传输保护规则

适用于：Exchange Server 2013

Email消息和附件越来越多地包含业务关键型信息，例如产品规格、业务策略文档和财务数据，或个人信息，例如联系人详细信息、社会保险号码、信用卡号和员工记录。 世界上许多地区有许多行业特定和地方性法规，用于管理个人信息的收集、存储和披露。

为了帮助保护敏感信息，组织创建了可提供有关此类信息处理方法的准则的邮件策略。 在 Microsoft Exchange Server 2013 中，可以使用传输保护规则通过检查邮件内容、加密敏感电子邮件内容以及使用权限管理来控制对内容的访问来实现这些消息传递策略。

有关与管理 IRM 相关的管理任务，请参阅 信息权限管理过程。

传输保护规则和 AD RMS

传输保护规则允许对 IRM 保护的邮件使用传输规则，具体做法是应用 Active Directory 权限管理服务 (AD RMS) 权限策略模板。

AD RMS 使用基于 XML 的策略模板，从而使启用 IRM 的兼容应用程序可以应用一致的保护策略。 在 Windows Server 2008 及更高版本中，AD RMS 服务器提供了可用于枚举和获取模板的 Web 服务。 Exchange 2013 附带有"不要转发"模板。

将"不要转发"模板应用于邮件时，只有邮件的收件人可解密该邮件。 收件人无法将邮件转发给其他任何人、复制邮件内容，或打印邮件。

可以在内部 AD RMS 部署中创建其他 RMS 模板，以满足组织中的权限保护要求。

有关创建 AD RMS 模板的详细信息，请参阅 AD RMS 权限策略模板部署分步指南。

使用传输保护规则进行自动保护

通过使用传输规则条件的组合（包括用于标识文本模式（如社会安全号码）的正则表达式，可以识别包含业务关键信息或个人信息的消息。 组织要求对于敏感信息进行不同级别的保护。 某些信息可能限于员工、承包商或合作伙伴使用，而另外一些信息可能仅限于全职员工使用。 通过应用适当的权限策略模板，可将所需保护级别应用于邮件。 例如，用户可以将邮件或电子邮件附件标记为"公司机密"。 如下图所示，可以创建检查邮件内容是否包含"公司机密"一词并自动使用 IRM 保护邮件的传输保护规则。

有关创建传输规则以强制执行权限保护的详细信息，请参阅创建传输保护规则。

持续保护电子邮件附件

用户使用常见的 Microsoft Office 文件格式（如 Microsoft Office Word、Excel 和 PowerPoint）在电子邮件附件中发送业务关键信息和个人信息。 所有这些文件格式都支持通过 IRM 进行持久保护，并且你可以确保这些文档中的业务关键信息和个人信息受到适当保护。 传输保护规则会对受支持文件格式的电子邮件和附件应用相同的保护。

传输规则代理和加密代理

使用传输保护规则根据规则条件对邮件进行 IRM 保护时，传输服务上的传输规则代理将对邮件进行检查。 如果它们满足所有条件且无一例外，则会将邮件标记为受 IRM 保护。 加密代理是触发 OnRoutedMessage 事件的内置传输代理，它实际上将 IRM 保护应用于邮件。 仅当为内部邮件启用了 IRM 时，加密代理才对这些邮件进行操作。 有关启用 IRM 的详细信息，请参阅 对内部邮件启用或禁用 IRM。

重新启动传输服务后，它将处理需要 IRM 加密的第一封邮件，加密代理必须能够访问组织中的 AD RMS 服务器。 对于后续邮件，代理无需与 AD RMS 服务器联系。 由于暂时情况而导致加密邮件失败时，Exchange 将每隔 10 分钟重新尝试加密邮件 3 次。 重试 3 次后，如果仍无法加密邮件，则不会将该邮件传递给收件人。 此时，将向发件人发送 NDR。 建议规划 AD RMS 部署以实现高可用性，从而确保邮件流不受影响。

计划使用传输保护规则时，必须相应地考虑要保护的信息的类型和有关创建规则的计划。 在 Exchange 2013 中，传输规则包含大量谓词，可通过这些谓词检查邮件内容，包括受支持的附件、邮件头、发件人和收件人地址及其 Active Directory 属性（例如部门、通讯组成员以及发件人与收件人的管理关系）。 有关 Exchange 2013 中可用传输规则谓词的详细信息，请参阅 传输规则条件（谓词）。

还必须考虑组织中的邮件通信以及将使用传输保护规则保护的邮件数。 在邮箱服务器上将 IRM 保护应用于大量邮件需要更多资源。 此外，保护大量邮件或所有邮件还会影响客户端体验，对于 Microsoft Outlook 用户尤其如此。