有鉴于企业对于邮件平台在合规性管理需求上的极度重视，让Microsoft打从前一版的Exchange Server 2007中，便提供了因应各种不同层面需求的内建方案，这一些包括了邮件存档管理、邮件生命周期管理、以及集成数字版权管理等等的解决方案。而在目前全球最多企业使用的Exchange Server 2010版本设计中，为了更加强化企业在合规性上的高级管理需求，并且提供IT部门更低支持成本的解决方案，因此特别改善以及新增了几项在合规性管理上的新特色，这分别是邮件发送的审阅管理、客户端邮件存档管理、客户端邮件保留策略设置、多重邮箱的探索、集成AD RMS的传输规则设置。接下来就让我们一同来学习几个关于邮件安全的高级管理技巧。

电子邮件发送前的审阅管理

许多公司对于重要文的制作到发布（例如：产品文文件），都必须经由特定的主管来审核。如今对于一些重要的电子邮件发送，各部门主管也希望能够有这样的审核机制，不知道在最新的Exchange Server 2010中是否有提供这一项管理功能。

目前在Exchange Server 2010中所新增的邮件发送的审核机制，让一般用户在将邮件寄送给特定重要的客户、合作伙伴或是其他部门的通讯群组时，自动转交给预先指定好的审阅者来进行检视与审核，有效确保重要邮件属性发送的正确性与安全性。接下来就让我们一同了解一下这一项管理功能的使用。

图1 邮件审阅设置

首先请在Exchange管理控制台中点选至[Recipient Configuration][Distribution Group]项目节点上，接着针对现有所要准备设置审阅的通讯群组项目，点选位在[Action]窗格中的 [Properties]。开启后请在[Mail Flow Settings]页面中选取[Message Moderation]项目之后点选[Properties]继续。

来到如图1所示的[Message Moderation]页面中，请先将[Messages sent to this group have to be approved by a moderator]项目勾选，然后点选下方的[Add]按钮来选择作为审阅者的用户帐户。至于位在中间窗格中的清单，则是可以设置哪一些用户的邮件发送至此通讯群组时不需要经过审阅。

最后您可以在本页面的下方三个选项中来决定审阅邮件的通知方式，由上而下依序说明如下：

当所发送给此通讯群组的邮件被审阅者拒绝时，自动发送E-mail通知所有发送者。

当所发送给此通讯群组的邮件被审阅者拒绝时，仅自动发送E-mail通知属于组织内的发送者。

当所发送给此通讯群组的邮件被审阅者拒绝时，不要自动通知任何发送者。

完成通讯群组中的邮件审阅设置之后。当有用户寄送E-mail到此通讯群组时，审阅者便会收到类似范例中的通知邮件，这时候可以点选附件档案链接来检视用户所寄送的E-mail属性。等到确认其属性之后，再透过点选[Approve]或[Reject]来决定要核准还是拒绝。

如何解决E-mail存档的问题

目前许多企业客户端几乎都采用本地PST档案的方式来管理个人的E-mail存档，在运作管理上每当档案不断成长越来越大时，便会降低Outlook的运作效能。至于如果将它移动到域络共享的文件夹中，则还会进一步衍生其它更多难以处理的各种状况，增加无法正常存取PST档案的问题，以及造成存档属性管理上的难度。

Exchange Server 2012的用户邮箱邮件的存档管理功能，对于成长至大型的Email存档邮箱 （10-100 GB）的使用则效能表现上是不会受到影响的。并且是集中在伺服端来管理的，而对于配置设置管理上也是与现有的邮箱区分开来的。接下来就让我们来看看有关于这部分的相关操作说明。

请在Exchange Server 2010的管理控制台中，我们可以针对现有的用户邮箱项目，点选位在[动作]窗格中的[Enable Archive]功能，紧接着点选[Yes]按钮来确认建立这个用户专属的存档邮箱。

图2 查看邮箱功能设置

完成了用户专属的存档邮箱建立之后，接下来我们可以开启这个用户邮箱的属性属性，然后如图2所示切换到[Mailbox Features]页面，便可以看到[Archive]功能的启用状态，若想要变更它在Outlook与OWA的显示名称，请点选[Properties]按钮继续。

在[Archive Properties]页面中，可以变更存档邮箱的显示名称，这个名称将会自动显示在OWA与Outlook的联机中。切换到[Mailbox Settings]页面中，在选取[Archive Quota]项目之后点选[Properties]按钮，则可以来设置有关于存档邮箱本身的配额空间。

完成了以上有关于用户存档邮箱的建立与设置之后，接下来只要以该用户的帐户，透过OWA或Outlook 2010来进行联机。您将会发现除了原有的邮箱之外，也自动完成了附属存档邮箱的联机了。

电子邮件保留策略功能使用

在前一版的Exchange Server 2007中，对于邮件生命周期的管理需求部份，我们都是透过邮件记录管理（MRM）功能，来统一管理客户端各项默认邮件文件夹或是自定义文件夹的保留策略（例如：客户服务邮件文件夹），然而这项机制毕竟是由IT部门来统一管理，客户端用户本身是无法自行针对自己所建立的邮件文件夹，或是个别的邮件项目来选择所需要的保留策略。因此想了解在Exchange Server 2010中是否有更好的功能来解决这一方面的问题。

全新Exchange Server 2010所提供的全新邮件生命周期的管理功能，已经可以让用户可以自行针对个别的邮件文件夹，或是个别的邮件邮件来设置不同的邮件保留策略。而策略的定义则是由Exchange伺服端来集中设置后再应用至客户端用户，用户只要在客户端的操作接口中即可选择与应用。

接下来让我们来看看如何自定义邮件保留策略。首先我们必须建立各种不同需求的邮件保留标签，必须开启Exchange命令控制台，然后以New-RetentionPolicyTag命令及相关参数来建立。

当我们完成了各种需要的保留策略标签之后，便可以开始将它门加以归类处理，以便于进行后续应用在特定用户邮箱的设置上。必须下达New-RetentionPolicy命令以及RetentionPolicyTagLinks参数来加以设置，而每一个保留策略标签之间使用逗号区隔开来即可。

最后便可以透过Set-Mailbox命令搭配RetentionPolicy参数来设置保留策略，以便将前面所建立好的保留策略应用到指定的用户邮箱。如果想进行批次用户邮箱的应用，则必须透过管线搭配Get-Mailbox与OrganizationalUnit参数来应用至指定的组织单位，或是使用Get-User搭配Filter参数来与Set-Mailbox命令，将策略应用到例如特定的部门用户邮箱之上也是可以的。

最后建议您可以去看看被保留策略应用后的客户端联机情形。您只要在用户登入OWA之后，针对任一个邮箱文件夹，按下鼠标右键从[Retention Policy]子选单中，来选取想要应用的保留策略标签，而不同保留策略卷标项目会有着不同的保留时间与相对的运行动作。

另外您也可以透过Exchange伺服端的传输规则定义，来设计应用指定的默认策略项目在指定的通讯群组或用户上，或是可以针对特定的Email属性条件（例如：属性关键词）来应用。

多重电子邮件邮箱审核管理

企业中中有许多信息方面的管理工作并非全部都是隶属于IT人员的工作职责，可是他们通常又无法透过一般IT管理工具，去存取与设置电子邮件服务器的权限，来进行相关邮件审核的管理工作。因此如果想在Exchange Server 2010中，让非IT的人员可以来进行邮件审核的管理工作，该如何做呢?

在全新Exchange Server 2010中，在搭配以角色为基础的存取管理功能下，提供了跨邮箱搜寻的用户接口，来赋予法规管理者以及人力资源管理者等特定需求的用户，能够轻易的针对所选取的用户邮箱来进行各种条件的属性搜寻，例如特定的主题、属性关键词或是特定范围日期时间内的邮件等等。针对这一项探索功能我们称它为e-Discovery。接下来让我们来看看有关于e-Discovery这一项功能应用的实作说明。

首先我们必须建立一个准备用来储存探索结果邮件项目的专属邮箱。必须在Exchange命令控制台中下达New-Mailbox命令来建立，其中务必加入-Discovery参数设置，如此一来才能够建立属于探索类型的邮箱。

接下来必须使用系统管理员开启进入到Exchange控制台（ECP），例如您可以输入 类 似 https：//exch2010.contoso.com/ecp域址来进行联机，当然您也可以选择从Exchange管理控制台中的[工具箱]来开启此域页。在的[系统管理员角色]页面中，请在选取[Discovery Management]角色项目之后点选[详细资料]继续。在[Discovery Manage ment]成员设置页面中，可以先看到在这个角色群组中已包括了两个角色权限，分别是[Legal Hold]与[Mailbox Search]。请点选[新增]按钮来将所要赋予探索管理员角色群组权限的用户加入即可。

请注意！即便是系统默认的Administrator，若不是隶属[Discovery Management]成员，一样是无法进行多重邮箱探索作业的。

一旦完成了[Discovery Management] 角色群组成员的设置之后，该用户便可已在登入Exchange控制台页面之后从[报告]节点项目中看到可以使用[邮箱搜寻]这一项功能。在此您可以看到所有建立过的搜寻设置项目，并且可以随时针对任一项目运行再一次的搜寻作业，如果想要修改现有的搜寻项目设置，请针对该项目点选[详细数据]即可。接下来让我们点选[新增]按钮来建立一个搜寻设置试试看。

接下来将会开启[新增邮箱搜寻]的页面，首先必须设置所要搜寻的关键词，可搭配双引号以及大写的AND、OR以及NOT来作为分隔的字词，如果想要让可能无法进行搜寻的项目也进行搜寻（例如：加密的附加档案、无法辨识的附件档案），请将[包含的项目无法进行搜寻]设置勾选即可。

接下来您可以点选[选取邮件类型]按钮，来开启[要搜寻的邮件类型]，在此您可以直接选取[搜寻所有邮件类型，包括可能未列于下方的类型在内]项目，或是在下方中选取特定的几项要搜寻的项目类型，例如只针对电子邮件以及会议的属性来进行搜寻，在默认的状态下只会针对[电子邮件]类型进行搜寻。

在日期范围设置部份，您可以设置所要搜寻的邮件项目日期范围，只要设置开始与结束的日期即可，在默认的状态下是没有启用日期范围设置的。接下来在要搜寻的邮箱部份，您可以选择搜寻所有邮箱，或是点选[新增]按钮来设置搜寻特定的邮箱，当所选取的邮箱越多时，理所当然每一次进行搜寻作业时所花费的时间会相对变长。

在搜寻名称与储存位置的部份，必须设置一个搜寻名称，而这个搜寻名称也将会成为之后储存在搜寻结果邮箱中的文件夹名称。接着您必须点选[浏览]按钮来选取前面我们所建立的探索邮箱，当然啦！您也可以在浏览窗格中选取系统默认的探索邮箱来储存搜寻结果的邮件项目。

接下来建议您也将[搜寻完成时传送电子邮件给我]的设置勾选，如此一来将可以在该搜寻设置完成搜寻作业时，收到一封由系统自动发送的E-mail通知，然后您便可以点选E-mail通知属性中的超链接来开启探索邮箱。而在[启用完整的记录]项目设置部份，则是可以让您取得一份完整的搜寻结果记录文件。完成以上设置之后请点选[储存]按钮，系统将会开始进行第一次的邮箱探索作业。

完成了多重邮箱的搜寻作业之后，您便可以透过OWA来开启探索邮箱。在此除了可以看到除了默认的收件夹项目之外，之前所有在ECP域站中进行过的搜寻设置，都会根据所设置的搜寻名称，在这个邮箱中来建立文件夹，展开之后可以看到所有符合搜寻条件的文件夹分类（以被搜寻的邮箱名称分类），这里头将会存放所有符合搜寻条件的邮件项目。值得注意的是如果所指定搜寻的用户邮箱中，没有任何一封以上符合条件的电子邮件，那么该文件夹是完全不会自动建立的。在搜寻记录文件部份，在默认的状态下则同样会以E-mail方式寄给该探索管理者，他所储存的文件格式将会以CSV档案为主，您可以透过Excel程序来开启即可进行查看完成的记录属性。

使用Exchange命令控制台管理多重邮箱的探索

有许多IT人员喜好使用Exchange的命令控制台来管理Exchange Server 2007，因此请想想看针对Exchange Server 2010所提供的多重电子邮箱探索功能，也一样可以透过Exchange的命令控制台来进行管理吗，该怎么做呢?

有关于搜寻电子邮箱的设置与管理部份，除了可以透过方便简单的ECP域站页面之外，邮箱探索人员也可以选择透过Exchange命令控制台来进行管理。首先让我们来看看有关于一个建立搜寻设置的简单范例。

如图3所示在这个范例首先笔者下达了Get-Mailbox搭配OrganizationalUnit参数，来指定唯一针对Account这个组织单位（OU）来应用搜寻设置。接着在管线之后的Search-Mailbox则是搜寻邮箱的设置命令，整个命令语法中包括了搜寻关键词的设置（SearchQuery）、搜寻目标邮箱的设置（TargetMailbox）、目标文件夹的设置（TargetFolder）以及记录档案的层级。

请注意！如果您像范例中一样没有使用SourceMailboxes参数来设置所有搜寻的邮箱，并且没有搭配Get-Mailbox来设置搜寻范围，则系统默认将会搜寻整个组织中的邮箱，而这时候建立搜寻设置的命令也必须改成New-MailboxSearch。

完成了以上搜寻项目的建立之后，对于一些基本的管理工作，一样可以透过命令方式来完成，例如您需要修改现有的搜寻项目设置，可以下达Set-MailboxSearch命令参数，想要删除一个搜寻项目则可以下达Remove-MailboxSearch命令参数，如果想要运行一个现有的搜寻设置项目，则可以运行Start--MailboxSearch命令参数，如果想要中止一个进行搜寻中的作业则可以下达Stop-MailboxSearch即可。

图3 以命令方式建立搜寻

如何在Outlook 2010中同时开启探索邮箱

有关于多重邮箱的探索管理范例中，都是直接使用了Exchange Server 2010的OWA来开启探索邮箱，想想看如果想要使用Outlook 2010来同开启探索邮箱，应该怎么做呢?

很简单，只要在以Outlook 2010联机登入自己的邮箱之后，接着点选左上角中的下拉选单然后点选位在[Account Settings]下拉选单中的[Account Settings]继续。

紧接着将会开启[Email Accounts]页面，请在[Email]页签中选取现有的Exchange账户，然后点选[Change]按钮。接着会来到[Microsoft Exchange Settings]页 面，请点选右下角的[More Settings]按钮继续。接着将会开启[Advanced]页面，只要点选[Add]按钮来将输入所要开启的探索邮箱名称即可。

设置AD RMS主机集成Exchange Server 2010

相信目前有许多公司网络内，已经有部署Windows Server 2008所配置的AD RMS主机，如果进一步打算透过新配置的Exchange Server 2010来与它进行集成，以便可以透过传输规则来保护重要电子邮件的发送。那么，在AD RMS伺服端与Exchange Server 2010需要完成哪一些设置，才能够让两者顺利进行联机。

首先来看看有关于AD RMS伺服端的设置部分。请以系统管理员身份登入并开启到AD RMS域站文件夹的路径中，然后针对默认的_wmcs文件夹按下鼠标右键选择开启[属性]。请切换到[安全性]的页面中，先将Exchange Server 2010计算器加入到清单中，并且赋予[完全控制]权限。请接着点选[高级]按钮。

请注意！在此所指定的Exchange Server 2010计算器对象，必须是担任集线器传输服务（Hub Transport）的计算器，因为在许多中大型的拓朴架构中（Topology），您可能会将五大角色分散部署在不同的主机上。

在[用户权限]页面中请点选[编辑]按钮继续。接下来请在 [用户权限]页面中，将最下方的[以此对象的继承权限取代所有子系现有的继承权限]项目设置勾选，并且点选确定即可完成设置。如此一来便可以让Exchange Server 2010的主机有权限存取Ad RMS的域站。

如何设置Exchange 2010服务器的IRM

请到Exchange Server 2010的命令控制台，然后输入Set-IRMConfiguration-InternalLicensingEnabled$true命令参数，来启用IRM内部授权设置，接着您可以输入Get-IRMConfiguration来查看其设置是否已经成功启用。另外如果有使用到外部对于AD RMS的存取时，才需要将ExternalLicensingEnable同样设置为True。

由于我们在前面的步骤中，已经从AD RMS服务器上建立了RMS权限策略模板了，因此紧接着您可以输入Get-RMSTemplate命令，来查看目前在Exchange Server 2010服务器上所能够正确撷取到的RMS权限策略模板列表，其中[Do Not Forward]与[Internet Confidential]是系统默认的模板项目，其它两个中文的策略模板则是笔者所建立。

建立集成AD RMS传输规则

如果目前您已经将公司的AD RMS主机与Exchange Server 2010主机完成了相关必要的集成设置，那么接下来应该怎么做才能够让重要邮件发送，自动受到RMS模板的保护呢?其实很容易，当您完成了所有关于AD RMS与Exchange Server 2010的集成设置之后，便可以开始设置有关于集成AD RMS权限策略模板，来自动应用在E-mail上的传输规则了。请在开启Exchange管理控制台（EMC）之后，切换到[Organization Configuration][Hub Transport]项目节点上，然后先点选至[Transport Rules]页签，接着点选位在[Action]窗格中的[New Transport Rule...]连结继续。

接下来会开启[New Transport Rule]精灵页面，在此可以设置将应用RMS权限策略模板至发送者E-mail的条件。举例来说，我们选择了当发生Sales通讯群组之间的成员在进行E-mail互寄时，每一封E-mail都会应用接下来步骤中所设置的RMS权限策略模板。当然啦！您可以设置针对特定的主题与属性的关键词，或是特定用户所寄送的E-mail等等条件的组合来作为判断的条件。接下来在[Actions]设置页面中，如图4所示先将[rights protect message with RMS template]项目勾选，然后点选下方窗格中相对应的超链接继续。

接着便可以在此[Select RMS template]窗格中，来挑选我们前面所建立过的任何一个RMS权限策略模板项目进行应用。由此可见我们可以根据不同的传输规则需求，来设置不同的传输条件搭配不同的RMS模板。

最后在[Exceptions]页面中，如果想要设置前面动作中的排除条件，便可以在此进行设置，例如您可以设置当Email是寄送业务部的某一位成员时，或是主题与属性中包含特定的关键词时，不要进行RMS的加密处理等等。

当完成了一项RMS权限策略模板的传输规则新增设置之后，便可以看见有关于这项传输规则完整的PowerShell命令语法，您可以将这个命令范例按下键盘上的[Ctrl]+[C]复制到剪贴簿中，然后张贴到任何的文书编辑器进行修改并且储存成PS1的扩展名格式，即可变成一个快速完成设置的手稿，往后便可以不再需要透过图形接口来进行设置了。

自我测试小秘诀

如果您想要在Exchange 2010伺服端，先行测试与RMS集成的功能是否没问题，只要在Exchange命令控制台中输入Test-IRMConfiguration-Sender 发送者Email地址，即可得知从整个IRM设置的加载、RMS凭证的取得、到RMS模板应用的联机要求运作是否正常。

客户端电子邮件传送测试

完成了传输规则的新增之后，接下来请开启预先准备好的Outlook 2010客户端准备收信，然后开启OWA域站以不同于Outlook 2010联机的用户帐户来登入，并且寄送一封E-mail给Outlook 2010的用户邮箱，如此一来只要发送者与收件者符合前面的传输规则条件设置，那么收件者将会在Outlook 2010中收到一封IRM的加密邮件。

请注意！当Outlook 2010第一次收到一封经由RMS加密的邮件时，将会弹跳出需要检查您的凭证与下载您权限的窗口，此时只要将[Don't show this message again]设置勾选，往后对于接收新的RMS加密邮件时便不会再出现此邮件。

图4 设置传输规则动作

接着当收件者开启经由传输规则的RMS权限策略模板，所自动加密过的E-mail之后，将会显示企业所设置的合规性讯息。仔细看一下，您会发现这一位收件者无法对于该封E-mai，进行回复、回复全部以及转送等动作，全部按钮都以反白呈现而无法点击。甚至于如果想要以屏幕复制（Print Screen）的方式来撷取画面也是没有办法的。至于如果收件的用户想要查看自己针对这一封RMS加密邮件的权限列表，只要按下鼠标右键并点选[检视权限]即可得知。

结论

从本文的几个实作例子当中，不然发现Exchange Server 2010在企业电子邮件合规性管理能力上的强化设计，让电子邮件不仅在组织内的发送过程之中受到安全保护，即便是在与外部客户或合作伙伴之间来往的电子邮件讯息，也同样可以得到相同等级的安全保护机制，让许多商业机密的讯息内容，不会因此遭到恶人士的窃取、伪造以及窜改，让企业电子商务的往来风险降至最低。