Verwaltung von Informationsrechten

  • Artikel

Gilt für: Exchange Server 2013

Jeden Tag verwenden Information Worker E-Mail, um vertrauliche Informationen wie Finanzberichte und Daten, gesetzliche Verträge, vertrauliche Produktinformationen, Verkaufsberichte und Projektionen, Wettbewerbsanalysen, Forschungs- und Patentinformationen sowie Kunden- und Mitarbeiterinformationen auszutauschen. Da Benutzer jetzt von praktisch überall aus auf ihre E-Mails zugreifen können, wurden Postfächer in Repositorys mit großen Mengen potenziell vertraulicher Informationen umgewandelt. Daher kann Informationslecks eine ernsthafte Bedrohung für Organisationen darstellen. Um Informationslecks zu verhindern, enthält Microsoft Exchange Server 2013 IRM-Features (Information Rights Management), die dauerhaften Online- und Offlineschutz von E-Mail-Nachrichten und Anlagen bieten.

Was ist ein "Informationsleck"?

Die Weitergabe potenziell vertraulicher Informationen kann für einen organization kostspielig sein und weitreichende Auswirkungen auf die organization und deren Unternehmen, Mitarbeiter, Kunden und Partner haben. Lokale und branchenspezifische Vorschriften bestimmen zunehmend, wie bestimmte Arten von Informationen gespeichert, übertragen und geschützt werden. Um die Verletzung anwendbarer Vorschriften zu vermeiden, müssen sich Organisationen vor absichtlichem, versehentlichem oder versehentlichem Informationsleck schützen.

Im Folgenden sind einige Konsequenzen aufgeführt, die sich aus Informationslecks ergeben:

  • Finanzieller Schaden: Je nach Größe, Branche und lokalen Vorschriften kann die Offenlegung von Informationen zu finanziellen Auswirkungen aufgrund von Geschäftsverlusten oder aufgrund von Geldbußen und Strafschäden führen, die von Gerichten oder Aufsichtsbehörden verhängt werden. Auch öffentliche Unternehmen könnten aufgrund ungünstiger Medienberichterstattung die Marktkapitalisierung verlieren.

  • Image- und Glaubwürdigkeitsschäden: Informationslecks können das Image und die Glaubwürdigkeit eines organization gegenüber Kunden beschädigen. Darüber hinaus können kompromittierte E-Mail-Nachrichten je nach Art der Kommunikation für den Absender und die organization möglicherweise eine Blamagequelle sein.

  • Verlust von Wettbewerbsvorteilen: Eine der schwerwiegendsten Bedrohungen durch Informationslecks ist der Verlust von Wettbewerbsvorteilen im Unternehmen. Die Offenlegung von strategischen Plänen oder die Offenlegung von Fusions- und Akquisitionsinformationen kann zu Umsatzeinbußen oder Marktkapitalisierung führen. Weitere Bedrohungen sind der Verlust von Forschungsinformationen, analytischen Daten und anderem geistigen Eigentum.

Herkömmliche Lösungen zur Verhinderung von Informationslecks

Obwohl herkömmliche Lösungen für Informationslecks den anfänglichen Zugriff auf Daten schützen können, bieten sie häufig keinen konstanten Schutz. In der folgenden Tabelle sind einige herkömmliche Lösungen und deren Einschränkungen aufgeführt.

Traditionelle Lösungen

Lösung Beschreibung Begrenzungen
Transport Layer Security (TLS) TLS ist ein Internetstandardprotokoll, das verwendet wird, um die Kommunikation über ein Netzwerk durch Verschlüsselung zu sichern. In einer Messagingumgebung wird TLS verwendet, um die Kommunikation zwischen Servern und Clients zu schützen.

Standardmäßig verwendet Exchange 2010 TLS für alle internen Nachrichtenübertragungen. Opportunistisches TLS ist auch standardmäßig für Sitzungen mit externen Hosts aktiviert. Exchange versucht zunächst, die TLS-Verschlüsselung für die Sitzung zu verwenden, aber wenn keine TLS-Verbindung mit dem Zielserver hergestellt werden kann, verwendet Exchange SMTP. Sie können auch die Domänensicherheit konfigurieren, um die Verwendung von Mutual TLS mit externen Organisationen zu erzwingen.		 TLS schützt nur die SMTP-Sitzung zwischen zwei SMTP-Hosts. Dies bedeutet, dass TLS Informationen während der Übertragung schützt, nicht jedoch auf der Nachrichtenebene und nicht, während die Informationen gespeichert sind. Sofern die Nachrichten nicht mit einer anderen Methode verschlüsselt werden, bleiben Nachrichten in den Postfächern des Absenders und des Empfängers ungeschützt. Für E-Mails, die außerhalb des organization gesendet werden, können Sie TLS nur für den ersten Hop anfordern. Nachdem ein SMTP-Remotehost außerhalb Ihres organization die Nachricht empfangen hat, kann er sie über eine unverschlüsselte Sitzung an einen anderen SMTP-Host weiterleiten. Da TLS eine Transportschichttechnologie ist, kann es keine Kontrolle darüber bieten, was der Empfänger mit der Nachricht macht.
E-Mail-Verschlüsselung Benutzer können Technologien wie S/MIME zum Verschlüsseln von Nachrichten verwenden. Der Benutzer entscheidet, ob eine Nachricht verschlüsselt wird. Es entstehen zusätzliche Kosten für eine Bereitstellung mit einer Public Key-Infrastruktur, da Zusatzaufwand für die Zertifikatverwaltung für Benutzer sowie für den Schutz privater Schlüssel entsteht. Nachdem eine Nachricht entschlüsselt ist, gibt es keine Kontrolle darüber, wie der Empfänger die Informationen verwendet. Entschlüsselte Informationen können kopiert, gedruckt oder weitergeleitet werden. Standardmäßig sind gespeicherte Anlagen nicht geschützt.

Ihre organization kann nicht auf Nachrichten zugreifen, die mit Technologien wie S/MIME verschlüsselt wurden. Die organization kann Nachrichteninhalte nicht überprüfen und daher keine Messagingrichtlinien erzwingen, Nachrichten auf Viren oder schädliche Inhalte überprüfen oder andere Aktionen ergreifen, die den Zugriff auf den Inhalt erfordern.

Schließlich fehlen bei herkömmlichen Lösungen häufig die Tools, mit denen zur Vermeidung von Informationslecks die Anwendung einheitlicher Messagingrichtlinien erzwungen werden kann. Beispielsweise sendet ein Benutzer eine Nachricht, die vertrauliche Informationen enthält, und markiert sie als vertraulich und Nicht weiterleiten. Nachdem die Nachricht an den Empfänger übermittelt wurde, hat der Absender oder der organization keine Kontrolle mehr über die Informationen. Der Empfänger kann die Nachricht absichtlich oder versehentlich (mithilfe von Features wie automatischen Weiterleitungsregeln) an externe E-Mail-Konten weiterleiten, wodurch Ihre organization einem erheblichen Risiko von Informationslecks ausgesetzt ist.

IRM in Exchange 2013

In Exchange 2013 können Sie IRM-Features verwenden, um beständigen Schutz auf Nachrichten und Anlagen anzuwenden. IRM verwendet Active Directory Rights Management Services (AD RMS), eine Information Protection-Technologie in Windows Server 2008 und höher. Mit den IRM-Features in Exchange 2013 können Ihre organization und Ihre Benutzer steuern, welche Rechte Empfänger für E-Mail haben. IRM hilft auch dabei, Empfängeraktionen wie das Weiterleiten einer Nachricht an andere Empfänger, das Drucken einer Nachricht oder anlage oder das Extrahieren von Nachrichten oder Anlageninhalten durch Kopieren und Einfügen zuzulassen oder einzuschränken. IRM-Schutz kann von Benutzern in Microsoft Outlook oder Microsoft Office Outlook Web App angewendet werden, oder er kann auf den Messagingrichtlinien Ihrer organization basieren und mithilfe von Transportschutzregeln oder Outlook-Schutzregeln angewendet werden. Im Gegensatz zu anderen E-Mail-Verschlüsselungslösungen ermöglicht IRM Ihren organization auch, geschützte Inhalte zu entschlüsseln, um die Richtlinienkonformität zu erzwingen.

AD RMS verwendet XrML-basierte Zertifikate (Extensible Rights Markup Language) und Lizenzen, um Computer und Benutzer zu zertifizieren und Inhalte zu schützen. Wenn Inhalte wie ein Dokument oder eine Nachricht mit AD RMS geschützt werden, wird eine XrML-Lizenz angefügt, die die Rechte enthält, die autorisierten Benutzern an den Inhalt haben. Für den Zugriff auf IRM-geschützte Inhalte müssen AD RMS-fähige Anwendungen eine Nutzungslizenz für den autorisierten Benutzer aus dem AD RMS-Cluster beschaffen.

Hinweis

In Exchange 2013 fügt der Prelicensing-Agent nachrichten, die mithilfe des AD RMS-Clusters in Ihrem organization geschützt sind, eine Nutzungslizenz an. Weitere Informationen finden Sie unter Vorablizenzierung weiter unten in diesem Thema.

Anwendungen, die zum Erstellen von Inhalten verwendet werden, müssen RMS-fähig sein, um dauerhaften Schutz auf Inhalte mithilfe von AD RMS anzuwenden. Microsoft Office-Anwendungen wie Word, Excel, PowerPoint und Outlook sind RMS-fähig und können zum Erstellen und Nutzen geschützter Inhalte verwendet werden.

IRM unterstützt Sie bei folgenden Aufgaben:

  • Verhindern von Weiterleiten, Ändern, Drucken, Faxen, Speichern oder Ausschneiden und Einfügen von IRM-geschützten Inhalten durch autorisierte Empfänger.
  • Schützen von Anlagen in unterstützten Dateiformaten mit der gleichen Schutzstufe wie die Nachricht.
  • Ablaufunterstützung für IRM-geschützte Nachrichten und Anlagen, damit sie nach einem bestimmten Zeitraum nicht mehr angezeigt werden können.
  • Verhindern Sie, dass IRM-geschützte Inhalte mithilfe des Snipping-Tools in Microsoft Windows kopiert werden.

Irm kann jedoch nicht verhindern, dass Informationen mithilfe der folgenden Methoden kopiert werden:

  • Bildschirmaufnahmeprogramme von Drittanbietern
  • Verwendung von Bildgeräten wie Kameras zum Fotografieren von IRM-geschützten Inhalten, die auf dem Bildschirm angezeigt werden
  • Benutzer, die sich die Informationen merken oder manuell transkribieren

Weitere Informationen zu AD RMS finden Sie unter Active Directory Rights Management Services.

VORLAGEN FÜR AD RMS-Rechterichtlinien

AD RMS verwendet XrML-basierte Rechterichtlinienvorlagen, damit kompatible IRM-fähige Anwendungen konsistente Schutzrichtlinien anwenden können. In Windows Server 2008 und höher stellt der AD RMS-Server einen Webdienst bereit, der zum Aufzählen und Abrufen von Vorlagen verwendet werden kann. Im Funktionsumfang von Exchange 2013 ist die Vorlage "Nicht weiterleiten" enthalten. Wenn die Vorlage "Nicht weiterleiten" auf eine Nachricht angewendet wird, können nur die Empfänger die Nachricht entschlüsseln, die in der Nachricht angegeben sind. Die Empfänger können die Nachricht nicht weiterleiten, die Inhalte nicht und die Nachricht nicht drucken. Sie können zusätzliche RMS-Vorlagen auf dem AD RMS-Server in Ihrem organization erstellen, um Ihre IRM-Schutzanforderungen zu erfüllen.

IRM-Schutz wird angewendet, indem eine AD RMS-Rechterichtlinienvorlage angewendet wird. Mithilfe von Richtlinienvorlagen können Sie berechtigungen steuern, die Empfänger für eine Nachricht haben. Aktionen wie Antworten, Antworten auf alle, Weiterleiten, Extrahieren von Informationen aus einer Nachricht, Speichern einer Nachricht oder Drucken einer Nachricht können durch Anwenden der entsprechenden Berechtigungsrichtlinienvorlage auf die Nachricht gesteuert werden.

Weitere Informationen zu Vorlagen für Benutzerrechterichtlinien finden Sie unter Überlegungen zu AD RMS-Vorlagen für Benutzerrechterichtlinien.

Weitere Informationen zum Erstellen von Vorlagen für Benutzerrechterichtlinien finden Sie unter Schrittweise Anleitung zum Erstellen und Bereitstellen von Active Directory-Rechteverwaltungsdienste-Vorlagen für Benutzerrechterichtlinien.

Anwenden des IRM-Schutzes auf Nachrichten

In Exchange 2010 kann der IRM-Schutz mit den folgenden Methoden auf Nachrichten angewendet werden:

  • Manuell von Outlook-Benutzern: Ihre Outlook-Benutzer können Nachrichten mit den ihnen zur Verfügung stehenden AD RMS-Richtlinienvorlagen für Rechte IRM schützen. Dieser Prozess verwendet die IRM-Funktionalität in Outlook und nicht Exchange. Sie können jedoch Exchange verwenden, um auf Nachrichten zuzugreifen, und Sie können Aktionen (z. B. das Anwenden von Transportregeln) ergreifen, um die Messagingrichtlinie Ihrer organization zu erzwingen. Weitere Informationen zur Verwendung von IRM in Outlook finden Sie unter Einführung in IRM für E-Mail-Nachrichten.

  • Manuell durch Outlook Web App Benutzer: Wenn Sie IRM in Outlook Web App aktivieren, können Benutzer nachrichten, die sie senden, IRM-schützen und IRM-geschützte Nachrichten anzeigen, die sie empfangen. In Exchange 2013 Cumulative Update 1 (CU1) können Outlook Web App Benutzer auch IRM-geschützte Anlagen mithilfe von Web-Ready Dokumentanzeige anzeigen. Weitere Informationen zu IRM in Outlook Web App finden Sie unter Information Rights Management in Outlook Web App.

  • Manuell von Windows Mobile und Exchange ActiveSync Gerätebenutzern: In der RTM-Version (Release to Manufacturing) von Exchange 2010 können Benutzer von Windows Mobile-Geräten IRM-geschützte Nachrichten anzeigen und erstellen. Dies erfordert, dass Benutzer ihre unterstützten Windows Mobile-Geräte mit einem Computer verbinden und für IRM aktivieren. In Exchange 2010 SP1 können Sie IRM in Microsoft Exchange ActiveSync aktivieren, damit Benutzer von Exchange ActiveSync Geräten (einschließlich Windows Mobile-Geräten) IRM-geschützte Nachrichten anzeigen, beantworten, weiterleiten und erstellen können. Weitere Informationen zu IRM in Exchange ActiveSync finden Sie unter Information Rights Management in Exchange ActiveSync.

  • Automatisch in Outlook 2010 und höher: Sie können Outlook-Schutzregeln zum automatischen IRM-Schutz von Nachrichten in Outlook 2010 und höher erstellen. Outlook-Schutzregeln werden automatisch für Outlook 2010-Clients bereitgestellt, und der IRM-Schutz wird von Outlook 2010 angewendet, wenn der Benutzer eine Nachricht verfasst. Weitere Informationen zu Outlook-Schutzregeln finden Sie unter Outlook-Schutzregeln.

  • Automatisch auf Postfachservern: Sie können Transportschutzregeln zum automatischen IRM-Schutz von Nachrichten auf Exchange 2013-Postfachservern erstellen. Weitere Informationen zu Transportschutzregeln finden Sie unter Transportschutzregeln.

    Hinweis

    Der IRM-Schutz wird nicht erneut auf Nachrichten angewendet, die bereits durch IRM geschützt sind. Wenn ein Benutzer beispielsweise eine Nachricht in Outlook oder Outlook Web App IRM schützt, wird der IRM-Schutz nicht mithilfe einer Transportschutzregel auf die Nachricht angewendet.

Szenarien für den IRM-Schutz

Szenarien für den IRM-Schutz werden in der folgenden Tabelle beschrieben.

Senden von IRM-geschützten Nachrichten Unterstützt Anforderungen
Innerhalb derselben lokalen Exchange 2013-Bereitstellung Ja Informationen zu den Anforderungen finden Sie unter IRM-Anforderungen weiter unten in diesem Thema.
Zwischen verschiedenen Gesamtstrukturen in einer lokalen Bereitstellung Ja Die Anforderungen finden Sie unter Konfigurieren von AD RMS für die Integration mit Exchange Server 2010 in mehreren Gesamtstrukturen.
Zwischen einer lokalen Exchange 2013-Bereitstellung und einer cloudbasierten Exchange-organization Ja
  • Verwenden Sie einen lokalen AD RMS-Server.
  • Exportieren Sie die vertrauenswürdige Veröffentlichungsdomäne von Ihrem lokalen AD RMS-Server.
  • Importieren Sie die vertrauenswürdige Veröffentlichungsdomäne in Ihre cloudbasierte organization.
An externe Empfänger Nein Exchange 2010 enthält keine Lösung zum Senden von IRM-geschützten Nachrichten an externe Empfänger in einem nicht verbundbasierten organization. AD RMS bietet Lösungen mit Vertrauensrichtlinien. Sie können eine Vertrauensrichtlinie zwischen Ihrem AD RMS-Cluster und dem Microsoft-Konto (früher windows Live ID) konfigurieren. Für Nachrichten, die zwischen zwei Organisationen gesendet werden, können Sie mithilfe von Active Directory-Verbunddienste (AD FS) (AD FS) eine Verbundvertrauensstellung zwischen den beiden Active Directory-Gesamtstrukturen erstellen. Weitere Informationen finden Sie unter Grundlegendes zu AD RMS-Vertrauensrichtlinien.

Entschlüsseln von IRM-geschützten Nachrichten zum Erzwingen von Messagingrichtlinien

Zum Erzwingen von Messagingrichtlinien und zur Einhaltung gesetzlicher Bestimmungen müssen Sie auf verschlüsselte Nachrichteninhalte zugreifen können. Um die eDiscovery-Anforderungen aufgrund von Rechtsstreitigkeiten, behördlichen Prüfungen oder internen Untersuchungen zu erfüllen, müssen Sie auch in der Lage sein, verschlüsselte Nachrichten zu durchsuchen. Exchange 2013 enthält die folgenden IRM-Features, um diese Aufgaben zu unterstützen:

  • Transportentschlüsselung: Um Messagingrichtlinien anzuwenden, sollten Transport-Agents wie der Transportregel-Agent Zugriff auf Nachrichteninhalte haben. Die Transportentschlüsselung ermöglicht Transport-Agents, die auf Exchange 2013-Servern installiert sind, den Zugriff auf Nachrichteninhalte. Weitere Informationen finden Sie unter Transportentschlüsselung.

  • Journal Melden der Entschlüsselung: Um Compliance- oder Geschäftsanforderungen zu erfüllen, können Organisationen journaling verwenden, um Messaginginhalte beizubehalten. Der Journal-Agent erstellt einen Journalbericht für Nachrichten, die journaling unterliegen, und schließt Metadaten zur Nachricht in den Bericht ein. Die ursprüngliche Nachricht wird an den Journalbericht angefügt. Wenn die Nachricht in einem Journalbericht IRM-geschützt ist, fügt die Journalberichtsentschlüsselung eine Klartextkopie der Nachricht an den Journalbericht an. Weitere Informationen finden Sie unter Journalberichtentschlüsselung.

  • IRM-Entschlüsselung für Die Exchange-Suche: Mit der IRM-Entschlüsselung für die Exchange-Suche kann die Exchange-Suche Inhalte in IRM-geschützten Nachrichten indizieren. Wenn ein Ermittlungs-Manager eine In-Place eDiscovery-Suche ausführt, werden IRM-geschützte Nachrichten, die indiziert wurden, in den Suchergebnissen zurückgegeben. Weitere Informationen finden Sie unter Compliance-eDiscovery.

    Hinweis

    In Exchange 2010 SP1 und höher können Mitglieder der Rollengruppe Ermittlungsverwaltung auf IRM-geschützte Nachrichten zugreifen, die von einer Ermittlungssuche zurückgegeben werden und sich in einem Ermittlungspostfach befinden. Verwenden Sie zum Aktivieren dieser Funktion den Parameter EDiscoverySuperUserEnabled mit dem Cmdlet Set-IRMConfiguration . Weitere Informationen finden Sie unter Konfigurieren von IRM für Exchange-Suche und Compliance-eDiscovery.

Um diese Entschlüsselungsfeatures zu aktivieren, müssen Exchange-Server Zugriff auf die Nachricht haben. Dies wird erreicht, indem das Verbundpostfach, ein Systempostfach, das vom Exchange-Setup erstellt wurde, zur Gruppe "Superuser" auf dem AD RMS-Server hinzugefügt wird. Weitere Informationen finden Sie unter Hinzufügen des Verbundpostfachs zur AD RMS-Administratorengruppe.

Vorlizenzierung

Um IRM-geschützte Nachrichten und Anlagen anzuzeigen, fügt Exchange 2013 automatisch eine Vorablizenz an geschützte Nachrichten an. Dadurch wird verhindert, dass der Client wiederholte Fahrten zum AD RMS-Server durchführen muss, um eine Nutzungslizenz abzurufen, und ermöglicht die Offlineanzeige von IRM-geschützten Nachrichten und Anlagen. Durch die Vorablizenzierung können auch IRM-geschützte Nachrichten in Outlook Web App angezeigt werden. Wenn Sie IRM-Features aktivieren, ist die Vorablizenzierung standardmäßig aktiviert.

IRM-Agents

In Exchange 2013 wird die IRM-Funktionalität mithilfe von Transport-Agents im Transportdienst auf Postfachservern aktiviert. IRM-Agents werden vom Exchange-Setup auf einem Postfachserver installiert. Sie können IRM-Agents nicht mithilfe der Verwaltungsaufgaben für Transport-Agents steuern.

Hinweis

In Exchange 2013 sind IRM-Agents integrierte Agents. Integrierte Agents sind nicht in der Liste von Agents enthalten, die vom Cmdlet Get-TransportAgent zurückgegeben wird. Weitere Informationen finden Sie unter Transport-Agents.

In der folgenden Tabelle sind die IRM-Agents aufgeführt, die im Transportdienst auf Postfachservern implementiert sind.

IRM-Agents im Transportdienst auf Postfachservern

Agent Ereignis Funktion
RMS-Entschlüsselungs-Agent OnEndOfData (SMTP) und OnSubmittedMessage Entschlüsselt Nachrichten, um den Zugriff auf Transport-Agents zu ermöglichen.
Transportregel-Agent OnRoutedMessage Kennzeichnet Nachrichten, die den Regelbedingungen in einer Transportschutzregel entsprechen, die durch den RMS-Verschlüsselungs-Agent IRM-geschützt werden.
RMS-Verschlüsselungs-Agent OnRoutedMessage Wendet IRM-Schutz auf Nachrichten an, die vom Transportregel-Agent gekennzeichnet sind, und verschlüsselt entschlüsselte Transportnachrichten erneut.
Vorlizenzierungs-Agent OnRoutedMessage Fügt IRM-geschützten Nachrichten eine Vorlizenz an.
Journal Berichtsentschlüsselungs-Agent OnCategorizedMessage Entschlüsselt IRM-geschützte Nachrichten, die an Journalberichte angefügt sind, und bettet Klartextversionen zusammen mit den ursprünglich verschlüsselten Nachrichten ein.

Weitere Informationen zu Transport-Agents finden Sie unter Transport-Agents.

IRM-Anforderungen

Um IRM in Ihrer Exchange 2013-organization zu implementieren, muss Ihre Bereitstellung die in der folgenden Tabelle beschriebenen Anforderungen erfüllen.

Server Anforderungen
AD RMS-Cluster
  • Betriebssystem: Windows Server 2012, Windows Server 2008 R2 oder Windows Server 2008 SP2 mit der Hotfixrolle Active Directory Rights Management Services in Windows Server 2008 erforderlich ist.
  • Dienstverbindungspunkt: Exchange 2010- und AD RMS-fähige Anwendungen verwenden den in Active Directory registrierten Dienstverbindungspunkt, um einen AD RMS-Cluster und URLs zu ermitteln. MIT AD RMS können Sie den Dienstverbindungspunkt innerhalb des AD RMS-Setups registrieren. Wenn das zum Einrichten von AD RMS verwendete Konto kein Mitglied der Sicherheitsgruppe "Unternehmensadministratoren" ist, kann die Registrierung des Dienstverbindungspunkts nach Abschluss des Setups durchgeführt werden. Es gibt nur einen Dienstverbindungspunkt für AD RMS in einer Active Directory-Gesamtstruktur.
  • Berechtigungen: Lese- und Ausführungsberechtigungen für die AD RMS-Serverzertifizierungspipeline (ServerCertification.asmx Datei auf AD RMS-Servern) müssen Folgendem zugewiesen werden:
    • Exchange Server-Gruppe oder einzelne Exchange-Server
    • AD RMS-Dienstgruppe auf AD RMS-Servern

    Standardmäßig befindet sich die Datei ServerCertification.asmx im \inetpub\wwwroot\_wmcs\certification\ Ordner auf AD RMS-Servern. Weitere Informationen finden Sie unter Festlegen von Berechtigungen für die AD RMS-Serverzertifizierungspipeline.

  • AD RMS-Superbenutzer: Um die Transportentschlüsselung, die Journalberichtsentschlüsselung, IRM in Outlook Web App und IRM für die Exchange-Suche zu aktivieren, müssen Sie das Verbundpostfach, ein Systempostfach, das vom Exchange 2013-Setup erstellt wurde, der Gruppe der Superbenutzer im AD RMS-Cluster hinzufügen. Weitere Informationen finden Sie unter Hinzufügen des Verbundpostfachs zur AD RMS-Administratorengruppe.
Exchange
Outlook
  • Benutzer können Nachrichten in Outlook irM schützen. Ab Outlook 2003 werden AD RMS-Vorlagen für IRM-schützende Nachrichten unterstützt.
  • Outlook-Schutzregeln sind ein Exchange 2010- und Outlook 2010-Feature. Frühere Versionen von Outlook unterstützen dieses Feature nicht.
Exchange ActiveSync
  • Geräte, die Exchange ActiveSync Protokollversion 14.1 unterstützen, einschließlich Windows Mobile-Geräten, können IRM in Exchange ActiveSync unterstützen. Die mobile E-Mail-Anwendung auf einem Gerät muss das in Exchange ActiveSync Protokollversion 14.1 definierte RightsManagementInformation-Tag unterstützen. In Exchange 2013 ermöglicht IRM in Exchange ActiveSync Benutzern mit unterstützten Geräten das Anzeigen, Beantworten, Weiterleiten und Erstellen von IRM-geschützten Nachrichten, ohne dass der Benutzer das Gerät mit einem Computer verbinden und für IRM aktivieren muss. Weitere Informationen finden Sie unter Information Rights Management in Exchange ActiveSync.

Hinweis

AD RMS-Cluster ist der Begriff, der für eine AD RMS-Bereitstellung in einem organization verwendet wird, einschließlich einer Einzelserverbereitstellung. AD RMS ist ein Webdienst. Es ist nicht erforderlich, dass Sie einen Windows Server-Failovercluster einrichten. Für Hochverfügbarkeit und Lastenausgleich können Sie mehrere AD RMS-Server im Cluster bereitstellen und den Netzwerklastenausgleich verwenden.

Wichtig

In einer Produktionsumgebung wird die gleichzeitige Installation von AD RMS und Exchange auf einem Server nicht unterstützt.

Exchange 2013 IRM-Features unterstützen Microsoft Office-Dateiformate. Sie können den IRM-Schutz auf andere Dateiformate erweitern, indem Sie benutzerdefinierte Schutzkomponenten bereitstellen. Weitere Informationen zu benutzerdefinierten Schutzvorrichtungen finden Sie unter Information Protection- und Steuerungspartner im Microsoft Partner Center.

Konfigurieren und Testen von IRM

Sie müssen die Exchange-Verwaltungsshell verwenden, um IRM-Features in Exchange 2013 zu konfigurieren. Verwenden Sie zum Konfigurieren einzelner IRM-Features das Cmdlet Set-IRMConfiguration . Sie können IRM für interne Nachrichten, Transportentschlüsselung, Journalberichtsentschlüsselung, Exchange-Suche und Outlook Web App aktivieren oder deaktivieren. Weitere Informationen zum Konfigurieren von IRM-Features finden Sie unter Verfahren zur Verwaltung von Informationsrechten.

Nachdem Sie einen Exchange 2013-Server eingerichtet haben, können Sie das Cmdlet Test-IRMConfiguration verwenden, um End-to-End-Tests Ihrer IRM-Bereitstellung durchzuführen. Diese Tests sind nützlich, um die IRM-Funktionalität unmittelbar nach der ersten IRM-Konfiguration und fortlaufend zu überprüfen. Das Cmdlet führt die folgenden Tests aus:

  • Überprüft die IRM-Konfiguration für Ihre Exchange 2013-organization.
  • Überprüfen des AD RMS-Servers auf Versions- und Hotfixinformationen.
  • Abrufen eines Rechtekontozertifikats (RAC) und eines Client-Lizenzgeberzertifikats (CLC), um zu prüfen, ob ein Exchange-Server für RMS aktiviert werden kann.
  • Abrufen von AD RMS-Vorlagen für Benutzerrechterichtlinien vom AD RMS-Server.
  • Überprüfen, ob der angegebene Absender IRM-geschützte Nachrichten senden kann.
  • Ruft eine Superuser-Nutzungslizenz für den angegebenen Empfänger ab.
  • Abrufen einer Vorlizenz für den angegebenen Empfänger.

Erweitern der Rechteverwaltung mit dem Rights Management-Verbindungsdienst

Der Microsoft Rights Management-Connector (RMS-Connector) ist eine optionale Anwendung, die den Datenschutz für Ihren Exchange 2013-Server verbessert, indem cloudbasierte Microsoft Rights Management-Dienste verwendet werden. Nachdem Sie den RMS-Connector installiert haben, bietet er kontinuierlichen Datenschutz während der Lebensdauer der Informationen. Da diese Dienste anpassbar sind, können Sie die benötigte Schutzebene definieren. Beispielsweise können Sie den Zugriff auf E-Mail-Nachrichten auf bestimmte Benutzer beschränken oder Nur-Anzeigen-Rechte für bestimmte Nachrichten festlegen.

Weitere Informationen zum RMS-Connector und dessen Installation finden Sie unter Rights Management-Connector.