Concetti relativi a IRM nelle distribuzioni ibride di Exchange 2010
Si applica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Ultima modifica dell'argomento: 2016-11-28
Information Rights Management (IRM) consente di evitare la fuga di informazioni riservate fornendo una protezione continua online e offline dei messaggi di posta elettronica e relativi allegati. IRM è supportato sia da Exchange 2010 nell'organizzazione locale sia da Exchange Online in Office 365 for Enterprises. Tuttavia, esistono delle differenze tra le due implementazioni ed è necessario configurare IRM nell'organizzazione di Exchange Online prima che gli utenti dell'organizzazione possano utilizzarlo.
IRM utilizza Active Directory Rights Management Services (AD RMS), che è un componente di Windows Server 2008 R2. AD RMS consente agli utenti di creare contenuto protetto da diritti, come ad esempio messaggi di posta elettronica e allegati, e quindi definire come tale contenuto può essere utilizzato e a chi viene distribuito. Gli utenti possono specificare dei modelli che determinano come il contenuto può essere utilizzato. Ad esempio, un utente può specificare che un determinato massaggio di posta elettronica non può essere inviato ad altri destinatari e che le informazioni di quel messaggio non possono essere copiate.
Ulteriori informazioni su IRM sono disponibili in Exchange 2010 nell'argomento: Informazioni su Information Rights Management
Ulteriori informazioni su AD RMS sono disponibili nell'argomento: Panoramica di Active Directory Rights Management Services
Ulteriori informazioni sulla configurazione di IRM sono disponibili nell'argomento: Configurazione di IRM nelle distribuzioni ibride di Exchange 2010
IRM nelle distribuzioni ibride
Exchange utilizza AD RMS nella foresta Active Directory nella quale è installato il server Exchange. Per i server Exchange 2010 locali, viene utilizzato il server AD RMS locale. Per l'organizzazione di Exchange Online vengono utilizzati i server AD RMS gestiti nell'ambito dei datacenter Microsoft Office 365. La configurazione di AD RMS utilizzata da ciascuna organizzazione Exchange è indipendente da ogni altra distribuzione di AD RMS.
La configurazione di AD RMS, e pertanto anche la configurazione di IRM, non viene automaticamente replicata tra l'organizzazione di Exchange locale e l'organizzazione di Exchange Online. Gli eventuali modelli AD RMS definiti non vengono automaticamente copiati nell'organizzazione di Exchange Online. Se si desidera che gli stessi modelli AD RMS siano disponibili anche nell'organizzazione di Exchange Online, è necessario esportarli manualmente dall'organizzazione locale e applicarli all'organizzazione basata su cloud. Vedere la sezione Configurazione di IRM nelle distribuzioni ibride più avanti in questo argomento.
Prestazioni
La configurazione di IRM che viene applicata a un utente dipende dal client utilizzato dall'utente e dal percorso della sua cassetta postale. La tabella che segue riporta il server AD RMS che verrà utilizzato da un utente.
Server AD RMS attivo
| Client | Cassetta postale locale | Cassetta postale basata su cloud |
|---|---|---|
Outlook 2007 oppure Outlook 2010 |
AD RMS locale |
AD RMS locale |
Outlook Web App |
AD RMS locale |
AD RMS di Exchange Online |
Dispositivo ActiveSync |
AD RMS locale |
AD RMS di Exchange Online |
È possibile che, a seconda della configurazione di AD RMS applicata alle organizzazioni locale e di Exchange Online, un utente che utilizza Outlook 2007 e Outlook Web App possa vedere modelli AD RMS differenti. Per questo motivo, si consiglia caldamente di applicare gli stessi modelli a entrambe le organizzazioni locale e di Exchange Online.
Non dovrebbe esserci differenze nell'esperienza IRM per gli utenti dei client Outlook, a prescindere che la loro cassetta postale si trovi nell'organizzazione locale o in quella di Exchange Online.
Un utente di Outlook Web App la cui cassetta postale si trova su un server di Exchange 2010 sarà in grado di aprire i messaggi protetti da diritti soltanto dopo aver installato il componente aggiuntivo Rights Management per Internet Explorer. L'utente non potrà comunque rispondere ai messaggi o creare nuovi messaggi protetti da diritti.
Un utente di Outlook Web App la cui cassetta postale si trova in Exchange Online potrà aprire i messaggi protetti da diritti senza dover installare alcun software aggiuntivo; potrà inoltre rispondere ai messaggi e creare nuovi messaggi protetti da diritti.
Funzionalità del server
I server Exchange 2010 locali utilizzano l'agente di prelicenza AD RMS per decrittografare i messaggi protetti da diritti, in modo tale che gli utenti non debbano fornire credenziali per aprire quei messaggi. Il server Exchange 2010 locale contatta il server AD RMS locale per verificare i criteri e diritti di utilizzo e per richiedere l'autorizzazione a decrittografare il messaggio.
L'organizzazione di Exchange Online fornisce diverse funzionalità IRM aggiuntive che utilizzano AD RMS di Exchange Online. Queste funzionalità, come la decrittografia dei report del journal, rendono il contenuto dei messaggi protetti da diritti disponibile per ulteriori elaborazioni da parte dei servizi Exchange. Ad esempio, il contenuto decrittografato di un messaggio inserito nel journal può essere salvato, insieme al messaggio protetto da diritti originale, per agevolare le attività di individuazione. Inoltre, i modelli IRM possono essere automaticamente applicati ai messaggi utilizzando le regole di protezione o le regole di trasporto di Outlook per garantire che i messaggi siano conformi ai criteri di protezione delle informazioni applicati dall'organizzazione.
Configurazione di IRM nelle distribuzioni ibride
IRM in Exchange richiede che AD RMS sia distribuito nella foresta di Active Directory nella quale risiede il server Exchange. La configurazione di AD RMS non viene automaticamente sincronizzata tra l'organizzazione locale e l'organizzazione di Exchange Online. È necessario esportare manualmente la configurazione AD RMS, nota come dominio di pubblicazione trusted, dal server AD RMS locale e importarla nell'organizzazione di Exchange Online. Il dominio di pubblicazione trusted contiene la configurazione di AD RMS, inclusi i modelli, necessaria all'organizzazione di Exchange Online per utilizzare IRM.
Per ulteriori informazioni, vedere: Considerazioni sul dominio di pubblicazione trusted AD RMS
Oltre ad applicare la configurazione AD RMS locale all'organizzazione di Exchange Online, è necessario verificare che i server AD RMS possano essere contattati dai client Outlook e ActiveSync all'esterno della rete locale. Ciò è necessario se si desidera che questi client possano accedere ai messaggi protetti da diritti all'esterno della rete locale.
Una volta configurata la rete locale ed esportati i dati del dominio di pubblicazione trusted, occorre configurare l'organizzazione di Exchange Online importando i dati del dominio di pubblicazione trusted e abilitando IRM.
Nota
Ogni volta che si modifica la configurazione AD RMS locale, è necessario applicare manualmente la nuova configurazione all'organizzazione di Exchange Online. Per eseguire questa operazione, esportare i dati del dominio di pubblicazione trusted dal server AD RMS locale e importarli nell'organizzazione di Exchange.
Per ulteriori informazioni, vedere: Configurazione di IRM nelle distribuzioni ibride di Exchange 2010
©2010 Microsoft Corporation. Tutti i diritti riservati.