了解 Exchange ActiveSync 中的資訊版權管理
適用版本: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上次修改主題的時間: 2016-11-28
資訊工作者經常使用電子郵件交換敏感資訊。若要保護此資訊的安全,組織可使用資訊權限管理 (IRM) 對通訊內容進行持續保護。由於有越來越多人會使用行動裝置來存取電子郵件,因此您的行動裝置使用者必須能夠建立及使用 IRM 保護的內容。
目錄
Exchange 2010 RTM 和 Exchange 2010 SP1 之間在行動 IRM 保護上的差異
需求
安全性
在 Exchange ActiveSync 中啟用 IRM
要尋找與 IRM 相關的管理工作嗎?請參閱 管理權限保護。
Exchange 2010 RTM 和 Exchange 2010 SP1 之間在行動 IRM 保護上的差異
若要在 Microsoft Exchange Server 2010 的量產發行 (RTM) 版本中啟用行動裝置的 IRM 保護,則必須符合下列需求:
行動裝置必須執行 Windows Mobile 6.0 或更新版本。
Active Directory 版權管理服務 (AD RMS) 管理員必須允許行動憑證管線上的「讀取」權限以及「讀取和執行」權限 (在 AD RMS 伺服器上使用 Inetpub\wwwroot\_wmcs\Certification 資料夾中的 MobileDeviceCertification.asmx 檔案)。如需相關資訊,請參閱啟用行動裝置的憑證。
使用者必須將裝置連接至電腦,並使用以下其中一種方法啟動裝置以進行 IRM。
在執行 Windows 7 或 Windows Vista 作業系統的電腦上使用 Windows Mobile 裝置中心
在執行 Windows XP 作業系統的電腦上使用 Microsoft ActiveSync 用戶端應用程式
在 Exchange 2010 Service Pack 1 (SP1)中,Microsoft Exchange ActiveSync 的 IRM 可讓使用者在任何支援的 Exchange ActiveSync 裝置少存取豐富的 IRM 功能,而不需要設定 AD RMS 權限或將裝置連接至電腦並啟動裝置以進行 IRM。此外,行動裝置也不需要執行 Windows。Exchange ActiveSync 是由 Microsoft 授權給行動裝置製造商、原始設備製造商 (OEM) 與其他廠商。如需目前 Exchange ActiveSync使用人的清單,請參閱 Exchange ActiveSync 通訊協定。
行動裝置使用者在 Exchange ActiveSync 中使用 IRM 時可以:
建立受 IRM 保護的郵件。
讀取受 IRM 保護的郵件。
回覆及轉寄受 IRM 保護的郵件。
Exchange 2010 RTM 和 Exchange 2010 SP1 之間在行動 IRM 保護上的差異
需求
適用下列需求:
組織中的 Client Access Server 必須執行 Exchange 2010 SP1。
AD RMS 伺服器必須部署在您的組織中。
必須為內部郵件啟用 IRM。這是 Exchange 2010 中所有 IRM 功能的必要條件。如需詳細資料,請參閱啟用或停用內部郵件的 IRM。
必須在 Exchange ActiveSync 信箱原則中啟用 IRM。您可以使用不同的 Exchange ActiveSync 信箱原則啟用或停用不同使用者群組的 IRM。
支援 Exchange ActiveSync 通訊協定 14.1 版的裝置 (包括 Windows Phone) 可支援 Exchange ActiveSync 中的 IRM。裝置的行動電子郵件應用程式必須支援 Exchange ActiveSync 14.1 版中定義的 RightsManagementInformation 標記。
Exchange 2010 RTM 和 Exchange 2010 SP1 之間在行動 IRM 保護上的差異
安全性
當您在 Exchange ActiveSync 中啟用 IRM 時,Client Access Server 會先將受 IRM 保護的郵件解密,然後才將郵件提供給支援的行動裝置進行存取。在進行同步處理時,受 IRM 保護的郵件會以未加密形式置於行動裝置中。IRM 保護是具有 IRM 功能的電子郵件用戶端應用程式在行動裝置上所執行。
Exchange ActiveSync 中的 IRM 不會在 Client Access Server 上將受 IRM 保護的附件解密。受 IRM 保護的檔案存取是由建立或檢視檔案的應用程式所執行。例如,在 Windows Phone 上,Microsoft Office 檔案的 IRM 保護是由 Microsoft Office Mobile 所執行。若要存取受 IRM 保護的 Office檔案,使用者必須將裝置連接至電腦並以 RMS 伺服器啟動 Office Mobile。
在 Exchange ActiveSync 中啟用 IRM 時,我們建議您使用下表所列出的 Exchange ActiveSync 原則設定以協助您保護行動裝置。
Exchange ActiveSync 原則設定
設定 | 使用新增 Exchange ActiveSync 信箱原則精靈進行設定 | 使用 New-ActiveSyncMailboxPolicy 指令程式進行設定 | ||
---|---|---|---|---|
需要使用者輸入密碼以存取行動裝置上的資訊。 |
選取 [需要密碼] 核取方塊。 |
將 DevicePasswordEnabled 參數設為 |
||
啟用行動裝置的加密。 |
選取 [需要密碼] 核取方塊,然後選取 [需要加密裝置] 核取方塊。 |
將 RequireDeviceEncryption 參數設為
|
||
不允許非可預備行動裝置與 Exchange 伺服器同步。 |
清除 [允許非可預備行動裝置] 核取方塊。 |
將 AllowNonProvisionableDevices 參數設為 |
若要深入了解,請參閱了解 Exchange ActiveSync 信箱原則。
Exchange 2010 RTM 和 Exchange 2010 SP1 之間在行動 IRM 保護上的差異
在 Exchange ActiveSync 中啟用 IRM
若要在 Exchange ActiveSync 中啟用 IRM,請執行下列工作:
將同盟信箱 (由 Exchange 2010 安裝程式建立的系統信箱) 新增至 AD RMS 中的進階使用者群組。這可讓 Exchange 2010 伺服器存取受 IRM 保護的郵件。如需詳細資料,請參閱將同盟傳遞信箱新增至 AD RMS 超級使用者群組。
使用 Exchange 管理命令介面中的 Set-IRMConfiguration 指令程式以啟用 Client Access Server 上的 IRM。這將可為您的組織啟用 Exchange ActiveSync 中的 IRM 以及 Microsoft OfficeOutlook Web App 中的 IRM。如需詳細資料,請參閱啟用或停用 Outlook Web App 中的 Information Rights Management。
Exchange 2010 RTM 和 Exchange 2010 SP1 之間在行動 IRM 保護上的差異
© 2010 Microsoft Corporation. 著作權所有,並保留一切權利。