Exchange ActiveSync での Information Rights Management
製品: Exchange Server 2013
インフォメーション ワーカーは、電子メールを使用して機密情報を頻繁にやり取りします。 この情報をセキュリティ保護するため、組織は Information Rights Management (IRM) を使用して、メッセージング コンテンツに強力な保護を適用できます。 電子メールへのアクセスにモバイル デバイスが使用される機会が多くなっているため、モバイル デバイスのユーザーが IRM 保護コンテンツを作成して使用できることが重要です。
Exchange 2013 におけるモバイル IRM 保護
Exchange 2013 では、Microsoft Exchange ActiveSync の IRM により、AD RMS のアクセス許可を構成したり、コンピューターにデバイスを接続してデバイスの IRM を有効にする必要なしに、サポートされる Exchange ActiveSync デバイスで豊富な IRM 機能にアクセスできます。 また、モバイル デバイスは Windows を実行している必要はありません。 Exchange ActiveSync はマイクロソフトにより、モバイル デバイス製造業者、相手先ブランド供給 (OEM) などにライセンスされています。 現在の Exchange ActiveSync ライセンシーの一覧については、「Microsoft Technology Licensing」ページの「Exchange ActiveSync プロトコル」セクションを展開して、ご参照ください。
Exchange ActiveSync で IRM を使用することにより、モバイル デバイスのユーザーは次の操作を実行できます。
- IRM で保護されたメッセージの作成。
- IRM で保護されたメッセージの読み取り。
- IRM で保護されたメッセージの返信と転送。
要件
次の要件が適用されます。
組織内のクライアント アクセス サーバーは Exchange 2010 SP1 以降を実行している必要があります。
組織に AD RMS サーバーを展開する必要があります。
内部メッセージ用に IRM を有効にする必要があります。 これは、Exchange 2010 の IRM 機能すべての前提条件です。 詳細については、「内部メッセージの IRM を有効または無効にする」を参照してください。
Exchange ActiveSync メールボックス ポリシーで IRM を有効にする必要があります。 異なる Exchange ActiveSync メールボックス ポリシーを使用することにより、異なるユーザーの集まりごとに IRM を有効または無効にできます。
Exchange ActiveSync プロトコル バージョン 14.1 をサポートするデバイスは、Exchange ActiveSyncで IRM をサポートできます。 デバイスのモバイル電子メール アプリケーションでは、Exchange ActiveSync プロトコル Version 14.1 で定義される RightsManagementInformation タグがサポートされる必要があります。
セキュリティ
Exchange ActiveSync で IRM を有効にすると、サポートされるモバイル デバイスのアクセスのためにメッセージを提供する前に、クライアント アクセス サーバーが IRM 保護メッセージを復号化します。 同期すると、IRM 保護メッセージはモバイル デバイスに復号化された形式で記録されます。 IRM 保護は、モバイル デバイスの IRM 対応電子メール クライアント アプリケーションにより実行されます。
Exchange ActiveSync の IRM は、クライアント アクセス サーバー上で IRM 保護された添付ファイルを復号化しません。 IRM 保護ファイルへのアクセスは、ファイルの作成または表示に使用されるアプリケーションが実行します。 IRM 保護 Office ファイルにアクセスするには、ユーザーはコンピューターにデバイスを接続して、RMS サーバーで Office Mobile を有効にする必要があります。
Exchange ActiveSync で IRM を有効にするとき、次の表にある Exchange ActiveSync ポリシー設定を使用して、モバイル デバイスをセキュリティ保護することを推奨します。
Exchange ActiveSync ポリシーの設定
| Setting | Exchange ActiveSync メールボックス ポリシーの新規作成ウィザードを使用して構成する | New-ActiveSyncMailboxPolicy コマンドレットを使用して構成する |
|---|---|---|
| ユーザーはモバイル デバイスの情報にアクセスするのに、パスワードを入力する必要がある。 | [パスワードを要求する] チェック ボックスをオンにします。 | DevicePasswordEnabled パラメーターを に$true設定します。 |
| モバイル デバイスの暗号化を有効にする。 | [パスワードを要求する] チェック ボックスをオンにし、[デバイスでの暗号化を要求する] チェックボックスをオンにします。 | RequireDeviceEncryption パラメーターを に$true設定します。 重要: RequireDeviceEncryption パラメーターを に $true設定すると、デバイス暗号化をサポートしていないモバイル デバイスは接続できません。 |
| サポートしていないモバイル デバイスの Exchange サーバーとの同期を禁止する。 | [サポートしていないデバイスのアクセスを許可する] チェックボックスをオフにします。 | AllowNonProvisionableDevices パラメーターを に$false設定します。 |
詳細については、「モバイル デバイス メールボックス ポリシー」を参照してください。
Exchange ActiveSync で IRM を有効にする
Exchange ActiveSync で IRM を有効にするには、以下の操作を実行します。
AD RMS 内のスーパー ユーザー グループにフェデレーション メールボックス (Exchange 2013 および Exchange 2010 セットアップによって作成されるシステム メールボックス) を追加します。 これにより、Exchange 2013 および Exchange 2010 サーバーは IRM で保護されたメッセージにアクセスできるようになります。 詳細については、「フェデレーション メールボックスを AD RMS のスーパー ユーザー グループに追加する」を参照してください。
Exchange 管理シェルで Set-IRMConfiguration コマンドレットを使用して、クライアント アクセス サーバーの IRM を有効にします。 これにより、組織のExchange ActiveSyncの IRM と Microsoft Office Outlook Web Appの IRM が有効になります。 詳細については、「 クライアント アクセス サーバーで Information Rights Management を有効または無効にする」を参照してください。