Outlook 保护规则
适用于:Exchange Server 2013
每天,信息人员都通过电子邮件传递敏感信息,包括财务报表和数据、客户和员工信息、机密的产品信息和规格信息等。 在 Microsoft Exchange Server 2013、Microsoft Outlook 和 Microsoft Office Outlook Web App 中,用户可以通过应用 Active Directory Rights Management Services (AD RMS) 权限策略模板,将信息权限管理 (IRM) 保护应用于邮件。 这要求在组织中部署 AD RMS。 有关 AD RMS 的详细信息,请参阅 Active Directory 权限管理服务。
但是,当由用户做出决定时,邮件可能会在没有 IRM 保护的情况下以明文形式发送。 在使用电子邮件作为托管服务的组织中,存在信息泄漏的风险,因为邮件离开客户端后将经过路由并存储在组织边界以外。 尽管电子邮件托管公司可能会有定义明确的手续和检查来帮助降低信息泄漏的风险,但在邮件离开组织的边界后,组织就会失去对信息的控制。 Outlook 保护规则可以帮助防止这种类型的信息泄漏。
有关与管理 IRM 相关的管理任务,请参阅 信息权限管理过程。
Outlook 中的自动 IRM 保护
在 Exchange 2013 中,Outlook 保护规则通过自动将 IRM 保护应用于 Exchange 2013 中的邮件来帮助你的组织防止出现信息泄漏的风险。 邮件在离开 Outlook 客户端之前受 IRM 保护。 这种保护也适用于任何使用受支持的文件格式的附件。
在 Outlook 服务器上创建 Exchange 2013 保护规则时,会使用 Exchange Web 服务将这些规则自动分发到 Outlook 2010。 要对 Outlook 2010 应用规则,指定的 AD RMS 权限策略模板必须能够在用户的计算机上可用。
重要
如果将权限策略模板从 AD RMS 服务器中删除,必须修改使用该删除模板的任何 Outlook 保护规则。 如果 Outlook 保护规则继续使用已删除的权限策略模板,并在组织中启用传输解密,则解密代理将无法解密使用不再可用的模板保护的邮件。 如果将传输解密配置为必要操作,那么传输服务将拒绝邮件并向发件人发送未送达报告 (NDR)。 有关传输解密的详细信息,请参阅传输解密。 有关 AD RMS 权限策略模板的更多详细信息,请参阅 AD RMS 策略模板注意事项。
在 Windows Server 2008 及更高版本中,可以存档而不是删除权限策略模板。 存档的模板仍然可以用于许可证内容,但是如果创建或修改 Outlook 保护规则,存档的模板则不会包含在模板列表中。
Outlook 保护规则类似于传输保护规则。 两者均根据邮件条件进行应用,并且两者都通过应用 AD RMS 权限保护模板来保护邮件。 但是,传输保护规则由传输规则代理应用到邮箱服务器上的传输服务。 Outlook 保护规则在邮件从用户的计算机中发出之前应用到 Outlook 2010。 由 Outlook 保护规则保护的邮件会在应用了 IRM 保护的情况下进入传输管道。 此外,由 Outlook 保护规则保护的邮件也会以加密格式保存在发件人邮箱的"已发送邮件"文件夹中。
注意
如果在 Exchange 组织中启用了传输解密,则传输服务上的解密代理可以解密组织中使用 AD RMS 服务器由 Outlook 保护规则进行 IRM 保护的邮件。 传输服务上安装的传输规则代理和其他传输代理可以检查邮件内容。 有关传输解密的详细信息,请参阅传输解密。
使用传输保护规则时,不会向用户显示邮件在传输服务上是否自动受到保护。 将 Outlook 保护规则应用于 Outlook 2010 中的邮件时,用户就会知道邮件是否受到 IRM 保护。 如果需要,用户还可以选择其他的权限策略模板。
创建 Outlook 保护规则
要创建 Outlook 保护规则,必须使用 Exchange 命令行管理程序中的 New-OutlookProtectionRule cmdlet。 有关详细说明,请参阅 创建 Outlook 保护规则。
创建规则时,可以通过删除 IRM 保护或应用该规则中指定的 AD RMS 权限策略模板以外的权限策略模板来指定用户是否覆盖它。 如果用户替代由 Outlook 保护规则应用的 IRM 保护,Outlook 2010 会将 X-MS-Outlook-Client-Rule-Overridden
标头插入邮件中,以便确定该规则已被用户重写。
Outlook 保护规则中的谓词
Outlook 保护规则允许您使用三个谓词以自动在 Outlook 2010 中应用 IRM 保护:
FromDepartment: FromDepartment 谓词在 Active Directory 中查找发件人的部门属性,如果发件人的部门与规则中指定的部门匹配,则会自动 IRM 保护邮件。 例如,可以创建 Outlook 保护规则以自动保护"研究"部门发送的所有邮件。
SentTo:组织可能需要保护发送给某些敏感收件人的邮件,例如“所有公司”或“财务”通讯组。 使用 SentTo 谓词,可以创建 Outlook 保护规则,以自动 IRM 保护发送到指定收件人的邮件。
SentToScope: SentToScope 谓词允许创建 Outlook 保护规则,以自动 IRM 保护组织内部或组织外部发送的邮件。 例如,可以将 SentToScope 谓词与 FromDepartment 谓词结合使用,以保护特定部门发送给内部用户的 IRM 保护消息。