將同盟信箱新增至 AD RMS 超級使用者群組

  • 發行項

適用於:Exchange Server 2013

對於下列要啟用的 Microsoft Exchange Server 2013 資訊版權管理 (IRM) 功能,您必須將同盟信箱 (由 Exchange 2013 安裝程式所建立的系統信箱) 新增至組織的 版權管理服務 (AD RMS) 叢集中的超級使用者群組:

  • Microsoft Office Outlook Web App中的 IRM

  • Exchange ActiveSync中的 IRM

  • 日誌報告解密

  • 傳輸解密

您可以在 AD RMS 中將啟用郵件功能的通訊群組設定為進階使用者群組。 通訊群組的成員在向 AD RMS 叢集要求授權時,會獲得擁有者使用授權。 這可讓他們解密該叢集所發佈之所有受 RMS 保護的內容。 不論您是使用現有的通訊群組或建立通訊群組,並將其設定為 AD RMS 中的進階使用者群組,都建議您基於此目的為通訊群組,並設定適當的設定來核准、稽核和監視成員資格變更。

警告

在 AD RMS 中設定進階使用者群組可讓群組成員解密受 IRM 保護的內容。 建議您採取適當的措施來控制和監視群組成員資格,並啟用稽核來追蹤成員資格變更。

若欲了解更多與 IRM 相關的管理工作,請參閱資訊版權管理程序

開始之前有哪些須知?

  • 預估完成時間:15 分鐘。

  • 您必須已獲指派權限,才能執行此程序或這些程序。 若要查看您需要的權限,請參閱 收件者權限主題中的「通訊群組」項目。

  • AD RMS 叢集必須部署於 Active Directory 樹系中。

  • 如果已在 AD RMS 叢集上設定進階使用者群組,則 AD RMS 叢集最多可能需要 24 小時的時間來重新整理通訊群組成員資格的任何修改。 這是在叢集上快取群組成員資格的結果。

  • 如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵

提示

有問題嗎? 在 Exchange 論壇中尋求協助。 瀏覽 Exchange Server 的論壇。

步驟 1:使用 Shell 將同盟信箱新增至通訊群組

如果已在 AD RMS 叢集中建立通訊群組並設定為進階使用者群組,您可以將 Exchange 2013 同盟信箱新增為該群組的成員。 如果未設定進階使用者群組,您必須建立通訊群組,並將 [同盟] 信箱新增為成員。

  1. 建立專用的通訊群組,以作為 AD RMS 進階使用者群組。 若要詳細資料,請查閱建立及管理通訊群組

  2. 將使用者 FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 新增至新的通訊群組。 同盟信箱是系統信箱,因此在 EAC 中看不到。 若要將它新增至通訊群組,您必須使用 Shell 中的 Add-DistributionGroupMember Cmdlet。

    此範例會將同盟信箱新增至 ADRMSSuperUsers 通訊群組。

    Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

如需詳細的語法及參數資訊,請參閱 Add-DistributionGroupMember

步驟 2:使用 AD RMS 設定進階使用者群組

在 AD RMS 叢集上執行下列程式。 用來執行此程式的帳戶必須是 AD RMS 伺服器上 AD RMS Enterprise Administrators 本機群組的成員。

  1. 開啟 Active Directory Rights Management Services 主控台並展開 AD RMS 叢集。

  2. In the console tree, expand Security Policies, and then click Super Users.

  3. 在執行窗格中,按一下 [啟用超級使用者]。

  4. 在結果窗格中,按一下 [變更超級使用者群組] 以開啟 [超級使用者] 內容頁。

  5. 在 [超級使用者群組] 方塊中,輸入您在先前程序建立之通訊群組的電子郵件地址,或按一下 [瀏覽] 以選取通訊群組。

如何知道這是否正常運作?

在您將同盟信箱新增至一個新的或現有通訊群組時,請使用 Get-DistributionGroupMember 指令程式來檢查群組的會員資格。

如需如何檢查通訊群組成員資格的範例,請參閱 Get-DistributionGroupMember 中的 Example 1

使用 AD RMS 設定進階使用者群組之後,您可以使用下列方法來確認超級使用者群組已正確設定。 此外,您可以使用 Test-IRMConfiguration Cmdlet 來驗證 IRM 功能。

  • 使用 AD RMS 主控台來確認是否將群組正確設定為超級使用者群組。

  • 在 AD RMS 伺服器上執行下列 PowerShell 命令來擷取超級使用者群組。

    重要事項

    Windows Server 2008 R2 和更新版本上可取得 ADRMSAdmin PowerShell 模組。

    Import-Module ADRMSAdmin
New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost
Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser