Configurare IRM per l'uso di un server AD RMS locale

  • Articolo

Per l'uso con distribuzioni locali, Information Rights Management (IRM) in Exchange Online usa Active Directory Rights Management Services (AD RMS), una tecnologia di protezione delle informazioni in Windows Server 2008 e versioni successive. La protezione IRM viene applicata alla posta elettronica applicando un modello dei criteri dei diritti AD RMS a un messaggio di posta elettronica. I diritti sono allegati al messaggio stesso, in modo che la protezione si verifichi online e offline e all'interno e all'esterno del firewall dell'organizzazione.

In questo argomento viene illustrato come configurare IRM per utilizzare un server AD RMS. Per informazioni sull'uso di Microsoft Purview Message Encryption con Microsoft Entra ID e Azure Rights Management, vedere Domande frequenti sulla crittografia dei messaggi.

Per ulteriori informazioni su IRM in Exchange Online, vedere Information Rights Management in Exchange Online.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Che cosa è necessario sapere prima di iniziare?

Consiglio

Problemi? È possibile richiedere supporto nei forum di Exchange. I forum sono disponibili sui seguenti siti: Exchange Server,Exchange Online o Exchange Online Protection.

Come eseguire l'operazione

Passaggio 1: Utilizzare la console AD RMS per esportare un dominio di pubblicazione trusted (TPD, trusted publishing domain) da un server AD RMS

Il primo passaggio è l'esportazione in un dominio di pubblicazione trusted da un server SD RMS locale ad un file XML. Il dominio di pubblicazione trusted contiene le impostazioni necessarie per utilizzare le funzionalità RMS:

  • il certificato concessore di licenze server (SLC) utilizzato per la firma e la crittografia dei certificati e delle licenze

  • gli URL utilizzati per la gestione delle licenze e la pubblicazione

  • i modelli di criteri per i diritti di AD RMS creati con il certificato SLC specifico per quel dominio di pubblicazione trusted

Quando si importa il dominio di pubblicazione trusted, viene archiviato e protetto in Exchange Online.

  1. Aprire la console Active Directory Rights Management Services, quindi espandere il cluster AD RMS.

  2. Nell'albero della console, espandere Criteri di attendibilità, quindi fare clic su Domini di pubblicazione trusted.

  3. Selezionare il certificato per il dominio che si desidera esportare nel riquadro dei risultati.

  4. Nel riquadro Azioni, fare clic su Esporta dominio di pubblicazione trusted.

  5. Nella casella File del dominio di pubblicazione, fare clic su Salva con nome per salvare il file in un percorso specifico sul computer locale. Digitare un nome di file, assicurarsi di specificare l'estensione .xml del nome file e quindi fare clic su Salva.

  6. Nelle caselle Password e Conferma password, digitare una password complessa che sarà utilizzata per crittografare il file del dominio di pubblicazione trusted. Sarà necessario specificare questa password durante l'importazione del dominio di pubblicazione trusted nell'organizzazione di posta elettronica basata su cloud.

Passaggio 2: Usare Exchange Management Shell per importare il TPD in Exchange Online

Dopo aver esportato il dominio di pubblicazione trusted in un file XML, è necessario importarlo in Exchange Online. Quando viene importato un dominio di pubblicazione trusted, vengono importati anche i modelli dell'organizzazione AD RMS. Quando viene importato il primo dominio di pubblicazione trusted, diventa quello predefinito per l'organizzazione basata su cloud. Se si importa un altro dominio di pubblicazione trusted, è possibile utilizzare l'opzione Predefinito per fare in modo che sia quello predefinito disponibile per gli utenti.

Per importare il TPD, eseguire il comando seguente in Exchange Online PowerShell:

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<path to exported TPD file>')) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

È possibile ottenere i valori per i parametri ExtranetLicensingUrl e IntranetLicensingUrl nella console di Active Directory Rights Management Services. Nell'albero della console, selezionare il cluster AD RMS. Gli URL per la gestione delle licenze vengono visualizzati nel riquadro dei risultati. Questi URL vengono utilizzati dai client di posta elettronica quando è necessario eseguire la decrittografia del contenuto e quando Exchange Online deve scegliere quale dominio di pubblicazione trusted utilizzare.

Quando si esegue questo comando, viene richiesta una password. Immettere la password specificata durante l'esportazione del dominio di pubblicazione trusted dal server AD RMS.

Ad esempio, il comando seguente importa il dominio di pubblicazione trusted, denominato dominio di pubblicazione trusted esportato tramite il file XML esportato dal server AD RMS e salvato nel desktop dell'account amministratore. Il parametro Name viene utilizzato per specificare un nome nel dominio di pubblicazione trusted.

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('C:\Users\Administrator\Desktop\ExportTPD.xml')) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Import-RMSTrustedPublishingDomain.

Come si fa a sapere di aver importato correttamente il TPD?

Per verificare di aver importato il dominio di pubblicazione trusted, eseguire il cmdlet Get-RMSTrustedPublishingDomain per recuperare i domini di pubblicazione trusted dell'organizzazione Exchange Online. Per i dettagli, vedere gli esempi in Get-RMSTrustedPublishingDomain.

Passaggio 3: Usare Exchange Management Shell per distribuire un modello di criteri per i diritti di AD RMS

Dopo avere importato il dominio di pubblicazione trusted, è necessario assicurarsi che sia distribuito un modello dei criteri dei diritti AD RMS. Un modello distribuito è visibile agli utenti Outlook sul web (in precedenza noti come Outlook Web App), che possono quindi applicare i modelli a un messaggio di posta elettronica.

Per tornare ad un elenco di tutti i modelli contenuti nel dominio di pubblicazione trusted predefinito, eseguire il comando riportato di seguito:

Get-RMSTemplate -Type All | fl

Se il valore del parametro Type è Archived, il modello non è visibile agli utenti. Solo i modelli distribuiti nel TPD predefinito sono disponibili in Outlook sul web.

Per distribuire un modello, eseguire il comando riportato di seguito:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Ad esempio, il comando seguente importa il modello Materiale aziendale riservato.

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-RMSTemplate e Set-RMSTemplate.

Il modello Non inoltrare

Quando si importa il dominio di pubblicazione trusted predefinito dall'organizzazione locale in Exchange Online, viene importato un modello RMS denominato Non inoltrare. Per impostazione predefinita, questo modello viene distribuito quando si importa il dominio di pubblicazione trusted predefinito. Non è possibile utilizzare il cmdlet Set-RMSTemplate per modificare il modello Non inoltrare.

Quando viene applicato il modello Non inoltrare ad un messaggio, solo i destinatari specificati nel messaggio possono leggerlo. Inoltre, i destinatari non possono eseguire le operazioni seguenti:

  • Inoltrare il messaggio ad un altra persona.
  • Copiare il contenuto dal messaggio.
  • Stampare il messaggio.

Importante

Il modello Non inoltrare non può impedire di copiare le informazioni in un messaggio con programmi di acquisizione schermo di terze parti, fotocamere o utenti che trascrivono manualmente le informazioni

È possibile creare ulteriori modelli dei criteri dei diritti AD RMS sul server AD RMS dell'organizzazione locale per soddisfare i requisiti di protezione IRM. Se si creano altri modelli dei criteri dei diritti AD RMS, è necessario esportare nuovamente il dominio di pubblicazione trusted dal server AD RMS locale e aggiornare il dominio di pubblicazione trusted nell'organizzazione di posta elettronica basata su cloud.

Come si sa che è stato distribuito correttamente il modello di criteri per i diritti di AD RMS?

Per verificare di aver distribuito un modello dei criteri dei diritti AD RMS, eseguire il cmdlet Get-RMSTemplate per verificare le proprietà del modello. Per i dettagli, vedere gli esempi in Get-RMSTemplate.

Passaggio 4: Usare Exchange Management Shell per abilitare IRM

Dopo aver importato il dominio di pubblicazione trusted e distribuito un modello RMS, è necessario abilitare IRM per l'organizzazione di posta elettronica basata su cloud eseguendo il comando riportato di seguito.

Set-IRMConfiguration -InternalLicensingEnabled $true

Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-IRMConfiguration.

Come si fa a sapere di aver abilitato correttamente IRM?

Per verificare di aver abilitato IRM, eseguire il cmdlet Get-IRMConfiguration per verificare la configurazione IRM nell'organizzazione Exchange Online.

Come verificare se l'operazione ha avuto esito positivo

Per verificare di aver importato il dominio di pubblicazione trusted e abilitato IRM, attenersi alla seguente procedura:

  • Utilizzare il cmdlet Test-IRMConfiguration per verificare la funzionalità IRM. Per informazioni dettagliate, vedere "Esempio 1" in Test-IRMConfiguration.

  • Comporre un nuovo messaggio in Outlook sul web e proteggerlo tramite IRM selezionando l'opzione Imposta autorizzazioni dal menu esteso (icona Altre opzioni).