Grundlegendes zur Verwaltung von Informationsrechten

  • Artikel

Gilt für: Exchange Server 2010

Letztes Änderungsdatum des Themas: 2010-02-01

Tagtäglich tauschen Information-Worker sensible Informationen, wie beispielsweise Finanzberichte und -daten, juristische Verträge, vertrauliche Produktinformationen, Verkaufsberichte und -planungen, Wettbewerbsanalysen, Forschungsdaten und patentrechtlich geschützte Informationen sowie Kunden- und Mitarbeiterdaten, über E-Mail aus. Da jeder von nahezu überall auf seine E-Mails zugreifen kann, sind aus Postfächern sogenannte Repositorys (d. h. Datenspeicher) geworden, die große Mengen potenziell vertraulicher Daten enthalten. Informationslecks stellen daher eine ernst zu nehmende Bedrohung für die meisten Organisationen dar. Zur Vermeidung von Informationslecks enthält Exchange 2010 die Funktion "Verwaltung von Informationsrechten (IRM)", die einen dauerhaften Online- und Offlineschutz für E-Mail-Nachrichten und -Anlagen bietet.

Inhalt

Was ist ein "Informationsleck"?

Herkömmliche Lösungen für Informationslecks

Verwaltung von Informationsrechten (IRM) in Exchange 2010

Vorlagen für AD RMS-Benutzerrechterichtlinien

Anwenden von IRM-Schutz auf Nachrichten

Entschlüsseln von IRM-geschützten Nachrichten zum Erzwingen von Messagingrichtlinien

Vorlizenzierung

IRM-Agents

IRM-Anforderungen

Konfigurieren und Testen von IRM

Was ist ein "Informationsleck"?

Ein Informationsleck (die Enthüllung potentiell vertraulicher Daten) kann für ein Unternehmen teuer werden und weitreichenden Einfluss auf die Organisation und das Geschäft sowie Mitarbeiter, Kunden und Partner haben. Außerdem wird zunehmend in örtlichen und branchenspezifischen Bestimmungen geregelt, wie bestimmte Arten von Informationen zu speichern, zu übermitteln und zu sichern sind. Um nicht gegen die geltenden Bestimmungen zu verstoßen, müssen sich Organisationen selbst gegen absichtliche, unabsichtliche oder zufällige Informationslecks schützen.

Informationslecks können u. a. folgende Konsequenzen haben:

  • Finanzieller Schaden   Je nach Größe, Branche und lokalen Bestimmungen haben Informationslecks höchstwahrscheinlich auch finanzielle Auswirkungen, sei es aufgrund nicht zustande gekommener Geschäfte oder durch Geldstrafen und Schadenersatzforderungen von Gerichten oder Aufsichtsbehörden. Aktiengesellschaften riskieren einen Einbruch des Börsenwerts aufgrund negativer Schlagzeilen in den Medien.
  • Imageschaden und Glaubwürdigkeitsverluste   Informationslecks können dem Image eines Unternehmens und dessen Glaubwürdigkeit bei seinen Kunden schaden. Darüber hinaus können bekannt gewordene E-Mail-Nachrichten, je nach Art des Inhalts, peinlich für den Absender und das Unternehmen sein.
  • Verlust von Wettbewerbsvorteilen   Eine der größten Gefahrenquellen stellen Informationslecks in Bezug auf den Verlust von Wettbewerbsvorteilen im Geschäftsbetrieb dar. Die Enthüllung strategischer Pläne oder das Durchsickern von Informationen in Bezug auf Fusionen oder Betriebsübernahmen führen möglicherweise zu Umsatzeinbußen oder Einbrüchen beim Börsenwert. Zu den Risiken zählt u. a. auch der Verlust von Forschungs- und Analysedaten oder sonstigen Wissensressourcen bzw. geistigem Eigentum.

Herkömmliche Lösungen für Informationslecks

Auch wenn einige herkömmliche Lösungen für Informationslecks Schutz vor dem eigentlichen Zugriff auf Daten bieten, gewährleisten sie doch keine konstante Sicherheit. In der folgenden Tabelle sind als Beispiel einige herkömmliche Lösungen mit den jeweiligen Einschränkungen aufgeführt:

Lösung Beschreibung Einschränkungen

Transport Layer Security (TLS)

TLS ist ein Standardinternetprotokoll, das mithilfe von Verschlüsselung eine sichere Kommunikation in einem Netzwerk ermöglicht. In einer Messagingumgebung dient TLS zum Schutz der Kommunikation zwischen zwei Servern und/oder zwischen Clients und Server.

Exchange 2010 verwendet TLS standardmäßig für alle internen Nachrichtenübermittlungen. Opportunistisches TLS wird außerdem standardmäßig für Sitzungen mit externen Hosts aktiviert. Das heißt, Exchange versucht zuerst, für die Sitzung die TLS-Verschlüsselung zu verwenden und greift dann auf SMTP zurück, wenn keine TLS-Verbindung zum Zielserver hergestellt werden kann. Sie können zusätzlich die Domänensicherheit konfigurieren, um bei der Kommunikation mit externen Organisationen Mutual TLS zu erzwingen. Weitere Informationen finden Sie unter Grundlegendes zur Domänensicherheit.

TLS schützt nur die SMTP-Sitzung zwischen zwei SMTP-Hosts. Anders ausgedrückt: Es schützt die in Bewegung befindlichen Informationen, bietet jedoch keinen Schutz auf Nachrichtenebene oder für "ruhende" Informationen. Sofern die Nachrichten nicht mithilfe einer anderen Methode verschlüsselt werden, sind sie im Postfach des Absenders und Empfängers ungeschützt. Bei E-Mail-Nachrichten, die das Unternehmen verlassen, kann TLS nur für den ersten Hop festgelegt werden. Nachdem ein SMTP-Remotehost außerhalb der Organisation die Nachricht empfangen hat, kann er sie über eine unverschlüsselte Sitzung an einen anderen SMTP-Host weiterleiten. Da es sich bei TLS um eine Technologie auf der Transportschicht handelt, kann darüber nicht gesteuert werden, wie der Empfänger mit der Nachricht umgeht.

E-Mail-Verschlüsselung

Benutzer können Technologien wie S/MIME zum Verschlüsseln von Nachrichten verwenden.

Der Benutzer entscheidet, ob eine Nachricht verschlüsselt wird. Durch die Bereitstellung einer Infrastruktur mit öffentlichem Schlüssel und dem zugehörigen Aufwand für die Zertifikatsverwaltung für die Benutzer und den Schutz privater Schlüssel entstehen zusätzliche Kosten. Darüber hinaus kann nach der Entschlüsselung einer Nachricht nicht gesteuert werden, was der Empfänger mit den Informationen tun darf. Entschlüsselte Informationen können kopiert, gedruckt oder weitergeleitet werden. Gespeicherte Anlagen sind standardmäßig nicht geschützt.

Ihre Organisation kann nicht auf Nachrichten zugreifen, die mit Technologien wie S/MIME verschlüsselt wurden. Die Organisation kann den Inhalt der Nachricht nicht überprüfen und daher auch keine Richtlinien für Nachrichten erzwingen, Nachrichten nach Viren oder bösartigem Inhalt durchsuchen bzw. andere Aktionen ausführen, die einen Zugriff auf den Inhalt voraussetzen.

Schließlich fehlen bei herkömmlichen Lösungen häufig die Werkzeuge, mit denen zur Vermeidung von Informationslecks die Anwendung einheitlicher Messagingrichtlinien erzwungen werden kann. Beispiel: Ein Benutzer sendet eine Nachricht mit sensiblen Informationen und kennzeichnet diese mit "Firma (vertraulich)" und "Nicht weiterleiten". Nachdem die Nachricht dem Empfänger zugestellt wurde, hat der Absender bzw. die Organisation jedoch keine Kontrolle mehr über die Informationen. Der Empfänger kann die Nachricht wissentlich oder unabsichtlich an externe E-Mail-Konten weiterleiten (mithilfe von Funktionen wie z. B. den Regeln für die automatische Weiterleitung) und so Ihre Organisation dem nicht unerheblichen Risiko von Informationslecks aussetzen.

Verwaltung von Informationsrechten (IRM) in Exchange 2010

In Exchange 2010 können Sie mithilfe der Funktionen zur Verwaltung von Informationsrechten (IRM) Nachrichten und Anlagen dauerhaft schützen. Für IRM werden die Active Directory-Rechteverwaltungsdienste (AD RMS), eine Datenschutztechnologie in Windows Server 2008, verwendet. Mit den IRM-Funktionen in Exchange 2010 können Ihre Organisation und die Benutzer steuern, welche Rechte den Empfängern für E-Mail-Nachrichten eingeräumt werden. Mit IRM können außerdem Aktionen der Empfänger, wie beispielsweise das Weiterleiten einer Nachricht an andere Empfänger, das Drucken einer Nachricht oder einer Anlage oder das Extrahieren von Nachrichteninhalten oder Anlagen mittels Kopieren und Einfügen, zugelassen oder eingeschränkt werden. Der IRM-Schutz kann durch den Benutzer in Microsoft Outlook oder Outlook Web App angewendet werden. Er kann sich jedoch auch nach den Messagingrichtlinien in Ihrer Organisation richten und anhand von Transportschutzregeln oder Outlook-Schutzregeln angewendet werden. Im Gegensatz zu anderen Lösungen für die E-Mail-Verschlüsselung bietet IRM Ihrer Organisation außerdem die Möglichkeit, geschützte Inhalte zu entschlüsseln und die Einhaltung von Richtlinien zu erzwingen.

AD RMS verwendet zum Zertifizieren von Computern und Benutzern sowie zum Schutz von Inhalten XrML-basierte Zertifikate (eXtensible Rights Markup Language) und Lizenzen. Wenn Inhalte, wie beispielsweise ein Dokument oder eine Nachricht, mithilfe von AD RMS geschützt sind, wird eine XrML-Lizenz angefügt, aus der die Rechte hervorgehen, die autorisierte Benutzer in Bezug auf den Inhalt haben. Für den Zugriff auf IRM-geschützte Inhalte müssen AD RMS-aktivierte Anwendungen vom AD RMS-Cluster eine Verwendungslizenz für den autorisierten Benutzer abrufen.

Hinweis

In Exchange 2010 fügt der Vorlizenzierungs-Agent den Nachrichten, die mithilfe des AD RMS-Clusters in Ihrer Organisation geschützt sind, eine Verwendungslizenz an. Weitere Einzelheiten finden Sie im Abschnitt Vorlizenzierung weiter unten in diesem Thema.

Zum Erstellen von Inhalten verwendete Anwendungen müssen RMS-aktiviert sein, um mithilfe von AD RMS die Inhalte dauerhaft zu schützen. Microsoft Office-Anwendungen, wie Microsoft Word, Microsoft Excel und Microsoft PowerPoint, sind RMS-aktiviert und können zum Erstellen geschützter Inhalte verwendet werden.

IRM bietet folgende Möglichkeiten:

  • Verhindern von Weiterleiten, Ändern, Drucken, Faxen, Speichern oder Ausschneiden und Einfügen von IRM-geschützten Inhalten durch autorisierte Empfänger
  • Schützen von Anlagen in unterstützten Dateiformaten mit der gleichen Schutzstufe wie die Nachricht
  • Ablaufunterstützung für IRM-geschützte Nachrichten und Anlagen, damit sie nach einem bestimmten Zeitraum nicht mehr angezeigt werden können
  • Kopierschutz für IRM-geschützte Inhalte beim Kopieren mit dem Snipping Tool in Windows

IRM kann jedoch nicht verhindern, dass Informationen mithilfe der folgenden Methoden kopiert werden:

  • Verwendung von Drittanbieterprogrammen für Bildschirmaufnahmen
  • Verwendung bildgebender Geräte (z. B. Kameras) zum Fotografieren IRM-geschützter Inhalte, die auf dem Bildschirm angezeigt werden
  • Merken oder Abschreiben der Informationen durch den Benutzer

Weitere Informationen zu AD RMS finden Sie unter Active Directory-Rechteverwaltungsdienste.

Vorlagen für AD RMS-Benutzerrechterichtlinien

AD RMS verwendet XrML-basierte Vorlagen für Benutzerrechterichtlinien, mit deren Hilfe kompatible IRM-aktivierte Anwendungen dauerhafte Schutzrichtlinien anwenden können. In Windows Server 2008 stellt der AD RMS-Server einen Webdienst bereit, der zum Aufzählen und Abrufen von Vorlagen verwendet werden kann. Im Lieferumfang von Exchange 2010 ist die Vorlage "Nicht weiterleiten" enthalten. Wenn die Vorlage "Nicht weiterleiten" auf eine Nachricht angewendet wird, können nur die in der Nachricht genannten Empfänger die Nachricht entschlüsseln. Die Empfänger können die Nachricht weder an andere Personen weiterleiten noch den Inhalt der Nachricht kopieren oder die Nachricht drucken. Auf dem AD RMS-Server in Ihrer Organisation können Sie weitere RMS-Vorlagen erstellen, um die Anforderungen an den jeweiligen IRM-Schutz zu erfüllen.

Der IRM-Schutz wird durch Verwendung einer AD RMS-Vorlage für Benutzerrechterichtlinien angewendet. Mithilfe von Richtlinienvorlagen können Sie die Berechtigungen steuern, die Empfänger für eine Nachricht haben. Durch Anwenden der entsprechenden Vorlage für Benutzerrechterichtlinien auf die Nachricht können Aktionen wie Antworten, Allen antworten, Weiterleiten, Extrahieren von Informationen aus einer Nachricht, Speichern oder Drucken einer Nachricht gesteuert werden.

Weitere Informationen zu Vorlagen für Benutzerrechterichtlinien finden Sie unter Überlegungen zu AD RMS-Vorlagen für Benutzerrechterichtlinien (möglicherweise in englischer Sprache).

Weitere Informationen zum Erstellen von Vorlagen für Benutzerrechterichtlinien finden Sie unter Schrittweise Anleitung zum Erstellen und Bereitstellen von Active Directory-Rechteverwaltungsdienste-Vorlagen für Benutzerrechterichtlinien.

Anwenden von IRM-Schutz auf Nachrichten

In Exchange 2010 kann der IRM-Schutz auf den folgenden Stufen auf Nachrichten angewendet werden:

  1. Manuell von Outlook-Benutzern   Outlook-Benutzer können mithilfe der für sie verfügbaren AD RMS-Vorlagen für Benutzerrechterichtlinien Nachrichten durch IRM schützen. Bei diesem Prozess wird die IRM-Funktion in Outlook (nicht in Exchange) verwendet. Sie können jedoch mit Exchange auf die Nachrichten zugreifen und Aktionen ausführen (z. B. Anwenden von Transportregeln), um die Messagingrichtlinie Ihrer Organisation zu erzwingen. Weitere Informationen zur Verwendung von IRM in Outlook finden Sie unter Einführung in die Verwendung von IRM für E-Mail-Nachrichten (möglicherweise in englischer Sprache).

  2. Manuell von Outlook Web App-Benutzern   Wenn IRM in Outlook Web App aktiviert wird, können Benutzer ausgehende Nachrichten durch IRM schützen und eingehende, IRM-geschützte Nachrichten anzeigen. Weitere Informationen zu IRM in Outlook Web App finden Sie unter Grundlegendes zur Verwaltung von Informationsrechten in Outlook Web App.

  3. Automatisch in Outlook 2010   Sie können Outlook-Schutzregeln erstellen, mit deren Hilfe Nachrichten in Outlook 2010 automatisch durch IRM geschützt werden. Outlook-Schutzregeln werden automatisch auf Outlook 2010-Clients bereitgestellt, und der IRM-Schutz wird von Outlook 2010 automatisch angewendet, wenn ein Benutzer eine Nachricht erstellt. Weitere Informationen zu Outlook-Schutzregeln finden Sie unter Grundlegendes zu Outlook-Schutzregeln.

  4. Automatisch auf Hub-Transport-Servern   Sie können Transportschutzregeln erstellen, mit deren Hilfe Nachrichten auf Exchange 2010-Hub-Transport-Servern automatisch durch IRM geschützt werden. Weitere Informationen zu Transportschutzregeln finden Sie unter Grundlegendes zu Transportschutzregeln.

    Hinweis

    Der IRM-Schutz wird nicht erneut auf Nachrichten angewendet, die bereits durch IRM geschützt sind. Wenn beispielsweise ein Benutzer eine Nachricht in Outlook oder Outlook Web App durch IRM schützt, wird der IRM-Schutz durch die Verwendung einer Transportschutzregel nicht noch einmal auf die Nachricht angewendet.

Unterstützte Szenarien für den IRM-Schutz

In Exchange 2010 wird der IRM-Schutz in den folgenden Szenarien unterstützt:

Szenario IRM-Schutz unterstützt?

Nachrichten an Postfachbenutzer innerhalb Ihrer Exchange-Organisation

Ja

Nachrichten an Verteilergruppen innerhalb Ihrer Organisation

Ja

Dd638140.note(de-de,EXCHG.140).gifHinweis:
Siehe "Nachrichten an Empfänger außerhalb Ihrer Organisation", wenn die Verteilergruppe externe Empfänger beinhaltet.

Nachrichten an Empfänger außerhalb Ihrer Organisation

Nein

Dd638140.note(de-de,EXCHG.140).gifHinweis:
Exchange 2010 enthält keine Lösung, mit der IRM-geschützte Nachrichten an externe Empfänger gesendet werden können. AD RMS bietet Lösungen durch die Verwendung von Vertrauensrichtlinien. Sie können eine Vertrauensrichtlinie zwischen Ihrem AD RMS-Cluster und Ihrer Windows Live ID konfigurieren. Für Nachrichten, die zwischen zwei Unternehmen gesendet werden, können Sie mithilfe der Active Directory-Verbunddienste (AD FS) eine Verbundvertrauensstellung zwischen den beiden Active Directory-Gesamtstrukturen erstellen. Weitere Informationen finden Sie unter Grundlegendes zu AD RMS-Vertrauensrichtlinien.

Nachrichten an Verteilergruppen oder Verteilerlisten außerhalb der Exchange-Organisation

Nein

Dd638140.note(de-de,EXCHG.140).gifHinweis:
Eine Aufgliederung externer Verteilerlisten oder Verteilergruppen findet in Ihrer Exchange-Organisation nicht statt. IRM-geschützte Nachrichten, die an externe Verteilergruppen gesendet werden, enthalten eine Lizenz für die Gruppe, nicht jedoch für Gruppenmitglieder. Gruppenmitglieder können nicht auf die Nachricht zugreifen.

Entschlüsseln von IRM-geschützten Nachrichten zum Erzwingen von Messagingrichtlinien

Damit Sie Messagingrichtlinien erzwingen und behördliche Bestimmungen einhalten können, müssen Sie in der Lage sein, auf verschlüsselte Nachrichteninhalte zuzugreifen. Außerdem müssen Sie zum Erfüllen der Anforderungen an eDiscovery (elektronische Beweiserhebung) aufgrund von Rechtsstreitigkeiten, behördlichen Prüfungen oder internen Untersuchungen verschlüsselte Nachrichten durchsuchen können. Zur Unterstützung dieser Aufgaben enthält Exchange 2010 die folgenden IRM-Funktionen:

  1. Transportentschlüsselung   Damit Messagingrichtlinien angewendet werden können, sollten Transport-Agents, wie beispielsweise der Transportregel-Agent, Zugriff auf die Nachrichteninhalte haben. Die Transportentschlüsselung erlaubt Transport-Agents, die auf Exchange 2010-Servern installiert sind, auf Nachrichteninhalte zuzugreifen. Weitere Informationen finden Sie unter Grundlegendes zur Transportentschlüsselung.
  2. Journalberichtentschlüsselung   Zur Einhaltung behördlicher Bestimmungen oder geschäftlicher Anforderungen können Unternehmen Nachrichteninhalte mithilfe der Journalfunktion aufbewahren. Der Journal-Agent erstellt für Nachrichten, auf die die Journalfunktion angewendet wird, einen Journalbericht und schließt Metadaten über die Nachricht in den Bericht ein. Die ursprüngliche Nachricht wird dem Journalbericht angefügt. Ist die Nachricht in einem Journalbericht durch IRM geschützt, fügt die Journalberichtentschlüsselung dem Journalbericht eine Kopie der Nachricht im Klartext an. Weitere Informationen finden Sie unter Grundlegendes zur Journalberichtentschlüsselung.
  3. IRM-Entschlüsselung für die Exchange-Suche   Mit der IRM-Entschlüsselung für die Exchange-Suche kann die Exchange-Suche Inhalte in IRM-geschützten Nachrichten indizieren. Wenn ein Discovery-Manager mithilfe der Postfachsuche über mehrere Postfächer eine Discoverysuche durchführt, werden auch die indizierten, IRM-geschützten Nachrichten in die Suchergebnisse einbezogen. Weitere Informationen finden Sie unter Grundlegendes zur Exchange-Suche. Weitere Informationen zur Postfachsuche über mehrere Postfächer finden Sie unter Grundlegendes zur Suche in mehreren Postfächern.

Damit die Entschlüsselungsfunktionen aktiviert werden, müssen Exchange-Server auf die Nachricht zugreifen können. Das wird durch Hinzufügen des Verbundzustellungspostfachs zur Administratorengruppe auf dem AD RMS-Server realisiert. Hierbei handelt es sich um ein Systempostfach, das vom Exchange-Setupprogramm erstellt wurde. Weitere Informationen finden Sie unter Hinzufügen eines Verbundzustellungspostfachs zur AD RMS-Administratorgruppe.

Vorlizenzierung

Damit IRM-geschützte Nachrichten und Anlagen angezeigt werden können, fügt Exchange 2010 geschützten Nachrichten automatisch eine Vorlizenz an. Dadurch wird vermieden, dass der Client wiederholt auf den AD RMS-Server zugreifen muss, um eine Verwendungslizenz abzurufen. Außerdem wird so die Offlineanzeige von IRM-geschützten Nachrichten und Anlagen ermöglicht. Durch die Vorlizenzierung können IRM-geschützte Nachrichten auch in Outlook Web App angezeigt werden. Bei Aktivierung der IRM-Funktionen wird die Vorlizenzierung standardmäßig mit aktiviert.

IRM-Agents

In Exchange 2010 wird die IRM-Funktionalität auf Hub-Transport-Servern durch die Verwendung von Transport-Agents aktiviert. IRM-Agents werden vom Exchange-Setupprogramm auf einem Hub-Transport-Server installiert und können nicht mithilfe der Verwaltungstasks für Transport-Agents gesteuert werden.

Hinweis

IRM-Agents sind in Exchange 2010 integrierte Agents. Integrierte Agents sind nicht in der Agentliste enthalten, die vom Cmdlet Get-TransportAgent zurückgegeben wird. Weitere Informationen finden Sie unter Grundlegendes zu Transport-Agents.

In der folgenden Tabelle sind die auf Hub-Transport-Servern implementierten IRM-Agents aufgelistet.

Agent Ereignis Funktion

RMS-Entschlüsselungs-Agent

OnEndOfData (SMTP) & OnSubmittedMessage

Entschlüsselt Nachrichten, um den Zugriff auf Transport-Agents zu ermöglichen.

Transportregel-Agent

OnRoutedMessage

Kennzeichnet Nachrichten, die den Bedingungen einer Transportschutzregel für IRM-Schutz durch den RMS-Verschlüsselungs-Agent entsprechen.

RMS-Verschlüsselungs-Agent

OnRoutedMessage

Wendet IRM-Schutz auf Nachrichten an, die vom Transportregel-Agent gekennzeichnet wurden, und verschlüsselt beim Transport entschlüsselte Nachrichten erneut.

Vorlizenzierungs-Agent

OnRoutedMessage

Fügt IRM-geschützten Nachrichten eine Vorlizenz an.

Journalberichtentschlüsselungs-Agent

OnCategorizedMessage

Entschlüsselt IRM-geschützte Nachrichten, die an Journalberichte angefügt sind, und bettet neben den ursprünglichen, verschlüsselten Nachrichten Klartextversionen mit ein.

Weitere Informationen zu Transport-Agents finden Sie unter Grundlegendes zu Transport-Agents.

IRM-Anforderungen

Wenn IRM in Ihrer Exchange 2010-Organisation implementiert werden soll, muss Ihre Bereitstellung die folgenden Anforderungen erfüllen:

Server Anforderung

AD RMS-Cluster
  • Windows Server 2008 R2
  • Windows Server 2008 SP2 mit dem folgenden Hotfix.
  • Dienstverbindungspunkt (Service Connection Point, SCP)   Exchange 2010 und AD RMS-fähige Anwendungen verwenden für die Erkennung von AD RMS-Clustern und URLs den in Active Directory registrierten Dienstverbindungspunkt. AD RMS ermöglicht die Registrierung der Dienstverbindungspunkte während der AD RMS-Installation. Wenn das zum Einrichten von AD RMS verwendete Konto nicht zur Sicherheitsgruppe "Organisations-Admins" gehört, kann die Registrierung des Dienstverbindungspunkts nach dem Setup vorgenommen werden. Es gibt nur einen Dienstverbindungspunkt für AD RMS in einer Active Directory-Gesamtstruktur.
  • Berechtigungen   Der Exchange-Servergruppe oder einzelnen Exchange-Servern müssen Lese- und Ausführungsberechtigungen für die AD RMS-Serverzertifizierungspipeline zugewiesen werden. (Der Standardpfad auf AD RMS-Servern lautet: \inetpub\wwwroot\_wmcs\certification\ServerCertification.asmx.)
  • AD RMS-Administratoren   Wenn Sie die Transportentschlüsselung, die Journalberichtentschlüsselung, IRM in Outlook Web App und IRM für die Exchange-Suche aktivieren möchten, müssen Sie der Administratorengruppe des AD RMS-Clusters das Verbundzustellungspostfach hinzufügen. Dabei handelt es sich um ein Systempostfach, das vom Exchange 2010-Setupprogramm erstellt wird. Weitere Informationen finden Sie unter Hinzufügen eines Verbundzustellungspostfachs zur AD RMS-Administratorgruppe.

Exchange-Server
  • Exchange Server 2010
  • Empfohlen: Hotfix für .NET Framework 2.0 SP2

Outlook
  • Benutzer können den IRM-Schutz für Nachrichten in Outlook anwenden. Outlook 2003 und höher unterstützt AD RMS-Vorlagen für den IRM-Schutz von Nachrichten.
  • Outlook-Schutzregeln sind eine Funktion von Exchange 2010 und Outlook 2010. Frühere Versionen von Outlook unterstützen diese Funktion nicht.

Windows Mobile
  • Windows Mobile 6.0 oder höher. Um IRM auf einem Windows Mobile-Gerät zu aktivieren, muss der Benutzer das Gerät mit einem Computer mit Windows 7, Windows Vista oder Windows XP verbinden und die Aktivierung dann mithilfe des Windows Mobile-Gerätecenters oder über Exchange ActiveSync vornehmen. Für die IRM-Aktivierung muss der Computer, mit dem das Gerät verbunden ist, Zugriff auf Active Directory-Domänencontroller haben, um den AD RMS-Cluster in Ihrer Organisation zu lokalisieren. Weitere Informationen finden Sie unter Übersicht über die Verwaltung von Informationsrechten (möglicherweise in englischer Sprache).
  • Die Zertifizierung mobiler Geräte muss auf dem AD RMS-Cluster aktiviert werden. Weitere Informationen finden Sie unter Aktivieren der Zertifizierung mobiler Geräte.

Hinweis

Der Begriff AD RMS-Cluster steht für eine AD RMS-Bereitstellung in einer Organisation (einschließlich der Bereitstellung eines einzelnen Servers). AD RMS ist ein Webdienst. Er setzt keine Einrichtung eines Windows Server 2008-Failoverclusters voraus. Zur Realisierung von Hochverfügbarkeit und zum Lastenausgleich können Sie mehrere AD RMS-Server im Cluster bereitstellen und mit Netzwerklastenausgleich arbeiten.

Wichtig

In einer Produktionsumgebung wird die gleichzeitige Installation von AD RMS und Exchange auf einem Server nicht unterstützt.

Konfigurieren und Testen von IRM

Zum Konfigurieren der IRM-Funktionen in Exchange 2010 muss die Shell verwendet werden. Mit dem Cmdlet Set-IRMConfiguration können Sie einzelne IRM-Funktionen konfigurieren. Sie können IRM für interne Nachrichten aktivieren oder deaktivieren sowie die Transportentschlüsselung, die Journalberichtentschlüsselung, IRM für die Exchange-Suche und IRM in Outlook Web App aktivieren bzw. deaktivieren. Weitere Informationen zum Konfigurieren von IRM-Funktionen finden Sie unter Verwalten von Rechteschutz.

Nach dem Einrichten eines Exchange 2010-Servers können Sie mithilfe des Cmdlets Test-IRMConfiguration umfassende Tests für Ihre IRM-Bereitstellung ausführen. Diese Tests sind hilfreich, um die IRM-Funktionalität unmittelbar nach der ersten IRM-Konfiguration und auf regelmäßiger Basis zu überprüfen. Das Cmdlet führt die folgenden Tests aus:

  • Untersuchen der IRM-Konfiguration für Ihre Exchange 2010-Organisation
  • Überprüfen des AD RMS-Servers auf Versions- und Hotfix-Informationen
  • Abrufen eines Rechtekontozertifikats (RAC) und eines Client-Lizenzgeberzertifikats (CLC), um zu prüfen, ob für RMS ein Exchange-Server aktiviert werden kann
  • Abrufen von AD RMS-Vorlagen für Benutzerrechterichtlinien vom AD RMS-Server
  • Überprüfen des angegebenen Absenders, ob dieser IRM-geschützte Nachrichten senden kann
  • Abrufen einer Administratorverwendungslizenz für den angegebenen Empfänger
  • Abrufen einer Vorlizenz für den angegebenen Empfänger