правила защиты транспорта;Transport protection rules

Применимо к: Exchange Server 2013Applies to: Exchange Server 2013

Сообщения электронной почты и вложения содержат все больше критически важной бизнес-информации, такой как спецификации изделий, документы по бизнес-стратегиям и финансовые данные или персональные данные (PII), например сведения о контактах, номера социального страхования, номера кредитных карт и записи о сотрудниках. Во многих странах мира существует ряд специализированных отраслевых и местных нормативов, которые регулируют сбор, хранение и предоставление персональных данных.Email messages and attachments increasingly contain business critical information such as product specifications, business strategy documents, and financial data, or personally identifiable information (PII) such as contact details, social security numbers, credit card numbers, and employee records. There are a number of industry-specific and local regulations in many parts of the world that govern the collection, storage, and disclosure of PII.

Для защиты конфиденциальных данных организации создавать политик обмена сообщениями, предоставляющие инструкции о том, как обрабатывать эти сведения. В Microsoft Exchange Server 2013 можно использовать правила защиты транспорта для реализации следующих политик обмена сообщениями, проверяя содержимое сообщения, шифрование содержимого конфиденциальных электронной почты и с помощью управления правами для контроля доступа к содержимому.To help protect sensitive information, organizations create messaging policies that provide guidelines about how to handle this information. In Microsoft Exchange Server 2013, you can use transport protection rules to implement these messaging policies by inspecting message content, encrypting sensitive email content, and using rights management to control access to the content.

Задачи управления, связанные с управлением IRM содержатся в разделе процедуры управления правами на доступ.For management tasks related to managing IRM, see Information Rights Management procedures.

Правила защиты транспорта и служба AD RMSTransport protection rules and AD RMS

Правила защиты транспорта позволяют использовать правила транспорта для сообщений с защитой IRM путем применения шаблона политики прав служб управления правами Active Directory (AD RMS).Transport protection rules allow you to use transport rules to IRM-protect messages by applying an Active Directory Rights Management Services (AD RMS) rights policy template.

Примечание

AD службы управления правами — это технология защиты информации, которая работает в приложениях с поддержкой службы управления правами и клиентов для защиты конфиденциальных данных в автономном и интерактивном режимах. Чтобы применить защиту IRM в локальном развертывании Exchange, Exchange 2013 требуется локальное развертывание AD службы управления правами в Windows Server 2008 или более поздней версии.AD RMS is an information protection technology that works with Rights Management Service (RMS)-enabled applications and clients to protect sensitive information online and offline. To use IRM protection in an on-premise Exchange deployment, Exchange 2013 requires an on-premises deployment of AD RMS running on Windows Server 2008 or later.

Служба AD RMS использует шаблоны политик на основе XML, что позволяет совместимым приложениям с включенной поддержкой IRM применять согласованные политики защиты. В системе Windows Server 2008 и ее более поздних версиях на сервере AD RMS доступна веб-служба, которую можно использовать для перечисления и получения шаблонов. Сервер Exchange 2013 поставляется вместе с шаблоном "Не пересылать".AD RMS uses XML-based policy templates to allow compatible IRM-enabled applications to apply consistent protection policies. In Windows Server 2008 and later, the AD RMS server exposes a Web service that can be used to enumerate and acquire templates. Exchange 2013 ships with the Do Not Forward template.

Когда к сообщению применяется шаблон "Не пересылать", расшифровывать это сообщение могут только получатели, являющиеся его адресатами. Получатели не могут пересылать сообщение кому-либо еще, копировать содержимое из сообщения или распечатывать его.When the Do Not Forward template is applied to a message, only the recipients addressed in the message can decrypt the message. The recipients can't forward the message to anyone else, copy content from the message, or print the message.

Дополнительные шаблоны RMS можно создавать при локальном развертывании службы AD RMS для выполнения требований к защите прав в данной организации.Additional RMS templates can be created in the on-premises AD RMS deployment to meet rights protection requirements in your organization.

Важно!

Если шаблон политики прав удаляется из AD сервера службы управления правами, необходимо изменить все правила защиты транспорта, использующие удаленных шаблон. Если правила защиты транспорта продолжает использовать шаблон политики прав, который был удален, AD сервера службы управления правами не удастся лицензировать контента для всех получателей, и отчет о недоставке (NDR) будет доставлено отправителю.If a rights policy template is removed from the AD RMS server, you must modify any transport protection rules that use the removed template. If a transport protection rule continues to use a rights policy template that's been removed, the AD RMS server will fail to license the content to any of the recipients, and a non-delivery report (NDR) will be delivered to the sender.
В Windows Server 2008 и более поздних версий удалении, а не могут быть заархивированы шаблонов политики прав. Архивированные шаблоны можно по-прежнему можно использовать для лицензирования содержимого, но при создании или изменении правила защиты транспорта, архивированные шаблоны не включены в список шаблонов.In Windows Server 2008 and later, rights policy templates can be archived instead of deleted. Archived templates can still be used to license content, but when you create or modify a transport protection rule, archived templates aren't included in the list of templates.

Дополнительные сведения о создании шаблонов AD RMS см. в разделе Пошаговое руководство по развертыванию шаблонов политики прав AD RMS.For more information about creating AD RMS templates, see AD RMS Rights Policy Templates Deployment Step-by-Step Guide.

Автоматическая защита с помощью правил защиты транспортаAutomatic protection using transport protection rules

Сообщения, содержащие критически важную бизнес-информацию или персональные данные, можно идентифицировать с помощью комбинации условий правил транспорта, в том числе регулярных выражений для идентификации текстовых шаблонов, таких как номера социального страхования. Организациям требуются различные уровни защиты для конфиденциальной информации. Состав пользователей, имеющих доступ к некоторым сведениям, может ограничиваться сотрудниками, контрагентами или партнерами; в то время как круг лиц, имеющих доступ к другим данным, может сужаться до сотрудников только с полной занятостью. Желаемый уровень защиты может применяться к сообщениям путем использования соответствующего шаблона политики прав. Например, пользователи могут пометить сообщения электронной почты или вложения как "Служебное, конфиденциальное". Как показано на следующем рисунке, можно создать правило защиты транспорта для проверки содержимого сообщения на наличие слов "Служебное, конфиденциальное" и автоматической защиты сообщения с помощью функции IRM.Messages containing business critical information or PII can be identified by using a combination of transport rule conditions, including regular expressions to identify text patterns such as social security numbers. Organizations require different levels of protection for sensitive information. Some information may be restricted to employees, contractors, or partners; while other information may be restricted only to full-time employees. The desired level of protection can be applied to messages by applying an appropriate rights policy template. For example, users may mark messages or email attachments as Company Confidential. As illustrated in the following figure, you can create a transport protection rule to inspect message content for the words "Company Confidential", and automatically IRM-protect the message.

Дополнительные сведения о создании правил транспорта для принудительной защиты прав см. в разделе Создание правила защиты транспорта.For more information about creating transport rules to enforce rights protection, see Create a Transport Protection Rule.

Постоянная защита вложений электронной почтыPersistent protection of email attachments

Пользователи отправлять важных бизнес-данных и личные сведения во вложениях электронной почты с помощью распространенных форматов файлов Microsoft Office, таких как Microsoft Office Word, Excel и PowerPoint. Все эти форматы поддержки сохраняемого Защита файлов с помощью IRM и можно убедитесь в том, надлежащим образом защищенных важных бизнес-данных и личные сведения в этих документах. Правила защиты транспорта применяются в почтовых сообщений и вложений в поддерживаемых форматах такой же безопасности.Users send business critical information and PII in email attachments using common Microsoft Office file formats such as Microsoft Office Word, Excel, and PowerPoint. All of these file formats support persistent protection via IRM, and you can make sure that the business critical information and PII in these documents are properly protected. Transport protection rules apply the same protection to email messages and attachments in supported file formats.

Агент правил транспорта и агент шифрованияTransport rules agent and encryption agent

Когда к сообщениям с защитой IRM применяются правила защиты транспорта на основе условий правил, агент правил транспорта на транспортном сервере-концентраторе проверяет сообщения. Если они удовлетворяют этим условиям и на них не распространяется ни одно исключение, то такие сообщения помечаются как имеющие защиту IRM. Агент шифрования — встроенный агент транспорта, который реагирует на событие OnRoutedMessage, — фактически применяет к сообщению защиту IRM. Агент шифрования действует на сообщения только в том случае, если для внутренних сообщений включена функция IRM. Дополнительные сведения о функциях управления правами на доступ к данным (IRM) см. в разделе Включение или отключение управления правами на доступ к данным для внутренних сообщений.When you use transport protection rules to IRM-protect messages based on rule conditions, the Transport Rules agent on the Transport service inspects messages. If they meet all the conditions and none of the exceptions, it flags the message to be IRM-protected. The Encryption agent, a built-in transport agent that fires on the OnRoutedMessage event, actually applies IRM protection to the message. The Encryption agent acts on messages only if IRM is enabled for internal messages. For more information about enabling IRM, see Enable or Disable IRM for Internal Messages.

Когда служба транспорта перезапускается и обрабатывает первое сообщение, которое требует шифрования IRM, то агент шифрования должен иметь возможность достичь сервера AD RMS в организации. Для последующих сообщений агенту не требуется устанавливать связь с сервером AD RMS. В случае сбоя при шифровании сообщения из-за временных состояний на сервере Exchange выполняются три повторные попытки обработки сообщения с 10-минутными интервалами. После трех неудачных попыток шифрования сообщения его доставка получателям не производится. Отправителю отсылается отчет о недоставке. Рекомендуется планировать развертывание службы AD RMS с обеспечением высокого уровня ее доступности, чтобы работа потока сообщений не нарушалась.When the transport service is restarted, and it processes the first message that requires IRM encryption, the Encryption agent must be able to reach an AD RMS server in the organization. For subsequent messages, the agent doesn't need to contact the AD RMS server. Upon failure to encrypt a message due to transient conditions, Exchange retries the message three times at 10-minute intervals. After three retries, if the message can't be encrypted, it isn't delivered to recipients. An NDR is sent to the sender. We recommend that you plan your AD RMS deployment for high availability to make sure message flow isn't impacted.

В процессе планирования использования правил защиты транспорта необходимо учитывать тип данных, для которых требуется установить защиту, и в соответствии с этим планировать создание правил. В системе Exchange 2013 в правилах транспорта существует большое число предикатов, которые позволяют проверять содержимое сообщений, в том числе поддерживаемые сообщения, заголовки сообщений, адреса отправителей и получателей, их атрибуты Active Directory, такие как отдел, членство в группе рассылки и управленческие взаимоотношения отправителя с получателями. Дополнительные сведения о предикатах правил транспорта, доступных в системе Exchange 2013, см. в разделе Условия правил транспорта (предикаты).When planning to use transport protection rules, you must consider the type of information you want to protect and plan on creating rules accordingly. In Exchange 2013, transport rules have a large number of predicates that allow you to inspect message content, including supported attachments, message headers, sender and recipient addresses, their Active Directory attributes such as department, distribution group membership, and management relationships of the sender with recipients. For more details about transport rule predicates available in Exchange 2013, see Transport rule conditions (predicates).

Кроме того, необходимо учитывать трафик обмена сообщениями в организации и количество сообщений, для которых будет устанавливаться защита с помощью правил защиты транспорта. Применение защиты IRM к большому количеству сообщений требует дополнительных ресурсов на сервере почтовых ящиков. Кроме того, защита большого количества сообщений или всех сообщений также оказывает влияние на взаимодействие с клиентом, особенно для пользователей Outlook.You must also consider the messaging traffic in your organization, and the number of messages that will be protected using transport protection rules. Applying IRM protection to a large number of messages requires more resources on the Mailbox server. Additionally, protecting a large number of messages or all messages also impacts the client experience, particularly for Microsoft Outlook users.