Управление правами доступа к данным при гибридных развертываниях Exchange
Сводка. Принципы IRM в гибридной среде Exchange и настройка управления правами на доступ к данным для работы с Exchange Online и локальными серверами Exchange Server.
Управление правами на доступ к данным (IRM) обеспечивает защиту от утечки конфиденциальной информации благодаря постоянной защите электронных сообщений и вложений в оперативном и автономном режимах. Как локальная организация Exchange, так и Exchange Online в Microsoft 365 или Office 365 для предприятий поддерживают IRM. Тем не менее между этими двумя реализациями есть различия, и необходимо настроить IRM в организации Exchange Online, прежде чем ее смогут использовать пользователи в этой организации.
IRM использует службы Active Directory Rights Management (AD RMS), которые входят в состав Windows Server 2008 и более поздних версий. AD RMS позволяют пользователям ограничивать права доступа к содержимому (например, электронным сообщениям и вложениям), а затем определять, как оно используется и кому отправляется. Пользователи могут указать шаблоны, чтобы определить способ использования содержимого. Например, чтобы запретить пересылать электронное сообщение другим получателям или копировать информацию в сообщении.
Дополнительные сведения о службе IRM в Exchange 2010 см. в статье: Общие сведения об управлении правами на доступ к данным.
Дополнительные сведения об IRM в Exchange Server см. в статье Управление правами на доступ к данным.
Дополнительные сведения о службе службы управления правами Active Directory см. в разделе Общие сведения о службе управления правами Active Directory.
Функции IRM, доступные в локальной организации Exchange, могут отличаться от функций, доступных в вашей Exchange Online организации. В таблице ниже приведен обзор функций, доступных в каждой из организаций. (Дополнительные сведения об этих функциях см. в статье Управление правами на доступ к данным)
Доступные функции IRM
Возможность | Доступна в Exchange 2007 и более ранних версиях | Доступно в Exchange 2010 | Доступна в Exchange Online, а также Exchange 2013 и более поздних версиях |
---|---|---|---|
Защита сообщений вручную в Outlook | Да | Да | Да |
Защита сообщений вручную в Outlook Web App | Нет | Да | Да |
Просмотр сообщений с защитой IRM в Outlook | Да | Да | Да |
Просмотр сообщений с защитой IRM в Outlook Web App | Нет | Да | Да |
Агент предварительного лицензирования IRM | Да | Да | Да |
Шаблоны политики RMS | Нет | Да | Да |
Расшифровка транспорта | Нет | Да | Да |
Расшифровка отчета журнала | Нет | Да | Да |
Расшифровка поиска и обнаружения Exchange | Нет | Да | Да |
Правила автоматической защиты Outlook | Нет | Нет | Да |
Правила автоматической защиты транспорта | Нет | Да | Да |
Exchange использует серверы AD RMS в лесу Active Directory, в котором установлен сервер Exchange Server. Для локальных серверов Exchange Server используется локальный сервер AD RMS. Для организации Exchange Online используются серверы AD RMS, обслуживаемые в Центрах обработки данных Microsoft 365 и Office 365. Конфигурация служб AD RMS, которую использует каждая организация Exchange, не зависит от любого другого развертывания AD RMS.
Конфигурация AD RMS и, следовательно, конфигурация IRM не реплицируются автоматически между локальной организацией Exchange и Exchange Online организацией. Все шаблоны AD RMS, определенные вами, не копируются автоматически в Exchange Online организацию. Если вы хотите, чтобы те же шаблоны AD RMS были доступны в Exchange Online организации, необходимо вручную экспортировать шаблоны из локальной организации и применить их в microsoft 365 или Office 365 организации. См . раздел Настройка IRM в гибридных развертываниях далее в этом разделе.
Конфигурация службы IRM, применяемая к пользователю, зависит от используемого клиента и расположения почтового ящика пользователя. В следующей таблице показан сервер AD RMS, с которым будет работать пользователь.
Активный сервер службы управления правами Active Directory
Client | Локальный почтовый ящик | Почтовый ящик Exchange Online |
---|---|---|
Клиенты Outlook для настольных компьютеров | Локальная служба AD RMS | Локальная служба AD RMS |
Outlook в Интернете | Локальная служба AD RMS | AD RMS для Exchange Online |
Устройство ActiveSync | Локальная служба AD RMS | AD RMS для Exchange Online |
Не исключено, что, в зависимости от конфигурации службы управления правами Active Directory в локальной организации и организации Exchange Online, для пользователя, который использует Outlook 2007 и Outlook в Интернете могут отображаться другие шаблоны службы управления правами Active Directory. По этой причине, мы настоятельно рекомендуем применять те же шаблоны как для локальной сети организации и Exchange.
Не должно быть никакой разницы в IRM для Outlook пользователи, независимо от того, регулируется ли их ящик находится в локальной или Exchange в сети организации.
Когда установлена надстройка управления правами для Internet Explorer, пользователи Outlook в Интернете, почтовый ящик которых размещен на локальном сервере Exchange, могут только открывать электронные сообщения, защищенные при помощи IRM. Они не могут ответить или создать защищенные таким образом сообщения.
Пользователь Outlook в Интернете, почтовый ящик которого находится в Exchange Online, смогут открывать защищенные сообщения электронной почты без каких-либо дополнительных программ и могут ответить и создать новые защищенные правами сообщения.
На локальных серверах Exchange используется агент предварительного лицензирования службы управления правами Active Directory для расшифровки сообщений с защищенными правами на доступ; таким образом, пользователям не требуется предоставлять учетные данные при открытии этих сообщений. Локальный сервер Exchange связывается с локальным сервером AD RMS для проверки политик и прав пользователя и для запроса авторизации на расшифровку сообщения.
В организации Exchange Online предоставляются несколько дополнительных функций, связанных с IRM, которые используют AD RMS в Exchange Online. Эти функции, такие как расшифровка отчетов журнала, делают содержимое сообщений с защищенными правами на доступ открытым для служб Exchange для дополнительной обработки. Например, расшифрованное содержимое занесенного в журнал сообщения можно сохранить, наряду с первоначальным сообщением с защищенными правами на доступ, для более облегченного обнаружения. Кроме того, шаблоны IRM могут быть автоматически применены к сообщениям с помощью правил защиты Outlook или правил транспорта для соответствия сообщений политике организации по защите данных.
Служба IRM в системе Exchange основана на службе управления правами Active Directory, развернутой в лесу Active Directory, в котором находится сервер Exchange. Конфигурации AD RMS не будут автоматически синхронизированы между локальной организацией и Exchange Online. Необходимо вручную экспортировать конфигурации AD RMS, известные в качестве доверенного домена публикации (TPD), из локального сервера AD RMS, и импортировать эти настройки в организации Exchange Online. Доверенный домен содержит конфигурации AD RMS, включая шаблоны, которые организация Exchange Online должна использовать для управления правами на доступ к данным.
Дополнительные сведения см. в разделе Особенности доверенного домена публикации службы управления правами Active Directory.
Помимо применения локальной конфигурации AD RMS к Exchange Online организации, необходимо убедиться в том, что серверы AD RMS и клиенты ActiveSync вне локальной сети могут контактировать Outlook. Это необходимо, чтобы для этих клиентов стали доступными сообщения с защищенными правами на доступ за пределами локальной сети.
После настройки локальной сети и экспорта данных, необходимо настроить Exchange Online организацию с помощью импорта TPD данных и включения IRM доверенного домена.
Примечание
Всякий раз, когда вы изменяете локальную конфигурацию AD RMS, необходимо вручную применить новую конфигурацию в организации Exchange Online. Для этого экспортируйте данные TPD с локального сервера AD RMS и импортируйте их в организацию Exchange Online.
Если вы используете IRM в локальной организации Exchange и хотите, чтобы возможности IRM также стали доступны для пользователей Exchange Online, выполните указанные ниже действия.
Настройте локальный сервер Active Directory службы управления правами (AD RMS).
Включите IRM в организации Exchange Online.
Распространите импортированные шаблоны AD RMS на пользователей организации Exchange Online.
Чтобы настроить IRM в гибридной среде, необходимо использовать Windows PowerShell для доступа к локальному серверу AD RMS. Дополнительные сведения см. в статье Использование Windows PowerShell для администрирования AD RMS
Чтобы экспортировать данные доверенного домена публикации (TPD) с локального сервера AD RMS и настроить доступ к серверу AD RMS для внешних клиентов, выполните следующие действия.
Экспортируйте данные TPD из локальной организации. Дополнительные сведения см. в: Экспорт доверенного домена публикации
Настройте доступ к серверам AD RMS от внешних клиентов. Дополнительные сведения см. в разделе Добавление URL-адреса кластера экстрасети.
После экспорта данных TPD с локальных серверов AD RMS необходимо импортировать их в организацию Exchange Online, а затем включить функции управления правами на доступ к данным (IRM).
Импортируйте данные TPD в организацию Exchange Online.
Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<Path to exported TPD file>'))
Включите IRM в организации Exchange Online.
Set-IRMConfiguration -InternalLicensingEnabled $True
Включив IRM в организации Exchange Online, необходимо распространить импортированные шаблоны AD RMS. Шаблоны AD RMS используют следующие пользователи и функции Exchange Online:
Пользователи Outlook в Интернете
Пользователи Exchange ActiveSync
Правила транспорта
Расшифровка отчета журнала
Правила защиты Outlook
В организации Exchange Online получите список шаблонов AD RMS.
Get-RMSTemplate -Type All
Распространите шаблоны AD RMS среди пользователей и функций организации Exchange Online.
Set-RMSTemplate <template name> -Type Distributed
Примечание
Невозможно изменить шаблон "Не пересылать" службы AD RMS.
Повторите шаг 2 для каждого шаблона AD RMS, который необходимо распространить.
Пользователи Outlook в Интернете должны иметь возможность применять шаблоны AD RMS к новым сообщениям. Пользователи Outlook в Интернете и Exchange ActiveSync должны иметь возможность читать сообщения, к которым применены шаблоны AD RMS. Кроме того, все шаблоны AD RMS, импортированные из локальной организации, будут отображены в списке при выполнении командлета Get-RMSTemplate.
Выполните следующую команду в организации Exchange Online:
Get-RMSTemplate
Дополнительные сведения см. в статье Управление правами на доступ к данным в Outlook Web App