企业级用户可以借助Windows Azure AD RMS来保护Office 365中的应用和数据信息,比如邮件、文档库或者其他机密文件,一旦机密内容被保护,仅有授权RMS使用权限的用户才能解密以达到查阅信息的目的。
在使用上,Windows Azure AD RMS与Office 365紧密结合,高效地与Exchange Online、SharePoint Online以及Office Professional Plus 2016进行集成以提供权限管理能力,本文将基于国际版Office 365环境上重点介绍AD RMS与Exchange Online的集成使用。
内容将覆盖以下4个方面:
1. 使用WindowsAzure PowerShell激活权限管理
2. 授予“权限管理服务”的管理权限
3. 使用Windows Azure PowerShell启用IRM服务
4. 为Outlook应用中的电子邮件启用IRM
使用WindowsAzure PowerShell激活权限管理
有两种方法激活AD RMS,方法1:利用Office 365 管理中心来激活 AD RMS;方法2:利用Windows Azure PowerShell的方式来激活AD RMS,本文重点推送利用Windows Azure PowerShell的方法进行配置介绍。
使用Windows Azure PowerShell 激活权限管理,系统需要满足的配置条件如下所示:
1. 操作系统版本:WindowsServer 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server2008, Windows 8.1, Windows 8, Windows 7
2. Microsoft .NET Framework 的最低版本:4.5
3. Microsoft Online Services 登录助手 7.0
连接到aadrm(Azure AD Rights Management)服务的具体操作步骤为:
1. 安装所需要的软件
1) 安装64位的Microsoft Online Services登录助手,链接地址为:https://www.microsoft.com/en-us/download/details.aspx?id=41950
2) 安装 64 位版本的 用于 Windows PowerShell 的 Azure RightsManagement管理工具,链接地址为:http://www.microsoft.com/en-us/download/details.aspx?id=30339
2. 以管理员身份运行WindowsAzure Active Directory模块,输入命令:Import-Module aadrm
3. 连接aadrm服务,输入命令:Connect-aadrmservice–Verbose,如下图所示:
4. 在弹出的Credential Require窗口,输入登录用户名和密码,该用户需要是Office 365 管理中心的全局管理员,点击“OK”,如下图所示:
说明:执行步骤 4 后,如果未收到任何错误,则说明连接成功,如下图所示:
说明:如果需断开aadrm服务,输入命令:Disconnect-aadrmservice
授予“权限管理服务”的管理权限
默认情况下,Office365全局管理员可以利用Add-AadrmRoleBasedAdministrator 命令指定管理该服务的用户或者安全组,本文以为单一用户授予“权限管理服务”的管理员权限为例,具体操作步骤:
1. 成功连接aadrm后,以用户Neil为例,输入命令:Add-AadrmRoleBasedAdministrator –EmailAddress Neil@JFoxdave.onmicrosoft.com
如下图所示:
命令中的参数说明:EmailAddress,指定用户或组的电子邮件地址,该cmdlet 将为指定的电子邮件地址标识的用户或组添加管理权限。
2. 添加成功之后,将显示添加成功的信息,如下图所示:
说明:
1. 如果浏览具备权限管理服务的列表,输入命令:Get-AadrmRoleBasedAdministrator
2. 如果将安全组授予“权限管理服务”,输入命令:Add-AadrmRoleBasedAdministrator–SecurityGroupDisplayName “Group Name”
3. 如果将单一用户从“权限管理服务”管理员权限中删除,输入命令:Remove-AadrmRoleBasedAdministrator –EmailAddress “user@domainname”
4. 如果将安全组从“权限管理服务”管理员权限中删除,输入命令:Remove-AadrmRoleBasedAdministrator–SecurityGroupDisplayName “Group Name”
使用WindowsAzure PowerShell启用IRM服务
使用WindowsAzure PowerShell启用IRM服务主要分以下4个步骤:
1. 链接ExchangeOnline
2. 配置RMSOnline主要共享地址
3. 从RMSOnline导入信任的并且发布的域
4. 在ExchangeOnline激活IRM
具体操作步骤如下所示:
1. 以Office365 全局管理员身份运行WindowsAzure Active Directory Module for Windows PowerShell,输入如下命令来链接Exchange Online,如下图所示:
Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://ps.outlook.com/powershell -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session
2. 配置RMSOnline关键共享位置,输入命令:Set-IRMConfiguration–RMSOnlineKeySharingLocation “https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc”,如下图所示:
命令中的参数说明:RMSOnlineKeySharingLocation:此参数仅在基于云的服务中可用,指定用于Exchange Online 组织获取可信发布域 (TPD) 的 RMS Online URL。
说明:根据Office365的数据中心位置不同,RMS主要的共享位置不同,示例中以Office365 的数据中心为亚洲的共享地址。
下表为其他位置所对应的RMS关键共享URL:
位置 | RMS 关键共享位置 |
北美 | https://sp-rms.na.aadrm.com/TenantManagement/ServicePartner.svc |
欧盟 | https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc |
南美洲 | https://sp-rms.sa.aadrm.com/TenantManagement/ServicePartner.svc |
3. 从RMSOnline导入可信发布域,输入命令:Import-RMSTrustedPublishingDomain -RMSOnline –name “RMS Online”如下图所示:
4. 在ExchangeOnline中激活IRM,输入命令:Set-IRMConfiguration -InternalLicensingEnabled $True 如下图所示:
命令中的参数说明:InternalLicensingEnabled 参数指定是否为发送到内部收件人的邮件启用 IRM 功能。在内部部署中,默认情况下对内部邮件禁用许可。要启用许可,请将该值设置为$true
。如果将 InternalLicensingEnabled 参数设置为 $false
,则使用 Get-RMSTemplate cmdlet 时不返回任何 AD RMS 模板。
5. 验证IRM配置是否成功,输入命令:Test-IRMConfiguration-RMSOnline ,如下图所示:
说明:以命令Test-IRMConfiguration–Sender “user@domainname” 来验证IRM配置是否成功。
为Outlook应用中的电子邮件启用IRM
在ExchangeOnline中配置和激活IRM设置之后,用户可在Outlook或者Outlook Web应用中为邮件信息申请IRM策略。
管理员可以通过使用传输保护规则将 IRM 保护自动应用于 Outlook 和 Outlook Web App,也可以创建 Outlook 保护规则,来实现保护邮件信息的目的。
用户可以通过从“设置权限”列表中选择模板来将 ADRMS 权限策略模板应用于电子邮件。当用户发送受 IRM 保护的邮件时,任何使用支持格式的附加文件也会受到与邮件相同的 IRM 保护。IRM 保护会应用于与 Word、Excel 和PowerPoint 相关联的文件以及 .xps文件和附加的电子邮件。
管理员在ExchangeOnline中创建传输保护规则的具体操作步骤如下所示:
1. 在Office 365 管理中心界面,展开管理中心菜单并点击“Exchange”,如下图所示:
2. 在ExchangeOnline管理中心界面,点击“邮件流”,如下图所示:
3. 在邮件流界面,点击规则标签中的“创建新规则”,如下图所示:
4. 在创建新规则界面,点击“更多选项“,如下图所示:
输入如下信息:
· 名称:为新规则输入一个名称。
· 在以下情况应用此规则:选择合适的情况,本示例以适用于所有邮件为例
如下图所示:
· 在执行以下操作中,选择“修改邮件安全性”中的“应用权限保护”,如下图所示:
· 在弹出的选择RMS模板中,以“不可转发”为例,点击“确定”,如下图所示:
· 其他界面设置根据需求而定,本示例以默认设置为例,点击“保存”,如下图所示:
5. 在弹出的警告界面,点击“是”,如下图所示:
用户为Outlook应用中的电子邮件启用IRM的具体操作步骤如下所示:
1. 在Office365管理中心的设置中,点击“邮件”,如下图所示:
2. 在Outlook界面,展开“新建”并点击“电子邮件”,如下图所示:
3. 在新邮件界面,展开,选择“设置权限”中权限设置,本示例以“不可转发”为例,如下图所示:
谢谢阅读!