设置和管理 Exchange Online 中的信息权限管理

  • 项目

适用于: Office 365 for enterprises, Live@edu

上一次修改主题: 2011-11-23

人们经常使用电子邮件来交换敏感信息,例如财务数据、法律合同、机密产品信息、销售报告及规划、患者健康信息或客户和员工信息。因此,邮箱可能会成为大量潜在敏感信息的存储库,信息泄露可能会成为对组织的一种严重威胁。

为防止信息泄露,Exchange Online 包括了信息权限管理 (IRM) 功能,此功能可提供电子邮件和附件的联机和脱机保护。用户可在 Microsoft Office Outlook 或 Outlook Web App 中应用 IRM 保护,管理员可以使用传输规则或 Outlook 保护规则应用 IRM 保护。IRM 可帮助您和您的用户控制可以访问、转发、打印或复制电子邮件中的敏感数据的人员。

  • Exchange Online 中的 IRM
  • 开始之前
  • 步骤 1:从 AD RMS 服务器导出受信任发布域 (TPD)
  • 步骤 2:将 TPD 导入到 Exchange Online
  • 步骤 3:分发 RMS 模板
  • 步骤 4:启用 IRM
  • 启用 IRM 之后会出现什么情况?
  • 管理 IRM

IRM 在 Exchange Online 中的工作原理

Exchange Online IRM 使用 Active Directory Rights Management Services (AD RMS),这是 Windows Server 2008 中的一种信息保护技术。通过将 AD RMS 权限策略模板应用于电子邮件,可将 IRM 保护应用于电子邮件。使用权限会附加到邮件本身,以便在联机和脱机状态下以及在组织的防护墙内部和外部进行保护。

用户可将模板应用于电子邮件,以控制收件人对邮件拥有的权限。通过对邮件应用 RMS 模板,可以控制转发、从邮件提取信息、保存邮件或打印邮件等操作。

返回页首

开始之前

必须在内部部署组织中运行 Windows Server 2008 和 AD RMS 服务器,然后才能为基于云的电子邮件组织实现 IRM。可以使用此内部部署 AD RMS 服务器为基于云的组织管理 RMS 模板。Outlook 还依靠 AD-RMS 服务器来使用户可以向他们发送的邮件应用 IRM 保护。

有关如何部署 AD RMS 的信息,请参阅安装 AD RMS 群集

若要了解如何安装和配置 Windows PowerShell 以及如何连接到服务,请参阅使用 Windows PowerShell

步骤 1:从 AD RMS 服务器导出受信任发布域 (TPD)

第一步是从内部部署 AD RMS 服务器将受信任发布域 (TPD) 导出到 XML 文件。TPD 包含使用 RMS 功能所需的设置:用于对证书和许可证进行签名和加密的服务器许可方证书 (SLC)、用于许可和发布的 URL 以及使用该 TPD 的特定 SLC 创建的 RMS 模板。导入 TPD 时,它在 Exchange Online 中进行存储并受保护。

下面是导入 TPD 的方法:

  1. 打开 Active Directory Rights Management Services 控制台,然后展开 AD RMS 群集。
  2. 在控制台树中,展开“信任策略”,然后单击“受信任的发布域”。
  3. 选择要导出到结果窗格中的域的证书。
  4. 在“操作”窗格中,单击“导出受信任的发布域”。
  5. 在“发布域文件”框中,单击“另存为”将文件保存到本地计算机上的特定位置。键入文件名,并确保指定 .xml 文件扩展名,然后单击“保存”。
  6. 在“密码”和“确认密码”框中,键入将用于对受信任的发布域文件加密的强密码。在将 TPD 导入到基于云的电子邮件组织时,必须指定此密码。
  7. 单击“完成”。

步骤 2:将 TPD 导入到 Exchange Online

将 TPD 导出到 XML 文件之后,必须将其导入到 Exchange Online。导入 TPD 之后,还将从 AD RMS 导入组织的模板。导入第一个 TPD 时,该 TPD 会成为基于云的组织的默认 TPD。如果导入另一个 TPD,则可以使用 Default 开关使其成为可供用户使用的默认 TPD。

若要导入 TPD,请在 Windows PowerShell 中运行以下命令:

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path <path to exported TPD file> -ReadCount 0)) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

您可在 Active Directory Rights Management Services 控制台中获取 ExtranetLicensingUrlIntranetLicensingUrl 参数的值。在控制台树中选择 AD RMS 群集。用于许可的 URL 显示在结果窗格中。当必须对内容进行解密时以及 Exchange Online 需要确定要使用的 TPD 时,电子邮件客户端会使用这些 URL。

当运行此命令时,系统会提示您输入密码。输入您在从 AD RMS 服务器导出 TPD 时指定的密码。

示例   以下命令使用您从 AD RMS 服务器导出并保存到管理员帐户桌面的 XML 文件来导入名为 Exported TPD 的 TPD。Name 参数用于为 TPD 指定名称。

Import-RMSTrustedPublishingDomain -FileData $([byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\ExportTPD.xml -ReadCount 0)) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

返回页首

步骤 3:分发 RMS 模板

导入 TPD 之后,必须确保分发 RMS 模板。分发的模板对 Outlook Web App 用户可见,这些用户随后可将模板应用于电子邮件。

若要查看默认 TPD 中包含的所有模板的列表,请运行以下命令:

Get-RMSTemplate -Type All | fl

如果 Type 参数的值是 Archived,则模板对用户不可见。只有默认 TPD 中的已分发模板才在 Outlook Web App 中可见。

若要分发模板,请运行以下命令:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

示例   以下命令导入 Company Confidential 模板:

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

“不转发”模板

将默认 TPD 从内部部署组织导入到 Exchange Online 中时,会导入一个 RMS 模板。该模板称为“不转发”模板。默认情况下,导入默认 TPD 时将分发此模板。不能使用 Set-RMSTemplate cmdlet 来修改“不转发”模板。

将“不转发”模板应用于邮件时,只有邮件的收件人可读取该邮件。另外,收件人不能执行以下操作:

  • 将邮件转发给其他人。
  • 复制邮件的内容。
  • 打印邮件。

重要说明   “不转发”模板无法阻止通过第三方屏幕捕获程序、照相机复制邮件中的信息或用户手动转录这些信息。

您可在内部部署组织中的 AD RMS 服务器上创建其他 RMS 模板,以满足 IRM 保护要求。如果创建其他 RMS 模板,则必须再次从内部部署 AD RMS 服务器导出 TPD,并刷新基于云的电子邮件组织中的 TPD。有关详细信息,请参阅使用新的 RMS 模板更新 Exchange Online。

返回页首

步骤 4:启用 IRM

导入 TPD 并分发 RMS 模板之后,必须通过运行以下命令为基于云的电子邮件组织启用 IRM:

Set-IRMConfiguration -InternalLicensingEnabled $true

启用 IRM 之后会出现什么情况?

启用 IRM 之后,可以按如下方式对电子邮件应用 IRM 保护:

  • 用户可以使用 Outlook 和 Outlook Web App 手动应用模板   用户可以使用“权限”下拉列表选择要应用于电子邮件的权限策略模板。当用户发送受 IRM 保护的邮件时,附加到邮件的任何使用受支持格式的文件也会受到与邮件相同的 IRM 保护。IRM 保护会应用于与 Microsoft Office Word、Excel 和 PowerPoint 关联的文件以及 .xps 文件和附加的电子邮件。
  • 管理员可使用传输规则将 IRM 保护自动应用于 Outlook 和 OWA   可以创建传输规则以对邮件进行 IRM 保护。配置传输规则操作以将 RMS 模板应用于满足规则条件的邮件。启用 IRM 之后,组织的 RMS 模板可用于称为将权限保护应用于邮件的传输规则操作。方法如下:
  • 管理员可以创建 Outlook 保护规则   Outlook 保护规则基于邮件情况(包括发件人的部门、邮件的收件人以及收件人是在组织的内部还是外部),自动将 IRM 保护应用于 Outlook 2010(而不是 Outlook Web App)中的邮件。若要创建 Outlook 保护规则,管理员可使用 New-OutlookProtectionRule cmdlet。方法如下:创建 Outlook 保护规则

返回页首

管理 IRM

现在,让我们了解一下可以用于在基于云的组织中管理 IRM 的一些可选任务:

  • 更改默认 TPD
  • 创建新的 RMS 模板
  • 使用新的 RMS 模板更新 Exchange Online
  • 在 Exchange Online 中禁用 IRM
  • 删除 TPD

更改默认 TPD

导入第一个 TPD 之后,该 TPD 将标记为默认 TPD。您可能需要更改默认 TPD,以便为基于云的组织分发另一组 RMS 模板。

若要将其他 TPD 设置为默认 TPD,请运行以下命令:

Set-RMSTrustedPublishingDomain -Identity "<name of TPD>" -Default

创建新的 RMS 模板

您可在内部部署组织中的 AD RMS 服务器上创建其他 RMS 模板,以满足 IRM 保护要求。对于每个 TPD,Exchange Online 最多支持 20 个模板。

如果创建其他 RMS 模板,则必须再次从内部部署 AD RMS 服务器导出 TPD,并刷新基于云的电子邮件组织中的 TPD,如“使用新的 RMS 模板更新 Exchange Online”部分中所述。

有关如何创建 RMS 模板的详细信息,请参阅创建新的权限策略模板

使用新的 RMS 模板更新 Exchange Online

在内部部署组织中创建、删除或更改 RMS 模板之后,可以运行 Import-RMSTrustedPublishingDomain cmdlet 来刷新基于云的电子邮件组织中的模板。如前面的步骤 1 中所述,导出 TPD 之后,请运行以下命令:

$data = [byte[]](Get-Content -Encoding byte -Path <Path to exported TPD> -ReadCount 0)
Import-RMSTrustedPublishingDomain -FileData $data -Name "<name of TPD>" -RefreshTemplates

示例   假定您在内部部署组织中创建了一个新的 RMS 模板。现在,您希望该模板对基于云的用户可用。在将 TPD 导出到名为 RevisedTPD.xml 的文件之后,请运行以下命令:

$data = [byte[]](Get-Content -Encoding byte -Path C:\Users\Administrator\Desktop\RevisedTPD.xml -ReadCount 0)
Import-RMSTrustedPublishingDomain -FileData $data -Name "Exported TBD" -RefreshTemplates

注意   该 TPD 的名称必须与先前导入的 TPD 的名称匹配。当系统提示您输入密码时,请输入在导出修改后的 TPD 以创建新 XML 文件时指定的密码。

导入之后,请运行 Get-RMSTemplate -Type All | fl 命令以显示刷新 TPD 之后的可用模板列表。如果新模块应对用户可见,请将其标记为“已分发”,如步骤 3 中所述。

如果因刷新而删除了某个模板,请确保没有传输规则引用该模板。如果某个传输规则中引用了已删除的模板,则将产生 NDR。

提示   请运行以下命令以确定是否有任何组织传输规则具有应用 RMS 模板的操作:

Get-TransportRule | fl Name,ApplyRightsProtectionTemplate

在 Exchange Online 中禁用 IRM

若要在基于云的组织中临时停止使用 TPD,可以禁用 IRM,从而使 Outlook Web App 用户无法对电子邮件进行 IRM 保护。

若要禁用 IRM,请运行以下命令:

Set-IRMConfiguration -InternalLicensingEnabled $false

删除 TPD

您还可以从 Exchange Online 组织中永久删除 TPD。但是,除非删除所有非默认 TPD,否则删除默认 TPD。

若要删除所有非默认 TPD,请运行以下命令:

Get-RMSTrustedPublishingDomain | ?{ $_.Default -eq $false } | Remove-RMSTrustedPublishingDomain

删除所有非默认 TPD 之后,请运行以下命令以删除默认 TPD:

Get-RMSTrustedPublishingDomain | Remove-RMSTrustedPublishingDomain -Force

返回页首