Управление правами на доступ к данным в Exchange ActiveSyncInformation Rights Management in Exchange ActiveSync

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Специалисты по обработке данных часто используют электронную почту для обмена конфиденциальными сведениями. С целью защиты таких данных в организациях может использоваться управление правами на доступ к данным (IRM) для применения постоянной защиты к содержимому сообщений. Поскольку популярность мобильных устройств для доступа к электронной почте непрерывно растет, важным условием для их пользователей является возможность создания и работы с содержимым, защищенным с помощью функции управления правами на доступ к данным.Information workers often use e-mail to exchange sensitive information. To help secure this information, organizations can use Information Rights Management (IRM) to apply persistent protection to messaging content. Because mobile devices are increasingly being used to access e-mail, it's important that your mobile device users be able to create and consume IRM-protected content.

СодержаниеContents

Защита мобильных IRM в Exchange 2013Mobile IRM protection in Exchange 2013

ТребованияRequirements

БезопасностьSecurity

Включение функции IRM в службе Exchange ActiveSyncEnabling IRM in Exchange ActiveSync

Ищете задачи управления, связанные с IRM? В разделе процедуры управления правами на доступ.Looking for management tasks related to IRM? See Information Rights Management procedures.

Защита мобильных IRM в Exchange 2013Mobile IRM protection in Exchange 2013

Средство управления правами на доступ к данным (IRM) в Microsoft Exchange ActiveSync позволяет пользоваться функциями IRM на любом поддерживаемом устройстве Exchange ActiveSync, не настраивая разрешения AD RMS и не подключая устройство к компьютеру для активации. Кроме того, мобильное устройство необязательно должно работать под управлением Windows. Exchange ActiveSync используется изготовителями мобильных устройств и оборудования по лицензии корпорации Майкрософт. Список текущих лицензиатов Exchange ActiveSync см. в разделе "Exchange ActiveSync Protocol" на странице Microsoft Technology Licensing.In Exchange 2013, IRM in Microsoft Exchange ActiveSync allows your users to access rich IRM functionality on any supported Exchange ActiveSync device without having to configure AD RMS permissions or connect the device to a computer and activate it for IRM. Also, the mobile device doesn't need to be running Windows. Exchange ActiveSync is licensed by Microsoft to mobile device manufacturers, original equipment manufacturers (OEMs), and others. For a list of current Exchange ActiveSync licensees, expand the "Exchange ActiveSync Protocol" section on the Microsoft Technology Licensing page.

С помощью управления правами на доступ к данным в службе Exchange ActiveSync пользователи мобильных устройств могут:Using IRM in Exchange ActiveSync, mobile device users can:

  • создавать сообщения с защитой IRM;Create IRM-protected messages.

  • читать сообщения с защитой IRM;Read IRM-protected messages.

  • отвечать и пересылать сообщения с защитой IRM.Reply to and forward IRM-protected messages.

В началоReturn to top

ТребованияRequirements

Применяются следующие требования.The following requirements apply:

  • На серверы клиентского доступа в организации следует установить Exchange 2010 с пакетом обновления 1 (SP1) или более новой версии.The Client Access servers in your organization must be running Exchange 2010 SP1 or later.

  • В организации необходимо развернуть сервер AD RMS.An AD RMS server must be deployed in your organization.

  • Для внутренних сообщений необходимо включить управление правами на доступ к данным. Это необходимое условие для всех функций IRM в системе Exchange 2010. Дополнительные сведения см. в разделе Включение или отключение управления правами на доступ к данным для внутренних сообщений.IRM must be enabled for internal messages. This is a prerequisite for all IRM features in Exchange 2010. For details, see Enable or Disable IRM for Internal Messages.

  • В политике почтовых ящиков Exchange ActiveSync необходимо включить функцию IRM. Включить или отключить функцию IRM для различных групп пользователей можно с помощью разных политик почтовых ящиков Exchange ActiveSync.IRM must be enabled in the Exchange ActiveSync mailbox policy. You can enable or disable IRM for different sets of users using different Exchange ActiveSync mailbox policies.

  • Устройства, работающие с протоколом Exchange ActiveSync версии 14.1, в том числе телефоны под управлением ОС Windows, могут поддерживать управление правами на доступ к данным в службе Exchange ActiveSync. Почтовое приложение на мобильном устройстве должно поддерживать тег RightsManagementInformation, определенный в протоколе Exchange ActiveSync версии 14.1.Devices that support Exchange ActiveSync protocol version 14.1, including Windows phones, can support IRM in Exchange ActiveSync. The device's mobile e-mail application must support the RightsManagementInformation tag defined in Exchange ActiveSync version 14.1.

В началоReturn to top

БезопасностьSecurity

При включении службы управления правами на доступ к данным (IRM) в службе Exchange ActiveSync сервер клиентского доступа расшифровывает сообщения с защитой IRM, после чего предоставляет к ним доступ с поддерживаемого мобильного устройства. После синхронизации сообщения с защитой IRM размещаются на мобильном устройстве в незашифрованном формате. На мобильном устройстве защиту IRM принудительно применяет клиентское почтовое приложение с поддержкой соответствующих функций.When you enable IRM in Exchange ActiveSync, the Client Access server decrypts IRM-protected messages before providing the messages for access by the supported mobile device. Upon synchronization, IRM-protected messages reside on the mobile device in an unencrypted format. IRM protection is enforced by the IRM-capable e-mail client application on the mobile device.

Средство IRM в Exchange ActiveSync не расшифровывает вложения с защитой IRM на сервере клиентского доступа. Доступ к файлам с защитой IRM предоставляется приложением, которое использовалось для их создания или просмотра. Например, на телефоне с Windows защиту IRM для файлов Microsoft Office предоставляет пакет Microsoft Office Mobile. Для доступа к файлам Office с защитой IRM пользователям необходимо подключить устройство к компьютеру и активировать Office Mobile на сервере RMS.IRM in Exchange ActiveSync doesn't decrypt IRM-protected attachments on the Client Access server. Access to IRM-protected files is enforced by the application used to create or view the file. For example, on a Windows phone, IRM protection for Microsoft Office files is enforced by Microsoft Office Mobile. To access IRM-protected Office files, users must connect the device to a computer and activate Office Mobile with the RMS server.

Чтобы обеспечить безопасность мобильных устройств, при включении функций управления правами на доступ к данным в службе Exchange ActiveSync рекомендуется использовать параметры политики Exchange ActiveSync, перечисленные в следующей таблице.When enabling IRM in Exchange ActiveSync, we recommend using the Exchange ActiveSync policy settings shown in the following table to help secure mobile devices.

Параметры политики Exchange ActiveSyncExchange ActiveSync policy settings

ПараметрSetting Настройка с помощью мастера создания политик почтовых ящиков Exchange ActiveSyncConfigure using the New Exchange ActiveSync Mailbox Policy wizard Настройка с помощью командлета New-ActiveSyncMailboxPolicyConfigure using the New-ActiveSyncMailboxPolicy cmdlet

Требовать, чтобы пользователь вводил пароль для доступа к информации на своем мобильном устройстве.Require that the user enter a password to access information on their mobile device.

Установите флажок Требовать пароль.Select the Require password check box.

Установите для параметра DevicePasswordEnabled значение $true.Set the DevicePasswordEnabled parameter to $true.

Включить шифрование на мобильном устройстве.Enable encryption for the mobile device.

Последовательно установите флажки Требовать пароль и Требовать шифрование на устройстве.Select the Require password check box, and then select the Require encryption on device check box.

Установите для параметра RequireDeviceEncryption значение $true.Set the RequireDeviceEncryption parameter to $true.

Важно!

Если задается значение параметра RequireDeviceEncryption $true, мобильных устройств, которые не поддерживают шифрование устройства будет невозможно подключиться.When you set the RequireDeviceEncryption parameter to $true, mobile devices that don't support device encryption will be unable to connect.

Запретить неинициализируемым мобильным устройствам синхронизироваться с сервером Exchange.Don't allow non-provisionable mobile devices to synchronize with the Exchange server.

Снимите флажок Разрешить неинициализируемые устройства.Clear the Allow non-provisionable devices check box.

Установите для параметра AllowNonProvisionableDevices значение $false.Set the AllowNonProvisionableDevices parameter to $false.

Дополнительные сведения см. в разделе Политики почтовых ящиков мобильных устройств.To learn more, see Mobile device mailbox policies.

В началоReturn to top

Включение функции IRM в службе Exchange ActiveSyncEnabling IRM in Exchange ActiveSync

Чтобы включить функцию управления правами на доступ к данным (IRM) в службе Exchange ActiveSync, выполните следующие действия.To enable IRM in Exchange ActiveSync, perform the following tasks:

  1. Добавьте федеративный почтовый ящик (системный почтовый ящик, созданный программой установки Exchange 2013 и Exchange 2010) в группу суперпользователей в службе AD RMS. Это позволяет серверам Exchange 2013 и Exchange 2010 получать доступ к сообщениям с защитой IRM. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.Add the Federation mailbox (a system mailbox created by Exchange 2013 and Exchange 2010 Setup) to the super users group in AD RMS. This allows Exchange 2013 and Exchange 2010 servers to access IRM-protected messages. For details, see Add the Federation Mailbox to the AD RMS Super Users Group.

  2. Командлет Set-IRMConfiguration в командной консоли Exchange для включения IRM на сервере клиентского доступа. Это позволяет IRM в Exchange ActiveSync и IRM в Microsoft Office Outlook Web App для вашей организации. Дополнительные сведения см Включить или отключить управление правами на серверах клиентского доступа.Use the Set-IRMConfiguration cmdlet in the Exchange Management Shell to enable IRM on the Client Access server. This enables IRM in Exchange ActiveSync and IRM in Microsoft Office Outlook Web App for your organization. For details, see Enable or Disable Information Rights Management on Client Access Servers.

В началоReturn to top