Adicionar uma caixa de correio federada ao grupo de superusuários do AD RMS
Aplica-se a: Exchange Server 2013
Para os próximos recursos de Gerenciamento de Direitos de Informação (IRM) do Microsoft Exchange Server 2013) a serem habilitados, você deve adicionar a caixa de correio Federação (uma caixa de correio de sistema criada pela Instalação do Exchange 2013) ao grupo de super usuários no cluster Serviços de Gerenciamento de Direitos do Active Directory (AD RMS) de sua organização:
IRM no Microsoft Office Outlook Web App
IRM no Exchange ActiveSync
Descriptografia de relatório de diário
Descriptografia de transporte
Você pode configurar um grupo de distribuição habilitado para email como grupo de superusuários no AD RMS. Os membros do grupo de distribuição recebem uma licença de usuário de proprietário quando solicitam uma licença ao cluster do AD RMS. Isso permite a eles descriptografar todo o conteúdo protegido por RMS publicado por esse cluster. Se você usar um grupo de distribuição existente ou criar um grupo de distribuição e configurá-lo como grupo de superusuários no AD RMS, recomendamos dedicar o grupo de distribuição para essa finalidade e configurar as definições apropriadas para aprovar, auditar e monitorar alterações de associação.
Aviso
Configurar um grupo de super usuários no AD RMS permite que os membros do grupo descriptografem conteúdo protegido por IRM. Recomendamos a adoção de medidas adequadas para controlar e monitorar a associação ao grupo e habilitar a auditoria para rastreamento das alterações na associação.
Para tarefas de gerenciamento adicionais relacionadas ao IRM, consulte Procedimentos de Gerenciamento de Direitos de Informação.
Do que você precisa saber para começar?
Tempo estimado para conclusão: 15 minutos.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver de que permissões você precisa, consulte o Entrada "Grupos de distribuição" no tópico Permissões de destinatários.
Um cluster do AD RMS deve ser implantado na floresta do Active Directory.
Se um grupo de superusuários já estiver configurado em um cluster do AD RMS, qualquer modificação na associação do grupo de distribuição poderá levar até 24 horas para ser atualizada pelo cluster do AD RMS. Isso é o resultado de se armazenar em cache a associação de grupo no cluster.
Para informações sobre atalhos de teclado que possam se aplicar aos procedimentos neste tópico, confira Atalhos de teclado no Centro de Administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns no Exchange Server.
Etapa 1: Usar o Shell para adicionar uma caixa de correio Federada a um grupo de distribuição
Se um grupo de distribuição tiver sido criado e configurado como grupo de superusuários no cluster do AD RMS, você poderá adicionar a caixa de correio Federada do Exchange 2013 como um membro desse grupo. Se um grupo de superusuários não estiver configurado, você deverá criar um grupo de distribuição e adicionar a caixa de correio Federada como membro.
Crie um grupo de distribuição dedicado para uso como um grupo de superusuários do AD RMS. Para obter detalhes, consulte Criar e gerenciar grupos de distribuição.
Adicione o usuário FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042 ao novo grupo de distribuição. A caixa de correio Federação é uma caixa de correio de sistema e, portanto, não fica visível no EAC. Para adicioná-la a um grupo de distribuição, você deve usar o cmdlet Add-DistributionGroupMember do Shell.
Este exemplo adiciona a caixa de correio Federada ao grupo de distribuição ADRMSSuperUsers.
Add-DistributionGroupMember ADRMSSuperUsers -Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042
Para obter informações detalhadas de sintaxes e de parâmetros, consulte Add-DistributionGroupMember.
Etapa 2: Use AD RMS para configurar um grupo de superusuários
Execute o procedimento a seguir em um cluster do AD RMS. A conta usada para executar esse procedimento deve ser membro do grupo local de Administradores Corporativos do AD RMS no servidor do AD RMS.
Abra o console do Active Directory Rights Management Services e expanda o seu cluster.
Na árvore de console, expanda Diretivas de Segurança e clique em Superusuários.
No painel de ação, clique em Habilitar Superusuários.
No painel de resultados, clique em Alterar Grupo de Superusuários para abrir a folha de propriedades de Superusuários.
Na caixa Grupo de superusuários, digite o endereço de email do grupo de distribuição criado no procedimento anterior ou clique em Procurar para selecionar um grupo de distribuição.
Como saber se funcionou?
Após adicionar a caixa de correio Federação a um grupo de distribuição novo ou já existente, use o cmdlet Get-DistributionGroupMember para verificar a associação do grupo.
Para um exemplo de como verificar a associação ao grupo de distribuição, consulte Example 1 em Get-DistributionGroupMember.
Após usar o AD RMS para configurar um grupo de super usuários, você pode usar os métodos a seguir para verificar se o grupo de super usuários foi configurado corretamente. Além disso, você pode usar o cmdlet Test-IRMConfiguration para verificar a funcionalidade do IRM.
Use o console do AD RMS para verificar se o grupo correto foi configurado como grupo de super usuários.
Execute o seguinte comando do PowerShell a seguir em um servidor AD RMS para recuperar o grupo de superusuários.
Importante
O módulo do PowerShell ADRMSAdmin está disponível no Windows Server 2008 R2 ou posterior.
Import-Module ADRMSAdmin New-PSDrive -Name MyRmsAdmin -PsProvider AdRmsAdmin -Root https://localhost Get-ItemProperty -Path MyRmsAdmin:\SecurityPolicy\SuperUser