Konfigurieren von IRM für die Verwendung eines lokalen AD RMS-Servers

  • Artikel

Für die Verwendung mit lokalen Bereitstellungen verwendet Information Rights Management (IRM) in Exchange Online Active Directory Rights Management Services (AD RMS), eine Information Protection-Technologie in Windows Server 2008 und höher. IRM-Schutz wird auf E-Mails angewendet, indem eine AD RMS-Berechtigungsrichtlinienvorlage auf eine E-Mail angewendet wird. Rechte werden der Nachricht selbst zugeordnet, sodass der Schutz sowohl online und offline als auch innerhalb und außerhalb der Firewall der Organisation stattfindet.

Mit diesem Thema wird die Konfiguration von IRM für die Verwendung eines AD RMS-Servers erläutert. Informationen zur Verwendung von Microsoft Purview-Nachrichtenverschlüsselung mit Microsoft Entra-ID und Azure Rights Management finden Sie unter Häufig gestellte Fragen zur Nachrichtenverschlüsselung.

Weitere Informationen zu IRM in Exchange Online finden Sie unter Verwaltung von Informationsrechten in Exchange Online.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Was sollten Sie wissen, bevor Sie beginnen?

Tipp

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Server,Exchange Online oder Exchange Online Protection.

Wie gehen Sie dazu vor?

Schritt 1: Verwenden der AD RMS-Konsole für den Export einer vertrauenswürdigen Veröffentlichungsdomäne von einem AD RMS-Server

Der erste Schritt ist das Exportieren einer vertrauenswürdigen Veröffentlichungsdomäne (TPD) vom lokalen AD RMS-Server in eine XML-Datei. Die vertrauenswürdige Veröffentlichungsdomäne (TPD) beinhaltet die folgenden, für die Verwendung von RMS-Funktionen erforderlichen Einstellungen:

  • Das lizenzgebende Serverzertifikat (SLC) zum Signieren und Verschlüsseln von Zertifikaten und Lizenzen.

  • Die für Lizenzierung und Veröffentlichung verwendeten URLs.

  • Die AD RMS-Rechterichtlinienvorlagen, die mit dem spezifischen lizenzgebenden Serverzertifikat (SLC) für diese TPD erstellt wurden.

Wenn Sie die TPD importieren, wird sie in Exchange Online gespeichert und geschützt.

  1. Öffnen Sie die AD RMS-Konsole, und erweitern Sie dann den AD RMS-Cluster.

  2. Erweitern Sie in der Konsolenstruktur den Knoten Vertrauensrichtlinien, und klicken Sie dann auf Vertrauenswürdige Veröffentlichungsdomänen.

  3. Wählen Sie das Zertifikat für die zu exportierende Domäne im Ergebnisbereich aus.

  4. Klicken Sie im Bereich Aktionen auf Vertrauenswürdige Veröffentlichungsdomäne exportieren.

  5. Klicken Sie im Feld Veröffentlichungsdomänendatei auf Speichern unter, um die Datei an einem bestimmten Speicherort auf dem lokalen Computer zu speichern. Geben Sie einen Dateinamen ein, stellen Sie sicher, dass Sie die .xml Dateinamenerweiterung angeben, und klicken Sie dann auf Speichern.

  6. Geben Sie in den Feldern Kennwort und Kennwort bestätigen ein sicheres Kennwort ein, das zum Verschlüsseln der Datei der vertrauenswürdigen Veröffentlichungsdomäne verwendet wird. Dieses Kennwort muss beim Importieren der TPD in die Cloud-basierte E-Mail-Organisation angegeben werden.

Schritt 2: Verwenden der Exchange-Verwaltungsshell zum Importieren der TPD in Exchange Online

Nachdem die TPD in eine XML-Datei exportiert wurde, müssen Sie sie in Exchange Online importieren. Beim Importieren einer TPD werden auch die Vorlagen Ihrer Organisation aus AD RMS importiert. Die erste importierte TPD wird zur Standard-TPD für die Cloud-basierte Organisation. Wenn Sie eine weitere TPD importieren, können Sie diese mithilfe der Option Default als die für Benutzer verfügbare Standard-TPD festlegen.

Führen Sie zum Importieren der TPD den folgenden Befehl in Exchange Online PowerShell aus:

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<path to exported TPD file>')) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

Sie können die Werte für die Parameter ExtranetLicensingUrl und IntranetLicensingUrl in der Active Directory Rights Management Services-Konsole abrufen. Wählen Sie den AD RMS-Cluster in der Konsolenstruktur aus. Die URLs für die Lizenzierung werden im Ergebnisbereich angezeigt. Diese URLs werden von E-Mail-Clients verwendet, wenn Inhalt entschlüsselt werden muss und wenn Exchange Online die zu verwendende TPD ermitteln muss.

Beim Ausführen dieses Befehls werden Sie zur Eingabe eines Kennworts aufgefordert. Geben Sie das Kennwort ein, das Sie beim Exportieren der TPD vom AD RMS-Server angegeben haben.

Beispiel: Durch den folgenden Befehl wird die TPD mit dem Namen "Exported TPD" anhand der vom AD RMS-Server exportierten XML-Datei importiert und auf dem Desktop des Administratorkontos gespeichert. Mit dem Name-Parameter wird ein Name für die TPD angegeben.

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('C:\Users\Administrator\Desktop\ExportTPD.xml')) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Import-RMSTrustedPublishingDomain.

Woher wissen Sie, dass Sie die TPD erfolgreich importiert haben?

Führen Sie zur Überprüfung eines erfolgreichen Imports der TPD das Cmdlet Get-RMSTrustedPublishingDomain zum Abruf von TPDs in Ihrer Exchange Online-Organisation auf. Für Einzelheiten finden Sie Beispiele unter Get-RMSTrustedPublishingDomain.

Schritt 3: Verwenden der Exchange-Verwaltungsshell zur Verteilung einer AD RMS-Rechterichtlinienvorlage

Nach dem Import der TPD müssen Sie sicherstellen, dass eine AD RMS-Rechterichtlinienvorlage verteilt wird. Eine verteilte Vorlage ist für Outlook im Web Benutzer (früher als Outlook Web App bezeichnet) sichtbar, die die Vorlagen dann auf eine E-Mail-Nachricht anwenden können.

Führen Sie den folgenden Befehl aus, um eine Liste aller Vorlagen in der Standard-TPD anzuzeigen:

Get-RMSTemplate -Type All | fl

Wenn der Wert des Type-Parameters lautet Archived, ist die Vorlage für Benutzer nicht sichtbar. Nur verteilte Vorlagen in der Standard-TPD sind in Outlook im Web verfügbar.

Führen Sie zum Verteilen einer Vorlage den folgenden Befehl aus:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Beispiel: Durch den folgenden Befehl wird die Vorlage "Company Confidential" importiert:

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-RMSTemplate und Set-RMSTemplate.

Vorlage "Nicht weiterleiten"

Wenn Sie die Standard-TPD aus der lokalen Organisation in Exchange Online importieren, wird eine RMS-Rechterichtlinienvorlage mit der Bezeichnung Do Not Forward importiert. Diese Vorlage wird standardmäßig verteilt, wenn Sie die Standard-TPD importieren. Die Vorlage Do Not Forward kann nicht mit dem Cmdlet Set-RMSTemplate geändert werden.

Wenn die Vorlage Do Not Forward auf eine Nachricht angewendet wird, kann die Nachricht nur von Empfängern der Nachricht gelesen werden. Darüber hinaus können Empfänger folgende Aktionen ausführen:

  • Weiterleiten der Nachricht an eine andere Person
  • Kopieren von Inhalt aus der Nachricht
  • Drucken der Nachricht

Wichtig

Durch die Vorlage Do Not Forward kann nicht verhindert werden, dass Informationen in einer Nachricht mit Drittanbieter-Bildschirmaufnahmeprogrammen oder Kameras kopiert oder von Benutzern manuell übertragen werden.

Sie können zusätzliche AD RMS-Rechterichtlinienvorlagen auf dem AD RMS-Server in der lokalen Organisation erstellen, um Ihre Anforderungen hinsichtlich des IRM-Schutzes zu erfüllen. Wenn Sie zusätzliche AD RMS-Vorlagen erstellen, müssen Sie die TPD erneut vom lokalen AD RMS-Server exportieren und die TPD in der Cloud-basierten E-Mail-Organisation aktualisieren.

Woher wissen Sie, dass Sie die AD RMS-Rechterichtlinienvorlage erfolgreich verteilt haben?

Führen Sie zur Überprüfung einer erfolgreichen Verteilung einer AD RMS-Rechterichtlinienvorlage das Cmdlet Get-RMSTemplate zur Prüfung der Eigenschaften der Vorlage aus. Für Einzelheiten finden Sie Beispiele unter Get-RMSTemplate.

Schritt 4: Verwenden der Exchange-Verwaltungsshell zur Aktivierung von IRM

Führen Sie nach dem Import der TPD und der Verteilung der AD RMS-Rechterichtlinienvorlage den folgenden Befehl zur Aktivierung von IRM für Ihre Cloud-basierte E-Mail-Organisation aus.

Set-IRMConfiguration -InternalLicensingEnabled $true

Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-IRMConfiguration.

Woher wissen Sie, dass Sie IRM erfolgreich aktiviert haben?

Zur Überprüfung einer erfolgreichen Aktivierung von IRM führen Sie das Cmdlet Get-IRMConfiguration zur Prüfung der IRM-Konfiguration in der Exchange Online-Organisation aus.

Woher wissen Sie, dass diese Aufgabe erfolgreich war?

Führen Sie zur Überprüfung eines erfolgreichen Imports der TPD und einer erfolgreichen Aktivierung von IRM folgende Schritte aus:

  • Verwenden Sie das Cmdlet Test-IRMConfiguration, um die Funktionalität von IRM zu überprüfen. Details finden Sie in "Beispiel 1" unter Test-IRMConfiguration.

  • Verfassen Sie eine neue Nachricht in Outlook im Web, und schützen Sie sie durch IRM, indem Sie im erweiterten Menü (Symbol weitere Optionen) die Option Berechtigungen festlegenauswählen.