Управление правами доступа к данным при гибридных развертываниях ExchangeIRM in Exchange hybrid deployments

Сводка: как IRM работает в гибридной среде Exchange и настройка IRM для работы между Exchange Online и локальных серверов Exchange Server.Summary: How IRM works in an Exchange hybrid environment, and how to configure IRM to work between Exchange Online and your on-premises Exchange servers.

Управление правами на доступ к данным (IRM) помогает для защиты от утечки конфиденциальной информации с указанием сохраняемого автономную и сетевую защиту сообщений электронной почты и вложений. В локальной организации Exchange и Exchange Online в Office 365 для предприятий, поддерживающие службу управления правами. Тем не менее существуют некоторые отличия между двумя реализации и необходимо настроить IRM в организации Exchange Online, прежде чем пользователи, в том, что организация может использовать его.Information Rights Management (IRM) helps you to protect against leakage of sensitive information by providing persistent online and offline protection of email messages and attachments. Both your Exchange on-premises organization and Exchange Online, in Office 365 for enterprises, support IRM. However, there are differences between the two implementations, and you need to configure IRM in the Exchange Online organization before users in that organization can use it.

IRM использует службы управления правами Active Directory (AD RMS), который является компонентом Windows Server 2008 и более поздних версий. Службы управления правами позволяет пользователям создавать защищенного содержимого, такие как сообщения электронной почты и вложения и как используется, что содержимое элемента управления, а также для которого он распространяется. Пользователи могут указать шаблоны, определяющие использования контента. Например пользователя можно указать, что сообщение электронной почты не удается пересылку другим получателям или не удается записать данные в сообщении.IRM uses Active Directory Rights Management Services (AD RMS), which is a component of Windows Server 2008 and later. AD RMS allows users to create rights-protected content, such as email messages and attachments, and then control how that content is used, and to whom it's distributed. Users can specify templates that determine how content can be used. For example, a user may specify that an email message can't be forwarded to other recipients or that information in the message can't be copied.

Дополнительные сведения о IRM в Exchange 2010 в: Общее представление о Information Rights Management.Learn more about IRM in Exchange 2010 at: Understanding Information Rights Management.

Дополнительные сведения о IRM в Exchange 2013 и Exchange 2016 на Управление правами на доступ.Learn more about IRM in Exchange 2013 and Exchange 2016 at Information Rights Management.

Дополнительные сведения о AD RMS в Обзор служб управления правами на Active Directory.Learn more about AD RMS at Active Directory Rights Management Services Overview.

Различия между IRM в локальной среде Exchange и Exchange OnlineDifferences between IRM in Exchange On-premises and Exchange Online

Функция IRM, доступные в вашей локальной организации Exchange может отличаться от функциональные возможности, доступные в организации Exchange Online. Следующей таблице приведена сводка компонентов и возможностей, доступных в каждой организации. (Дополнительные сведения об этих компонентов на: Общее представление о Information Rights Management)IRM functionality that's available in your on-premises Exchange organization may be different than the functionality available in your Exchange Online organization. The following table provides a summary of features and functionality available in each organization. (Learn more about these features at: Understanding Information Rights Management)

Доступные функции IRMAvailable IRM features

ФункцияFeature Доступна в Exchange 2007 и более ранних версияхAvailable in Exchange 2007 and earlier Доступно в Exchange 2010Available in Exchange 2010 Доступна в Exchange Online, а также Exchange 2013 и более поздних версияхAvailable in Exchange Online and Exchange 2013 and later
Ручной защита сообщений в OutlookManual protection of messages in Outlook
ДаYes
ДаYes
ДаYes
Ручной защита сообщений в Outlook Web AppManual protection of messages in Outlook Web App
НетNo
ДаYes
ДаYes
Просмотр сообщения, защищенные IRM в OutlookView IRM-protected messages in Outlook
ДаYes
ДаYes
ДаYes
Просмотр сообщения, защищенные IRM в Outlook Web AppView IRM-protected messages in Outlook Web App
НетNo
ДаYes
ДаYes
Агент предварительного лицензирования IRMIRM Pre-licensing agent
ДаYes
ДаYes
ДаYes
Шаблоны политики RMSRMS policy templates
НетNo
ДаYes
ДаYes
Расшифровка транспортаTransport decryption
НетNo
ДаYes
ДаYes
Расшифровка отчета журналаJournal report decryption
НетNo
ДаYes
ДаYes
Служба поиска Exchange и обнаружения расшифровкиExchange Search and discovery decryption
НетNo
ДаYes
ДаYes
Автоматическое правила защиты OutlookAutomatic Outlook protection rules
НетNo
НетNo
ДаYes
Правила автоматической защиты транспортаAutomatic transport protection rules
НетNo
ДаYes
ДаYes

IRM в гибридных развертыванияхIRM in hybrid deployments

Exchange использует серверах AD RMS в лесу Active Directory, в которой установлен на сервере Exchange. Для локальных серверов Exchange, в локальной использовать сервер службы управления правами. Для организации Exchange Online используются серверах AD RMS, которые поддерживаются в Office 365 центров обработки данных. Конфигурация службы управления правами, который используется в каждой организации Exchange не зависит от других развертывания AD RMS.Exchange uses AD RMS servers in the Active Directory forest in which the Exchange server is installed. For your on-premises Exchange servers, the on-premises AD RMS server is used. For your Exchange Online organization, AD RMS servers that are maintained within the Office 365 datacenters are used. The AD RMS configuration that each Exchange organization uses is independent of any other AD RMS deployment.

Конфигурация службы управления правами AD и конфигурации IRM не будет автоматически реплицируются между локальной организации Exchange и организацией Exchange Online. Все шаблоны AD RMS, которые определены не автоматически копируются в организацию Exchange Online. Если же шаблонов AD RMS будут доступны в организации Exchange Online, необходимо вручную экспорта шаблонов из локальной организации и применить их к организации Office 365. Далее в этом разделе содержатся Настройки IRM в гибридных развертываниях .AD RMS configuration, and therefore IRM configuration, isn't automatically replicated between your on-premises Exchange organization and the Exchange Online organization. Any AD RMS templates that you've defined aren't automatically copied to the Exchange Online organization. If you want the same AD RMS templates to be available in the Exchange Online organization, you must manually export the templates from your on-premises organization and apply them to the Office 365 organization. See Configure IRM in hybrid deployments later in this topic.

Взаимодействие с пользователемUser experience

Конфигурация службы IRM, применяемая к пользователю, зависит от используемого клиента и расположения почтового ящика пользователя. В следующей таблице показан сервер AD RMS, с которым будет работать пользователь.The IRM configuration that's applied to a user depends on the client the user uses and the location of the user's mailbox. The following table shows the AD RMS server a user will use.

Активный сервер службы управления правами Active DirectoryActive AD RMS server

КлиентClient Локальный почтовый ящикOn-premises mailbox Почтовый ящик Exchange OnlineExchange Online mailbox
Настольных клиентов OutlookOutlook desktop clients
Локальная служба AD RMSOn-premises AD RMS
Локальная служба AD RMSOn-premises AD RMS
Outlook в ИнтернетеOutlook on the web
Локальная служба AD RMSOn-premises AD RMS
Exchange Online AD RMSExchange Online AD RMS
Устройство ActiveSyncActiveSync device
Локальная служба AD RMSOn-premises AD RMS
Exchange Online AD RMSExchange Online AD RMS

В зависимости от конфигурации AD RMS, настроенных в вашей локальной и организацию Exchange Online возможно, что пользователь, который использует Outlook 2007 и Outlook в Интернете могут отображаться различные шаблоны AD RMS. По этой причине настоятельно рекомендуется применять шаблоны для организации Exchange Online и локальной.Depending on the AD RMS configuration you configure in your on-premises and Exchange Online organizations, it's possible that a user who uses Outlook 2007 and Outlook on the web may see different AD RMS templates. For this reason, we strongly recommend that you apply the same templates to both your on-premises and Exchange Online organizations.

Должно быть не отличается от работы IRM пользователей клиента Outlook, независимо от того, находится ли их почтовых ящиков в локальной или организации Exchange Online.There should be no difference in the IRM experience for Outlook client users, regardless of whether their mailbox is located in the on-premises or Exchange Online organization.

Outlook в веб-пользователя, почтовый ящик которого находится на Exchange локальный сервер можно открыть сообщения, защищенные правами только после установки службы управления правами для надстройки Internet Explorer. Они не могут отвечать на или создать новые сообщения, защищенные правами.An Outlook on the web user whose mailbox is located on an Exchange on-premises server can only open rights-protected messages after installing the Rights Management for Internet Explorer add-in. They can't reply to or create new rights-protected messages.

Outlook в веб-пользователя, почтовый ящик которого находится в Exchange Online можно откройте защищенного сообщения без любое дополнительное программное обеспечение и могут отвечать на и создание нового сообщения, защищенные правами.An Outlook on the web user whose mailbox is located in Exchange Online can open rights-protected messages without any additional software and can reply to, and create, new rights-protected messages.

Функциональные возможности сервераServer functionality

В локальных серверов Exchange использовать предварительно лицензирования агента AD RMS для расшифровки сообщения, защищенные правами, чтобы пользователи не нужно предоставить учетные данные при открытии сообщения. Локальный сервер Exchange контакты в локальной сервера AD RMS для проверки политик и права и запросить авторизации для расшифровки сообщения.On-premises Exchange servers use the AD RMS pre-licensing agent to decrypt rights-protected messages so that users don't need to supply credentials when they open those messages. The on-premises Exchange server contacts the on-premises AD RMS server to check usage policies and rights, and to request authorization to decrypt the message.

В организацию Exchange Online предоставляет несколько дополнительных IRM-файлами, использующие Exchange Online AD RMS. Эти функции, такие как расшифровка отчетов содержимое сообщения, защищенные право сделать доступным для служб Exchange для дополнительной обработки. К примеру расшифрованного содержимое регистрировать сообщения можно сохранить, а также исходное сообщение защищенное, чтобы разрешить для упрощения обнаружения. Кроме того шаблоны IRM автоматически может применяться к сообщениям, с помощью правила защиты Outlook или правил транспорта, чтобы убедиться, что сообщения соответствуют политики организации для защиты информации.The Exchange Online organization provides several additional IRM-related features that make use of Exchange Online AD RMS. These features, such as journal report decryption, make the content of right-protected messages available to Exchange services for additional processing. For example, the decrypted contents of a journaled message can be saved, along with the original rights-protected message, to allow for easier discovery. Additionally, IRM templates can automatically be applied to messages using either Outlook protection rules or transport rules to ensure that messages adhere to organization policies regarding information protection.

Настройка IRM при гибридном развертыванииConfigure IRM in hybrid deployments

IRM в Exchange использует службы управления правами, при развертывании в лесу Active Directory, в котором находится на сервере Exchange. Конфигурация службы управления правами AD не будет автоматически синхронизируются между локальной и организацию Exchange Online. Необходимо вручную Экспорт конфигурации AD RMS, известных как доверенного домена публикации (TPD) из локального сервера AD RMS и импорт конфигурации в организации Exchange Online. Доверенный домен публикации содержит конфигурацию службы управления правами, включая шаблоны, которые необходимо использовать IRM в организацию Exchange Online.IRM in Exchange relies on AD RMS being deployed in the Active Directory forest in which the Exchange server resides. AD RMS configuration isn't automatically synchronized between the on-premises and Exchange Online organizations. You must manually export the AD RMS configuration, known as a trusted publishing domain (TPD), from your on-premises AD RMS server, and import that configuration into the Exchange Online organization. The TPD contains the AD RMS configuration, including templates, which the Exchange Online organization needs to use IRM.

Дополнительные AD RMS доверенного домена вопросы публикации.Learn more at AD RMS Trusted Publishing Domain Considerations.

В дополнение к применение своей локальной конфигурации службы управления правами в организацию Exchange Online, необходимо убедиться, что на серверах AD RMS можно связаться с клиентами Outlook и ActiveSync за пределами локальной сети. Вам необходимо выполнить эти клиенты получить доступ к защищенной сообщений за пределами локальной сети.In addition to applying your on-premises AD RMS configuration to the Exchange Online organization, you must ensure that your AD RMS servers can be contacted by Outlook and ActiveSync clients outside of your on-premises network. You must do this if you want these clients to access rights-protected messages outside of your on-premises network.

После настройки локальной сети и экспортировать доверенный домен публикации данных, необходимо настроить в организацию Exchange Online можно импортировать доверенный домен публикации данных и включение службы управления правами.After you've configured your on-premises network and exported the TPD data, you need to configure the Exchange Online organization by importing the TPD data and enabling IRM.

Примечание

Любое время изменения своей локальной конфигурации AD RMS, необходимо вручную применить новую конфигурацию в организации Exchange Online. Для этого экспортировать доверенный домен публикации данных из локального сервера AD RMS и импортировать его в организации Exchange Online.Any time you modify your on-premises AD RMS configuration, you must manually apply the new configuration in the Exchange Online organization. To do so, export the TPD data from your on-premises AD RMS server and import it into the Exchange Online organization.

Как настроить IRM при гибридном развертывании ExchangeHow to configure IRM in Exchange hybrid deployments

Если использовать IRM в вашей локальной организации Exchange и Exchange Online пользователи также использовать IRM, необходимо выполнить следующее:If you use IRM in your on-premises Exchange organization and you want your Exchange Online users to also use IRM, you need to do the following:

  1. Настройка локального сервера службы управления правами Active Directory (AD RMS).Configure your on-premises Active Directory Rights Management Services (AD RMS) server.

  2. Включите IRM в своей организации Exchange Online.Enable IRM in your Exchange Online organization.

  3. Распространение импортированных шаблонов AD RMS для пользователей в организации Exchange Online.Distribute the imported AD RMS templates to users in the Exchange Online organization.

Настройка локальных серверов AD RMSHow do I configure on-premises AD RMS servers?

Чтобы настроить IRM в гибридном развертывании, необходимо использовать Windows PowerShell для доступа к своей локальной сервера AD RMS. Дополнительные сведения по: С помощью Windows PowerShell на администрирование службы управления правамиTo configure IRM in a hybrid deployment, you need to use Windows PowerShell to access your on-premises AD RMS server. Learn more at: Using Windows PowerShell to Administer AD RMS

Чтобы экспортировать данные доверенного домена публикации (TPD) с локального сервера AD RMS и настроить доступ к серверу AD RMS для внешних клиентов, выполните следующие действия.Do the following to export trusted publishing domain (TPD) data from your on-premises AD RMS server and then configure access to the AD RMS server for external clients.

  1. Экспортируйте доверенный домен публикации данных из локальной организации. Дополнительные сведения по: Экспорт доверенный домен публикацииExport TPD data from your on-premises organization. Learn more at: Exporting a Trusted Publishing Domain

  2. Настройка доступа к серверам AD RMS от внешних клиентов. Дополнительные сведения по: Добавление URL-адрес экстрасети кластераConfigure access to AD RMS servers from external clients. Learn more at: Adding an Extranet Cluster URL

Как включить IRM в организации Exchange Online?How do I enable IRM in the Exchange Online organization?

После экспорта данных TPD с локальных серверов AD RMS вам необходимо импортировать их в организацию Exchange Online, а затем включить функции управления правами на доступ к данным (IRM).After you export the TPD data from your on-premises AD RMS servers, you need to import that data into the Exchange Online organization and then enable IRM.

  1. Импортируйте доверенный домен публикации в организацию Exchange Online.In the Exchange Online organization, import the TPD data.

    Import-RMSTrustedPublishingDomain -FileData $( [Byte[]] (Get-Content -Encoding Byte -Path "<Path to exported TPD file>" -ReadCount 0))
    
  2. Включите IRM в организации Exchange Online.Enable IRM in the Exchange Online organization.

    Set-IRMConfiguration -InternalLicensingEnabled $True
    

Как распространить шаблоны AD RMS в организации Exchange Online?How do I distribute AD RMS templates in the Exchange Online organization?

После включения IRM в организации Exchange Online необходимо распространить импортированные шаблоны AD RMS. Шаблоны AD RMS применяют следующие пользователи и функции Exchange Online:After you've enabled IRM in the Exchange Online organization, you must distribute the imported AD RMS templates. The following Exchange Online users and features use AD RMS templates:

  • Outlook в веб-пользователейOutlook on the web users

  • пользователи Exchange ActiveSync;Exchange ActiveSync users

  • Правила транспортаTransport rules

  • расшифровка отчетов журналов;Journal report decryption

  • правила защиты Outlook.Outlook protection rules

  1. В организации Exchange Online получить список шаблонов AD RMS.In the Exchange Online organization, retrieve a list of AD RMS templates.

    Get-RMSTemplate -Type All
    
  2. Распространение шаблонов AD RMS для пользователей и функций в организации Exchange Online.Distribute the AD RMS templates to users and features in the Exchange Online organization.

    Set-RMSTemplate <template name> -Type Distributed
    

    Примечание

    Невозможно изменить шаблон "Не пересылать" службы AD RMS.You can't modify the "Do Not Forward" AD RMS template.

  3. Повторите шаг 2 для каждого шаблона AD RMS, который необходимо распространить.Repeat step 2 for each AD RMS template you want to distribute.

Как проверить, что это работаетHow do I know this worked?

Outlook в веб-пользователи должны иметь возможность применения шаблонов AD RMS для новых сообщений. Outlook на веб-серверы и Exchange ActiveSync пользователи должны иметь возможность читать сообщения, для которых шаблонов AD RMS, примененных к ним. Кроме того все шаблоны AD RMS, которые были импортированы из локальной организации должно быть указано при запуске командлета Get-RMSTemplate .Outlook on the web users should be able to apply AD RMS templates to new messages. Outlook on the web and Exchange ActiveSync users should be able to read messages that have AD RMS templates applied to them. In addition, all the AD RMS templates that were imported from your on-premises organization should be listed when you run the Get-RMSTemplate cmdlet.

Выполните следующую команду в организации Exchange Online.Run the following command in the Exchange Online organization.

Get-RMSTemplate 

Дополнительные сведения см. в разделе Understanding Information Rights Management in Outlook Web AppLearn more at: Understanding Information Rights Management in Outlook Web App