資訊版權管理
適用於:Exchange Server 2013
資訊工作者每天都會使用電子郵件來交換機密資訊,例如財務報表和資料、法律合約、機密產品資訊、銷售報告和預測、競爭分析、研究和專利資訊,以及客戶和員工資訊。 由於人員現在幾乎可從任何位置存取其電子郵件,因此信箱已轉換為包含大量潛在機密資訊的存放庫。 因此,資訊外洩可能會對組織造成嚴重威脅。 為了防止資訊外洩,Microsoft Exchange Server 2013 包含資訊版權管理 (IRM) 功能,可針對電子郵件訊息和附件提供持續性的線上和離線保護。
何謂資訊外洩?
洩漏可能具機密性的資訊會造成組織的損失,且對組織及其業務、員工、客戶和夥伴帶來廣泛的影響。 有越來越多的本地和產業規定用於管理儲存、傳輸和保護特定資訊類型的方式。 為了避免違反適用的規定,組織必須保護自己,防止故意、不慎或意外的資訊外洩。
資訊外洩可能造成的一些後果如下:
財務損害:視大小、產業和當地法規而定,資訊外泄可能會因企業損失或因為法律或監管機關所造成的金錢損失和懲罰性損害而造成財務影響。 上市公司也可能由於不利的媒體報導,面臨損失市值的風險。
影像和可信度受損:資訊外泄可能會損害組織的映像和客戶的可信度。 此外,視通訊的本質而定,外洩的電子郵件訊息可能是造成寄件者和組織困窘的來源。
失去競爭優勢:資訊外泄所造成的嚴重威脅之一,就是失去業務上的競爭優勢。 洩漏策略性計劃或洩漏合併與收購資訊,有可能導致損失收益或市值。 其他威脅還包括失去研究資訊、分析資料及其他智慧財產。
資訊外洩的傳統解決方案
雖然資訊外洩的傳統解決方案可以保護對資料的初始存取,但通常無法提供持續的保護。 下表列出一些傳統解決方案及其限制。
傳統解決方案
| 解決方案 | 說明 | 限制 |
|---|---|---|
| 傳輸層安全性 (TLS) | TLS 是網際網路標準通訊協定,可利用加密方法保護透過網路進行的通訊。 在郵件環境中,TLS 可用來保護伺服器/伺服器及用戶端/伺服器通訊的安全。 根據預設,Exchange 2010 會針對所有內部訊息傳輸使用 TLS。 針對使用外部主機的工作階段,依預設也會啟用機會性 TLS。 Exchange 會先嘗試針對會話使用 TLS 加密,但如果無法與目的地伺服器建立 TLS 連線,Exchange 會使用 SMTP。 您也可以設定網域安全性,針對外部組織強制使用 Mutual TLS。 |
TLS 只保護兩個 SMTP 主機之間的 SMTP 工作階段。 亦即,TLS 會保護移動中的資訊,但不會在郵件層級或對靜止的資訊提供保護。 除非使用其他方法加密郵件,否則寄件者和收件者信箱中的郵件仍然不受保護。 對於傳送到組織外部的電子郵件,可以只要求第一個躍點使用 TLS。 您組織外部的遠端 SMTP 主機收到郵件後,可以透過未加密的工作階段將郵件轉送到其他 SMTP 主機。 由於 TLS 是傳輸層技術,因此對於收件者對郵件採取的動作無法提供控制。 |
| 電子郵件加密 | 使用者可以使用 S/MIME 等技術來加密郵件。 | 使用者可決定是否加密郵件。 由於伴隨使用者憑證管理與私密金鑰保護等開銷,因此加密會增加公開金鑰基礎結構 (PKI) 部署的額外成本。 在郵件解密之後,無法控制收件者可對該資訊採取什麼動作。 解密的資訊可以複製、列印或轉寄。 預設情況下,儲存的附件不會受到保護。 您的組織無法存取使用 S/MIME 等技術加密的郵件。 組織不能檢查郵件內容,因此無法強制執行郵件原則、掃描郵件中的病毒或惡意內容,或是採取任何需要存取內容的動作。 |
最後,傳統的解決方案通常缺乏強制執行工具,以致無法套用統一的郵件原則來防止資訊外洩。 例如,使用者傳送包含機密資訊的郵件,並將該郵件標記為 [公司機密] 及 [不要轉寄]。 在郵件傳遞給收件者後,寄件者或組織便無法再控制該資訊。 收件者可以有意或無意地轉寄郵件 (透過使用自動轉寄規則等功能) 到外部電子郵件帳戶,使您的組織遭受顯著的資訊外洩風險。
Exchange 2013 中的 IRM
在 Exchange 2013 中,您可以使用 IRM 功能,將持續保護套用至郵件和附件。 IRM 使用 Active Directory Rights Management Services (AD RMS),這是 Windows Server 2008 和更新版本中的資訊保護技術。 組織和使用者可以使用 Exchange 2013 中的 IRM 功能,控制收件者對電子郵件所具有的權限。 IRM 也可協助允許或限制收件者動作,例如將郵件轉寄給其他收件者、列印郵件或附件,或是透過複製和貼上來擷取郵件或附件內容。 IRM 保護可由 Microsoft Outlook 或 Microsoft Office Outlook Web App 中的使用者套用,也可以根據貴組織的傳訊原則套用,並使用傳輸保護規則或 Outlook 保護規則來套用。 不像其他電子郵件加密解決方案,IRM 還可讓您的組織解密受保護的內容,以強制執行原則符合性。
AD RMS 使用以可延伸版權標記語言 (XrML) 為基礎的憑證和授權,來認證電腦和使用者並保護內容。 使用 AD RMS 來保護文件或郵件等內容時,會附加 XrML 授權,其中包含授權使用者對該內容所擁有的權限。 若要存取受 IRM 保護的內容,已啟用 AD RMS 的應用程式必須為 AD RMS 叢集中的授權使用者取得使用授權。
注意事項
在 Exchange 2013 中,Prelicensing 代理程式會將使用授權附加至使用組織中的 AD RMS 叢集來保護的郵件。 如需相關資訊,請參閱本主題稍後的Prelicensing。
用來建立內容的應用程式必須已啟用 RMS,才能使用 AD RMS 對內容套用持續性的保護。 Microsoft Office 應用程式 (如 Word、Excel、PowerPoint 和 Outlook) 已啟用 RMS,可用來建立和取用受保護的內容。
IRM 可協助您執行下列動作:
- 防止受 IRM 保護之內容的授權收件者轉寄、修改、列印、傳真、儲存或剪下並貼上內容。
- 使用與郵件相同的保護層級,保護支援的附件檔案格式。
- 支援受 IRM 保護之郵件和附件的到期功能,以便經過指定期間之後便無法再加以檢視。
- 防止使用 Microsoft Windows 中的剪取工具來複製受 IRM 保護的內容。
不過,IRM 無法防止使用下列方法來複製資訊:
- 協力廠商螢幕擷取程式
- 使用照相機等影像裝置,拍攝螢幕上顯示的受 IRM 保護的內容
- 使用者記住或手動抄錄資訊
若要深入了解 AD RMS,請參閱 Active Directory Rights Management Services。
AD RMS 權限原則範本
AD RMS 使用以 XrML 為基礎的權限原則範本,讓已啟用 IRM 的相容應用程式套用一致的保護原則。 在 Windows Server 2008 和更新版本中,AD RMS 伺服器會公開 Web 服務,這項服務可用來列舉和取得範本。 Exchange 2013 隨附 [不要轉寄] 範本。 當 [不要轉寄] 範本套用至郵件時,只有郵件中所列的收件者才能解密郵件。 收件者無法轉寄郵件、複製郵件中的內容或列印郵件。 您可以在組織中的 AD RMS 伺服器上建立額外的 RMS 範本,以符合您的 IRM 保護需求。
IRM 保護是透過套用 AD RMS 權限原則範本來套用。 您可以使用原則範本,控制收件者對郵件所擁有的權限。 透過將適當的權限原則範本套用至郵件,即可控制如回覆、全部回覆、轉寄、從郵件擷取資訊、儲存郵件或列印郵件等動作。
如需權限原則範本的詳細資訊,請參閱 AD RMS 原則範本考量。
如需建立 AD RMS 權限原則範本的詳細資訊,請參閱建立與部署 Active Directory Rights Management Services 權限原則範本的逐步指南。
將 IRM 保護套用至郵件
在 Exchange 2010 中,可以使用下列方法將 IRM 保護套用至訊息:
由 Outlook 使用者手動:您的 Outlook 使用者可以使用他們可使用的 AD RMS 許可權原則範本來保護訊息。 此程序會使用 Outlook (而非 Exchange) 中的 IRM 功能。 不過,您可以使用 Exchange 來存取郵件,並採取動作 (例如套用傳輸規則) 來強制執行組織的郵件原則。 如需在 Outlook 中使用 IRM 的詳細資訊,請參閱 電子郵件訊息的 IRM 簡介。
手動 Outlook Web App 用戶:當您在 Outlook Web App 中啟用 IRM 時,使用者可以 IRM 保護他們傳送的訊息,以及檢視他們收到的受 IRM 保護的訊息。 在 Exchange 2013 累計更新 1 (CU1) 中,Outlook Web App 使用者也可使用 Web-Ready 文件檢視來檢視受 IRM 保護的附件。 如需 Outlook Web App 中 IRM 的詳細資訊,請參閱 Outlook Web App 中的資訊版權管理。
由 Windows Mobile 和 Exchange ActiveSync 裝置使用者手動執行:在發行至製造 (RTM) 版本的 Exchange 2010 中,Windows Mobile 裝置的使用者可以檢視和建立受 IRM 保護的訊息。 這需要使用者將他們受支援的 Windows Mobile 裝置連線到電腦並啟動它們進行 IRM。 在 Exchange 2010 SP1 中,您可以在 Microsoft Exchange ActiveSync 中啟用 IRM,以允許 Exchange ActiveSync 裝置的使用者 (包括 Windows 行動裝置) 檢視、回復、轉寄及建立受 IRM 保護的訊息。 如需 Exchange ActiveSync 中 IRM 的詳細資訊,請參閱 Exchange ActiveSync 中的資訊版權管理。
在 Outlook 2010 和更新版本中自動:您可以建立 Outlook 保護規則,以在 Outlook 2010 和更新版本中自動保護 IRM 訊息。 Outlook 保護規則會自動部署至 Outlook 2010 用戶端,且會在使用者撰寫郵件時由 Outlook 2010 套用 IRM 保護。 如需 Outlook 保護規則的詳細資訊,請參閱 Outlook 保護規則。
在信箱伺服器上自動:您可以建立傳輸保護規則,以在 Exchange 2013 信箱伺服器上自動保護 IRM 郵件。 如需傳輸保護規則的詳細資訊,請參閱 傳輸保護規則。
注意事項
IRM 保護不會再次套用到已受 IRM 保護的郵件。 例如,如果使用者在 Outlook 或 Outlook Web App 中以 IRM 保護郵件,就不會使用傳輸保護規則將 IRM 保護套用至郵件。
IRM 保護的案例
下表說明 IRM 保護的案例。
| 傳送受 IRM 保護的訊息 | 支援 | 需求 |
|---|---|---|
| 在相同的內部部署 Exchange 2013 部署內 | 是 | 如需有關需求的資訊,請參閱本主題稍後的 IRM Requirements。 |
| 在內部部署的不同樹系之間 | 是 | 如需需求,請參閱設定AD RMS以與 Exchange Server 2010 跨多個樹系整合。 |
| 在內部部署 Exchange 2013 部署與雲端式 Exchange 組織之間 | 是 |
|
| 寄給外部收件者 | 否 | Exchange 2010 不包含將受 IRM 保護的郵件傳送給非同盟組織中外部收件者的解決方案。 AD RMS 使用信任原則提供解決方案。 您可以在 AD RMS 叢集與 Microsoft 帳戶之間設定信任原則, (先前稱為 Windows Live ID) 。 針對兩個組織之間傳送的訊息,您可以使用 #D90B27B993BAF4615A2E36B9A9BC0B963 (AD FS) ,在兩個 Active Directory 樹系之間建立同盟信任。 若要深入瞭解,請 參閱瞭解 AD RMS 信任原則。 |
解密受 IRM 保護的郵件以強制執行郵件原則
為強制執行郵件原則及法規遵從目的,您必須可以存取加密的郵件內容。 為符合起因於訴訟、法規稽核或內部調查的 eDiscovery 需求,您還必須可以搜尋加密的郵件。 為協助進行這些工作,Exchange 2013 包含下列 IRM 功能:
傳輸解密:若要套用傳訊原則,傳輸規則代理程式之類的傳輸代理程式應該能夠存取訊息內容。 傳輸解密可允許安裝在 Exchange 2013 伺服器上的傳輸代理程式存取郵件內容。 如需詳細資訊,請參閱 傳輸解密。
日誌 報表解密:為了符合合規性或商務需求,組織可以使用日誌來保留訊息內容。 日誌代理程式會針對要進行日誌記錄的郵件建立日誌報告,並在報告中包含郵件的中繼資料。 原始郵件會附加至日誌報告。 如果日誌報告中的郵件受 IRM 保護,則日誌報告解密會將郵件的純文字副本附加至日誌報告。 如需詳細資訊,請參閱日誌報告解密。
Exchange 搜尋的 IRM 解密:使用 Exchange 搜尋的 IRM 解密,Exchange 搜尋可以在受 IRM 保護的訊息中為內容編製索引。 當探索管理員執行就地 eDiscovery 搜尋時,會在搜尋結果中傳回已建立索引的 IRM 保護郵件。 如需更多資訊,請參閱 就地 eDiscovery。
注意事項
在 Exchange 2010 SP1 和更新版本中,探索管理角色群組的成員可以存取探索搜尋所傳回且位於探索信箱中的受 IRM 保護的郵件。 若要啟用這項功能,請使用 EDiscoverySuperUserEnabled 參數搭配 Set-IRMConfiguration Cmdlet。 如需相關資訊,請參閱 將 IRM 設定 Exchange 搜尋與就地 ediscovery (英文)。
若要啟用這些解密功能,Exchange 伺服器必須可以存取郵件。 這是透過將同盟信箱 (由 Exchange 安裝程式所建立的系統信箱) 新增至 AD RMS 伺服器上的超級使用者群組來達成。 如需詳細資訊,請參閱至 AD RMS 超級使用者群組新增同盟信箱。
Prelicensing
為檢視受 IRM 保護的郵件和附件,Exchange 2013 會自動將先期授權附加至受保護的郵件。 如此用戶端就不必多次到 AD RMS 伺服器擷取使用授權,還可啟用受 IRM 保護之郵件和附件的離線檢視。 Prelicensing 也可讓受 IRM 保護的訊息於 Outlook Web App 中檢視。 啟用 IRM 功能時,Prelicensing 也會依預設啟用。
IRM 代理程式
在 Exchange 2013 中,已使用信箱伺服器之傳輸服務中的傳輸代理程式啟用 IRM 功能。 IRM 代理程式會由 Exchange 安裝程式在信箱伺服器上安裝。 您無法使用傳輸代理程式的管理工作來控制 IRM 代理程式。
注意事項
在 Exchange 2013 中,IRM 代理程式是內建代理程式。 內建代理程式不包含在 Get-TransportAgent 指令程式傳回的代理程式清單中。 如需詳細資訊,請參閱 傳輸代理程式。
下表列出了信箱伺服器的傳輸服務中實作的 IRM 代理程式。
信箱伺服器的傳輸服務中的 IRM 代理程式
| 代理程式 | 事件 | 函數 |
|---|---|---|
| RMS 解密代理程式 | OnEndOfData (SMTP) 與 OnSubmittedMessage | 解密郵件以允許存取傳輸代理程式。 |
| 傳輸規則代理程式 | OnRoutedMessage | 將符合傳輸保護規則中規則條件的郵件,標幟為由 RMS 加密代理程式提供 IRM 保護。 |
| RMS 加密代理程式 | OnRoutedMessage | 將 IRM 保護套用至傳輸規則代理程式所標幟的郵件,並重新加密傳輸解密的郵件。 |
| Prelicensing 代理程式 | OnRoutedMessage | 將先期授權附加至受 IRM 保護的郵件。 |
| 日誌報告解密代理程式 | OnCategorizedMessage | 解密附加至日誌報告的受 IRM 保護的郵件,並連同原始加密的郵件內嵌純文字版本。 |
如需傳輸代理程式的相關資訊,請參閱傳輸代理程式。
IRM 需求
若要在您的 Exchange 2013 組織中實作 IRM,您的部署必須符合下表所述的需求:
| 伺服器 | 需求 |
|---|---|
| AD RMS 叢集 |
|
| Exchange |
|
| Outlook |
|
| Exchange ActiveSync |
|
注意事項
AD RMS 叢集 是組織中用於AD RMS部署的詞彙,包括單一伺服器部署。 AD RMS 是一種 Web 服務。 該服務不需要您設定 Windows Server 容錯移轉叢集。 為達到高可用性與負載平衡,您可在叢集中部署多個 AD RMS 伺服器,並使用網路負載平衡。
重要事項
在實際執行環境中,不支援將 AD RMS 和 Exchange 安裝在相同的伺服器上。
Exchange 2013 IRM 功能支援 Microsoft Office 檔案格式。 您可以部署自訂保護器,將 IRM 保護延伸至其他檔案格式。 如需自定義保護裝置的詳細資訊,請參閱 microsoft 合作夥伴中心的 資訊保護 和控制合作夥伴。
設定和測試 IRM
您在 Exchange 2013 中必須使用 Exchange 管理命令介面來設定 IRM 功能。 若要設定個別的 IRM 功能,請使用 Set-IRMConfiguration Cmdlet。 您可以啟用或停用內部訊息的 IRM、傳輸解密、日誌報告解密、Exchange 搜尋,以及 Outlook Web App。 如需設定 IRM 功能的詳細資訊,請參閱 資訊版權管理程式。
在設定 Exchange 2013 伺服器之後,您可以使用 Test-IRMConfiguration Cmdlet 來執行 IRM 部署的端對端測試。 若要在一完成初始 IRM 設定後或持續地驗證 IRM 功能,這些測試會很有用。 指令程式會執行下列測試:
- 檢查 Exchange 2013 組織的 IRM 組態。
- 檢查 AD RMS 伺服器的版本與 Hotfix 資訊。
- 透過擷取權限帳戶憑證 (RAC) 和用戶端授權人憑證,驗證是否能啟動 RMS 的 Exchange 伺服器。
- 從 AD RMS 伺服器取得 AD RMS 權限原則範本。
- 確定指定的寄件者可以傳送受 IRM 保護的訊息。
- 為指定的收件者擷取超級使用者使用授權。
- 為指定的收件者取得先期授權。
使用權限管理連接器擴大權限管理
Microsoft 權限管理連接器 (RMS 連接器) 是選用應用程式,可增強您的 Exchange 2013 伺服器的資料保護,方法是使用雲端式的 Microsoft 權限管理服務。 安裝 RMS 連接器之後,它可在資訊的週期期間提供持續的資料保護,並且因為這些是可自訂的服務,所以您可以定義所需的保護層級。 例如,您可以限制特定使用者才能進行電子郵件存取,或針對特定郵件設定僅限檢視權限。
若要深入了解 RMS 連接器及其安裝方式,請參閱權限管理連接器。