Outlook 保護規則
適用於:Exchange Server 2013
資訊工作者每天都會透過電子郵件交換敏感性資訊,包括財務報告和資料、客戶和員工資訊,以及機密產品資訊和規格。 在 Microsoft Exchange Server 2013、Microsoft Outlook 和 Microsoft Office Outlook Web App 中,使用者可以套用 Active Directory Rights Management Services (AD RMS) 許可權原則範本,將資訊版權管理 (IRM) 保護套用至訊息。 這需要在組織中部署 AD RMS。 如需 AD RMS 的詳細資訊,請參閱 Active Directory Rights Management Services。
不過,當使用者自行決定時,訊息可能會以純文字傳送,而不需要 IRM 保護。 在使用電子郵件作為託管服務的組織中,當訊息離開用戶端並路由傳送並儲存在組織界限外時,會有資訊外泄的風險。 雖然電子郵件主機公司可能會有定義完善的程式和檢查,以協助降低資訊外泄的風險,但在訊息離開組織的界限之後,組織會失去資訊的控制權。 Outlook 保護規則可協助防止這類資訊外泄。
如需管理 IRM 的相關管理工作,請參閱 資訊版權管理程式。
Outlook 中的自動 IRM 保護
在 Exchange 2013 中,Outlook 保護規則會自動將 IRM 保護套用至 Exchange 2013 中的訊息,以協助貴組織防範資訊外泄的風險。 訊息在離開 Outlook 用戶端之前會受到 IRM 保護。 此保護也會套用至任何使用支援檔案格式的附件。
當您在 Exchange 2013 伺服器上建立 Outlook 保護規則時,規則會使用 Exchange Web Services 自動散發到 Outlook 2010。 若要讓 Outlook 2010 套用規則,您指定的 AD RMS 許可權原則範本必須在使用者的電腦上使用。
重要事項
如果從 AD RMS 伺服器移除許可權原則範本,您必須修改任何使用已移除範本的 Outlook 保護規則。 如果 Outlook 保護規則繼續使用已移除的許可權原則範本,且已在組織中啟用傳輸解密,解密代理程式將無法解密以不再可用的範本保護的郵件。 如果傳輸解密設定為強制,傳輸服務會拒絕訊息,並將非傳遞報告 (NDR) 傳送給寄件者。 如需傳輸解密的詳細資訊,請參閱 傳輸解密。 如需 AD RMS 許可權原則範本的詳細資訊,請參閱 AD RMS 原則範本考慮。
在 Windows Server 2008 和更新版本中,可以封存許可權原則範本,而不是刪除。 封存的範本仍然可以用來授權內容,但是當您建立或修改 Outlook 保護規則時,封存的範本不會包含在範本清單中。
Outlook 保護規則類似于傳輸保護規則。 兩者都是根據訊息條件來套用,而且兩者都會套用 AD RMS 許可權保護範本來保護訊息。 不過,傳輸規則代理程式會在信箱伺服器上的傳輸服務中套用傳輸保護規則。 Outlook 保護規則會在 Outlook 2010 中套用,然後訊息才會離開使用者的電腦。 受 Outlook 保護規則保護的訊息會進入已套用 IRM 保護的傳輸管線。 此外,使用 Outlook 保護規則保護的郵件也會以加密格式儲存在寄件者信箱的 [寄件人] 資料夾中。
注意事項
如果 Exchange 組織中已啟用傳輸解密,則使用組織中 AD RMS 伺服器的 Outlook 保護規則所保護的 IRM 訊息,可由傳輸服務上的解密代理程式解密。 傳輸規則代理程式和其他安裝在傳輸服務上的傳輸代理程式,可以檢查訊息內容。 如需傳輸解密的詳細資訊,請參閱 傳輸解密。
當您使用傳輸保護規則時,使用者不會指出是否要在傳輸服務上自動保護訊息。 當 Outlook 保護規則套用至 Outlook 2010 中的郵件時,使用者會知道訊息是否會受到 IRM 保護。 如有需要,使用者也可以選取不同的許可權原則範本。
建立 Outlook 保護規則
若要建立 Outlook 保護規則,您必須在 Exchange 管理命令介面中使用 New-OutlookProtectionRule Cmdlet。 如需詳細指示,請 參閱建立 Outlook 保護規則。
建立規則時,您可以指定使用者是否可以覆寫它,方法是移除 IRM 保護,或套用與規則中指定的不同 AD RMS 許可權原則範本。 如果使用者覆寫 Outlook 保護規則所套用的 IRM 保護,Outlook 2010 會 X-MS-Outlook-Client-Rule-Overridden
在訊息中插入標頭,讓您判斷該規則已由使用者覆寫。
Outlook 保護規則中的述詞
Outlook 保護規則可讓您使用三個述詞,以便在 Outlook 2010 中自動套用 IRM 保護:
FromDepartment: FromDepartment 述詞會在 Active Directory 中查閱寄件者的部門屬性,如果寄件者的部門符合規則中指定的部門,則 IRM 會自動保護訊息。 例如,您可以建立 Outlook 保護規則,來自動保護 Research 部門傳送的所有訊息。
SentTo:您的組織可能需要保護傳送給特定敏感性收件者的郵件,例如「所有公司」或「財務」通訊群組。 使用 SentTo 述詞,您可以建立 Outlook 保護規則,以自動將 IRM 保護訊息傳送給指定的收件者。
SentToScope: SentToScope 述詞可讓您建立 Outlook 保護規則,以自動保護組織內部或外部傳送的 IRM 保護訊息。 例如,您可以使用 SentToScope 述詞搭配 FromDepartment 述詞,將特定部門傳送給內部使用者的 IRM 保護訊息。