Управление правами доступа к данным при гибридных развертываниях Exchange

 

Применимо к:Exchange Online, Exchange Server 2013, Exchange Server 2016

Последнее изменение раздела:2016-12-09

Сводка. Принципы IRM в гибридной среде Exchange и настройка управления правами на доступ к данным для работы с Exchange Online и локальными серверами Exchange Server.

Управление правами на доступ к данным (IRM) обеспечивает защиту от утечки конфиденциальной информации благодаря постоянной защите электронных сообщений и вложений в оперативном и автономном режимах. В Office 365 для предприятий как локальная организация Exchange, так и Exchange Online поддерживают IRM. Тем не менее между этими двумя реализациями есть различия, и необходимо настроить IRM в организации Exchange Online, прежде чем ее смогут использовать пользователи в этой организации.

IRM использует службы Active Directory Rights Management (AD RMS), которые входят в состав Windows Server 2008 и более поздних версий. AD RMS позволяют пользователям ограничивать права доступа к содержимому (например, электронным сообщениям и вложениям), а затем определять, как оно используется и кому отправляется. Пользователи могут указать шаблоны, чтобы определить способ использования содержимого. Например, чтобы запретить пересылать электронное сообщение другим получателям или копировать информацию в сообщении.

Дополнительные сведения о службе IRM в Exchange 2010 см. в статье: Общие сведения об управлении правами на доступ к данным.

Дополнительные сведения об IRM см. в разделах Exchange 2013 и Exchange 2016 статьи Управление правами на доступ к данным.

Дополнительные сведения о службе службы управления правами Active Directory см. в разделе Общие сведения о службе управления правами Active Directory.

Возможности IRM, доступные в локальной организации Exchange, отличаются от возможностей IRM в организации Exchange Online. В таблице ниже приведен обзор функций, доступных в каждой из организаций. (Дополнительные сведения см. в статье Управление правами на доступ к данным.)

Доступные функции IRM

Функция Доступна в Exchange 2007 и более ранних версиях Доступно в Exchange 2010 Доступна в Exchange Online, а также Exchange 2013 и более поздних версиях

Защита сообщений вручную в Outlook

Да

Да

Да

Защита сообщений вручную в Outlook Web App

Нет

Да

Да

Просмотр сообщений с защитой IRM в Outlook

Да

Да

Да

Просмотр сообщений с защитой IRM в Outlook Web App

Нет

Да

Да

Агент предварительного лицензирования IRM

Да

Да

Да

Шаблоны политики RMS

Нет

Да

Да

Расшифровка транспорта

Нет

Да

Да

Расшифровка отчета журнала

Нет

Да

Да

Расшифровка поиска и обнаружения Exchange

Нет

Да

Да

Правила автоматической защиты Outlook

Нет

Нет

Да

Правила автоматической защиты транспорта

Нет

Да

Да

Exchange использует серверы AD RMS в лесу Active Directory, в котором установлен сервер Exchange Server. Для локальных серверов Exchange Server используется локальный сервер AD RMS. В случае организации Exchange Online подходят серверы AD RMS, которые обслуживаются в центрах обработки данных Office 365. Конфигурация служб AD RMS, которую использует каждая организация Exchange, не зависит от любого другого развертывания AD RMS.

Конфигурация AD RMS (следовательно, и конфигурация IRM) не реплицируется автоматически между локальной организацией Exchange и организацией Exchange Online. Шаблоны AD RMS, которые вы определили, не копируются автоматически в организацию Exchange Online. Чтобы те же шаблоны AD RMS были доступны в организации Exchange Online, необходимо вручную экспортировать их из локальной организации и применить в организации Office 365. Дополнительные сведения см. в разделе Настройка IRM при гибридном развертывании далее в этой статье.

Конфигурация службы IRM, применяемая к пользователю, зависит от используемого клиента и расположения почтового ящика пользователя. В следующей таблице показан сервер AD RMS, с которым будет работать пользователь.

Активный сервер службы управления правами Active Directory

Клиент Локальный почтовый ящик Почтовый ящик Exchange Online

Клиенты Outlook для настольных компьютеров

Локальная служба AD RMS

Локальная служба AD RMS

Outlook в Интернете

Локальная служба AD RMS

AD RMS для Exchange Online

Устройство ActiveSync

Локальная служба AD RMS

AD RMS для Exchange Online

Не исключено, что, в зависимости от конфигурации службы управления правами Active Directory в локальной организации и организации Exchange Online, для пользователя, который использует Outlook 2007 и Outlook в Интернете могут отображаться другие шаблоны службы управления правами Active Directory. По этой причине, мы настоятельно рекомендуем применять те же шаблоны как для локальной сети организации и Exchange.

Не должно быть никакой разницы в IRM для Outlook пользователи, независимо от того, регулируется ли их ящик находится в локальной или Exchange в сети организации.

Когда установлена надстройка управления правами для Internet Explorer, пользователи Outlook в Интернете, почтовый ящик которых размещен на локальном сервере Exchange, могут только открывать электронные сообщения, защищенные при помощи IRM. Они не могут ответить или создать защищенные таким образом сообщения.

Пользователь Outlook в Интернете, почтовый ящик которого находится в Exchange Online, смогут открывать защищенные сообщения электронной почты без каких-либо дополнительных программ и могут ответить и создать новые защищенные правами сообщения.

На локальных серверах Exchange используется агент предварительного лицензирования службы управления правами Active Directory для расшифровки сообщений с защищенными правами на доступ; таким образом, пользователям не требуется предоставлять учетные данные при открытии этих сообщений. Локальный сервер Exchange связывается с локальным сервером AD RMS для проверки политик и прав пользователя и для запроса авторизации на расшифровку сообщения.

В организации Exchange Online предоставляются несколько дополнительных функций, связанных с IRM, которые используют AD RMS в Exchange Online. Эти функции, такие как расшифровка отчетов журнала, делают содержимое сообщений с защищенными правами на доступ открытым для служб Exchange для дополнительной обработки. Например, расшифрованное содержимое занесенного в журнал сообщения можно сохранить, наряду с первоначальным сообщением с защищенными правами на доступ, для более облегченного обнаружения. Кроме того, шаблоны IRM могут быть автоматически применены к сообщениям с помощью правил защиты Outlook или правил транспорта для соответствия сообщений политике организации по защите данных.

Служба IRM в системе Exchange основана на службе управления правами Active Directory, развернутой в лесу Active Directory, в котором находится сервер Exchange. Конфигурации AD RMS не будут автоматически синхронизированы между локальной организацией и Exchange Online. Необходимо вручную экспортировать конфигурации AD RMS, известные в качестве доверенного домена публикации (TPD), из локального сервера AD RMS, и импортировать эти настройки в организации Exchange Online. Доверенный домен содержит конфигурации AD RMS, включая шаблоны, которые организация Exchange Online должна использовать для управления правами на доступ к данным.

Дополнительные сведения см. в разделе Особенности доверенного домена публикации службы управления правами Active Directory.

Помимо применения локальной конфигурации AD RMS к Exchange Online организации, необходимо убедиться в том, что серверы AD RMS и клиенты ActiveSync вне локальной сети могут контактировать Outlook. Это необходимо, чтобы для этих клиентов стали доступными сообщения с защищенными правами на доступ за пределами локальной сети.

После настройки локальной сети и экспорта данных, необходимо настроить Exchange Online организацию с помощью импорта TPD данных и включения IRM доверенного домена.

ПримечаниеПримечание.
Всякий раз, когда вы изменяете локальную конфигурацию AD RMS, необходимо вручную применить новую конфигурацию в организации Exchange Online. Для этого экспортируйте данные TPD с локального сервера AD RMS и импортируйте их в организацию Exchange Online.

Если вы используете IRM в локальной организации Exchange и хотите, чтобы возможности IRM также стали доступны для пользователей Exchange Online, выполните указанные ниже действия.

  1. Настройте локальный сервер Active Directory службы управления правами (AD RMS).

  2. Включите IRM в организации Exchange Online.

  3. Распространите импортированные шаблоны AD RMS на пользователей организации Exchange Online.

Чтобы настроить функции управления правами на доступ к данным (IRM) в гибридной среде, потребуется использовать среду Windows PowerShell для доступа к локальному серверу AD RMS. Дополнительные сведения см. в разделе Использование Windows PowerShell для администрирования AD RMS.

Чтобы экспортировать данные доверенного домена публикации (TPD) с локального сервера AD RMS и настроить доступ к серверу AD RMS для внешних клиентов, выполните следующие действия.

  1. Экспортируйте данные TPD из локальной организации. Дополнительные сведения см. в разделе Экспорт доверенного домена публикации.

  2. Настройте доступ внешних клиентов к серверам AD RMS. Дополнительные сведения см. в разделе Добавление URL-адреса кластера экстрасети.

После экспорта данных TPD с локальных серверов AD RMS необходимо импортировать их в организацию Exchange Online, а затем включить функции управления правами на доступ к данным (IRM).

  1. Импортируйте данные TPD в организацию Exchange Online.

    Import-RMSTrustedPublishingDomain -FileData $( [Byte[]] (Get-Content -Encoding Byte -Path "<Path to exported TPD file>" -ReadCount 0))
    
  2. Включите IRM в организации Exchange Online.

    Set-IRMConfiguration -InternalLicensingEnabled $True
    

Включив IRM в организации Exchange Online, необходимо распространить импортированные шаблоны AD RMS. Шаблоны AD RMS используют следующие пользователи и функции Exchange Online:

  • Пользователи Outlook в Интернете

  • Пользователи Exchange ActiveSync

  • Правила транспорта

  • Расшифровка отчета журнала

  • Правила защиты Outlook

  1. В организации Exchange Online получите список шаблонов AD RMS.

    Get-RMSTemplate -Type All
    
  2. Распространите шаблоны AD RMS среди пользователей и функций организации Exchange Online.

    Set-RMSTemplate <template name> -Type Distributed
    
    ПримечаниеПримечание.
    Невозможно изменить шаблон "Не пересылать" службы AD RMS.
  3. Повторите шаг 2 для каждого шаблона AD RMS, который необходимо распространить.

Пользователи Outlook в Интернете должны иметь возможность применять шаблоны AD RMS к новым сообщениям. Пользователи Outlook в Интернете и Exchange ActiveSync должны иметь возможность читать сообщения, к которым применены шаблоны AD RMS. Кроме того, все шаблоны AD RMS, импортированные из локальной организации, будут отображены в списке при выполнении командлета Get-RMSTemplate.

Выполните в организации Exchange Online следующую команду:

Get-RMSTemplate 

Дополнительные сведения см. в разделе Управление правами на доступ к данным в Outlook Web App

 
Показ: