IRM in Exchange-Hybridbereitstellungen
Zusammenfassung: Funktionsweise von IRM in einer Exchange-Hybridumgebung und Konfigurieren von IRM für die Funktion zwischen Exchange Online und Ihren lokalen Exchange-Servern.
Die Verwaltung von Informationsrechten (Information Rights Management, IRM) unterstützt Sie beim Schutz vor dem Verlust vertraulicher Daten, indem ein dauerhafter Online- und Offlineschutz von E-Mail-Nachrichten und -Anlagen bereitgestellt wird. Sowohl Ihre lokale Exchange-Organisation als auch Exchange Online in Microsoft 365 oder Office 365 für Unternehmen unterstützen IRM. Es gibt jedoch Unterschiede zwischen den beiden Implementierungen, und Sie müssen die Verwaltung von Informationsrechten in der Exchange Online-Organisation konfigurieren, bevor diese von Benutzern in dieser Organisation verwendet werden kann.
IRM verwendet Active Directory Rights Management Services (AD RMS), eine Komponente von Windows Server 2008 und höher. MIT AD RMS können Benutzer durch Rechte geschützte Inhalte wie E-Mail-Nachrichten und Anlagen erstellen und dann steuern, wie diese Inhalte verwendet werden und an wen sie verteilt werden. Benutzer können Vorlagen angeben, die bestimmen, wie der Inhalt verwendet werden kann. Beispielsweise kann ein Benutzer angeben, dass eine E-Mail-Nachricht nicht an andere Empfänger weitergeleitet werden kann oder dass die Informationen in der Nachricht nicht kopiert werden können.
Weitere Informationen zu IRM in Exchange 2010 erhalten Sie unter: Grundlegendes zu Information Rights Management.
Weitere Informationen zu IRM finden Sie in Exchange Server unter Information Rights Management.
Weitere Informationen zu AD RMS finden Sie unter Active Directory-Rechteverwaltungsdienste (Übersicht).
Unterschiede zwischen IRM in Exchange lokal und Exchange Online
Die IRM-Funktion, die in Ihrer lokalen Exchange-Organisation verfügbar ist, unterscheidet sich von der in der Exchange Online-Organisation verfügbaren Funktion. In der folgenden Tabelle wird eine Übersicht über die Features und Funktionen bereitgestellt, die in den einzelnen Organisationen verfügbar sind. (Weitere Informationen zu diesen Features finden Sie unter Information Rights Management.
Verfügbare IRM-Funktionen
Feature | Verfügbar in Exchange 2007 und früher | Verfügbar in Exchange 2010 | Verfügbar in Exchange Online und Exchange 2013 und höher |
---|---|---|---|
Manueller Schutz von Nachrichten in Outlook | Ja | Ja | Ja |
Manueller Schutz von Nachrichten in Outlook Web App | Nein | Ja | Ja |
Anzeigen von IRM-geschützten Nachrichten in Outlook | Ja | Ja | Ja |
Anzeigen von IRM-geschützten Nachrichten in Outlook Web App | Nein | Ja | Ja |
IRM-Vorlizenzierungs-Agent | Ja | Ja | Ja |
RMS-Richtlinienvorlagen | Nein | Ja | Ja |
Transportentschlüsselung | Nein | Ja | Ja |
Journalberichtentschlüsselung | Nein | Ja | Ja |
Exchange-Suche und Discovery-Entschlüsselung | Nein | Ja | Ja |
Automatische Outlook-Schutzregeln | Nein | Nein | Ja |
Automatische Transportschutzregeln | Nein | Ja | Ja |
IRM in Hybridbereitstellungen
Exchange verwendet AD RMS-Server in der Active Directory-Gesamtstruktur, in der der Exchange-Server installiert ist. Für Ihre lokalen Exchange-Server werden die AD RMS-Server verwendet. Für Ihre Exchange Online Organisation werden AD RMS-Server verwendet, die in den Microsoft 365- und Office 365-Rechenzentren verwaltet werden. Die in den einzelnen Exchange-Organisationen verwendete AD RMS-Konfiguration ist von anderen AD RMS-Bereitstellungen unabhängig.
Die AD RMS-Konfiguration, und daher die IRM-Konfiguration, wird nicht automatisch zwischen Ihrer lokalen Exchange-Organisation und der Exchange Online-Organisation repliziert. Von Ihnen definierte AD RMS-Vorlagen werden nicht automatisch in die Exchange Online-Organisation kopiert. Wenn die gleichen AD RMS-Vorlagen in der Exchange Online Organisation verfügbar sein sollen, müssen Sie die Vorlagen manuell aus Ihrer lokalen Organisation exportieren und auf die Microsoft 365- oder Office 365-Organisation anwenden. Siehe Konfiguration von IRM in Hybrid-Bereitstellungen weiter unten in diesem Thema.
Verwendung durch den Benutzer
Die auf einen Benutzer angewendete IRM-Konfiguration hängt vom Client ab, den der Benutzer verwendet, und vom Speicherort des Benutzerpostfachs. In der folgenden Tabelle wird der von einem Benutzer verwendete AD RMS-Server angezeigt.
Aktiver AD RMS-Server
Client | Lokales Postfach | Exchange Online-Postfach |
---|---|---|
Outlook-Desktopclients | Lokaler AD RMS | Lokaler AD RMS |
Outlook im Web | Lokaler AD RMS | Exchange Online-AD RMS |
ActiveSync-Gerät | Lokaler AD RMS | Exchange Online-AD RMS |
In Abhängigkeit davon, welche AD RMS-Konfiguration Sie in Ihren lokalen und Exchange Online-Organisationen einrichten, können einem Benutzer, der Outlook 2007 und Outlook im Web verwendet, möglicherweise abweichende AD RMS-Vorlagen angezeigt werden. Aus diesem Grund wird dringend empfohlen, dass Sie dieselben Vorlagen sowohl auf Ihre lokalen als auch auf Exchange Online-Organisationen anwenden.
Für Outlook-Clientbenutzer sollte sich unabhängig davon kein Unterschied bei der IRM-Erfahrung ergeben, ob sich ihr Postfach in der lokalen oder in der Exchange Online-Organisation befindet.
Ein Outlook im Web-Benutzer, dessen Postfach sich auf einem lokalen Exchange-Server befindet, kann durch Rechte geschützte Nachrichten nur öffnen, nachdem das Internet Explorer-Add-In für die Rechteverwaltung installiert wurde. Sie können weder auf Nachrichten antworten, die durch Rechte geschützt sind, noch neue durch Rechte geschützte Nachrichten erstellen.
Ein Outlook im Web-Benutzer, dessen Postfach sich in Exchange Online befindet, kann durch Rechte geschützte Nachrichten ohne zusätzliche Software öffnen, beantworten und neue durch Rechte geschützte Nachrichten erstellen.
Serverfunktionalität
Lokale Exchange-Server verwenden den AD RMS-Vorlizenzierungs-Agent zum Entschlüsseln von Nachrichten, die durch Rechte geschützt sind, damit die Benutzer keine Anmeldeinformationen bereitstellen müssen, wenn sie diese Nachrichten öffnen. Der lokale Exchange-Server kontaktiert den lokalen AD RMS-Server, um die Verwendungsrichtlinien und -rechte zu überprüfen und die Autorisierung zum Entschlüsseln der Nachricht anzufordern.
Die Exchange Online Organisation bietet mehrere zusätzliche IRM-bezogene Features, die Exchange Online AD RMS nutzen. Diese Features, z. B. die Entschlüsselung von Journalberichten, machen den Inhalt von rechtsgeschützten Nachrichten für Exchange-Dienste zur zusätzlichen Verarbeitung verfügbar. Die verschlüsselten Inhalte einer Journalnachricht können z. B. zusammen mit der ursprünglichen, durch Rechte geschützten Nachricht gespeichert werden, um eine einfachere Erkennung zu ermöglichen. Darüber hinaus können IRM-Vorlagen automatisch mithilfe von Outlook-Schutz- oder Transportregeln auf Nachrichten angewendet werden, um sicherzustellen, dass Nachrichten den Organisationsrichtlinien zum Informationsschutz entsprechen.
Konfiguration von IRM in Hybrid-Bereitstellungen
IRM in Exchange ist von der Bereitstellung von AD RMS in der Active Directory-Gesamtstruktur abhängig, in der sich der Exchange-Server befindet. Die AD RMS-Konfiguration wird nicht automatisch zwischen den lokalen Organisationen und den Exchange Online-Organisationen synchronisiert. Sie müssen die AD RMS-Konfiguration, die sogenannte vertrauenswürdige Veröffentlichungsdomäne (Trusted Publishing Domain, TPD), manuell von Ihrem lokalen AD RMS-Server exportieren und diese Konfiguration in die Exchange Online-Organisation importieren. Die vertrauenswürdige Veröffentlichungsdomäne enthält die AD RMS-Konfiguration, einschließlich der Vorlagen, die von der Exchange Online-Organisation für die Verwaltung der Informationsrechte benötigt werden.
Weitere Informationen finden Sie unter Aspekte zur vertrauenswürdigen AD RMS-Veröffentlichungsdomäne .
Zusätzlich zum Anwenden Ihrer lokalen AD RMS-Konfiguration auf die Exchange Online-Organisation müssen Sie sicherstellen, dass Outlook- und ActiveSync-Clients außerhalb Ihres lokalen Netzwerks eine Verbindung mit Ihren AD RMS-Servern herstellen können. Dies ist erforderlich, wenn diese Clients Zugriff auf durch Rechte geschützte Nachrichten außerhalb Ihres lokalen Netzwerks erhalten sollen.
Nachdem Sie das lokale Netzwerk konfiguriert und die Daten der vertrauenswürdigen Veröffentlichungsdomäne exportiert haben, müssen Sie die Exchange Online-Organisation konfigurieren, indem Sie die Daten der vertrauenswürdigen Veröffentlichungsdomäne importieren und die Verwaltung der Informationsrechte aktivieren.
Hinweis
Bei jeder Änderung Ihrer lokalen AD RMS-Konfiguration müssen Sie die neue Konfiguration manuell in der Exchange Online-Organisation anwenden. Dazu exportieren Sie die Daten der vertrauenswürdigen Veröffentlichungsdomäne vom lokalen AD RMS-Server und importieren sie in die Exchange Online-Organisation.
Konfigurieren von IRM in Exchange-Hybridbereitstellungen
Wenn Sie die IRM in Ihrer lokalen Exchange-Organisation verwenden und die Exchange Online-Benutzer ebenfalls IRM verwenden sollen, müssen Sie folgende Aufgaben ausführen:
Konfigurieren Sie den lokalen Active Directory-Rechteverwaltungsdienst (AD RMS)-Server.
Aktivieren Sie IRM in Ihrer Exchange Online-Organisation.
Verteilen Sie die importierten AD RMS-Vorlagen an Benutzer in der Exchange Online-Organisation.
Wie konfiguriere ich lokale AD RMS-Server?
Zum Konfigurieren von IRM in einer Hybridbereitstellung müssen Sie Windows PowerShell für den Zugriff auf die lokalen AD RMS-Server verwenden. Weitere Informationen finden Sie unter: Verwenden von Windows PowerShell zum Verwalten von AD RMS
Gehen Sie wie folgt vor, um Daten der vertrauenswürdigen Veröffentlichungsdomäne (Trusted Publishing Domain, TPD) von dem lokalen AD RMS-Server zu exportieren und dann den Zugriff auf den AD RMS-Server für externe Clients zu konfigurieren.
Exportieren Sie TPD-Daten aus der lokalen Organisation. Weitere Informationen finden Sie unter: Exportieren einer vertrauenswürdigen Veröffentlichungsdomäne
Konfigurieren Sie den Zugriff auf AD RMS-Server für externe Clients. Weitere Informationen finden Sie unter: Hinzufügen einer Extranet-Cluster-URL
Wie aktiviere ich IRM in der Exchange Online-Organisation?
Wenn Sie die TPD-Daten von den lokalen AD RMS-Servern exportiert haben, müssen Sie diese Daten in die Exchange Online-Organisation importieren und dann IRM aktivieren.
Importieren Sie die TPD-Daten in die Exchange Online-Organisation.
Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<Path to exported TPD file>'))
Aktivieren Sie IRM in der Exchange Online-Organisation.
Set-IRMConfiguration -InternalLicensingEnabled $True
Wie verteile ich AD RMS-Vorlagen in der Exchange Online-Organisation?
Nachdem Sie IRM in der Exchange Online-Organisation aktiviert haben, müssen Sie die importierten AD RMS-Vorlagen verteilen. Folgende Exchange Online-Benutzer und -Funktionen verwenden AD RMS-Vorlagen:
Outlook im Web-Benutzer
Exchange ActiveSync-Benutzer
Transportregeln
Journalberichtentschlüsselung
Outlook-Schutzregeln
Rufen Sie in der Exchange Online-Organisation eine Liste mit AD RMS-Vorlagen ab.
Get-RMSTemplate -Type All
Verteilen Sie die importierten AD RMS-Vorlagen an Benutzer und Funktionen in der Exchange Online-Organisation.
Set-RMSTemplate <template name> -Type Distributed
Hinweis
Sie können die AD RMS-Vorlage "Nicht weiterleiten" nicht ändern.
Wiederholen Sie Schritt 2 für jede AD RMS-Vorlage, die verteilt werden soll.
Woher weiß ich, dass der Vorgang erfolgreich war?
Outlook im Web-Benutzer müssen in der Lage sein, AD RMS-Vorlagen auf neue Nachrichten anzuwenden. Outlook im Web- und Exchange ActiveSync-Benutzer müssen in der Lage sein, Nachrichten zu lesen, auf die AD RMS-Vorlagen angewendet wurden. Außerdem sollten alle AD RMS-Vorlagen, die von der lokalen Organisation importiert wurden, aufgelistet werden, wenn Sie das Cmdlet Get-RMSTemplate ausführen.
Führen Sie den folgenden Befehl in der Exchange Online Organisation aus:
Get-RMSTemplate
Weitere Informationen finden Sie unter Information Rights Management in Outlook Web App