Grundlegendes zu IRM in einer Exchange 2007-Hybridbereitstellung
Gilt für: Exchange Server 2010 SP2
Letztes Änderungsdatum des Themas: 2016-11-28
Die Verwaltung von Informationsrechten (Information Rights Management, IRM) unterstützt Sie beim Schutz vor dem Verlust vertraulicher Daten, indem ein dauerhafter Online- und Offlineschutz von E-Mail-Nachrichten und -Anlagen bereitgestellt wird. Sowohl Exchange 2007 in Ihrer lokalen Organisation und Exchange Online in Office 365 für Unternehmen unterstützen die Verwaltung von Verwaltungsrechten. Es gibt jedoch Unterschiede zwischen den beiden Implementierungen, und Sie müssen die Verwaltung von Informationsrechten in der Cloud-basierten Exchange-Organisation konfigurieren, bevor sie von Cloud-basierten Benutzern verwendet werden kann.
IRM werden die Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS), eine Komponente von Windows Server 2008 R2. Die Rechteverwaltungsdienste gestatten es den Benutzern, durch Rechte geschützte Inhalte zu erstellen, z. B. E-Mail-Nachrichten und Anlagen, und dann können sie steuern, wie dieser Inhalt verwendet wird und an wen dieser verteilt werden kann. Benutzer können Vorlagen angeben, die bestimmen, wie der Inhalt verwendet werden kann. Ein Benutzer kann z. B. angeben, dass eine E-Mail-Nachricht nicht an andere Empfänger weitergeleitet werden darf oder dass Informationen in der Nachricht nicht kopiert werden können.
Weitere Informationen zur Verwaltung von Informationsrechten in Exchange 2007 erhalten Sie unter: Grundlegendes zum AD RMS-Vorlizenzierungs-Agent
Weitere Informationen zur Verwaltung von Informationsrechten in Exchange 2010 erhalten Sie unter: Grundlegendes zur Verwaltung von Informationsrechten
Weitere Informationen zu AD RMS erhalten Sie unter: Active Directory-Rechteverwaltungsdienste (Übersicht)
Weitere Informationen zum Konfigurieren der Verwaltung von Informationsrechten erhalten Sie unter: Konfigurieren von IRM in einer Exchange 2007-Hybridbereitstellung
Unterschiede zwischen IRM in Exchange 2007 und Exchange Online
Exchange Online basiert auf Exchange 2010, das verschiedene neue IRM-Funktionen einbezieht. Die IRM-Funktionalität, die in Ihrer lokalen Exchange 2007-Organisation verfügbar ist, unterscheidet sich von der in der Cloud-basierten Exchange-Organisation verfügbaren Funktionalität. In der folgenden Tabelle wird eine Übersicht über die Funktionen und die Funktionalität bereitgestellt, die in den einzelnen Organisationen verfügbar ist.
Verfügbare IRM-Funktionen
| Funktion | Verfügbar in Exchange 2007 | Verfügbar in Exchange Online |
|---|---|---|
Manueller Schutz von Nachrichten in Outlook |
Ja |
Ja |
Manueller Schutz von Nachrichten in Outlook Web App |
Nein |
Ja |
Anzeigen von IRM-geschützten Nachrichten in Outlook |
Ja |
Ja |
Anzeigen von IRM-geschützten Nachrichten in Outlook Web App |
Ja (Internet Explorer mit erforderlichem Rechteverwaltungs-Add-In) |
Ja |
IRM-Vorlizenzierungs-Agent |
Ja |
Ja |
RMS-Richtlinienvorlagen |
Nein |
Ja |
Transportentschlüsselung |
Nein |
Ja |
Journalberichtentschlüsselung |
Nein |
Ja |
Exchange-Suche und Discovery-Entschlüsselung |
Nein |
Ja |
Automatische Outlook-Schutzregeln |
Nein |
Ja |
Automatische Transportschutzregeln |
Nein |
Ja |
Weitere Informationen zu diesen Funktionen finden Sie unter: Grundlegendes zur Verwaltung von Informationsrechten
IRM in Hybridbereitstellungen
Exchange verwendet AD RMS-Server in der Active Directory-Gesamtstruktur, in der der Exchange-Server installiert ist. Für Ihre lokalen Exchange 2007-Server werden die AD RMS-Server verwendet. Für Ihre Cloud-basierte Exchange-Organisation werden AD RMS-Server verwendet, die innerhalb der Microsoft Office 365-Datacenter verwaltet werden. Die AD RMS-Konfiguration, die in den einzelnen Exchange-Organisationen verwendet wird, ist von anderen AD RMS-Bereitstellungen unabhängig.
Die AD RMS-Konfiguration, und daher die IRM-Konfiguration, wird nicht automatisch zwischen Ihrer lokalen Exchange-Organisation und der Cloud-basierten Exchange-Organisation repliziert. Jede von Ihnen definierte AD RMS-Vorlage wird nicht automatisch in die Cloud-basierte Organisation kopiert. Wenn dieselbe AD RMS-Vorlage in der Cloud-basierten Exchange-Organisation verfügbar sein soll, müssen Sie die Vorlagen manuell aus Ihrer lokalen Organisation exportieren und auf die Cloud-basierte Organisation anwenden. Weitere Informationen finden Sie im Abschnitt IRM-Konfiguration in Hybridbereitstellungen weiter unten in diesem Thema.
Benutzererfahrung
Die auf einen Benutzer angewendete IRM-Konfiguration hängt vom Client ab, den der Benutzer verwendet, und vom Speicherort des Benutzerpostfachs. In der folgenden Tabelle wird der von einem Benutzer verwendete AD RMS-Server angezeigt.
Aktiver AD RMS-Server
| Client | Lokales Postfach | Cloud-basiertes Postfach |
|---|---|---|
Outlook 2007 oder Outlook 2010 |
Lokaler AD RMS |
Lokaler AD RMS |
Outlook Web App |
Lokaler AD RMS |
Cloud-basierter AD RMS |
ActiveSync-Gerät |
Lokaler AD RMS |
Cloud-basierter AD RMS |
Es ist möglich, dass in Abhängigkeit von der von Ihnen konfigurierten AD RMS-Konfiguration in Ihren lokalen und Cloud-basierten Organisationen dem Benutzer, der Outlook 2007 und Outlook Web App verwendet, möglicherweise unterschiedliche AD RMS-Vorlagen angezeigt werden. Aus diesem Grund wird dringend empfohlen, dass Sie dieselben Vorlagen sowohl auf Ihre lokalen als auch auf Cloud-basierte Organisationen anwenden.
Für Outlook-Clientbenutzer sollte sich unabhängig davon kein Unterschied bei der IRM-Erfahrung ergeben, ob sich ihr Postfach in der lokalen oder in der Cloud-basierten Organisation befindet.
Ein Outlook Web App-Benutzer, dessen Postfach sich auf einem Exchange 2007-Server befindet, kann durch Rechte geschützte Nachrichten nur öffnen, nachdem das Internet Explorer-Add-In für die Rechteverwaltung installiert wurde. Sie können weder auf Nachrichten antworten, die durch Rechte geschützt sind, noch neue durch Rechte geschützte Nachrichten erstellen.
Ein Outlook Web App-Benutzer, dessen Postfach sich in der Cloud befindet, kann durch Rechte geschützte Nachrichten ohne zusätzliche Software öffnen, beantworten und neue durch Rechte geschützte Nachrichten erstellen.
Serverfunktionalität
Lokale Exchange 2007-Server verwenden den AD RMS-Vorlizenzierungs-Agent zum Entschlüsseln von Nachrichten, die durch Rechte geschützt sind, damit die Benutzer keine Anmeldeinformationen bereitstellen müssen, wenn sie diese Nachrichten öffnen. Der lokale Exchange 2007-Server kontaktiert den lokalen AD RMS-Server, um die Verwendungsrichtlinien und -rechte zu überprüfen und die Autorisierung zum Entschlüsseln der Nachricht anzufordern.
Die Cloud-basierte Exchange-Organisation stellt verschiedene IRM-bezogene Funktionen bereit, die den Cloud-basierten AD RMS nutzen. Diese Funktionen, z. B. die Journalberichtentschlüsselung, stellen den Inhalt von Nachrichten, die durch Rechte geschützt sind, für Exchange-Dienste zur weiteren Verarbeitung zur Verfügung. Die verschlüsselten Inhalte einer Journalnachricht können z. B. zusammen mit der ursprünglichen, durch Rechte geschützten Nachricht gespeichert werden, um eine einfachere Erkennung zu ermöglichen. Zusätzlich können IRM-Vorlagen automatisch auf Nachrichten angewendet werden, die entweder Outlook-Schutzregeln oder -Transportregeln verwenden, um sicherzustellen, dass die Nachrichten hinsichtlich dem Informationsschutz den Unternehmensrichtlinien entsprechen.
IRM-Konfiguration in Hybridbereitstellungen
IRM in Exchange ist von der Bereitstellung von AD RMS in der Active Directory-Gesamtstruktur abhängig, in der sich der Exchange-Server befindet. Die AD RMS-Konfiguration wird nicht automatisch zwischen der lokalen Organisation und der Cloud synchronisiert. Sie müssen die AD RMS-Konfiguration, die als vertrauenswürdige Veröffentlichungsdomäne (Trusted Publishing Domain, TPD) bekannt ist, manuell von Ihrem lokalen AD RMS-Server exportieren und diese Konfiguration in der Cloud-basierten Exchange-Organisation importieren. Die vertrauenswürdige Veröffentlichungsdomäne enthält die AD RMS-Konfiguration, einschließlich der Vorlagen, die von der cloudbasierten Exchange-Organisation für die Verwaltung der Informationsrechte benötigt wird.
Weitere Informationen finden Sie unter Aspekte zur vertrauenswürdigen AD RMS-Veröffentlichungsdomäne (möglicherweise in englischer Sprache).
Zusätzlich zum Anwenden Ihrer lokalen AD RMS-Konfiguration auf die Cloud-basierte Exchange-Organisation müssen Sie sicherstellen, dass Outlook- und ActiveSync-Clients außerhalb Ihres lokalen Netzwerks eine Verbindung mit Ihren AD RMS-Servern herstellen können. Dies ist erforderlich, wenn diese Clients Zugriff auf durch Rechte geschützte Nachrichten außerhalb Ihres lokalen Netzwerks erhalten sollen.
Nachdem Sie das lokale Netzwerk konfiguriert und die Daten der vertrauenswürdigen Veröffentlichungsdomäne exportiert haben, müssen Sie die Cloud-basierte Exchange-Organisation konfigurieren, indem Sie die Daten der vertrauenswürdigen Veröffentlichungsdomäne importieren und die Verwaltung der Informationsrechte aktivieren.
Hinweis
Bei jeder Änderung Ihrer lokalen AD RMS-Konfiguration müssen Sie die neue Konfiguration manuell in der Cloud-basierten Exchange-Organisation anwenden. Dazu exportieren Sie die Daten der vertrauenswürdigen Veröffentlichungsdomäne vom lokalen AD RMS-Server und importieren sie in die Cloud-basierte Exchange-Organisation.
Weitere Informationen finden Sie unter Konfigurieren von IRM in einer Exchange 2007-Hybridbereitstellung
© 2010 Microsoft Corporation. Alle Rechte vorbehalten.