Exchange 混合部署中的 IRM
摘要:IRM 在 Exchange 混合环境中的工作方式,以及如何配置 IRM 以在 Exchange Online 和内部部署 Exchange 服务器之间工作。
信息权限管理 (IRM) 通过对电子邮件和附件提供持久联机和脱机保护来帮助防止敏感信息泄露。 在 Microsoft 365 或适用于企业的 Office 365 中,Exchange 本地组织和Exchange Online都支持 IRM。 但是,这两种实现之间有一些不同;您必须在 Exchange Online 组织中配置 IRM,然后该组织中的用户才能使用该功能。
IRM 将使用作为 Windows Server 2008 及更高版本的一个组件的 Active Directory Rights Management Services (AD RMS)。 AD RMS 允许用户创建受权限保护的内容,如电子邮件和附件,并控制内容的使用方式以及分发对象。 用户可以指定模板以确定内容的使用方式。 例如,用户可以指定不能将某封电子邮件转发给其他收件人,或不能复制邮件中的信息。
进一步了解 Exchange 2010 中的 IRM:Understanding Information Rights Management(了解信息权限管理)。
在信息权限管理中详细了解 Exchange Server中的 IRM。
有关 AD RMS 的详细信息,请参阅 Active Directory 权限管理服务。
IRM 在 Exchange 内部部署和 Exchange Online 之中的差别
内部部署 Exchange 组织中提供的 IRM 功能可能不同于 Exchange Online 组织中提供的功能。 下表汇总了在每个组织中可用的功能。 (有关这些功能的详细信息,请参阅: 信息权限管理)
可用的 IRM 功能
| 功能 | 在 Exchange 2007 及之前版本中可用 | 在 Exchange 2010 中是否可用 | 在 Exchange Online 和 Exchange 2013 及更高版本中可用 |
|---|---|---|---|
| 手动保护 Outlook 中的邮件 | 是 | 是 | 是 |
| 手动保护 Outlook Web App 中的邮件 | 否 | 是 | 是 |
| 查看 Outlook 中受 IRM 保护的邮件 | 是 | 是 | 是 |
| 查看 Outlook Web App 中受 IRM 保护的邮件 | 否 | 是 | 是 |
| IRM 预许可代理 | 是 | 是 | 是 |
| RMS 策略模板 | 否 | 是 | 是 |
| 传输解密 | 否 | 是 | 是 |
| 日记报告解密 | 否 | 是 | 是 |
| Exchange 搜索和发现解密 | 否 | 是 | 是 |
| 自动 Outlook 保护规则 | 否 | 否 | 是 |
| 自动传输保护规则 | 否 | 是 | 是 |
混合部署中的 IRM
Exchange 将使用安装有 Exchange 服务器的 Active Directory 林中的 AD RMS 服务器。 对于内部部署 Exchange 服务器,使用内部部署 AD RMS 服务器。 对于Exchange Online组织,将使用在 Microsoft 365 和 Office 365 数据中心内维护的 AD RMS 服务器。 每个 Exchange 组织使用的 AD RMS 配置独立于任何其他 AD RMS 部署。
AD RMS 配置不会在内部部署 Exchange 组织和 Exchange Online 组织之间自动进行复制,因而 IRM 配置也是如此。 所定义的任何 AD RMS 模板不会自动复制到 Exchange Online 组织。 如果希望同一 AD RMS 模板在Exchange Online组织中可用,则必须手动从本地组织导出模板,并将其应用于 Microsoft 365 或 Office 365 组织。 请参阅本主题后面的在混合部署中配置 IRM。
用户体验
应用于用户的 IRM 配置取决于用户使用的客户端以及用户邮箱的位置。 下表列出了用户可使用的 AD RMS 服务器。
Active AD RMS 服务器
| Client | 内部部署邮箱 | Exchange Online 邮箱 |
|---|---|---|
| Outlook 桌面客户端 | 内部部署 AD RMS | 内部部署 AD RMS |
| Web 上的 Outlook | 内部部署 AD RMS | Exchange Online AD RMS |
| ActiveSync 设备 | 内部部署 AD RMS | Exchange Online AD RMS |
根据在内部部署和基于 Exchange Online 组织中配置的 AD RMS 配置,使用 Outlook 2007 和 Web 上的 Outlook 的用户可能会看到不同的 AD RMS 模板。 因此,我们强烈建议您对内部部署和 Exchange Online 组织应用相同的模板。
对于 Outlook 客户端用户,无论其邮箱是在内部部署组织中还是在 Exchange Online 组织中,其 IRM 体验应该没有任何差别。
邮箱位于 Exchange 本地服务器上的Outlook 网页版用户只能在安装适用于 Internet Explorer 外接程序的权限管理后打开受权限保护的邮件。 他们无法答复或创建新的受权限保护的邮件。
其邮箱位于 Exchange Online 中的 Web 上的 Outlook 用户无需任何附加软件便可打开受权限保护的邮件,并且可以答复和新建受权限保护的邮件。
服务器功能
内部部署 Exchange 服务器使用 AD RMS 预许可代理来解密受权限保护的邮件,这样用户不必提供凭据便可打开这些邮件。 内部部署 Exchange 服务器将联系内部部署 AD RMS 服务器来核查使用策略和权限,并请求授权以解密邮件。
Exchange Online 组织还提供了几个与 IRM 相关的功能,这些功能使用了 Exchange Online AD RMS。 通过这些功能(如日记报告解密),Exchange 服务可对受权限保护的邮件内容进行额外的处理。 例如,可以与原始受权限保护的邮件一起保存已解密的日记邮件内容,以便更有利于发现。 此外,使用 Outlook 保护规则或传输规则,IRM 模板可以自动应用于邮件,以确保邮件符合组织在信息保护方面的策略。
在混合部署中配置 IRM
Exchange 中的 IRM 依赖于在 Exchange 服务器所在的 Active Directory 林中部署的 AD RMS。 AD RMS 配置不会自动在内部部署组织和 Exchange Online 组织之间进行同步。 您必须从内部部署 AD RMS 服务器手动导出已知是受信任发布域 (TPD) 的 AD RMS 配置,并将该配置导入到 Exchange Online 组织中。 TPD 包含 Exchange Online 组织使用 IRM 时所需要的 AD RMS 配置,包括模板。
有关更多信息,请参阅 AD RMS 受信任发布域的注意事项。
除了对 Exchange Online 组织应用内部部署 AD RMS 配置外,您还必须确保内部部署网络之外的 Outlook 和 ActiveSync 客户端能够联系到 AD RMS 服务器。 如果您希望这些客户端能够访问内部部署网络之外的受权限保护的邮件,就必须做到这一点。
配置了内部部署网络并导出了 TPD 数据后,您需要通过导入 TPD 数据并启用 IRM 来配置 Exchange Online 组织。
注意
每当修改内部部署 AD RMS 配置时,都必须手动在 Exchange Online 组织中应用新配置。 为此,请从内部部署 AD RMS 服务器导出 TPD 数据,并将其导入到 Exchange Online 组织中。
如何在 Exchange 混合部署中配置 IRM
如果在内部部署 Exchange 组织中使用 IRM,并且希望 Exchange Online 用户也使用 IRM,则需要执行以下操作:
配置内部部署 Active Directory Rights Management Services (AD RMS) 服务器。
在 Exchange Online 组织中启用 IRM。
将导入的 AD RMS 模板分发给 Exchange Online 组织中的用户。
如何配置内部部署 AD RMS 服务器?
若要在混合部署中配置 IRM,需要使用 Windows PowerShell 来访问内部部署 AD RMS 服务器。 有关详细信息,请参阅使用 Windows PowerShell 管理 AD RMS
执行以下操作,从内部部署 AD RMS 服务器导出受信任的发布域 (TPD) 数据,然后配置外部客户端对 AD RMS 服务器的访问。
从内部部署组织导出 TPD 数据。 有关详细信息,请参阅导出受信任的发布域
配置外部客户端对 AD RMS 服务器的访问。 有关详细信息,请参阅添加 Extranet 群集 URL
如何在 Exchange Online 组织中启用 IRM?
从内部部署 AD RMS 服务器导出 TPD 数据后,需要将这些数据导入到 Exchange Online 组织中,然后启用 IRM。
在 Exchange Online 组织中,导入 TPD 数据。
Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<Path to exported TPD file>'))在 Exchange Online 组织中启用 IRM。
Set-IRMConfiguration -InternalLicensingEnabled $True
如何在 Exchange Online 组织中分发 AD RMS 模板?
在 Exchange Online 组织中启用了 IRM 之后,必须分发导入的 AD RMS 模板。 以下 Exchange Online 用户和功能使用 AD RMS 模板:
Web 上的 Outlook 用户
Exchange ActiveSync 用户
传输规则
日记报告解密
Outlook 保护规则
在 Exchange Online 组织中,检索 AD RMS 模板的列表。
Get-RMSTemplate -Type All将 AD RMS 模板分发给 Exchange Online 组织中的用户和功能。
Set-RMSTemplate <template name> -Type Distributed注意
无法修改"不要转发"AD RMS 模板。
对要分发的每个 AD RMS 模板重复步骤 2。
我如何知道这有效?
Web 上的 Outlook 用户应能够将 AD RMS 模板应用于新邮件。 Web 上的 Outlook 和 Exchange ActiveSync 用户应能够阅读应用了 AD RMS 模板的邮件。 此外,运行 Get-RMSTemplate cmdlet 时,应列出从内部部署组织导入的所有 AD RMS 模板。
在 Exchange Online 组织中运行以下命令:
Get-RMSTemplate
有关详细信息,请参阅:Outlook Web App中的信息权限管理