了解 Exchange 2010 混合部署中的 IRM

Exchange 2010
 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2016-11-28

信息权限管理 (IRM) 通过对电子邮件和附件提供持久联机和脱机保护来帮助防止敏感信息泄露。内部部署组织中的 Exchange 2010 以及 Office 365 企业版中的 Exchange Online 都支持 IRM。但是,这两种实现之间有一些不同;您必须在 Exchange Online 组织中配置 IRM,然后该组织中的用户才能使用该功能。

IRM 将使用作为 Active Directory R2 的一个组件的 Windows Server 2008 Rights Management Services (AD RMS)。AD RMS 允许用户创建受权限保护的内容,如电子邮件和附件,并控制内容的使用方式以及分发对象。用户可以指定模板以确定内容的使用方式。例如,用户可以指定不能将某封电子邮件转发给其他收件人,或不能复制邮件中的信息。

进一步了解 Exchange 2010 中的 IRM:了解信息权限管理

进一步了解 AD RMS:Active Directory Rights Management Services 概述

进一步了解如何配置 IRM:配置 Exchange 2010 混合部署中的 IRM

Exchange 将使用安装有 Active Directory 服务器的 Exchange 林中的 AD RMS 服务器。对于内部部署 Exchange 2010 服务器,使用内部部署 AD RMS 服务器。对于 Exchange Online 组织,使用在 Microsoft Office 365 数据中心中维护的 AD RMS 服务器。每个 Exchange 组织使用的 AD RMS 配置独立于任何其他 AD RMS 部署。

AD RMS 配置不会在内部部署 Exchange 组织和 Exchange Online 组织之间自动进行复制,因而 IRM 配置也是如此。所定义的任何 AD RMS 模板不会自动复制到 Exchange Online 组织。如果希望相同的 AD RMS 模板在 Exchange Online 组织中可用,必须手动将模板从内部部署组织中导出,并将其应用于基于云组织。请参阅本主题后面部分中的 混合部署中的 IRM 配置一节。

应用于用户的 IRM 配置取决于用户使用的客户端以及用户邮箱的位置。下表列出了用户可使用的 AD RMS 服务器。

Active AD RMS 服务器

客户端 内部部署邮箱 基于云的邮箱

Outlook 2007 或者Outlook 2010

内部部署 AD RMS

内部部署 AD RMS

Outlook Web App

内部部署 AD RMS

Exchange Online AD RMS

ActiveSync 设备

内部部署 AD RMS

Exchange Online AD RMS

根据在内部部署和基于 Exchange Online 组织中配置的 AD RMS 配置,使用 Outlook 2007 和 Outlook Web App 的用户可能会看到不同的 AD RMS 模板。因此,我们强烈建议您对内部部署和 Exchange Online 组织应用相同的模板。

对于 Outlook 客户端用户,无论其邮箱是在内部部署组织中还是在 Exchange Online 组织中,其 IRM 体验应该没有任何差别。

其邮箱位于 Exchange 2010 服务器上的 Outlook Web App 用户在安装了用于 Internet Explorer 的权限管理外接程序后只能打开受权限保护的邮件,并且不能答复或新建受权限保护的邮件。

其邮箱位于 Exchange Online 中的 Outlook Web App 用户无需任何附加软件便可打开受权限保护的邮件,并且可以答复和新建受权限保护的邮件。

内部部署 Exchange 2010 服务器使用 AD RMS 预许可代理来解密受权限保护的邮件,这样用户不必提供凭据便可打开这些邮件。内部部署 Exchange 2010 服务器将联系内部部署 AD RMS 服务器来核查使用策略和权限,并请求授权以解密邮件。

Exchange Online 组织还提供了几个与 IRM 相关的功能,这些功能使用了 Exchange Online AD RMS。通过这些功能(如日记报告解密),Exchange 服务可对受权限保护的邮件内容进行额外的处理。例如,可以与原始受权限保护的邮件一起保存已解密的日记邮件内容,以便更有利于发现。此外,使用 Outlook 保护规则或传输规则,IRM 模板可以自动应用于邮件,以确保邮件符合组织在信息保护方面的策略。

Exchange 中的 IRM 依赖于在 Active Directory 服务器所在的 Exchange 林中部署的 AD RMS。AD RMS 配置不会自动在内部部署组织和 Exchange Online 组织之间进行同步。您必须从内部部署 AD RMS 服务器手动导出已知是受信任发布域 (TPD) 的 AD RMS 配置,并将该配置导入到 Exchange Online 组织中。TPD 包含 Exchange Online 组织使用 IRM 时所需要的 AD RMS 配置,包括模板。

可在以下位置了解详细信息:AD RMS 受信任发布域的注意事项(英文)

除了对 Exchange Online 组织应用内部部署 AD RMS 配置外,您还必须确保内部部署网络之外的 Outlook 和 ActiveSync 客户端能够联系到 AD RMS 服务器。如果您希望这些客户端能够访问内部部署网络之外的受权限保护的邮件,就必须做到这一点。

配置了内部部署网络并导出了 TPD 数据后,您需要通过导入 TPD 数据并启用 IRM 来配置 Exchange Online 组织。

注释注意:
每当修改内部部署 AD RMS 配置时,都必须手动在 Exchange Online 组织中应用新配置。为此,请从内部部署 AD RMS 服务器导出 TPD 数据,并将其导入到 Exchange Online 组织中。

可在以下位置了解详细信息: 配置 Exchange 2010 混合部署中的 IRM

 © 2010 Microsoft Corporation。保留所有权利。
显示: