Общие сведения об управлении правами на доступ к данным в гибридных развертываниях Exchange 2010
Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Последнее изменение раздела: 2016-11-28
Управление правами на доступ к данным (IRM) обеспечивает защиту от утечки конфиденциальной информации благодаря постоянной защите сообщений электронной почты и вложений в оперативном и автономном режимах. Как Exchange 2010 в данной локальной организации, так и Exchange Online в пакете Office 365 для предприятий поддерживают службу IRM. Однако существуют различия между двумя реализациями, поэтому необходимо настроить службу IRM в организации Exchange Online, прежде чем пользователи этой организации смогут ее использовать.
В службе IRM используется служба управления правами Служба каталогов Active Directory (AD RMS), являющаяся компонентом Windows Server 2008 R2. Служба AD RMS позволяет пользователям создавать содержимое с защищенными правами на доступ, например сообщения электронной почты и приложения, а затем контролировать, как это содержимое используется и кому может доставляться. Пользователи могут указывать шаблоны и определять способ использования содержимого. Например, пользователь может указать, что сообщение электронной почты не может быть переадресовано другим получателям или что информация в сообщении не может быть скопирована.
Дополнительные сведения о службе IRM см. в Exchange 2010 в разделе: Общие сведения об управлении правами на доступ к данным
Дополнительные сведения о службе AD RMS см. в разделе: Обзор службы управления правами Active Directory
Дополнительные сведения о настройке службы IRM см. в разделе: Настройка управления правами на доступ к данным в гибридных развертываниях Exchange 2010
IRM в гибридных развертываниях
Система Exchange использует серверы AD RMS в лесу Служба каталогов Active Directory, в котором установлен сервер Exchange. Для локальных серверов Exchange 2010 используется локальный сервер AD RMS. Для организации Exchange Online используются серверы AD RMS, поддерживаемые в центрах обработки данных Microsoft Office 365. Конфигурация службы управления правами Active Directory, используемая каждой организацией Exchange, не зависит от другого развертывания службы AD RMS.
Конфигурация службы управления правами Active Directory и, следовательно, конфигурация службы IRM не реплицируется автоматически между локальной организацией Exchange и организацией Exchange Online. Шаблоны службы AD RMS, которые были определены, не копируются автоматически в организацию Exchange Online. Если требуется наличие тех же шаблонов AD RMS в организации Exchange Online, необходимо вручную экспортировать их из локальной организации и применить их к облачной организации. См. раздел Конфигурация IRM в гибридных развертываниях далее в этой главе.
Удобство пользователя
Конфигурация службы IRM, применяемая к пользователю, зависит от используемого клиента и расположения почтового ящика пользователя. В следующей таблице показан сервер AD RMS, с которым будет работать пользователь.
Активный сервер AD RMS
| Клиент | Локальный почтовый ящик | Облачный почтовый ящик |
|---|---|---|
Outlook 2007 или Outlook 2010 |
Локальная служба AD RMS |
Локальная служба AD RMS |
Outlook Web App |
Локальная служба AD RMS |
Служба AD RMS Exchange Online |
Устройство ActiveSync |
Локальная служба AD RMS |
Служба AD RMS Exchange Online |
В зависимости от конфигурации службы управления правами Active Directory, настроенной в локальной организации и организации Exchange Online, пользователь, работающий с приложениями Outlook 2007 и Outlook Web App, может видеть различные шаблоны службы AD RMS. По этой причине настоятельно рекомендуется применять одни и те же шаблоны как к локальной организации, так и к организации Exchange Online.
Не должно быть различий в удобстве работы со службой IRM для пользователей клиента Outlook, независимо от того, находится ли их почтовый ящик в локальной организации или организации Exchange Online.
Пользователь Outlook Web App, чей ящик находится на сервере Exchange 2010, может открывать сообщения с защищенными правами на доступ только после установки надстройки управления правами для Internet Explorer. Эти пользователи не могут создавать сообщения такого типа или отвечать на них.
Пользователь Outlook Web App, чей почтовый ящик находится в Exchange Online, может открывать сообщения с защищенными правами на доступ без дополнительного программного обеспечения, а также создавать новые сообщения подобного типа и отвечать на них.
Функции сервера
На локальных серверах Exchange 2010 используется агент предварительного лицензирования службы управления правами Active Directory для расшифровки сообщений с защищенными правами на доступ, таким образом, пользователям не требуется предоставлять учетные данные при открытии этих сообщений. Локальный сервер Exchange 2010 связывается с локальным сервером AD RMS для проверки политик и прав пользователя и для запроса авторизации на расшифровку сообщения.
Организация Exchange Online предоставляет несколько дополнительных связанных со службой IRM функций для использования службы управления правами Active Directory Exchange Online. Эти функции, такие как расшифровка отчетов журнала, делают содержимое сообщений с защищенными правами на доступ открытым для служб Exchange для дополнительной обработки. Например, расшифрованное содержимое занесенного в журнал сообщения можно сохранить, наряду с первоначальным сообщением с защищенными правами на доступ, для более простого обнаружения. Кроме того, шаблоны IRM могут быть автоматически применены к сообщениям с помощью правил защиты Outlook или правил транспорта для соответствия сообщений политикам организации по защите данных.
Конфигурация IRM в гибридных развертываниях
Служба IRM в системе Exchange основана на службе управления правами Active Directory, развернутой в лесу Служба каталогов Active Directory, в котором находится сервер Exchange. Конфигурация службы управления правами Active Directory не синхронизируется автоматически между локальной организацией и организацией Exchange Online. Необходимо вручную экспортировать конфигурацию службы управления правами Active Directory, известную как доверенный домен публикации (TPD), с локального сервера AD RMS, и импортировать эту конфигурацию в организацию Exchange Online. Доверенный домен публикации содержит конфигурацию службы управления правами Active Directory, в том числе шаблоны, необходимые организации Exchange Online для использования службы IRM.
Дополнительные сведения см. в разделе Особенности доверенного домена публикации службы управления правами Active Directory
Помимо применения конфигурации локальной службы управления правами Active Directory к организации Exchange Online, необходимо убедиться, что с серверами AD RMS могут связаться клиенты Outlook и ActiveSync за пределами локальной сети. Это необходимо, чтобы эти клиенты могли получать доступ к сообщениям с защищенными правами на доступ за пределами локальной сети.
После настройки локальной сети и экспорта данных доверенного домена публикации необходимо настроить организацию Exchange Online путем импорта данных этого домена и включения службы IRM.
.gif "Примечание") Примечание. |
|---|
| Каждый раз при изменении конфигурации локальной службы управления правами Active Directory необходимо вручную применять новую конфигурацию к организации Exchange Online. Для этого необходимо выполнить экспорт данных доверенного сервера публикации с локального сервера AD RMS и импортировать их в организацию Exchange Online. |
Дополнительные сведения см. в разделе Настройка управления правами на доступ к данным в гибридных развертываниях Exchange 2010
© Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.