将 IRM 配置为使用本地 AD RMS 服务器

  • 项目

为了与本地部署配合使用,Exchange Online中的信息权限管理 (IRM) 使用 Active Directory Rights Management Services (AD RMS) ,这是 Windows Server 2008 及更高版本中的信息保护技术。 通过将 AD RMS 权限策略模板应用于电子邮件,可将 IRM 保护应用于电子邮件。 权限附加到邮件本身,以便保护在联机和脱机以及组织的防火墙内外进行。

本主题显示了如何将 IRM 配置为使用 AD RMS 服务器。 有关将 Microsoft Purview 邮件加密 与 Microsoft Entra ID 和 Azure Rights Management 配合使用的信息,请参阅消息加密常见问题解答

有关 Exchange Online 中 IRM 的详细信息,请参阅Exchange Online 中的信息权限管理

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

开始前,有必要了解什么?

提示

是否有任何疑问? 请在 Exchange 论坛中寻求帮助。 请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection

您该如何做?

步骤 1:使用 AD RMS 控制台从 AD RMS 服务器导出受信任发布域 (TPD)

第一步是从内部部署 AD RMS 服务器将受信任发布域 (TPD) 导出到 XML 文件。 TPD 包含以下使用 RMS 功能所需的设置:

  • 用于对证书和许可证进行签名和加密的服务器许可方证书 (SLC)

  • 用于许可和发布的 URL

  • 使用该 TPD 的特定 SLC 创建的 AD RMS 权限策略模板

导入 TPD 时,它在 Exchange Online 中进行存储并受保护。

  1. 打开 Active Directory Rights Management Services 控制台,然后展开 AD RMS 群集。

  2. 在控制台树中,展开“信任策略”,然后单击“受信任的发布域”

  3. 在结果窗格中,选择要导出的域的证书。

  4. 在“操作”窗格中,单击“导出受信任的发布域”

  5. 在“发布域文件”框中,单击“另存为”将文件保存到本地计算机上的特定位置。 键入文件名,确保指定 .xml 文件扩展名,然后单击“ 保存”。

  6. 在“密码”和“确认密码”框中,键入将用于对受信任的发布域文件加密的强密码。 在将 TPD 导入到基于云的电子邮件组织时,必须指定此密码。

步骤 2:使用 Exchange 命令行管理程序 将 TPD 导入到 Exchange Online

将 TPD 导出到 XML 文件之后,必须将其导入到 Exchange Online。 导入 TPD 之后,还将导入组织的 AD RMS 模板。 导入第一个 TPD 时,该 TPD 会成为基于云的组织的默认 TPD。 如果导入另一个 TPD,则可以使用 Default 开关使其成为可供用户使用的默认 TPD。

若要导入 TPD,请在 Exchange Online PowerShell 中运行以下命令:

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<path to exported TPD file>')) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

可以在 Active Directory Rights Management Services 控制台中获取 ExtranetLicensingUrlIntranetLicensingUrl 参数的值。 在控制台树中选择 AD RMS 群集。 许可 URL 显示在结果窗格中。 当必须对内容进行解密时以及 Exchange Online 需要确定要使用的 TPD 时,电子邮件客户端会使用这些 URL。

当运行此命令时,系统会提示您输入密码。 输入您在从 AD RMS 服务器导出 TPD 时指定的密码。

例如,以下命令使用您从 AD RMS 服务器导出并保存到管理员帐户桌面的 XML 文件来导入名为 Exported TPD 的 TPD。 Name 参数用于为 TPD 指定名称。

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('C:\Users\Administrator\Desktop\ExportTPD.xml')) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

有关语法和参数的详细信息,请参阅 Import-RMSTrustedPublishingDomain

如何知道已成功导入 TPD?

若要验证是否已成功导入 TPD,请运行 Get-RMSTrustedPublishingDomain cmdlet 以检索Exchange Online组织中的 TPD。 有关详细信息,请参阅 Get-RMSTrustedPublishingDomain 中的示例。

步骤 3:使用 Exchange 命令行管理程序 来分发 AD RMS 权限策略模板

导入 TPD 之后,必须确保已分发 AD RMS 权限策略模板。 分布式模板对Outlook 网页版 (以前称为Outlook Web App) 用户可见,用户随后可将模板应用于电子邮件。

若要返回默认 TPD 中包含的所有模板的列表,请运行以下命令:

Get-RMSTemplate -Type All | fl

如果 Type 参数 Archived的值为 ,则模板对用户不可见。 Outlook 网页版中只有默认 TPD 中的分布式模板可用。

若要分发模板,请运行以下命令:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

例如,以下命令导入 Company Confidential 模板。

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

有关语法和参数的详细信息,请参阅 Get-RMSTemplateSet-RMSTemplate

"不要转发"模板

将默认 TPD 从内部部署组织导入到 Exchange Online 时,会导入一个名为“不要转发”的 AD RMS 权限策略模板。 默认情况下,导入默认 TPD 时将分发此模板。 不能使用 Set-RMSTemplate cmdlet 修改 “请勿转发” 模板。

将“不要转发”模板应用于邮件时,只有邮件的收件人可读取该邮件。 另外,收件人不能执行以下操作:

  • 将邮件转发给其他人。
  • 复制邮件的内容。
  • 打印邮件。

重要

“不要转发”模板无法阻止通过第三方屏幕捕获程序、照相机复制邮件中的信息或阻止用户手动转录这些信息。

您可在内部部署组织中的 AD RMS 服务器上创建其他 AD RMS 权限策略模板,以满足 IRM 保护要求。 如果创建其他 AD RMS 权限策略模板,则必须再次从内部部署 AD RMS 服务器导出 TPD,并刷新基于云的电子邮件组织中的 TPD。

如何知道已成功分发 AD RMS 权限策略模板?

若要验证是否已成功分发 AD RMS 权限策略模板,请运行 Get-RMSTemplate cmdlet 以检查模板的属性。 有关详细信息,请参阅 Get-RMSTemplate 中的示例。

步骤 4:使用 Exchange 命令行管理程序 启用 IRM

导入 TPD 并分发 AD RMS 权限策略模板之后,请运行以下命令来为基于云的电子邮件组织启用 IRM。

Set-IRMConfiguration -InternalLicensingEnabled $true

有关语法和参数的详细信息,请参阅 Set-IRMConfiguration

如何知道已成功启用 IRM?

若要验证是否已成功启用 IRM,请运行 Get-IRMConfiguration cmdlet 来检查 Exchange Online 组织中的 IRM 配置。

如何判断此任务生效?

若要验证是否已成功导入 TPD 并启用 IRM,执行以下操作:

  • 使用 Test-IRMConfiguration cmdlet 测试 IRM 功能。 有关详细信息,请参阅 Test-IRMConfiguration 中的"示例 1"。

  • 在 Outlook 网页版 中撰写新邮件,并通过从扩展菜单中选择“设置权限”选项 (“更多选项”图标来保护它。) 。