Управление правами на доступ к данным в Exchange ActiveSync

Применяется к: Exchange Server 2013 г.

Специалисты по обработке данных часто используют электронную почту для обмена конфиденциальными сведениями. С целью защиты таких данных в организациях может использоваться управление правами на доступ к данным (IRM) для применения постоянной защиты к содержимому сообщений. Поскольку популярность мобильных устройств для доступа к электронной почте непрерывно растет, важным условием для их пользователей является возможность создания и работы с содержимым, защищенным с помощью функции управления правами на доступ к данным.

Защита мобильных IRM в Exchange 2013

Средство управления правами на доступ к данным (IRM) в Microsoft Exchange ActiveSync позволяет пользоваться функциями IRM на любом поддерживаемом устройстве Exchange ActiveSync, не настраивая разрешения AD RMS и не подключая устройство к компьютеру для активации. Кроме того, мобильное устройство необязательно должно работать под управлением Windows. Exchange ActiveSync используется изготовителями мобильных устройств и оборудования по лицензии корпорации Майкрософт. Список текущих лицензиатов Exchange ActiveSync см. в разделе "Exchange ActiveSync Protocol" на странице Microsoft Technology Licensing.

С помощью управления правами на доступ к данным в службе Exchange ActiveSync пользователи мобильных устройств могут:

  • создавать сообщения с защитой IRM;

  • читать сообщения с защитой IRM;

  • отвечать и пересылать сообщения с защитой IRM.

Requirements

Применяются следующие требования.

  • На серверы клиентского доступа в организации следует установить Exchange 2010 с пакетом обновления 1 (SP1) или более новой версии.

  • В организации необходимо развернуть сервер AD RMS.

  • Для внутренних сообщений необходимо включить управление правами на доступ к данным. Это необходимое условие для всех функций IRM в системе Exchange 2010. Дополнительные сведения см. в разделе Включение или отключение управления правами на доступ к данным для внутренних сообщений.

  • В политике почтовых ящиков Exchange ActiveSync необходимо включить функцию IRM. Включить или отключить функцию IRM для различных групп пользователей можно с помощью разных политик почтовых ящиков Exchange ActiveSync.

  • Устройства, поддерживаю Exchange ActiveSync версии 14.1, могут поддерживать IRM в Exchange ActiveSync. Почтовое приложение на мобильном устройстве должно поддерживать тег RightsManagementInformation, определенный в протоколе Exchange ActiveSync версии 14.1.

Безопасность

При включении службы управления правами на доступ к данным (IRM) в службе Exchange ActiveSync сервер клиентского доступа расшифровывает сообщения с защитой IRM, после чего предоставляет к ним доступ с поддерживаемого мобильного устройства. После синхронизации сообщения с защитой IRM размещаются на мобильном устройстве в незашифрованном формате. На мобильном устройстве защиту IRM принудительно применяет клиентское почтовое приложение с поддержкой соответствующих функций.

Средство IRM в Exchange ActiveSync не расшифровывает вложения с защитой IRM на сервере клиентского доступа. Доступ к файлам с защитой IRM предоставляется приложением, которое использовалось для их создания или просмотра. Для доступа к файлам Office с защитой IRM пользователям необходимо подключить устройство к компьютеру и активировать Office Mobile на сервере RMS.

Чтобы обеспечить безопасность мобильных устройств, при включении функций управления правами на доступ к данным в службе Exchange ActiveSync рекомендуется использовать параметры политики Exchange ActiveSync, перечисленные в следующей таблице.

Параметры политики Exchange ActiveSync

Параметр Настройка с помощью мастера создания политик почтовых ящиков Exchange ActiveSync Настройка с помощью командлета New-ActiveSyncMailboxPolicy

Требовать, чтобы пользователь вводил пароль для доступа к информации на своем мобильном устройстве.

Установите флажок Требовать пароль.

Установите параметр DevicePasswordEnabled $true .

Включить шифрование на мобильном устройстве.

Последовательно установите флажки Требовать пароль и Требовать шифрование на устройстве.

Установите параметр RequireDeviceEncryption $true для .

Важно!

При наборе параметра RequireDeviceEncryption мобильные устройства, которые не поддерживают шифрование устройств, не смогут $true подключиться.

Запретить неинициализируемым мобильным устройствам синхронизироваться с сервером Exchange.

Снимите флажок Разрешить неинициализируемые устройства.

Установите параметр AllowNonProvisionableDevices $false для .

Дополнительные сведения см. в разделе Политики почтовых ящиков мобильных устройств.

Включение функции IRM в службе Exchange ActiveSync

Чтобы включить функцию управления правами на доступ к данным (IRM) в службе Exchange ActiveSync, выполните следующие действия.

  1. Добавьте федеративный почтовый ящик (системный почтовый ящик, созданный программой установки Exchange 2013 и Exchange 2010) в группу суперпользователей в службе AD RMS. Это позволяет серверам Exchange 2013 и Exchange 2010 получать доступ к сообщениям с защитой IRM. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.

  2. Используйте команды set-IRMConfiguration в Exchange, чтобы включить IRM на сервере клиентского доступа. Это позволяет IRM в Exchange ActiveSync и IRM в Microsoft Office Outlook веб-приложении для вашей организации. Подробные сведения см. в материале Enable or Disable Information Rights Management on Client Access Servers.