правила защиты Outlook.

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2016-12-09

Каждый день работники информационной сферы обмениваются конфиденциальными сведениями по электронной почте: финансовые отчеты и данные, сведения о покупателях и сотрудниках, конфиденциальные сведения о продуктах и их характеристики. В Microsoft Exchange Server 2013, Microsoft Outlook и Microsoft OfficeOutlook Web App пользователи могут защищать сообщения электронной почты с помощью управления правами на доступ к данным путем применения шаблона политики прав службы управления правами Active Directory (AD RMS). Для использования данной возможности в организации должна быть развернута служба управления правами Active Directory. Дополнительные сведения о службе управления правами Active Directory см. на веб-странице Служба управления правами Active Directory.

Однако если оставить вопрос применения защиты на усмотрение пользователей, существует большая вероятность, что сообщения будут отправляться в незашифрованном виде без применения защиты с использованием управления правами на доступ к данным. В организациях, использующих электронную почту в виде службы, размещенной на веб-сайте поставщика услуг, существует риск утечки информации, поскольку после отправки сообщения его маршрутизация и хранение осуществляется вне организации. Несмотря на наличие у поставщиков служб электронной почты четко описанных процедур и проверок, направленных на снижение риска утечки информации, после того, как сообщение покидает пределы организации, последняя полностью теряет контроль над информацией. Правила защиты Outlook позволяют защитить организацию от этого типа утечки информации.

Для задач управления, связанных со службой управления правами на доступ к данным, см. раздел Сведения о процедуры управления правами.

В Exchange 2013 правила защиты Outlook помогают организации защититься от риска утечки информации путем автоматического применения защиты с использованием управления правами на доступ к данным к сообщениям, отправляемым с помощью Exchange 2013. Защита с использованием управления правами на доступ к данным применяется к сообщениям до того, как они покидают клиента Outlook. Этот механизм защиты также применяется ко всем вложениям, использующим поддерживаемые форматы файлов.

После создания правил защиты Outlook на сервере Exchange 2013 правила автоматически распространяются клиентам Outlook 2010 с помощью веб-служб Exchange. Чтобы клиент Outlook 2010 мог применить правило, указанный шаблон политики прав службы управления правами Active Directory должен быть доступен на компьютерах пользователей.

ВажноВажно!
Если шаблон политики прав удален с сервера службы управления правами Active Directory, необходимо изменить все правила защиты Outlook, использующие удаленный шаблон. Если правило защиты Outlook продолжает использовать удаленный шаблон политики прав и в организации включена расшифровка транспорта, агент расшифровки не сможет расшифровать сообщение, защищенное с помощью этого шаблона. Если транспортная расшифровка указана как обязательная, служба передачи отклоняет сообщение и отправляет отправителю отчет о недоставке. Дополнительные сведения о расшифровке транспорта см. в разделе Расшифровка транспорта. Дополнительные сведения о шаблонах политики прав службы управления правами Active Directory см. в разделе Рекомендации касательно шаблона политики прав службы управления правами Active Directory.
В Windows Server 2008 и более поздней версии вместо удаления шаблоны политики прав можно архивировать. Архивированные шаблоны можно по-прежнему использовать для лицензирования содержимого, однако при создании или изменении правила защиты Outlook архивированные шаблоны не добавляются в список шаблонов.

Правила защиты Outlook похожи на правила защиты транспорта. Оба типа правил применяются исходя из условий сообщения и защищают сообщения путем применения шаблона политики прав службы управления правами Active Directory. Однако, агент правил транспорта применяет правила защиты транспорта в службе передачи на сервере почтовых ящиков. Правила защиты приложения Outlook применяются в приложении Outlook 2010 перед тем, как сообщение отправлено с компьютера пользователя. Сообщения, к которым применено правило защиты Outlook, поступают в транспортный конвейер с уже примененной защитой с использованием управления правами на доступ к данным. Кроме того, сообщения, защищенные с помощью правила защиты Outlook, также сохраняются в зашифрованном виде в папке «Отправленные» почтового ящика отправителя.

ПримечаниеПримечание.
Если расшифровка транспорта включена в вашей организации Exchange, сообщения, защищенные с использованием управления правами на доступ к данным правилом защиты Outlook с помощью сервера службы управления правами Active Directory в организации, могут быть расшифрованы агентом расшифровки службы передачи. Содержимое сообщения может быть проверено агентом правил транспорта и другими агентами транспорта, установленными на службе передачи. Дополнительные сведения о расшифровке транспорта см. в разделе Расшифровка транспорта.

При использовании правил защиты транспорта у пользователей отсутствует индикатор, показывающий, будет ли сообщение автоматически защищено на службе передачи. Если в Outlook к сообщению применяется правило защиты Outlook 2010, пользователи заранее знают, будет ли сообщение защищено с использованием управления правами на доступ к данным. При необходимости пользователи также могут выбирать другой шаблон политики прав.

Для создания правил защиты Outlook используется командлет New-OutlookProtectionRule в командной консоли Exchange. Подробные инструкции см. в разделе Создание правила защиты Outlook.

При создании правила можно указать, может ли пользователь переопределять правило путем удаления защиты с использованием управления правами на доступ к данным или путем применения шаблона политики прав службы управления правами Active Directory, отличающегося от указанного в правиле. Если пользователь переопределяет защиту с использованием управления правами на доступ к данным, примененную правилом защиты Outlook, Outlook 2010 вставляет в сообщение заголовок X-MS-Outlook-Client-Rule-Overridden, который позволяет определить, было ли переопределено правило пользователем.

Правила защиты Outlook позволяют использовать три предиката для автоматического применения защиты с использованием управления правами на доступ к данным в Outlook 2010:

  • FromDepartment.   Предикат FromDepartment выполняет поиск атрибута отдела отправителя в Active Directory и автоматически применяет к сообщению защиту с использованием управления правами на доступ к данным, если отдел отправителя совпадает с отделом, указанным в правиле. Например, можно создать правило защиты Outlook, предназначенное для автоматической защиты всех сообщений, отправляемых отделом исследований.

  • SentTo.   В организации может потребоваться защищать сообщения, отправляемые некоторым конфиденциальным получателям, например группам рассылки «Вся организация» или «Финансовый отдел». С помощью предиката SentTo можно создать правило защиты Outlook, предназначенное для автоматической защиты с использованием управления правами на доступ к данным сообщений, отправляемых указанным получателям.

  • SentToScope.   С помощью предиката SentToScope можно создать правило защиты Outlook, предназначенное для автоматической защиты с использованием управления правами на доступ к данным сообщений, отправляемых получателям внутри или вне организации. Например, можно использовать предикат SentToScope с предикатом FromDepartment для защиты с использованием управления правами на доступ к данным сообщений, отправляемых некоторым отделом внутренним пользователям.

 
Показ: