Exchange Server中的信息权限管理

项目
04/04/2023

人们每天都使用电子邮件来交换敏感信息，例如机密信息或报告。由于几乎可从任意位置访问电子邮件，因此邮箱已转换为包含大量潜在敏感信息的存储库。因此，信息泄露可能对组织构成严重威胁。为了帮助防止信息泄露，Exchange Server包括信息权限管理 (IRM) 功能，这些功能为电子邮件和附件提供持久的联机和脱机保护。这些 IRM 功能与 Exchange 2013 基本没有变化。

什么是信息泄露？

信息泄露是向未经授权的用户泄露敏感信息。信息泄露对组织来说可能代价高昂，并且可能会对组织的业务、员工、客户和合作伙伴产生广泛影响。为了避免违反任何适用的法规，组织需要保护自己免受意外或故意的信息泄露。

以下是信息泄露可能导致的一些后果：

经济损失：组织可能会遭受业务损失、罚款或负面媒体报道。
损害图像和信誉：泄露的电子邮件可能成为发件人和组织尴尬的根源。
失去竞争优势：这是最严重的后果之一。战略业务或兼并和收购计划的披露可能导致组织的收入或市值损失。对竞争优势的其他威胁包括研究信息、分析数据和其他知识产权的丢失。

针对信息泄露的传统解决方案

尽管传统的信息泄露解决方案可以保护对数据的初始访问，但它们通常不提供持续保护。下表介绍了一些传统的信息泄露解决方案。

解决方案	说明	限制
传输层安全性 (TLS)	TLS 是用于加密网络通信的 Internet 标准协议。在消息传送环境中，TLS 用于加密服务器/服务器和客户端/服务器通信。默认情况下，Exchange 对所有内部邮件传输使用 TLS。默认情况下，还会为具有外部主机的 SMTP 会话启用机会性 TLS， (先尝试 TLS 加密，但如果它不可用，则允许未加密的通信) 。还可以配置域安全性，以便强制执行与外部组织的相互 TLS。	TLS 仅保护两个 SMTP 主机之间的 SMTP 会话。也就是说，TLS 可保护移动的信息，但它不会提供邮件级的保护或对静止信息的保护。除非使用其他方法加密邮件，否则发件人和收件人邮箱中的邮件将不受保护。对于在组织外部发送的电子邮件，只能对第一个跃点使用 TLS。远程 SMTP 主机收到消息后，可以通过未加密的会话将其中继到另一个 SMTP 主机。由于 TLS 是邮件流中使用的传输层技术，因此无法控制收件人对邮件执行的操作。
邮件加密	用户可以使用 S/MIME 等技术对邮件进行加密。	用户决定是否加密邮件。公钥基础结构 (PKI) 部署会产生额外成本，同时还伴有用户证书管理和保护私钥的开销。在邮件解密之后，将无法控制收件人可以对信息执行的操作。解密的信息可以复制、打印或转发。默认情况下，保存的附件不受保护。消息服务器无法打开和检查由 S/MIME 加密的邮件。因此，消息服务器无法强制实施消息策略、扫描邮件中病毒或执行需要访问邮件中内容的其他操作。

解决方案

说明

限制

传输层安全性 (TLS)

TLS 是用于加密网络通信的 Internet 标准协议。在消息传送环境中，TLS 用于加密服务器/服务器和客户端/服务器通信。

默认情况下，Exchange 对所有内部邮件传输使用 TLS。默认情况下，还会为具有外部主机的 SMTP 会话启用机会性 TLS， (先尝试 TLS 加密，但如果它不可用，则允许未加密的通信) 。还可以配置域安全性，以便强制执行与外部组织的相互 TLS。

TLS 仅保护两个 SMTP 主机之间的 SMTP 会话。也就是说，TLS 可保护移动的信息，但它不会提供邮件级的保护或对静止信息的保护。除非使用其他方法加密邮件，否则发件人和收件人邮箱中的邮件将不受保护。

对于在组织外部发送的电子邮件，只能对第一个跃点使用 TLS。远程 SMTP 主机收到消息后，可以通过未加密的会话将其中继到另一个 SMTP 主机。

由于 TLS 是邮件流中使用的传输层技术，因此无法控制收件人对邮件执行的操作。

邮件加密

用户可以使用 S/MIME 等技术对邮件进行加密。

用户决定是否加密邮件。

公钥基础结构 (PKI) 部署会产生额外成本，同时还伴有用户证书管理和保护私钥的开销。

在邮件解密之后，将无法控制收件人可以对信息执行的操作。解密的信息可以复制、打印或转发。默认情况下，保存的附件不受保护。

消息服务器无法打开和检查由 S/MIME 加密的邮件。因此，消息服务器无法强制实施消息策略、扫描邮件中病毒或执行需要访问邮件中内容的其他操作。

Finally, traditional solutions often lack enforcement tools that apply uniform messaging policies to prevent information leakage. 例如，用户使用 “公司机密” 和“ 请勿转发”标记邮件。将邮件传递到收件人后，发件人或组织不再控制邮件。收件人可以使用自动转发规则 () 等功能故意或意外地将邮件转发到外部电子邮件帐户，这会使组织面临大量信息泄露风险。

Exchange 中的 IRM

Exchange 中的 IRM 通过提供以下功能来帮助防止信息泄露：

防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容。
用与邮件相同的保护级别保护所支持的附件文件格式。
支持受 IRM 保护的邮件和附件的过期，使其在指定时间段之后，无法再进行查看。
在 Windows 中使用截图工具防止复制受 IRM 保护的内容。

但是，Exchange 中的 IRM 无法使用以下方法阻止信息泄露：

第三方屏幕捕获程序。
拍摄屏幕上显示的受 IRM 保护的内容。
用户记住或手动转录信息。

IRM 使用 Active Directory Rights Management Services (AD RMS) ，这是 Windows Server 中的一种信息保护技术，它使用可扩展权限标记语言 (XrML) 的证书和许可证来认证计算机和用户，并保护内容。使用 AD RMS 保护文档或消息时，将附加一个 XrML 许可证，其中包含授权用户对内容拥有的权限。若要访问受 IRM 保护的内容，已启用 AD RMS 的应用程序必须从 AD RMS 服务器中为授权用户购买使用许可证。 Office 应用程序（如 Word、Excel、PowerPoint 和 Outlook）已启用 RMS，可用于创建和使用受保护的内容。

注意

Exchange 预授权代理将使用许可证附加到组织中受 AD RMS 服务器保护的邮件。有关详细信息，请参阅本主题后面的预许可部分。

若要详细了解 Active Directory Rights Management Services，请参阅 Active Directory Rights Management Services。

Active Directory Rights Management Services 权限策略模板

AD RMS 服务器提供 Web 服务，用于枚举和获取用于将 IRM 保护应用到消息的基于 XrML 的权限策略模板。通过应用适当的权限策略模板，可以控制是否允许收件人答复、答复全部、转发、从中提取信息、保存或打印邮件。

默认情况下，Exchange 附带了 “请勿转发” 模板。将此模板应用于邮件时，只有邮件中寻址的收件人才能解密邮件。收件人无法转发邮件、复制邮件内容或打印邮件。可以在组织中的 AD RMS 服务器上创建其他 RMS 模板，以满足要求。

有关权限策略模板的详细信息，请参阅 AD RMS 策略模板注意事项。

有关创建 AD RMS 权限策略模板的详细信息，请参阅 AD RMS 权限策略模板部署分步指南。

对消息应用 IRM 保护

默认情况下，Exchange 组织已启用 IRM，但若要对邮件应用 IRM 保护，需要使用以下一种或多种方法：

由 Outlook 中的用户手动操作：用户可以使用可用的 AD RMS 权限策略模板在 Outlook 中对邮件进行 IRM 保护。此过程使用 Outlook 中的 IRM 功能，而不是 Exchange。有关在 Outlook 中使用 IRM 的详细信息，请参阅对电子邮件使用 IRM 简介。
Outlook 网页版中的用户手动启用 IRM：当管理员在以前称为 Outlook Web App) 的Outlook 网页版 (中启用 IRM 时，用户可以对发送的消息进行 IRM 保护，并查看他们收到的受 IRM 保护的消息。有关 Outlook 网页版中的 IRM 的详细信息，请参阅了解 Outlook Web App 中的 IRM。
由 Exchange ActiveSync 中的用户手动操作：当管理员在 Exchange ActiveSync中启用 IRM 时，用户可以在 ActiveSync 设备上查看、答复、转发和创建受 IRM 保护的消息。有关详细信息，请参阅了解Exchange ActiveSync中的信息权限管理。
自动在 Outlook 中：管理员可以创建 Outlook 保护规则以自动 IRM 保护邮件。 Outlook 保护规则会自动部署到 Outlook 客户端，当用户撰写邮件时，Outlook 将应用 IRM 保护。有关详细信息，请参阅 Outlook 保护规则。
自动在邮箱服务器上：管理员可以创建邮件流规则 (也称为传输规则，) 自动 IRM 保护符合指定条件的邮件。有关详细信息，请参阅Understanding Transport Protection Rules。

注意

对已经受 IRM 保护的邮件将不再应用 IRM 保护。例如，如果用户 IRM 保护 Outlook 或 Outlook 网页版中的邮件，则传输保护规则不会对同一邮件应用 IRM 保护。

IRM 保护的方案

下表介绍了发送消息的方案，以及 IRM 保护是否可用。

应用场景	是否支持发送IRM-Protected消息？	要求
在同一个本地 Exchange 组织中发送邮件	是	有关要求，请参阅本主题后面的 IRM 要求部分。
在本地组织中的不同 Active Directory 林之间发送消息。	是	有关要求，请参阅配置 AD RMS 以跨多个林与 Exchange Server 2010 集成。
在本地 Exchange 组织与混合部署中的 Microsoft 365 或 Office 365 组织之间发送消息。	是	有关详细信息，请参阅 Exchange 混合部署中的 IRM。
向外部收件人发送邮件	否	Exchange 不包括用于向非联合组织中的外部收件人发送受 IRM 保护的邮件的解决方案。若要使用 Active Directory 联合身份验证服务 (AD FS) 在两个 Active Directory 林之间创建联合信任，请参阅了解 AD RMS 信任策略。

解密受 IRM 保护的消息以强制实施消息传递策略

若要强制实施邮件策略并符合法规要求，Exchange 需要访问加密邮件的内容。为了满足诉讼、法规审核或内部调查导致的电子数据展示要求，指定的审核员还必须能够搜索加密邮件。为了帮助完成这些任务，Exchange 包括以下解密功能：

传输解密：允许 Exchange 服务器上安装的传输代理访问邮件内容。有关详细信息，请参阅了解传输解密。
日记报告解密：允许标准或高级日记功能在日记报告中保存受 IRM 保护的邮件的明文副本。有关详细信息，请参阅启用日记报告解密。
Exchange 搜索的 IRM 解密：允许 Exchange 搜索为受 IRM 保护的邮件中的内容编制索引。当发现管理器执行In-Place电子数据展示搜索时，搜索结果中会返回已编制索引的受 IRM 保护的邮件。有关详细信息，请参阅为 Exchange 搜索和就地 eDiscovery 配置 IRM。

若要启用这些解密功能，需要将联合邮箱 (Exchange) 创建的系统邮箱添加到 AD RMS 服务器上的超级用户组。有关说明，请参阅将联合身份验证邮箱添加到 AD RMS 超级用户组。

预许可

为了允许授权用户查看受 IRM 保护的邮件和附件，Exchange 会自动将预授权附加到受保护的邮件。这可以防止客户端重复访问 AD RMS 服务器以检索使用许可证，并启用脱机查看受 IRM 保护的消息。预授权还允许用户在 Outlook 网页版中查看受 IRM 保护的消息。如果启用了 IRM 功能，则默认情况下会启用预许可。

IRM 代理

IRM 功能使用邮箱服务器上的传输服务中存在的内置传输代理。 Exchange 命令行管理程序中的传输代理管理 cmdlet (*-TransportAgent) 中的大多数内置传输代理不可见且不可管理。

下表介绍了与 IRM 关联的内置传输代理：

代理名	易于管理？	SMTP 或分类程序事件	说明
日记报告解密代理	否	OnCategorizedMessage	提供附加到日记报表的受 IRM 保护的邮件的明文副本。
预授权代理	否	OnRoutedMessage	将预许可证附加到受 IRM 保护的邮件中。
RMS 解密代理	否	OnSubmittedMessage、	解密受 IRM 保护的消息，以允许传输代理访问消息内容。
RMS 加密代理	否	OnRoutedMessage	对传输代理标记的消息应用 IRM 保护，并重新加密传输解密的消息。
RMS 协议解密代理	否	OnEndOfData	解密受 IRM 保护的消息，以允许传输代理访问消息内容。
传输规则代理	是	OnRoutedMessage	将符合传输保护规则中条件的消息标记为受 RMS 加密代理的 IRM 保护。

有关传输代理的详细信息，请参阅 Exchange Server 中的传输代理。

IRM 要求

默认情况下，Exchange 组织为 IRM 启用。若要在 Exchange Server 组织中实际实现 IRM，部署必须满足此表中所述的要求。

服务器	要求
AD RMS 群集	AD RMS 群集是用于任何 AD RMS 部署（包括单个 AD RMS 服务器）的术语。 AD RMS 是一项 Web 服务，因此无需设置 Windows Server 故障转移群集。若要实现高可用性和负载均衡，可以在群集中部署多个 AD RMS 服务器，并使用网络负载均衡 (NLB) 。服务连接点：AD RMS 感知应用程序（如 Exchange）使用 Active Directory 中注册的服务连接点来发现 AD RMS 群集和 URL。 Active Directory 林中只有一个用于 AD RMS 的服务连接点。可以在 AD RMS 安装期间或在安装完成后注册服务连接点。权限：对 AD RMS 服务器认证管道的 `ServerCertification.asmx` 读取和执行权限， () 的文件 `\inetpub\wwwroot\_wmcs\certification\` 必须分配给以下安全主体： Exchange Server 组或单个 Exchange 服务器。 AD RMS 服务器上的 AD RMS 服务组。有关详细信息，请参阅设置对 AD RMS 服务器证书管道的权限。 AD RMS 超级用户：若要为 Exchange 搜索启用传输解密、日记报告解密、Outlook 网页版中的 IRM 和 IRM 解密，需要将联合邮箱添加到 AD RMS 服务器上的超级用户组。有关详细信息，请参阅将联合身份验证邮箱添加到 AD RMS 超级用户组。
Exchange	需要 Exchange 2010 或更高版本。在生产环境中，不支持在同一台服务器上安装 AD RMS 和 Exchange。
Outlook	Outlook 2007 或更高版本中提供了用于保护邮件的 AD RMS 模板。 Exchange 中的 Outlook 保护规则需要 Outlook 2010 或更高版本。
Exchange ActiveSync	IRM 在支持Exchange ActiveSync协议版本 14.1 或更高版本的移动应用程序和设备上可用，并且 Exchange 2010 Service Pack 1) 中引入了 RightsManagementInformation 标记 (。具有受支持设备的用户使用 ActiveSync 查看、答复、转发和创建受 IRM 保护的消息，而无需连接到计算机来激活 IRM 的设备。有关详细信息，请参阅了解Exchange ActiveSync中的信息权限管理。

Exchange IRM 功能支持 Office 文件格式。可通过部署自定义保护程序将 IRM 保护扩展到其他文件格式。有关自定义保护程序的详细信息，请在 Microsoft 解决方案提供商页上搜索信息保护和控制合作伙伴。

配置和测试 IRM

使用 Exchange 命令行管理程序在 Exchange 中配置 IRM 功能。有关过程，请参阅管理权限保护。

安装和配置邮箱服务器后，可以使用 Test-IRMConfiguration cmdlet 对 IRM 部署执行端到端测试。 cmdlet 执行以下测试：

检查 Exchange 组织的 IRM 配置。
检查 AD RMS 服务器的版本和修补程序信息。
验证是否可以通过检索权限帐户证书 (RAC) 和客户端许可方证书为 RMS 激活 Exchange 服务器。
从 AD RMS 服务器获取 AD RMS 权限策略模板。
验证指定的发件人是否可以发送受 IRM 保护的邮件。
检索指定收件人的超级用户使用许可证。
获取指定收件人的预许可证。

有关详细信息，请参阅 Test-IRMConfiguration。

使用权限管理连接器扩展权限管理

Azure Rights Management 连接器 (RMS 连接器) 是一个可选应用程序，它通过采用基于云的 Azure Rights Management (Azure RMS) 服务来增强 Exchange 服务器的数据保护。安装 RMS 连接器后，它会在信息的生存期内提供连续数据保护。而且，由于这些服务是可自定义的，因此可以定义所需的保护级别。例如，可以将电子邮件访问权限限制为特定用户，或为某些邮件设置仅查看权限。

若要详细了解 RMS 连接器以及如何安装它，请参阅部署 Azure Rights Management 连接器。