Управление правами на доступ к данным в Exchange ActiveSync

 

Применимо к:Exchange Server 2013

Последнее изменение раздела:2016-12-09

Специалисты по обработке данных часто используют электронную почту для обмена конфиденциальными сведениями. С целью защиты таких данных в организациях может использоваться управление правами на доступ к данным (IRM) для применения постоянной защиты к содержимому сообщений. Поскольку популярность мобильных устройств для доступа к электронной почте непрерывно растет, важным условием для их пользователей является возможность создания и работы с содержимым, защищенным с помощью функции управления правами на доступ к данным.

Содержание

Защита мобильных IRM в Exchange 2013

Требования

Безопасность

Включение функции IRM в службе Exchange ActiveSync

Необходимы сведения о задачах управления, связанных с функцией IRM? См. раздел Сведения о процедуры управления правами.

Средство управления правами на доступ к данным (IRM) в Microsoft Exchange ActiveSync позволяет пользоваться функциями IRM на любом поддерживаемом устройстве Exchange ActiveSync, не настраивая разрешения AD RMS и не подключая устройство к компьютеру для активации. Кроме того, мобильное устройство необязательно должно работать под управлением Windows. Exchange ActiveSync используется изготовителями мобильных устройств и оборудования по лицензии корпорации Майкрософт. Список текущих лицензиатов Exchange ActiveSync см. в разделе "Exchange ActiveSync Protocol" на странице Microsoft Technology Licensing.

С помощью управления правами на доступ к данным в службе Exchange ActiveSync пользователи мобильных устройств могут:

  • создавать сообщения с защитой IRM;

  • читать сообщения с защитой IRM;

  • отвечать и пересылать сообщения с защитой IRM.

Защита мобильных IRM в Exchange 2013

Применяются следующие требования.

  • На серверы клиентского доступа в организации следует установить Exchange 2010 с пакетом обновления 1 (SP1) или более новой версии.

  • В организации необходимо развернуть сервер AD RMS.

  • Для внутренних сообщений необходимо включить управление правами на доступ к данным. Это необходимое условие для всех функций IRM в системе Exchange 2010. Дополнительные сведения см. в разделе Включение или отключение управления правами на доступ к данным для внутренних сообщений.

  • В политике почтовых ящиков Exchange ActiveSync необходимо включить функцию IRM. Включить или отключить функцию IRM для различных групп пользователей можно с помощью разных политик почтовых ящиков Exchange ActiveSync.

  • Устройства, работающие с протоколом Exchange ActiveSync версии 14.1, в том числе телефоны под управлением ОС Windows, могут поддерживать управление правами на доступ к данным в службе Exchange ActiveSync. Почтовое приложение на мобильном устройстве должно поддерживать тег RightsManagementInformation, определенный в протоколе Exchange ActiveSync версии 14.1.

Защита мобильных IRM в Exchange 2013

При включении службы управления правами на доступ к данным (IRM) в службе Exchange ActiveSync сервер клиентского доступа расшифровывает сообщения с защитой IRM, после чего предоставляет к ним доступ с поддерживаемого мобильного устройства. После синхронизации сообщения с защитой IRM размещаются на мобильном устройстве в незашифрованном формате. На мобильном устройстве защиту IRM принудительно применяет клиентское почтовое приложение с поддержкой соответствующих функций.

Средство IRM в Exchange ActiveSync не расшифровывает вложения с защитой IRM на сервере клиентского доступа. Доступ к файлам с защитой IRM предоставляется приложением, которое использовалось для их создания или просмотра. Например, на телефоне с Windows защиту IRM для файлов Microsoft Office предоставляет пакет Microsoft Office Mobile. Для доступа к файлам Office с защитой IRM пользователям необходимо подключить устройство к компьютеру и активировать Office Mobile на сервере RMS.

Чтобы обеспечить безопасность мобильных устройств, при включении функций управления правами на доступ к данным в службе Exchange ActiveSync рекомендуется использовать параметры политики Exchange ActiveSync, перечисленные в следующей таблице.

Параметры политики Exchange ActiveSync

Параметр Настройка с помощью мастера создания политик почтовых ящиков Exchange ActiveSync Настройка с помощью командлета New-ActiveSyncMailboxPolicy

Требовать, чтобы пользователь вводил пароль для доступа к информации на своем мобильном устройстве.

Установите флажок Требовать пароль.

Задайте для параметра DevicePasswordEnabled значение $true.

Включить шифрование на мобильном устройстве.

Последовательно установите флажки Требовать пароль и Требовать шифрование на устройстве.

Задайте для параметра RequireDeviceEncryption значение $true.

ВажноВажно!
При настройке параметра RequireDeviceEncryption со значением $true подключение мобильных устройств, не поддерживающих шифрование данных, будет невозможно.

Запретить неинициализируемым мобильным устройствам синхронизироваться с сервером Exchange.

Снимите флажок Разрешить неинициализируемые устройства.

Задайте для параметра AllowNonProvisionableDevices значение $false.

Дополнительные сведения см. в разделе Политики почтовых ящиков мобильных устройств.

Защита мобильных IRM в Exchange 2013

Чтобы включить функцию управления правами на доступ к данным (IRM) в службе Exchange ActiveSync, выполните следующие действия.

  1. Добавьте федеративный почтовый ящик (системный почтовый ящик, созданный программой установки Exchange 2013 и Exchange 2010) в группу суперпользователей в службе AD RMS. Это позволяет серверам Exchange 2013 и Exchange 2010 получать доступ к сообщениям с защитой IRM. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.

  2. С помощью командлета Set-IRMConfiguration в командной консоли Exchange включите функцию IRM на сервере клиентского доступа. Таким способом функции IRM включаются в службе Exchange ActiveSync и в приложении Microsoft OfficeOutlook Web App для имеющейся организации. Дополнительные сведения см. в разделе Включение и отключение управления правами на доступ к данным на серверах клиентского доступа.

Защита мобильных IRM в Exchange 2013

 
Показ: