將 IRM 設定為使用內部部署 AD RMS 伺服器

為了與內部部署搭配使用,Exchange Online 中的資訊版權管理 (IRM) 使用 Active Directory Rights Management Services (AD RMS) ,這是 Windows Server 2008 和更新版本中的資訊保護技術。 系統會藉由將 AD RMS 權限原則範本套用至電子郵件,將 IRM 保護套用至電子郵件。 許可權會附加至訊息本身,讓保護在您組織的防火牆內部和外部在線和離線進行。

本主題示範如何設定 IRM 以使用 AD RMS 伺服器。 如需搭配 Microsoft Entra 標識符和 Azure Rights Management 使用 Microsoft Purview 郵件加密 的相關信息,請參閱訊息加密常見問題

若要深入了解 Exchange Online 中的 IRM,請參閱 Information Rights Management in Exchange Online

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

開始之前有哪些須知?

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 論壇的網址為:Exchange ServerExchange OnlineExchange Online Protection

該怎麼做?

步驟 1:使用 AD RMS 主控台從 AD RMS 伺服器匯出信任的發行網域 (TPD)

第一個步驟是將信任的發行網域 (TPD) 從內部部署 AD RMS 伺服器匯出至 XML 檔案。 TPD 含有以下使用 RMS 功能所需的設定:

  • 用於簽署憑證和授權及予以加密的伺服器授權人憑證

  • 用於授權和發行的 URL

  • 以 TPD 特定的 SLC 建立的 AD RMS 權限原則範本

當您匯入 TPD 時,TPD 會在 Exchange Online 中儲存及保護。

  1. 開啟 Active Directory Rights Management Services 主控台,然後展開 AD RMS 叢集。

  2. 在主控台樹狀目錄中,展開 [信任原則],然後按一下 [信任的發行網域]

  3. 在結果窗格中,選取您想要匯出之網域的憑證。

  4. [動作] 窗格中按一下 [匯出信任的發行網域]

  5. [發行網域檔案] 方塊中按一下 [另存新檔],將檔案儲存至本機電腦上的特定位置。 輸入檔名,務必指定 .xml 擴展名,然後按兩下 [ 儲存]

  6. [密碼][確認密碼] 方塊中,輸入將用來加密信任發行網域檔案的強式密碼。 當您將 TPD 匯入雲端架構電子郵件組織時,就必須指定這個密碼。

步驟 2:使用 Exchange 管理命令介面將 TPD 匯入至 Exchange Online

將 TPD 匯出至 XML 檔案之後,您就必須將它匯入 Exchange Online。 匯入 TPD 時,也會一併匯入組織的 AD RMS 範本。 匯入第一個 TPD 時,它會成為雲端架構組織的預設 TPD。 如果您匯入了其他 TPD,可以使用 Default 參數,讓它成為提供給使用者的預設 TPD。

若要匯入 TPD,請在 Exchange Online PowerShell 中執行下列命令:

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<path to exported TPD file>')) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

您可以在 Active Directory Rights Management Services 主控台中取得 ExtranetLicensingUrlIntranetLicensingUrl 參數的值。 請在主控台樹狀目錄中選取 AD RMS 叢集。 授權 URL 就會顯示在結果窗格中。 當內容必須解密以及 Exchange Online 必須判斷要使用的 TPD 時,電子郵件用戶端就會使用這些 URL。

當您執行此命令時,系統會提示您輸入密碼。 請輸入您從 AD RMS 伺服器匯出 TPD 時所指定的密碼。

例如,下列命令會使用您從 AD RMS 伺服器匯出並儲存至系統管理員帳戶桌面的 XML 檔案來匯入名為 Exported TPD 的 TPD。 Name 參數是用來指定 TPD 的名稱。

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('C:\Users\Administrator\Desktop\ExportTPD.xml')) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

如需詳細的語法及參數資訊,請參閱 Import-RMSTrustedPublishingDomain

如何知道您已成功匯入 TPD?

若要確認您已成功匯入 TPD,請執行 Get-RMSTrustedPublishingDomain Cmdlet 來擷取 Exchange Online 組織中的 TPD。 如需詳細資料,請參閱 Get-RMSTrustedPublishingDomain 中的範例。

步驟 3:使用 Exchange 管理命令介面散發 AD RMS 許可權原則範本

匯入 TPD 之後,您必須確定 AD RMS 權限原則範本已發佈。 Outlook 網頁版 (先前稱為「Outlook Web App) 使用者」的使用者可以看見分散式範本,而用戶接著可以將範本套用至電子郵件訊息。

若要傳回預設 TPD 包含的所有範本清單,請執行下列命令:

Get-RMSTemplate -Type All | fl

如果 Type 參數的值為 Archived,則使用者看不到範本。 Outlook 網頁版 中僅提供預設 TPD 中的分散式範本。

若要發佈範本,請執行下列命令:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

例如,下列命令會匯入 Company Confidential 範本。

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

如需詳細的語法及參數資訊,請參閱 Get-RMSTemplateSet-RMSTemplate

不要轉寄範本

當您將預設 TPD 從內部部署組織匯入 Exchange Online 時,會匯入名為 [不要轉寄] 的 AD RMS 權限原則範本。 根據預設,當您匯入預設 TPD 時,系統會發佈此範本。 但是,您無法使用 Set-RMSTemplate 指令程式來修改 [不要轉寄] 範本。

[不要轉寄] 範本套用至郵件時,只有郵件中所列的收件者才能讀取郵件。 此外,收件者無法進行下列作業:

  • 將郵件轉寄給其他人員。
  • 複製郵件的內容。
  • 列印郵件。

重要事項

[不要轉寄] 範本無法防止使用者透過協力廠商螢幕擷取程式複製郵件中的資訊,也無法防止使用者手動抄錄資訊。

您可以在內部部署組織中的 AD RMS 伺服器上建立其他 AD RMS 權限原則範本,以符合您的 IRM 保護需求。 如果您建立了其他 AD RMS 權限原則範本,就必須再次從內部部署 AD RMS 伺服器匯出 TPD,然後在雲端架構電子郵件組織中重新整理 TPD。

如何知道您已成功散發 AD RMS 許可權原則範本?

若要確認您已成功散發和 AD RMS 許可權原則範本,請執行 Get-RMSTemplate Cmdlet 來檢查範本的屬性。 如需詳細資料,請參閱 Get-RMSTemplate 中的範例。

步驟 4:使用 Exchange 管理命令介面來啟用 IRM

匯入 TPD 並發佈 AD RMS 權限原則範本之後,請執行以下命令以針對雲端架構電子郵件組織啟用 IRM。

Set-IRMConfiguration -InternalLicensingEnabled $true

如需詳細的語法及參數資訊,請參閱 Set-IRMConfiguration

如何知道您已成功啟用 IRM?

若要確認您已成功啟用 IRM,請執行 Get-IRMConfiguration Cmdlet 來檢查 Exchange Online 組織中的 IRM 設定。

如何才能了解此工作是否正常運作?

若要確認您是否已成功匯入 TPD 並啟用 IRM,請執行下列動作:

  • 使用 Test-IRMConfiguration 指令程式來測試 IRM 功能。 For details, see "Example 1" in Test-IRMConfiguration.

  • 從擴充功能表中選取 [設定許可權] 選項,以在 [Outlook 網頁版] 中撰寫新的訊息並保護它 ([其他選項圖示]。) 。