Поделиться через


Управление правами на доступ к данным в Exchange ActiveSync

Область применения: Exchange Server 2013 г.

Специалисты по обработке данных часто используют электронную почту для обмена конфиденциальными сведениями. С целью защиты таких данных в организациях может использоваться управление правами на доступ к данным (IRM) для применения постоянной защиты к содержимому сообщений. Поскольку популярность мобильных устройств для доступа к электронной почте непрерывно растет, важным условием для их пользователей является возможность создания и работы с содержимым, защищенным с помощью функции управления правами на доступ к данным.

Защита мобильных IRM в Exchange 2013

В Exchange 2013 IRM в Microsoft Exchange ActiveSync позволяет пользователям получать доступ к расширенным функциям IRM на любом поддерживаемом Exchange ActiveSync устройстве без необходимости настраивать разрешения AD RMS или подключать устройство к компьютеру и активировать его для IRM. Кроме того, мобильное устройство не обязательно должно работать под управлением Windows. Exchange ActiveSync лицензируется корпорацией Майкрософт для производителей мобильных устройств, изготовителей оборудования (OEM) и других. Чтобы получить список текущих Exchange ActiveSync лицензий, разверните раздел "протокол Exchange ActiveSync" на странице Лицензирование технологий Майкрософт.

С помощью управления правами на доступ к данным в службе Exchange ActiveSync пользователи мобильных устройств могут:

  • создавать сообщения с защитой IRM;
  • читать сообщения с защитой IRM;
  • отвечать и пересылать сообщения с защитой IRM.

Требования

Применяются следующие требования.

  • На серверы клиентского доступа в организации следует установить Exchange 2010 с пакетом обновления 1 (SP1) или более новой версии.

  • В организации необходимо развернуть сервер AD RMS.

  • Для внутренних сообщений необходимо включить управление правами на доступ к данным. Это необходимое условие для всех функций IRM в Exchange 2010. Дополнительные сведения см. в разделе Enable or Disable IRM for Internal Messages.

  • В политике почтовых ящиков Exchange ActiveSync необходимо включить функцию IRM. Включить или отключить функцию IRM для различных групп пользователей можно с помощью разных политик почтовых ящиков Exchange ActiveSync.

  • Устройства, поддерживающие протокол Exchange ActiveSync версии 14.1, могут поддерживать IRM в Exchange ActiveSync. Почтовое приложение на мобильном устройстве должно поддерживать тег RightsManagementInformation, определенный в протоколе Exchange ActiveSync версии 14.1.

Безопасность

При включении службы управления правами на доступ к данным (IRM) в службе Exchange ActiveSync сервер клиентского доступа расшифровывает сообщения с защитой IRM, после чего предоставляет к ним доступ с поддерживаемого мобильного устройства. После синхронизации сообщения с защитой IRM размещаются на мобильном устройстве в незашифрованном формате. На мобильном устройстве защиту IRM принудительно применяет клиентское почтовое приложение с поддержкой соответствующих функций.

Средство IRM в Exchange ActiveSync не расшифровывает вложения с защитой IRM на сервере клиентского доступа. Доступ к файлам с защитой IRM предоставляется приложением, которое использовалось для их создания или просмотра. Для доступа к файлам Office с защитой IRM пользователям необходимо подключить устройство к компьютеру и активировать Office Mobile на сервере RMS.

Чтобы обеспечить безопасность мобильных устройств, при включении функций управления правами на доступ к данным в службе Exchange ActiveSync рекомендуется использовать параметры политики Exchange ActiveSync, перечисленные в следующей таблице.

Параметры политики Exchange ActiveSync

Setting Настройка с помощью мастера создания политик почтовых ящиков Exchange ActiveSync Настройка с помощью командлета New-ActiveSyncMailboxPolicy
Требовать, чтобы пользователь вводил пароль для доступа к информации на своем мобильном устройстве. Установите флажок Требовать пароль. Задайте для параметра DevicePasswordEnabled значение $true.
Включить шифрование на мобильном устройстве. Последовательно установите флажки Требовать пароль и Требовать шифрование на устройстве. Задайте для параметра RequireDeviceEncryption значение $true.

Важно! Если для параметра RequireDeviceEncryption задано значение $true, мобильные устройства, которые не поддерживают шифрование устройств, не смогут подключиться.
Запретить неинициализируемым мобильным устройствам синхронизироваться с сервером Exchange. Снимите флажок Разрешить неинициализируемые устройства. Задайте для параметра AllowNonProvisionableDevices значение $false.

Дополнительные сведения см. в разделе Политики почтовых ящиков мобильных устройств.

Включение функции IRM в службе Exchange ActiveSync

Чтобы включить функцию управления правами на доступ к данным (IRM) в службе Exchange ActiveSync, выполните следующие действия.

  1. Добавьте почтовый ящик федерации (системный почтовый ящик, созданный exchange 2013 и программой установки Exchange 2010) в группу суперпользователей в AD RMS. Это позволяет серверам Exchange 2013 и Exchange 2010 получать доступ к сообщениям, защищенным IRM. Дополнительные сведения см. в разделе Добавление федеративного почтового ящика в группу суперпользователей службы управления правами Active Directory.

  2. Используйте командлет Set-IRMConfiguration в командной консоли Exchange, чтобы включить IRM на сервере клиентского доступа. Это позволяет использовать IRM в Exchange ActiveSync и IRM в Microsoft Office Outlook Web App для вашей организации. Дополнительные сведения см. в разделе Включение или отключение управления правами на доступ к данным на серверах клиентского доступа.