通过

加密内容的Microsoft Entra配置

如果使用来自 Azure Rights Management Service 的加密保护敏感项(如电子邮件和文档),Microsoft Purview 信息保护,则某些Microsoft Entra配置可能会阻止对此加密内容的授权访问。

同样,如果用户收到来自另一个组织的加密电子邮件,或者与其他使用 Azure Rights Management 服务(也称为 Azure RMS)加密文档的组织协作,则用户可能无法打开该电子邮件或文档,因为其Microsoft Entra ID的配置方式。

例如:

  • 用户无法打开从其他组织发送的加密电子邮件。 或者,用户报告其他组织中的收件人无法打开他们发送的加密电子邮件。

  • 你的组织与另一个组织协作处理一个联合项目,项目文档通过加密、使用Microsoft Entra ID中的组授予访问权限来保护它们。 用户无法打开由其他组织中的用户加密的文档。

  • 用户在办公室时可以成功打开加密的文档,但在尝试远程访问此文档时无法成功,并且系统会提示他们进行多重身份验证 (MFA) 。

若要确保不会无意中阻止对加密服务的访问,请使用以下部分来帮助配置组织的Microsoft Entra ID,或将信息中继到另一个组织中的Microsoft Entra管理员。 如果不访问此服务,用户将无法进行身份验证,也无权打开加密内容。

提示

如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。

跨租户访问设置和加密内容

重要

另一个组织的跨租户访问设置可能负责其用户无法打开用户已加密的内容,或者用户无法打开其他组织加密的内容。

用户看到的消息指示哪个组织阻止了访问。 可能需要将另一个组织的Microsoft Entra管理员定向到此部分。

默认情况下,当用户使用 Azure Rights Management 服务中的加密保护内容时,无需为跨租户身份验证配置任何功能。 但是,组织可以使用Microsoft Entra外部标识跨租户访问设置来限制访问。 相反,另一个组织也可以配置这些设置,以限制组织中用户的访问。 这些设置会影响打开任何加密项目,其中包括加密的电子邮件和加密的文档。

例如,另一个组织可能配置了阻止其用户打开组织加密的内容的设置。 在此方案中,在其Microsoft Entra管理员重新配置其跨租户设置之前,尝试打开该内容的外部用户会看到一条消息,通知他们 Access 被你的组织阻止,并引用了你的租户管理员

来自 Fabrikam, Inc 组织的已登录用户的示例消息,当其本地Microsoft Entra ID阻止访问时:

当本地Microsoft Entra租户阻止访问加密内容时的示例消息。

当Microsoft Entra配置阻止访问时,用户将看到类似的消息。

从已登录用户的角度来看,如果是另一个负责阻止访问的Microsoft Entra组织,则邮件更改为 Access 会被组织阻止,并在邮件正文中显示该组织的域名。 例如:

当另一个Microsoft Entra租户阻止访问加密内容时的示例消息。

每当跨租户访问设置限制应用程序的访问时,都必须将其配置为允许访问权限管理服务,该服务具有以下应用 ID:

00000012-0000-0000-c000-000000000000

如果不允许此访问,则无法对用户进行身份验证并授权用户打开加密内容。 此配置可以设置为默认设置和组织设置:

  • 若要允许与其他组织共享加密内容,请创建一个入站设置,允许访问 Microsoft Rights Management Service (ID:00000012-0000-0000-c000-0000000000000) 。

  • 若要允许访问用户从其他组织收到的加密内容,请创建一个出站设置,允许访问 Microsoft Rights Management Service (ID:00000012-00000-0000-c000000000000000000)

为加密服务配置这些设置后,应用程序会显示 Microsoft Rights Management Services

有关配置这些跨租户访问设置的说明,请参阅 为 B2B 协作配置跨租户访问设置

如果配置了Microsoft Entra条件访问策略,这些策略要求用户进行多重身份验证 (MFA) ,请参阅以下有关如何为加密内容配置条件访问的部分。

条件访问策略和加密文档

如果组织已实现Microsoft Entra条件访问策略,其中包括Microsoft Rights Management Services,并且该策略扩展到需要打开组织加密的文档的外部用户:

  • 对于在其自己的租户中具有Microsoft Entra帐户的外部用户,我们建议使用外部标识跨租户访问设置为来自一个、多个或所有外部Microsoft Entra组织的 MFA 声明配置信任设置。

  • 对于上一项未涵盖的外部用户,例如,没有Microsoft Entra帐户或你尚未为信任设置配置跨租户访问设置的用户,这些外部用户在租户中必须具有来宾帐户。

如果没有这些配置之一,外部用户将无法打开加密的内容并看到错误消息。 消息文本可能会通知他们,需要将其帐户添加为租户中的外部用户,并且此方案使用其他Microsoft Entra用户帐户注销并再次登录的说明不正确。

如果无法满足需要打开组织加密内容的外部用户的这些配置要求,则必须从条件访问策略中删除Microsoft Rights Management Services,或从策略中排除外部用户。

有关详细信息,请参阅常见问题解答,我看到 Azure 信息保护被列为可用于条件访问的云应用—这是如何工作的?

外部用户用于打开加密文档的来宾帐户

可能需要Microsoft Entra租户中的来宾帐户,外部用户才能打开组织加密的文档。 用于创建来宾帐户的选项:

  • 自行创建这些来宾帐户。 你可以指定这些用户已使用的任何电子邮件地址。 例如,他们的 Gmail 地址。

    此选项的优点是,可在加密设置中指定特定用户的电子邮件地址,从而限制特定用户的访问和权限。 其费用表示创建帐户和管理标签配置时的管理开销。

  • SharePoint 和 OneDrive 与 Microsoft Entra B2B 集成,以便在用户共享链接时自动创建来宾帐户。

    此选项的优点是最低管理开销,因为会自动创建帐户,并且标签配置更简单。 对于此方案,必须先选择加密 添加任何经过身份验证的用户 因为事先不知道电子邮件地址。 请注意,此设置不允许限制特定用户的访问和使用权限。

使用 Windows 和 Microsoft 365 应用(以前Office 365 应用)或 Office 2019 独立版本时,外部用户也可使用 Microsoft 帐户打开加密文档。 最近支持在其他平台中打开加密文档,Microsoft 帐户也支持在 macOS(Microsoft 365 应用,版本 16.42+)、Android(版本 16.0.13029+)和 iOS(版本 2.42+)上打开加密文档。

例如,组织中用户与组织外部的用户共享加密文档,并且加密设置为外部用户指定 Gmail 电子邮件地址。 此外部用户可以创建自己的使用其 Gmail 电子邮件地址的 Microsoft 帐户。 然后,在登录此帐户后,可根据指定的使用限制打开并编辑该文档。 有关此方案的演练示例,请参阅 并编辑受保护的文档

注意

Microsoft帐户的电子邮件地址必须与指定的电子邮件地址匹配,以限制加密设置的访问。

当具有 Microsoft 帐户的用户如此打开加密文档时,如果同名来宾帐户不存在,将自动为租户创建来宾帐户。 当来宾帐户存在时,除了从支持的桌面和移动 Office 应用打开加密文档外,还可以使用 Office 网页版在 SharePoint 和 OneDrive 中打开文档。

但是,由于复制延迟,在此方案中不会立即创建自动来宾帐户。 如果指定个人电子邮件地址作为加密设置的一部分,建议在 Microsoft Entra ID 中创建相应的来宾帐户。 然后,让这些用户知道他们必须使用此帐户才能从组织打开加密文档。

提示

由于你无法确定外部用户将使用受支持的 Office 客户端应用,因此,在为特定) 用户创建来宾帐户 (后,或者将 SharePoint 和 OneDrive 与 Microsoft Entra B2B (集成用于任何经过身份验证的用户) 共享来自 SharePoint 和 OneDrive 的链接是支持与外部用户进行安全协作的更可靠的方法。

跨云访问设置和加密内容

注意

对加密文件的跨云支持以预览版推出,可能会发生更改。

跨租户访问设置启用对加密文档的跨云访问。 因此,属于另一个云环境中的组织的用户可以打开组织加密Word、Excel 和 PowerPoint 文件。 例如,这些用户可能位于Microsoft Azure 政府,或者Microsoft由世纪互联) 运营的 Azure 中国 (。

支持的方案

公共预览版支持以下方案:

  • 加密Word、Excel 和 PowerPoint 文件可以与其他云环境中的用户共享,并在 Windows、MacOS 和移动设备上查看。 此方案不适用于通过 SharePoint 或 OneDrive 共享链接共享的文件,而是适用于直接电子邮件附件、USB 驱动器、文件共享或共享和从 SharePoint 下载的方法。
  • 用户可以是组织中的来宾,但不一定是来宾。
  • 可以为使用 管理员定义的权限时应用加密的敏感度标签配置外部用户和域,或者在为用户定义的权限配置标签时由 用户指定。

不支持的方案

  • 目前不会评估嵌套在组织中的组中的来宾成员。 用户必须直接在标签配置中指定或由用户指定。
  • 不支持Email,包括所有 Outlook 客户端。
  • MICROSOFT Edge 或 Adobe Acrobat 等 PDF 查看器目前不受支持。

要求

  • Microsoft 365 应用版版本 2402 或更高版本或 office 2024 Microsoft。
  • 双方的管理员必须:
    • 配置跨租户访问设置以启用跨云访问
    • 将合作伙伴组织添加为允许的组织
  • 打开加密文件的用户必须分配有电子邮件地址。

跨租户访问设置:启用跨云协作

需要一次性步骤才能跨不同的云环境启用协作:

  1. 在Microsoft Entra 管理中心中,导航到“外部标识>跨租户访问设置”。
  2. 选择 “Microsoft云设置”。
  3. 选择需要启用协作的云环境:
    • 公有云中的组织Microsoft Azure 政府Microsoft由世纪互联) 运营的 Azure 中国 (
    • 主权云中的组织只能看到 azure 商业云Microsoft
  4. 选择托管合作伙伴组织的云环境,然后选择“ 保存”。

注意

两个组织都必须完成此步骤,并选择合作伙伴云。

跨租户访问设置:配置组织设置

配置组织设置:

  1. 在Microsoft Entra 管理中心中,导航到“外部标识>跨租户访问设置”。
  2. 选择“组织设置”。
  3. 选择“添加组织”。
  4. 输入合作伙伴组织的Microsoft Entra租户 ID
  5. 选择“添加”。

租户 ID 显示在Microsoft Entra 管理中心的“概述”部分中,应由合作伙伴组织提供。

跨租户访问设置:信任外部 MFA 声明

如果外部用户未作为来宾邀请,应将入站信任设置配置为信任外部 MFA 声明。 如果用户被邀请为来宾,并且你信任外部 MFA 声明,建议从组织中的 MFA 注册 中排除外部用户

有关配置详细信息,请参阅 管理 B2B 协作的跨租户访问设置

跨租户访问设置:入站和出站访问设置

前面的步骤足以使两个组织都能够使用合作伙伴组织的受保护内容。 如果要将跨云协作限制为仅允许文档解密、不包括其他服务,或者要单向建立关系,请查看 跨租户访问设置和加密内容

对基于域的共享的更改

当加密方案限制在同一个云环境中时,为标签加密设置指定单个域会导致对拥有指定域的组织中的所有用户进行身份验证和授权,而不管用户的电子邮件域如何。 有关此基于域的访问的详细信息,请参阅 使用敏感度标签应用加密来限制对内容的访问中的说明。

但是,跨云功能依赖于 Entra 访问令牌中嵌入的数据。 该功能使用两个 可选声明verified_primary_emailverified_secondary_email

在授权期间,会根据标签中定义的权限提取和评估这些声明。 当权限管理服务评估基于域的访问时,它只能评估访问令牌中提供的电子邮件后缀。 这会导致管理员定义的权限或用户定义的权限必须包含与用户的电子邮件后缀完全映射的域名。

跨云常见问题

外部用户尝试打开加密文件时,会看到“组织阻止访问”

未在一端或两端正确配置跨租户访问设置。 查看此页上 的跨租户访问设置和加密内容 部分以及跨云特定示例。

AADSTS90072:非用户看到“来自标识提供者'microsoftonline.com'的用户帐户 {user@contoso.com} 不存在...”

此错误表示外部 MFA 声明不受信任。 有关配置详细信息,请参阅 管理 B2B 协作的跨租户访问设置

后续步骤

有关可能需要进行其他配置,请参阅 限制对租户的访问。 特定于 Azure Rights Management 服务的网络基础结构配置,请参阅 防火墙和网络基础结构

如果使用 敏感度标签 来加密文档和电子邮件,你可能对 支持外部用户和已标记的内容 感兴趣,以了解哪些标签设置适用于租户。 有关标签加密设置的配置指南,请参阅 使用敏感度标签来应用加密来限制对内容的访问

有兴趣了解如何以及何时访问加密服务? 请参阅 Azure RMS 工作原理演练:首次使用、内容保护、内容使用