Active Directory Rights Management Services Overview

Applies To: Windows Server 2012 R2, Windows Server 2012

Did you know that Microsoft Azure provides similar functionality in the cloud? Learn more about Microsoft Azure identity solutions. Create a hybrid identity solution in Microsoft Azure: — Learn about Azure Rights Management. — Deploy the Azure Rights Management Connector.

This document provides an overview of Active Directory Rights Management Services (AD RMS) in Windows Server® 2012. AD RMS is the server role that provides you with management and development tools that work with industry security technologies—including encryption, certificates, and authentication—to help organizations create reliable information protection solutions.

Did you mean…

Role description

AD RMS can be used to augment the security strategy for your organization by protecting documents using information rights management (IRM).

AD RMS allows individuals and administrators through IRM policies to specify access permissions to documents, workbooks, and presentations. This helps prevent sensitive information from being printed, forwarded, or copied by unauthorized people. After permission for a file has been restricted by using IRM, the access and usage restrictions are enforced no matter where the information is, because the permission to a file is stored in the document file itself.

AD RMS and IRM help individuals enforce their personal preferences concerning the transmission of personal or private information. They also help organizations enforce corporate policy governing the control and dissemination of confidential or proprietary information.

AD RMS running on Windows Server 2012 R2 or Windows Server 2012 meets the requirements of FIPS 140-2 when this server role is deployed as described in FIPS Compliance Issues for RMS.

Practical applications

IRM solutions that AD RMS enables are used to help provide the following:

Persistent usage policies, which remain with the information, no matter where it is moved, sent or forwarded.

An additional layer of privacy to protect sensitive information —such as financial reports, product specifications, customer data, and confidential e-mail messages—from intentionally or accidentally getting into the wrong hands.

Prevent an authorized recipient of restricted content from forwarding, copying, modifying, printing, faxing, or pasting the content for unauthorized use

Prevent restricted content from being copied by using the Print Screen feature in Microsoft Windows

Support file expiration so that content in documents can no longer be viewed after a specified period of time

Enforce corporate policies that govern the use and dissemination of content within the company

IRM-based solutions that AD RMS supports cannot prevent all types of threats to the security of sensitive documents or prevent disclosure of screen readable information under all circumstances. For example, the following are some types of document security threats that AD RMS does not address or mitigate:

Content from being erased, stolen, or captured and transmitted by malicious programs such as Trojan horses, keystroke loggers, and certain types of spyware

Content from being lost or corrupted because of the actions of computer viruses

Restricted content from being hand-copied or retyped from a display on a recipient’s screen

A recipient from taking a digital photograph of the restricted content displayed on a screen

Restricted content from being copied by using third-party screen-capture programs

For more information about how AD RMS can be used to design secure document collaboration, see AD RMS Architecture Design and Secure Collaboration Scenarios.

For information about how AD RMS can secure all file types, see How RMS protects all file types – by using the RMS sharing app.

New and changed functionality

Several improvements have been made to the Windows Server 2012 version of AD RMS. These enhancements are covered online in the article What’s New in AD RMS?

Server Manager information

The installation of AD RMS role services can be performed through the Server Manager. The following role services can be installed:

Role service	Description
Active Directory Rights Management Server	The Active Directory Rights Management Server is a required role service that installs all AD RMS features used to publish and consume rights-protected content.
Identity Federation Support	The identity federation support role service is an optional role service that allows federated identities to consume rights-protected content by using Active Directory Federation Services.

Upgrading or migrating

If you are running a version of Rights Management that you want to upgrade or migrate to the latest version, use the following resources:

To upgrade or migrate to Active Directory Rights Management (AD RMS): RMS to AD RMS Migration and Upgrade Guide

To migrate to Azure Rights Management (Azure RMS): Migrating from AD RMS to Azure Rights Management

See also

The following table provides additional resources for evaluating AD RMS.

Настройка функции управления правами на доступ к данным для использования локального сервера служб AD RMS Configure IRM to use an on-premises AD RMS server

Для использования в локальном развертывании управление правами на информацию (IRM) в Exchange Online использует служба управления правами Active Directory (AD RMS), технологию защиты информации в Windows Server 2008 и более поздних версиях. For use with on-premises deployments, Information Rights Management (IRM) in Exchange Online uses Active Directory Rights Management Services (AD RMS), an information protection technology in Windows Server 2008 and later. К сообщению электронной почты применяется шаблон политики прав AD RMS. IRM protection is applied to email by applying an AD RMS rights policy template to an email message. Права прикрепляются к сообщению, поэтому защита обеспечивается как в сети, так и вне ее, за пределами брандмауэра организации и внутри него. Rights are attached to the message itself so that protection occurs online and offline and inside and outside of your organization’s firewall.

В этом разделе показано, как настроить управление правами на доступ к данным для использования сервера службы управления правами Active Directory. This topic shows you how to configure IRM to use an AD RMS server. Сведения об использовании новых возможностей шифрования сообщений Office 365 с Помощью Azure Active Directory и Управления правами Azure см. в faQ шифрования сообщений Office 365. For information about using the new capabilities for Office 365 Message Encryption with Azure Active Directory and Azure Rights Management, see the Office 365 Message Encryption FAQ.

Дополнительные сведения об управлении правами на доступ к данным в Exchange Online см. в разделе Управление правами на доступ к данным в Exchange Online. To learn more about IRM in Exchange Online, see Information Rights Management in Exchange Online.

Что нужно знать перед началом работы What do you need to know before you begin?

Предполагаемое время выполнения задачи: 30 минут. Estimated time to complete this task: 30 minutes

Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье «Управление правами на доступ к данным» в статье Messaging policy and compliance permissions. You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the «Information Rights Management» entry in the Messaging policy and compliance permissions topic.

Сервер службы управления правами Active Directory должен работать под управлением ОС Windows Server 2008 или более поздней версии. Сведения о развертывании службы управления правами Active Directory см. в разделе Установка кластера службы управления правами Active Directory. The AD RMS server must be running Windows Server 2008 or later. For details about how to deploy AD RMS, see Installing an AD RMS Cluster.

Сведения об установке и настройке Windows PowerShell и подключении к службе см. в разделе Подключение к Exchange Online с помощью удаленной оболочки PowerShell. For details about how to install and configure Windows PowerShell and connect to the service, see Connect to Exchange Online Using Remote PowerShell.

Сведения о ярлыках клавиатуры, которые могут применяться к процедурам в этом разделе, см. в разделе Клавишные ярлыки для центра администрирования Exchange в Exchange Online. For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts for the Exchange admin center in Exchange Online.

Возникли проблемы? Having problems? Обратитесь за помощью к участникам форумов Exchange. Ask for help in the Exchange forums. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Как это сделать How do you do this?

Действие 1. Использование консоли службы управления правами Active Directory для экспорта доверенного домена публикации (TPD) из сервера службы управления правами Active Directory Step 1: Use the AD RMS console to export a trusted publishing domain (TPD) from an AD RMS server

Первый шаг — это экспорт доверенного домена публикации (TPD) с локального сервера AD RMS в XML-файл. Доверенный домен публикации (TPD) содержит следующие параметры, необходимые для использования функции службы управления правами: The first step is to export a trusted publishing domain (TPD) from the on-premises AD RMS server to an XML file. The TPD contains the following settings needed to use RMS features:

серверный сертификат лицензиара (SLC), который используется для подписания и шифрования сертификатов и лицензий; The server licensor certificate (SLC) used for signing and encrypting certificates and licenses

URL-адреса, используемые для лицензирования и публикации; The URLs used for licensing and publishing

шаблоны политики прав службы управления правами Active Directory, созданные с помощью конкретного серверного сертификата лицензиара (SLC) для данного доверенного домена публикации (TPD). The AD RMS rights policy templates that were created with the specific SLC for that TPD

При импорте доверенного домена публикации он сохраняется и защищается в Exchange Online. When you import the TPD, it’s stored and protected in Exchange Online.

Откройте консоль службы управления правами Active Directory и разверните кластер AD RMS. Open the Active Directory Rights Management Services console, and then expand the AD RMS cluster.

В дереве консоли раскройте узел Политики доверия, а затем выберите пункт Доверенные домены публикации. In the console tree, expand Trust Policies, and then click Trusted Publishing Domains.

В области результатов выберите сертификат домена, который необходимо экспортировать. In the results pane, select the certificate for the domain you want to export.

На панели Действия выберите команду Экспортировать доверенный домен публикации. In the Actions pane, click Export Trusted Publishing Domain.

В окне Файл домена публикации нажмите кнопку Сохранить как, чтобы сохранить файл в известном расположении на локальном компьютере. Введите имя файла и обязательно укажите расширение имени файла .xml , а затем нажмите кнопку Сохранить. In the Publishing domain file box, click Save As to save the file to a specific location on the local computer. Type a file name, making sure to specify the .xml file name extension, and then click Save.

В полях Пароль и Подтверждение пароля введите надежный пароль, используемый для шифрования файла доверенного домена публикации. Этот пароль потребуется указать при импорте доверенного домена публикации в облачную почтовую организацию. In the Password and Confirm Password boxes, type a strong password that will be used to encrypt the trusted publishing domain file. You will have to specify this password when you import the TPD to your cloud-based email organization.

Действие 2. Импортируйте TPD в службу Exchange Online с помощью командной консоли Exchange Step 2: Use the Exchange Management Shell to import the TPD to Exchange Online

После экспорта TPD в XML-файл следует импортировать его в Exchange Online. При импорте TPD также импортируются шаблоны службы управления правами Active Directory вашей организации. При импорте первого TPD он становится TPD по умолчанию для вашей организации на основе облака. При импорте другого TPD можно использовать параметр Default, чтобы использовать его по умолчанию. After the TPD is exported to an XML file, you have to import it to Exchange Online. When a TPD is imported, your organization’s AD RMS templates are also imported. When the first TPD is imported, it becomes the default TPD for your cloud-based organization. If you import another TPD, you can use the Default switch to make it the default TPD that is available to users.

Для импорта TPD выполните в среде Windows PowerShell следующую команду: To import the TPD, run the following command in Windows PowerShell:

Значения параметров ExtranetLicensingUrl и IntranetLicensingUrl можно получить в консоли службы управления правами Active Directory. В дереве консоли выберите кластер AD RMS. В области результатов отобразятся URL-адреса лицензирования. Эти URL-адреса используются почтовыми клиентами при необходимости расшифровки контента и в случае, если Exchange Online требуется определить используемый TPD. You can obtain the values for the ExtranetLicensingUrl and IntranetLicensingUrl parameters in the Active Directory Rights Management Services console. Select the AD RMS cluster in the console tree. The licensing URLs are displayed in the results pane. These URLs are used by email clients when content has to be decrypted and when Exchange Online needs to determine which TPD to use.

При запуске данной команды потребуется ввести пароль. Введите пароль, указанный при экспорте TPD с сервера AD RMS. When you run this command, you’ll be prompted for a password. Enter the password that you specified when you exported the TPD from your AD RMS server.

Например, при выполнении следующей команды импортируется TPD с именем «Exported TPD» с помощью XML-файла, экспортированного с сервера службы управления правами Active Directory и сохраненного на рабочем столе учетной записи администратора. Параметр Name используется для указания имени TPD. For example, the following command imports the TPD named Exported TPD using the XML file that you exported from your AD RMS server and saved to the desktop of the Administrator account. The Name parameter is used to specify a name to the TPD.

Подробные сведения о синтаксисе и параметрах см. в разделе Import-RMSTrustedPublishingDomain. For detailed syntax and parameter information, see Import-RMSTrustedPublishingDomain.

Как убедиться, что все получилось? How do you know this step worked?

Чтобы убедиться, что вы успешно импортировали TPD, выполните командлет Get-RMSTrustedPublishingDomain для извлечения доверенных доменов публикации в вашей организации Exchange Online. Для получения дополнительных сведений см. примеры в разделе Get-RMSTrustedPublishingDomain. To verify that you have successfully imported the TPD, run the Get-RMSTrustedPublishingDomain cmdlet to retrieve TPDs in your Exchange Online organization. For details, see the examples in Get-RMSTrustedPublishingDomain.

Действие 3. Распространите шаблон политики прав AD RMS с помощью командной консоли Exchange Step 3: Use the Exchange Management Shell to distribute an AD RMS rights policy template

После импорта TPD необходимо распространить шаблон политики прав службы управления правами Active Directory. After you import the TPD, you must make sure an AD RMS rights policy template is distributed. Распределенный шаблон виден пользователям Outlook в Интернете (ранее Outlook Web App), которые затем могут применить шаблоны к сообщению электронной почты. A distributed template is visible to Outlook on the web (formerly known as Outlook Web App) users, who can then apply the templates to an email message.

Чтобы получить список всех шаблонов в TPD по умолчанию, выполните следующую команду. To return a list of all templates contained in the default TPD, run the following command:

Если значение параметра Type равно Archived , шаблон будет недоступен пользователям. If the value of the Type parameter is Archived , the template isn’t visible to users. В Outlook в Интернете доступны только распределенные шаблоны в TPD по умолчанию. Only distributed templates in the default TPD are available in Outlook on the web.

Чтобы распространить шаблон, выполните следующую команду. To distribute a template, run the following command:

Например, при выполнении следующей команды импортируется шаблон «Company Confidential». For example, the following command imports the Company Confidential template.

Дополнительные сведения о синтаксисе и параметрах см. в разделах Get-RMSTemplate и Set-RMSTemplate. For detailed syntax and parameter information, see Get-RMSTemplate and Set-RMSTemplate.

Шаблон «»Не пересылать»» The Do Not Forward template

При импорте TPD по умолчанию из локальной организации в Exchange Online импортируется один шаблон политики прав службы управления правами Active Directory с именем Не пересылать. Этот шаблон автоматически распространяется при импорте TPD по умолчанию. Изменить шаблон Не пересылать с помощью командлета Set-RMSTemplate нельзя. When you import the default TPD from your on-premises organization into Exchange Online, one AD RMS rights policy template named Do Not Forward is imported. By default, this template is distributed when you import the default TPD. You can’t use the Set-RMSTemplate cmdlet to modify the Do Not Forward template.

Когда к сообщению применяется шаблон Не пересылать, прочитать это сообщение смогут только получатели, являющиеся его адресатами. Кроме того, получатели не смогут: When the Do Not Forward template is applied to a message, only the recipients addressed in the message can read the message. Additionally, recipients can’t do the following:

пересылать сообщение другому пользователю; Forward the message to another person.

копировать содержимое сообщения. Copy content from the message.

и печатать его. Print the message.

Шаблон Не пересылать не сможет защитить информацию из сообщения от копирования с помощью сторонних программ или камер, а также от простого переписывания. The Do Not Forward template can’t prevent information in a message from being copied with third-party screen capture programs, cameras, or users manually transcribing the information

Можно также создать дополнительные шаблоны политики прав службы управления правами Active Directory на сервере службы управления правами Active Directory в локальной организации в соответствии с требованиями защиты IRM. При создании дополнительных шаблонов политики прав службы управления правами Active Directory следует снова экспортировать TPD с локального сервера службы управления правами Active Directory и обновить TPD в облачной почтовой организации. You can create additional AD RMS rights policy templates on the AD RMS server in your on-premises organization to meet your IRM protection requirements. If you create additional AD RMS rights policy templates, you have to export the TPD from the on-premises AD RMS server again and refresh the TPD in the cloud-based email organization.

Как убедиться, что все получилось? How do you know this step worked?

Чтобы убедиться, что вы успешно распространили шаблон политики прав службы управления правами Active Directory, выполните командлет Get-RMSTemplate для проверки свойств шаблона. Для получения дополнительных сведений см. примеры в разделе Get-RMSTemplate. To verify that you have successfully distributed and AD RMS rights policy template, run the Get-RMSTemplate cmdlet to check the template’s properties. For details, see the examples in Get-RMSTemplate.

Действие 4. Включите управление правами на доступ к данным с помощью командной консоли Exchange Step 4: Use the Exchange Management Shell to enable IRM

После импорта TPD и распространения шаблона политики прав службы управления правами Active Directory выполните следующую команду, чтобы включить управление правами на доступ к данным для своей облачной почтовой организации. After you import the TPD and distribute an AD RMS rights policy template, run the following command to enable IRM for your cloud-based email organization.

Подробные сведения о синтаксисе и параметрах см. в разделе Set-IRMConfiguration. For detailed syntax and parameter information, see Set-IRMConfiguration.

Как убедиться, что все получилось? How do you know this step worked?

Чтобы убедиться, что вы успешно включили управление правами на доступ к данным (IRM), выполните командлет Get-IRMConfiguration для проверки конфигурации IRM в организации Exchange Online. To verify that you have successfully enabled IRM, run the Get-IRMConfiguration cmdlet to check IRM configuration in the Exchange Online organization.

Как убедиться, что это сработало? How do you know this task worked?

Чтобы убедиться, что вы успешно импортировали TPD и включили IRM, выполните приведенные ниже действия. To verify that you have successfully imported the TPD and enabled IRM, do the following:

С помощью командлета Test-IRMConfiguration проверьте функциональные возможности IRM. Подробные сведения см. в примере 1 в разделе Test-IRMConfiguration. Use the Test-IRMConfiguration cmdlet to test IRM functionality. For details, see «Example 1» in Test-IRMConfiguration.

Соберите новое сообщение в Outlook в Интернете и IRM-защита, выбрав параметр Set permissions из расширенного меню Icon). Compose a new message in Outlook on the web and IRM-protect it by selecting Set permissions option from the extended menu ( ).