Шифрование почты Exchange Online с помощью AD RMS

  • Статья

Чтобы предотвратить утечку информации, служба Exchange Online использует функцию управления правами на доступ к данным (IRM), которая обеспечивает защиту сообщений и вложений в сети и вне сети. При необходимости можно настроить Exchange Online IRM для использования службы локальная служба Active Directory Rights Management (AD RMS) для удовлетворения требований организации. Это нетипичный сценарий. Если у вас нет требования к использованию AD RMS, используйте вместо этого Шифрование сообщений Microsoft Purview.

Защиту IRM могут применять пользователи (в Microsoft Outlook или Outlook в Интернете) и администраторы (с помощью правил защиты транспорта или правил защиты Outlook). IRM помогает администраторам и пользователям указывать, кто может открывать, пересылать, печатать и копировать конфиденциальные данные из электронной переписки.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Изменения в работе IRM с шифрованием сообщений и идентификатором Microsoft Entra

С сентября 2017 г. при настройке Шифрование сообщений Microsoft Purview для организации вы также настроили IRM для использования с Azure Rights Management (Azure RMS). Вы больше не настраиваете IRM с Azure RMS отдельно. Вместо этого шифрование сообщений и управление правами работают без проблем. Дополнительные сведения о Шифрование сообщений Microsoft Purview см. в разделе Часто задаваемые вопросы о шифровании сообщений. Если вы готовы приступить к работе с Шифрование сообщений Microsoft Purview в организации, см. статью Настройка Шифрование сообщений Microsoft Purview.

Взаимодействие IRM с Exchange Online и службами Active Directory Rights Management

Для защиты IRM в Exchange Online используются локальные службы Active Directory Rights Management (AD RMS), технология защиты информации из Windows Server 2008 и более поздних версий. К сообщению электронной почты применяется шаблон политики прав AD RMS. Права прикрепляются к сообщению, поэтому защита обеспечивается как в сети, так и вне ее, за пределами брандмауэра организации и внутри него.

Пользователи могут определить разрешения получателей, применив шаблон к сообщению электронной почты. Применение политики прав AD RMS позволяет контролировать пересылку, сохранение и печать сообщения, а также извлечение сведений из него.

Для защиты IRM можно использовать сервер AD RMS под управлением Windows Server 2008 или более поздней версии. Этот сервер можно использовать для управления шаблонами политики прав AD RMS в облачной организации. Сервер AD RMS также нужен, чтобы пользователи могли применять защиту IRM к отправляемым сообщениям. Дополнительные сведения см. в разделе Configure IRM to use an on-premises AD RMS server.

После включения защиты IRM с ее помощью можно защищать сообщения следующим образом.

  • Пользователи могут вручную применить шаблон, используя Outlook и Outlook в Интернете. Пользователи могут применить шаблон политики прав AD RMS к сообщению электронной почты, выбрав его из списка Настройка разрешений. Когда пользователь отправляет сообщение с защитой IRM, все прикрепленные файлы поддерживаемых форматов получают ту же защиту IRM, что и сообщение. Защита IRM применяется к файлам Word, Excel и PowerPoint, а также XPS-файлам и вложенным сообщениям электронной почты.

  • Администраторы могут использовать правила защиты транспорта для автоматического применения защиты IRM в Outlook и Outlook в Интернете. Вы можете создать правила защиты транспорта для защиты сообщений с помощью IRM. Настройте действие правила защиты транспорта, чтобы применять шаблон политики прав AD RMS к сообщениям, отвечающим условию правила. После включения IRM шаблоны политики прав AD RMS организации можно использовать с действием правила защиты транспорта под названием Применить защиту прав к сообщению с.

  • Администраторы могут создавать правила защиты Outlook. Правила защиты Outlook автоматически применяют защиту IRM к сообщениям в Outlook 2010 (но не Outlook в Интернете) на основе таких свойств, как отдел отправителя, адресаты сообщения и отношение получателей к организации. Дополнительные сведения см. в разделе Create an Outlook Protection Rule.