Aggiunta della cassetta postale di recapito federativo in un gruppo di utenti con privilegi avanzati di AD RMS
Si applica a: Exchange Server 2013
Per abilitare le seguenti funzionalità Information Rights Management (IRM) di Microsoft Exchange Server 2013 occorre aggiungere la cassetta postale di recapito federativo (una cassetta postale di sistema che viene creata durante l'installazione di Exchange 2013) nel gruppo di utenti con privilegi avanzati configurati nel cluster Active Directory Rights Management Services dell'organizzazione:
IRM in Microsoft Office Outlook Web App
IRM in Exchange ActiveSync
Decrittografia dei rapporti del journal
Decrittografia di trasporto
È possibile configurare un gruppo di distribuzione abilitato all'utilizzo della posta come gruppo di utenti con privilegi avanzati. Ai membri del gruppo di distribuzione viene concessa una licenza d'uso con diritti di proprietario quando richiedono una licenza dal cluster AD RMS. Ciò consente di decrittografare tutto il contenuto protetto con RMS pubblicato dal cluster. Sia che si utilizzi un gruppo di distribuzione esistente o che si crei un gruppo di distribuzione e lo si configuri come gruppo di utenti con privilegi avanzati in AD RMS, si consiglia di dedicare il gruppo di distribuzione a tale scopo e di configurare le corrette impostazioni per approvare, controllare e monitorare le modifiche ai membri.
Avviso
La configurazione di un gruppo di utenti con privilegi avanzati in AD RMS consente ai membri del gruppo di decrittografare il contenuto protetto da IRM. Si raccomanda di adottare misure adeguate per controllare e monitorare l'appartenenza ai gruppi e consentire il controllo della tracciabilità delle modifiche nei gruppi di appartenenza.
Per altre attività di gestione correlate a IRM, vedere Procedure di Information Rights Management.
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento: 15 minuti.
Per eseguire queste procedure, è necessario disporre delle autorizzazioni appropriate. Per sapere quali autorizzazioni sono necessarie, vedere "Gruppi di distribuzione" nell'argomento Autorizzazioni dei destinatari.
Un cluster AD RMS deve essere distribuito nella foresta di Active Directory.
Se un gruppo di utenti con privilegi avanzati è già configurato su un cluster AD RMS, qualsiasi modifica ai membri del gruppo di distribuzione può impiegare fino a 24 ore per essere visualizzata dal cluster AD RMS. Ciò è dovuto alla memorizzazione nella cache dei membri del gruppo sul cluster.
Per informazioni sui tasti di scelta rapida che è possibile utilizzare con le procedure in questo argomento, vedere Tasti di scelta rapida nell'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Server.
Passaggio 1: Aggiunta della cassetta postale di recapito federativo in un gruppo di distribuzione tramite Shell
Se un gruppo di distribuzione viene creato e configurato come gruppo di utenti con privilegi avanzati nel cluster AD RMS, è possibile aggiungervi, come componente, la cassetta postale di recapito federativo di Exchange 2013. Se non è stato configurato alcun gruppo di utenti con privilegi avanzati, occorrerà creare un gruppo di distribuzione e aggiungervi la cassetta postale di recapito federativo come componente.
Creare un gruppo di distribuzione dedicato per utilizzarlo come gruppo di utenti con privilegi avanzati in AD RMS. Per informazioni dettagliate, vedere Creare e gestire gruppi di distribuzione.
Aggiungere l'utente di FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 al nuovo gruppo di distribuzione. Dal momento che è una cassetta postale di sistema, la cassetta postale di recapito federativo non è visibile nell'interfaccia di amministrazione di Exchange. Per aggiungerla ad un gruppo di distribuzione, è necessario utilizzare il cmdlet di Add-DistributionGroupMember da Shell.
In questo esempio viene mostrato come aggiungere la cassetta postale di recapito federativo nel gruppo di distribuzione ADRMSSuperUsers.
Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Add-DistributionGroupMember.
Passaggio 2: Utilizzo di AD RMS per impostare un gruppo di utenti con privilegi avanzati
Eseguire la procedura riportata di seguito in un cluster AD RMS. L'account utilizzato per eseguire questa procedura deve essere un membro del gruppo locale AD RMS Enterprise Administrators sul server AD RMS.
Aprire la console di Active Directory Rights Management Services ed espandere il cluster AD RMS.
Nell'albero della console, espandere i Criteri di sicurezza, quindi scegliere Utenti con privilegi avanzati.
Nel riquadro azioni, fare clic su Attiva utenti con privilegi avanzati.
NeI riquadro dei risultati, fare clic su Modifica gruppo utenti con privilegi avanzati per aprire la finestra delle proprietà Utenti con privilegi avanzati.
Nella casella Gruppo di utenti con privilegi avanzati, digitare l'indirizzo di posta elettronica del gruppo di distribuzione creato nella precedente procedura oppure fare clic su Sfoglia per selezionare un gruppo di distribuzione.
Come verificare se l'operazione ha avuto esito positivo
Dopo aver aggiunto la cassetta postale di recapito federativo ad un gruppo di distribuzione nuovo o esistente, utilizzare il cmdlet Get-DistributionGroupMember per verificare l'appartenenza del gruppo.
Per un esempio di come controllare l'appartenenza ad un gruppo di distribuzione, vedere Example 1 in Get-DistributionGroupMember.
Dopo aver utilizzato AD RMS per configurare un gruppo di utenti con privilegi avanzati, è possibile utilizzare i seguenti metodi per verificare che il gruppo di utenti con privilegi avanzati sia stato configurato correttamente. Inoltre, è possibile utilizzare i cmdlet di Test-IRMConfiguration per verificare la funzionalità IRM.
Utilizzare la console AD RMS per verificare che il gruppo corretto sia stato configurato come gruppo di utenti con privilegi avanzati.
Utilizzare il seguente comando PowerShell su un server AD RMS per recuperare il gruppo di utenti con privilegi avanzati.
Importante
Il modulo ADRMSAdmin PowerShell è disponibile in Windows Server 2008 R2 e versioni successive.
Import-Module ADRMSAdmin New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser