Freigeben über

Einrichten und Verwalten der Verwaltung von Informationsrechten (IRM) in Exchange Online

  • Artikel

Gilt für: Office 365 for enterprises, Live@edu

Letztes Änderungsdatum des Themas: 2011-11-23

Häufig werden vertrauliche Informationen wie Finanzdaten, Verträge, vertrauliche Produktinformationen, Verkaufsberichte und -prognosen oder Patienten-, Kunden- und Mitarbeiterdaten per E-Mail ausgetauscht. Postfächer können daher zu Repositories großer Mengen potenziell vertraulicher Informationen werden, und Informationsverluste können eine ernstzunehmende Bedrohung für die Organisation darstellen.

Um Informationsverluste zu verhindern, enthält Exchange Online eine IRM-Funktion (Verwaltung von Informationsrechten), die Online- und Offlineschutz für E-Mails und Anlagen bereitstellt. IRM-Schutz kann von Benutzern in Microsoft Office Outlook oder Outlook Web App und zudem von Administratoren mithilfe von Transportregeln oder Outlook-Schutzregeln angewendet werden. Mithilfe von IRM können Sie und Ihre Benutzer steuern, wer auf vertrauliche Daten in einer E-Mail zugreifen und E-Mails weiterleiten, drucken oder kopieren kann.

  • Funktionsweise von IRM in Exchange Online
  • Bevor Sie beginnen
  • Schritt 1: Exportieren einer vertrauenswürdigen Veröffentlichungsdomäne (TPD) von einem AD RMS-Server
  • Schritt 2: Importieren der TPD in Exchange Online
  • Schritt 3: Verteilen einer RMS-Vorlage
  • Schritt 4: Aktivieren von IRM
  • Was geschieht nach dem Aktivieren von IRM?
  • Verwalten von IRM

Funktionsweise von IRM in Exchange Online

Für IRM in Exchange Online wird Active Directory-Rechteverwaltungsdienste (AD RMS) verwendet, eine Informationsschutztechnologie in Windows Server 2008. IRM-Schutz wird auf E-Mails angewendet, indem eine AD RMS-Berechtigungsrichtlinienvorlage auf eine E-Mail angewendet wird. Nutzungsrechte werden der Nachricht selbst zugeordnet, sodass der Schutz sowohl online und offline als auch innerhalb und außerhalb der Firewall der Organisation stattfindet.

Benutzer können eine Vorlage auf eine E-Mail anwenden, um zu bestimmen, welche Berechtigungen Empfänger für die E-Mail erhalten. Aktionen wie das Extrahieren von Informationen aus einer Nachricht, Weiterleiten, Speichern oder Drucken einer Nachricht können durch Anwenden einer RMS-Vorlage auf die Nachricht gesteuert werden.

Seitenanfang

Bevor Sie beginnen

Um IRM für Ihre cloudbasierte E-Mail-Organisation implementieren zu können, benötigen Sie Windows Server 2008 und einen AD RMS-Server in der lokalen Organisation. Dieser lokale AD RMS-Server wird zum Verwalten der RMS-Vorlagen für die cloudbasierte Organisation verwendet. Der AD RMS-Server wird auch von Outlook verwendet, um Benutzern das Anwenden von IRM-Schutz auf die von ihnen gesendeten Nachrichten zu ermöglichen.

Informationen zum Bereitstellen von AD RMS finden Sie im Thema zum Installieren eines AD RMS-Clusters (möglicherweise in englischer Sprache).

Informationen zum Installieren und Konfigurieren von Windows PowerShell V2 sowie zum Herstellen einer Verbindung mit dem Service finden Sie unter Verwenden von Windows PowerShell.

Schritt 1: Exportieren einer vertrauenswürdigen Veröffentlichungsdomäne (TPD) von einem AD RMS-Server

Der erste Schritt ist das Exportieren einer vertrauenswürdigen Veröffentlichungsdomäne (TPD) vom lokalen AD RMS-Server in eine XML-Datei. Die TPD enthält die zur Verwendung von RMS-Funktionen erforderlichen Einstellungen: das lizenzgebende Serverzertifikat (SLC) zum Signieren und Verschlüsseln von Zertifikaten und Lizenzen, die URLs für die Lizenzierung und Veröffentlichung und die RMS-Vorlagen, die mit dem spezifischen lizenzgebenden Serverzertifikat für diese TPD erstellt wurden. Wenn Sie die TPD importieren, wird sie in Exchange Online gespeichert und geschützt.

Gehen Sie folgendermaßen vor, um eine TPD zu exportieren:

  1. Öffnen Sie die AD RMS-Konsole, und erweitern Sie dann den AD RMS-Cluster.
  2. Erweitern Sie in der Konsolenstruktur den Knoten "Vertrauensrichtlinien", und klicken Sie dann auf "Vertrauenswürdige Veröffentlichungsdomänen".
  3. Wählen Sie das Zertifikat für die zu exportierende Domäne im Ergebnisbereich aus.
  4. Klicken Sie im Aktionsbereich auf "Vertrauenswürdige Veröffentlichungsdomäne exportieren".
  5. Klicken Sie im Feld "Veröffentlichungsdomänendatei" auf "Speichern unter", um die Datei an einem bestimmten Speicherort auf dem lokalen Computer zu speichern. Geben Sie einen Dateinamen und die Dateinamenerweiterung XML an, und klicken Sie dann auf "Speichern".
  6. Geben Sie in den Feldern "Kennwort" und "Kennwort bestätigen" ein sicheres Kennwort ein, das zum Verschlüsseln der Datei der vertrauenswürdigen Veröffentlichungsdomäne verwendet wird. Dieses Kennwort muss beim Importieren der TPD in die cloudbasierte E-Mail-Organisation angegeben werden.
  7. Klicken Sie auf "Fertig stellen".

Schritt 2: Importieren der TPD in Exchange Online

Nachdem die TPD in eine XML-Datei exportiert wurde, müssen Sie sie in Exchange Online importieren. Beim Importieren einer TPD werden auch die Vorlagen Ihrer Organisation aus AD RMS importiert. Die erste importierte TPD wird zur Standard-TPD für die cloudbasierte Organisation. Wenn Sie eine weitere TPD importieren, können Sie diese mithilfe der Option Default als die für Benutzer verfügbare Standard-TPD festlegen.

Führen Sie zum Importieren der TPD in Windows PowerShell den folgenden Befehl aus:

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path <path to exported TPD file> -ReadCount 0)) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

Die Werte für die ExtranetLicensingUrl- und IntranetLicensingUrl-Parameter können in der Konsole der Active Directory-Rechteverwaltungsdienste abgerufen werden. Wählen Sie den AD RMS-Cluster in der Konsolenstruktur aus. Die URLs für die Lizenzierung werden im Ergebnisbereich angezeigt. Diese URLs werden von E-Mail-Clients verwendet, wenn Inhalt entschlüsselt werden muss und wenn Exchange Online die zu verwendende TPD ermitteln muss.

Beim Ausführen dieses Befehls werden Sie zur Eingabe eines Kennworts aufgefordert. Geben Sie das Kennwort ein, das Sie beim Exportieren der TPD vom AD RMS-Server angegeben haben.

Beispiel   Durch den folgenden Befehl wird die TPD mit dem Namen "Exported TPD" anhand der vom AD RMS-Server exportierten XML-Datei importiert und auf dem Desktop des Administratorkontos gespeichert. Mit dem Name-Parameter wird ein Name für die TPD angegeben.

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\ExportTPD.xml -ReadCount 0)) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Seitenanfang

Schritt 3: Verteilen einer RMS-Vorlage

Nachdem Sie die TPD importiert haben, müssen Sie eine RMS-Vorlage verteilen. Eine verteilte Vorlage ist für Outlook Web App-Benutzer sichtbar, die die Vorlage dann auf eine E-Mail anwenden können.

Führen Sie den folgenden Befehl aus, um eine Liste aller Vorlagen in der Standard-TPD anzuzeigen:

Get-RMSTemplate -Type All | fl

Wenn der Wert des Type-Parameters Archived lautet, ist die Vorlage nicht für Benutzer sichtbar. Nur verteilte Vorlagen in der Standard-TPD sind in Outlook Web App verfügbar.

Führen Sie zum Verteilen einer Vorlage den folgenden Befehl aus:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Beispiel   Durch den folgenden Befehl wird die Vorlage "Company Confidential" importiert:

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Vorlage "Nicht weiterleiten"

Wenn Sie die Standard-TPD aus der lokalen Organisation in Exchange Online importieren, wird eine RMS-Vorlage importiert. Der Name dieser Vorlage lautet "Nicht weiterleiten". Diese Vorlage wird standardmäßig verteilt, wenn Sie die Standard-TPD importieren. Die Vorlage "Nicht weiterleiten" kann nicht mit dem Cmdlet Set-RMSTemplate geändert werden.

Wenn die Vorlage "Nicht weiterleiten" auf eine Nachricht angewendet wird, kann die Nachricht nur von Empfängern der Nachricht gelesen werden. Darüber hinaus können Empfänger folgende Aktionen ausführen:

  • Weiterleiten der Nachricht an eine andere Person
  • Kopieren von Inhalt aus der Nachricht
  • Drucken der Nachricht

Wichtig   Durch die Vorlage "Nicht weiterleiten" kann nicht verhindert werden, dass Informationen in einer Nachricht mit Drittanbieter-Bildschirmaufnahmeprogrammen oder Kameras kopiert oder von Benutzern manuell übertragen werden.

Sie können zusätzliche RMS-Vorlagen auf dem AD RMS-Server in der lokalen Organisation erstellen, um Ihre Anforderungen hinsichtlich des IRM-Schutzes zu erfüllen. Wenn Sie zusätzliche RMS-Vorlagen erstellen, müssen Sie die TPD erneut vom lokalen AD RMS-Server exportieren und die TPD in der cloudbasierten E-Mail-Organisation aktualisieren. Weitere Informationen finden Sie unter Aktualisieren von Exchange Online mit neuen RMS-Vorlagen.

Seitenanfang

Schritt 4: Aktivieren von IRM

Nachdem Sie die TPD importiert und eine RMS-Vorlage verteilt haben, müssen Sie IRM für Ihre cloudbasierte E-Mail-Organisation aktivieren, indem Sie den folgenden Befehl ausführen:

Set-IRMConfiguration -InternalLicensingEnabled $true

Was geschieht nach dem Aktivieren von IRM?

Nachdem Sie IRM aktiviert haben, kann IRM-Schutz wie folgt auf E-Mails angewendet werden:

  • Benutzer können in Outlook und Outlook Web App manuell eine Vorlage anwenden: Benutzer können in der Dropdownliste "Berechtigungen" eine Berechtigungsrichtlinienvorlage auswählen und auf die E-Mail anwenden. Wenn Benutzer eine IRM-geschützte Nachricht senden, erhalten alle an die Nachricht angefügten Dateien in einem unterstützten Format den gleichen IRM-Schutz wie die Nachricht. IRM-Schutz wird auf Dateien aus Microsoft Office Word, Excel und PowerPoint sowie XPS-Dateien und angefügte E-Mails angewendet.
  • Administratoren können mithilfe von Transportregeln automatisch IRM-Schutz auf Outlook und OWA anwenden: Sie können Transportregeln erstellen, um IRM-Schutz für Nachrichten bereitzustellen. Konfigurieren Sie die Transportregelaktion, um eine RMS-Vorlage auf Nachrichten anzuwenden, die die Regelbedingung erfüllen. Nach dem Aktivieren von IRM sind die RMS-Vorlagen Ihrer Organisation zur Verwendung mit der Transportregelaktion Rechteschutz auf Nachricht anwenden mit verfügbar. Vorgehensweise:
  • Administratoren können Outlook-Schutzregeln erstellen: Durch Outlook-Schutzregeln wird basierend auf Nachrichtenbedingungen wie der Abteilung des Absenders, dem Empfänger und dem Empfängerbereich (innerhalb oder außerhalb der Organisation) automatisch IRM-Schutz auf Nachrichten in Outlook 2010 angewendet (nicht in Outlook Web App). Administratoren verwenden das Cmdlet New-OutlookProtectionRule, um Outlook-Schutzregeln zu erstellen. Vorgehensweise: Erstellen von Outlook-Schutzregeln

Seitenanfang

Verwalten von IRM

Im Folgenden werden einige optionale Aufgaben beschrieben, mit denen Sie IRM in der cloudbasierten Organisation verwalten können:

  • Ändern der Standard-TPD
  • Erstellen einer neuen RMS-Vorlage
  • Aktualisieren von Exchange Online mit neuen RMS-Vorlagen
  • Deaktivieren von IRM in Exchange Online
  • Entfernen von TPDs

Ändern der Standard-TPD

Die erste importierte TPD wird als Standard-TPD markiert. Sie können die Standard-TPD ändern, um einen anderen Satz von RMS-Vorlagen für Ihre cloudbasierte Organisation zu verteilen.

Führen Sie den folgenden Befehl aus, um eine andere TPD als Standard-TPD festzulegen:

Set-RMSTrustedPublishingDomain -Identity "<name of TPD>" -Default

Erstellen einer neuen RMS-Vorlage

Sie können zusätzliche RMS-Vorlagen auf dem AD RMS-Server in der lokalen Organisation erstellen, um Ihre Anforderungen hinsichtlich des IRM-Schutzes zu erfüllen. Exchange Online unterstützt bis zu 20 Vorlagen pro TPD.

Wenn Sie zusätzliche RMS-Vorlagen erstellen, müssen Sie die TPD erneut vom lokalen AD RMS-Server exportieren und die TPD in der cloudbasierten E-Mail-Organisation wie im Abschnitt Aktualisieren von Exchange Online mit neuen RMS-Vorlagen beschrieben aktualisieren.

Weitere Informationen zum Erstellen einer RMS-Vorlage finden Sie im Thema zum Erstellen einer neuen Berechtigungsrichtlinienvorlage (möglicherweise in englischer Sprache).

Aktualisieren von Exchange Online mit neuen RMS-Vorlagen

Wenn RMS-Vorlagen in der lokalen Organisation erstellt, gelöscht oder geändert werden, können Sie das Cmdlet Import-RMSTrustedPublishingDomain ausführen, um die Vorlagen in der cloudbasierten E-Mail-Organisation zu aktualisieren. Führen Sie die folgenden Befehle aus, nachdem Sie die TPD wie in Schritt 1 beschrieben exportiert haben:

$data = [byte[]](Get-Content -Encoding byte -Path <Path to exported TPD> -ReadCount 0)
Import-RMSTrustedPublishingDomain -FileData $data -Name "<name of TPD>" -RefreshTemplates

Beispiel   Angenommen, Sie haben eine neue RMS-Vorlage in der lokalen Organisation erstellt. Jetzt möchten Sie diese Vorlage für die cloudbasierten Benutzer verfügbar machen. Nachdem Sie die TPD in eine Datei mit dem Namen "RevisedTPD.xml" exportiert haben, führen Sie den folgenden Befehl aus:

$data = [byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\RevisedTPD.xml -ReadCount 0)
Import-RMSTrustedPublishingDomain -FileData $data -Name "Exported TBD" -RefreshTemplates

Hinweis   Der Name der TPD muss dem Namen der zuvor importierten TPD entsprechen. Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, geben Sie das Kennwort ein, das Sie beim Exportieren der überarbeiteten TPD angegeben haben, um eine neue XML-Datei zu erstellen.

Führen Sie im Anschluss an den Import den Befehl Get-RMSTemplate -Type All | fl aus, um eine Liste der verfügbaren Vorlagen anzuzeigen, nachdem Sie die TPD aktualisiert haben. Wenn eine neue Vorlage für Benutzer sichtbar sein soll, markieren Sie sie wie in Schritt 3 beschrieben als "Verteilt".

Falls eine Vorlage in Folge der Aktualisierung entfernt wurde, müssen Sie sicherstellen, dass nicht in einer Transportregel auf sie verwiesen wird. Wenn in einer Transportregel auf eine gelöschte Vorlage verwiesen wird, führt dies zu einem Unzustellbarkeitsbericht.

Tipp   Führen Sie den folgenden Befehl aus, um festzustellen, ob in der Organisation Transportregeln mit einer Aktion vorhanden sind, durch die eine RMS-Vorlage angewendet wird:

Get-TransportRule | fl Name,ApplyRightsProtectionTemplate

Deaktivieren von IRM in Exchange Online

Wenn Sie die Verwendung der TPD in der cloudbasierten E-Mail-Organisation vorübergehend unterbrechen möchten, können Sie IRM deaktivieren, sodass Outlook Web App-Benutzer keinen IRM-Schutz auf E-Mails anwenden können.

Führen Sie den folgenden Befehl aus, um IRM zu deaktivieren:

Set-IRMConfiguration -InternalLicensingEnabled $false

Entfernen von TPDs

Sie können TPDs auch dauerhaft aus Ihrer Exchange Online-Organisation entfernen. Die Standard-TPD kann jedoch nur entfernt werden, wenn zuvor alle anderen TPDs entfernt wurden.

Führen Sie den folgenden Befehl aus, um alle TPDs zu entfernen, die nicht als Standard-TPD festgelegt sind:

Get-RMSTrustedPublishingDomain | ?{ $_.Default -eq $false } | Remove-RMSTrustedPublishingDomain

Führen Sie anschließend den folgenden Befehl aus, um die Standard-TPD zu entfernen:

Get-RMSTrustedPublishingDomain | Remove-RMSTrustedPublishingDomain -Force

Seitenanfang