Share via

傳輸保護規則

  • 發行項

適用於:Exchange Server 2013

Email訊息和附件逐漸包含業務關鍵資訊,例如產品規格、商務策略檔和財務資料,或個人資訊,例如連絡人詳細資料、社會安全號碼、信用卡號碼和員工記錄。 世界許多地區都有一些產業特定和當地法規,這些法規會控管個人資訊的收集、儲存和洩漏。

為了協助保護敏感性資訊,組織會建立訊息原則,以提供如何處理這項資訊的指導方針。 在 Microsoft Exchange Server 2013 中,您可以使用傳輸保護規則來實作這些訊息原則,方法是檢查訊息內容、加密敏感性電子郵件內容,以及使用版權管理來控制對內容的存取。

如需管理 IRM 的相關管理工作,請參閱 資訊版權管理程式

傳輸保護規則和 AD RMS

傳輸保護規則可讓您使用傳輸規則,透過套用 Active Directory Rights Management Services (AD RMS) 權限原則範本以 IRM 保護郵件。

注意事項

AD RMS 是一種資訊保護技術,可與 Rights Management Service (RMS) 啟用的應用程式和用戶端搭配使用,以保護線上和離線的敏感性資訊。 若要在內部部署 Exchange 部署中使用 IRM 保護,Exchange 2013 需要在 Windows Server 2008 或更新版本上執行的 AD RMS 內部部署。

AD RMS 會使用以 XML 為基礎的原則範本,以允許相容的 IRM 啟用應用程式套用一致的保護原則。 在 Windows Server 2008 和更新版本中,AD RMS 伺服器會公開 Web 服務,這項服務可用來列舉和取得範本。 Exchange 2013 隨附 [不要轉寄] 範本。

當 [不要轉寄] 範本套用至郵件時,只有郵件中所列的收件者才能解密郵件。 收件者無法將郵件轉寄給其他人、從郵件複製內容,或列印郵件。

在內部部署 AD RMS 中可建立額外的 RMS 範本,以符合組織中的權限保護需求。

重要事項

如果從 AD RMS 伺服器移除許可權原則範本,您必須修改任何使用已移除範本的傳輸保護規則。 如果傳輸保護規則繼續使用已移除的許可權原則範本,AD RMS 伺服器將無法將內容授權給任何收件者,而且 NDR) (未傳遞報告會傳遞給寄件者。

在 Windows Server 2008 和更新版本中,可以封存許可權原則範本,而不是刪除。 封存的範本仍然可以用來授權內容,但是當您建立或修改傳輸保護規則時,封存的範本不會包含在範本清單中。

如需建立 AD RMS 範本的詳細資訊,請參閱 AD RMS 權限原則範本部署逐步指南

使用傳輸保護規則自動保護

包含業務關鍵資訊或個人資訊的訊息可以使用傳輸規則條件的組合來識別,包括用來識別文字模式的正則運算式,例如社會安全號碼。 組織需要不同層級的敏感性資訊保護。 某些資訊可能僅限於員工、約聘人員或合作夥伴;而其他資訊則只能限於全職員工。 套用適當的許可權原則範本,即可將所需的保護層級套用至訊息。 例如,使用者可以將郵件或電子郵件附件標示為公司機密。 如下圖所示,您可以建立傳輸保護規則來檢查訊息內容中的「公司機密」一詞,並自動使用 IRM 保護訊息。

如需建立傳輸規則來強制執行權限保護的詳細資訊,請參閱建立傳輸保護規則

持續保護電子郵件附件

使用者會使用 Microsoft Office Word、Excel 和 PowerPoint 等通用 Microsoft Office 檔案格式,在電子郵件附件中傳送業務關鍵資訊和個人資訊。 所有這些檔案格式都支援透過 IRM 的持續性保護,而且您可以確定這些檔中的業務關鍵資訊和個人資訊都受到適當保護。 傳輸保護規則會以支援的檔案格式,將相同的保護套用至電子郵件訊息和附件。

傳輸規則代理程式和加密代理程式

當您根據規則條件使用傳輸保護規則來保護 IRM 訊息時,傳輸服務上的傳輸規則代理程式會檢查訊息。 如果它們符合所有條件且沒有任何例外狀況,則會將訊息標示為受 IRM 保護。 加密代理程式是在 OnRoutedMessage 事件上引發的內建傳輸代理程式,實際上會將 IRM 保護套用至訊息。 只有在針對內部訊息啟用 IRM 時,加密代理程式才會對訊息採取動作。 如需啟用 IRM 的詳細資訊,請參閱 啟用或停用內部訊息的 IRM

當傳輸服務重新開機並處理第一個需要 IRM 加密的訊息時,加密代理程式必須能夠連線到組織中的 AD RMS 伺服器。 對於後續的訊息,代理程式不需要連絡 AD RMS 伺服器。 當因暫時性狀況而無法加密訊息時,Exchange 會在 10 分鐘間隔內重試訊息三次。 重試三次之後,如果郵件無法加密,則不會傳遞給收件者。 NDR 會傳送給寄件者。 建議您規劃 AD RMS 部署以獲得高可用性,以確保訊息流程不會受到影響。

規劃使用傳輸保護規則時,您必須考慮想要保護的資訊類型,並據此規劃建立規則。 在 Exchange 2013 中,傳輸規則具有大量的述詞,可讓您檢查郵件內容,包括支援的附件、郵件標頭、寄件者和收件者位址、其 Active Directory 屬性,例如部門、通訊群組成員資格,以及寄件者與收件者的管理關聯性。 如需 Exchange 2013 中可用傳輸規則述詞的詳細資訊,請參閱傳輸 規則條件 (述詞)

您也必須考慮組織中的傳訊流量,以及將使用傳輸保護規則保護的訊息數目。 將 IRM 保護套用至大宗郵件時,信箱伺服器上需要更多資源。 此外,保護大量訊息或所有訊息也會影響用戶端體驗,特別是針對 Microsoft Outlook 使用者。