最新的Exchange Server 2010採用了與前一版Exchange Server 2007相同的管理主控台,但卻提供了許多令IT讚嘆、讓競爭對手望塵莫及的全新功能。其中強大的法規遵循控管機制是本文所要一併探討的重點。
有鑑於企業對於訊息平台在法規遵循管理需求上極度重視,讓微軟從前一版本的Exchange Server 2007便提供了因應各種不同層面需求的內建方案,包括郵件封存管理、郵件生命週期管理及整合數位版權管理等解決方案。而全新設計的Exchange Server 2010為了更加強化企業在法規遵循上的進階管理需求,並提供IT部門更低支援成本的解決方案,因而特別改善及新增幾項在法規遵循控管上的新特色,包括郵件傳遞的仲裁管理、使用者端郵件封存管理、使用者端郵件保存原則設定、多重信箱的探索,以及整合AD RMS的傳輸規則設定。
TOP1 郵件傳遞前的仲裁管理
公司對於許多重要文件的製作到發佈(例如產品型錄),都必須經由特定的主管來審核。而現在對於一些重要的電子郵件傳遞,各部門主管也希望能夠有這樣的審核機制,不知道在最新的Exchange Server 2010中是否提供這一項管理功能。
Exchange Server 2010已經提供了這一項管理功能。目前在Exchange Server 2010中新增的郵件傳遞的審核機制,讓一般使用者在寄送郵件給特定重要的客戶、合作夥伴或是其他部門的通訊群組時,自動轉交給預先指定好的仲裁者進行檢視與審核,有效確保重要郵件內容傳遞的正確性與安全性。接下來,就一同來了解如何使用這項管理功能。
首先開啟Exchange管理主控台,接著點選至「Recipient Configuration/Distribution Group」項目節點上,然後針對現有準備設定仲裁的通訊群組項目,點選「Action」窗格中的「Properties」。隨後,開啟後請如下圖所示在〔Mail Flow Settings〕活頁標籤中,點選「Message Moderation」項目後按下〔Properties〕。
|
▲訊息仲裁選項。 |
來到如下圖所示的「Message Moderation」頁面後,先勾選「Messages sent to this group have to be approved by a moderator」項目,然後按下下方的〔Add〕按鈕,選擇要作為仲裁者的使用者帳戶。至於中間窗格內的清單,則可以設定哪些使用者的郵件傳遞至此通訊群組時不須要經過仲裁。
|
▲訊息仲裁設定。 |
● 當傳遞給此通訊群組的郵件被仲裁者拒絕時,自動發送E-mail通知所有寄件者。
● 當傳遞給此通訊群組的郵件被仲裁者拒絕時,僅自動發送E-mail通知屬於組織內的寄件者。
● 當傳遞給此通訊群組的郵件被仲裁者拒絕時,不要自動通知任何寄件者。
完成通訊群組中的訊息仲裁設定之後。當某位使用者寄送E-mail到此通訊群組時,仲裁者便會收到類似如下圖所示的通知訊息,這時候可以點選附件檔案連結來檢視使用者所寄送的E-mail內容。等到確認其內容之後,再透過點選「Approve」或「Reject」來決定要核准還是拒絕。
|
▲郵件訊息審核。 |
TOP2 解決傳統以PST檔案進行E-mail封存的問題
目前用戶端幾乎都採用本機PST檔案的方式來管理個人的E-mail封存,而在運作管理上,每當檔案成長且越來越大時,便會降低Outlook的運作效能。若將它移動到網路共用的資料夾中,還會進一步衍生出其他更多難以處理的各種狀況,增加無法正常存取PST檔案的問題,以及造成封存內容管理上的難度。
全新之使用者信箱郵件的封存管理功能,對於成長至大型的E-mail封存信箱(10~100 GB)的使用,在效能表現上不會受到影響。並且集中在伺服端來管理,而對於組態設定控管上也是與現有的信箱區分開。接下來說明這部分的相關操作細節。
在Exchange Server 2010管理主控台中,針對現有的使用者信箱項目,點選「動作」窗格中的「Enable Archive」功能,接著按下〔Yes〕按鈕來確認建立這個使用者專屬的封存信箱。
建立好使用者專屬的封存信箱之後,開啟這個使用者信箱的屬性內容,然後如下圖所示切換到〔Mailbox Features〕活頁標籤內,便可以看到「Archive」功能的啟用狀態,若想要變更它在Outlook與OWA的顯示名稱,則按下〔Properties〕按鈕。
|
▲查看信箱功能設定。 |
在「Archive Properties」頁面中,可以變更封存信箱的顯示名稱,這個名稱將自動顯示在OWA與Outlook的連線中。接著,切換到〔Mailbox Settings〕活頁標籤內,選取「Archive Quota」項目之後按下〔Properties〕按鈕,就可以設定封存信箱本身的配額空間。
建立與設定好使用者封存信箱之後,只要以該使用者的帳戶,透過OWA或Outlook 2010進行連線,將會發現除了原有的信箱之外,也自動完成了附屬封存信箱的連線。
TOP3 全新郵件保存原則功能的使用
在前一版的Exchange Server 2007中,對於郵件生命週期的管理需求部分,都是透過訊息記錄管理(MRM)功能來統一控管使用者端各項預設郵件資料夾或是自訂資料夾的保存原則(例如客服郵件資料夾),然而這項機制畢竟是由IT部門來統一管理,用戶端使用者本身無法自行針對自己所建立的郵件資料夾,或是個別的郵件項目來選擇所需要的保存原則。因此想了解在Exchange Server 2010中是否有更好的功能來解決這一方面的問題。
全新Exchange Server 2010所提供之全新郵件生命週期的控管功能,已經可以讓使用者自行針對個別的郵件資料夾或是個別的郵件訊息,來設定不同的郵件保存原則。而原則的定義則是由Exchange伺服端來集中設定後再套用至用戶端使用者,使用者只要在用戶端的操作介面中即可選擇與套用。
|
▲新增保存原則標籤。 |
接下來,說明如何自訂郵件保存原則。首先必須建立各種不同需求的郵件保存標籤,如上圖所示開啟Exchange命令主控台,然後利用New-RetentionPolicyTag命令及相關參數來建立。
完成各種需要的保存原則標籤之後,便可以將其加以歸類處理,便於後續套用在特定使用者信箱的設定上。如下圖所示,必須下達New-RetentionPolicy命令和RetentionPolicyTagLinks參數來加以設定,而每一個保存原則標籤之間使用逗號區隔開來即可。
|
▲新增保存原則。 |
最後便可以如下圖所示透過Set-Mailbox命令來設定,將前面建立好的保存原則套用到指定的使用者信箱上即可。如果想進行批次使用者信箱的套用,則必須透過管線搭配Get-Mailbox與OrganizationalUnit參數來套用至指定的組織單位,或是使用Get-User搭配Filter參數及Set-Mailbox命令,將原則套用到例如特定的部門使用者信箱上。
|
▲套用特定的保存原則。 |
接著來看看用戶端連線後的使用情形。使用者登入OWA之後,如下圖所示筆者針對某個信箱資料夾按下滑鼠右鍵,便可以在【Retention Policy】子選單中點選套用所有目前可用的保存原則標籤項目,而不同保存原則標籤項目會有著不同的保存時間與相對的處理動作。
|
▲從OWA套用保存原則。 |
另外,也可以透過Exchange伺服端的傳輸規則定義,來設計套用指定的預設原則項目到指定的通訊群組或使用者上,或是可以針對特定的E-mail屬性條件(例如內容關鍵字)進行套用。
TOP4 多重電子郵件信箱的稽核管理
我們公司內有許多資訊方面的管理工作並非全部隸屬於IT人員的工作職責,可是通常他們又沒有一般IT管理工具去存取與設定電子郵件伺服器的權限,所以無法進行相關郵件稽核的管理工作。所以請問在Exchange Server 2010中如何讓非IT的人員也可以進行郵件稽核的管理工作呢?
Exchange Server 2010在搭配以角色為基礎的存取控管功能下,提供了跨信箱搜尋的使用者介面,來賦予法規管理者和人力資源管理者等特定需求的使用者,能夠輕易地針對所選取的使用者信箱進行各種條件的內容搜尋,例如特定的主旨、內容關鍵字或是特定範圍日期時間內的郵件等等,這項探索功能稱之為e-Discovery。接下來,示範實作e-Discovery這項功能。
首先,建立一個準備用來儲存探索結果郵件項目的專屬信箱。如下圖所示,在Exchange命令主控台中下達New-Mailbox命令來建立,其中務必加入「-Discovery」參數設定,才能夠建立屬於探索類型的信箱。
|
▲建立探索信箱。 |
然後,使用系統管理員開啟進入Exchange控制台(ECP),例如可以輸入類似「https://exch2010.contoso.com/ecp」的網址進行連線,當然也可以從Exchange管理主控台中的「工具箱」來開啟此網頁。在「系統管理員角色」頁面中選取「Discovery Management」角色項目,之後點選「詳細資料」繼續。
在「Discovery Management」成員設定頁面中,可以先看到在這個角色群組中已包括了「Legal Hold」與「Mailbox Search」這兩個角色權限。按下〔新增〕按鈕,將所要賦予探索管理員角色群組權限的使用者加入即可。
但有一點必須注意的是,即便是系統預設的Administrator,若不是隸屬「Discovery Management」成員,一樣無法進行多重信箱探索作業。
完成「Discovery Management」角色群組成員的設定之後,該使用者便可以在登入Exchange控制台頁面之後,如下圖所示到「報告」節點項目中使用「信箱搜尋」這項功能。此時,可以看到所有建立過的搜尋設定項目,並且可以隨時針對任一項目執行再一次的搜尋作業。
如果想要修改現有的搜尋項目設定,針對該項目點選「詳細資料」即可。接著按下〔新增〕按鈕,建立一個搜尋設定試試看。
|
▲信箱搜尋管理。 |
隨後開啟「新增信箱搜尋」的頁面,如下圖所示先設定所要搜尋的關鍵字,可搭配雙引號以及大寫的AND、OR或NOT來作為分隔的字詞,如果想要讓可能無法進行搜尋的項目也進行搜尋(例如加密的附加檔案、無法辨識的附件檔案),勾選「包含的項目無法進行搜尋」設定即可。
|
▲信箱搜尋設定。 |
接著,按下〔選取郵件類型〕按鈕來開啟「要搜尋的郵件類型」,在此直接選取「搜尋所有郵件類型,包括可能未列於下方的類型在內」項目,或是在下方中選取特定的幾項欲搜尋的項目類型,例如只搜尋電子郵件和會議的內容。在預設的狀態下,只會針對「電子郵件」類型進行搜尋。
在日期範圍設定上,可以設定所要搜尋的郵件項目日期範圍,只須設定開始與結束的日期,而在預設的狀態下不會啟用日期範圍設定。
接下來設定搜尋的信箱,可以選擇搜尋所有的信箱,或是按下〔新增〕按鈕來指定搜尋特定的信箱,當所選取的信箱越多時,理所當然地每一次進行搜尋作業時所花費的時間會相對拉長。
至於搜尋名稱與儲存位置,則必須設定一個搜尋名稱,而這個搜尋名稱也將成為之後儲存在搜尋結果信箱中的資料夾名稱。接著,按下〔瀏覽〕按鈕來選取前面所建立的探索信箱。另外,也可以在瀏覽窗格中選取系統預設的探索信箱來儲存搜尋結果的郵件項目。
接著,建議一併勾選「搜尋完成時傳送電子郵件給我」設定,如此將可以在該搜尋設定完成搜尋作業時,收到一封由系統自動發送的E-mail通知,然後便可以點選E-mail通知內容中的超連結來開啟探索信箱。
而在「啟用完整的記錄」項目,則可以設定是否取得一份完整的搜尋結果紀錄檔。完成以上所有設定之後按下〔儲存〕按鈕,系統就會開始第一次的信箱探索作業。
完成多重信箱的搜尋作業之後,便可以透過OWA來開啟探索信箱。如下圖所示,登入之後,將可以看到除了預設的收件夾項目之外,之前所有在ECP網站中進行過的搜尋設定,都會根據所設定的搜尋名稱,在這個信箱內建立資料夾。
展開之後,可以看到所有符合搜尋條件的資料夾分類(以被搜尋的信箱名稱分類),其中將會存放所有符合搜尋條件的郵件項目。值得注意的是,如果所指定搜尋的使用者信箱中沒有任何一封符合條件的電子郵件,那麼該資料夾將不會自動建立。
|
▲查看搜尋結果。 |
在搜尋記錄檔方面,預設的狀態下同樣會以E-mail方式寄給該探索管理者,而所儲存的檔案格式將會以CSV檔案為主,透過Excel程式開啟即可查看完成的紀錄內容。
TOP5 使用Exchange命令主控台管理多重信箱的探索
我喜歡使用Exchange的命令主控台來管理Exchange Server 2007,對於Exchange Server 2010所提供的多重信箱探索功能,是否也可以透過Exchange的命令主控台來進行管理嗎?
對於搜尋信箱的設定與管理,除了可以透過方便簡單的ECP網站頁面之外,信箱探索人員也可以透過Exchange命令主控台進行管理。先來看看一個建立搜尋設定的簡單範例。
如下頁圖示的範例中,筆者先下達Get-Mailbox搭配OrganizationalUnit參數,指定唯一針對Account這個組織單位(OU)來套用搜尋設定。接著在管線之後的Search-Mailbox則是搜尋信箱的設定命令,整個命令語法中包括了搜尋關鍵字的設定(SearchQuery)、搜尋目標信箱的設定(TargetMailbox)、目標資料夾的設定(TargetFolder)以及紀錄檔案的層級。
|
▲以命令方式建立搜尋。 |
請留意一點,若像範例中一樣並未使用SourceMailboxes參數來設定所有搜尋的信箱,並且沒有搭配Get-Mailbox來設定搜尋範圍,則系統預設將搜尋整個組織中的信箱,而這時候建立搜尋設定的命令也必須改成New-MailboxSearch。
完成建立以上的搜尋項目之後,一些基本的管理工作同樣可以透過命令方式來完成,例如想修改現有的搜尋項目設定可以下達Set-MailboxSearch命令參數、想要刪除一個搜尋項目可下達Remove-MailboxSearch命令參數、想執行一個現有的搜尋設定項目如下圖所示執行Start--MailboxSearch命令參數即可、若要中止一個進行搜尋中的作業則下達Stop-MailboxSearch。
|
▲以命令執行指定的搜尋設定。 |
TOP6 在Outlook 2010中 同時開啟探索信箱
在多重信箱的探索管理範例中,都是直接使用Exchange Server 2010的OWA來開啟探索信箱,如果想要使用目前仍在測試階段版本的Outlook 2010來同時開啟探索信箱,該怎麼做呢?
先以Outlook 2010連線登入自己的信箱,接著點選左上角的下拉選單,然後點選【Account Settings】選單中的【Account Settings】繼續。
緊接著將開啟「Email Accounts」頁面,在〔Email〕活頁標籤內選取現有的Exchange帳戶,然後按下〔Change〕按鈕。
隨後來到「Microsoft Exchange Settings」頁面,按下右下角的〔More Settings〕按鈕。待如下圖所示的〔Advanced〕活頁標籤出現後,按下〔Add〕按鈕並輸入所要開啟的探索信箱名稱即可。
|
▲信箱進階設定。 |
下頁圖示便是成功地在Outlook 2010中同時開啟探索信箱的情形。
|
▲完成探索信箱的開啟。 |
TOP7 設定AD RMS主機整合Exchange Server 2010的組態
Q 公司目前已經有以Windows Server 2008建置的AD RMS主機,我打算透過新建置的Exchange Server 2010來與它進行整合,以便於透過傳輸規則來保護重要電子郵件的傳遞。請問在AD RMS伺服端與Exchange Server 2010內須要完成哪些設定,才能夠讓兩者順利進行連線?
A 首先了解AD RMS伺服端的設定。以系統管理員身分登入並開啟到AD RMS網站資料夾的實體路徑中,然後在預設的「_wmcs」資料夾上按一下滑鼠右鍵,然後點選快速選單中的【內容】。
接著,如右上圖所示切換到〔安全性〕活頁標籤中,將Exchange Server 2010電腦加入到清單中,並且賦予「完全控制」權限,然後按一下〔進階〕按鈕。
|
▲賦予Exchange伺服器完全控制權限。 |
有一個地方必須留意,這裡所指定的Exchange Server 2010電腦物件,必須是擔任集線傳輸伺服器(Hub Transport)的電腦,因為在許多中大型的拓樸架構中,可能會將五大角色分散部署在不同的主機上。
在「使用者權限」頁面中按下〔編輯〕按鈕繼續。接下來,在「使用者權限」頁面中勾選最下方的「以此物件的繼承權限取代所有子系現有的繼承權限」項目,並按下〔確定〕即可完成設定。如此一來,便可以讓Exchange Server 2010的主機有權限存取Ad RMS的網站。
設定Exchange 2010伺服器的IRM組態
接著到Exchange Server 2010的命令主控台,然後輸入「Set-IRMConfiguration -InternalLicensingEnabled $true」命令參數來啟用IRM內部授權設定,接著可以輸入「Get-IRMConfiguration」來查看其設定是否已經成功啟用。另外,如果須使用到外部對於AD RMS的存取時,才需要將ExternalLicensingEnable設定為「True」。
由於在前面的步驟中,已經從AD RMS伺服器上建立RMS權限原則範本了,因此緊接著可以如下圖所示輸入「Get-RMSTemplate」命令,來查看目前在Exchange Server 2010伺服器上所能夠正確擷取到的RMS權限原則範本清單,其中「Do Not Forward」與「Internet Confidential」是系統預設的範本項目,其他兩個中文的原則範本則是筆者建立的。
|
▲查看現有的RMS權限範本。 |
TOP8 建立整合AD RMS的 傳輸規則
Q 目前已經完成公司AD RMS主機與Exchange Server 2010主機相關的整合設定,接下來應該怎麼做才能夠讓特定的重要郵件傳遞,自動受到RMS範本的保護呢?可否舉例說明?
A 完成所有AD RMS與Exchange Server 2010的整合設定之後,便可以開始設定整合AD RMS權限原則範本,來自動套用在E-mail上的傳輸規則。先開啟Exchange管理主控台(EMC),然後切換到「Organization Configuration/Hub Transport」項目節點上,接著切換至〔Transport Rules〕活頁標籤,並點選「Action」窗格中的「New Transport Rule ...」連結。
開啟「New Transport Rule」精靈頁面後,設定將套用RMS權限原則範本至寄件者E-mail的條件。舉例來說,選擇當發生Sales通訊群組之間的成員進行E-mail互寄時,每一封E-mail都會套用接下來步驟中所設定的RMS權限原則範本。當然也可以設定針對特定的主旨與內容的關鍵字,或是特定使用者所寄送的E-mail等等條件的組合來作為判斷的條件。
接著來到「Actions」設定頁面內,如下圖所示勾選「rights protect message with RMS template」項目,然後點選下方窗格中相對應的超連結。
|
▲設定傳輸規則動作。 |
接著,便可以在此「Select RMS template」窗格中,挑選前面所建立過的任何一個RMS權限原則範本項目進行套用。由此可見,可以根據不同的傳輸規則需求,來設定不同的傳輸條件搭配不同的RMS範本。
如果想要設定前面動作中的排除條件,可以在「Exceptions」頁面中設定,例如設定當E-mail寄送給業務部的某一位成員,或是主旨與內容中包含特定的關鍵字時,不要進行RMS的加密處理等等。
完成一項RMS權限原則範本的傳輸規則新增設定之後,便會看見關於這項傳輸規則完整的PowerShell命令語法,可以按下鍵盤上的Ctrl+C將這個命令範例複製到剪貼簿中,然後張貼到任何的文書編輯器進行修改並儲存成PS1的副檔名格式,即可變成一個快速完成設定的手稿檔,往後便不再須要透過圖形介面進行設定了。
用戶端郵件傳送測試
新增傳輸規則之後,接下來開啟預先準備好的Outlook 2010用戶端準備收信,然後開啟OWA網站,以不同於Outlook 2010連線的使用者帳戶來登入,並且寄送一封E-mail到Outlook 2010的使用者信箱,如此一來,只要寄件者與收件者符合前面的傳輸規則條件設定,那麼收件者就會在Outlook 2010中收到一封IRM的加密郵件。
請注意!當Outlook 2010第一次收到一封經由RMS加密的郵件時,將會彈跳出須要檢查的憑證與下載權限的視窗,此時只要勾選「Don't show this message again」設定,往後對於接收新的RMS加密郵件時便不會再出現此訊息。
接著,當收件者開啟經由傳輸規則的RMS權限原則範本所自動加密過的E-mail時,會發現無法進行該封E-mail的回覆、回覆全部以及轉寄等動作,全部按鈕都以反白呈現。甚至於如果想要以螢幕硬拷貝的方式來擷取畫面也不被允許。此外,如果收件的使用者想要查看自己針對這一封RMS加密郵件的權限清單,只要在點選閃爍的描述訊息之後按一下滑鼠右鍵,並點選快速選單中的【檢視權限】即可得知。