Verwaltung von Informationsrechten in Exchange ActiveSync
Gilt für: Exchange Server 2013
Information-Worker verwenden zum Austausch vertraulicher Informationen häufig E-Mail-Nachrichten. Zur besseren Sicherung dieser Informationen können Organisationen die Verwaltung von Informationsrechten (Information Rights Management, IRM) verwenden und Nachrichteninhalte dauerhaft schützen. Da mobile Geräte immer häufiger für den Zugriff auf E-Mail verwendet werden, ist es wichtig, dass die Benutzer mobiler Geräte durch IRM geschützte Inhalte erstellen und nutzen können.
Mobiler IRM-Schutz in Exchange 2013
In Exchange 2013 können Benutzer mit IRM in Microsoft Exchange ActiveSync auf allen unterstützten Exchange ActiveSync-Geräten auf umfassende IRM-Funktionen zugreifen, ohne AD RMS-Berechtigungen konfigurieren oder das Gerät mit einem Computer verbinden und für IRM aktivieren zu müssen. Zudem muss auf dem mobilen Gerät nicht Windows ausgeführt werden. Exchange ActiveSync ist von Microsoft für Hersteller mobiler Geräte, OEMs (Original Equipment Manufacturer) und andere lizenziert. Für eine Liste aktueller Exchange ActiveSync-Lizenznehmer erweitern Sie den Abschnitt „Exchange ActiveSync-Protokoll" auf der Seite Microsoft-Technologielizenzierung.
IRM in Exchange ActiveSync bietet Benutzern mobiler Geräte folgende Möglichkeiten:
- Erstellen von IRM-geschützten Nachrichten.
- Lesen von IRM-geschützten Nachrichten.
- Antworten und Weiterleiten von IRM-geschützten Nachrichten.
Anforderungen
Dabei gelten folgenden Anforderungen:
Auf den Clientzugriffsservern in der Organisation muss Exchange 2010 SP1 oder höher ausgeführt werden.
In der Organisation muss ein AD RMS-Server bereitgestellt werden.
IRM muss für interne Nachrichten aktiviert sein. Dies ist eine Voraussetzung für alle IRM-Features in Exchange 2010. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren von IRM für interne Nachrichten.
IRM muss in der Exchange ActiveSync-Postfachrichtlinie aktiviert sein. Sie können IRM mithilfe unterschiedlicher Exchange ActiveSync-Postfachrichtlinien für verschiedene Benutzergruppen aktivieren oder deaktivieren.
Geräte, die Exchange ActiveSync Protokollversion 14.1 unterstützen, können IRM in Exchange ActiveSync unterstützen. Die mobile E-Mail-Anwendung des Geräts muss das Tag "RightsManagementInformation" unterstützen, das in Exchange ActiveSync, Version 14.1, definiert ist.
Sicherheit
Wenn Sie IRM in Exchange ActiveSync aktivieren, entschlüsselt der Clientzugriffsserver IRM-geschützte Nachrichten vor der Bereitstellung der Nachrichten für den Zugriff durch das unterstützte mobile Gerät. Bei der Synchronisierung befinden sich IRM-geschützte Nachrichten im unverschlüsselten Format auf dem mobilen Gerät. Der IRM-Schutz wird durch die IRM-fähige E-Mail-Clientanwendung auf dem mobilen Gerät erzwungen.
IRM in Exchange ActiveSync entschlüsselt keine IRM-geschützten Anlagen auf dem Clientzugriffsserver. Der Zugriff auf IRM-geschützte Dateien wird durch die Anwendung erzwungen, die zum Erstellen oder Anzeigen der Datei verwendet wird. Für den Zugriff auf Office-Dateien mit IRM-Schutz müssen Benutzer das Gerät mit einem Computer verbinden und Office Mobile auf dem RMS-Server aktivieren.
Bei der Aktivierung von IRM in Exchange ActiveSync sollten Sie die in der folgenden Tabelle angezeigten Exchange ActiveSync-Richtlinieneinstellungen verwenden, um die Sicherheit mobiler Geräte zu gewährleisten.
Exchange ActiveSync-Richtlinieneinstellungen
| Setting | Mithilfe des Exchange ActiveSync-Assistenten für neue Postfachrichtlinien konfigurieren | Mithilfe des Cmdlets "New-ActiveSyncMailboxPolicy" konfigurieren |
|---|---|---|
| Eingeben eines Kennworts für den Zugriff auf das mobile Gerät durch den Benutzer anfordern. | Aktivieren Sie das Kontrollkästchen Kennwort anfordern. | Legen Sie den Parameter DevicePasswordEnabled auf fest $true. |
| Verschlüsselung für das mobile Gerät aktivieren. | Aktivieren Sie das Kontrollkästchen Kennwort anfordern, und aktivieren Sie dann das Kontrollkästchen Verschlüsselung auf dem Gerät anfordern. | Legen Sie den RequireDeviceEncryption-Parameter auf fest $true. Wichtig: Wenn Sie den Parameter RequireDeviceEncryption auf $truefestlegen, können mobile Geräte, die keine Geräteverschlüsselung unterstützen, keine Verbindung herstellen. |
| Synchronisierung nicht bereitstellbarer mobiler Geräte mit dem Exchange-Server nicht zulassen. | Deaktivieren Sie das Kontrollkästchen Nicht bereitstellbare Geräte zulassen. | Legen Sie den Parameter AllowNonProvisionableDevices auf fest $false. |
Weitere Informationen finden Sie unter Postfachrichtlinien für mobile Geräte.
Aktivieren von IRM in Exchange ActiveSync
Gehen Sie wie folgt vor, um IRM in Exchange ActiveSync zu aktivieren:
Fügen Sie das Verbundpostfach (ein von Exchange 2013- und Exchange 2010-Setup erstelltes Systempostfach) der Benutzergruppe mit Administratorrechten in AD RMS hinzu. Dies ermöglicht Exchange 2013- und Exchange 2010-Servern den Zugriff auf IRM-geschützte Nachrichten. Weitere Informationen finden Sie unter Hinzufügen des Verbundpostfachs zur AD RMS-Administratorengruppe.
Verwenden Sie das Cmdlet Set-IRMConfiguration in der Exchange-Verwaltungsshell, um IRM auf dem Clientzugriffsserver zu aktivieren. Dadurch werden IRM in Exchange ActiveSync und IRM in Microsoft Office Outlook Web App für Ihre Organisation aktiviert. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Verwaltung von Informationsrechten auf Clientzugriffsservern.