Information Rights Management in Exchange 2016

[Dieses Thema gehört zur Vorabdokumentation und kann in künftigen Versionen geändert werden. Leere Themen wurden als Platzhalter hinzugefügt. Wenn Sie Feedback dazu haben, freuen wir uns über Ihre Nachricht. Senden Sie uns eine E-Mail an: ExchangeHelpFeedback@microsoft.com.]  

Gilt für:Exchange Server 2016

Erfahren Sie, wie Administratoren Information Rights Management (IRM) in Exchange 2016 verwenden können, um die Offenlegung von vertraulichen Informationen zu verhindern.

Jeden Tag werden per E-Mail vertrauliche Informationen ausgetauscht, u. a. vertrauliche Informationen oder Berichte. Da von nahezu überall auf E-Mails zugegriffen werden kann, sind aus Postfächern sogenannte Repositorys (d. h. Datenspeicher) geworden, die große Mengen potenziell vertraulicher Daten enthalten. Daher können Informationslecks eine ernste Bedrohung für Organisationen darstellen. Um Informationslecks zu verhindern, schließt Exchange 2016 Funktionen für Information Rights Management (IRM) ein, mit denen dauerhafter Online- und Offlineschutz von E-Mail-Nachrichten und Anlagen bereitgestellt wird. Diese IRM-Funktionen wurden nahezu unverändert aus Exchange 2013 übernommen.

Bei Informationslecks handelt es sich um die Offenlegung vertraulicher Informationen für nicht autorisierte Benutzer. Durch Informationslecks können der Organisation umfangreiche finanzielle Schäden entstehen, und es sind sonstige weitreichende Auswirkungen auf die Organisation und ihre Geschäfte, Mitarbeiter, Kunden und Partner möglich. Um nicht gegen die geltenden Bestimmungen zu verstoßen, müssen sich Organisationen selbst vor absichtlichen oder zufälligen Informationslecks schützen.

Informationslecks können u. a. folgende Konsequenzen haben:

  • Finanzieller Schaden   Die Organisation wird möglicherweise mit einem Verlust von Geschäftsmöglichkeiten, Strafen oder negativen Schlagzeilen konfrontiert.

  • Imageschaden und Verlust der Glaubwürdigkeit  Darüber hinaus können bekannt gewordene E-Mail-Nachrichten, je nach Art des Inhalts, peinlich für den Absender und das Unternehmen sein.

  • Verlust des Wettbewerbsvorteils   Dies ist eine der am schwerwiegendsten Folgen. Die Offenlegung von strategischen Geschäftsplänen oder Fusions- und Akquisitionsvorhaben kann zu Umsatzeinbußen oder Einbruch der Marktkapitalisierung der Organisation führen. Eine weitere Bedrohung im Hinblick auf den Verlust des Wettbewerbsvorteils kann der Verlust von Forschungsergebnissen, Analysedaten und sonstigem geistigem Eigentum darstellen.

Herkömmliche Lösungen gegen Informationslecks schützen zwar möglicherweise gegen den anfänglichen Zugriff auf Daten, sie stellen jedoch häufig keinen dauerhaften Schutz bereit. In der folgenden Tabelle sind einige herkömmliche Lösungen zur Verhinderung von Informationslecks aufgeführt.

 

Lösung Beschreibung Einschränkungen

Transport Layer Security (TLS)

TLS ist ein Standardinternetprotokoll, das für die Verschlüsselung von Netzwerkkommunikation verwendet wird. In einer Messagingumgebung wird TLS zur Verschlüsselung der Server/Server- und Client/Server-Kommunikation verwendet.

Standardmäßig verwendet Exchange TLS für alle internen Nachrichtenübertragungen. Opportunistisches TLS ist auch standardmäßig für SMTP-Sitzungen mit externen Hosts aktiviert (TLS-Verschlüsselung wird zuerst ausprobiert, wenn sie jedoch nicht verfügbar ist, ist eine unverschlüsselte Kommunikation zulässig). Sie können auch die Domänensicherheit konfigurieren, um die Verwendung von Mutual TLS mit externen Organisationen zu erzwingen.

TLS schützt nur die SMTP-Sitzung zwischen zwei SMTP-Hosts. Dies bedeutet, dass TLS Informationen während der Übertragung schützt, nicht jedoch auf der Nachrichtenebene und nicht, während die Informationen gespeichert sind. Nachrichten in den Postfächern des Absenders und der Empfänger sind nur dann geschützt, wenn sie mithilfe einer anderen Methode verschlüsselt werden.

Bei E-Mail-Nachrichten, die das Unternehmen verlassen, kann TLS nur für den ersten Hop festgelegt werden. Nachdem ein SMTP-Remotehost die Nachricht empfangen hat, kann er sie über eine unverschlüsselte Sitzung an einen anderen SMTP-Host weiterleiten.

Da es sich bei TLS um eine Technologie auf der Transportschicht handelt, die im E-Mail-Fluss verwendet wird, kann darüber nicht gesteuert werden, wie der Empfänger mit der Nachricht umgeht.

Nachrichtenverschlüsselung

Benutzer können Technologien wie S/MIME zum Verschlüsseln von Nachrichten verwenden.

Der Benutzer entscheidet, ob eine Nachricht verschlüsselt wird.

Es entstehen zusätzliche Kosten für eine Bereitstellung mit einer Public Key-Infrastruktur, da Zusatzaufwand für die Zertifikatverwaltung für Benutzer sowie für den Schutz privater Schlüssel entsteht.

Nachdem eine Nachricht entschlüsselt ist, gibt es keine Kontrolle darüber, wie der Empfänger die Informationen verwendet. Entschlüsselte Informationen können kopiert, gedruckt oder weitergeleitet werden. Standardmäßig sind gespeicherte Anlagen nicht geschützt.

Messagingserver können Nachrichten, die mit S/MIME verschlüsselt werden, nicht öffnen und prüfen. Aus diesem Grund können Messagingserver keine Messagingrichtlinien erzwingen, Nachrichten nicht auf Viren scannen und keine andere Aktionen durchführen, für die Zugriff auf die Inhalte der Nachrichten erforderlich ist.

Schließlich fehlen bei herkömmlichen Lösungen häufig die Tools, mit denen zur Vermeidung von Informationslecks die Anwendung einheitlicher Messagingrichtlinien erzwungen werden kann. Beispiel: Ein Benutzer kennzeichnet eine Nachricht mit Firma (vertraulich) und Nicht weiterleiten. Nachdem die Nachricht dem Empfänger zugestellt wurde, hat der Absender oder die Organisation jedoch keine Kontrolle mehr über die Nachricht. Der Empfänger kann die Nachricht wissentlich oder unabsichtlich an externe E-Mail-Konten weiterleiten (mithilfe von Funktionen wie den Regeln für die automatische Weiterleitung) und so Ihre Organisation dem nicht unerheblichen Risiko von Informationslecks aussetzen.

Mit IRM in Exchange werden Informationslecks verhindert, indem folgende Funktionen bereitgestellt werden:

  • Verhindern von Weiterleiten, Ändern, Drucken, Faxen, Speichern oder Ausschneiden und Einfügen von IRM-geschützten Inhalten durch autorisierte Empfänger.

  • Schützen von Anlagen in unterstützten Dateiformaten mit der gleichen Schutzstufe wie die Nachricht.

  • Ablaufunterstützung für IRM-geschützte Nachrichten und Anlagen, damit sie nach einem bestimmten Zeitraum nicht mehr angezeigt werden können.

  • Kopierschutz für IRM-geschützte Inhalte beim Kopieren mit dem Snipping Tool in Windows.

Mit IRM in Exchange kann jedoch nicht die Offenlegung von Informationen mithilfe der folgenden Methoden verhindert werden:

  • Verwendung von Drittanbieterprogrammen für Bildschirmaufnahmen

  • Fotografieren IRM-geschützter Inhalte, die auf dem Bildschirm angezeigt werden

  • Merken oder Abschreiben der Informationen durch den Benutzer

IRM verwendet Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) (AD RMS), eine Technologie für den Informationsschutz in Windows Server, die XrML-basierte Zertifikate (extensible Rights Markup Language) und -Lizenzen zum Zertifizieren von Computern und Benutzern sowie zum Schutz von Inhalten verwendet. Wenn ein Dokument oder eine Nachricht, mithilfe von AD RMS geschützt wird, wird eine XrML-Lizenz angefügt, aus der die Rechte hervorgehen, die autorisierte Benutzer in Bezug auf den Inhalt haben. Um auf IRM-geschützte Inhalte zugreifen zu können, müssen AD RMS-fähige Anwendungen eine Nutzungslizenz für den autorisierten Benutzer von dem AD RMS-Server bereitstellen. Office-Anwendungen wie Word, Excel, PowerPoint und Outlook sind RMS-fähig und können zum Erstellen und Verarbeiten von geschützten Inhalten verwendet werden.

noteHinweis:
Der Exchange-Vorlizenzierungs-Agent fügt den Nachrichten, die mithilfe des AD RMS-Servers in Ihrer Organisation geschützt sind, eine Nutzungslizenz an. Weitere Informationen hierzu finden Sie im Abschnitt Vorlizenzierung weiter unten in diesem Thema.

Weitere Informationen zuActive Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS) finden Sie unter Active Directory Rights Management Services.

AD RMS-Server bieten einen Webdienst, mit dem XrML-basierte Vorlagen für Benutzerrechterichtlinien aufgezählt und erworben werden, die Sie verwenden, um IRM-Schutz auf Nachrichten anzuwenden. Durch Anwenden der entsprechenden Vorlage für Benutzerrechterichtlinien können Sie steuern, ob ein Empfänger auf die Nachricht antworten, allen antworten, die Nachricht weiterleiten, Informationen aus der Nachricht extrahieren, speichern oder die Nachricht ausdrucken darf.

Standardmäßig ist im Lieferumfang von Exchange die Vorlage Nicht weiterleiten enthalten. Wenn Sie diese Vorlage auf eine Nachricht anwenden, können nur die Empfänger der Nachricht diese entschlüsseln. Die Empfänger können die Nachricht nicht weiterleiten, die Inhalte nicht und die Nachricht nicht drucken. Sie können zusätzliche RMS-Vorlagen auf den AD RMS-Servern in Ihrer Organisation erstellen, die Ihren Anforderungen entsprechen.

Weitere Informationen zu Vorlagen für Benutzerrechterichtlinien finden Sie unter Überlegungen zu AD RMS-Vorlagen für Benutzerrechterichtlinien.

Weitere Informationen zum Erstellen von Vorlagen für Benutzerrechterichtlinien finden Sie unter Schrittweise Anleitung zum Erstellen und Bereitstellen von Active Directory-Rechteverwaltungsdienste-Vorlagen für Benutzerrechterichtlinien.

Standardmäßig kann in einer Exchange-Organisation IRM aktiviert werden, um jedoch IRM-Schutz auf Nachrichten anwenden zu können, müssen Sie mindestens eine der folgenden Methoden verwenden:

  • Manuell durch Benutzer in Outlook   Benutzer können IRM-Schutz auf Nachrichten in Outlook mithilfe der verfügbaren Vorlagen für AD RMS-Benutzerrechterichtlinien anwenden. Dieses Verfahren verwendet IRM-Funktionalität in Outlook, nicht Exchange. Weitere Informationen zur Verwendung von IRM in Outlook finden Sie unter Einführung in die Verwendung von IRM für E-Mail-Nachrichten.

  • Manuell durch Benutzer in Outlook im Web   Wenn ein Administrator IRM in Outlook im Web (ehemals Outlook Web App) aktiviert, können Benutzer IRM-Schutz auf Nachrichten anwenden, die sie senden, und IRM-geschützte Nachrichten anzeigen, die sie empfangen. Weitere Informationen zu IRM in Outlook im Web finden Sie unter Verwaltung von Informationsrechten in Outlook Web App.

  • Manuell durch Benutzer in Exchange ActiveSync   Wenn ein Administrator IRM in Exchange ActiveSync aktiviert, können Benutzer IRM-geschützte Nachrichten auf ActiveSync-Geräten anzeigen, weiterleiten, erstellen, und auf diese antworten. Weitere Informationen finden Sie unter Verwaltung von Informationsrechten in Exchange ActiveSync.

  • Automatisch in Outlook   Administratoren können Outlook-Schutzregeln erstellen, mit deren Hilfe Nachrichten automatisch durch IRM geschützt werden. Outlook-Schutzregeln werden automatisch auf Outlook-Clients bereitgestellt, und der IRM-Schutz wird von Outlook automatisch angewendet, wenn ein Benutzer eine Nachricht erstellt. Weitere Informationen finden Sie unter Outlook-Schutzregeln.

  • Automatisch auf Postfachservers   Administratoren können E-Mail-Flussregeln erstellen (auch als Transportregeln bezeichnet), um IRM-Schutz automatisch auf Nachrichten anzuwenden, die den angegebene Kriterien entsprechen. Weitere Informationen finden Sie unter Transportschutzregeln.

    noteHinweis:
    Der IRM-Schutz wird nicht erneut auf Nachrichten angewendet, die bereits durch IRM geschützt sind. Wenn beispielsweise ein Benutzer eine Nachricht in Outlook oder Outlook im Web durch IRM schützt, wird der IRM-Schutz durch die Verwendung einer Transportschutzregel nicht noch einmal auf die Nachricht angewendet.

Diese Tabelle beschreibt die Szenarien für das Senden von Nachrichten und gibt an, ob IRM-Schutz verfügbar ist.

 

Szenario Senden von Nachrichten mit IRM-Schutz unterstützt? Anforderungen

Senden von Nachrichten innerhalb der gleichen lokalen Exchange-Organisation

Ja

Informationen zu den Anforderungen finden Sie im Abschnitt IRM-Anforderungen weiter unten in diesem Thema.

Senden von Nachrichten zwischen verschiedenen Active Directory-Gesamtstrukturen in einer lokalen Organisation

Ja

Informationen zu Anforderungen finden Sie unter Konfigurieren von AD RMS für die gesamtstrukturübergreifende Integration mit Exchange Server 2010.

Senden von Nachrichten zwischen einer lokalen Exchange-Organisation und einer Office 365-Organisation in einer Hybridbereitstellung

Ja

Weitere Informationen finden Sie unter IRM in Exchange-Hybridbereitstellungen.

Senden von Nachrichten an externe Empfänger

Nein

Exchange enthält keine Lösung, mit der in einer Organisation ohne Verbund IRM-geschützte Nachrichten an externe Empfänger gesendet werden können. Informationen zum Erstellen einer Vertrauensstellung zwischen zwei Active Directory-Gesamtstrukturen mithilfe von Active Directory-Verbunddienste (AD FS) finden Sie unter Grundlegendes zu AD RMS-Vertrauensrichtlinien.

Damit Sie Messagingrichtlinien erzwingen und behördliche Bestimmungen einhalten können, muss Exchange auf verschlüsselte Nachrichteninhalte zugreifen können. Außerdem muss ein zugeordneter Auditor zum Erfüllen der Anforderungen an eDiscovery (elektronische Beweiserhebung) aufgrund von Rechtsstreitigkeiten, behördlichen Prüfungen oder internen Untersuchungen verschlüsselte Nachrichten durchsuchen können. Zur Unterstützung dieser Aufgaben enthält Exchange die folgenden Entschlüsselungsfunktionen:

  • Die Transportentschlüsselung   Ermöglicht es Transport-Agents, die auf Exchange-Servern installiert sind, auf Nachrichteninhalte zuzugreifen. Weitere Informationen finden Sie unter Transportentschlüsselung.

  • Journalberichtentschlüsselung   Ermöglicht für Standard- oder Premiumjournaling das Speichern einer unverschlüsselten Kopie einer mit IRM geschützten Nachricht in Journalberichten. Weitere Informationen finden Sie unter Aktivieren der Journalberichtentschlüsselung.

  • IRM-Entschlüsselung für Exchange-Suche   Ermöglicht es Exchange-Suche, die Inhalte in IRM-geschützten Nachrichten indizieren. Wenn ein Discovery-Manager eine In-Situ-eDiscovery-Suche durchführt, werden auch die indizierten, IRM-geschützten Nachrichten in die Suchergebnisse einbezogen. Weitere Informationen finden Sie unter Konfigurieren von IRM für Exchange-Suche und Compliance-eDiscovery.

Um diese Entschlüsselungsfunktionen zu aktivieren, müssen Sie das Verbundpostfach (ein Postfach, das von Exchange erstellt wird) der Gruppe „Administratoren" auf dem AD RMS-Server hinzufügen. Eine entsprechende Anleitung finden Sie unter Hinzufügen des Verbundpostfachs zur AD RMS-Administratorengruppe.

Damit autorisierten Benutzern IRM-geschützte Nachrichten und Anlagen angezeigt werden können, fügt Exchange geschützten Nachrichten automatisch eine Vorlizenz an. Dadurch wird vermieden, dass der Client wiederholt auf den AD RMS-Server zugreifen muss, um eine Nutzungslizenz abzurufen. Außerdem wird so die Offlineanzeige von IRM-geschützten Nachrichten ermöglicht. Durch die Vorlizenzierung können Benutzern IRM-geschützte Nachrichten auch in Outlook im Web angezeigt werden. Bei Aktivierung der IRM-Funktionen wird die Vorlizenzierung standardmäßig aktiviert.

IRM-Funktionen verwenden die integrierten Transport-Agents, die im Transportdienst auf Postfachservern vorhanden sind. Die meisten integrierten Transport-Agents sind nicht sichtbar und können nicht mithilfe von Transport-Agent-Verwaltungs-Cmdlets in der Exchange-Verwaltungsshell verwaltet werden (*-TransportAgent).

Die integrierten Transport-Agents, die mit IRM verknüpft sind, werden in der folgenden Tabelle beschrieben:

 

Name des Agents Verwaltbar? SMTP- oder Kategorisierungsereignis Beschreibung

Journalberichtentschlüsselungs-Agent

Nein

OnCategorizedMessage

Enthält eine unverschlüsselte Kopie der IRM-geschützten Nachrichten, die an Journalberichte angefügt sind.

Vorlizenzierungs-Agent

Nein

OnRoutedMessage

Fügt IRM-geschützten Nachrichten eine Vorlizenz an.

RMS-Entschlüsselungs-Agent

Nein

OnSubmittedMessage,

Entschlüsselt IRM-geschützte Nachrichten, um Zugriff auf die Nachrichteninhalte für Transport-Agents zu ermöglichen.

RMS-Verschlüsselungs-Agent

Nein

OnRoutedMessage

Wendet IRM-Schutz auf Nachrichten an, die vom Transpor-Agent gekennzeichnet wurden, und verschlüsselt beim Transport entschlüsselte Nachrichten erneut.

RMS-Protokoll-Entschlüsselungs-Agent

Nein

OnEndOfData

Entschlüsselt IRM-geschützte Nachrichten, um Zugriff auf die Nachrichteninhalte für Transport-Agents zu ermöglichen.

Transportregel-Agent

Ja

OnRoutedMessage

Kennzeichnet Nachrichten, die Bedingungen in einer Transportschutzregel entsprechen, damit der RMS-Verschlüsselungs-Agent den IRM-Schutz auf sie anwendet.

Weitere Informationen zu Transport-Agents finden Sie unter Transport-Agents.

Standardmäßig ist IRM in einer Exchange-Organisation aktiviert. Wenn IRM in Ihrer Exchange 2016-Organisation implementiert werden soll, muss Ihre Bereitstellung jedoch die in der folgenden Tabelle beschriebenen Anforderungen erfüllen.

 

Server Anforderungen

AD RMS-Cluster

Als AD RMS-Cluster wird jede AD RMS-Bereitstellung bezeichnet, einschließlich eines einzelnen AD RMS-Servers. AD RMS ist ein Webdienst, dank dem Sie keinen Windows Server-Failovercluster einrichten müssen. Zur Realisierung von Hochverfügbarkeit und zum Lastenausgleich können Sie mehrere AD RMS-Server im Cluster bereitstellen und mit Netzwerklastenausgleich (NLB) arbeiten.

Dienstverbindungspunkt   AD RMS-fähige Anwendungen wie Exchange verwenden für die Erkennung eines AD RMS-Clusters und von URLs den in Active Directory registrierten Dienstverbindungspunkt. Es gibt nur einen Dienstverbindungspunkt für AD RMS in einer Active Directory-Gesamtstruktur. Sie können den Dienstverbindungspunkt während des AD RMS-Setups oder nach Abschluss des Setups registrieren.

Berechtigungen   Lese- und Ausführungsberechtigungen für die AD RMS-Serverzertifizierungspipeline (ServerCertification.asmx-Datei unter \inetpub\wwwroot\_wmcs\certification\) müssen den folgenden Sicherheitsprinzipalen zugewiesen werden:

AD RMS-Administratoren   Wenn Sie die Transportentschlüsselung, die Journalberichtentschlüsselung, IRM in Outlook im Web und IRM für Exchange-Suche aktivieren möchten, müssen Sie der Administratorengruppe des AD RMS-Clusters das Verbundpostfach hinzufügen. Weitere Informationen finden Sie unter Hinzufügen des Verbundpostfachs zur AD RMS-Administratorengruppe.

Exchange

Exchange 2010 oder höher ist erforderlich.

In einer Produktionsumgebung wird die gleichzeitige Installation von AD RMS und Exchange auf einem Server nicht unterstützt.

Outlook

AD RMS-Vorlagen für den Schutz von Nachrichten stehen in Outlook 2007 oder höher zur Verfügung.

Outlook-Schutzregeln in Exchange erfordern Outlook 2010 oder höher

Exchange ActiveSync

IRM ist in mobilen Anwendungen und auf Geräten verfügbar, die Exchange ActiveSync-Protokollversion 14.1 oder höher unterstützten und das RightsManagementInformation-Tag enthalten (beides in Exchange 2010 Service Pack 1 eingeführt). Benutzer mit unterstützten Geräten können in ActiveSync IRM-geschützte Nachrichten anzeigen, beantworten, weiterleiten und erstellen, ohne zuvor eine Verbindung mit einem Computer herzustellen und das Gerät für IRM zu aktivieren. Weitere Informationen finden Sie unter Verwaltung von Informationsrechten in Exchange ActiveSync.

Die IRM-Funktionen von Exchange unterstützen die Office-Dateiformate. Sie können den IRM-Schutz auf andere Dateiformate erweitern, indem Sie benutzerdefinierte Schutzkomponenten bereitstellen. Weitere Informationen zu benutzerdefinierten Schutzkomponenten finden Sie im Abschnitt über Partner für Informationsschutz und -kontrolle unter Microsoft-Partner.

Zum Konfigurieren der IRM-Funktionen in Exchange-Verwaltungsshell müssen Sie die Exchange verwenden. Weitere Informationen zu geeigneten Verfahren finden Sie unter Verfahren zur Verwaltung von Informationsrechten.

Nach dem Installieren und Konfigurieren eines Postfachservers können Sie mithilfe des Test-IRMConfiguration-Cmdlets umfassende Tests Ihrer IRM-Bereitstellung ausführen. Das Cmdlet führt die folgenden Tests aus:

  • Überprüfen der IRM-Konfiguration für Ihre Exchange-Organisation.

  • Überprüfen des AD RMS-Servers auf Versions- und Hotfixinformationen.

  • Abrufen eines Rechtekontozertifikats (RAC) und eines Client-Lizenzgeberzertifikats (CLC), um zu prüfen, ob ein Exchange-Server für RMS aktiviert werden kann.

  • Abrufen von AD RMS-Vorlagen für Benutzerrechterichtlinien vom AD RMS-Server.

  • Überprüfen, ob der angegebene Absender IRM-geschützte Nachrichten senden kann.

  • Abrufen einer Administratornutzungslizenz für den angegebenen Empfänger.

  • Abrufen einer Vorlizenz für den angegebenen Empfänger.

Weitere Informationen finden Sie unter Test-IRMConfiguration.

Azure Rights Management-Connector-Connector (RMS-Connector) ist eine optionale Anwendung, die den Datenschutz für Ihren Exchange-Server mithilfe des cloudbasierten Azure Rights Management-Diensts (Azure RMS) verbessert. Nachdem Sie den RMS-Connector installiert haben, bietet er kontinuierlichen Datenschutz während der gesamten Lebensdauer der Informationen. Da diese Dienste anpassbar sind, können Sie das gewünschte Sicherheitsniveau festlegen. Sie können beispielsweise den E-Mail-Nachrichtenzugriff auf bestimmte Benutzer beschränken oder für bestimmte Nachrichten nur Leserechte festlegen.

Weitere Informationen zum RMS-Connector und zur Installation finden Sie unter Bereitstellen des Azure Rights Management-Connectors.

 
Anzeigen: