Правила защиты Outlook

Применяется к: Exchange Server 2013 г.

Каждый день работники информационной сферы обмениваются конфиденциальными сведениями по электронной почте: финансовые отчеты и данные, сведения о покупателях и сотрудниках, конфиденциальные сведения о продуктах и их характеристики. В Microsoft Exchange Server 2013 г., Microsoft Outlook и Microsoft Office Outlook Web App пользователи могут применять защиту прав управления правами на информацию (IRM) к сообщениям, применяя шаблон политики службы Active Directory Rights Management (AD RMS). Для использования данной возможности в организации должна быть развернута служба управления правами Active Directory. Дополнительные сведения о AD RMS см. в службы Active Directory Rights Management.

Однако если оставить вопрос применения защиты на усмотрение пользователей, существует большая вероятность, что сообщения будут отправляться в незашифрованном виде без применения защиты с использованием управления правами на доступ к данным. В организациях, использующих электронную почту в виде службы, размещенной на веб-сайте поставщика услуг, существует риск утечки информации, поскольку после отправки сообщения его маршрутизация и хранение осуществляется вне организации. Несмотря на наличие у поставщиков служб электронной почты четко описанных процедур и проверок, направленных на снижение риска утечки информации, после того, как сообщение покидает пределы организации, последняя полностью теряет контроль над информацией. Правила защиты Outlook позволяют защитить организацию от этого типа утечки информации.

Для задач управления, связанных с управлением IRM, см. процедуры управления правами на информацию.

Автоматическая защита управления правами на доступ к данным в приложении Outlook

В Exchange 2013 правила защиты Outlook помогают организации защититься от риска утечки информации путем автоматического применения защиты с использованием управления правами на доступ к данным к сообщениям, отправляемым с помощью Exchange 2013. Защита с использованием управления правами на доступ к данным применяется к сообщениям до того, как они покидают клиента Outlook. Этот механизм защиты также применяется ко всем вложениям, использующим поддерживаемые форматы файлов.

После создания правил защиты Outlook на сервере Exchange 2013 правила автоматически распространяются клиентам Outlook 2010 с помощью веб-служб Exchange. Чтобы клиент Outlook 2010 мог применить правило, указанный шаблон политики прав службы управления правами Active Directory должен быть доступен на компьютерах пользователей.

Важно!

Если шаблон политики прав удаляется с сервера AD RMS, необходимо изменить Outlook правил защиты, которые используют   удаляемого шаблона. Если в Outlook правила защиты по-прежнему используется шаблон политики прав, который был удален, и в организации включена расшифровка транспорта, агент расшифровки не сможет расшифровать сообщение, защищенное шаблоном, который больше не доступен. Если транспортная расшифровка указана как обязательная, служба передачи отклоняет сообщение и отправляет отправителю отчет о недоставке. Дополнительные сведения о расшифровке транспорта см. в материале Transport decryption. Дополнительные сведения о шаблонах политики защиты прав AD RMS см. в материале   AD RMS Policy Template Considerations.
В Windows Server 2008 и более поздних версиях шаблоны политики прав можно архивировать, а не удалять. Архивные шаблоны по-прежнему можно использовать для лицензирования контента, но при создании или изменении правила защиты Outlook, архивные шаблоны не включаются в список шаблонов.

Правила защиты Outlook похожи на правила защиты транспорта. Оба типа правил применяются исходя из условий сообщения и защищают сообщения путем применения шаблона политики прав службы управления правами Active Directory. Однако, агент правил транспорта применяет правила защиты транспорта в службе передачи на сервере почтовых ящиков. Правила защиты приложения Outlook применяются в приложении Outlook 2010 перед тем, как сообщение отправлено с компьютера пользователя. Сообщения, к которым применено правило защиты Outlook, поступают в транспортный конвейер с уже примененной защитой с использованием управления правами на доступ к данным. Кроме того, сообщения, защищенные с помощью правила защиты Outlook, также сохраняются в зашифрованном виде в папке «Отправленные» почтового ящика отправителя.

Примечание

Если в вашей Exchange организации включена расшифровка транспорта, сообщения, защищенные правилом защиты IRM Outlook с помощью сервера AD RMS в организации, могут быть расшифрованы агентом расшифровки службы   транспорта. Содержимое сообщения может быть проверено агентом правил транспорта и другими агентами транспорта, установленными на службе передачи. Дополнительные сведения о расшифровке транспорта см. в материале Transport decryption.

При использовании правил защиты транспорта у пользователей отсутствует индикатор, показывающий, будет ли сообщение автоматически защищено на службе передачи. Если в Outlook к сообщению применяется правило защиты Outlook 2010, пользователи заранее знают, будет ли сообщение защищено с использованием управления правами на доступ к данным. При необходимости пользователи также могут выбирать другой шаблон политики прав.

Создание правил защиты Outlook

Для создания правил защиты Outlook используется командлет New-OutlookProtectionRule в командной консоли Exchange. Подробные инструкции см. в разделе Создание правила защиты Outlook.

При создании правила можно указать, может ли пользователь переопределять правило путем удаления защиты с использованием управления правами на доступ к данным или путем применения шаблона политики прав службы управления правами Active Directory, отличающегося от указанного в правиле. Если пользователь переопределит защиту IRM, применяемую правилом Outlook защиты, Outlook 2010 вставляет загон в сообщение, что позволяет определить, что это правило было переопределено X-MS-Outlook-Client-Rule-Overridden пользователем.

Предикаты в правилах защиты Outlook

Правила защиты Outlook позволяют использовать три предиката для автоматического применения защиты с использованием управления правами на доступ к данным в Outlook 2010:

  • FromDepartment. Предикат FromDepartment ищет атрибут отдела отправитель в Active Directory и автоматически защищает сообщение, если отдел отправительа соответствует отделу, указанному в правиле. Например, можно создать правило Outlook для автоматической защиты всех сообщений, отправленных отделом исследований.

  • SentTo. Возможно, вашей организации потребуется защитить сообщения, отосланные определенным чувствительным получателям, например группам рассылки All Company или Finance. С помощью предиката SentTo можно создать правило Outlook для автоматической защиты от IRM-сообщений, отправленных указанным получателям.

  • SentToScope. Предикат SentToScope позволяет создать правило защиты Outlook для автоматической защиты сообщений, отправленных в организации или за ее пределами. Например, можно использовать предикат SentToScope с предикатом FromDepartment для защиты с использованием управления правами на доступ к данным сообщений, отправляемых некоторым отделом внутренним пользователям.