将 IRM 配置为使用本地 AD RMS 服务器

Exchange Online
 

适用于:Exchange Online

上一次修改主题:2016-12-09

Exchange Online 中的信息权限管理 (IRM) 使用 Active Directory Rights Management Services (AD RMS),这是 Windows Server 2008 及更高版本中的一种信息保护技术。通过将 AD RMS 权限策略模板应用于电子邮件,可将 IRM 保护应用于电子邮件。使用权限会附加到邮件本身,以便在联机和脱机状态下以及在组织的防火墙内部和外部进行保护。

本主题显示了如何将 IRM 配置为使用 AD RMS 服务器。有关如何使用 Microsoft Azure 权限管理来完成相同任务的详细信息,请参阅将 IRM 配置为使用 Azure 权限管理

有关 Exchange Online 中的 IRM 的详细信息,请参阅 Exchange Online 中的信息权限管理

提示提示:
有疑问吗?请在 Exchange 论坛中寻求帮助。请访问以下论坛:Exchange ServerExchange OnlineExchange Online Protection

第一步是从内部部署 AD RMS 服务器将受信任发布域 (TPD) 导出到 XML 文件。TPD 包含以下使用 RMS 功能所需的设置:

  • 用于对证书和许可证进行签名和加密的服务器许可方证书 (SLC)

  • 用于许可和发布的 URL

  • 使用该 TPD 的特定 SLC 创建的 AD RMS 权限策略模板

导入 TPD 时,它在 Exchange Online 中进行存储并受保护。

  1. 打开 Active Directory Rights Management Services 控制台,然后展开 AD RMS 群集。

  2. 在控制台树中,展开“信任策略”,然后单击“受信任的发布域”。

  3. 在结果窗格中,选择要导出的域的证书。

  4. 在“操作”窗格中,单击“导出受信任的发布域”。

  5. 在“发布域文件”框中,单击“另存为”将文件保存到本地计算机上的特定位置。键入文件名,并确保指定 .xml 文件扩展名,然后单击“保存”。

  6. 在“密码”和“确认密码”框中,键入将用于对受信任的发布域文件加密的强密码。在将 TPD 导入到基于云的电子邮件组织时,必须指定此密码。

将 TPD 导出到 XML 文件之后,必须将其导入到 Exchange Online。导入 TPD 之后,还将导入组织的 AD RMS 模板。导入第一个 TPD 时,该 TPD 会成为基于云的组织的默认 TPD。如果导入另一个 TPD,则可以使用 Default 开关使其成为可供用户使用的默认 TPD。

若要导入 TPD,请在 Windows PowerShell 中运行以下命令:

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path <path to exported TPD file> -ReadCount 0)) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

您可在 Active Directory Rights Management Services 控制台中获取 ExtranetLicensingUrlIntranetLicensingUrl 参数的值。在控制台树中选择 AD RMS 群集。许可 URL 显示在结果窗格中。当必须对内容进行解密时以及 Exchange Online 需要确定要使用的 TPD 时,电子邮件客户端会使用这些 URL。

当运行此命令时,系统会提示您输入密码。输入您在从 AD RMS 服务器导出 TPD 时指定的密码。

例如,以下命令使用您从 AD RMS 服务器导出并保存到管理员帐户桌面的 XML 文件来导入名为 Exported TPD 的 TPD。Name 参数用于为 TPD 指定名称。

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\ExportTPD.xml -ReadCount 0)) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

有关语法和参数的详细信息,请参阅 Import-RMSTrustedPublishingDomain

若要验证是否已成功导入 TPD,请运行 Get-RMSTrustedPublishingDomain cmdlet 来检索 Exchange Online 组织中的 TPD。有关详细信息,请参阅 Get-RMSTrustedPublishingDomain 中的示例。

导入 TPD 之后,必须确保已分发 AD RMS 权限策略模板。分发的模板对 Outlook Web App 用户可见,这些用户随后可将模板应用于电子邮件。

若要返回默认 TPD 中包含的所有模板的列表,请运行以下命令:

Get-RMSTemplate -Type All | fl

如果 Type 参数的值为 Archived,则模板对用户不可见。只有默认 TPD 中的已分发模板才在 Outlook Web App 中可见。

若要分发模板,请运行以下命令:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

例如,以下命令导入 Company Confidential 模板。

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

有关语法和参数的详细信息,请参阅 Get-RMSTemplateSet-RMSTemplate

“不要转发”模板

将默认 TPD 从内部部署组织导入到 Exchange Online 时,会导入一个名为“不要转发”的 AD RMS 权限策略模板。默认情况下,导入默认 TPD 时将分发此模板。不能使用 Set-RMSTemplate cmdlet 来修改“不要转发”模板。

将“不要转发”模板应用于邮件时,只有邮件的收件人可读取该邮件。另外,收件人不能执行以下操作:

  • 将邮件转发给其他人。

  • 复制邮件的内容。

  • 打印邮件。

重要说明重要说明:
“不要转发”模板无法阻止通过第三方屏幕捕获程序、照相机复制邮件中的信息或阻止用户手动转录这些信息。

您可在内部部署组织中的 AD RMS 服务器上创建其他 AD RMS 权限策略模板,以满足 IRM 保护要求。如果创建其他 AD RMS 权限策略模板,则必须再次从内部部署 AD RMS 服务器导出 TPD,并刷新基于云的电子邮件组织中的 TPD。

若要验证是否已成功分发 AD RMS 权限策略模板,请运行 Get-RMSTemplate cmdlet 来检查模板的属性。有关详细信息,请参阅 Get-RMSTemplate 中的示例。

导入 TPD 并分发 AD RMS 权限策略模板之后,请运行以下命令来为基于云的电子邮件组织启用 IRM。

Set-IRMConfiguration -InternalLicensingEnabled $true

有关语法和参数的详细信息,请参阅 Set-IRMConfiguration

若要验证是否已成功启用 IRM,请运行 Get-IRMConfiguration cmdlet 来检查 Exchange Online 组织中的 IRM 配置。

若要验证是否已成功导入 TPD 并启用 IRM,执行以下操作:

  • 使用 Test-IRMConfiguration cmdlet 测试 IRM 功能。有关详细信息,请参阅 Test-IRMConfiguration 中的“示例 1”。

  • 在 Outlook Web App 中撰写新邮件,并通过在扩展菜单 (更多选项图标) 中选择“设置权限”选项来对该邮件进行 IRM 保护。

 
显示: