Расшифровка отчета журналаJournal report decryption

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

В Microsoft Exchange Server 2013 Служба управления правами на доступ к данным (IRM) позволяет Microsoft Outlook 2010 и более поздних версий и пользователям Microsoft Office Outlook Web App защищать свои сообщения.In Microsoft Exchange Server 2013, Information Rights Management (IRM) allows Microsoft Outlook 2010 and later and Microsoft Office Outlook Web App users to protect their messages. Можно создать правила защиты Outlook, в соответствии с которыми защита с использованием управления правами на доступ к данным будет применяться автоматически перед отправкой сообщения от клиента Outlook 2010.You can create Outlook protection rules to automatically apply IRM-protection to messages before they're sent from an Outlook 2010 client. Кроме того, можно создать правила защиты транспорта для применения защиты с использованием управления правами на доступ к данным к сообщениям в пути, которые соответствуют условиям правила.You can also create transport protection rules to apply IRM protection to messages in transit that match the rule conditions.

Дополнительные сведения о правилах защиты Outlook см. в разделе правила защиты Outlook..To learn about Outlook protection rules, see Outlook protection rules.

Ограничения стандартных решений для шифрованияLimitations of standard encryption solutions

Если для шифрования сообщений организация использует такие традиционные решения, как протокол S/MIME, диспетчеры записей не смогут проверить зашифрованное содержимое или найти его. Архивация зашифрованных сообщений, содержащих недоступное или непонятное содержимое, может не соответствовать требованиям бизнеса или нормативным требованиям. При обнаружении запроса электронного обнаружения (eDiscovery) неспособность расшифровать, найти и представить содержимое из зашифрованных сообщений может оказаться проблемой, а отсутствие требуемой информации может повлечь за собой юридические и финансовые риски.If your organization encrypts messages by using traditional solutions such as S/MIME, your records managers won't be able to inspect or search the encrypted content. Archiving encrypted messages that contain inaccessible and unsearchable content may not meet business, regulatory, or compliance requirements. When faced with an electronic discovery (eDiscovery) request, an inability to decrypt, search, and present content from encrypted messages can be a challenge, and failure to do so may expose your organization to legal and financial risks.

Кроме того, политики обмена сообщениями в организации могут требовать расшифровку сообщений журнала, чтобы содержимое было доступно средствам eDiscovery, автоматизированным процессам или диспетчерам записей, получающим доступ к почтовому ящику ведения журнала. Расшифровка отчета журнала в Exchange 2010 соответствует описанным выше требованиям.Also, your organization's messaging policies may require journaled messages to be decrypted so the content can be accessible to eDiscovery tools, automated processes, or records managers who access a journaling mailbox. Journal report decryption in Exchange 2010 can help you meet these requirements.

Дополнительные сведения о ведении журналов см. в разделе Ведение журнала.To learn more about journaling, see Journaling.

Расшифровка отчета журналаJournal report decryption

Расшифровка отчета журнала позволяет сохранить копию текста сообщений, защищенных с использованием управления правами на доступ к данным, вместе с исходным сообщением.Journal report decryption allows you to save a clear-text copy of IRM-protected messages in journal reports, along with the original, IRM-protected message. Если сообщение, защищенное с использованием управления правами на доступ к данным, содержит любые поддерживаемые вложения, которые были защищены с помощью кластера службы управления правами Active Directory (AD RMS) организации, вложения также расшифровываются.If the IRM-protected message contains any supported attachments that were protected by the Active Directory Rights Management Services (AD RMS) cluster in your organization, the attachments are also decrypted.

Важно!

Для расшифровки отчета журнала требуется клиентская лицензия Exchange Enterprise. Расшифровка отчета журнала поддерживает только ведение расширенного журнала.To use journal report decryption, you must have an Exchange Enterprise client access license (CAL). Journal report decryption only supports premium journaling.

Расшифровка выполняется агентом расшифровки отчета журнала, который является транспортным агентом. Агент расшифровки отчета журнала запускается при возникновении события OnCategorizedMessage. Сообщения, защищенные в пересылке с помощью правил защиты транспорта, уже зашифрованы агентом шифрования, который запускается при возникновении события OnRoutedMessage, до получения сообщений агентом расшифровки отчета журнала. Эти сообщения расшифровываются агентом расшифровки отчета журнала.Decryption is performed by the Journal Report Decryption agent, a compliance-focused transport agent. The Journal Report Decryption agent fires on the OnCategorizedMessage event. Messages protected in-transit using transport protection rules are already encrypted by the Encryption agent, which fires on the OnRoutedMessage event, before they get to the Journal Report Decryption agent. The Journal Report Decryption agent decrypts these messages.

Примечание

В Exchange 2013 агент расшифровки отчета журнала является встроенным агентом. Встроенные агенты не включены в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Агенты транспорта.In Exchange 2013, the Journal Report Decryption agent is a built-in agent. Built-in agents aren't included in the list of agents returned by the Get-TransportAgent cmdlet. For more details, see Transport agents.

Агент расшифровывает следующие типы сообщений, защищенных с использованием управления правами на доступ к данным:The agent decrypts the following types of IRM-protected messages:

  • Сообщения, защищенные с помощью управления правами на доступ к данным пользователем в Outlook Web App.Messages that were IRM-protected by the user in Outlook Web App.

  • Сообщения, защищенные с помощью управления правами на доступ к данным пользователем в Outlook 2010.Messages that were IRM-protected by the user in Outlook 2010.

  • Сообщения, защищенные с помощью управления правами на доступ к данным в Outlook 2010 с помощью правил защиты Outlook.Messages that were IRM-protected automatically in Outlook 2010 by using Outlook protection rules.

  • Сообщения, защищенные автоматически с использованием управления правами на доступ к данным в процессе передачи с помощью правил защиты транспорта.Messages that were IRM-protected automatically in transit by using transport protection rules.

Важно!

Агент расшифровки отчетов журнала расшифровывает только те сообщения, которые были защищены с помощью управления правами на доступ к данным в Организации.Only messages that were IRM-protected by the AD RMS server in your organization are decrypted by the Journal Report Decryption agent. Агент не расшифровывает вложение, если оно не было защищено одновременно с сообщением (и следовательно, не имеет той же лицензии), или файл, защищенный с помощью управления правами на доступ к данным, который добавлен в качестве вложения к незащищенному сообщению.The agent doesn't decrypt an attachment if it isn't protected at the same time as the message (and therefore doesn't have the same use license), or if an IRM-protected file is attached to an unprotected message.

Настройка расшифровки отчета журналаConfiguring journal report decryption

Расшифровка отчета журнала — конфигуредб с помощью командлета Set-IRMConfiguration в командной консоли Exchange.Journal report decryption is configuredb using the Set-IRMConfiguration cmdlet in the Exchange Management Shell. Однако перед настройкой расшифровки отчета журнала необходимо назначить серверам Exchange 2013 разрешения на расшифровку содержимого, защищенного службой управления правами Active Directory, с помощью управления правами на доступ к данным.However, before you configure journal report decryption, you must assign Exchange 2013 servers the permissions to decrypt content that's IRM-protected by your AD RMS server. Для этого необходимо добавить федеративный почтовый ящик в группу суперпользователей, настроенную в кластере службы управления правами Active Directory организации.To do this, you add the Federation mailbox to the super users group configured on your organization's AD RMS cluster. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.For details, see Add the Federation Mailbox to the AD RMS Super Users Group.

Важно!

При развертывании AD RMS в разных лесах, где в каждом лесу развернут кластер AD RMS, необходимо добавить почтовый ящик Федерации в группу СУПЕРПОЛЬЗОВАТЕЛЕЙ в кластере AD RMS в каждом лесу, чтобы разрешить службе транспорта Exchange 2013 Расшифровка сообщений, защищенных каждым кластером службы управления правами Active Directory.In cross-forest AD RMS deployments where you have an AD RMS cluster deployed in each forest, you must add the Federation mailbox to the super users group on the AD RMS cluster in each forest to allow Exchange 2013 Transport service to decrypt the messages protected against each AD RMS cluster.

Дополнительные сведения о настройке расшифровки отчета журнала см. в разделе Включение и отключение расшифровки отчета журнала.For details about how to configure journal report decryption, see Enable or Disable Journal Report Decryption.

После включения расшифровки отчета журнала почтовый ящик ведения журнала может содержать отчеты журнала с конфиденциальными данными в незашифрованном виде. Рекомендуется отслеживать доступ к почтовому ящику ведения журнала и предоставлять доступ только авторизованным пользователям. Эта рекомендация также относится к случаю, если защита с использованием управления правами на доступ к данным не применяется к сообщениям электронной почты.After you enable journal report decryption, the journaling mailbox may contain journal reports with sensitive information in an unencrypted form. As a best practice, we recommend that access to the journaling mailbox be monitored closely and restricted only to authorized individuals. This is a best-practice even if you're not using IRM protection for e-mail.