Правила защиты OutlookOutlook protection rules

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Каждый день работники информационной сферы обмениваются конфиденциальными сведениями по электронной почте: финансовые отчеты и данные, сведения о покупателях и сотрудниках, конфиденциальные сведения о продуктах и их характеристики.Every day, information workers exchange sensitive information by email, including financial reports and data, customer and employee information, and confidential product information and specifications. В Microsoft Exchange Server 2013, Microsoft Outlook и Microsoft Office Outlook Web App пользователи могут применять к сообщениям защиту управления правами на доступ к данным, применяя шаблон политики прав службы управления правами Active Directory (AD RMS).In Microsoft Exchange Server 2013, Microsoft Outlook, and Microsoft Office Outlook Web App, users can apply Information Rights Management (IRM) protection to messages by applying an Active Directory Rights Management Services (AD RMS) rights policy template. Для использования данной возможности в организации должна быть развернута служба управления правами Active Directory.This requires an AD RMS deployment in the organization. Для получения дополнительных сведений о службе управления правами Active Directory обратитесь к разделу Служба управления правами Active Directory.For more information about AD RMS, see Active Directory Rights Management Services.

Однако если оставить вопрос применения защиты на усмотрение пользователей, существует большая вероятность, что сообщения будут отправляться в незашифрованном виде без применения защиты с использованием управления правами на доступ к данным. В организациях, использующих электронную почту в виде службы, размещенной на веб-сайте поставщика услуг, существует риск утечки информации, поскольку после отправки сообщения его маршрутизация и хранение осуществляется вне организации. Несмотря на наличие у поставщиков служб электронной почты четко описанных процедур и проверок, направленных на снижение риска утечки информации, после того, как сообщение покидает пределы организации, последняя полностью теряет контроль над информацией. Правила защиты Outlook позволяют защитить организацию от этого типа утечки информации.However, when left to the discretion of users, messages may be sent in clear text without IRM protection. In organizations that use email as a hosted service, there's a risk of information leakage as a message leaves the client and is routed and stored outside the boundaries of an organization. Although email hosting companies may have well-defined procedures and checks to help mitigate the risk of information leakage, after a message leaves the boundary of an organization, the organization loses control of the information. Outlook protection rules can help protect against this type of information leakage.

Задачи управления, связанные с управлением IRM, приведены в разделе процедуры управления правамина доступ к данным.For management tasks related to managing IRM, see Information Rights Management procedures.

Автоматическая защита управления правами на доступ к данным в приложении OutlookAutomatic IRM protection in Outlook

В Exchange 2013 правила защиты Outlook помогают организации защититься от риска утечки информации путем автоматического применения защиты с использованием управления правами на доступ к данным к сообщениям, отправляемым с помощью Exchange 2013. Защита с использованием управления правами на доступ к данным применяется к сообщениям до того, как они покидают клиента Outlook. Этот механизм защиты также применяется ко всем вложениям, использующим поддерживаемые форматы файлов.In Exchange 2013, Outlook protection rules help your organization protect against the risk of information leakage by automatically applying IRM-protection to messages in Exchange 2013. Messages are IRM-protected before they leave the Outlook client. This protection is also applied to any attachments using supported file formats.

После создания правил защиты Outlook на сервере Exchange 2013 правила автоматически распространяются клиентам Outlook 2010 с помощью веб-служб Exchange.When you create Outlook protection rules on an Exchange 2013 server, the rules are automatically distributed to Outlook 2010 by using Exchange Web Services. Чтобы клиент Outlook 2010 мог применить правило, указанный шаблон политики прав службы управления правами Active Directory должен быть доступен на компьютерах пользователей.For Outlook 2010 to apply the rule, the AD RMS rights policy template you specify must be available on users' computers.

Важно!

Если шаблон политики прав удаляется с сервера AD RMS, необходимо изменить все правила защиты Outlook, использующие удаленный шаблон.If a rights policy template is removed from the AD RMS server, you must modify any Outlook protection rules that use the removed template. Если правило защиты Outlook продолжает использовать шаблон политики прав, который был удален, а в организации включена расшифровка транспорта, агент расшифровки не сможет расшифровать сообщение, защищенное с помощью шаблона, который больше недоступен.If an Outlook protection rule continues to use a rights policy template that's been removed, and transport decryption is enabled in the organization, the Decryption agent will fail to decrypt the message protected with a template that's no longer available. Если транспортная расшифровка указана как обязательная, служба передачи отклоняет сообщение и отправляет отправителю отчет о недоставке.If transport decryption is configured as mandatory, the Transport service will reject the message and send a non-delivery report (NDR) to the sender. Более подробную информацию о расшифровке транспорта можно узнать в разделе расшифровка транспорта.For more details about transport decryption, see Transport decryption. Для получения дополнительных сведений о шаблонах политики прав AD RMS ознакомьтесь со статьей шаблон политики AD RMS.For more details about AD RMS rights policy templates, see AD RMS Policy Template Considerations.
В Windows Server 2008 и более поздних версий шаблоны политики прав можно архивировать, а не удалять.In Windows Server 2008 and later, rights policy templates can be archived instead of deleted. Архивированные шаблоны по-прежнему можно использовать для лицензирования контента, но при создании или изменении правила защиты Outlook архивные шаблоны не включаются в список шаблонов.Archived templates can still be used to license content, but when you create or modify an Outlook protection rule, archived templates aren't included in the list of templates.

Правила защиты Outlook похожи на правила защиты транспорта.Outlook protection rules are similar to transport protection rules. Оба типа правил применяются исходя из условий сообщения и защищают сообщения путем применения шаблона политики прав службы управления правами Active Directory.Both are applied based on message conditions, and both protect messages by applying an AD RMS rights protection template. Однако, агент правил транспорта применяет правила защиты транспорта в службе передачи на сервере почтовых ящиков.However, transport protection rules are applied in the Transport service on the Mailbox server by the Transport Rules agent. Правила защиты приложения Outlook применяются в приложении Outlook 2010 перед тем, как сообщение отправлено с компьютера пользователя.Outlook protection rules are applied in Outlook 2010, before the message leaves the user's computer. Сообщения, к которым применено правило защиты Outlook, поступают в транспортный конвейер с уже примененной защитой с использованием управления правами на доступ к данным.Messages protected by an Outlook protection rule enter the transport pipeline with IRM protection already applied. Кроме того, сообщения, защищенные с помощью правила защиты Outlook, также сохраняются в зашифрованном виде в папке «Отправленные» почтового ящика отправителя.Additionally, messages protected with an Outlook protection rule are also saved in an encrypted format in the Sent Items folder of the sender's mailbox.

Примечание

Если в организации Exchange включена расшифровка транспорта, то сообщения, защищенные службой управления правами на доступ к данным с помощью правила защиты Outlook с помощью сервера AD RMS в Организации, могут быть расшифрованы агентом расшифровки в службе транспорта.If transport decryption is enabled in your Exchange organization, messages that are IRM-protected by an Outlook protection rule using the AD RMS server in your organization can be decrypted by the Decryption agent on Transport service. Содержимое сообщения может быть проверено агентом правил транспорта и другими агентами транспорта, установленными на службе передачи.Message content can be inspected by the Transport Rules agent and other transport agents installed on the Transport service. Более подробную информацию о расшифровке транспорта можно узнать в разделе расшифровка транспорта.For more details about transport decryption, see Transport decryption.

При использовании правил защиты транспорта у пользователей отсутствует индикатор, показывающий, будет ли сообщение автоматически защищено на службе передачи. Если в Outlook к сообщению применяется правило защиты Outlook 2010, пользователи заранее знают, будет ли сообщение защищено с использованием управления правами на доступ к данным. При необходимости пользователи также могут выбирать другой шаблон политики прав.When you use transport protection rules, users have no indication of whether a message is going to be automatically protected on the Transport service. When an Outlook protection rule is applied to a message in Outlook 2010, users know if a message will be IRM-protected. If required, users can also select a different rights policy template.

Создание правил защиты OutlookCreating Outlook protection rules

Для создания правил защиты Outlook используется командлет New-OutlookProtectionRule в командной консоли Exchange. Подробные инструкции см. в разделе Создание правила защиты Outlook.To create Outlook protection rules, you must use the New-OutlookProtectionRule cmdlet in the Exchange Management Shell. For detailed instructions, see Create an Outlook Protection Rule.

При создании правила можно указать, может ли пользователь переопределять правило путем удаления защиты с использованием управления правами на доступ к данным или путем применения шаблона политики прав службы управления правами Active Directory, отличающегося от указанного в правиле.When creating a rule, you can specify whether the user can override it, either by removing IRM-protection or by applying a different AD RMS rights policy template than the one specified in the rule. Если пользователь переопределяет защиту IRM, применяемую правилом защиты Outlook, Outlook 2010 вставляет X-MS-Outlook-Client-Rule-Overridden заголовок в сообщение, что позволяет определить, было ли оно переопределено пользователем.If a user overrides the IRM protection applied by an Outlook protection rule, Outlook 2010 inserts the X-MS-Outlook-Client-Rule-Overridden header in the message, which allows you to determine that the rule was overridden by the user.

Предикаты в правилах защиты OutlookPredicates in Outlook protection rules

Правила защиты Outlook позволяют использовать три предиката для автоматического применения защиты с использованием управления правами на доступ к данным в Outlook 2010:Outlook protection rules allow you to use three predicates to automatically apply IRM protection in Outlook 2010:

  • Фромдепартмент: предикат фромдепартмент выполняет поиск в атрибуте отдела отправителя в Active Directory и автоматически IRM защищает сообщение, если отдел отправителя соответствует Отделу, указанному в правиле.FromDepartment: The FromDepartment predicate looks up the sender's department attribute in Active Directory and automatically IRM-protects the message if the sender's department matches the department specified in the rule. Например, вы можете создать правило защиты Outlook для автоматической защиты всех сообщений, отправляемых Отделом исследования.For example, you can create an Outlook protection rule to automatically protect all messages sent by the Research department.

  • SentTo: вашей организации может потребоваться защита сообщений, отправленных на определенные конфиденциальные получатели, например все группы рассылки "вся Организация" или "Финансы".SentTo: Your organization may need to protect messages sent to certain sensitive recipients, such as the All Company or Finance distribution groups. С помощью предиката SentTo можно создать правило защиты Outlook для автоматических сообщений с ЗАЩИТой IRM, отправляемых указанным получателям.Using the SentTo predicate, you can create an Outlook protection rule to automatically IRM-protect messages sent to specified recipients.

  • SentToScope: предикат SentToScope позволяет создать правило защиты Outlook для автоматического защиты сообщений, отправляемых внутри или за пределами Организации.SentToScope: The SentToScope predicate allows you to create an Outlook protection rule to automatically IRM-protect messages sent inside or outside the organization. Например, можно использовать предикат SentToScope с предикатом FromDepartment для защиты с использованием управления правами на доступ к данным сообщений, отправляемых некоторым отделом внутренним пользователям.For example, you can use the SentToScope predicate with the FromDepartment predicate to IRM-protect messages sent by a particular department to internal users.