Exchange ActiveSync 信息权限管理
适用于:Exchange Server 2013
信息工作者经常会使用电子邮件交换敏感信息。 为帮助保护此类信息的安全,组织可以使用信息权限管理 (IRM) 对邮件内容应用持久保护。 由于越来越多地使用移动设备访问电子邮件,因此移动设备用户可创建和使用受 IRM 保护的内容,这一点很重要。
Exchange 2013 中的移动 IRM 保护
在 Exchange 2013 中,用户通过 Microsoft Exchange ActiveSync 中的 IRM 可在任何受支持的 Exchange ActiveSync 设备上访问丰富 IRM 功能,而不必配置 AD RMS 权限或将设备连接到计算机并对其激活 IRM。 此外,移动设备不需要运行 Windows。 Microsoft 向移动设备制造商、原始设备制造商 (OEM) 和其他厂商颁发 Exchange ActiveSync 许可证。 有关当前 Exchange ActiveSync 许可证持有人的列表,请展开 Microsoft 技术许可 页面上的"Exchange ActiveSync 协议"部分。
使用 Exchange ActiveSync 中的 IRM,移动设备用户可以:
- 创建受 IRM 保护的邮件。
- 阅读受 IRM 保护的邮件。
- 回复和转发受 IRM 保护的邮件。
要求
适用下列要求:
组织中的客户端访问服务器必须运行 Exchange 2010 SP1 或更高版本。
必须在组织中部署 AD RMS 服务器。
必须对内部邮件启用 IRM。 这是 Exchange 2010 中所有 IRM 功能的先决条件。 有关详细信息,请参阅对内部邮件启用或禁用 IRM。
必须在 Exchange ActiveSync 邮箱策略中启用 IRM。 可使用不同的 Exchange ActiveSync 邮箱策略对不同用户组启用或禁用 IRM。
支持 Exchange ActiveSync 协议版本 14.1 的设备可以在 Exchange ActiveSync 中支持 IRM。 设备的移动电子邮件应用程序必须支持 Exchange ActiveSync 版本 14.1 中定义的 RightsManagementInformation 标记。
安全性
在 Exchange ActiveSync 中启用 IRM 时,客户端访问服务器将受 IRM 保护的邮件解密,然后再提供这些邮件供支持的移动设备访问。 进行同步后,受 IRM 保护的邮件以不加密格式位于移动设备上。 移动设备上具有 IRM 功能的电子邮件客户端应用程序实施 IRM 保护。
Exchange ActiveSync 中的 IRM 不会将客户端访问服务器上受 IRM 保护的附件解密。 用于创建或查看文件的的应用程序强制访问受 IRM 保护的文件。 要访问受 IRM 保护的 Office 文件,用户必须将设备连接到计算机,然后用 RMS 服务器激活 Office Mobile。
启用 Exchange ActiveSync 中的 IRM 时,建议使用下表中显示的 Exchange ActiveSync 策略设置帮助保护移动设备。
Exchange ActiveSync 策略设置
| Setting | 使用新 Exchange ActiveSync 邮箱策略向导进行配置 | 使用 New-ActiveSyncMailboxPolicy cmdlet 进行配置 |
|---|---|---|
| 要求用户输入密码才能访问其移动设备上的信息。 | Select the Require password check box. | 将 DevicePasswordEnabled 参数设置为 $true。 |
| 对移动设备启用加密。 | Select the Require password check box, and then select the Require encryption on device check box. | 将 RequireDeviceEncryption 参数设置为 $true。 重要提示:将 RequireDeviceEncryption 参数设置为 $true时,不支持设备加密的移动设备将无法连接。 |
| 不允许不可设置的设备与 Exchange 服务器进行同步。 | Clear the Allow non-provisionable devices check box. | 将 AllowNonProvisionableDevices 参数设置为 $false。 |
若要了解详细信息,请参阅移动设备邮箱策略。
启用 Exchange ActiveSync 中的 IRM
要启用 Exchange ActiveSync 中的 IRM,请执行以下任务:
将联合邮箱(Exchange 2013 和 Exchange 2010 安装程序创建的一个系统邮箱)添加到 AD RMS 中的超级用户组。 这样,Exchange 2013 和 Exchange 2010 服务器便可以访问受 IRM 保护的邮件。 有关详细信息,请参阅将联合身份验证邮箱添加到 AD RMS 超级用户组。
使用 Exchange 命令行管理程序中的 Set-IRMConfiguration cmdlet 在客户端访问服务器上启用 IRM。 这将为组织启用 Exchange ActiveSync 中的 IRM 和 Microsoft Office Outlook Web App中的 IRM。 有关详细信息,请参阅 启用或禁用客户端访问服务器上的信息权限管理。