Управление правами на доступ к данным в Exchange ActiveSync
Область применения: Exchange Server 2013 г.
Специалисты по обработке данных часто используют электронную почту для обмена конфиденциальными сведениями. С целью защиты таких данных в организациях может использоваться управление правами на доступ к данным (IRM) для применения постоянной защиты к содержимому сообщений. Поскольку популярность мобильных устройств для доступа к электронной почте непрерывно растет, важным условием для их пользователей является возможность создания и работы с содержимым, защищенным с помощью функции управления правами на доступ к данным.
Защита мобильных IRM в Exchange 2013
В Exchange 2013 IRM в Microsoft Exchange ActiveSync позволяет пользователям получать доступ к расширенным функциям IRM на любом поддерживаемом Exchange ActiveSync устройстве без необходимости настраивать разрешения AD RMS или подключать устройство к компьютеру и активировать его для IRM. Кроме того, мобильное устройство не обязательно должно работать под управлением Windows. Exchange ActiveSync лицензируется корпорацией Майкрософт для производителей мобильных устройств, изготовителей оборудования (OEM) и других. Чтобы получить список текущих Exchange ActiveSync лицензий, разверните раздел "протокол Exchange ActiveSync" на странице Лицензирование технологий Майкрософт.
С помощью управления правами на доступ к данным в службе Exchange ActiveSync пользователи мобильных устройств могут:
- создавать сообщения с защитой IRM;
- читать сообщения с защитой IRM;
- отвечать и пересылать сообщения с защитой IRM.
Требования
Применяются следующие требования.
На серверы клиентского доступа в организации следует установить Exchange 2010 с пакетом обновления 1 (SP1) или более новой версии.
В организации необходимо развернуть сервер AD RMS.
Для внутренних сообщений необходимо включить управление правами на доступ к данным. Это необходимое условие для всех функций IRM в Exchange 2010. Дополнительные сведения см. в разделе Enable or Disable IRM for Internal Messages.
В политике почтовых ящиков Exchange ActiveSync необходимо включить функцию IRM. Включить или отключить функцию IRM для различных групп пользователей можно с помощью разных политик почтовых ящиков Exchange ActiveSync.
Устройства, поддерживающие протокол Exchange ActiveSync версии 14.1, могут поддерживать IRM в Exchange ActiveSync. Почтовое приложение на мобильном устройстве должно поддерживать тег RightsManagementInformation, определенный в протоколе Exchange ActiveSync версии 14.1.
Безопасность
При включении службы управления правами на доступ к данным (IRM) в службе Exchange ActiveSync сервер клиентского доступа расшифровывает сообщения с защитой IRM, после чего предоставляет к ним доступ с поддерживаемого мобильного устройства. После синхронизации сообщения с защитой IRM размещаются на мобильном устройстве в незашифрованном формате. На мобильном устройстве защиту IRM принудительно применяет клиентское почтовое приложение с поддержкой соответствующих функций.
Средство IRM в Exchange ActiveSync не расшифровывает вложения с защитой IRM на сервере клиентского доступа. Доступ к файлам с защитой IRM предоставляется приложением, которое использовалось для их создания или просмотра. Для доступа к файлам Office с защитой IRM пользователям необходимо подключить устройство к компьютеру и активировать Office Mobile на сервере RMS.
Чтобы обеспечить безопасность мобильных устройств, при включении функций управления правами на доступ к данным в службе Exchange ActiveSync рекомендуется использовать параметры политики Exchange ActiveSync, перечисленные в следующей таблице.
Параметры политики Exchange ActiveSync
| Setting | Настройка с помощью мастера создания политик почтовых ящиков Exchange ActiveSync | Настройка с помощью командлета New-ActiveSyncMailboxPolicy |
|---|---|---|
| Требовать, чтобы пользователь вводил пароль для доступа к информации на своем мобильном устройстве. | Установите флажок Требовать пароль. | Задайте для параметра DevicePasswordEnabled значение $true. |
| Включить шифрование на мобильном устройстве. | Последовательно установите флажки Требовать пароль и Требовать шифрование на устройстве. | Задайте для параметра RequireDeviceEncryption значение $true. Важно! Если для параметра RequireDeviceEncryption задано значение $true, мобильные устройства, которые не поддерживают шифрование устройств, не смогут подключиться. |
| Запретить неинициализируемым мобильным устройствам синхронизироваться с сервером Exchange. | Снимите флажок Разрешить неинициализируемые устройства. | Задайте для параметра AllowNonProvisionableDevices значение $false. |
Дополнительные сведения см. в разделе Политики почтовых ящиков мобильных устройств.
Включение функции IRM в службе Exchange ActiveSync
Чтобы включить функцию управления правами на доступ к данным (IRM) в службе Exchange ActiveSync, выполните следующие действия.
Добавьте почтовый ящик федерации (системный почтовый ящик, созданный exchange 2013 и программой установки Exchange 2010) в группу суперпользователей в AD RMS. Это позволяет серверам Exchange 2013 и Exchange 2010 получать доступ к сообщениям, защищенным IRM. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.
Используйте командлет Set-IRMConfiguration в командной консоли Exchange, чтобы включить IRM на сервере клиентского доступа. Это позволяет использовать IRM в Exchange ActiveSync и IRM в Microsoft Office Outlook Web App для вашей организации. Дополнительные сведения см. в разделе Включение или отключение управления правами на доступ к данным на серверах клиентского доступа.