我们正在尝试用 MS365 的内置电子邮件消息加密来取代安全电子邮件网关解决方案。
我们设置了邮件流规则,强制从特定发送地址到任何收件人进行加密,如下所示:
状况:
应用规则,如果:
发件人是'[电子邮件保护]‘执行以下操作:修改邮件安全性 - 应用 Office 365 邮件加密和权限保护
- 使用“加密”保护消息的权限(默认加密策略)
现在,当我们从发送时alwaysencrypt- 这是一个商业基本许可帐户在这个租户中 - 我们得到了奇怪的结果。
- 向非 MS365 帐户/租户/域发送电子邮件时,电子邮件将正确送达,并且需要发送 OTP 代码来验证访问权限。这很好用。
- 对于某些 MS365 租户接收者但不属于原始租户,权限管理可以正常工作,并可以正确识别该外部租户为接收者,并且允许用户访问。
- 对于不属于原始租户的其他 MS365 租户收件人,系统不允许其用户登录并使用 MS365 租户身份验证来访问文档,并会失败并显示类似于
Selected user account does not exist in tenant 'Example Tenant' and cannot access the application 'UUID' in that tenant. The account needs to be added as an external user in the tenant first. Please use a different account.
这是很新的我们有第三种选择,而 MS365 不向外部租户提供 OTP 代码选项。
我没有找到解决这个问题的方法,也没有办法允许外部租户访问权限系统,而无需手动将他们添加到我们的原始租户中,这是一个问题,因为这是一个自动化系统,将加密消息数据作为警报系统的一部分发送给外部收件人。
有谁见过这种情况吗?有谁知道我们如何解决这个问题,强制它不使用 MS365 租户身份验证来访问加密消息,并且仅在组织外部才使用 OTP 代码验证?
我应该指出,MS365 现在强制使用 Microsoft Purview,因此传统的 OME 解决方案将无法运行,并且没有关于如何根据需要更改或进行这些修订的文档。
请注意,我可以访问原始租户上的全局管理员,因此如果需要,我应该可以访问所有 Powershell 选项。
答案1
因此,事实上,这根本不是一个“租户”问题,而是一个许可问题。不是在文档中很容易找到,因为基本的 Purview 页面甚至没有引用这一点,它只在常见问题解答中,当您尝试调试加密内容时您看不到它。
埋葬这里在常见问题解答中的 Microsoft Purview OME 文档中(但在 Purview 文档的其他任何地方都没有),它指出了 Purview 在哪些计划中自动受支持:
要使用 Microsoft Purview 消息加密,您需要以下计划之一:
Microsoft Purview 消息加密是 Office 365 Enterprise E3 和 E5、Microsoft 365 Enterprise E3 和 E5、Microsoft 365 Business Premium、Office 365 A1、A3 和 A5 以及 Office 365 Government G3 和 G5 的一部分。您不需要额外的许可证即可获得由 Azure 信息保护提供支持的新保护功能。
你还可以将 Azure 信息保护计划 1 添加到以下计划以接收 Microsoft Purview 消息加密:Exchange Online 计划 1、Exchange Online 计划 2、Office 365 F3、Microsoft 365 Business Basic、Microsoft 365 Business Standard 或 Office 365 Enterprise E1。
每个受益于 Microsoft Purview 消息加密的用户都需要获得许可证才能使用消息加密。
不幸的是,这没有在 MS365 计划页面上列出,也没有在任何其他有关 MS365 计划的文档中详细说明 - 至少在任何明显的地方。
我们按照指示获得了 Azure 信息保护计划 1 的许可证,并将其附加到alwaysencrypt原始租户中的用户。在给 Microsoft 时间将此更改和 AIP 服务应用于原始租户后,它按预期工作,外部租户现在可以查看消息,非 MS365 收件人也可以查看消息。
微软今天的文档评分为 -1,但至少我们通过一个简单的解决方案解决了这个问题:向微软投入更多资金。