É certamente mais seguro do que enviar uma mensagem de texto simples. Quando uma mensagem sai de seus servidores, você não pode ter certeza de que a transmissão está protegida com TLS durante toda a jornada (a menos que você configure uma confiança direta e force o TLS entre dois pontos de extremidade). Você tem que assumir que sua mensagem está clara quando sair.
Com o serviço de criptografia - a Microsoft permite criptografar a mensagem e enviá-la para um destinatário. O destinatário pode ler a mensagem acessando-a através de um portal da web ou aplicativo móvel. Eles têm uma opção para entrar com uma ID da Microsoft correspondente (ela deve corresponder ao endereço do destinatário) ou usar um código de senha único gerado e enviado para o endereço do destinatário.
Como você não possui e não pode ditar os termos a partir dos quais o destinatário receberá e abrir a mensagem, você DEVE CONFIAR que eles são a pessoa para quem você está enviando. Se a conta do destinatário estiver comprometida, talvez eles consigam abrir a mensagem. Isso inclui algum homem nos cenários do meio, onde os meios para acessar a mensagem (o link do portal e mensagem criptografada), bem como snagging a chave.
Você pode tentar incluir recursos adicionais, como o TLS (mas não pode garantir isso) para transporte. Você também pode ter certeza de que os registros SPF, DKIM e DMARC adequados estão configurados (mas eles ainda dependem do recebedor que os honre) para ajudar.
Se você deseja criptografia de ponta a ponta, você precisa confiar em S / MIME ou algo como PGP. Mas mesmo com essas ferramentas, você nunca pode ter 100% de certeza de quem tem a chave privada ou se o destinatário foi comprometido.
TLDR;
Se você não pode ou não confia na pessoa que está dando acesso aos dados, então nenhum controle técnico pode lhe dar o que você está procurando. Os usuários serão para sempre a maior falha de segurança.