Управление правами на доступ к данным в Exchange ActiveSyncInformation Rights Management in Exchange ActiveSync

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Специалисты по обработке данных часто используют электронную почту для обмена конфиденциальными сведениями. С целью защиты таких данных в организациях может использоваться управление правами на доступ к данным (IRM) для применения постоянной защиты к содержимому сообщений. Поскольку популярность мобильных устройств для доступа к электронной почте непрерывно растет, важным условием для их пользователей является возможность создания и работы с содержимым, защищенным с помощью функции управления правами на доступ к данным.Information workers often use e-mail to exchange sensitive information. To help secure this information, organizations can use Information Rights Management (IRM) to apply persistent protection to messaging content. Because mobile devices are increasingly being used to access e-mail, it's important that your mobile device users be able to create and consume IRM-protected content.

Защита мобильных IRM в Exchange 2013Mobile IRM protection in Exchange 2013

В Exchange 2013 IRM в Microsoft Exchange ActiveSync позволяет пользователям получать доступ к расширенным функциям управления правами на доступ к данным на любом поддерживаемом устройстве Exchange ActiveSync без необходимости настраивать разрешения AD RMS или подключать устройство к компьютеру и активировать его для управления правами на доступ к данным.In Exchange 2013, IRM in Microsoft Exchange ActiveSync allows your users to access rich IRM functionality on any supported Exchange ActiveSync device without having to configure AD RMS permissions or connect the device to a computer and activate it for IRM. Кроме того, на мобильном устройстве не требуется запускать Windows.Also, the mobile device doesn't need to be running Windows. Exchange ActiveSync лицензируется производителями мобильных устройств, производителями вычислительной техники (ИВТ) и другими пользователями.Exchange ActiveSync is licensed by Microsoft to mobile device manufacturers, original equipment manufacturers (OEMs), and others. Чтобы получить список текущих лицензий на Exchange ActiveSync, разверните раздел "Протокол Exchange ActiveSync" на странице Лицензирование технологий Майкрософт .For a list of current Exchange ActiveSync licensees, expand the "Exchange ActiveSync Protocol" section on the Microsoft Technology Licensing page.

С помощью управления правами на доступ к данным в службе Exchange ActiveSync пользователи мобильных устройств могут:Using IRM in Exchange ActiveSync, mobile device users can:

  • создавать сообщения с защитой IRM;Create IRM-protected messages.

  • читать сообщения с защитой IRM;Read IRM-protected messages.

  • отвечать и пересылать сообщения с защитой IRM.Reply to and forward IRM-protected messages.

ТребованияRequirements

Применяются следующие требования.The following requirements apply:

  • На серверы клиентского доступа в организации следует установить Exchange 2010 с пакетом обновления 1 (SP1) или более новой версии.The Client Access servers in your organization must be running Exchange 2010 SP1 or later.

  • В организации необходимо развернуть сервер AD RMS.An AD RMS server must be deployed in your organization.

  • Для внутренних сообщений необходимо включить управление правами на доступ к данным. Это необходимое условие для всех функций IRM в системе Exchange 2010. Дополнительные сведения см. в разделе Включение или отключение управления правами на доступ к данным для внутренних сообщений.IRM must be enabled for internal messages. This is a prerequisite for all IRM features in Exchange 2010. For details, see Enable or Disable IRM for Internal Messages.

  • В политике почтовых ящиков Exchange ActiveSync необходимо включить функцию IRM. Включить или отключить функцию IRM для различных групп пользователей можно с помощью разных политик почтовых ящиков Exchange ActiveSync.IRM must be enabled in the Exchange ActiveSync mailbox policy. You can enable or disable IRM for different sets of users using different Exchange ActiveSync mailbox policies.

  • Устройства, работающие с протоколом Exchange ActiveSync версии 14.1, в том числе телефоны под управлением ОС Windows, могут поддерживать управление правами на доступ к данным в службе Exchange ActiveSync. Почтовое приложение на мобильном устройстве должно поддерживать тег RightsManagementInformation, определенный в протоколе Exchange ActiveSync версии 14.1.Devices that support Exchange ActiveSync protocol version 14.1, including Windows phones, can support IRM in Exchange ActiveSync. The device's mobile e-mail application must support the RightsManagementInformation tag defined in Exchange ActiveSync version 14.1.

БезопасностьSecurity

При включении службы управления правами на доступ к данным (IRM) в службе Exchange ActiveSync сервер клиентского доступа расшифровывает сообщения с защитой IRM, после чего предоставляет к ним доступ с поддерживаемого мобильного устройства. После синхронизации сообщения с защитой IRM размещаются на мобильном устройстве в незашифрованном формате. На мобильном устройстве защиту IRM принудительно применяет клиентское почтовое приложение с поддержкой соответствующих функций.When you enable IRM in Exchange ActiveSync, the Client Access server decrypts IRM-protected messages before providing the messages for access by the supported mobile device. Upon synchronization, IRM-protected messages reside on the mobile device in an unencrypted format. IRM protection is enforced by the IRM-capable e-mail client application on the mobile device.

Средство IRM в Exchange ActiveSync не расшифровывает вложения с защитой IRM на сервере клиентского доступа. Доступ к файлам с защитой IRM предоставляется приложением, которое использовалось для их создания или просмотра. Например, на телефоне с Windows защиту IRM для файлов Microsoft Office предоставляет пакет Microsoft Office Mobile. Для доступа к файлам Office с защитой IRM пользователям необходимо подключить устройство к компьютеру и активировать Office Mobile на сервере RMS.IRM in Exchange ActiveSync doesn't decrypt IRM-protected attachments on the Client Access server. Access to IRM-protected files is enforced by the application used to create or view the file. For example, on a Windows phone, IRM protection for Microsoft Office files is enforced by Microsoft Office Mobile. To access IRM-protected Office files, users must connect the device to a computer and activate Office Mobile with the RMS server.

Чтобы обеспечить безопасность мобильных устройств, при включении функций управления правами на доступ к данным в службе Exchange ActiveSync рекомендуется использовать параметры политики Exchange ActiveSync, перечисленные в следующей таблице.When enabling IRM in Exchange ActiveSync, we recommend using the Exchange ActiveSync policy settings shown in the following table to help secure mobile devices.

Параметры политики Exchange ActiveSyncExchange ActiveSync policy settings

SettingSetting Настройка с помощью мастера создания политик почтовых ящиков Exchange ActiveSyncConfigure using the New Exchange ActiveSync Mailbox Policy wizard Настройка с помощью командлета New-ActiveSyncMailboxPolicyConfigure using the New-ActiveSyncMailboxPolicy cmdlet

Требовать, чтобы пользователь вводил пароль для доступа к информации на своем мобильном устройстве.Require that the user enter a password to access information on their mobile device.

Установите флажок Требовать пароль.Select the Require password check box.

Задайте для $trueпараметра DevicePasswordEnabled значение.Set the DevicePasswordEnabled parameter to $true.

Включить шифрование на мобильном устройстве.Enable encryption for the mobile device.

Последовательно установите флажки Требовать пароль и Требовать шифрование на устройстве.Select the Require password check box, and then select the Require encryption on device check box.

Задайте для $trueпараметра RequireDeviceEncryption значение значение.Set the RequireDeviceEncryption parameter to $true.

Важно!

Если для $trueпараметра RequireDeviceEncryption значение задано значение, то мобильные устройства, которые не поддерживают шифрование устройств, не смогут подключаться.When you set the RequireDeviceEncryption parameter to $true, mobile devices that don't support device encryption will be unable to connect.

Запретить неинициализируемым мобильным устройствам синхронизироваться с сервером Exchange.Don't allow non-provisionable mobile devices to synchronize with the Exchange server.

Снимите флажок Разрешить неинициализируемые устройства.Clear the Allow non-provisionable devices check box.

Задайте для $falseпараметра AllowNonProvisionableDevices значение.Set the AllowNonProvisionableDevices parameter to $false.

Дополнительные сведения см. в разделе Политики почтовых ящиков мобильных устройств.To learn more, see Mobile device mailbox policies.

Включение функции IRM в службе Exchange ActiveSyncEnabling IRM in Exchange ActiveSync

Чтобы включить функцию управления правами на доступ к данным (IRM) в службе Exchange ActiveSync, выполните следующие действия.To enable IRM in Exchange ActiveSync, perform the following tasks:

  1. Добавьте почтовый ящик Федерации (системный почтовый ящик, созданный Exchange 2013 и Exchange 2010) в группу суперпользователей службы управления правами Active Directory.Add the Federation mailbox (a system mailbox created by Exchange 2013 and Exchange 2010 Setup) to the super users group in AD RMS. Это позволяет серверам Exchange 2013 и Exchange 2010 получать доступ к сообщениям, защищенным службой управления правами на доступ к данным.This allows Exchange 2013 and Exchange 2010 servers to access IRM-protected messages. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.For details, see Add the Federation Mailbox to the AD RMS Super Users Group.

  2. Используйте командлет Set – IRMConfiguration в командной консоли Exchange, чтобы включить IRM на сервере клиентского доступа.Use the Set-IRMConfiguration cmdlet in the Exchange Management Shell to enable IRM on the Client Access server. Это позволяет службе управления правами на доступ к данным в Exchange ActiveSync и IRM в Microsoft Office Outlook Web App для вашей организации.This enables IRM in Exchange ActiveSync and IRM in Microsoft Office Outlook Web App for your organization. Дополнительные сведения см. в статье Включение и отключение управления правами на доступ к данным на серверах клиентского доступа.For details, see Enable or Disable Information Rights Management on Client Access Servers.