In part 1 of this article series the RMS server was installed and Part 2 found the configuration took place. Now the integration into Exchange 2016 follows.
A reminder of the surroundings from parts 1 and 2:
Surroundings
The environment in which the Active Directory rights management services are installed is as follows:
There are a few users with Outlook 2016, a domain controller, 3 Exchange servers (one DAG), a file server for the quorum and a Windows Server 2012 R2 that was installed in part 1 as a rights management services server.
The Active Directory is called frankysweb.de, the users use Windows 10 with Outlook 2016.
Preparation
Damit die Integration in Exchange 2016 funktioniert, muss das Active Directory Konto der Systemmailbox „FederatedEMail“ Mitglied der RMS Admin Gruppe sein. In meinem Fall füge ich das Konto „FederatedEmail“ zur Gruppe „SG_RMSAdmins“ hinzu:
Anschließend müssen wieder ein paar zusätzliche Berechtigungen vergeben werden. Dazu wird im IIS-Manager auf die Anwendung „certification“ geklickt und zur Inhaltsansicht gewechselt:
The authorizations for the ServerCertification.asmx file can now be edited:
Die Gruppe „Exchange Servers“ und „FederatedEmail“ erhalten „Lesen“ und „Lesen und Ausführen“ Rechte:
The authorizations should now look like this:
Continue with the integration in Exchange 2016
Integration RMS in Exchange 2016
AD RMS is referred to as IRM (Information Rights Management) within Exchange Server. The CMDLets and settings are therefore also labeled accordingly with IRM (Get-IRMConfiguration, Set-IRMConfiguration, etc.).
In der Standardeinstellung ist IRM für die ClientAccessServer bereits eingeschaltet, wie an vielen Stellen ist „ClientAccessServer“ hier noch ein Überbleibsel aus Exchange 2013, denn ClientAccess und Postfach Rolle, wurden zusammengelegt, sodass es nur noch die Postfachrolle gibt.
However, licensing, i.e. the issuing of licenses for documents, is deactivated in the default setting:
The following command can be used to switch on RMS for internal use:
Set-IRMConfiguration -InternalLicensingEnabled $true
Note: The first step here is to activate RMS internally. In order for it to also work with external recipients, i.e. recipients outside your own Acktive Directory, more is required.
RMS (IRM) is also already activated for OWA:
Um IRM intern zur Verfügung zu stellen, muss also zunächst nur das „Set-IRMConfiguration“-CMDLet ausgeführt werden, danach lässt sich bereits testen:
Test-IRMConfiguration -Transmitter <a href="mailto:administrator@frankysweb.com">administrator@frankysweb.com </a>
A success everywhere, it can be tested.
Outlook and OWA
Zum Testen erstelle ich eine neue E-Mail in OWA, über die „3 Punkte“-Schaltfläche wird nun die Option „Berechtigungen festlegen“ angezeigt. Hier ist nun die „Nur Lesen“-Richtlinie aus Teil 2 sichtbar. Die beiden anderen Richtlinien sind Standard Exchange Richtlinien:
Wenn „Nur Lesen“ ausgewählt wird, werden entsprechende Mail Tipps mit den Informationen der Richtlinie angezeigt. Diese wurden ebenfalls in Teil 2 konfiguriert:
The mail is sent to an internal recipient with Outlook 2016. When the RMS-protected mail is opened, Outlook is first configured once for the use of AD RMS:
Danach kann die Mail gelesen werden, aber die Schaltflächen für „Antworten“ und „Weiterleiten“ sind ausgegraut, da in der Richtlinie „Nur Lesen“ definiert wurde.
Note: Try copying and pasting or taking a screenshot...
I have created a short video about this:
