了解 Exchange 2010 混合部署中的 IRM
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
資訊版權管理 (IRM) 可針對電子郵件訊息和附件提供持續性的線上及離線保護,以協助您防止敏感資訊外洩。 內部部署組織中的 Exchange 2010 以及適用於企業的 Office 365 中的 Exchange Online 皆可支援 IRM。 不過,這兩種執行方式之間會有一些差異,且您必須先在 Exchange Online 組織內設定 IRM,才能提供給該組織內的使用者使用。
IRM 使用 Active Directory Rights Management Services (AD RMS),該服務同時也是 Windows Server 2008 R2 的元件。 AD RMS 可讓使用者建立權限保護的內容,例如電子郵件訊息和附件,然後控制內容的使用方式以及發佈的對象。使用者可指定決定內容使用方式的範本。例如,使用者可指定電子郵件訊息不能轉寄給其他收件者,或者不能複製郵件中的資訊。
深入了解 Exchange 2010 中的 IRM:瞭解資訊版權管理
深入了解 AD RMS: Active Directory Rights Management Services 概觀
深入了解 IRM 的設定:設定 Exchange 2010 混合部署中的 IRM
混合部署中的 IRM
Exchange 會在 Active Directory 樹系中使用 AD RMS 伺服器,該樹系中已安裝 Exchange 伺服器。針對您的內部部署 Exchange 2010 伺服器,則會使用內部部署 AD RMS。 針對您的 Exchange Online 組織,則會使用在 Microsoft Office 365 資料中心所維護的 AD RMS 伺服器。每個 Exchange 組織使用的 AD RMS 組態都是獨立於其他 AD RMS 部署之外。
AD RMS 組態與 IRM 組態不會自動在您的內部部署 Exchange 組織與 Exchange Online 組織之間複寫。 您定義的任何 AD RMS 範本都不會自動複製到 Exchange 組織中。 如果您要讓相同的 AD RMS 範本可在 Exchange Online 組織中使用,您必須手動將範本從內部部署組織匯出,然後將其套用至雲端式組織。請參閱本主題稍後的混合部署中的 IRM 組態一節。
使用者經驗
套用至使用者的 IRM 組態會視使用者所使用的用戶端與使用者信箱的位置而定。下表顯示使用者將使用的 AD RMS 伺服器。
Active AD RMS 伺服器
| 用戶端 | 內部部署信箱 | 雲端架構信箱 |
|---|---|---|
Outlook 2007 或Outlook 2010 |
內部部署 AD RMS |
內部部署 AD RMS |
Outlook Web App |
內部部署 AD RMS |
Exchange Online AD RMS |
ActiveSync 裝置 |
內部部署 AD RMS |
Exchange Online AD RMS |
可能發生的情況是,根據您在內部部署和 Exchange Online 組織中設定的組態而定,使用 Outlook 2007 和 Outlook Web App 的使用者可能會看見不同的 AD RMS 範本。 基於此原因,我們強烈建議您在內部部署和 Exchange Online 組織中都套用相同的範本。
無論信箱位於內部部署或 Exchange Online 組織中,Outlook 用戶端使用者的 IRM 體驗都不會有所差異。
信箱位於 Exchange 2010 伺服器的 Outlook Web App 使用者在安裝 Internet Explorer 的權限管理增益集之後,只能開啟有權限保護的郵件。他們無法回覆或建立新的權限保護郵件。
信箱位於 Exchange Online 的 Outlook Web App 使用者可開啟權限保護郵件而不需要任何其他軟體,並且可以回覆及建立新的權限保護郵件。
伺服器功能
內部部署 Exchange 2010 伺服器會使用 AD RMS 預先授權代理程式來解密權限保護郵件,因此使用者在開啟這些郵件時不需要提供認證。內部部署 Exchange 2010 伺服器會與內部部署 AD RMS 伺服器聯繫以檢查使用原則和權限,並要求將郵件解密的授權。
Exchange Online 組織可提供數種利用 Exchange Online AD RMS 的其他 IRM 相關功能。這些功能 (例如日誌報告解密) 可將權限保護郵件的內容提供給 Exchange 服務以進行其他的處理。例如,已解密的日誌郵件內容可與原始權限保護郵件一併儲存,以利於探索作業的進行。此外,IRM 範本可使用 Outlook 保護規則或傳輸規則自動套用至郵件中,以確保這些郵件能符合與資訊保護有關的組織原則。
混合部署中的 IRM 組態
Exchange 中的 IRM 會取決於部署在 Active Directory 樹系的 AD RMS (Exchange 伺服器位於此樹系中)。 AD RMS 組態不會自動在內部部署組織與 Exchange Online 組織之間進行同步處理。 您必須從內部部署 AD RMS 伺服器手動匯出稱為受信任發行網域 (TPD) 的 AD RMS 組態,然後將組態匯入 Exchange Online 組織。 TPD 包含 AD RMS 組態,其中包括 Exchange Online 組織在使用 IRM 時所需要的範本。
若要深入了解,請參閱: AD RMS 受信任發行網域考量
除了將內部部署 AD RMS 組態套用至 Exchange Online 組織,您還必須確認內部部署網路以外的 Outlook 和 ActiveSync 用戶端能夠與您的 AD RMS 伺服器聯繫。如果您要讓這些用戶端存取內部部署網路以外的權限保護郵件,就必須執行此作業。
在設定內部部署網路並匯出 TPD 資料之後,您將需要匯入 TPD 資料並啟用 IRM 以設定 Exchange Online 組織。
.gif "注意事項") 附註: |
|---|
| 任何時候當您要修改內部部署 AD RMS 組態時,都必須手動將新組態套用至 Exchange Online 組織。 若要這樣做,請將 TPD 資料從您的內部部署 AD RMS 伺服器匯出,然後將其匯入 Exchange Online 組織。 |
若要深入了解,請參閱: 設定 Exchange 2010 混合部署中的 IRM
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。