Aby uniemożliwić określonym jednostkom pobieranie żądań certyfikatów i licencji, można zaimplementować zasady wykluczania. Istnieją trzy sposoby wykluczania tych jednostek: według użytkownika, według aplikacji i według wersji skrytki.
Po wykluczeniu jednostki licencje użytkowania tworzone przez serwery w klastrze aplikacji Usługi AD RMS będą miały tę jednostkę określoną na liście wykluczeń. Jeśli po pewnym czasie użytkownik zdecyduje się usunąć jednostkę, którą wcześniej dołączył do zasad wykluczania, może usunąć tę jednostkę z listy wykluczeń. We wszelkich nowych żądaniach certyfikatów lub licencji ta jednostka nie będzie uważana za wykluczoną.
Zalecane jest nieusuwanie jednostki z zasad wykluczania do momentu uzyskania pewności, że wygasły wszystkie certyfikaty wystawione przed utworzeniem tych zasad wykluczania. W przeciwnym wypadku zarówno stare, jak i nowe certyfikaty będą zezwalać na odszyfrowywanie zawartości, co może być niezgodne z zasadami obowiązującymi w organizacji.