Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合

在 Exchange 2013 中,可使用 IRM 功能对邮件和附件应用持久保护。IRM 使用 Active Directory 权限管理服务 (AD RMS),这是 Windows Server 2008 及更高版本中的一种信息保护技术。借助 Exchange 2013 中的 IRM 功能,组织和用户可以控制收件人对电子邮件的权限。IRM 还有助于允许或限制某些收件人操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容。用户可在 Microsoft Outlook 或 Microsoft Office Outlook Web App 中应用 IRM 保护,或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同,IRM 还允许组织解密受保护的内容,以强制执行策略遵从性。
 
IRM 有助于执行以下操作:
  • 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容。
  • 用与邮件相同的保护级别保护所支持的附件文件格式。
  • 支持受 IRM 保护的邮件和附件的过期,使其在指定时间段之后,无法再进行查看。
  • 防止使用 Microsoft Windows 中的截图工具复制受 IRM 保护的内容。
但是,IRM 无法防止使用以下方法复制信息:
  • 第三方屏幕捕获程序
  • 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相
  • 用户记住或手动抄录信息
步骤1、安装 AD RMS 服务器角色
1、我们可以在windows 2008 R2 server中或者是windows server 2012中安装RMS服务,基于我们的AD和Exchange是全windows server 2012的环境,我们这里选择一台windows server 2012的服务器安装RMS服务,在服务管理器中选择“添加角色和功能”
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第1张图片
2、下一步,继续安装
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第2张图片
3、选择“基于角色或基于功能的安装”,下一步
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第3张图片
4、选择你需要的服务器,下一步
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第4张图片
5、在 “选择服务器角色”页中,选中 Active Directory Rights Management Services 框。 出现 “角色服务”页,提示 AD RMS 依赖的角色服务和功能。确保列出了 Web 服务器 (IIS)、Windows Process Activation Service (WPAS) 和消息队列,然后单击 “添加必需的角色服务”。单击 “下一步”。连续几次下一步后,出现“安装”。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第5张图片
6、和Windows Server 2008  R2有点不一样,在 Windows Server 2012 中,添加 AD RMS 角色和配置 AD RMS 新群集是两个独立流程。完成添加角色后,需要进行其他配置,以便部署 AD RMS 角色。开始安装,开始漫长的等待。
 
安装完成后,点击通知,我们继续完成其他配置,下一步
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第6张图片
7、新建AD RMS群集,下一步
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第7张图片
8、选择在此服务器上使用windows内部数据库,下一步
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第8张图片
9、指定安装rms的用户
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第9张图片
10、确定之后继续,选择加密模式2,下一步,选择AD RMS集中管理的密钥存储,下一步,  输入AD RMS群集密钥密码
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第10张图片
11、使用SSL加密连接(https://),完全限定的域名输入wsus.trsa.com.cn,下一步
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第11张图片
12、选择wsus.trsa.com.cn,继续下一步
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第12张图片
13、名称保持默认
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第13张图片
14、选择立即注册SCP,下一步
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第14张图片
15、确认安装选择框出现,确认我们的信息无误后,点击安装
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第15张图片
16、安装完后,重启,我们打开AD RMS服务,正常,至此安装完成
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第16张图片
 
步骤2.、AD RMS和exchange整合的相关设置
1、登陆到AD RMS服务器中,打开iis管理控制台,打开iis管理控制台,展开默认站点点击Certification相关设置。
找到ServerCertification.asmx,打开其属性页面,切换到安全,然后点击编辑。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第17张图片
 
2. 添加活动目录中的Exchange Servers、AD RMS Service Group组,并设置为允许“读取”和“读取及运行”
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第18张图片
3. RMS的超级用户组中成员,可以不被限制地访问被IRM保护的数据,RMS组的成员可以进行解密工作。超级用户组默认是被禁用的,需要手动启用。同时,这个组需要是一个启用了邮件功能的通用组。系统邮箱FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户帐号需要加入到这个组中。
 
我们打开收件人,组,新建一个通讯组。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第19张图片
 
 
4、新建一个通讯组,名称是rmsusers,别名是rmsusers,组织单位选择到users组。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第20张图片
5、打开AD,找到刚才新建的通讯组,将FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户添加进rmsusers通讯组。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第21张图片
 
 
6. 下面回到RMS的服务器中,打开AD RMS管理控制台,展开安全策略,启用超级用户,完成启用后打开更改超级用户组,把之前创建的rmsusers添加进去。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第22张图片
 
7. 下面登录到Exchange Server,打开Exchange Management Shell,运行Set-IRMConfiguration - InternalLicensingEnabled $true在Exchange组织内部启用RMS功能。然后运行Get-IRMConfiguration,确保InternalLicensingEnabled为true。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第23张图片
8. 运行命令Test-IRMConfiguration -Sender [email protected]来验证RMS与Exchange的集成。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第24张图片
9、 验证 AD RMS 与 Exchange Server 2010 集成是否生效
使用帐户zp 登陆 owa,并发送一封 mail 给用户 richard和cmd,设置为不可转发,用帐户 cmd 登陆 owa, 可以看到,邮件无法转发。至此RMS和exchange功能集成功能部署完成。
Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合_第25张图片