Outlook-Schutzregeln

  • Artikel

Gilt für: Exchange Server 2013

Jeden Tag tauschen Information-Worker sicherheitsrelevante Informationen per E-Mail aus, wozu Finanzberichte und -daten ebenso gehören wie Informationen zu Kunden und Mitarbeitern sowie vertrauliche Produktinformationen und -spezifikationen. In Microsoft Exchange Server 2013, Microsoft Outlook und Microsoft Office Outlook Web App können Benutzer IRM-Schutz (Information Rights Management) auf Nachrichten anwenden, indem sie eine Rechterichtlinienvorlage für Active Directory Rights Management Services (AD RMS) anwenden. Hierfür ist eine AD RMS-Bereitstellung in der Organisation erforderlich. Weitere Informationen zu AD RMS finden Sie unter Active Directory-Rechteverwaltungsdienste.

Im Ermessen der Benutzer können Nachrichten jedoch ohne IRM-Schutz unverschlüsselt gesendet werden. In Organisationen, die E-Mail als gehosteten Dienst verwenden, besteht das Risiko von Informationslecks, da die Nachricht den Client verlässt und an Standorte außerhalb der Grenzen einer Organisation weitergeleitet und dort gespeichert wird. Obwohl E-Mail-Hostingunternehmen über sorgfältig definierte Verfahren und Prüfungen verfügen, die dazu beitragen, das Risiko von Informationslecks zu minimieren, verliert die Organisation die Kontrolle über die Daten, sobald eine Nachricht die Grenzen der Organisation verlassen hat. Outlook-Schutzregeln können als Schutz gegen diese Art von Informationsleck dienen.

Informationen zu Verwaltungsaufgaben im Zusammenhang mit der Verwaltung von IRM finden Sie unter Verfahren zur Verwaltung von Informationsrechten.

Automatischer IRM-Schutz in Outlook

In Exchange 2013 helfen Outlook-Schutzregeln der Organisation, sich gegen das Risiko von Informationslecks zu schützen, indem auf die Nachrichten in Exchange 2013 automatisch der IRM-Schutz angewendet wird. Nachrichten werden mit IRM-Schutz versehen, bevor Sie den Outlook-Client verlassen. Dieser Schutz gilt auch für alle Anlagen mit unterstützten Dateiformaten.

Wenn Sie auf einem Exchange 2013-Server Outlook-Schutzregeln erstellen, werden die Regeln mithilfe von Exchange-Webdiensten automatisch an Outlook 2010 verteilt. Damit Outlook 2010 die Regel anwenden kann, muss die AD RMS-Vorlage für Benutzerrechterichtlinien auf den Computern der Benutzer vorhanden sein.

Wichtig

Wenn eine Rechterichtlinienvorlage vom AD RMS-Server entfernt wird, müssen Sie alle Outlook-Schutzregeln ändern, die die entfernte Vorlage verwenden. Wenn eine Outlook-Schutzregel weiterhin eine entfernte Berechtigungsrichtlinienvorlage verwendet und die Transportentschlüsselung in der Organisation aktiviert ist, kann der Entschlüsselungs-Agent die Nachricht nicht entschlüsseln, die mit einer vorlage geschützt ist, die nicht mehr verfügbar ist. Wenn die Transportentschlüsselung als erforderlich konfiguriert wurde, weist der Transportdienst die Nachricht zurück und sendet einen Unzustellbarkeitsbericht (Non-Delivery Report, NDR) an den Absender. Weitere Informationen zur Transportentschlüsselung finden Sie unter Transportentschlüsselung. Weitere Informationen zu VORLAGEN für AD RMS-Rechterichtlinien finden Sie unter Überlegungen zur AD RMS-Richtlinienvorlage.

In Windows Server 2008 und höher können Vorlagen für Rechterichtlinien archiviert und nicht gelöscht werden. Archivierte Vorlagen können weiterhin zum Lizenzieren von Inhalten verwendet werden, aber wenn Sie eine Outlook-Schutzregel erstellen oder ändern, werden archivierte Vorlagen nicht in die Liste der Vorlagen aufgenommen.

Outlook-Schutzregeln sind mit Transportschutzregeln vergleichbar. Beide werden basierend auf Nachrichtenbedingungen angewendet, und beide schützen Nachrichten durch Anwenden einer AD RMS-Vorlage für Benutzerrechterichtlinien. Transportschutzregeln werden jedoch im Transportdienst auf dem Postfachserver vom Transportregel-Agent angewendet. Outlook-Schutzregeln werden in Outlook 2010 angewendet, bevor die Nachricht den Computer des Benutzers verlässt. Bei Nachrichten, die von einer Outlook-Schutzregel geschützt werden, ist der IRM-Schutz bereits aktiv, wenn sie an die Transportpipeline übergeben werden. Darüber hinaus werden Nachrichten, die mit einer Outlook-Schutzregel geschützt werden, auch in einem verschlüsselten Format im Ordner "Gesendete Elemente" im Postfach des Absenders gespeichert.

Hinweis

Wenn in Ihrer Exchange-Organisation die Transportentschlüsselung aktiviert ist, können Nachrichten, die von einer Outlook-Schutzregel auf dem AD RMS-Server in Ihrer Organisation durch IRM geschützt sind, von Entschlüsselungs-Agents im Transportdienst entschlüsselt werden. Der Nachrichteninhalt kann vom Transportregel-Agent und weiteren Transport-Agents, die im Transportdienst installiert sind, geprüft werden. Weitere Informationen zur Transportentschlüsselung finden Sie unter Transportentschlüsselung.

Wenn Sie mit Transportschutzregeln arbeiten, ist für die Benutzer nicht ersichtlich, ob eine Nachricht im Transportdienst automatisch geschützt wird. Wenn auf eine Nachricht in Outlook 2010 eine Outlook-Schutzregel angewendet wird, sehen die Benutzer, ob die Nachricht mit IRM geschützt wird. Bei Bedarf können Benutzer auch eine andere Vorlage für Benutzerrichtlinien auswählen.

Erstellen von Outlook-Schutzregeln

Zum Erstellen von Outlook-Schutzregeln müssen Sie das Cmdlet New-OutlookProtectionRule in der Exchange-Verwaltungsshell verwenden. Ausführliche Anweisungen finden Sie unter Erstellen einer Outlook-Schutzregel.

Beim Erstellen einer Regel können Sie angeben, ob der Benutzer sie überschreiben kann, entweder durch Entfernen des IRM-Schutzes oder durch Anwenden einer anderen AD RMS-Rechterichtlinienvorlage als der in der Regel angegebenen. Wenn ein Benutzer den IRM-Schutz überschreibt, der von einer Outlook-Schutzregel angewendet wird, fügt Outlook 2010 die X-MS-Outlook-Client-Rule-Overridden Kopfzeile in die Nachricht ein, sodass Sie feststellen können, dass die Regel vom Benutzer überschrieben wurde.

Prädikate in Outlook-Schutzregeln

Outlook-Schutzregeln ermöglichen die Verwendung von drei Prädikaten, die in Outlook 2010 automatisch auf den IRM-Schutz angewendet werden:

  • FromDepartment: Das FromDepartment-Prädikat sucht das Department-Attribut des Absenders in Active Directory und schützt die Nachricht automatisch DURCH IRM, wenn die Abteilung des Absenders mit der in der Regel angegebenen Abteilung übereinstimmt. So können Sie beispielsweise eine Outlook-Schutzregel erstellen, mit der automatisch alle Nachrichten geschützt werden, die von der Forschungsabteilung gesendet werden.

  • SentTo: Ihre Organisation muss möglicherweise Nachrichten schützen, die an bestimmte sensible Empfänger gesendet werden, z. B. an die Verteilergruppen "Alle Unternehmen" oder "Finanzen". Mithilfe des SentTo-Prädikats können Sie eine Outlook-Schutzregel erstellen, um automatisch IRM-Schutznachrichten zu erstellen, die an bestimmte Empfänger gesendet werden.

  • SentToScope: Mit dem SentToScope-Prädikat können Sie eine Outlook-Schutzregel erstellen, um automatisch IRM-Schutznachrichten zu erstellen, die innerhalb oder außerhalb der Organisation gesendet werden. Beispielsweise können Sie das SentToScope-Prädikat mit dem FromDepartment-Prädikat für IRM-schützende Nachrichten verwenden, die von einer bestimmten Abteilung an interne Benutzer gesendet werden.