Настройка функции управления правами на доступ к данным для использования локального сервера служб AD RMS

Статья
09/08/2023

Для использования с локальными развертываниями управление правами на доступ к данным (IRM) в Exchange Online использует службы Active Directory Rights Management Services (AD RMS), технологию защиты информации в Windows Server 2008 и более поздних версиях. К сообщению электронной почты применяется шаблон политики прав AD RMS. Права прикрепляются к сообщению, поэтому защита обеспечивается как в сети, так и вне ее, за пределами брандмауэра организации и внутри него.

В этом разделе показано, как настроить управление правами на доступ к данным для использования сервера службы управления правами Active Directory. Сведения об использовании Шифрование сообщений Microsoft Purview с идентификатором Microsoft Entra и Azure Rights Management см. в разделе Часто задаваемые вопросы о шифровании сообщений.

Дополнительные сведения об управлении правами на доступ к данным в Exchange Online см. в разделе Управление правами на доступ к данным в Exchange Online.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Что нужно знать перед началом работы

Предполагаемое время выполнения задачи: 30 минут
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в записи "Управление правами на доступ к данным" в разделе Политика обмена сообщениями и разрешения на соответствие требованиям .
Сервер службы управления правами Active Directory должен работать под управлением ОС Windows Server 2008 или более поздней версии. Дополнительные сведения о развертывании AD RMS см. в разделе Установка кластера AD RMS.
Дополнительные сведения об установке и настройке Windows PowerShell и подключении к службе см. в статье Подключение к Exchange Online PowerShell.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange в Exchange Online.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

Как это сделать

Действие 1. Использование консоли службы управления правами Active Directory для экспорта доверенного домена публикации (TPD) из сервера службы управления правами Active Directory

Первый шаг — это экспорт доверенного домена публикации (TPD) с локального сервера AD RMS в XML-файл. Доверенный домен публикации (TPD) содержит следующие параметры, необходимые для использования функции службы управления правами:

серверный сертификат лицензиара (SLC), который используется для подписания и шифрования сертификатов и лицензий;
URL-адреса, используемые для лицензирования и публикации;
шаблоны политики прав службы управления правами Active Directory, созданные с помощью конкретного серверного сертификата лицензиара (SLC) для данного доверенного домена публикации (TPD).

При импорте доверенного домена публикации он сохраняется и защищается в Exchange Online.

Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS.
В дереве консоли раскройте узел Политики доверия, а затем выберите пункт Доверенные домены публикации.
В области результатов выберите сертификат домена, который необходимо экспортировать.
На панели Действия выберите команду Экспортировать доверенный домен публикации.
В окне Файл домена публикации нажмите кнопку Сохранить как, чтобы сохранить файл в известном расположении на локальном компьютере. Введите имя файла, обязательно укажите .xml расширение имени файла, а затем нажмите кнопку Сохранить.
В полях Пароль и Подтверждение пароля введите надежный пароль, используемый для шифрования файла доверенного домена публикации. Этот пароль потребуется указать при импорте доверенного домена публикации в облачную почтовую организацию.

Действие 2. Импортируйте TPD в службу Exchange Online с помощью командной консоли Exchange

После экспорта TPD в XML-файл следует импортировать его в Exchange Online. При импорте TPD также импортируются шаблоны службы управления правами Active Directory вашей организации. При импорте первого TPD он становится TPD по умолчанию для вашей организации на основе облака. При импорте другого TPD можно использовать параметр Default, чтобы использовать его по умолчанию.

Чтобы импортировать TPD, выполните следующую команду в Exchange Online PowerShell:

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<path to exported TPD file>')) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

Значения параметров ExtranetLicensingUrl и IntranetLicensingUrl можно получить в консоли служб Active Directory Rights Management Services. В дереве консоли выберите кластер AD RMS. В области результатов отобразятся URL-адреса лицензирования. Эти URL-адреса используются почтовыми клиентами при необходимости расшифровки контента и в случае, если Exchange Online требуется определить используемый TPD.

При запуске данной команды потребуется ввести пароль. Введите пароль, указанный при экспорте TPD с сервера AD RMS.

Например, при выполнении следующей команды импортируется TPD с именем "Exported TPD" с помощью XML-файла, экспортированного с сервера службы управления правами Active Directory и сохраненного на рабочем столе учетной записи администратора. Параметр Name используется для указания имени TPD.

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('C:\Users\Administrator\Desktop\ExportTPD.xml')) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Подробные сведения о синтаксисе и параметрах см. в разделе Import-RMSTrustedPublishingDomain.

Как узнать, что TPD успешно импортирован?

Чтобы убедиться, что TPD успешно импортирован, выполните командлет Get-RMSTrustedPublishingDomain, чтобы получить TPD в Exchange Online организации. Для получения дополнительных сведений см. примеры в разделе Get-RMSTrustedPublishingDomain.

Действие 3. Распространите шаблон политики прав AD RMS с помощью командной консоли Exchange

После импорта TPD необходимо распространить шаблон политики прав службы управления правами Active Directory. Распределенный шаблон отображается для пользователей Outlook в Интернете (ранее известных как Outlook Web App), которые затем могут применить шаблоны к сообщению электронной почты.

Чтобы получить список всех шаблонов в TPD по умолчанию, выполните следующую команду.

Get-RMSTemplate -Type All | fl

Если параметр Type имеет Archivedзначение , шаблон не отображается для пользователей. В Outlook в Интернете доступны только распределенные шаблоны в TPD по умолчанию.

Чтобы распространить шаблон, выполните следующую команду.

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Например, при выполнении следующей команды импортируется шаблон "Company Confidential".

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RMSTemplate и Set-RMSTemplate.

Шаблон «"Не пересылать"»

При импорте TPD по умолчанию из локальной организации в Exchange Online импортируется один шаблон политики прав службы управления правами Active Directory с именем Не пересылать. Этот шаблон автоматически распространяется при импорте TPD по умолчанию. Изменить шаблон Не пересылать с помощью командлета Set-RMSTemplate нельзя.

Когда к сообщению применяется шаблон Не пересылать, прочитать это сообщение смогут только получатели, являющиеся его адресатами. Кроме того, получатели не смогут:

пересылать сообщение другому пользователю;
копировать содержимое сообщения.
и печатать его.

Важно!

Шаблон Не пересылать не сможет защитить информацию из сообщения от копирования с помощью сторонних программ или камер, а также от простого переписывания.

Можно также создать дополнительные шаблоны политики прав службы управления правами Active Directory на сервере службы управления правами Active Directory в локальной организации в соответствии с требованиями защиты IRM. При создании дополнительных шаблонов политики прав службы управления правами Active Directory следует снова экспортировать TPD с локального сервера службы управления правами Active Directory и обновить TPD в облачной почтовой организации.

Как узнать, что вы успешно распространили шаблон политики прав AD RMS?

Чтобы убедиться, что вы успешно распространили и шаблон политики прав AD RMS, выполните командлет Get-RMSTemplate, чтобы проверка свойства шаблона. Для получения дополнительных сведений см. примеры в разделе Get-RMSTemplate.

Действие 4. Включите управление правами на доступ к данным с помощью командной консоли Exchange

После импорта TPD и распространения шаблона политики прав службы управления правами Active Directory выполните следующую команду, чтобы включить управление правами на доступ к данным для своей облачной почтовой организации.

Set-IRMConfiguration -InternalLicensingEnabled $true

Подробные сведения о синтаксисе и параметрах см. в разделе Set-IRMConfiguration.

Как узнать, что вы успешно включили IRM?

Чтобы убедиться, что вы успешно включили управление правами на доступ к данным (IRM), выполните командлет Get-IRMConfiguration для проверки конфигурации IRM в организации Exchange Online.

Как убедиться, что это сработало?

Чтобы убедиться, что вы успешно импортировали TPD и включили IRM, выполните приведенные ниже действия.

С помощью командлета Test-IRMConfiguration проверьте функциональные возможности IRM. Дополнительные сведения см. в разделе Пример 1 статьи Test-IRMConfiguration.
Создайте новое сообщение в Outlook в Интернете и защитите его с помощью IRM, выбрав параметр Задать разрешения в расширенном меню (