况下,所有新创建的 Microsoft 365 租户都使用 Microsoft 生成的密钥进行加密,如果默认密钥已 经足以满足组织的加密策略,则无需采取其他步骤即可实现 Office 365 邮件加密。
本文将介绍如何实现 Microsoft Purview邮件加密?
实现租户加密策略后,可以实现 Microsoft Purview 邮件加密。为了提供最佳用户体验,管理员在为所有用户激活加密系统之前应查看租户设置(检查信息权限管理 (IRM) 功能)和 OME 设置。
默认的情况下,任何Microsoft 365 租户都应处于激活状态以使用Azure RMS和IRM功能,我们可以通过如下命令进行验证。
1. 运行以下 cmdlet 以验证租户的 IRM 配置:
Get-IRMConfiguration | fl AzureRMSLicensingEnabled
2. 如果 AzureRMSLicensingEnabled 参数设置为 $False,则使用以下 cmdlet 为租户激活 OME:
Set-IRMConfiguration -AzureRMSLicensingEnabled:$True
3. 通过发送方运行以下 cmdlet,以确认该收件人是否可以获得 IRM 数据:
Test-IRMConfiguration -Sender admin@contoso.com
说明:上述 cmdlet 需要连接到 Exchange Online PowerShell 并具有 Exchange 管理员权限才能更改租户范围设置。如果任何测试失败,可能无法提取收件人的 RMS 模板,或者所使用的加密密钥可能出现问题。
使用 Microsoft Purview高级邮件加密时,运行 New-OMEConfiguration cmdlet 以创建一个新模板,其到期日期为七天:
New-OMEConfiguration -Identity
"Expire in seven days" -ExternalMailExpiryInDays 7 ExternalMailExpiryInDays
表示收件人在邮件过期前可保留邮件的天数。可以使用 1 - 730 天之间的任何值。
以下是配置一条邮件流规则,使用邮件加密模板,用于加密发送给外部合作伙伴组织 Contoso.com的所有邮件。
1. 在 Web 浏览器中,导航到 Exchange 管理中心 https://outlook.office365.com/ecp/
2. 在 EAC 中,转到 “邮件流” > “规则”,选择 “新建” > “对邮件应用 Office 365 邮件加密和权 限保护…”
3. 输入以下信息:
- 在 “名称” 中,输入规则名称,例如 “对发送给 Contoso的所有邮件进行加密”。
- 在 “应用此规则的条件” 中,选择条件 “收件人地址包含…” 和 “以下任意字词”。
- 输入 “Contoso.com”,选择加号 (+),然后选择 “确定”。
4. 从 “执行以下操作…” 中,选择 “选择一个…” 文本,并从 “RMS 模板” 列表中,选择 “加 密”。
5. 选择 “保存”。
模板列表包括默认模板和选项以及创建的所有自定义模板,如果列表为空,请确保已使用新功能设置 Office 365 邮件加密,并为租户激活了 IRM。
如果IT Admin喜欢使用脚本的方式执行此操作,那么则无需使用名为“加密”的 RMS 模板,但需要使用要配置的 OME 配置名称。使用以下 cmdlet 创建一条新的邮件流规则, 以加密发送到contoso.com 的所有邮件:
New-TransportRule -Name "Encrypt all mails to Contoso" -FromScope InOrganization -RecipientDomainIs "adatum.com" -ApplyRightsProtectionCustomizationTemplate "OME Configuration"
谢谢大家阅读。
