瞭解傳輸保護規則
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
越來越多電子郵件和附件包含重要的商業資訊,例如產品規格、商業策略文件和財務資料,或是個人識別資訊 (PII),如連絡詳細資料、身分證號碼、信用卡號碼,以及員工記錄。全球各地有許多業界專屬規定和當地法規控管 PII 的收集、儲存和洩露。
為協助保護機密資訊,組織會建立郵件原則,提供如何處理這項資訊的指導方針。在 Exchange Server 2010 中,您可以使用傳輸保護規則,透過檢查郵件內容、加密機密電子郵件內容,以及使用版權管理來控制內容存取的方式實作這些郵件原則。
要尋找與管理 IRM 相關的管理工作嗎?請參閱管理權限保護。
傳輸保護規則和 AD RMS
傳輸保護規則可讓您使用傳輸規則,透過套用 Active Directory Rights Management Services (AD RMS) 權限原則範本以 IRM 保護郵件。
.gif "注意事項") 附註: |
|---|
| AD RMS 是一項資訊保護技術,它會搭配具備版權管理服務 (RMS) 能力的應用程式和用戶端保護線上和離線的機密資訊。若要在內部部署的 Exchange 部署中使用 IRM 保護,Exchange 2010 需要 Windows Server 2008 作業系統 AD RMS 的內部部署。 |
AD RMS 會使用 XML 架構原則範本,讓具備 IRM 能力的相容應用程式套用一致的保護原則。在 Windows Server 2008 中,AD RMS 伺服器會公開 Web 服務,這項服務可用來列舉和取得範本。Exchange 2010 隨附 [不要轉寄] 範本。
當 [不要轉寄] 範本套用至郵件時,只有郵件中所列的收件者才能解密郵件。收件者無法將郵件轉寄給其他人、複製郵件中的內容或列印郵件。
在內部部署 AD RMS 中可建立額外的 RMS 範本,以符合組織中的權限保護需求。
.gif "重要事項") 重要事項: |
|---|
| 如果從 AD RMS 伺服器移除權限原則範本,則必須修改使用所移除範本的任何傳輸保護規則。如果傳輸保護規則繼續使用已移除的權限原則範本,則 AD RMS 伺服器將無法將內容授權給任何收件者,並且會將未傳遞報告 (NDR) 傳遞給寄件者。 在 Windows Server 2008 中,可以保存權限原則範本而不刪除。封存的範本仍然可以用來授權內容,但是當您建立或修改傳輸保護規則時,封存的範本不會包括在範本清單中。 |
如需建立 AD RMS 範本的詳細資訊,請參閱 AD RMS 權限原則範本部署逐步指南。
使用傳輸保護規則自動保護
包含重要的商業資訊或 PII 的郵件可以使用傳輸規則條件的組合識別,包括識別文字模式 (如身分證號碼) 的規則運算式。組織需要不同層級的機密資訊保護。有些資訊可能限於員工、承包商或合作夥伴;有些資訊則僅限於全職員工。所需的保護層級可以透過套用適當權限原則範本套用至郵件。例如,使用者可能會將郵件或電子郵件附件標記為「公司機密」。如下圖中所示,您可以建立傳輸保護規則來檢查郵件內容中是否有「公司機密」這些字樣,並且以 IRM 自動保護郵件。
建立傳輸保護規則
如需建立傳輸規則來強制執行權限保護的詳細資訊,請參閱建立傳輸保護規則。
持續保護電子郵件附件
使用者會使用一般 Microsoft Office 檔案格式 (例如 Microsoft OfficeWord、Excel 和 PowerPoint) 於電子郵件附件中傳送重要的商業資訊和 PII。這些檔案格式全都支援透過 IRM 提供持續保護,因而您可以確認這些文件中的重要商業資訊和 PII 都會受到適當的保護。傳輸保護規則會對採用支援之檔案格式的電子郵件和附件套用相同的保護。
傳輸規則代理程式和加密代理程式
當您使用傳輸保護規則根據規則條件透過 IRM 保護郵件時,Hub Transport server 上的傳輸規則代理程式會檢查郵件。如果郵件符合所有條件且未符合任何例外狀況,則郵件會加上旗標表示受 IRM 保護。加密代理程式是內建的傳輸代理程式,會在 OnRoutedMessage 事件上引發,並且實際將 IRM 保護套用至郵件。加密代理程式只有在啟用內部郵件的 IRM 時才會執行。如需啟用 IRM 的詳細資訊,請參閱啟用或停用內部郵件的 IRM。
當傳輸服務重新啟動並且處理需要 IRM 加密的第一封郵件時,加密代理程式必須能夠聯繫組織中的 AD RMS 伺服器。針對後續的郵件,代理程式就不需要連絡 AD RMS 伺服器。若因為暫時的情況而使加密郵件失敗,Exchange 會重試郵件三次,每次間隔 10 分鐘。重試三次之後,如果郵件仍然無法加密,則不會傳送給收件者。NDR 會傳送給寄件者。建議您將 AD RMS 部署規劃為高可用性,以確保郵件流程不受影響。
規劃使用傳輸保護規則時,您必須考慮要受保護的資訊類型,並且據此規劃要建立的規則。在 Exchange 2010 中,傳輸規則擁有大量的述詞,可讓您檢查郵件內容,包括支援的附件、郵件標頭、寄件者和收件者地址及其 Active Directory 屬性,例如部門、通訊群組成員資格,以及寄件者和收件者之間的管理關係。如需 Exchange 2010 中所提供傳輸規則述詞的詳細資訊,請參閱傳輸規則述詞。
您還必須考慮組織的郵件流量,以及將使用傳輸保護規則保護的郵件數量。將 IRM 保護套用至大量郵件會需要 Hub Transport server 上較多的資源。此外,保護大量郵件或所有郵件也會影響用戶端經驗,尤其是 Microsoft Outlook 使用者的經驗。
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。