Šifrování e-mailů v Microsoft 365 je funkce, díky které vaše firma pošle citlivou zprávu tak, aby si ji přečetl jen její oprávněný příjemce – i kdyby e-mail cestou zachytil někdo nepovolaný. Nástroj se jmenuje Microsoft Purview Message Encryption (dříve Office 365 Message Encryption, zkráceně OME) a je součástí většiny firemních licencí Microsoft 365. V tomto praktickém průvodci pro rok 2026 si vysvětlíme, co šifrování e-mailů obnáší, jak funguje, jak zašifrovanou zprávu odešlete krok za krokem, jak nastavit automatické šifrování pravidly a jaké licence k tomu potřebujete.
Co je šifrování e-mailů v Microsoft 365 (OME)
Šifrování e-mailů znamená, že se obsah zprávy převede do nečitelné podoby a odemknout ho dokáže pouze příjemce, kterému je určen. Běžný e-mail putuje internetem podobně jako pohlednice – teoreticky si ho po cestě může přečíst kdokoli, kdo se dostane ke správnému serveru. Zašifrovaná zpráva je naopak zalepená obálka, kterou otevře jen adresát.
Microsoft Purview Message Encryption je služba zabudovaná přímo do Exchange Online. Nemusíte instalovat žádný software ani řešit certifikáty ručně – šifrování se aplikuje na úrovni serveru a funguje i tehdy, když píšete příjemci s Gmailem, Seznamem nebo libovolnou jinou schránkou mimo Microsoft.
Zásadní výhoda oproti klasickým metodám (například PGP nebo S/MIME) spočívá v tom, že příjemce nemusí nic nastavovat. Buď se mu zpráva otevře rovnou v jeho schránce, nebo dostane odkaz do zabezpečeného portálu, kde se ověří a přečte si ji – bez zdlouhavé výměny šifrovacích klíčů.
Jak Message Encryption funguje
Princip je jednoduchý a pro odesílatele téměř neviditelný. Když zaměstnanec odešle chráněnou zprávu, proběhne na pozadí následující:
- Zašifrování na serveru. Exchange Online zprávu i přílohy zašifruje ještě předtím, než opustí firmu.
- Doručení příjemci. Pokud má příjemce také Microsoft 365 nebo Outlook, otevře se mu zpráva přímo ve schránce jako každá jiná.
- Zabezpečený portál pro ostatní. Příjemci s jinou schránkou (Gmail, Seznam, firemní pošta) dorazí e-mail s odkazem. Ověří se buď jednorázovým kódem, nebo přihlášením přes svůj účet, a zprávu si přečte v zabezpečeném prohlížeči.
Ke zprávě můžete připojit i konkrétní práva – například zákaz přeposlání nebo označení „Pouze ke čtení“. Adresát pak nemůže citlivou nabídku poslat dál ani ji zkopírovat mimo firmu. Ochrana navíc putuje se zprávou: platí i po jejím doručení, ne jen během přenosu.
Proč šifrovat firemní e-maily – i v malé firmě
Panuje mylná představa, že šifrování pošty je téma jen pro banky a korporace. Opak je pravdou. Malá firma denně posílá e-mailem smlouvy, faktury, mzdové přehledy, rodná čísla zaměstnanců nebo přístupové údaje – a právě e-mail je nejčastější cesta, kudy citlivá data z firmy unikají. Šifrování e-mailů přináší několik konkrétních výhod:
- Ochrana osobních a firemních dat. I když se zpráva omylem dostane k nesprávnému příjemci, bez oprávnění ji nikdo nepřečte.
- Soulad s GDPR. Šifrování je uznávané technické opatření pro ochranu osobních údajů podle článku 32 obecného nařízení o ochraně osobních údajů.
- Důvěra klientů. Zabezpečená komunikace působí profesionálně a odlišuje vás od konkurence, která posílá citlivé dokumenty otevřeně.
- Kontrola nad daty. Díky zákazu přeposlání zůstane citlivý obsah tam, kam patří.

Jak zašifrovat e-mail v Microsoftu 365 krok za krokem
Nejrychlejší způsob, jak zprávu ochránit, má k dispozici každý uživatel přímo v Outlooku. Postup se liší jen v detailech mezi webovou a desktopovou verzí:
- Outlook na webu: při psaní nové zprávy klikněte na tlačítko Šifrovat (ikona zámku) v horní liště a vyberte úroveň ochrany – například „Šifrovat“ nebo „Nepřeposílat“.
- Outlook pro Windows: na kartě Možnosti zvolte Šifrovat a poté požadovanou šablonu ochrany.
- Nová aplikace Outlook: tlačítko Šifrovat najdete přímo v pásu karet nové zprávy.
Uživatel tedy nemusí nic konfigurovat – stačí jedno kliknutí před odesláním. O zbytek se postará Microsoft 365 na pozadí. Aby ale byly možnosti šifrování dostupné a fungovaly správně, musí je administrátor nejprve v tenantu povolit a nastavit.
Automatické šifrování pomocí pravidel
Spoléhat se výhradně na to, že si každý zaměstnanec vzpomene kliknout na zámek, není spolehlivé. Proto je v praxi nejúčinnější automatické šifrování pomocí pravidel toku pošty (mail flow rules, dříve transport rules). Administrátor v centru Exchange nastaví podmínky, za kterých se zpráva zašifruje sama, například:
- zpráva obsahuje v předmětu slovo „důvěrné“ nebo „smlouva“,
- tělo e-mailu obsahuje rodné číslo, číslo platební karty nebo jiný citlivý údaj (ve spojení s pravidly pro prevenci úniku firemních dat (DLP)),
- e-mail odchází z konkrétního oddělení, například mzdové účtárny.
Automatické šifrování odstraňuje slabé místo v podobě lidské chyby a zajistí, že citlivá pošta odejde chráněná i tehdy, když na to zaměstnanec zapomene. Nastavení pravidel je jednorázová práce, která se firmě dlouhodobě vyplatí.
Jaké licence potřebujete
Message Encryption je součástí řady firemních plánů, takže většina malých firem už ho má zaplacené a stačí ho jen zapnout. Konkrétně je šifrování e-mailů dostupné mimo jiné v licencích:
- Microsoft 365 Business Premium – nejčastější volba malých firem, obsahuje plnou sadu ochrany včetně šifrování a citlivostních štítků.
- Office 365 E3 / E5 a Microsoft 365 E3 / E5 – firemní plány pro větší organizace.
- Microsoft 365 Business Standard nabízí základní šifrování zpráv, pokročilé funkce (například vlastní branding portálu) jsou ale až ve vyšších plánech.
Pokud si nejste jistí, který plán máte a co přesně pokrývá, pomůže srovnání v našem článku Microsoft 365 Business Premium vs. Standard. Šifrování e-mailů je jedním z hlavních důvodů, proč se pro firmy pracující s citlivými daty vyplatí sáhnout po plánu Business Premium.
Šifrování e-mailů vs. další bezpečnostní nástroje
Šifrování zpráv si lidé často pletou s jinými funkcemi ochrany pošty. Každá přitom řeší něco jiného a nejlépe fungují dohromady:
- SPF, DKIM a DMARC ověřují, že e-mail skutečně odeslala vaše doména, a chrání před podvržením. Neřeší ale utajení obsahu – více v článku o zabezpečení firemního e-mailu.
- Citlivostní štítky klasifikují dokumenty i e-maily podle důvěrnosti a mohou k nim šifrování automaticky připojit – viz citlivostní štítky v Microsoft 365.
- Microsoft Defender for Office 365 chrání příchozí poštu před phishingem a škodlivými přílohami – více v článku o ochraně e-mailu před phishingem.
Message Encryption tuto skládačku doplňuje o poslední díl: důvěrnost odchozí komunikace. Zatímco ostatní nástroje řeší, komu věřit a co pustit dovnitř, šifrování zajišťuje, aby citlivá zpráva ven odešla čitelná jen pro správného adresáta.
Nejčastější chyby a tipy z praxe
Při zavádění šifrování e-mailů se v malých firmách opakují stejné omyly. Vyhněte se jim a nasazení půjde hladce:
- Šifrovat všechno. Šifrovat každou zprávu je zbytečné a otravuje příjemce ověřováním. Zaměřte se na skutečně citlivou poštu – smlouvy, mzdy, osobní údaje.
- Zapomenout na školení. Vysvětlete zaměstnancům, kdy a proč zámek použít. Bez toho ho buď nikdo nepoužívá, nebo naopak zbytečně všude.
- Spoléhat jen na ruční klikání. Kombinujte pomoc uživatelů s automatickými pravidly, aby citlivá data neunikla kvůli obyčejné nepozornosti.
- Neinformovat příjemce. Klienty, kterým budete zabezpečené zprávy posílat pravidelně, dopředu upozorněte, aby se ověřovacího odkazu nezalekli jako podvodu.
Časté dotazy
Musí mít příjemce také Microsoft 365, aby si zašifrovaný e-mail přečetl?
Ne. Příjemce s Gmailem, Seznamem nebo jakoukoli jinou schránkou dostane odkaz do zabezpečeného portálu, kde se ověří jednorázovým kódem nebo přihlášením a zprávu si přečte. Nic si nemusí instalovat ani nastavovat.
Poznám, že příjemce zprávu otevřel?
Samotné šifrování potvrzení o přečtení neřeší, ale u vyšších licencí a ve spojení s citlivostními štítky lze sledovat přístup k chráněnému obsahu a v případě potřeby oprávnění odebrat.
Je šifrování e-mailů povinné podle GDPR?
GDPR přímo nepřikazuje konkrétní technologii, ale v článku 32 uvádí šifrování jako jedno z vhodných opatření k zabezpečení osobních údajů. Pokud e-mailem posíláte osobní data, šifrování výrazně snižuje riziko i případnou pokutu při úniku.
Zpomalí šifrování odesílání pošty?
Pro odesílatele je proces prakticky okamžitý – jde o jedno kliknutí nebo automatické pravidlo. Drobné zdržení může nastat jen na straně externího příjemce, který se poprvé ověřuje v portálu.
Zvládneme nasazení sami, nebo potřebujeme IT specialistu?
Základní zapnutí a odeslání šifrované zprávy zvládne technicky zdatný uživatel. Nastavení automatických pravidel, provázání s DLP a citlivostními štítky a školení zaměstnanců se ale vyplatí svěřit IT partnerovi, aby ochrana fungovala spolehlivě a bez chyb.
Závěr: začněte chránit citlivou poštu ještě dnes
Šifrování e-mailů v Microsoft 365 je pro malou firmu ideální kombinací nízké ceny (často už je součástí licence), snadného použití a vysoké ochrany. Jediné kliknutí nebo chytře nastavené pravidlo dokáže zabránit úniku smluv, faktur i osobních údajů klientů – a zároveň vám pomůže naplnit povinnosti podle GDPR.
Nevíte, jak Message Encryption v tenantu zapnout, nastavit automatická pravidla nebo je provázat s citlivostními štítky a DLP? Ozvěte se nám na bezplatný IT audit – v rámci správy firemního IT vám šifrování e-mailů nastavíme na míru a zaškolíme vaše zaměstnance, aby ochrana citlivých dat fungovala v praxi, ne jen na papíře.
Oficiální dokumentaci a technické detaily najdete na stránkách Microsoft Learn o Message Encryption a v návodu nastavení nových funkcí šifrování zpráv. Povinnosti při ochraně osobních údajů shrnuje plné znění GDPR na webu Úřadu pro ochranu osobních údajů.

