Настройка функции управления правами на доступ к данным для использования локального сервера служб Active Directory Rights Management

Exchange Online
 

Применимо к:Exchange Online

Последнее изменение раздела:2016-12-09

В системе управления правами на доступ к данным (IRM) используются службы управления правами Active Directory (AD RMS), технология ОС Windows Server 2008 и более поздних версий, предназначенная для защиты информации. Защита IRM применяется к электронной почте путем применения шаблонов политик прав AD RMS к сообщениям. Права на использование описываются в самом сообщении, поэтому защита обеспечивается как в сети, так и автономно, за пределами брандмауэра организации и внутри него.

В этом разделе показано, как настроить управление правами на доступ к данным для использования сервера службы управления правами Active Directory. Подробные сведения о выполнении той же задачи с помощью службы управления правами Microsoft Azure см. в разделе Настройка IRM для использования службы Azure Rights Management.

Дополнительные сведения об управлении правами на доступ к данным в Exchange Online см. в разделе Управление правами на доступ к данным в Exchange Online.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

Первый шаг — это экспорт доверенного домена публикации (TPD) с локального сервера AD RMS в XML-файл. Доверенный домен публикации (TPD) содержит следующие параметры, необходимые для использования функции службы управления правами:

  • серверный сертификат лицензиара (SLC), который используется для подписания и шифрования сертификатов и лицензий;

  • URL-адреса, используемые для лицензирования и публикации;

  • шаблоны политики прав службы управления правами Active Directory, созданные с помощью конкретного серверного сертификата лицензиара (SLC) для данного доверенного домена публикации (TPD).

При импорте доверенного домена публикации он сохраняется и защищается в Exchange Online.

  1. Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS.

  2. В дереве консоли раскройте узел Политики доверия, а затем выберите пункт Доверенные домены публикации.

  3. В области результатов выберите сертификат домена, который необходимо экспортировать.

  4. На панели Действия выберите команду Экспортировать доверенный домен публикации.

  5. В окне Файл домена публикации нажмите кнопку Сохранить как, чтобы сохранить файл в известном расположении на локальном компьютере. Введите имя файла и обязательно укажите расширение имени файла .xml, а затем нажмите кнопку Сохранить.

  6. В полях Пароль и Подтверждение пароля введите надежный пароль, используемый для шифрования файла доверенного домена публикации. Этот пароль потребуется указать при импорте доверенного домена публикации в облачную почтовую организацию.

После экспорта TPD в XML-файл следует импортировать его в Exchange Online. При импорте TPD также импортируются шаблоны службы управления правами Active Directory вашей организации. При импорте первого TPD он становится TPD по умолчанию для вашей организации на основе облака. При импорте другого TPD можно использовать параметр Default, чтобы использовать его по умолчанию.

Для импорта TPD выполните в среде Windows PowerShell следующую команду:

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path <path to exported TPD file> -ReadCount 0)) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

Значения параметров ExtranetLicensingUrl и IntranetLicensingUrl можно получить в консоли службы управления правами Active Directory. В дереве консоли выберите кластер AD RMS. В области результатов отобразятся URL-адреса лицензирования. Эти URL-адреса используются почтовыми клиентами при необходимости расшифровки контента и в случае, если Exchange Online требуется определить используемый TPD.

При запуске данной команды потребуется ввести пароль. Введите пароль, указанный при экспорте TPD с сервера AD RMS.

Например, при выполнении следующей команды импортируется TPD с именем "Exported TPD" с помощью XML-файла, экспортированного с сервера службы управления правами Active Directory и сохраненного на рабочем столе учетной записи администратора. Параметр Name используется для указания имени TPD.

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\ExportTPD.xml -ReadCount 0)) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Подробные сведения о синтаксисе и параметрах см. в разделе Import-RMSTrustedPublishingDomain.

Чтобы убедиться, что вы успешно импортировали TPD, выполните командлет Get-RMSTrustedPublishingDomain для извлечения доверенных доменов публикации в вашей организации Exchange Online. Для получения дополнительных сведений см. примеры в разделе Get-RMSTrustedPublishingDomain.

После импорта TPD необходимо распространить шаблон политики прав службы управления правами Active Directory. Распространенные шаблоны доступны пользователям Outlook Web App, которые могут применять их к сообщениям.

Чтобы получить список всех шаблонов в TPD по умолчанию, выполните следующую команду.

Get-RMSTemplate -Type All | fl

Если значение параметра Type равно Archived, шаблон будет недоступен пользователям. В Outlook Web App доступны только распространенные шаблоны из TPD по умолчанию.

Чтобы распространить шаблон, выполните следующую команду.

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Например, при выполнении следующей команды импортируется шаблон "Company Confidential".

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RMSTemplate и Set-RMSTemplate.

Шаблон «"Не пересылать"»

При импорте TPD по умолчанию из локальной организации в Exchange Online импортируется один шаблон политики прав службы управления правами Active Directory с именем Не пересылать. Этот шаблон автоматически распространяется при импорте TPD по умолчанию. Изменить шаблон Не пересылать с помощью командлета Set-RMSTemplate нельзя.

Когда к сообщению применяется шаблон Не пересылать, прочитать это сообщение смогут только получатели, являющиеся его адресатами. Кроме того, получатели не смогут:

  • пересылать сообщение другому пользователю;

  • копировать содержимое сообщения.

  • и печатать его.

ВажноВажно!
Шаблон Не пересылать не сможет защитить информацию из сообщения от копирования с помощью сторонних программ или камер, а также от простого переписывания.

Можно также создать дополнительные шаблоны политики прав службы управления правами Active Directory на сервере службы управления правами Active Directory в локальной организации в соответствии с требованиями защиты IRM. При создании дополнительных шаблонов политики прав службы управления правами Active Directory следует снова экспортировать TPD с локального сервера службы управления правами Active Directory и обновить TPD в облачной почтовой организации.

Чтобы убедиться, что вы успешно распространили шаблон политики прав службы управления правами Active Directory, выполните командлет Get-RMSTemplate для проверки свойств шаблона. Для получения дополнительных сведений см. примеры в разделе Get-RMSTemplate.

После импорта TPD и распространения шаблона политики прав службы управления правами Active Directory выполните следующую команду, чтобы включить управление правами на доступ к данным для своей облачной почтовой организации.

Set-IRMConfiguration -InternalLicensingEnabled $true

Подробные сведения о синтаксисе и параметрах см. в разделе Set-IRMConfiguration.

Чтобы убедиться, что вы успешно включили управление правами на доступ к данным (IRM), выполните командлет Get-IRMConfiguration для проверки конфигурации IRM в организации Exchange Online.

Чтобы убедиться, что вы успешно импортировали TPD и включили IRM, выполните приведенные ниже действия.

  • С помощью командлета Test-IRMConfiguration проверьте функциональные возможности IRM. Подробные сведения см. в примере 1 в разделе Test-IRMConfiguration.

  • Создайте новое сообщение в Outlook Web App и защитите его с помощью IRM, выбрав пункт Установить разрешения в расширенном меню (Значок дополнительных параметров).

 
Показ: