Правила защиты OutlookOutlook protection rules

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Каждый день, информация, работники exchange конфиденциальной информации по адресу электронной почты, включая финансовых отчетов и данных, клиента и данные о сотрудниках и конфиденциальные сведения о продуктах и спецификаций. В Microsoft Exchange Server 2013, Microsoft Outlook и Microsoft Office Outlook Web App пользователи могут применять защиты управления правами на доступ к данным (IRM) к сообщениям, применив шаблон политики прав службы управления правами Active Directory (AD RMS). Для этого необходимо развертывание службы управления правами в организации. Дополнительные сведения об AD RMS можно Службы управления правами Active Directory.Every day, information workers exchange sensitive information by email, including financial reports and data, customer and employee information, and confidential product information and specifications. In Microsoft Exchange Server 2013, Microsoft Outlook, and Microsoft Office Outlook Web App, users can apply Information Rights Management (IRM) protection to messages by applying an Active Directory Rights Management Services (AD RMS) rights policy template. This requires an AD RMS deployment in the organization. For more information about AD RMS, see Active Directory Rights Management Services.

Однако если оставить вопрос применения защиты на усмотрение пользователей, существует большая вероятность, что сообщения будут отправляться в незашифрованном виде без применения защиты с использованием управления правами на доступ к данным. В организациях, использующих электронную почту в виде службы, размещенной на веб-сайте поставщика услуг, существует риск утечки информации, поскольку после отправки сообщения его маршрутизация и хранение осуществляется вне организации. Несмотря на наличие у поставщиков служб электронной почты четко описанных процедур и проверок, направленных на снижение риска утечки информации, после того, как сообщение покидает пределы организации, последняя полностью теряет контроль над информацией. Правила защиты Outlook позволяют защитить организацию от этого типа утечки информации.However, when left to the discretion of users, messages may be sent in clear text without IRM protection. In organizations that use email as a hosted service, there's a risk of information leakage as a message leaves the client and is routed and stored outside the boundaries of an organization. Although email hosting companies may have well-defined procedures and checks to help mitigate the risk of information leakage, after a message leaves the boundary of an organization, the organization loses control of the information. Outlook protection rules can help protect against this type of information leakage.

Задачи управления, связанные с управлением IRM содержатся в разделе процедуры управления правами на доступ.For management tasks related to managing IRM, see Information Rights Management procedures.

Автоматическая защита управления правами на доступ к данным в приложении OutlookAutomatic IRM protection in Outlook

В Exchange 2013 правила защиты Outlook помогают организации защититься от риска утечки информации путем автоматического применения защиты с использованием управления правами на доступ к данным к сообщениям, отправляемым с помощью Exchange 2013. Защита с использованием управления правами на доступ к данным применяется к сообщениям до того, как они покидают клиента Outlook. Этот механизм защиты также применяется ко всем вложениям, использующим поддерживаемые форматы файлов.In Exchange 2013, Outlook protection rules help your organization protect against the risk of information leakage by automatically applying IRM-protection to messages in Exchange 2013. Messages are IRM-protected before they leave the Outlook client. This protection is also applied to any attachments using supported file formats.

После создания правил защиты Outlook на сервере Exchange 2013 правила автоматически распространяются клиентам Outlook 2010 с помощью веб-служб Exchange. Чтобы клиент Outlook 2010 мог применить правило, указанный шаблон политики прав службы управления правами Active Directory должен быть доступен на компьютерах пользователей.When you create Outlook protection rules on an Exchange 2013 server, the rules are automatically distributed to Outlook 2010 by using Exchange Web Services. For Outlook 2010 to apply the rule, the AD RMS rights policy template you specify must be available on users' computers.

Важно!

Если шаблон политики прав удаляется из AD сервера службы управления правами, необходимо изменить все правила защиты Outlook, использующие удаленных шаблон. Если правило защиты Outlook продолжает использовать шаблон политики прав, который был удален и расшифровка транспорта включена в организации, агент расшифровки завершится ошибкой для расшифровки сообщения, защищенные с помощью шаблона, который больше не доступен. Если расшифровка транспорта настроен как обязательные, службу транспорта отклонить сообщение и отправить отчет о недоставке (NDR) отправителю. Для получения дополнительных сведений о расшифровка транспорта видеть расшифровка транспорта. Для получения дополнительных сведений о AD шаблоны политики прав службы управления правами, см.в Рассмотрение шаблона политики AD RMS.If a rights policy template is removed from the AD RMS server, you must modify any Outlook protection rules that use the removed template. If an Outlook protection rule continues to use a rights policy template that's been removed, and transport decryption is enabled in the organization, the Decryption agent will fail to decrypt the message protected with a template that's no longer available. If transport decryption is configured as mandatory, the Transport service will reject the message and send a non-delivery report (NDR) to the sender. For more details about transport decryption, see Transport decryption. For more details about AD RMS rights policy templates, see AD RMS Policy Template Considerations.
В Windows Server 2008 и более поздних версий удалении, а не могут быть заархивированы шаблонов политики прав. Архивированные шаблоны можно по-прежнему можно использовать для лицензирования содержимого, но при создании или изменения правила защиты Outlook архивированные шаблоны не включены в список шаблонов.In Windows Server 2008 and later, rights policy templates can be archived instead of deleted. Archived templates can still be used to license content, but when you create or modify an Outlook protection rule, archived templates aren't included in the list of templates.

Правила защиты Outlook похожи на правила защиты транспорта. Оба типа правил применяются исходя из условий сообщения и защищают сообщения путем применения шаблона политики прав службы управления правами Active Directory. Однако, агент правил транспорта применяет правила защиты транспорта в службе передачи на сервере почтовых ящиков. Правила защиты приложения Outlook применяются в приложении Outlook 2010 перед тем, как сообщение отправлено с компьютера пользователя. Сообщения, к которым применено правило защиты Outlook, поступают в транспортный конвейер с уже примененной защитой с использованием управления правами на доступ к данным. Кроме того, сообщения, защищенные с помощью правила защиты Outlook, также сохраняются в зашифрованном виде в папке «Отправленные» почтового ящика отправителя.Outlook protection rules are similar to transport protection rules. Both are applied based on message conditions, and both protect messages by applying an AD RMS rights protection template. However, transport protection rules are applied in the Transport service on the Mailbox server by the Transport Rules agent. Outlook protection rules are applied in Outlook 2010, before the message leaves the user's computer. Messages protected by an Outlook protection rule enter the transport pipeline with IRM protection already applied. Additionally, messages protected with an Outlook protection rule are also saved in an encrypted format in the Sent Items folder of the sender's mailbox.

Примечание

Если этот параметр включен расшифровка транспорта в организации Exchange, сообщения, которые защитой IRM, правило защиты Outlook с помощью AD сервера службы управления правами в организации могут быть расшифрованы агент расшифровки на службу транспорта. Можно просмотреть содержимое сообщения, агент правил транспорта и других агентов транспорта, установленных на службу транспорта. Для получения дополнительных сведений о расшифровка транспорта видеть расшифровка транспорта.If transport decryption is enabled in your Exchange organization, messages that are IRM-protected by an Outlook protection rule using the AD RMS server in your organization can be decrypted by the Decryption agent on Transport service. Message content can be inspected by the Transport Rules agent and other transport agents installed on the Transport service. For more details about transport decryption, see Transport decryption.

При использовании правил защиты транспорта у пользователей отсутствует индикатор, показывающий, будет ли сообщение автоматически защищено на службе передачи. Если в Outlook к сообщению применяется правило защиты Outlook 2010, пользователи заранее знают, будет ли сообщение защищено с использованием управления правами на доступ к данным. При необходимости пользователи также могут выбирать другой шаблон политики прав.When you use transport protection rules, users have no indication of whether a message is going to be automatically protected on the Transport service. When an Outlook protection rule is applied to a message in Outlook 2010, users know if a message will be IRM-protected. If required, users can also select a different rights policy template.

Создание правил защиты OutlookCreating Outlook protection rules

Для создания правил защиты Outlook используется командлет New-OutlookProtectionRule в командной консоли Exchange. Подробные инструкции см. в разделе Создание правила защиты Outlook.To create Outlook protection rules, you must use the New-OutlookProtectionRule cmdlet in the Exchange Management Shell. For detailed instructions, see Create an Outlook Protection Rule.

При создании правила, можно указать, является ли пользователь может переопределять значение, путем снятия защиты IRM или применить другой шаблон политики прав AD RMS отличаются от указанного в правиле. Если пользователь переопределяет защиту IRM, примененное правило защиты Outlook, Outlook 2010 вставляет X-MS-Outlook-Client-Rule-Overridden верхнего колонтитула в сообщение, которое позволяет определить, что правило было переопределено пользователем.When creating a rule, you can specify whether the user can override it, either by removing IRM-protection or by applying a different AD RMS rights policy template than the one specified in the rule. If a user overrides the IRM protection applied by an Outlook protection rule, Outlook 2010 inserts the X-MS-Outlook-Client-Rule-Overridden header in the message, which allows you to determine that the rule was overridden by the user.

Предикаты в правилах защиты OutlookPredicates in Outlook protection rules

Правила защиты Outlook позволяют использовать три предиката для автоматического применения защиты с использованием управления правами на доступ к данным в Outlook 2010:Outlook protection rules allow you to use three predicates to automatically apply IRM protection in Outlook 2010:

  • FromDepartment Предикат FromDepartment ищет атрибут отдела отправителя в Active Directory и автоматически обеспечивает защиту IRM сообщение, если отдела отправителя совпадает подразделение, указанное в правиле. Например можно создать правило защиты Outlook, чтобы автоматически сохранить все сообщения, отправляемые по подразделению, справочные материалы.FromDepartment The FromDepartment predicate looks up the sender's department attribute in Active Directory and automatically IRM-protects the message if the sender's department matches the department specified in the rule. For example, you can create an Outlook protection rule to automatically protect all messages sent by the Research department.

  • SentTo Ваша организация может потребоваться для защиты сообщений, отправленных в определенных конфиденциальных получателей, например, все компании или процент группы рассылки. С помощью предиката SentTo , можно создать правило защиты Outlook, чтобы автоматически защиты IRM сообщения, отправляемые указанным получателям.SentTo Your organization may need to protect messages sent to certain sensitive recipients, such as the All Company or Finance distribution groups. Using the SentTo predicate, you can create an Outlook protection rule to automatically IRM-protect messages sent to specified recipients.

  • Senttoscope расположение Предикат senttoscope расположение позволяет создавать правила защиты Outlook автоматически защиты IRM сообщения, отправленные внутри или за пределами организации. Например можно использовать предикат senttoscope расположение с помощью предиката FromDepartment для защиты IRM сообщения, отправленные с конкретного отдела внутренним пользователям.SentToScope The SentToScope predicate allows you to create an Outlook protection rule to automatically IRM-protect messages sent inside or outside the organization. For example, you can use the SentToScope predicate with the FromDepartment predicate to IRM-protect messages sent by a particular department to internal users.