部分員工導入 Microsoft 365 限制外收附件下載

#microsoft365 #azuread #purview #郵件安全 #dlp

b127699315 2025-08-12 16:57:00 ‧ 3037 瀏覽

分享至

大家好，我是公司 IT 負責人，最近有個專案想先評估可行性，再決定是否導入，想請教有經驗的前輩們

目前痛點是希望針對外部收信做到一定程度的資訊管控

公司現況
@ 員工總數：約 600 人
@ 郵件系統：第三方 Linux Mail Server（公司內部用 Outlook.webmail 收發信件）
@ AD 環境：地端自建 Windows AD
@ Office 版本：單機授權（非 Microsoft 365）
@ 無 Exchange Server

想達成的目標

僅針對約 100 位需要外部收信的員工，導入 Microsoft 365 E3 + Azure AD Premium + Microsoft Purview
這 100 位員工：
可以從公司外部（含 VPN）收信
可閱讀郵件內文
但限制附件「無法下載 / 儲存 / 轉寄」
其餘 500 位員工維持原本地端環境
保持單一郵件網域（abc.com），避免客戶記兩個網域
不建 Exchange Server，雲端僅做混合整合
外部收信必須使用 Microsoft Outlook（PC、手機 App 皆可）

疑問與請教
Q1 這種「部分雲端 + 部分地端」的混合模式，是否可行？
Q2 在 Microsoft 365 環境中，是否能精準做到外部收信可看內文、但限制附件下載的控管？
Q3 如果可以，有沒有前輩能分享技術實作方向與注意事項（例如 DLP、IRM、MAM）？

poiu124pat iT邦新手 2 級 ‧ 2025-08-13 14:36:58 檢舉

請先確認你的需求，如果不能下載轉寄附件，基本上附件都要下載才能閱讀，所以換個角度想，是不是就乾脆直接禁止郵件附加檔案。
因為這樣設計，如果有檔案交換需求，就必須要透過公司內部的系統來處理。
但這樣設計就會有對外部檔案交換的問題，需要業務方面的權衡，IT限制太死讓業務端無法做事反而會被認為IT管太緊有問題，最後鬆綁也沒管制意義。

poiu124pat iT邦新手 2 級 ‧ 2025-08-13 14:38:58 檢舉

所以你的問題不是技術上雲端地端混和問題，你的雲地混和技術都做得到，但政策上可能要再想一想，你的需求有矛盾。

poiu124pat iT邦新手 2 級 ‧ 2025-08-13 14:52:15 檢舉

你的重點應該要放在資料保護，將整個附件的安全性擴大到你透過O365處理的所有資料。然後從入口<>出口之間逐一檢視，看資料傳遞的路徑和問題。

登入發表討論

熱門推薦

{{ item.channelVendor }} | {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2025-08-12 17:17:35

最佳解答

你要的功能都可以做到, 但有一個限制:

用戶在外面收發郵件, 只能使用以下軟體之一:
1.Outlook OWA 網頁版 + Conditional Access Policy
2.新版 Outlook for Windows（Monarch, 不可用 Classic）
3.Microsoft 365 Outlook
4.手機版 Outlook 365 App

也就是說, 只有用戶端是透過 MAPI/EWS/Graph 協定, 向 M365 Exchange Online (雲端版) 信箱拿到的信件, 才具備: 禁止下載或轉存附件的功能. 而且即使該信又被用戶轉寄出去, 附件也會自動被撕離封裝, 不會被寄出.

但, 如果用戶端自己安裝其他的郵件軟體去存取 M365 信箱, 禁止下載就破功了. 因為非微軟設計的郵件軟體, 不會遵守管制協定, 提供這個禁制功能.

所以現在的難題變成:
你有沒有辦法管控用戶, 強制它們在外面只能使用上述四種軟體來讀信?
如果可以確實辦到無漏洞, 那就可以這樣實作.

第二個問題:
附件可以被預覽, 你無法禁止預覽的螢幕畫面被拍照; 除非, 你連預覽功能都關掉.