Управление правами доступа к данным при гибридных развертываниях Exchange

Сводка. Принципы IRM в гибридной среде Exchange и настройка управления правами на доступ к данным для работы с Exchange Online и локальными серверами Exchange Server.

Управление правами на доступ к данным (IRM) обеспечивает защиту от утечки конфиденциальной информации благодаря постоянной защите электронных сообщений и вложений в оперативном и автономном режимах. Как локальная организация Exchange, так и Exchange Online в Microsoft 365 или Office 365 для предприятий поддерживают IRM. Тем не менее между этими двумя реализациями есть различия, и необходимо настроить IRM в организации Exchange Online, прежде чем ее смогут использовать пользователи в этой организации.

IRM использует службы Active Directory Rights Management (AD RMS), которые входят в состав Windows Server 2008 и более поздних версий. AD RMS позволяют пользователям ограничивать права доступа к содержимому (например, электронным сообщениям и вложениям), а затем определять, как оно используется и кому отправляется. Пользователи могут указать шаблоны, чтобы определить способ использования содержимого. Например, чтобы запретить пересылать электронное сообщение другим получателям или копировать информацию в сообщении.

Дополнительные сведения о службе IRM в Exchange 2010 см. в статье: Общие сведения об управлении правами на доступ к данным.

Дополнительные сведения об IRM в Exchange Server см. в статье Управление правами на доступ к данным.

Дополнительные сведения о службе службы управления правами Active Directory см. в разделе Общие сведения о службе управления правами Active Directory.

Различия между IRM в локальной среде Exchange и Exchange Online

Функции IRM, доступные в локальной организации Exchange, могут отличаться от функций, доступных в вашей Exchange Online организации. В таблице ниже приведен обзор функций, доступных в каждой из организаций. (Дополнительные сведения об этих функциях см. в статье Управление правами на доступ к данным)

Доступные функции IRM

Возможность Доступна в Exchange 2007 и более ранних версиях Доступно в Exchange 2010 Доступна в Exchange Online, а также Exchange 2013 и более поздних версиях
Защита сообщений вручную в Outlook Да Да Да
Защита сообщений вручную в Outlook Web App Нет Да Да
Просмотр сообщений с защитой IRM в Outlook Да Да Да
Просмотр сообщений с защитой IRM в Outlook Web App Нет Да Да
Агент предварительного лицензирования IRM Да Да Да
Шаблоны политики RMS Нет Да Да
Расшифровка транспорта Нет Да Да
Расшифровка отчета журнала Нет Да Да
Расшифровка поиска и обнаружения Exchange Нет Да Да
Правила автоматической защиты Outlook Нет Нет Да
Правила автоматической защиты транспорта Нет Да Да

IRM в гибридных развертываниях

Exchange использует серверы AD RMS в лесу Active Directory, в котором установлен сервер Exchange Server. Для локальных серверов Exchange Server используется локальный сервер AD RMS. Для организации Exchange Online используются серверы AD RMS, обслуживаемые в Центрах обработки данных Microsoft 365 и Office 365. Конфигурация служб AD RMS, которую использует каждая организация Exchange, не зависит от любого другого развертывания AD RMS.

Конфигурация AD RMS и, следовательно, конфигурация IRM не реплицируются автоматически между локальной организацией Exchange и Exchange Online организацией. Все шаблоны AD RMS, определенные вами, не копируются автоматически в Exchange Online организацию. Если вы хотите, чтобы те же шаблоны AD RMS были доступны в Exchange Online организации, необходимо вручную экспортировать шаблоны из локальной организации и применить их в microsoft 365 или Office 365 организации. См . раздел Настройка IRM в гибридных развертываниях далее в этом разделе.

Взаимодействие с пользователем

Конфигурация службы IRM, применяемая к пользователю, зависит от используемого клиента и расположения почтового ящика пользователя. В следующей таблице показан сервер AD RMS, с которым будет работать пользователь.

Активный сервер службы управления правами Active Directory

Client Локальный почтовый ящик Почтовый ящик Exchange Online
Клиенты Outlook для настольных компьютеров Локальная служба AD RMS Локальная служба AD RMS
Outlook в Интернете Локальная служба AD RMS AD RMS для Exchange Online
Устройство ActiveSync Локальная служба AD RMS AD RMS для Exchange Online

Не исключено, что, в зависимости от конфигурации службы управления правами Active Directory в локальной организации и организации Exchange Online, для пользователя, который использует Outlook 2007 и Outlook в Интернете могут отображаться другие шаблоны службы управления правами Active Directory. По этой причине, мы настоятельно рекомендуем применять те же шаблоны как для локальной сети организации и Exchange.

Не должно быть никакой разницы в IRM для Outlook пользователи, независимо от того, регулируется ли их ящик находится в локальной или Exchange в сети организации.

Когда установлена надстройка управления правами для Internet Explorer, пользователи Outlook в Интернете, почтовый ящик которых размещен на локальном сервере Exchange, могут только открывать электронные сообщения, защищенные при помощи IRM. Они не могут ответить или создать защищенные таким образом сообщения.

Пользователь Outlook в Интернете, почтовый ящик которого находится в Exchange Online, смогут открывать защищенные сообщения электронной почты без каких-либо дополнительных программ и могут ответить и создать новые защищенные правами сообщения.

Функциональные возможности сервера

На локальных серверах Exchange используется агент предварительного лицензирования службы управления правами Active Directory для расшифровки сообщений с защищенными правами на доступ; таким образом, пользователям не требуется предоставлять учетные данные при открытии этих сообщений. Локальный сервер Exchange связывается с локальным сервером AD RMS для проверки политик и прав пользователя и для запроса авторизации на расшифровку сообщения.

В организации Exchange Online предоставляются несколько дополнительных функций, связанных с IRM, которые используют AD RMS в Exchange Online. Эти функции, такие как расшифровка отчетов журнала, делают содержимое сообщений с защищенными правами на доступ открытым для служб Exchange для дополнительной обработки. Например, расшифрованное содержимое занесенного в журнал сообщения можно сохранить, наряду с первоначальным сообщением с защищенными правами на доступ, для более облегченного обнаружения. Кроме того, шаблоны IRM могут быть автоматически применены к сообщениям с помощью правил защиты Outlook или правил транспорта для соответствия сообщений политике организации по защите данных.

Настройка IRM при гибридном развертывании

Служба IRM в системе Exchange основана на службе управления правами Active Directory, развернутой в лесу Active Directory, в котором находится сервер Exchange. Конфигурации AD RMS не будут автоматически синхронизированы между локальной организацией и Exchange Online. Необходимо вручную экспортировать конфигурации AD RMS, известные в качестве доверенного домена публикации (TPD), из локального сервера AD RMS, и импортировать эти настройки в организации Exchange Online. Доверенный домен содержит конфигурации AD RMS, включая шаблоны, которые организация Exchange Online должна использовать для управления правами на доступ к данным.

Дополнительные сведения см. в разделе Особенности доверенного домена публикации службы управления правами Active Directory.

Помимо применения локальной конфигурации AD RMS к Exchange Online организации, необходимо убедиться в том, что серверы AD RMS и клиенты ActiveSync вне локальной сети могут контактировать Outlook. Это необходимо, чтобы для этих клиентов стали доступными сообщения с защищенными правами на доступ за пределами локальной сети.

После настройки локальной сети и экспорта данных, необходимо настроить Exchange Online организацию с помощью импорта TPD данных и включения IRM доверенного домена.

Примечание

Всякий раз, когда вы изменяете локальную конфигурацию AD RMS, необходимо вручную применить новую конфигурацию в организации Exchange Online. Для этого экспортируйте данные TPD с локального сервера AD RMS и импортируйте их в организацию Exchange Online.

Как настроить IRM при гибридном развертывании Exchange

Если вы используете IRM в локальной организации Exchange и хотите, чтобы возможности IRM также стали доступны для пользователей Exchange Online, выполните указанные ниже действия.

  1. Настройте локальный сервер Active Directory службы управления правами (AD RMS).

  2. Включите IRM в организации Exchange Online.

  3. Распространите импортированные шаблоны AD RMS на пользователей организации Exchange Online.

Настройка локальных серверов AD RMS

Чтобы настроить IRM в гибридной среде, необходимо использовать Windows PowerShell для доступа к локальному серверу AD RMS. Дополнительные сведения см. в статье Использование Windows PowerShell для администрирования AD RMS

Чтобы экспортировать данные доверенного домена публикации (TPD) с локального сервера AD RMS и настроить доступ к серверу AD RMS для внешних клиентов, выполните следующие действия.

  1. Экспортируйте данные TPD из локальной организации. Дополнительные сведения см. в: Экспорт доверенного домена публикации

  2. Настройте доступ к серверам AD RMS от внешних клиентов. Дополнительные сведения см. в разделе Добавление URL-адреса кластера экстрасети.

Как включить IRM в организации Exchange Online?

После экспорта данных TPD с локальных серверов AD RMS необходимо импортировать их в организацию Exchange Online, а затем включить функции управления правами на доступ к данным (IRM).

  1. Импортируйте данные TPD в организацию Exchange Online.

    Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<Path to exported TPD file>'))
    
  2. Включите IRM в организации Exchange Online.

    Set-IRMConfiguration -InternalLicensingEnabled $True
    

Как распространить шаблоны AD RMS в организации Exchange Online?

Включив IRM в организации Exchange Online, необходимо распространить импортированные шаблоны AD RMS. Шаблоны AD RMS используют следующие пользователи и функции Exchange Online:

  • Пользователи Outlook в Интернете

  • Пользователи Exchange ActiveSync

  • Правила транспорта

  • Расшифровка отчета журнала

  • Правила защиты Outlook

  1. В организации Exchange Online получите список шаблонов AD RMS.

    Get-RMSTemplate -Type All
    
  2. Распространите шаблоны AD RMS среди пользователей и функций организации Exchange Online.

    Set-RMSTemplate <template name> -Type Distributed
    

    Примечание

    Невозможно изменить шаблон "Не пересылать" службы AD RMS.

  3. Повторите шаг 2 для каждого шаблона AD RMS, который необходимо распространить.

Как проверить, что это работает?

Пользователи Outlook в Интернете должны иметь возможность применять шаблоны AD RMS к новым сообщениям. Пользователи Outlook в Интернете и Exchange ActiveSync должны иметь возможность читать сообщения, к которым применены шаблоны AD RMS. Кроме того, все шаблоны AD RMS, импортированные из локальной организации, будут отображены в списке при выполнении командлета Get-RMSTemplate.

Выполните следующую команду в организации Exchange Online:

Get-RMSTemplate

Дополнительные сведения см. в статье Управление правами на доступ к данным в Outlook Web App