日记报告解密

适用于：Exchange Server 2013

在 Microsoft Exchange Server 2013 中，信息权限管理 (IRM) 允许Microsoft Outlook 2010及更高版本以及 Microsoft Office Outlook Web App 用户保护其邮件。 可以创建 Outlook 保护规则，以便在邮件从 Outlook 2010 客户端发送之前自动将 IRM 保护应用到邮件。 此外，还可以创建传输保护规则，以对符合规则条件的正在传送中的邮件应用 IRM 保护。

有关 Outlook 保护规则的详细信息，请参阅 Outlook 保护规则。

标准加密解决方案的限制

如果组织使用 S/MIME 等传统解决方案加密消息，则记录管理员将无法检查或搜索加密的内容。 存档包含不可访问和不可搜索内容的加密消息可能不符合业务、法规或合规性要求。 当遇到电子发现 (电子数据展示) 请求时，无法解密、搜索和显示加密邮件中的内容可能是一项挑战，否则可能会使组织面临法律和财务风险。

此外，组织的邮件策略可能要求解密日记邮件，以便电子数据展示工具、自动化流程或访问日记邮箱的记录管理员可以访问内容。 Exchange 2010 中的日记报表解密可以帮助你满足这些要求。

有关日记的详细信息，请参阅日记。

日记报告解密

日记报告解密允许在日记报告中保存受 IRM 保护的邮件的明文副本，以及受 IRM 保护的原始邮件。 如果受 IRM 保护的邮件包含受 Active Directory Rights Management Services (AD RMS) 群集保护的任何受支持的附件，则附件也会解密。

重要

若要使用日记报告解密，必须具有 exchange Enterprise 客户端访问许可证 (CAL) 。 日记报表解密仅支持高级日记功能。

解密由日记报告解密代理执行，该代理是一种以符合性为中心的传输代理。 日记报告解密代理对 OnCateizedMessage 事件触发。 使用传输保护规则保护传输中的邮件已由加密代理加密，该代理在到达日记报告解密代理之前会触发 OnRoutedMessage 事件。 日记报告解密代理对这些消息进行解密。

注意

在 Exchange 2013 中，日记报告解密代理是内置代理。 内置代理不包含在 Get-TransportAgent cmdlet 所返回的代理列表中。 有关详细信息，请参阅 传输代理。

该代理解密以下类型的受 IRM 保护的邮件：

• 由 Outlook Web App 中的用户进行 IRM 保护的邮件。
• 由 Outlook 2010 中的用户进行 IRM 保护的邮件。
• 在 Outlook 2010 中使用 Outlook 保护规则自动受 IRM 保护的邮件。
• 使用传输保护规则在传送过程中自动受 IRM 保护的邮件。

重要

日记报告解密代理仅对组织中受 AD RMS 服务器 IRM 保护的邮件进行解密。 如果附件在邮件 (时不受保护，因此) 没有相同的使用许可证，或者 IRM 保护的文件附加到未受保护的邮件，则代理不会解密附件。

配置日志报告解密

使用 Exchange 命令行管理程序中的 Set-IRMConfiguration cmdlet 配置日记报告解密。 但是，在配置日记报告解密之前，必须向 Exchange 2013 服务器分配解密受 AD RMS 服务器 IRM 保护的内容的权限。 为此，请将联合邮箱添加到组织的 AD RMS 群集上配置的超级用户组。 有关详细信息，请参阅将联合身份验证邮箱添加到 AD RMS 超级用户组。

重要

在跨林 AD RMS 部署中（即每个林中都部署有 AD RMS 群集），必须将联合邮箱添加到每个林中 AD RMS 群集的超级用户组，以使 Exchange 2013 传输服务器可解密针对每个 AD RMS 群集进行保护的邮件。

有关如何配置日志报告解密的信息，请参阅启用或禁用日记报告解密。

启用日记报告解密后，日记邮箱可能包含包含未加密表单中敏感信息的日记报告。 作为最佳做法，我们建议密切监视对日记邮箱的访问，并且仅限于授权的个人。 即使未对电子邮件使用 IRM 保护，这也是最佳做法。