Konfigurera IRM att använda en lokal AD RMS-server

För användning med lokala distributioner använder IRM (Information Rights Management) i Exchange Online Active Directory Rights Management Services (AD RMS), en teknik för informationsskydd i Windows Server 2008 och senare. IRM-skydd tillämpas på e-post genom att använda en principmall för AD RMS-rättigheter i ett e-postmeddelande. Rättigheter bifogas själva meddelandet så att skydd sker online och offline och inom och utanför organisationens brandvägg.

I det här avsnittet finns information om hur du konfigurerar IRM för användning av en AD RMS-server. Information om hur du använder de nya funktionerna för Meddelandekryptering i Office 365 med Azure Active Directory och Azure Rights Management finns i Vanliga Meddelandekryptering i Office 365 frågor och svar.

Mer information om IRM i Exchange Online finns i Information Rights Management i Exchange Online.

Vad behöver jag veta innan jag börjar?

Tips

Har du problem? Be om hjälp i Exchange forum. Besök forumen på Exchange Server, Exchange Online eller Exchange Online Protection.

Hur gör du det?

Steg 1: Använd AD RMS-konsolen för att exportera en betrodd publiceringsdomän (TPD) från en AD RMS-server

Det första steget är att exportera en betrodd publiceringsdomän (TPD) från den lokala AD RMS-servern till en XML-fil. TPD innehåller följande inställningar för att använda RMS-funktioner:

  • Det serverlicensorcertifikat (SLC) som används för att signera och kryptera certifikat och licenser

  • URL:er som används för licensiering och publicering

  • Principmallarna för AD RMS-rättigheter som skapades med det specifika SLC för den TPD

När du importerar TPD lagras och skyddas den i Exchange Online.

  1. Öppna Active Directory Rights Management Services och expandera AD RMS-klustret.

  2. Expandera Förtroendeprinciper i konsolträdet och klicka sedan på Betrodda publiceringsdomäner.

  3. I resultatfönstret väljer du certifikatet för den domän som du vill exportera.

  4. Klicka på Exportera betrodd publiceringsdomän i fönstret Åtgärder.

  5. Klicka på Spara som i rutan Publiceringsdomänfil för att spara filen på en viss plats på den lokala datorn. Skriv ett filnamn, ange filnamnstillägget .xml och klicka sedan på Spara.

  6. I rutorna Lösenord och Bekräfta lösenord skriver du ett starkt lösenord som ska användas för att kryptera den betrodda publiceringsdomänfilen. Du måste ange det här lösenordet när du importerar TPD till din molnbaserade e-postorganisation.

Steg 2: Använd Exchange Management Shell för att importera TPD-Exchange Online

När TPD har exporterats till en XML-fil måste du importera den till Exchange Online. När en TPD importeras importeras även organisationens AD RMS-mallar. När den första TPD:en importeras blir den standard-TPD för den molnbaserade organisationen. Om du importerar en annan TPD kan du använda standardväxeln för att göra den till den standard-TPD som är tillgänglig för användare.

Om du vill importera TPD kör du följande kommando i Windows PowerShell:

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('<path to exported TPD file>')) -Name "<name of TPD>" -ExtranetLicensingUrl <URL> -IntranetLicensingUrl <URL>

Du kan hämta värdena för parametrarna ExtranetLicensingUrl och IntranetLicensingUrl i Active Directory Rights Management Services konsolen. Välj AD RMS-klustret i konsolträdet. Url-adresser för licensiering visas i resultatfönstret. Dessa URL:er används av e-postklienter när innehållet måste dekrypteras och när Exchange Online behöver avgöra vilken TPD som ska användas.

När du kör det här kommandot uppmanas du att ange ett lösenord. Ange det lösenord som du angav när du exporterade TPD från AD RMS-servern.

Med följande kommando importeras till exempel TPD med namnet Exporterad TPD med den XML-fil du exporterade från AD RMS-servern och sparades på skrivbordet i administratörskontot. Parametern Name används för att ange ett namn på TPD.

Import-RMSTrustedPublishingDomain -FileData ([System.IO.File]::ReadAllBytes('C:\Users\Administrator\Desktop\ExportTPD.xml')) -Name "Exported TPD" -ExtranetLicensingUrl https://corp.contoso.com/_wmcs/licensing -IntranetLicensingUrl https://rmsserver/_wmcs/licensing

Detaljerad information om syntax och parametrar finns i Import-RMSTrustedPublishingDomain.

Hur vet du att du har importerat TPD?

Kontrollera att du har importerat TPD genom att köra cmdleten Get-RMSTrustedPublishingDomain för att hämta TPD:er i Exchange Online organisation. Mer information finns i exemplen i Get-RMSTrustedPublishingDomain.

Steg 3: Använda Exchange Management Shell för att distribuera en PRINCIPmall för AD RMS-rättigheter

När du har importerat TPD måste du se till att en principmall för AD RMS-rättigheter distribueras. En distribuerad mall visas för Outlook på webben (tidigare kallat Outlook Web App), som sedan kan använda mallarna i ett e-postmeddelande.

Om du vill returnera en lista över alla mallar som finns i standard-TPD kör du följande kommando:

Get-RMSTemplate -Type All | fl

Om parameterns värde är Archived, visas inte mallen för användarna. Endast distribuerade mallar i standard-TPD är tillgängliga i Outlook på webben.

Kör följande kommando för att distribuera en mall:

Set-RMSTemplate -Identity "<name of the template>" -Type Distributed

Följande kommando importerar till exempel mallen Konfidentiellt.

Set-RMSTemplate -Identity "Company Confidential" -Type Distributed

Detaljerad information om syntax och parametrar finns i Get-RMSTemplate och Set-RMSTemplate.

Mallen Vidarebefordra inte

När du importerar standard-TPD från den lokala organisationen till Exchange Online, importeras en AD RMS-rättighetsprincipmall med namnet Vidarebefordra inte. Som standard distribueras den här mallen när du importerar standard-TPD. Du kan inte använda cmdleten Set-RMSTemplate till att ändra mallen Vidarebefordra inte .

När mallen Vidarebefordra inte används för ett meddelande kan endast meddelandets mottagare läsa det. Dessutom kan mottagarna inte göra följande:

  • Vidarebefordra meddelandet till en annan person.
  • Kopiera innehåll från meddelandet.
  • Skriv ut meddelandet.

Viktigt

Mallen Vidarebefordra inte kan inte förhindra att information i ett meddelande kopieras med skärmbilder från tredje part, kameror eller användare som manuellt transkriberar informationen

Du kan skapa ytterligare principmallar för AD RMS-rättigheter på AD RMS-servern i den lokala organisationen för att uppfylla dina IRM-krav. Om du skapar ytterligare principmallar för AD RMS-rättigheter måste du exportera TPD från den lokala AD RMS-servern igen och uppdatera TPD:t i den molnbaserade e-postorganisationen.

Hur vet du att du har distribuerat principmallen för AD RMS-rättigheter?

Kontrollera att du har distribuerat principen för och AD RMS-rättighetsprincipen genom att köra cmdlet:en Get-RMSTemplate för att kontrollera mallens egenskaper. Mer information finns i exemplen i Get-RMSTemplate.

Steg 4: Använd Exchange Management Shell för att aktivera IRM

När du har importerat och distribuerat en principmall för AD RMS-rättigheter kör du följande kommando för att aktivera IRM för din molnbaserade e-postorganisation.

Set-IRMConfiguration -InternalLicensingEnabled $true

Detaljerad information om syntax och parametrar finns i Set-IRMConfiguration.

Hur vet du att du har aktiverat IRM?

Kontrollera att du har aktiverat IRM genom att köra cmdleten Get-IRMConfiguration för att kontrollera IRM-konfigurationen i Exchange Online organisation.

Hur vet du att den här uppgiften fungerade?

Så här kontrollerar du att du har importerat TPD och aktiverat IRM:

  • Använd cmdleten Test-IRMConfiguration för att testa IRM-funktioner. Mer information finns i "Exempel 1" i Test-IRMConfiguration.

  • Skriv ett nytt meddelande i Outlook på webben IRM-skydda det genom att välja alternativet Ange behörigheter i den utökade menyn (ikonen Fler alternativ).