iT邦幫忙

1

部分員工導入 Microsoft 365 限制外收附件下載

  • 分享至 

  • xImage

大家好,我是公司 IT 負責人,最近有個專案想先評估可行性,再決定是否導入,想請教有經驗的前輩們

目前痛點是希望針對外部收信做到一定程度的資訊管控

公司現況
@ 員工總數:約 600 人
@ 郵件系統:第三方 Linux Mail Server(公司內部用 Outlook.webmail 收發信件)
@ AD 環境:地端自建 Windows AD
@ Office 版本:單機授權(非 Microsoft 365)
@ 無 Exchange Server

想達成的目標

  1. 僅針對約 100 位需要外部收信的員工,導入 Microsoft 365 E3 + Azure AD Premium + Microsoft Purview
  2. 這 100 位員工:
    可以從公司外部(含 VPN)收信
    可閱讀郵件內文
    但限制附件「無法下載 / 儲存 / 轉寄」
  3. 其餘 500 位員工維持原本地端環境
  4. 保持單一郵件網域(abc.com),避免客戶記兩個網域
  5. 不建 Exchange Server,雲端僅做混合整合
  6. 外部收信必須使用 Microsoft Outlook(PC、手機 App 皆可)

疑問與請教
Q1 這種「部分雲端 + 部分地端」的混合模式,是否可行?
Q2 在 Microsoft 365 環境中,是否能精準做到外部收信可看內文、但限制附件下載的控管?
Q3 如果可以,有沒有前輩能分享技術實作方向與注意事項(例如 DLP、IRM、MAM)?

請先確認你的需求,如果不能下載轉寄附件,基本上附件都要下載才能閱讀,所以換個角度想,是不是就乾脆直接禁止郵件附加檔案。
因為這樣設計,如果有檔案交換需求,就必須要透過公司內部的系統來處理。
但這樣設計就會有對外部檔案交換的問題,需要業務方面的權衡,IT限制太死讓業務端無法做事反而會被認為IT管太緊有問題,最後鬆綁也沒管制意義。
所以你的問題不是技術上雲端地端混和問題,你的雲地混和技術都做得到,但政策上可能要再想一想,你的需求有矛盾。
你的重點應該要放在資料保護,將整個附件的安全性擴大到你透過O365處理的所有資料。然後從入口<>出口之間逐一檢視,看資料傳遞的路徑和問題。
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

2
Ray
iT邦大神 1 級 ‧ 2025-08-12 17:17:35
最佳解答

你要的功能都可以做到, 但有一個限制:

用戶在外面收發郵件, 只能使用以下軟體之一:
1.Outlook OWA 網頁版 + Conditional Access Policy
2.新版 Outlook for Windows(Monarch, 不可用 Classic)
3.Microsoft 365 Outlook
4.手機版 Outlook 365 App

也就是說, 只有用戶端是透過 MAPI/EWS/Graph 協定, 向 M365 Exchange Online (雲端版) 信箱拿到的信件, 才具備: 禁止下載或轉存附件的功能. 而且即使該信又被用戶轉寄出去, 附件也會自動被撕離封裝, 不會被寄出.

但, 如果用戶端自己安裝其他的郵件軟體去存取 M365 信箱, 禁止下載就破功了. 因為非微軟設計的郵件軟體, 不會遵守管制協定, 提供這個禁制功能.

所以現在的難題變成:
你有沒有辦法管控用戶, 強制它們在外面只能使用上述四種軟體來讀信?
如果可以確實辦到無漏洞, 那就可以這樣實作.


第二個問題:
附件可以被預覽, 你無法禁止預覽的螢幕畫面被拍照; 除非, 你連預覽功能都關掉.

看更多先前的回應...收起先前的回應...

Ray大大 所以我司無架設地端Exchange也無所謂對吧? 謝謝大大

Ray iT邦大神 1 級 ‧ 2025-08-13 14:14:27 檢舉

是的, 地端不需架設 Exchange Server, 但你會用到雲端的 Exchange Online 郵件服務, 來收發那些有 E3 授權的信箱, 因為只有透過: Exchagen Online 搭配 Outlook Client, 才能有這個禁止下載的功能.

事實上, 整個郵件路由會轉變為:

外部信件->M365 Exchange->是否有E3授權?->

  1. 有授權, 由 Exhange Online 收信
  2. 無授權, 把信轉送給地端 Linux Mail Server

比較麻煩的是內部信件, 例如:
Linux 信箱裡面的人, 想寄信給 E3 信箱

為了解決內部路由的問題, 你不能再把 MX 指向內部 Linux Mail Server, 而必須統一都指向 M365 MX, 由 M365 來決定: 信應該送到哪裡去? (因為只有一個 mail domain, 而兩種信箱都要共用此 domain, 所以必須有一個入口負責仲裁信件路由)

只是變更 MX 和 Client 端的 SMTP 設定而已, 其餘(POP/IMAP)不變.

只要使用標準技術協定,就無法確保不會被第三方應用程式存取,很難說不會有第三方軟體漏洞的可能。
另外一條路是你可以透過登入存取控制的方式控制登入方式與應用程式,但這個會是你想要的嗎?

嗨嗨 b127699315想詢問您目前遇到的問題有排除了嗎~

我要發表回答

立即登入回答