Transportschutzregeln

Gilt für: Exchange Server 2013

Email Nachrichten und Anlagen enthalten zunehmend unternehmenskritische Informationen wie Produktspezifikationen, Geschäftsstrategiedokumente und Finanzdaten oder persönliche Informationen wie Kontaktdaten, Sozialversicherungsnummern, Kreditkartennummern und Mitarbeiterdaten. In vielen Teilen der Welt gibt es eine Reihe von branchenspezifischen und lokalen Vorschriften, die die Erfassung, Speicherung und Offenlegung personenbezogener Daten regeln.

Damit vertrauliche Daten geschützt werden, erstellen Organisationen Messagingrichtlinien, die einen Leitfaden zum Behandeln dieser Daten bereitstellen. In Microsoft Exchange Server 2013 können Sie Transportschutzregeln verwenden, um diese Messagingrichtlinien zu implementieren, indem Sie Nachrichteninhalte überprüfen, vertrauliche E-Mail-Inhalte verschlüsseln und rights management verwenden, um den Zugriff auf die Inhalte zu steuern.

Informationen zu Verwaltungsaufgaben im Zusammenhang mit der Verwaltung von IRM finden Sie unter Verfahren zur Verwaltung von Informationsrechten.

Transportschutzregeln und AD RMS

Transportschutzregeln versehen Nachrichten mit IRM-Schutz, indem eine Vorlage für Active Directory Rights Management Services (AD RMS)-Benutzerrechterichtlinien angewendet wird.

Hinweis

AD RMS ist eine Technologie für den Schutz von Informationen, die mit RMS-aktivierten (Rights Management Service, Rechteverwaltungsdienst) Anwendungen und Clients arbeiten, damit vertrauliche Daten online und offline geschützt sind. Für die Verwendung des IRM-Schutzes in einer lokalen Exchange-Bereitstellung erfordert Exchange 2013 eine lokale Bereitstellung von AD RMS unter Windows Server 2008 oder höher.

AD RMS verwendet XML-basierte Richtlinienvorlagen, um es kompatiblen IRM-aktivierten Anwendungen zu ermöglichen, konsistente Schutzrichtlinien anzuwenden. In Windows Server 2008 und höher stellt der AD RMS-Server einen Webdienst bereit, der zum Aufzählen und Abrufen von Vorlagen verwendet werden kann. Im Funktionsumfang von Exchange 2013 ist die Vorlage "Nicht weiterleiten" enthalten.

Wenn die Vorlage "Nicht weiterleiten" auf eine Nachricht angewendet wird, können nur die Empfänger die Nachricht entschlüsseln, die in der Nachricht angegeben sind. Die Empfänger können die Nachricht nicht an beliebige Personen weiterleiten, Inhalte aus der Nachricht kopieren oder die Nachricht drucken.

Es können weitere RMS-Vorlagen in der lokalen AD RMS-Bereitstellung erstellt werden, um den Anforderungen für den Rechteschutz in Ihrer Organisation zu entsprechen.

Wichtig

Wenn eine Rechterichtlinienvorlage vom AD RMS-Server entfernt wird, müssen Sie sämtliche Transportschutzregeln ändern, die diese entfernte Vorlage verwenden. Wenn eine Transportschutzregel weiterhin versucht, eine bereits entfernte Rechterichtlinienvorlage zu verwenden, kann der AD RMS-Server den Inhalt für keinen der Empfänger lizenzieren, woraufhin dem Absender ein Unzustellbarkeitsbericht zugestellt wird.

In Windows Server 2008 und höher können Vorlagen für Rechterichtlinien archiviert und nicht gelöscht werden. Archivierte Vorlagen können weiterhin zum Lizenzieren von Inhalten verwendet werden, aber wenn Sie eine Transportschutzregel erstellen oder ändern, sind archivierte Vorlagen nicht in der Liste der Vorlagen enthalten.

Weitere Informationen zum Erstellen von AD RMS-Vorlagen finden Sie unter Schrittweise Anleitung zum Erstellen und Bereitstellen von Active Directory-Rechteverwaltungsdienste-Vorlagen für Benutzerrechterichtlinien.

Automatischer Schutz mithilfe von Transportschutzregeln

Nachrichten, die geschäftskritische Informationen oder persönliche Informationen enthalten, können mithilfe einer Kombination von Transportregelbedingungen identifiziert werden, einschließlich regulärer Ausdrücke, um Textmuster wie Sozialversicherungsnummern zu identifizieren. Organisationen fordern unterschiedliche Schutzgrade für vertrauliche Informationen. Einige Informationen sind möglicherweise auf Mitarbeiter, Vertragsnehmer oder Partner beschränkt, während andere Informationen auf Vollzeitmitarbeiter beschränkt sein können. Der gewünschte Schutzgrad kann mithilfe einer entsprechenden Rechterichtlinienvorlage auf Nachrichten angewendet werden. Beispielsweise können Benutzer Nachrichten oder E-Mail-Anlage als "Firma (vertraulich)" kennzeichnen. Wie in der nachfolgenden Abbildung veranschaulicht, können Sie eine Transportschutzregel erstellen, um Nachrichteninhalte auf die Wörter "Unternehmensintern vertraulich" zu überprüfen und die Nachricht automatisch mithilfe der Verwaltung von Informationsrechten zu schützen.

Weitere Informationen zum Erstellen von Transportschutzregeln zum Erzwingen des Rechteschutzes finden Sie unter Erstellen einer Transportschutzregel.

Dauerhafter Schutz von E-Mail-Anlagen

Benutzer senden unternehmenskritische Informationen und persönliche Informationen in E-Mail-Anlagen mithilfe gängiger Microsoft Office-Dateiformate wie Microsoft Office Word, Excel und PowerPoint. Alle diese Dateiformate unterstützen den dauerhaften Schutz über IRM, und Sie können sicherstellen, dass die unternehmenskritischen Informationen und persönlichen Informationen in diesen Dokumenten ordnungsgemäß geschützt sind. Transportschutzregeln bieten denselben Schutz für E-Mail-Nachrichten und Anlagen in unterstützten Dateiformaten.

Transportregel-Agent und Verschlüsselungs-Agent

Wenn Sie Nachrichten mithilfe von Transportschutzregeln basierend auf Regelbedingungen mit IRM-Schutz versehen, untersucht der Transportregel-Agent für den Transportdienst Nachrichten. Falls sie allen Bedingungen und keiner Ausnahme entsprechen, wird die Nachricht als "IRM-geschützt" gekennzeichnet. Der Verschlüsselungs-Agent, ein integrierter Transport-Agent, der beim Ereignis OnRoutedMessage ausgelöst wird, wendet den IRM-Schutz tatsächlich auf die Nachricht an. Der Verschlüsselungs-Agent wird nur auf Nachrichten angewendet, wenn IRM für interne Nachrichten aktiviert ist. Weitere Informationen zum Aktivieren der Verwaltung von Informationsrechten finden Sie unter Aktivieren oder Deaktivieren von IRM für interne Nachrichten.

Wenn der Transportdienst neu gestartet wird und die erste Nachricht verarbeitet, die eine IRM-Verschlüsselung erfordert, dann muss der Verschlüsselungs-Agent auf einen AD RMS-Server in der Organisation zugreifen können. Der Agent muss den AD RMS-Server für nachfolgende Nachrichten nicht kontaktieren. Wenn eine Nachricht aufgrund vorübergehender Bedingungen nicht verschlüsselt werden kann, wiederholt Exchange den Vorgang für die Nachricht drei Mal in Intervallen von zehn Minuten. Nach drei Versuchen wird die Nachricht den Empfängern nicht zugestellt, wenn sie nicht verschlüsselt werden konnte. Dem Absender wird ein Unzustellbarkeitsbericht gesendet. Es wird empfohlen, dass Sie Ihre AD RMS-Bereitstellung für eine hohe Verfügbarkeit planen, damit sichergestellt ist, dass der Meldungsfluss nicht betroffen ist.

Wenn Sie Transportschutzregeln verwenden möchten, müssen Sie den Typ der zu schützenden Informationen berücksichtigen und dementsprechend die Erstellung von Regeln planen. In Exchange 2013 gibt es für Transportregeln eine große Vielzahl von Prädikaten zum Untersuchen des Nachrichteninhalts, einschließlich unterstützter Anlagen, Nachrichtenkopfzeilen, Absender- und Empfängeradressen, ihrer Active Directory-Attribute wie Abteilung, Verteilergruppenmitgliedschaft und Hierarchie zwischen Absender und Empfänger. Weitere Einzelheiten zu Transportregelprädikaten in Exchange 2013 finden Sie unter Transportregelbedingungen (Prädikate).

Sie müssen auch den Messagingdatenverkehr in Ihrer Organisation und die Anzahl der Nachrichten berücksichtigen, die mithilfe von Transportschutzregeln geschützt werden. Für das Anwenden des IRM-Schutzes auf eine große Anzahl von Nachrichten sind auf dem Postfachserver weitere Ressourcen erforderlich. Darüber hinaus hat das Schützen sehr vieler oder aller Nachrichten negative Auswirkungen auf die Clientumgebung, insbesondere für Benutzer von Microsoft Outlook.