Exchange Server中的資訊版權管理
人們每天都會使用電子郵件來交換機密資訊,例如機密資訊或報告。 由於電子郵件幾乎可從任何地方存取,因此信箱已轉換成包含大量潛在敏感性資訊的存放庫。 因此,資訊外洩可能會對組織造成嚴重威脅。 為了協助防止資訊外泄,Exchange Server包含資訊版權管理 (IRM) 功能,可為電子郵件訊息和附件提供持續的線上和離線保護。 這些 IRM 功能基本上與 Exchange 2013 未變更。
何謂資訊外洩?
資訊外泄是將敏感性資訊洩漏給未經授權的使用者。 對組織而言,資訊外泄的成本可能很高,而且可能會對組織的業務、員工、客戶和合作夥伴造成廣泛的影響。 為了避免違反任何適用的法規,組織必須保護自己免于意外或刻意的資訊外泄。
這些是因資訊外泄而產生的一些後果:
財務損害:組織可能會導致業務損失、罰款或媒體的不良涵蓋範圍。
影像和可信度受損:電子郵件外泄可能是寄件者和組織的來源。
失去競爭優勢:這是最嚴重的後果之一。 揭露策略性業務或合併和收購計畫,可能會導致組織的營收或市場資本化損失。 競爭優勢的其他威脅包括遺失研究資訊、分析資料和其他智慧財產權。
資訊外洩的傳統解決方案
雖然對資訊外泄的傳統解決方案可能會保護資料的初始存取,但通常不會提供固定的保護。 下表說明資訊外泄的一些傳統解決方案。
解決方案 | 描述 | 限制 |
---|---|---|
傳輸層安全性 (TLS) | TLS 是用來加密網路通訊的網際網路標準通訊協定。 在傳訊環境中,TLS 是用來加密伺服器/伺服器和用戶端/伺服器通訊。 根據預設,Exchange 會針對所有內部訊息傳輸使用 TLS。 外部主機的 SMTP 會話預設也會啟用商機 TLS (先嘗試 TLS 加密,但如果無法使用,則) 允許未加密的通訊。 您也可以設定網域安全性,針對外部組織強制使用 Mutual TLS。 |
TLS 只保護兩個 SMTP 主機之間的 SMTP 工作階段。 亦即,TLS 會保護移動中的資訊,但不會在郵件層級或對靜止的資訊提供保護。 除非使用其他方法加密郵件,否則寄件者和收件者信箱中的郵件仍不會受到保護。 對於組織外部傳送的電子郵件,您只能在第一個躍點上要求 TLS。 在遠端 SMTP 主機收到訊息之後,它可以透過未加密的會話將它轉送至另一個 SMTP 主機。 因為 TLS 是用於郵件流程的傳輸層技術,所以無法控制收件者對郵件的功能。 |
郵件加密 | 使用者可以使用 S/MIME 等技術來加密郵件。 | 使用者可決定是否加密郵件。 由於伴隨使用者憑證管理與私密金鑰保護等開銷,因此加密會增加公開金鑰基礎結構 (PKI) 部署的額外成本。 在郵件解密之後,無法控制收件者可對該資訊採取什麼動作。 解密的資訊可以複製、列印或轉寄。 預設情況下,儲存的附件不會受到保護。 傳訊伺服器無法開啟及檢查 S/MIME 加密的訊息。 因此,傳訊伺服器無法強制執行傳訊原則、掃描訊息是否有病毒,或採取需要存取訊息中內容的其他動作。 |
最後,傳統的解決方案通常缺乏強制執行工具,以致無法套用統一的郵件原則來防止資訊外洩。 例如,使用者將訊息標示為 [公司機密 ] 和 [ 不可轉寄]。 將郵件傳遞給收件者之後,寄件者或組織就無法再控制郵件。 收件者可以使用自動轉寄規則) 外部電子郵件帳戶等功能,將郵件 (轉寄至外部電子郵件帳戶,這會使貴組織面臨重大的資訊外泄風險。
Exchange 中的 IRM
Exchange 中的 IRM 提供下列功能,有助於防止資訊外泄:
防止受 IRM 保護之內容的授權收件者轉寄、修改、列印、傳真、儲存或剪下並貼上內容。
使用與郵件相同的保護層級,保護支援的附件檔案格式。
支援受 IRM 保護之郵件和附件的到期功能,以便經過指定期間之後便無法再加以檢視。
防止在Windows 中使用 Snipping Tool 複製受 IRM 保護的內容。
不過,Exchange 中的 IRM 無法使用下列方法來防止資訊洩漏:
協力廠商螢幕擷取程式。
相片畫面上顯示的受 IRM 保護的內容。
使用者記住或手動轉譯資訊。
IRM 使用 Active Directory Rights Management Services (AD RMS) ,這是 Windows Server 中使用可延伸許可權標記語言 (XrML) 型憑證和授權來認證電腦和使用者,以及保護內容的資訊保護技術。 使用 AD RMS 保護檔或訊息時,會附加 XrML 授權,其中包含授權使用者對內容擁有的許可權。 若要存取受 IRM 保護的內容,已啟用 AD RMS 的應用程式必須從 AD RMS 伺服器取得授權使用者的使用授權。 Word、Excel、PowerPoint 和 Outlook 等 Office 應用程式已啟用 RMS,可用來建立和取用受保護的內容。
注意事項
Exchange Prelicense Agent 會將使用授權附加至組織中受 AD RMS 伺服器保護的訊息。 For more information, see the Prelicensing section later in this topic.
若要深入瞭解 Active Directory Rights Management Services,請參閱 Active Directory Rights Management Services。
Active Directory Rights Management Services 許可權原則範本
AD RMS 伺服器提供 Web 服務,用來列舉和取得您用來將 IRM 保護套用至訊息的 XrML 型許可權原則範本。 藉由套用適當的許可權原則範本,您可以控制是否允許收件者回復、全部回復、轉寄、擷取資訊、儲存或列印郵件。
根據預設,Exchange 隨附于 [不可轉寄 ] 範本。 當此範本套用至郵件時,只有郵件中定址的收件者可以解密郵件。 收件者無法轉寄郵件、複製郵件中的內容或列印郵件。 您可以在組織中的 AD RMS 伺服器上建立其他 RMS 範本,以符合您的需求。
如需權限原則範本的詳細資訊,請參閱 AD RMS 原則範本考量。
如需建立 AD RMS 權限原則範本的詳細資訊,請參閱建立與部署 Active Directory Rights Management Services 權限原則範本的逐步指南。
將 IRM 保護套用至訊息
根據預設,Exchange 組織會啟用 IRM,但若要將 IRM 保護套用至訊息,您需要使用下列一或多個方法:
由 Outlook 中的使用者手動:使用者可以使用可供使用者使用的 AD RMS 許可權原則範本,在 Outlook 中保護訊息。 此程式會使用 Outlook 中的 IRM 功能,而不是 Exchange。 如需在 Outlook 中使用 IRM 的詳細資訊,請參閱 電子郵件訊息使用 IRM 簡介。
由Outlook 網頁版中的使用者手動:當系統管理員在先前稱為 Outlook Web App) 的Outlook 網頁版 (中啟用 IRM 時,使用者可以 IRM 保護他們傳送的訊息,並檢視他們收到的受 IRM 保護的訊息。 如需有關 Outlook 網頁版 中 IRM 的詳細資訊,請參閱瞭解 Outlook Web App 中的 IRM。
由Exchange ActiveSync中的使用者手動執行:當系統管理員在 Exchange ActiveSync 啟用 IRM 時,使用者可以在 ActiveSync 裝置上檢視、回復、轉寄及建立受 IRM 保護的訊息。 如需詳細資訊,請參閱瞭解Exchange ActiveSync中的資訊版權管理。
在 Outlook 中自動:系統管理員可以建立 Outlook 保護規則來自動 IRM 保護訊息。 Outlook 保護規則會自動部署至 Outlook 用戶端,而且當使用者撰寫訊息時,Outlook 會套用 IRM 保護。 如需詳細資訊,請參閱 Outlook 保護規則。
在信箱伺服器上自動:系統管理員可以建立郵件流程規則 (也稱為傳輸規則) ,以自動保護符合指定條件的郵件。 如需詳細資訊,請參閱Understanding Transport Protection Rules。
注意事項
IRM 保護不會再次套用到已受 IRM 保護的郵件。 例如,如果使用者 IRM 保護 Outlook 或 Outlook 網頁版 中的訊息,傳輸保護規則將不會將 IRM 保護套用至相同的訊息。
IRM 保護的案例
下表描述傳送訊息的案例,以及是否可使用 IRM 保護。
案例 | 是否支援傳送IRM-Protected訊息? | 需求 |
---|---|---|
在相同的內部部署 Exchange 組織內傳送訊息 | 是 | 如需需求,請參閱本主題稍後的 IRM 需求 一節。 |
在內部部署組織中的不同 Active Directory 樹系之間傳送訊息。 | 是 | 如需需求,請參閱設定 AD RMS 以與 Exchange Server 2010 跨多個樹系整合。 |
在混合式部署中,在內部部署 Exchange 組織與 Microsoft 365 或Office 365組織之間傳送訊息。 | 是 | 如需詳細資訊,請參閱 Exchange 混合式部署中的 IRM。 |
傳送訊息給外部收件者 | 否 | Exchange 不包含將受 IRM 保護的郵件傳送給非同盟組織中外部收件者的解決方案。 若要使用 Active Directory 同盟服務 (AD FS) 在兩個 Active Directory 樹系之間建立同盟信任,請參閱瞭解 AD RMS 信任原則。 |
解密受 IRM 保護的訊息,以強制執行傳訊原則
若要強制執行傳訊原則和法規合規性,Exchange 需要存取加密訊息的內容。 若要因訴訟、法規稽核或內部調查而符合電子檔探索需求,指定的稽核員也必須能夠搜尋加密的訊息。 為了協助處理這些工作,Exchange 包含下列解密功能:
傳輸解密:允許 Exchange 伺服器上安裝的傳輸代理程式存取訊息內容。 如需詳細資訊,請參閱Understanding Transport Decryption。
日誌報告解密:允許標準或進階日誌在日誌報表中儲存受 IRM 保護之訊息的純文字複本。 如需詳細資訊,請參閱 啟用日誌報表解密。
Exchange 搜尋的 IRM 解密:允許 Exchange 搜尋在受 IRM 保護的郵件中為內容編制索引。 當探索管理員執行In-Place電子檔探索搜尋時,已編制索引的受 IRM 保護的訊息會在搜尋結果中傳回。 如需相關資訊,請參閱 將 IRM 設定 Exchange 搜尋與就地 ediscovery (英文)。
若要啟用這些解密功能,您必須將同盟信箱 (Exchange) 所建立的系統信箱,新增至 AD RMS 伺服器上的進階使用者群組。 如需指示,請 參閱將同盟信箱新增至 AD RMS 進階使用者群組。
Prelicensing
若要允許授權的使用者檢視受 IRM 保護的郵件和附件,Exchange 會自動將預先授權附加至受保護的郵件。 這可防止用戶端重複前往 AD RMS 伺服器以擷取使用授權,並允許離線檢視受 IRM 保護的訊息。 預先授權也可讓使用者在Outlook 網頁版中檢視受 IRM 保護的訊息。 啟用 IRM 功能時,Prelicensing 也會依預設啟用。
IRM 代理程式
IRM 功能使用信箱伺服器上傳輸服務中存在的內建傳輸代理程式。 Exchange 管理命令介面中的傳輸代理程式管理 Cmdlet (*-TransportAgent) 不可見且無法管理大部分的內建傳輸代理程式。
下表說明與 IRM 相關聯的內建傳輸代理程式:
代理程式名稱 | 管理? | SMTP 或分類器事件 | 描述 |
---|---|---|---|
日誌報表解密代理程式 | 否 | OnCategorizedMessage | 提供附加至日誌報表之受 IRM 保護訊息的純文字複本。 |
預先授權代理程式 | 否 | OnRoutedMessage | 將先期授權附加至受 IRM 保護的郵件。 |
RMS 解密代理程式 | 否 | OnSubmittedMessage、 | 解密受 IRM 保護的訊息,以允許傳輸代理程式存取訊息內容。 |
RMS 加密代理程式 | 否 | OnRoutedMessage | 將 IRM 保護套用至傳輸代理程式所標幟的訊息,並重新加密傳輸解密的訊息。 |
RMS 通訊協定解密代理程式 | 否 | OnEndOfData | 解密受 IRM 保護的訊息,以允許傳輸代理程式存取訊息內容。 |
傳輸規則代理程式 | 是 | OnRoutedMessage | 標幟符合傳輸保護規則中條件的訊息,以受到 RMS 加密代理程式的 IRM 保護。 |
如需傳輸代理程式的詳細資訊,請參閱Exchange Server 中的傳輸代理程式。
IRM 需求
預設會啟用 IRM 的 Exchange 組織。 若要在您的Exchange Server組織中實際實作 IRM,您的部署必須符合本表中所述的需求。
伺服器 | 需求 |
---|---|
AD RMS 叢集 |
AD RMS 叢集 是用於任何 AD RMS 部署的詞彙,包括單一 AD RMS 伺服器。 AD RMS 是 Web 服務,因此您不需要設定 Windows Server 容錯移轉叢集。 如需高可用性和負載平衡,您可以在叢集中部署多部 AD RMS 伺服器,並使用網路負載平衡 (NLB) 。 服務連接點:Exchange 之類的 AD RMS 感知應用程式會使用在 Active Directory 中註冊的服務連接點來探索 AD RMS 叢集和 URL。 Active Directory 樹系中只有一個 AD RMS 服務連接點。 您可以在 AD RMS 安裝期間或安裝完成之後註冊服務連接點。
許可權:必須將 AD RMS 伺服器憑證管線的讀取和執行許可權指派給這些安全性主體 (
AD RMS 進階使用者:若要啟用傳輸解密、日誌報告解密、Outlook 網頁版中的 IRM,以及 Exchange 搜尋的 IRM 解密,您需要將 [同盟] 信箱新增至 AD RMS 伺服器上的 [進階使用者] 群組。 如需詳細資訊,請參閱至 AD RMS 超級使用者群組新增同盟信箱。 |
Exchange | 需要 Exchange 2010 或更新版本。 在實際執行環境中,不支援將 AD RMS 和 Exchange 安裝在相同的伺服器上。 |
Outlook | Outlook 2007 或更新版本提供用於保護訊息的 AD RMS 範本。 Exchange 中的 Outlook 保護規則需要 Outlook 2010 或更新版本。 |
Exchange ActiveSync | IRM 適用于支援 Exchange ActiveSync 通訊協定 14.1 版或更新版本的行動應用程式和裝置,且包含的RightsManagementInformation標籤 (兩者都是在 Exchange 2010 Service Pack 1) 中引進。 具有支援裝置的使用者可以使用 ActiveSync 來檢視、回復、轉寄及建立受 IRM 保護的訊息,而不需要連線到電腦來啟用 IRM 的裝置。 如需詳細資訊,請參閱瞭解Exchange ActiveSync中的資訊版權管理。 |
Exchange IRM 功能支援 Office 檔案格式。 您可以部署自訂保護器,將 IRM 保護延伸至其他檔案格式。 如需自訂保護裝置的詳細資訊,請在Microsoft 解決方案提供者頁面上搜尋資訊保護和控制合作夥伴。
設定和測試 IRM
您可以使用 Exchange 管理命令介面在 Exchange 中設定 IRM 功能。 如需程式,請 參閱管理 Rights Protection。
安裝並設定信箱伺服器之後,您可以使用 Test-IRMConfiguration Cmdlet 來執行 IRM 部署的端對端測試。 Cmdlet 會執行下列測試:
檢查 Exchange 組織的 IRM 設定。
檢查 AD RMS 伺服器的版本與 Hotfix 資訊。
透過擷取權限帳戶憑證 (RAC) 和用戶端授權人憑證,驗證是否能啟動 RMS 的 Exchange 伺服器。
從 AD RMS 伺服器取得 AD RMS 權限原則範本。
確定指定的寄件者可以傳送受 IRM 保護的訊息。
擷取指定收件者的進階使用者使用授權。
為指定的收件者取得先期授權。
如需詳細資訊,請 參閱 Test-IRMConfiguration。
使用權限管理連接器擴大權限管理
Azure Rights Management 連接器 (RMS 連接器) 是選擇性的應用程式,可藉由採用雲端式 Azure Rights Management (Azure RMS) 服務來增強 Exchange 伺服器的資料保護。 安裝 RMS 連接器之後,它會在資訊的存留期內提供持續的資料保護。 此外,由於這些服務是可自訂的,因此您可以定義所需的保護層級。 例如,您可以限制特定使用者的電子郵件訊息存取權,或設定特定郵件的僅檢視許可權。
若要深入瞭解 RMS 連接器及其安裝方式,請參閱 部署 Azure Rights Management 連接器。