Gestion des droits relatifs à l’information (IRM) dans Exchange ActiveSync
S’applique à : Exchange Server 2013
Les professionnels de l'information utilisent fréquemment la messagerie pour échanger des informations confidentielles. Pour sécuriser ces informations, les organisations peuvent utiliser la gestion des droits relatifs à l'information (IRM) afin d'appliquer une protection permanente au contenu de la messagerie. Étant donné que les appareils mobiles sont de plus en plus utilisés pour accéder à la messagerie électronique, il est important que les utilisateurs des appareils mobiles soient en mesure de créer et d'utiliser du contenu protégé par IRM.
Protection IRM mobile dans Exchange 2013
Dans Exchange 2013, IRM dans Microsoft Exchange ActiveSync permet à vos utilisateurs d'accéder aux fonctionnalités IRM complètes sur n'importe quel appareil Exchange ActiveSync pris en charge, sans avoir à configurer d'autorisations AD RMS ou à connecter l'appareil à un ordinateur pour activer IRM dessus. De plus, l'appareil mobile n'a pas besoin d'exécuter Windows. Exchange ActiveSync est concédé sous licence par Microsoft aux fabricants d'appareils mobiles, aux fabricants d'ordinateurs OEM et d'autres. Pour connaître la liste des détenteurs de licence Exchange ActiveSync actuels, consultez la rubrique Exchange ActiveSync Protocol de la page Microsoft Technology Licensing.
À l'aide d'IRM dans Exchange ActiveSync, les utilisateurs d'appareils mobiles peuvent :
- Créer des messages protégés par IRM.
- Lire des messages protégés par IRM.
- Répondre à des messages protégés par IRM et les transférer.
Conditions requises
Les conditions suivantes s'appliquent :
Les serveurs d'accès au client de votre organisation doivent exécuter Exchange 2010 SP1 ou version ultérieure.
Un serveur AD RMS doit être déployé dans votre organisation.
La technologie IRM doit être activée pour les messages internes. Ceci est une condition préalable qui s'applique à toutes les fonctionnalités IRM d'Exchange 2010. Pour plus d'informations, voir Activer ou désactiver la technologie IRM pour les messages internes.
La gestion des droits relatifs à l’information doit être activée dans la stratégie de boîte aux lettres Exchange ActiveSync. Vous pouvez activer ou désactiver l’IRM pour différents ensembles d’utilisateurs à l’aide de stratégies de boîte aux lettres Exchange ActiveSync différentes.
Les appareils qui prennent en charge Exchange ActiveSync protocole version 14.1 peuvent prendre en charge irm dans Exchange ActiveSync. L'application de messagerie mobile de l'appareil doit prendre en charge la balise RightsManagementInformation définie dans Exchange ActiveSync version 14.1.
Sécurité
Lorsque vous activez IRM dans Exchange ActiveSync, le serveur d'accès au client déchiffre les messages protégés par IRM avant de rendre les messages accessibles à l'appareil mobile pris en charge. Lors de la synchronisation, les messages protégés par IRM se trouvent sur l'appareil mobile dans un format non chiffré. La protection IRM est appliquée par l'application cliente de messagerie compatible avec IRM sur l'appareil mobile.
IRM dans Exchange ActiveSync ne déchiffre pas les pièces jointes protégées par IRM sur le serveur d'accès au client. L'accès aux fichiers protégés par IRM s'effectue par l'application utilisée pour créer ou afficher le fichier. Pour accéder aux fichiers Office protégés par IRM, les utilisateurs doivent connecter leur appareil à un ordinateur, puis activer Office Mobile avec le serveur RMS.
Lorsque vous activez IRM dans Exchange ActiveSync, il est recommandé d'utiliser les paramètres de stratégie d'Exchange ActiveSync illustrés dans le tableau ci-dessous pour mieux sécuriser les appareils mobiles.
Paramètres de stratégie d’Exchange ActiveSync
| Setting | Configuration à l’aide de l’Assistant Nouvelle stratégie de boîte aux lettres Exchange ActiveSync | Configuration à l’aide de la cmdlet New-ActiveSyncMailboxPolicy |
|---|---|---|
| Demandez que l’utilisateur entre un mot de passe pour accéder aux informations sur son appareil mobile. | Cochez la case Exiger un mot de passe. | Définissez le paramètre DevicePasswordEnabled sur $true. |
| Activez le chiffrement pour l'appareil mobile. | Cochez la case Exiger un mot de passe, puis la case Exiger le chiffrement du périphérique. | Définissez le paramètre RequireDeviceEncryption sur $true. Important : Lorsque vous définissez le paramètre RequireDeviceEncryption sur $true, les appareils mobiles qui ne prennent pas en charge le chiffrement des appareils ne peuvent pas se connecter. |
| N'autorisez pas les appareils mobiles non configurables à se synchroniser avec le serveur Exchange. | Décochez la case Autoriser les périphériques non configurables. | Définissez le paramètre AllowNonProvisionableDevices sur $false. |
Pour en savoir plus, voir Stratégies de boîte aux lettres d'appareil mobile.
Activation d’IRM dans Exchange ActiveSync
Pour activer IRM dans Exchange ActiveSync, procédez comme suit :
Ajoutez la boîte aux lettres de fédération (une boîte aux lettres système créée par le programme d'installation d'Exchange 2013 et Exchange 2010) au groupe de super utilisateurs dans AD RMS. Cela permet aux serveurs Exchange 2013 et Exchange 2010 d'accéder aux messages protégés par IRM. Pour plus d'informations, voir Ajouter la boîte aux lettres de fédération au groupe de super utilisateurs AD RMS.
Utilisez la cmdlet Set-IRMConfiguration dans l'environnement de ligne de commande Exchange Management Shell pour activer IRM sur le serveur d'accès au client. Cela active irm dans Exchange ActiveSync et IRM dans Microsoft Office Outlook Web App pour votre organisation. Pour plus d'informations, voir Activer ou désactiver la gestion des droits relatifs à l'information (IRM) sur les serveurs d'accès au client.