Защита голосовой почты в Exchange Server

Статья
04/04/2023

Область применения: Exchange Server 2013 г., Exchange Server 2016 г.

Некоторые устаревшие учрежденческие автоматические телефонные станции (УАТС) и УАТС на основе протокола IP позволяют абоненту отмечать сообщение голосовой почты как личное, блокируя тем самым возможность получателю пересылать сообщение другим пользователям. В интегрированных системах голосовой почты доступ к голосовому сообщению возможен несколькими способами, что затрудняет защиту голосового сообщения, отмеченного как личное, от нежелательных слушателей.

Единую систему обмена сообщениями можно настроить для использования Active Directory службы управления правами Active Directory для защиты голосовых сообщений организации. Эта функция известна как "Защищенные сообщения голосовой почты".

Если голосовое сообщение защищено, получатель не только блокирует переадресацию сообщения, но и гарантирует, что только предполагаемый получатель или получатели сообщения могут получить доступ к его содержимому. Доступ к защищенным голосовыми сообщениям можно получить с помощью Microsoft Outlook 2010, русская версия или более поздней версии, Outlook Web App или голосового доступа к Outlook.

Общие сведения о защищенной голосовой почте

В единой системе обмена сообщениями Exchange 2010 и более поздних версий доступна функция защищенной голосовой почты. Ее можно настроить в политике почтовых ящиков единой системы обмена сообщениями, а все параметры защищенной голосовой почты в консоли управления Exchange или командной консоли Exchange 2010, а также в Центре администрирования Exchange или с помощью командлетов командной консоли Exchange 2013.

Защищенная голосовая почта реализуется путем применения системы управления правами на доступ к данным (IRM) к голосовым сообщениям. Если голосовые сообщения защищены с помощью единой системы обмена сообщениями:

Пользователь может отвечать на защищенные голосовые сообщения.
Получатели голосового сообщения не могут переадресовать его.
Пользователи не могут сохранять копии голосового сообщения.
Пользователи не могут сохранить или скопировать вложенную звуковую запись голосового сообщения.
Голосовое сообщение может быть открыто только назначенным пользователем или назначенными пользователями.

Голосовые сообщения автоответчика и межабонентские голосовые сообщения (голосовые сообщения, отправляемые пользователю с помощью голосового доступа к Outlook) могут быть защищены единой системой обмена сообщениями. Однако защита не будет применена к следующим типам сообщений:

факсимильные сообщения;
неголосовые сообщения. Например, сообщения электронной почты или приглашения на собрания, даже если они созданы с помощью голосового доступа к Outlook (голосовые ответы).

Обзор служб управления правами Active Directory

Компонент AD RMS в Windows Server 2008 или в более поздних версиях позволяет обеспечить защиту файлов и делает файл доступным для просмотра только тем пользователям, которых назначил отправитель. AD RMS защищает файл путем назначения прав, которыми должен обладать пользователь для доступа к файлу. Можно настроить права для разрешения открывать, изменять, печатать, переадресовывать или предпринимать другие действия относительно данных, к которым применяются права. При помощи AD RMS можно защитить данные при их распространении вне сети организации.

Система AD RMS включает в себя компонент сервера и клиента, в частности:

Сервер, на котором установлен Windows Server 2008 R2 или его более поздние версии и который выполняет роль сервера служб управления правами Active Directory, предназначенного для обработки сертификатов и лицензий.
сервер базы данных;
клиент службы управления правами Active Directory. Последняя версия клиента AD RMS включена в состав операционных систем Windows 7 и Windows 8.

Компонент сервера состоит из нескольких веб-служб, которые выполняются на сервере Майкрософт, например Windows Server 2008 или более поздней версии. Компонент клиента может быть запущен в операционной системе клиента или сервера и включает в себя функции, позволяющие приложению зашифровывать и расшифровывать содержимое, получать шаблоны и списки отзыва, а также получать лицензии и сертификаты с сервера.

Использование AD RMS и клиента AD RMS позволяет дополнить стратегию безопасности организации, защитив данные с помощью постоянных политик использования, которые остаются прикрепленными к данным вне зависимости от их перемещения. Вы можете использовать AD RMS, чтобы предотвратить намеренное или случайное попадание конфиденциальной информации (например, финансовых отчетов, спецификаций продуктов, данных клиентов, конфиденциальных сообщений электронной почты и голосовой почты). Подробные сведения см. в статье Общие сведения о AD RMS.

В единой системе обмена сообщениями Exchange для обеспечения постоянной защиты сообщений и вложений можно использовать функции управления правами на доступ к данным (IRM).

Использование функций управления правами на доступ к данным и защищенной голосовой почты позволит организации и ее пользователям управлять правами получателей на доступ к сообщениям электронной и голосовой почты. С помощью управления правами на доступ к данным можно также разрешить или запретить получателю пересылать сообщение другим получателям, печатать сообщение или вложения, а также копировать текст сообщения или вложений.

Требования к управлению правами на доступ к данным

Прежде чем реализовать функции управления правами на доступ к данным в Exchange, необходимо сначала развернуть и настроить инфраструктуру AD RMS. Подробные сведения см. в разделе Службы Active Directory Rights Management Services. Для реализации функций управления правами на доступ к данным для поддержки защищенной голосовой почты Exchange в организации развертывание должно соответствовать следующим требованиям.

Сервер	Требования
Кластер AD RMS	Windows Server 2008 R2 Standard или Enterprise с пакетом обновления 1 (SP1), или Windows Server 2012 Standard или Datacenter. Дополнительные сведения о требованиях к системе см. в статье Требования к системе Для Exchange 2013. Точка подключения службы (SCP). Приложения с поддержкой Exchange 2013 и AD RMS используют SCP, зарегистрированные в Active Directory, для обнаружения кластеров и URL-адресов AD RMS. Служба AD RMS позволяет регистрировать точку подключения службы в программе установки AD RMS. Если при установке AD RMS используется учетная запись, которая не является участником группы безопасности "Администраторы предприятия", регистрацию точки подключения службы можно выполнить после завершения установки. В лесу Active Directory существует только одна точка подключения службы AD RMS. Разрешения. Серверам в группе серверов Exchange или отдельным серверам Exchange должны быть назначены разрешения на чтение и выполнение конвейеру сертификации сервера AD RMS. Путь по умолчанию — \inetpub\wwwroot_wmcs\certification\ServerCertification.asmx на серверах AD RMS. Суперпользователей AD RMS. Чтобы включить расшифровку транспорта, расшифровку отчетов журнала, IRM в Outlook Web App и IRM для поиска Exchange, необходимо добавить почтовый ящик федеративной доставки, созданный программой установки Exchange, в группу суперпользователей AD RMS в кластере AD RMS. Подробные сведения см. в разделе Add the Federation Mailbox to the AD RMS Super Users Group.

Сервер

Требования

Кластер AD RMS

Windows Server 2008 R2 Standard или Enterprise с пакетом обновления 1 (SP1), или Windows Server 2012 Standard или Datacenter. Дополнительные сведения о требованиях к системе см. в статье Требования к системе Для Exchange 2013.
Точка подключения службы (SCP). Приложения с поддержкой Exchange 2013 и AD RMS используют SCP, зарегистрированные в Active Directory, для обнаружения кластеров и URL-адресов AD RMS. Служба AD RMS позволяет регистрировать точку подключения службы в программе установки AD RMS. Если при установке AD RMS используется учетная запись, которая не является участником группы безопасности "Администраторы предприятия", регистрацию точки подключения службы можно выполнить после завершения установки. В лесу Active Directory существует только одна точка подключения службы AD RMS.
Разрешения. Серверам в группе серверов Exchange или отдельным серверам Exchange должны быть назначены разрешения на чтение и выполнение конвейеру сертификации сервера AD RMS. Путь по умолчанию — \inetpub\wwwroot_wmcs\certification\ServerCertification.asmx на серверах AD RMS.
Суперпользователей AD RMS. Чтобы включить расшифровку транспорта, расшифровку отчетов журнала, IRM в Outlook Web App и IRM для поиска Exchange, необходимо добавить почтовый ящик федеративной доставки, созданный программой установки Exchange, в группу суперпользователей AD RMS в кластере AD RMS. Подробные сведения см. в разделе Add the Federation Mailbox to the AD RMS Super Users Group.

Настройка и тестирование управления правами на доступ к данным

Для настройки функций управления правами на доступ к данным необходимо использовать консоль. Чтобы настроить отдельные функции управления правами на доступ к данным, используйте командлет Set-IRMConfiguration. Дополнительные сведения о настройке функций IRM см. в разделе Процедуры управления правами на доступ к данным.

После настройки сервера Exchange можно выполнить сквозное тестирование развертывания службы управления правами на доступ к данным с помощью командлета Test-IRMConfiguration. Этот командлет проверяет конфигурацию IRM для организации; его необходимо запустить до активации функции защищенной голосовой почты. Командлет Test-IRMConfiguration выполняет следующие тесты:

Проверяет конфигурацию службы управления правами на доступ к данным в организации Exchange.
Проверяет сервер службы AD RMS на предмет сведений о версии и исправлениях.
Проверяет возможность активации сервера Exchange для службы управления правами, получая сертификат учетной записи прав и сертификат лицензиара клиента (CLC).
Получает шаблоны политики прав службы AD RMS с сервера службы AD RMS.
Проверяет способность указанного отправителя отправлять сообщения, защищенные службой IRM.
Получает для указанного получателя лицензию на использование суперпользователя.
Получает предварительную лицензию для указанного получателя.

Поддержка клиента и возможности конечных пользователей

Программное обеспечение почтового клиента, используемого для прослушивания сообщений защищенной голосовой почты, должно поддерживать IRM и включать в себя функциональные возможности для чтения голосовых сообщений с защитой единой системы обмена сообщениями. Email поддерживаемые клиенты включают Microsoft Outlook 2010, русская версия или более поздние версии, Outlook Web App и голосовой доступ к Outlook. Следующая таблица содержит список почтовых клиентов, а также данные об их поддержке.

Клиент электронной почты	Описание
Outlook	Защищенные голосовые сообщения поддерживаются в Outlook 2010 и более поздних версиях.
Outlook Web App	Outlook Web App в Exchange 2010 или более поздних версиях поддерживает сообщения защищенной голосовой почты. Предыдущие версии Outlook Web App, известные как Outlook Web Access, не поддерживают такие сообщения.
Голосовой доступ к Outlook	Голосовой доступ к Outlook в Exchange 2010 и более поздних версий поддерживает защищенную голосовую почту. Голосовой доступ к Outlook, входящий в состав Exchange 2007, не поддерживает защищенную голосовую почту. Почтовый ящик пользователя должен находиться на сервере почтовых ящиков Exchange 2010 или более поздней версии.
Exchange ActiveSync	Защищенная голосовая почта поддерживается в Exchange 2010 с пакетом обновления 1 (SP1) и более поздних версиях.
Другие почтовые клиенты	Защищенная голосовая почта не поддерживается.

Защищенная структура голосовых сообщений

Для каждого сообщения защищенной голосовой почты фактически существует два сообщения. Первое сообщение является внешним сообщением, которое не шифруется. Оно содержит вложение с именем message.rpmsg. Вложение содержит голосовое сообщение с защитой IRM и внутренние данные управления правами. Данные управления правами включают в себя ключ содержимого и информацию о правах, указывающую пользователей, которым разрешен доступ к голосовому сообщению, и способ доступа к нему.

Защищенные голосовые сообщения отображаются во входящих сообщениях пользователя в папке Голосовая почта. Пользователь может прослушать голосовое сообщение при помощи встроенного проигрывателя так же, как обычное голосовое сообщение, за исключением того, что кнопка "Переслать" будет неактивна, а в верхней области сообщения будет выведено примечание с сообщением о том, что сообщение защищено и не может быть переадресовано.

В почтовых клиентах, не поддерживающих защищенную голосовую почту, будет отображен текст внешнего сообщения. Администраторы могут включать текст, когда клиентское программное обеспечение не поддерживает защищенную голосовую почту, с помощью политик почтовых ящиков единой системы обмена сообщениями. Стандартный текст, включаемый в сообщение электронной почты, можно изменить в настройках политики почтовых ящиков единой системы обмена сообщениями. Например, можно настроить политику почтовых ящиков единой системы обмена сообщениями с настраиваемым текстом, например:

Вы не можете открыть это сообщение голосовой почты, так как оно защищено. Чтобы просмотреть или прослушать это голосовое сообщение, войдите в почтовый ящик по телефону https://mail.contoso.com или позвоните по телефону +1 (425) 555-1234, чтобы позвонить в Голосовой доступ к Outlook.

Создание защищенного сообщения голосовой почты

Существуют две ситуации, в которых можно создать защищенные голосовые сообщения.

Ответ на звонки. Ответ на вызовы происходит, когда вызывающий звонит пользователю с поддержкой единой системы обмена сообщениями, но пользователь не может ответить на звонок или переадресовывает его непосредственно на голосовую почту. В сценариях автоответчика система голосовой почты проиграет серию голосовых запросов после записи голосового сообщения звонящего.

Затем звонящий может выбрать дополнительные параметры сообщения, включая возможность отметить голосовое сообщение как личное, нажав кнопку с решеткой (#). При нажатии кнопки # можно следовать инструкциям, предоставляемым единой системой обмена сообщениями, для пометки сообщения как личного, удалить отметку из личного голосового сообщения или отметить голосовое сообщение как сообщение с высокой степенью важности. На схеме ниже изображены параметры меню, доступные звонящим при записи личного голосового сообщения для пользователя.

Примечание.

Для звонков на автоответчик параметры настройки защищенной голосовой почты в политике почтовых ящиков единой системы обмена сообщениями назначенного получателя сообщения используются единой системой обмена сообщениями, поскольку звонящий не прошел проверку подлинности.
Голосовой доступ к Outlook. Голосовой доступ к Outlook позволяет пользователям с поддержкой единой системы обмена сообщениями получать доступ к своим почтовым ящикам с помощью аналоговых, цифровых или сотовых телефонов, набрав свой номер голосового доступа к Outlook. Пользователям, имеющим право работы с единой системой обмена сообщениями, доступны два пользовательских интерфейса: телефонный пользовательский интерфейс (TUI) и голосовой пользовательский интерфейс (VUI).

Пользователи голосового доступа к Outlook могут выполнять поиск контактов в каталоге и отправлять им голосовые сообщения. При активации защищенной голосовой почты для получателей с включенной единой системой обмена сообщениями звонящие могут отмечать сообщения как личные после их записи. Также администраторы могут настроить политику почтовых ящиков единой системы голосовой почты для обеспечения защиты всех голосовых сообщений, отправляемых пользователями, прошедшими проверку подлинности, в единой системе обмена сообщениями.

Примечание.

Если звонящий прошел проверку подлинности, применяются параметры настройки защищенной голосовой почты в политике почтовых ящиков единой системы обмена сообщениями, связанные со звонящим, вне зависимости от параметров настройки политики почтовых ящиков единой системы обмена сообщениями для назначенного получателя сообщения голосовой почты.

Политики почтовых ящиков для единой системы обмена сообщениями

Можно создать политику почтовых ящиков единой системы обмена сообщениями для применения общего набора параметров политики единой системы обмена сообщениями, таких как параметры политики ПИН-кодов, ограничения набора номеров и параметры защищенной голосовой почты, к коллекции почтовых ящиков с включенной функцией единой системы обмена сообщениями. Дополнительные сведения о политиках почтовых ящиков единой системы обмена сообщениями см. в статье Управление политикой почтовых ящиков единой системы обмена сообщениями.

Можно использовать Центр администрирования Exchange или командлет Set-UMMailboxPolicy в командной консоли для настройки параметров защищенной голосовой почты. В следующей таблице представлены параметры, которые можно настроить для защищенной голосовой почты.

Параметр командной консоли	Возможность установки в Центре администрирования Exchange	Описание
ProtectAuthenticatedVoiceMail	Да	Параметр ProtectAuthenticatedVoiceMail указывает, могут ли пользователи с поддержкой единой системы обмена сообщениями отправлять защищенные голосовые сообщения при доступе к почтовому ящику с помощью голосового доступа к Outlook. По умолчанию используется `None`параметр . Это означает, что при создании голосовых сообщений не применяется защита, и звонящие не будут иметь возможность пометки голосового сообщения как личного. Если для параметра задано значение `Private`, защищаются только сообщения, помеченные вызывающей стороны как частные. Если задано `All`значение , каждое голосовое сообщение защищено независимо от параметра, выбранного вызывающим абонентом.
ProtectUnauthenticatedVoiceMail	Да	Параметр ProtectUnauthenticatedVoiceMail указывает, создают ли защищенные голосовые сообщения серверы почтовых ящиков, которые отвечают на вызовы для пользователей с поддержкой единой системы обмена сообщениями, связанных с политикой почтовых ящиков единой системы обмена сообщениями. Эта настройка применима и в случае, если сообщение отправляется от автосекретаря единой системы обмена сообщениями пользователю с включенной единой системой обмена сообщениями. По умолчанию используется `None`параметр . Это означает, что голосовые сообщения не защищены, и звонящему не будет предоставлена возможность пометки сообщения как личного. Если для параметра задано значение `Private`, защищаются только сообщения, помеченные вызывающей стороны как частные. Если задано `All`значение , каждое голосовое сообщение защищено независимо от того, было ли сообщение помечено вызывающим как закрытое.
ProtectedVoiceMailText	Да	Параметр ProtectedVoiceMailText указывает текст, который будет включен в текст внешнего сообщения защищенной голосовой почты. Текст будет отображен во всех приложениях почтового клиента, не поддерживающих сообщения защищенной электронной почты. Обратите внимание, что сообщение по умолчанию всегда предоставляется единой службой обмена сообщениями, если это свойство имеет значение `Null` или является пустым.
RequireProtectedPlayOnPhone	Да	Параметр RequireProtectedPlayOnPhone указывает, будут ли пользователи, связанные с политикой почтовых ящиков единой системы обмена сообщениями, прослушивать защищенное голосовое сообщение по телефону (с помощью воспроизведения на телефоне). Значение по умолчанию — `$false.` Если задано `$true`значение , проигрыватель аудио мультимедиа в формах Защищенной голосовой почты в Outlook или Outlook Web App будет отображаться как отключенный. Обратите внимание, что текст предварительного просмотра голосового сообщения доступен в любой момент. Пользователь не сможет воспроизвести звуковой файл ни в одном проигрывателе или использовать встроенный проигрыватель для прослушивания голосового сообщения.
AllowVoiceResponseToOtherMessageTypes	Да	Параметр AllowVoiceResponseToOtherMessageTypes указывает, смогут ли вызывающие лица, прошедшие проверку подлинности голосового доступа к Outlook для доступа к своей электронной почте, создавать голосовые ответы на сообщения электронной почты и приглашения на собрания.

Для получения дополнительных сведений об управлении параметрами настройки защищенной голосовой почты см. разделы Защищенные процедуры голосовой почты и Set-UMMailboxPolicy.

Текстовые уведомления и защищенная голосовая почта

Пользователи, настраивающие в учетной записи единой системы обмена сообщениями отправку текстовых уведомлений (также называются SMS-уведомлениями) на мобильный телефон в случае получения голосового сообщения, также получат текст транскрипции записи (предварительный просмотр голосовой почты) в составе текста сообщения. Однако для защищенных голосовых сообщений такая настройка нарушит политику безопасности, поскольку содержимое голосового сообщения должно быть защищено всегда.

При создании в единой системе обмена сообщениями текстового сообщения с уведомлением для защищенного голосового сообщения выполняется проверка на пометку данного голосового сообщения как личного. В случае присутствия такой пометки транскрипция текста не будет добавлена в текстовое сообщение, отправляемое на мобильный телефон. Вместо этого в текстовое сообщение будет включен следующий текст:

Используйте голосовой доступ к Outlook для доступа к этому защищенному сообщению голосовой почты.