Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合

Exchange 2013部署系列之(十)信息权限保护RMS和Exchange 2013的整合

---

在 Exchange 2013 中，可使用 IRM 功能对邮件和附件应用持久保护。IRM 使用 Active Directory 权限管理服务 (AD RMS)，这是 Windows Server 2008 及更高版本中的一种信息保护技术。借助 Exchange 2013 中的 IRM 功能，组织和用户可以控制收件人对电子邮件的权限。IRM 还有助于允许或限制某些收件人操作，例如向其他收件人转发邮件、打印邮件或附件，或者是通过复制和粘贴提取邮件或附件内容。用户可在 Microsoft Outlook 或 Microsoft Office Outlook Web App 中应用 IRM 保护，或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同，IRM 还允许组织解密受保护的内容，以强制执行策略遵从性。

 

IRM 有助于执行以下操作：

• 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容。
  
• 用与邮件相同的保护级别保护所支持的附件文件格式。
  
• 支持受 IRM 保护的邮件和附件的过期，使其在指定时间段之后，无法再进行查看。
  
• 防止使用 Microsoft Windows 中的截图工具复制受 IRM 保护的内容。
  

但是，IRM 无法防止使用以下方法复制信息：

• 第三方屏幕捕获程序
  
• 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相
  
• 用户记住或手动抄录信息
  

步骤1、安装 AD RMS 服务器角色

1、我们可以在windows 2008 R2 server中或者是windows server 2012中安装RMS服务，基于我们的AD和Exchange是全windows server 2012的环境，我们这里选择一台windows server 2012的服务器安装RMS服务，在服务管理器中选择“添加角色和功能”

2、下一步，继续安装

3、选择“基于角色或基于功能的安装”，下一步

4、选择你需要的服务器，下一步

5、在 “选择服务器角色”页中，选中 Active Directory Rights Management Services 框。 出现 “角色服务”页，提示 AD RMS 依赖的角色服务和功能。确保列出了 Web 服务器 (IIS)、Windows Process Activation Service (WPAS) 和消息队列，然后单击 “添加必需的角色服务”。单击 “下一步”。连续几次下一步后，出现“安装”。

6、和Windows Server 2008  R2有点不一样，在 Windows Server 2012 中，添加 AD RMS 角色和配置 AD RMS 新群集是两个独立流程。完成添加角色后，需要进行其他配置，以便部署 AD RMS 角色。开始安装，开始漫长的等待。

 

安装完成后，点击通知，我们继续完成其他配置，下一步

7、新建AD RMS群集，下一步

8、选择在此服务器上使用windows内部数据库，下一步

9、指定安装rms的用户

10、确定之后继续，选择加密模式2，下一步，选择AD RMS集中管理的密钥存储，下一步，  输入AD RMS群集密钥密码

11、使用SSL加密连接(https://)，完全限定的域名输入wsus.trsa.com.cn,下一步

12、选择wsus.trsa.com.cn，继续下一步

13、名称保持默认

14、选择立即注册SCP，下一步

15、确认安装选择框出现，确认我们的信息无误后，点击安装

16、安装完后，重启，我们打开AD RMS服务，正常，至此安装完成

 

步骤2.、AD RMS和exchange整合的相关设置

1、登陆到AD RMS服务器中，打开iis管理控制台，打开iis管理控制台，展开默认站点点击Certification相关设置。

找到ServerCertification.asmx，打开其属性页面，切换到安全，然后点击编辑。

 

2. 添加活动目录中的Exchange Servers、AD RMS Service Group组，并设置为允许“读取”和“读取及运行”

3. RMS的超级用户组中成员，可以不被限制地访问被IRM保护的数据，RMS组的成员可以进行解密工作。超级用户组默认是被禁用的，需要手动启用。同时，这个组需要是一个启用了邮件功能的通用组。系统邮箱FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户帐号需要加入到这个组中。

 

我们打开收件人，组，新建一个通讯组。

 

 

4、新建一个通讯组，名称是rmsusers,别名是rmsusers，组织单位选择到users组。

5、打开AD，找到刚才新建的通讯组，将FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042用户添加进rmsusers通讯组。

 

 

6. 下面回到RMS的服务器中，打开AD RMS管理控制台，展开安全策略，启用超级用户，完成启用后打开更改超级用户组，把之前创建的rmsusers添加进去。

 

7. 下面登录到Exchange Server，打开Exchange Management Shell，运行Set-IRMConfiguration - InternalLicensingEnabled $true在Exchange组织内部启用RMS功能。然后运行Get-IRMConfiguration，确保InternalLicensingEnabled为true。

8. 运行命令Test-IRMConfiguration -Sender [email protected]来验证RMS与Exchange的集成。

9、 验证 AD RMS 与 Exchange Server 2010 集成是否生效

使用帐户zp 登陆 owa，并发送一封 mail 给用户 richard和cmd，设置为不可转发，用帐户 cmd 登陆 owa， 可以看到，邮件无法转发。至此RMS和exchange功能集成功能部署完成。