在 Exchange 2013 中,可使用 IRM 功能对邮件和附件应用持久保护。IRM 使用 Active Directory 权限管理服务 (AD RMS),这是 Windows Server 2008 及更高版本中的一种信息保护技术。借助 Exchange 2013 中的 IRM 功能,组织和用户可以控制收件人对电子邮件的权限。IRM 还有助于允许或限制某些收件人操作,例如向其他收件人转发邮件、打印邮件或附件,或者是通过复制和粘贴提取邮件或附件内容。用户可在 Microsoft Outlook 或 Microsoft Office Outlook Web App 中应用 IRM 保护,或者可以根据组织的邮件策略并使用传输保护规则或 Outlook 保护规规则应用 IRM 保护。与其他电子邮件加密解决方案不同,IRM 还允许组织解密受保护的内容,以强制执行策略遵从性。
IRM 有助于执行以下操作:

  • 防止受 IRM 保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容。

  • 用与邮件相同的保护级别保护所支持的附件文件格式。

  • 支持受 IRM 保护的邮件和附件的过期,使其在指定时间段之后,无法再进行查看。

  • 防止使用 Microsoft Windows 中的截图工具复制受 IRM 保护的内容。

但是,IRM 无法防止使用以下方法复制信息:

  • 第三方屏幕捕获程序

  • 使用照相机等图像处理设备对显示在屏幕上的受 IRM 保护的内容进行照相

  • 用户记住或手动抄录信息



下面来部署RMS,

1.安装AD RMS服务器角色

选择域内的一台windows server2012服务器来安装RMS服务,这里选择DC,

打开服务器管理-添加角色服务


8.exchange2013实战操作之RMS_操作


选择服务器

8.exchange2013实战操作之RMS_RMS_02


选择AD RMS

8.exchange2013实战操作之RMS_操作_03

8.exchange2013实战操作之RMS_操作_04

开始安装

8.exchange2013实战操作之RMS_exchange2013_05


安装完成后-点击执行其他配置

8.exchange2013实战操作之RMS_操作_06



创建新的AD RMS根群集

8.exchange2013实战操作之RMS_操作_07



选择此服务器的windows 内部数据库

8.exchange2013实战操作之RMS_RMS_08


输入域管理员账户不可用,必须要特定用户才行

8.exchange2013实战操作之RMS_RMS_09


在AD 用户和计算机中新建用户RMSUSER

8.exchange2013实战操作之RMS_exchange2013_10


将RMSUSER加入域管理员组

8.exchange2013实战操作之RMS_exchange2013_11

指定特定账户通过

8.exchange2013实战操作之RMS_RMS_12

选择加密方式

8.exchange2013实战操作之RMS_exchange2013_13

选择密钥存储方式

8.exchange2013实战操作之RMS_操作_14


选择虚拟目录选择网站

8.exchange2013实战操作之RMS_exchange2013_15


指定群集地址

8.exchange2013实战操作之RMS_exchange2013_16


选择SSL证书

8.exchange2013实战操作之RMS_RMS_17


输入服务器名称

8.exchange2013实战操作之RMS_操作_18



CP注册

8.exchange2013实战操作之RMS_exchange2013_19


安装确认信息

8.exchange2013实战操作之RMS_操作_20


安装成功

8.exchange2013实战操作之RMS_RMS_21


开始目录打开AD RMS

8.exchange2013实战操作之RMS_操作_22

必须重启服务器

8.exchange2013实战操作之RMS_exchange2013_23


服务器管理-打开IIS-右键选择certefication浏览


8.exchange2013实战操作之RMS_RMS_24

8.exchange2013实战操作之RMS_RMS_25


右键选择servercertification.asmx--属性


8.exchange2013实战操作之RMS_exchange2013_26


添加用户组AD rms service group和exchange servers, 赋予读取和执行的权限

8.exchange2013实战操作之RMS_exchange2013_27

8.exchange2013实战操作之RMS_exchange2013_28

8.exchange2013实战操作之RMS_RMS_29



进入ecp 收件人-组-新建通讯组

8.exchange2013实战操作之RMS_exchange2013_30


填写基本信息

8.exchange2013实战操作之RMS_exchange2013_31

8.exchange2013实战操作之RMS_RMS_32

在AD用户和计算机中 右键选择刚才创建的通讯组--属性

8.exchange2013实战操作之RMS_exchange2013_33


添加成员-federateemail.XXXXXXXXXXXXXXXXX

8.exchange2013实战操作之RMS_exchange2013_34


打开AD RMS-安全策略-超级用户-更改超级用户组

8.exchange2013实战操作之RMS_RMS_35

8.exchange2013实战操作之RMS_操作_36


浏览-加入刚才创建的通讯组 RMS@contoso.com

8.exchange2013实战操作之RMS_exchange2013_37

8.exchange2013实战操作之RMS_操作_38


超级用户组创建成功

8.exchange2013实战操作之RMS_操作_39

下面登录到Exchange Server,打开Exchange Management Shell,运行Set-IRMConfiguration -InternalLicensingEnabled $true在Exchange组织内部启用RMS功能。然后运行Get-IRMConfiguration,确保InternalLicensingEnabled为true。

8.exchange2013实战操作之RMS_RMS_40


运行命令Test-IRMConfiguration -Sender zhangy@contoso.com来验证RMS与Exchange的集成

8.exchange2013实战操作之RMS_操作_41


张一发送邮件给王二

8.exchange2013实战操作之RMS_exchange2013_42


王二收到的邮件

8.exchange2013实战操作之RMS_操作_43