我們正在嘗試用 MS365 內建的電子郵件加密來取代安全電子郵件閘道解決方案。
我們設定了一個郵件流規則,強制從特定發送地址到任何收件人進行加密,如下所示:
狀況:
應用規則,如果:
寄件者是 '[電子郵件受保護]'執行下列操作: 修改郵件安全性 - 應用程式 Office 365 郵件加密和權限保護
- 使用“加密”權限保護訊息(預設加密策略)
現在,當我們從alwaysencrypt- 這是一個商業基本許可帳戶在這個租戶中 - 我們得到了奇怪的結果。
- 當傳送至非 MS365 帳戶/租用戶/網域時,電子郵件是財產傳遞的,並且需要傳送 OTP 代碼來驗證存取權限。這很好用。
- 對於某些 MS365 租用戶收件者(但不屬於原始租用戶的一部分),權限管理可以正常運作,並正確將此外部租用戶識別為收件人,並允許使用者存取。
- 對於不屬於原始租用戶的其他 MS365 租用戶收件人,系統不允許其使用者登入並使用 MS365 租用戶身分驗證來存取文檔,並會失敗並顯示類似於以下內容的訊息:
Selected user account does not exist in tenant 'Example Tenant' and cannot access the application 'UUID' in that tenant. The account needs to be added as an external user in the tenant first. Please use a different account.
這是很新的我們有第三種選擇,且 MS365 不向外部租用戶提供 OTP 碼選項。
我沒有找到解決此問題並允許外部租戶存取權限系統的方法,而無需將其手動添加到我們的原始租戶,這是一個問題,因為這是一個自動化系統,將加密訊息資料作為警報系統的一部分發送給外部收件人。
有沒有人看到過這個,是否有人知道我們如何解決這個問題,以強制它不使用 MS365 租戶身份驗證來訪問加密訊息,而僅在組織外部時進行 OTP 代碼驗證?
我應該指出,MS365 現在強制使用 Microsoft Purview,因此舊版 OME 解決方案將無法運行,並且關於如何更改此解決方案或根據需要進行這些修訂的文件為零。
請注意,我有權存取原始租用戶上的全域管理員,因此如果需要,我應該有權存取所有 Powershell 選項。
答案1
所以,事實上,事實證明這根本不是一個「租戶」問題,而是一個許可問題。這是不是可以直接在文件中找到,因為基本的 Purview 頁面甚至沒有引用它,它只是在常見問題解答中,當您嘗試調試加密內容時您看不到它。
埋葬這裡在常見問題中的 Microsoft Purview OME 文件中(但不在 Purview 文件的其他任何地方),它指出了 Purview 自動支援哪些計劃:
要使用 Microsoft Purview 訊息加密,您需要以下計劃之一:
Microsoft Purview 訊息加密作為 Office 365 企業版 E3 和 E5、Microsoft 365 企業版 E3 和 E5、Microsoft 365 商業高級版、Office 365 A1、A3 和 A5 以及 Office 365 Government G3 和 G5 的一部分提供。您不需要額外的授權即可獲得由 Azure 資訊保護提供支援的新保護功能。
您也可以將Azure 資訊保護計畫1 新增至下列方案以接收Microsoft Purview 郵件加密:Exchange Online 方案1、Exchange Online 方案2、Office 365 F3、Microsoft 365 商業基本版、Microsoft 365 商業標準版或Office 365 企業版E1。
每個受益於 Microsoft Purview 訊息加密的使用者都需要獲得使用訊息加密的授權。
不幸的是,這沒有在 MS365 計劃頁面上列出,並且在有關 MS365 計劃的任何其他文件中都沒有詳細說明 - 至少沒有任何明顯的地方。
我們取得了所示的 Azure 資訊保護計畫 1 的許可證,並將其附加到alwaysencrypt原始租用戶中的使用者。在給 Microsoft 時間將此變更和 AIP 服務套用到原始租用戶後,它按預期工作,外部租用戶現在可以檢視訊息,非 MS365 收件者也可以。
微軟今天在他們的文檔中得分為-1,但至少我們透過一個簡單的解決方案解決了這個問題:向微軟投入更多資金。