Information Rights Management en Exchange ActiveSync
Se aplica a: Exchange Server 2013
Con frecuencia, los trabajadores de información usan el correo electrónico para intercambiar información confidencial. Para garantizar la seguridad de esta información, una organización puede usar Information Rights Management (IRM) para aplicar protección persistente al contenido de los mensajes. Debido a que los dispositivos móviles se usan cada vez más para obtener acceso al correo electrónico, es importante que los usuarios de dispositivos móviles puedan crear y consumir contenido protegido por IRM.
Protección IRM móvil en Exchange 2013
En Exchange 2013, IRM en Microsoft Exchange ActiveSync permite que los usuarios accedan a una amplia funcionalidad de IRM en cualquier dispositivo compatible con Exchange ActiveSync, sin que sea necesario configurar permisos AD RMS ni conectar el dispositivo a un equipo y activarlo para IRM. Tampoco es necesario que el dispositivo móvil ejecute Windows. Exchange ActiveSync tiene licencia de Microsoft para fabricantes de dispositivos móviles, fabricantes de equipos originales (OEM) y otros. Para ver una lista de las licencias de Exchange ActiveSync actuales, expanda la sección "Protocolo de Exchange ActiveSync" en la página de Licencias de tecnología de Microsoft.
Mediante el uso de IRM en Exchange ActiveSync, los usuarios de dispositivos móviles pueden:
- Crear mensajes protegidos por IRM.
- Leer mensajes protegidos por IRM.
- Responder y reenviar mensajes protegidos por IRM.
Requisitos
Se aplican los siguientes requisitos:
Los servidores de acceso de cliente de la organización deben ejecutar Exchange 2010 SP1 o posterior.
La organización debe implementar un servidor AD RMS.
Se debe habilitar IRM para los mensajes internos. Es un requisito previo para todas las características de IRM en Exchange 2010. Para obtener detalles, consulte Habilitar o deshabilitar IRM para mensajes internos.
IRM debe estar habilitado en la directiva de buzón de Exchange ActiveSync. Puede habilitar o deshabilitar IRM para diferentes grupos de usuarios mediante diferentes directivas de buzón de Exchange ActiveSync.
Los dispositivos que admiten Exchange ActiveSync versión 14.1 del protocolo pueden admitir IRM en Exchange ActiveSync. La aplicación de correo electrónico móvil en un dispositivo debe ser compatible con la etiqueta RightsManagementInformation definida en el protocolo Exchange ActiveSync versión 14.1.
Seguridad
Al habilitar IRM en Exchange ActiveSync, el servidor de Acceso de cliente descifra mensajes protegidos por IRM antes de ofrecer acceso al dispositivo móvil compatible. Al realizarse la sincronización, los mensajes protegidos por IRM residen en el dispositivo móvil en formato sin cifrar. La aplicación de cliente de correo electrónico compatibles con IRM aplican la protección con IRM en el dispositivo móvil.
IRM de Exchange ActiveSync no descifra los adjuntos protegidos por IRM en el servidor de Acceso de cliente. La aplicación usada para crear o ver el archivo permite el acceso a los archivos protegidos por IRM. Para obtener acceso a archivos de Office protegidos por IRM, los usuarios deben conectar el dispositivo a un equipo y activar Office Mobile con el servidor RMS.
Al habilitar IRM en Exchange ActiveSync, se recomienda usar la configuración de la directiva de Exchange ActiveSync que se muestra en la siguiente tabla como ayuda para proteger los dispositivos móviles.
Configuración de directiva de Exchange ActiveSync
Setting | Configuración con el Asistente para Nueva directiva de buzón de Exchange ActiveSync | Configuración con el cmdlet New-ActiveSyncMailboxPolicy |
---|---|---|
Seleccione a los usuarios que escriban una contraseña para obtener acceso a la información del dispositivo móvil. | Active la casilla Solicitar contraseña. | Establezca el parámetro DevicePasswordEnabled en $true . |
Habilite la codificación en el dispositivo móvil. | Active la casilla Requerir contraseña y, luego, la casilla Requerir cifrado del dispositivo. | Establezca el parámetro RequireDeviceEncryption en $true . Importante: Al establecer el parámetro RequireDeviceEncryption en $true , los dispositivos móviles que no admiten el cifrado de dispositivos no podrán conectarse. |
No permita que los dispositivos móviles no aprovisionables se sincronicen con el servidor Exchange. | Desactive la casilla Permitir dispositivos no aprovisionables. | Establezca el parámetro AllowNonProvisionableDevices en $false . |
Para obtener más información, consulte Directivas de buzón de dispositivo móvil.
Habilitación de IRM en Exchange ActiveSync
Para habilitar IRM en Exchange ActiveSync, realice las siguientes tareas:
Agregue el buzón de correo de federación (un buzón de correo del sistema creado por la configuración de Exchange 2013 y Exchange 2010) al grupo de superusuarios en AD RMS. Esto permite que los servidores Exchange 2013 y Exchange 2010 tengan acceso a mensajes protegidos por IRM. Para obtener detalles, consulte Agregar el buzón de la federación para el grupo de usuarios de AD RMS Super.
Use el cmdelt Set-IRMConfiguration en el Shell de administración de Exchange para habilitar IRM en el servidor Acceso de cliente. Esto habilita IRM en Exchange ActiveSync e IRM en Microsoft Office Outlook Web App para su organización. Para obtener detalles, consulte Habilitar o deshabilitar el servicio Information Rights Management en los servidores de acceso de cliente.