Управление правами на доступ к даннымInformation Rights Management

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Каждый день, информационные сотрудники используют электронную почту для обмена конфиденциальными данными, такими как финансовые отчеты и данные, юридические контракты, конфиденциальные сведения о продуктах, отчеты о продажах и проекции, сравнительный анализ, исследование и патентные данные, а также сведения о клиентах и сотрудниках.Every day, information workers use e-mail to exchange sensitive information such as financial reports and data, legal contracts, confidential product information, sales reports and projections, competitive analysis, research and patent information, and customer and employee information. Так как пользователи теперь могут получать доступ к своей электронной почте практически из любого места, почтовые ящики преобразуются в репозитории, содержащие большое количество потенциально конфиденциальных сведений.Because people can now access their e-mail from just about anywhere, mailboxes have transformed into repositories containing large amounts of potentially sensitive information. Таким образом, утечка информации представляет серьезную угрозу для организаций.As a result, information leakage can be a serious threat to organizations. Чтобы предотвратить утечку информации, Microsoft Exchange Server 2013 включает функции управления правами на доступ к данным (IRM), обеспечивающие постоянную сетевую и автономную защиту сообщений электронной почты и вложений.To help prevent information leakage, Microsoft Exchange Server 2013 includes Information Rights Management (IRM) features, which provide persistent online and offline protection of e-mail messages and attachments.

Понятие утечки информацииWhat is information leakage?

Утечка потенциально конфиденциальной информации может быть дорогостоящей для Организации и повлиять на организацию, сотрудников, клиентов и партнеров в широком диапазоне.Leakage of potentially sensitive information can be costly for an organization and have wide-ranging impact on the organization and its business, employees, customers, and partners. Локальные и отраслевые нормативы все еще управляют тем, как определенные типы информации хранятся, передаются и защищаются.Local and industry regulations increasingly govern how certain types of information are stored, transmitted, and secured. Чтобы избежать нарушения действующих нормативных требований, организациям необходимо защищать себя от преднамеренного, случайного или случайного утечки информации.To avoid violating applicable regulations, organizations must protect themselves against intentional, inadvertent, or accidental information leakage.

Ниже приведены некоторые последствия, которые могут быть следствием утечки информации.The following are some consequences resulting from information leakage:

  • Финансовый ущерб: в зависимости от размера, отрасли и местных нормативных актов, утечка информации может привести к потере деловой деятельности из-за убытков или пунитиве, накладываемых кауртс или нормативными органами.Financial damage: Depending on the size, industry, and local regulations, information leakage may result in financial impact due to loss of business or due to fines and punitive damages imposed by courts or regulatory authorities. В общедоступных компаниях также может возникать риск потери капитализации рынка из-за неблагоприятного объема мультимедиа.Public companies may also risk losing market capitalization due to adverse media coverage.

  • Повреждение изображения иего совладельца: утечка информации может повредить изображение Организации и ее клиентов.Damage to image and credibility: Information leakage can damage an organization's image and credibility with customers. Кроме того, в зависимости от природы связи утечки электронных сообщений могут стать источником вреда для отправителя и Организации.Moreover, depending on the nature of communication, leaked e-mail messages can potentially be a source of embarrassment for the sender and the organization.

  • Потеря конкурентной выгоды: один из наиболее серьезных угроз от утечки информации — это потеря конкурентных преимуществ в бизнесе.Loss of competitive advantage: One of the most serious threats from information leakage is the loss of competitive advantage in business. Раскрытие стратегических планов или раскрытие информации о слиянии и получении может привести к потере дохода или капитализации рынка.Disclosure of strategic plans or disclosure of merger and acquisition information can potentially lead to loss of revenue or market capitalization. К другим угрозам относятся: потеря справочных данных, аналитических данных и другой интеллектуальной собственности.Other threats include loss of research information, analytical data, and other intellectual property.

Традиционные решения для защиты от утечки информацииTraditional solutions to information leakage

Несмотря на то, что традиционные решения по утечке информации могут защитить исходный доступ к данным, они часто не обеспечивают постоянную защиту.Although traditional solutions to information leakage may protect initial access to data, they often don't provide constant protection. В приведенной ниже таблице перечислены некоторые традиционные решения и их ограничения.The following table lists some traditional solutions and their limitations.

Традиционные решенияTraditional solutions

РешениеSolution ОписаниеDescription ОграниченияLimitations

Протокол TLSTransport Layer Security (TLS)

TLS — это стандартный протокол Интернета, используемый для защиты связи по сети с помощью шифрования.TLS is an Internet standard protocol used to secure communications over a network by means of encryption. В среде обмена сообщениями протокол TLS используется для защиты обмена данными между сервером и сервером и клиентом и сервером.In a messaging environment, TLS is used to secure server/server and client/server communications.

По умолчанию Exchange 2010 использует TLS для всех внутренних передач сообщений.By default, Exchange 2010 uses TLS for all internal message transfers. Кроме того, по умолчанию для сеансов с внешними узлами также включается уступающей TLS.Opportunistic TLS is also enabled by default for sessions with external hosts. Сначала Exchange пытается использовать шифрование TLS для сеанса, но если не удается установить TLS-подключение к конечному серверу, Exchange использует протокол SMTP.Exchange first attempts to use TLS encryption for the session, but if a TLS connection can't be established with the destination server, Exchange uses SMTP. Вы также можете настроить безопасность домена, чтобы применять протокол Mutual TLS для сеансов с внешними организациями.You can also configure domain security to enforce mutual TLS with external organizations.

Протокол TLS обеспечивает защиту сеанса SMTP только между двумя узлами SMTP.TLS only protects the SMTP session between two SMTP hosts. Другими словами, TLS защищает данные при передаче, но не обеспечивает защиту на уровне сообщений или данных в местах хранения.In other words, TLS protects information in motion, and it doesn't provide protection at the message-level or for information at rest. Если сообщения не шифруются с помощью другого метода, сообщения в почтовых ящиках отправителя и получателей остались незащищенными.Unless the messages are encrypted using another method, messages in the sender's and recipients' mailboxes remain unprotected. Для электронной почты, отправляемой за прев Организации, вы можете потребовать TLS только для первого прыжка.For e-mail sent outside the organization, you can require TLS only for the first hop. После того как удаленный узел SMTP не получит сообщение, он может ретранслировать его на другой узел SMTP через незашифрованный сеанс.After a remote SMTP host outside your organization receives the message, it can relay it to another SMTP host over an unencrypted session. Так как протокол TLS является технологией транспортного уровня, он не может контролировать действие получателя с сообщением.Because TLS is a transport layer technology, it can't provide control over what the recipient does with the message.

Шифрование электронной почтыE-mail encryption

Для шифрования сообщений пользователи могут использовать различные технологии, например S/MIME.Users can use technologies such as S/MIME to encrypt messages.

Пользователи сами решают, необходимо ли шифровать сообщение.Users decide whether a message gets encrypted. Шифрование подразумевает дополнительные расходы на развертывание инфраструктуры открытых ключей (PKI) и сопутствующие затраты на управление сертификатами для пользователей и защиту закрытых ключей.There are additional costs of a public key infrastructure (PKI) deployment, with the accompanying overhead of certificate management for users and protection of private keys. После расшифровки сообщения действия получателя с информацией не контролируются.After a message is decrypted, there's no control over what the recipient can do with the information. Расшифрованная информация может быть скопирована, распечатана или переслана.Decrypted information can be copied, printed, or forwarded. По умолчанию сохраненные вложения не защищены.By default, saved attachments aren't protected.

Сообщения, зашифрованные с помощью таких технологий, как S/MIME, недоступны в вашей организации.Messages encrypted using technologies such as S/MIME can't be accessed by your organization. Организация не может проверить содержимое сообщения и, следовательно, не может применять политики обмена сообщениями, сканировать сообщения для вирусов или вредоносного содержимого, а также предпринимать другие действия, требующие доступа к содержимому.The organization can't inspect message content, and therefore can't enforce messaging policies, scan messages for viruses or malicious content, or take any other action that requires accessing the content.

И наконец, традиционные решения часто не позволяют применять единые политики обмена сообщениями для предотвращения утечки информации.Finally, traditional solutions often lack enforcement tools that apply uniform messaging policies to prevent information leakage. Например, пользователь отправляет сообщение, содержащее конфиденциальную информацию, и помечает его как конфиденциальное и непересылается.For example, a user sends a message containing sensitive information and marks it as Company Confidential and Do Not Forward. Когда сообщение будет доставлено получателю, отправитель или организация больше не смогут управлять этими сведениями.After the message is delivered to the recipient, the sender or the organization no longer has control over the information. Получатель может умышленно или случайно переслать сообщение (с помощью таких функций, как правила автоматической пересылки) на внешние учетные записи электронной почты, отделяя организацию от утечки информации.The recipient can willfully or inadvertently forward the message (using features such as automatic forwarding rules) to external e-mail accounts, subjecting your organization to substantial information leakage risks.

Служба управления правами на доступ к данным в Exchange 2013IRM in Exchange 2013

В Exchange 2013 вы можете использовать функции IRM для применения постоянной защиты к сообщениям и вложениям.In Exchange 2013, you can use IRM features to apply persistent protection to messages and attachments. IRM использует службы управления правами Active Directory (AD RMS), технологию защиты информации в Windows Server 2008 и более поздних версий.IRM uses Active Directory Rights Management Services (AD RMS), an information protection technology in Windows Server 2008 and later. С помощью функций IRM в Exchange 2013 Организация и пользователи могут управлять получателями прав на электронную почту.With the IRM features in Exchange 2013, your organization and your users can control the rights recipients have for e-mail. IRM также позволяет разрешить или запретить действия получателей, такие как пересылка сообщения другим получателям, печать сообщения или вложения, а также извлечение содержимого сообщения или вложения путем копирования и вставки.IRM also helps allow or restrict recipient actions such as forwarding a message to other recipients, printing a message or attachment, or extracting message or attachment content by copying and pasting. Защита IRM может быть применена пользователями в Microsoft Outlook или Microsoft Office Outlook Web App либо основана на политиках обмена сообщениями организации и применяется с помощью правил защиты транспорта или правил защиты Outlook.IRM protection can be applied by users in Microsoft Outlook or Microsoft Office Outlook Web App, or it can be based on your organization's messaging policies and applied using transport protection rules or Outlook protection rules. В отличие от других решений по шифрованию электронной почты, IRM также позволяет организации расшифровывать защищенный контент, чтобы обеспечить соответствие политике требованиям.Unlike other e-mail encryption solutions, IRM also allows your organization to decrypt protected content to enforce policy compliance.

Служба AD RMS использует сертификаты и лицензии на основе языка разметки на основе языка разметки и лицензий для сертификации компьютеров и пользователей, а для защиты контента.AD RMS uses extensible rights markup language (XrML)-based certificates and licenses to certify computers and users, and to protect content. Когда содержимое, такое как документ или сообщение, защищено с помощью службы управления правами Active Directory, к нему прикрепляется Лицензия XrML, содержащая права, необходимые пользователям для доступа к содержимому.When content such as a document or a message is protected using AD RMS, an XrML license containing the rights that authorized users have to the content is attached. Чтобы получить доступ к контенту, защищенному с помощью IRM, приложения с включенной поддержкой службы управления правами Active Directory должны получить лицензию на использование для авторизованного пользователя из кластера AD RMS.To access IRM-protected content, AD RMS-enabled applications must procure a use license for the authorized user from the AD RMS cluster.

Примечание

В Exchange 2013 агент предварительного лицензирования прикрепляет лицензию на использование для сообщений, защищенных с помощью кластера AD RMS в Организации.In Exchange 2013, the Prelicensing agent attaches a use license to messages protected using the AD RMS cluster in your organization. Более подробную информацию можно найти в разделе предварительное лицензирование далее в этом разделе.For more details, see Prelicensing later in this topic.

Приложения, используемые для создания контента, должны быть включены в RMS для применения постоянной защиты к содержимому с помощью AD RMS.Applications used to create content must be RMS-enabled to apply persistent protection to content using AD RMS. Приложения Microsoft Office, такие как Word, Excel, PowerPoint и Outlook, включены в RMS и могут использоваться для создания защищенного контента.Microsoft Office applications, such as Word, Excel, PowerPoint and Outlook are RMS-enabled and can be used to create and consume protected content.

IRM помогает выполнять следующие действия:IRM helps you do the following:

  • предотвратить пересылку, изменение, печать, отправку по факсу, сохранение и копирование уполномоченными получателями содержимого, защищенного службой IRM;Prevent an authorized recipient of IRM-protected content from forwarding, modifying, printing, faxing, saving, or cutting and pasting the content.

  • обеспечить для вложений в поддерживаемых форматах такой же уровень защиты, что и для сообщения;Protect supported attachment file formats with the same level of protection as the message.

  • поддерживать функцию управления сроком действия сообщений и вложений с защитой IRM, которая не позволяет просматривать их по истечении указанного периода;Support expiration of IRM-protected messages and attachments so they can no longer be viewed after the specified period.

  • Запретить копирование содержимого, защищенного службой управления правами на доступ к данным, с помощью средства "ножницы" в Microsoft Windows.Prevent IRM-protected content from being copied using the Snipping Tool in Microsoft Windows.

Однако служба управления правами на доступ к данным не может предотвратить копирование данных с помощью следующих методов:However, IRM can't prevent information from being copied using the following methods:

  • Программы захвата экрана сторонних производителейThird-party screen capture programs

  • Использование устройств обработки изображений, например камер, к содержимому, защищенному с помощью IRM, которое отображается на экранеUse of imaging devices such as cameras to photograph IRM-protected content displayed on the screen

  • Пользователи запоминают или вручную переписывания информациюUsers remembering or manually transcribing the information

Дополнительные сведения о службе управления правами Active Directory можно узнать в статье Служба управления правами Active Directory.To learn more about AD RMS, see Active Directory Rights Management Services.

Шаблоны политики прав AD RMSAD RMS rights policy templates

Служба AD RMS использует шаблоны политики прав на основе XrML для поддержки совместимых приложений с поддержкой IRM для применения единообразных политик защиты.AD RMS uses XrML-based rights policy templates to allow compatible IRM-enabled applications to apply consistent protection policies. В системе Windows Server 2008 и ее более поздних версиях на сервере AD RMS доступна веб-служба, которую можно использовать для перечисления и получения шаблонов.In Windows Server 2008 and later, the AD RMS server exposes a Web service that can be used to enumerate and acquire templates. Сервер Exchange 2013 поставляется вместе с шаблоном "Не пересылать".Exchange 2013 ships with the Do Not Forward template. Когда к сообщению применяется шаблон "Не пересылать", расшифровывать это сообщение могут только получатели, являющиеся его адресатами.When the Do Not Forward template is applied to a message, only the recipients addressed in the message can decrypt the message. Получатели не могут переслать сообщение, скопировать из него содержимое или распечатать.The recipients can't forward the message, copy content from the message, or print the message. Вы можете создать дополнительные шаблоны RMS на сервере AD RMS в Организации в соответствии с требованиями к защите IRM.You can create additional RMS templates on the AD RMS server in your organization to meet your IRM protection requirements.

Защита IRM применяется путем применения шаблона политики прав AD RMS.IRM protection is applied by applying an AD RMS rights policy template. С помощью шаблонов политики вы можете управлять разрешениями для получателей сообщения.Using policy templates, you can control permissions that recipients have on a message. Действия, такие как ответы, ответы на все, переадресация, извлечение данных из сообщений, сохранение сообщений или печать сообщений, можно контролировать, применяя к сообщению соответствующий шаблон политики прав.Actions such as replying, replying to all, forwarding, extracting information from a message, saving a message, or printing a message can be controlled by applying the appropriate rights policy template to the message.

Дополнительные сведения о шаблонах политики прав приведены в статье рекомендации по шаблону политики AD RMS.For more information about rights policy templates, see AD RMS Policy Template Considerations.

Для получения дополнительных сведений о создании шаблонов политики прав AD RMS ознакомьтесь с пошаговыми инструкциями по развертыванию шаблонов политики прав AD RMS.For more information about creating AD RMS rights policy templates, see AD RMS Rights Policy Templates Deployment Step-by-Step Guide.

Применение защиты IRM к сообщениямApplying IRM protection to messages

В Exchange 2010 защиту IRM можно применять к сообщениям с помощью следующих методов:In Exchange 2010, IRM protection can be applied to messages using the following methods:

  • Пользователи Outlook вручную: пользователи Outlook могут защищать сообщения с помощью шаблонов политики прав службы управления правами Active Directory.Manually by Outlook users: Your Outlook users can IRM-protect messages with the AD RMS rights policy templates available to them. В этом процессе используются функции IRM в Outlook, а не Exchange.This process uses the IRM functionality in Outlook, and not Exchange. Однако для доступа к сообщениям можно использовать Exchange, а для применения политики обмена сообщениями в Организации можно выполнить определенные действия (такие как применение правил транспорта).However, you can use Exchange to access messages, and you can take actions (such as applying transport rules) to enforce your organization's messaging policy. Дополнительные сведения об использовании IRM в Outlook приведены в статье Введение в IRM для сообщений электронной почты.For more information about using IRM in Outlook, see Introduction to IRM for email messages.

  • Пользователи Outlook Web App вручную: при включении управления правами на доступ к данным в Outlook Web App пользователи могут защищать сообщения, которые они отправляют, и просматривать полученные сообщения, защищенные с помощью IRM.Manually by Outlook Web App users: When you enable IRM in Outlook Web App, users can IRM-protect messages they send, and view IRM-protected messages they receive. В Exchange 2013 с накопительным пакетом обновления 1 (CU1) пользователи Outlook Web App также могут просматривать защищенные с помощью веб-просмотра документы с защищенными правами на доступ к данным.In Exchange 2013 Cumulative Update 1 (CU1), Outlook Web App users can also view IRM-protected attachments using Web-Ready Document Viewing. Дополнительные сведения о службе управления правами на доступ к данным в Outlook Web App можно найти в статье Управление правами на доступ к данным в Outlook Web App.For more information about IRM in Outlook Web App, see Information Rights Management in Outlook Web App.

  • Вручную пользователи устройств с Windows Mobile и Exchange ActiveSync: в выпускной RTM-версии Exchange 2010 пользователи устройств с Windows Mobile могут просматривать и создавать сообщения, защищенные службой управления правами на доступ к данным.Manually by Windows Mobile and Exchange ActiveSync device users: In the release to manufacturing (RTM) version of Exchange 2010, users of Windows Mobile devices can view and create IRM-protected messages. Для этого пользователям необходимо подключить Поддерживаемые устройства Windows Mobile к компьютеру и активировать их для управления правами на доступ к данным.This requires users to connect their supported Windows Mobile devices to a computer and activate them for IRM. В Exchange 2010 с пакетом обновления 1 (SP1) вы можете включить IRM в Microsoft Exchange ActiveSync, чтобы позволить пользователям устройств Exchange ActiveSync (включая устройства Windows Mobile) просматривать, отвечать на них, пересылать и создавать сообщения, защищенные с помощью IRM.In Exchange 2010 SP1, you can enable IRM in Microsoft Exchange ActiveSync to allow users of Exchange ActiveSync devices (including Windows Mobile devices) to view, reply to, forward, and create IRM-protected messages. Дополнительные сведения о службе управления правами на доступ к данным в Exchange ActiveSync содержатся в разделе Управление правами на доступ к данным в Exchange ActiveSync.For more information about IRM in Exchange ActiveSync, see Information Rights Management in Exchange ActiveSync.

  • Автоматически в outlook 2010 и более поздних версий: вы можете создавать правила защиты Outlook для автоматической защиты сообщений в Outlook 2010 и более поздних версий.Automatically in Outlook 2010 and later: You can create Outlook protection rules to automatically IRM-protect messages in Outlook 2010 and later. Правила защиты Outlook автоматически развертываются в клиентах Outlook 2010, и в Outlook 2010 применяется защита IRM, когда пользователь создает сообщение.Outlook protection rules are deployed automatically to Outlook 2010 clients, and IRM-protection is applied by Outlook 2010 when the user is composing a message. Дополнительные сведения о правилах защиты Outlook приведены в статье правила защиты Outlook.For more information about Outlook protection rules, see Outlook protection rules.

  • Автоматически на серверахпочтовых ящиков: вы можете создать правила защиты транспорта для автоматических сообщений с защитой IRM на серверах почтовых ящиков Exchange 2013.Automatically on Mailbox servers: You can create transport protection rules to automatically IRM-protect messages on Exchange 2013 Mailbox servers. Более подробную информацию о правилах защиты транспорта можно узнать в статье правила защиты транспорта.For more information about transport protection rules, see Transport protection rules.

    Примечание

    Защита IRM не применяется к сообщениям, которые уже защищены IRM.IRM protection isn't applied again to messages that are already IRM-protected. Например, если пользователь защищает сообщение в Outlook или Outlook Web App, защита IRM не применяется к сообщению с помощью правила защиты транспорта.For example, if a user IRM-protects a message in Outlook or Outlook Web App, IRM protection isn't applied to the message using a transport protection rule.

Сценарии для защиты IRMScenarios for IRM protection

Сценарии для защиты IRM описаны в таблице ниже.Scenarios for IRM protection are described in the following table.

Сценарии для защиты IRMScenarios for IRM protection

Отправка сообщений, защищенных с помощью IRMSending IRM-protected messages ПоддерживаетсяSupported ТребованияRequirements

В рамках одного локального развертывания Exchange 2013Within the same on-premises Exchange 2013 deployment

ДаYes

Требования к IRM приведены далее в этом разделе.For requirements, see IRM Requirements later in this topic.

Между различными лесами в локальном развертыванииBetween different forests in an on-premises deployment

ДаYes

Требования: Настройка службы управления правами Active Directory для интеграции с Exchange Server 2010 в несколько лесов.For requirements, see Configuring AD RMS to Integrate with Exchange Server 2010 Across Multiple Forests.

Между локальным развертыванием Exchange 2013 и облачной организацией ExchangeBetween an on-premises Exchange 2013 deployment and a cloud-based Exchange organization

ДаYes

  • Используйте локальный сервер AD RMS.Use an on-premises AD RMS server.

  • Экспортируйте доверенный домен публикации с локального сервера службы управления правами Active Directory.Export the trusted publishing domain from your on-premises AD RMS server.

  • Импортируйте доверенный домен публикации в облачной организации.Import the trusted publishing domain in your cloud-based organization.

Внешним получателямTo external recipients

НетNo

Exchange 2010 не включает решение для отправки сообщений, защищенных с помощью IRM, внешним получателям в нефедеративных организациях.Exchange 2010 doesn't include a solution for sending IRM-protected messages to external recipients in a non-federated organization. Служба AD RMS предлагает решения, использующие политики доверия.AD RMS offers solutions using trust policies. Вы можете настроить политику доверия между кластером AD RMS и учетной записью Майкрософт (прежнее название — Windows Live ID).You can configure a trust policy between your AD RMS cluster and Microsoft account (formerly known as Windows Live ID). Для сообщений, отправляемых между двумя организациями, можно создать федеративное доверие между двумя лесами Active Directory с помощью служб федерации Active Directory (AD FS).For messages sent between two organizations, you can create a federated trust between the two Active Directory forests using Active Directory Federation Services (AD FS). Чтобы узнать больше, ознакомьтесь со статьей Общие сведения о политиках доверия AD RMS.To learn more, see Understanding AD RMS Trust Policies.

Расшифровка сообщений, защищенных с помощью IRM, для применения политик обмена сообщениямиDecrypting IRM-protected messages to enforce messaging policies

Для применения политик обмена сообщениями и соответствия нормативным требованиям необходимо иметь доступ к зашифрованному содержимому сообщения.To enforce messaging policies and for regulatory compliance, you must be able to access encrypted message content. Чтобы обеспечить соответствие требованиям к обнаружению электронных данных из-за судебного разбирательства, законодательных аудиторий или внутреннего расследования, необходимо также выполнить поиск в зашифрованных сообщениях.To meet eDiscovery requirements due to litigation, regulatory audits, or internal investigations, you must also be able to search encrypted messages. Для упрощения этих задач Exchange 2013 включает следующие функции IRM:To help with these tasks, Exchange 2013 includes the following IRM features:

  • Расшифровка транспорта: для применения политик обмена сообщениями, агенты транспорта, такие как агент правил транспорта, должны иметь доступ к содержимому сообщения.Transport decryption: To apply messaging policies, transport agents such as the Transport Rules agent should have access to message content. Расшифровка транспорта позволяет агентам транспорта, установленным на серверах Exchange 2013, получать доступ к содержимому сообщений.Transport decryption allows transport agents installed on Exchange 2013 servers to access message content. Более подробную информацию можно узнать в разделе расшифровка транспорта.For more information, see Transport decryption.

  • Расшифровка отчета журнала: для соответствия требованиям или бизнес-требованиям организации могут использовать ведение журнала для сохранения содержимого сообщений.Journal report decryption: To meet compliance or business requirements, organizations can use journaling to preserve messaging content. Агент ведения журнала создает отчет журнала для сообщений, которые подчиняются журналам, и включает метаданные о сообщении в отчете.The Journaling agent creates a journal report for messages subject to journaling and includes metadata about the message in the report. Исходное сообщение прикрепляется к отчету журнала.The original message is attached to the journal report. Если сообщение в отчете журнала защищено с помощью управления правами на доступ к данным, Расшифровка отчета журнала присоединяет копию сообщения в виде незашифрованного текста к отчету журнала.If the message in a journal report is IRM-protected, journal report decryption attaches a cleartext copy of the message to the journal report. Дополнительные сведения см. в разделе расшифровка отчетов журнала.For more information, see Journal report decryption.

  • Расшифровка службы управления правами на доступ к данным для поиска Exchange: с помощью расшифровки IRM для поиска Exchange служба поиска Exchange может индексировать контент в сообщениях, защищенных IRM.IRM decryption for Exchange Search: With IRM decryption for Exchange Search, Exchange Search can index content in IRM-protected messages. Когда диспетчер обнаружения выполняет поиск с обнаружением электронных данных на месте, сообщения с защитой IRM, которые были проиндексированы, возвращаются в результатах поиска.When a discovery manager performs an In-Place eDiscovery search, IRM-protected messages that have been indexed are returned in search results. Дополнительные сведения см. в статье Обнаружение электронных данных на месте.For more information, see In-Place eDiscovery.

    Примечание

    В Exchange 2010 с пакетом обновления 1 (SP1) и более поздних версиях участники группы ролей управления обнаружением могут получать доступ к сообщениям, защищенным службой управления правами на доступ, которые возвращаются службой поиска и размещены в почтовом ящикIn Exchange 2010 SP1 and later, members of the Discovery Management role group can access IRM-protected messages returned by a discovery search and residing in a discovery mailbox. Чтобы включить эту функцию, используйте параметр едисковерисуперусеренаблед с командлетом Set – IRMConfiguration .To enable this functionality, use the EDiscoverySuperUserEnabled parameter with Set-IRMConfiguration cmdlet. Дополнительные сведения: Настройка IRM для поиска Exchange и обнаружения электронных данных на месте.For more information, see Configure IRM for Exchange Search and In-Place eDiscovery.

Чтобы включить эти функции расшифровки, серверы Exchange Server должны иметь доступ к сообщению.To enable these decryption features, Exchange servers must have access to the message. Это достигается путем добавления почтового ящика Федерации, системного почтового ящика, созданного программой установки Exchange, в группу суперпользователей на сервере службы управления правами Active Directory.This is accomplished by adding the Federation mailbox, a system mailbox created by Exchange Setup, to the super users group on the AD RMS server. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.For details, see Add the Federation Mailbox to the AD RMS Super Users Group.

Предварительного лицензированияPrelicensing

Для просмотра сообщений и вложений, защищенных с помощью IRM, Exchange 2013 автоматически прикрепляет к защищенным сообщениям предлицензию.To view IRM-protected messages and attachments, Exchange 2013 automatically attaches a prelicense to protected messages. Это позволяет клиенту не выполнять повторные обращения к серверу службы управления правами Active Directory для получения лицензии на использование, а также позволяет просматривать сообщения и вложения, защищенные с помощью IRM, в автономном режиме.This prevents the client from having to make repeated trips to the AD RMS server to retrieve a use license, and enables offline viewing of IRM-protected messages and attachments. Предварительное лицензирование также позволяет просматривать сообщения, защищенные службой управления правами на доступ к данным, в Outlook Web App.Prelicensing also allows IRM-protected messages to be viewed in Outlook Web App. При включении функций IRM предварительное лицензирование включается по умолчанию.When you enable IRM features, prelicensing is enabled by default.

Агенты управления правами на доступ к даннымIRM agents

В Exchange 2013 функция управления правами на доступ к данным включена с помощью агентов транспорта в службе транспорта на серверах почтовых ящиков.In Exchange 2013, IRM functionality is enabled using transport agents in the Transport service on Mailbox servers. Агенты управления правами на доступ к данным устанавливаются программой установки Exchange на сервере почтовых ящиков.IRM agents are installed by Exchange Setup on a Mailbox server. Вы не можете управлять агентами управления правами на доступ к данным с помощью задач управления для агентов транспорта.You can't control IRM agents using the management tasks for transport agents.

Примечание

В Exchange 2013 агенты IRM являются встроенными агентами.In Exchange 2013, IRM agents are built-in agents. Встроенные агенты не включены в список агентов, возвращаемых командлетом Get-TransportAgent.Built-in agents aren't included in the list of agents returned by the Get-TransportAgent cmdlet. Более подробную информацию можно узнать в статье Agent Transport Agents.For more information, see Transport agents.

В следующей таблице перечислены агенты управления правами на доступ к данным, реализованные в службе транспорта на серверах почтовых ящиков.The following table lists the IRM agents implemented in the Transport service on Mailbox servers.

Агенты управления правами на доступ к данным в службе транспорта на серверах почтовых ящиковIRM agents in the Transport service on Mailbox servers

АгентаAgent СобытиеEvent ФункцияFunction

Агент расшифровки RMSRMS Decryption agent

OnEndOfData (SMTP) и ОнсубмиттедмессажеOnEndOfData (SMTP) and OnSubmittedMessage

Расшифровывает сообщения, чтобы разрешить доступ к агентам транспорта.Decrypts messages to allow access to transport agents.

Агент правил транспортаTransport Rules agent

ОнраутедмессажеOnRoutedMessage

Помечает сообщения, которые отвечают условиям правила в правиле защиты транспорта, как агент шифрования RMS защищается с помощью управления правами на доступ к данным.Flags messages that match rule conditions in a transport protection rule to be IRM-protected by the RMS Encryption agent.

Агент шифрования RMSRMS Encryption agent

ОнраутедмессажеOnRoutedMessage

Применяет защиту IRM к сообщениям, помеченным агентом правил транспорта, и повторно шифрует расшифрованные сообщения транспорта.Applies IRM protection to messages flagged by the Transport Rules agent and re-encrypts transport decrypted messages.

Агент предварительного лицензированияPrelicensing agent

ОнраутедмессажеOnRoutedMessage

Присоединяет предварительную лицензию к сообщениям, защищенным службой IRM.Attaches a prelicense to IRM-protected messages.

Агент расшифровки отчетов журналаJournal Report Decryption agent

ОнкатегоризедмессажеOnCategorizedMessage

Расшифровывает сообщения с защитой IRM, присоединенные к отчетам журнала, и внедряет незашифрованные версии вместе с исходными зашифрованными сообщениями.Decrypts IRM-protected messages attached to journal reports and embeds cleartext versions along with the original encrypted messages.

Более подробную информацию об агентах транспорта можно узнать в статье Agent Transport Agents.For more information about transport agents, see Transport agents.

Требования к управлению правами на доступ к даннымIRM requirements

Чтобы реализовать IRM в организации Exchange 2013, развертывание должно соответствовать требованиям, описанным в следующей таблице.To implement IRM in your Exchange 2013 organization, your deployment must meet the requirements described in the following table.

Требования к управлению правами на доступ к даннымIRM requirements

СерверServer ТребованияRequirements

Кластер AD RMSAD RMS cluster

  • Операционная система   Windows Server 2012, Windows Server 2008 R2 или Windows Server 2008 с пакетом обновления 2 (SP2) с исправлением роли службы управления правами Active Directory в Windows Server 2008 является обязательным.Operating system   Windows Server 2012, Windows Server 2008 R2 or Windows Server 2008 SP2 with the hotfix Active Directory Rights Management Services role in Windows Server 2008 is required.

  • Точка подключения службы   Exchange 2010 и приложения, поддерживающие службу управления правами Active Directory, используют точку подключения службы, зарегистрированную в Active Directory, для обнаружения кластера службы управления правами Active Directory и URL-адресов.Service connection point   Exchange 2010 and AD RMS-aware applications use the service connection point registered in Active Directory to discover an AD RMS cluster and URLs. Служба AD RMS позволяет зарегистрировать точку подключения службы в программе установки службы управления правами Active Directory.AD RMS allows you to register the service connection point from within AD RMS Setup. Если учетная запись, используемая для настройки службы управления правами Active Directory, не является членом группы безопасности "Администраторы предприятия", регистрацию точки подключения службы можно выполнить после завершения установки.If the account used to set up AD RMS isn't a member of the Enterprise Admins security group, service connection point registration can be performed after setup is complete. В лесу Active Directory существует только одна точка подключения службы для AD RMS.There is only one service connection point for AD RMS in an Active Directory forest.

  • Разрешения   на чтение и выполнение для конвейера сертификации сервера AD RMS (ServerCertification.asmx файл на серверах AD RMS) должны быть назначены следующим образом:Permissions   Read and Execute permissions to the AD RMS server certification pipeline (ServerCertification.asmx file on AD RMS servers) must be assigned to the following:

    • Группа серверов Exchange или отдельные серверы Exchange ServerExchange Servers group or individual Exchange servers

    • Группа служб Службы управления правами Active Directory на серверах службы управления правами Active DirectoryAD RMS Service group on AD RMS servers

    По умолчанию файл ServerCertification. asmx находится в \inetpub\wwwroot\_wmcs\certification\ папке на серверах службы управления правами Active Directory.By default, the ServerCertification.asmx file is located in the \inetpub\wwwroot\_wmcs\certification\ folder on AD RMS servers. Дополнительные сведения см. в разделе Set Permissions для конвейера сертификации сервера AD RMS.For details, see Set Permissions on the AD RMS Server Certification Pipeline.

  • Суперпользователи AD RMS   могут включить расшифровку транспорта, расшифровку отчетов журнала, IRM в Outlook Web App и службу управления правами на доступ к данным для поиска Exchange, необходимо добавить почтовый ящик Федерации, системный почтовый ящик, созданный программой установки Exchange 2013, в группу суперпользователей в Active Directory. Кластер службы управления правами.AD RMS super users   To enable transport decryption, journal report decryption, IRM in Outlook Web App, and IRM for Exchange Search, you must add the Federation mailbox, a system mailbox created by Exchange 2013 Setup, to the super users group on the AD RMS cluster. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.For details, see Add the Federation Mailbox to the AD RMS Super Users Group.

ExchangeExchange

OutlookOutlook

  • Пользователи могут защищать сообщения IRM в Outlook.Users can IRM-protect messages in Outlook. Начиная с Outlook 2003, поддерживаются шаблоны AD RMS для сообщений с защитой IRM.Beginning with Outlook 2003, AD RMS templates for IRM-protecting messages is supported.

  • Правила защиты Outlook — это функция Exchange 2010 и Outlook 2010.Outlook protection rules are an Exchange 2010 and Outlook 2010 feature. Эта функция не поддерживается в предыдущих версиях Outlook.Previous versions of Outlook don't support this feature.

Exchange ActiveSyncExchange ActiveSync

  • Устройства, поддерживающие протокол Exchange ActiveSync версии 14,1, включая устройства с Windows Mobile, могут поддерживать управление правами на доступ к данным в Exchange ActiveSync.Devices supporting Exchange ActiveSync protocol version 14.1, including Windows Mobile devices, can support IRM in Exchange ActiveSync. Мобильное приложение электронной почты на устройстве должно поддерживать тег ригхтсманажементинформатион , определенный в протоколе Exchange ActiveSync версии 14,1.The mobile e-mail application on a device must support the RightsManagementInformation tag defined in Exchange ActiveSync protocol version 14.1. В Exchange 2013 Служба управления правами на доступ к данным в Exchange ActiveSync позволяет пользователям с поддерживаемыми устройствами просматривать, отвечать на них, пересылать и создавать сообщения, защищенные с помощью IRM, не требуя от пользователя подключить устройство к компьютеру и активировать его для управления правами на доступ к данным.In Exchange 2013, IRM in Exchange ActiveSync allows users with supported devices to view, reply to, forward, and create IRM-protected messages without requiring the user to connect the device to a computer and activate it for IRM. Дополнительные сведения см. в статье Управление правами на доступ к данным в Exchange ActiveSync.For details, see Information Rights Management in Exchange ActiveSync.

Примечание

Кластер AD RMS это термин, который используется для развертывания AD RMS в Организации, в том числе развертывания с одним сервером.AD RMS cluster is the term used for an AD RMS deployment in an organization, including a single server deployment. Служба управления правами Active Directory — это веб-служба.AD RMS is a Web service. Для этого не требуется настройка отказоустойчивого кластера Windows Server.It doesn't require that you set up a Windows Server failover cluster. Для обеспечения высокой доступности и балансировки нагрузки можно развернуть несколько серверов AD RMS в кластере и использовать балансировку сетевой нагрузки.For high availability and load-balancing, you can deploy multiple AD RMS servers in the cluster and use Network Load Balancing.

Важно!

В производственной среде установка службы управления правами Active Directory и Exchange на одном сервере не поддерживается.In a production environment, installing AD RMS and Exchange on the same server isn't supported.

Функции IRM Exchange 2013 поддерживают форматы файлов Microsoft Office.Exchange 2013 IRM features support Microsoft Office file formats. Вы можете расширить защиту IRM на другие форматы файлов, развертывая настраиваемые средства защиты.You can extend IRM protection to other file formats by deploying custom protectors. Для получения дополнительных сведений о настраиваемых средствах защиты, обратитесь к партнерам по защите и управлению информацией в независимых поставщиках программного обеспечения.For more information about custom protectors, see Information Protection and Control Partners in Independent Software Vendors.

Настройка и тестирование управления правами на доступ к даннымConfiguring and testing IRM

Для настройки функций управления правами на доступ к данным в Exchange 2013 необходимо использовать командную консоль Exchange.You must use the Exchange Management Shell to configure IRM features in Exchange 2013. Чтобы настроить отдельные функции управления правами на доступ к данным, используйте командлет Set-IRMConfiguration.To configure individual IRM features, use the Set-IRMConfiguration cmdlet. Вы можете включить или отключить управление правами на доступ к данным для внутренних сообщений, расшифровки транспорта, расшифровки отчетов журнала, поиска в Exchange и Outlook Web App.You can enable or disable IRM for internal messages, transport decryption, journal report decryption, Exchange Search, and Outlook Web App. Дополнительные сведения о настройке функций IRM приведены в разделе процедуры управления правамина доступ к данным.For more information about configuring IRM features, see Information Rights Management procedures.

После настройки сервера Exchange Server 2013 вы можете использовать командлет Test-IRMConfiguration для выполнения сквозных тестов развертывания службы управления правами на доступ к данным.After you set up an Exchange 2013 server, you can use the Test-IRMConfiguration cmdlet to perform end-to-end tests of your IRM deployment. Эти тесты помогают проверять функции IRM сразу же после первоначальной настройки IRM и на постоянной основе.These tests are useful to verify IRM functionality immediately after initial IRM configuration and on an ongoing basis. Командлет выполняет следующие тесты:The cmdlet performs the following tests:

  • Проверка конфигурации IRM для организации Exchange 2013.Inspects IRM configuration for your Exchange 2013 organization.

  • Проверяет сервер AD RMS для получения сведений о версии и исправлениях.Checks the AD RMS server for version and hotfix information.

  • Проверяет, можно ли активировать сервер Exchange для службы управления правами, получая сертификат учетной записи службы управления правами (RAC) и сертификат лицензиара клиента.Verifies whether an Exchange server can be activated for RMS by retrieving a Rights Account Certificate (RAC) and client licensor certificate.

  • Получает шаблоны политики прав AD RMS с сервера AD RMS.Acquires AD RMS rights policy templates from the AD RMS server.

  • Проверяет способность указанного отправителя отправлять сообщения, защищенные службой IRM.Verifies that the specified sender can send IRM-protected messages.

  • Получает для указанного получателя лицензию на использование суперпользователя.Retrieves a super user use license for the specified recipient.

  • Получает для указанного получателя предварительную лицензию.Acquires a prelicense for the specified recipient.

Расширение Rights Management с соединителем Rights ManagementExtend Rights Management with the Rights Management connector

Соединитель Microsoft Rights Management Connector (соединитель RMS) это необязательное приложение, расширяющее защиту данных для сервера Exchange Server 2013, используя облачные службы управления правами Майкрософт.The Microsoft Rights Management connector (RMS connector) is an optional application that enhances data protection for your Exchange 2013 server by employing cloud-based Microsoft Rights Management services. После установки соединителя службы управления правами он обеспечивает постоянную защиту данных в течение существования информации, а так как эти службы можно настроить, можно определить необходимый уровень защиты.Once you install the RMS connector, it provides continuous data protection during the lifespan of the information and because these services are customizable, you can define the level of protection you need. Например, вы можете ограничить доступ к сообщениям электронной почты определенным пользователям или задать права только на просмотр для определенных сообщений.For example, you can limit email message access to specific users or set view-only rights for certain messages.

Дополнительные сведения о соединителе RMS и способах его установки можно найти в разделе соединитель управления правами.To learn more about the RMS connector and how to install it, see Rights Management connector.