Последнее изменение раздела: 2011-04-18

Управление правами на доступ к данным (IRM) обеспечивает защиту от утечки конфиденциальной информации благодаря постоянной защите сообщений электронной почты и вложений в оперативном и автономном режимах. Как Exchange 2007 в данной локальной организации, так и Exchange Online в пакете Office 365 для предприятий поддерживают службу IRM. Однако существуют различия между двумя реализациями, поэтому необходимо настроить службу IRM в облачной организации Exchange, прежде чем пользователи облачной службы смогут его использовать.

В службе IRM используется служба управления правами Служба каталогов Active Directory (AD RMS), являющаяся компонентом Windows Server 2008 R2. Службы AD RMS позволяют пользователям создавать содержимое с защищенными правами на доступ, например сообщения электронной почты и приложения, а затем контролировать, как это содержимое используется и кому может доставляться. Пользователи могут указывать шаблоны и определять способ использования содержимого. Например, пользователь может указать, что сообщение электронной почты не может быть переадресовано другим получателям или что информация в сообщении не может быть скопирована.

Дополнительные сведения о службе IRM см. в Exchange 2007 в разделе: Общие сведения об агенте предварительного лицензирования службы управления правами Active Directory

Дополнительные сведения о службе IRM см. в Exchange 2010 в разделе: Общие сведения об управлении правами на доступ к данным

Дополнительные сведения о службе AD RMS см. в разделе: Обзор службы управления правами Active Directory

Дополнительные сведения о службе IRM см. в в разделе: Настройка управления правами на доступ к данным для совместной работы

Различия между службами IRM в версиях Exchange 2007 и Exchange Online

Версия Exchange Online основана на Exchange 2010 с рядом новых функций IRM. Функции IRM, доступные в локальной организации Exchange 2007, отличаются от функций, доступных в облачной организации Exchange. В следующей таблице приведен обзор функций, доступных в каждой организации.

Доступные функции IRM

Функция Доступно в Exchange 2007 Доступно в Exchange Online

Защита сообщений вручную в Outlook

Да

Да

Защита сообщений вручную в Outlook Web App

Нет

Да

Просмотр сообщений с защитой IRM в Outlook

Да

Да

Просмотр сообщений с защитой IRM в Outlook Web App

Да (требуется Internet Explorer с надстройкой управления правами)

Да

Агент предварительного лицензирования IRM

Да

Да

Шаблоны политики RMS

Нет

Да

Расшифровка транспорта

Нет

Да

Расшифровка отчета журнала

Нет

Да

Расшифровка поиска и обнаружения Exchange

Нет

Да

Правила автоматической защиты Outlook

Нет

Да

Правила автоматической защиты транспорта

Нет

Да

Дополнительные сведения об этих функциях см. в разделе: Общие сведения об управлении правами на доступ к данным

IRM в совместной работе

Система Exchange использует серверы AD RMS в лесу Служба каталогов Active Directory, в котором установлен сервер Exchange. Для локальных серверов Exchange 2007 используется локальный сервер AD RMS. Для облачной организации Exchange используются серверы AD RMS, поддерживаемые в центрах обработки данных Microsoft Office 365. Конфигурация службы управления правами Active Directory, используемая каждой организацией Exchange, не зависит от другого развертывания службы AD RMS.

Конфигурация службы управления правами Active Directory и, следовательно, конфигурация службы IRM не реплицируется автоматически между локальной организацией Exchange и облачной организацией Exchange. Шаблоны службы AD RMS, которые были определены, не копируются автоматически в облачную организацию. Если требуется наличие тех же шаблонов AD RMS в облачной организации Exchange, необходимо вручную экспортировать шаблоны из локальной организации и применить их к облачной организации. См. раздел Конфигурация службы IRM в совместной работе далее в этой главе.

Удобство пользователя

Конфигурация службы IRM, применяемая к пользователю, зависит от используемого клиента и расположения почтового ящика пользователя. В следующей таблице показан сервер AD RMS, с которым будет работать пользователь.

Активный сервер AD RMS

Клиент Локальный почтовый ящик Облачный почтовый ящик

Outlook 2007 или Outlook 2010

Локальная служба AD RMS

Локальная служба AD RMS

Outlook Web App

Локальная служба AD RMS

Облачная служба AD RMS

Устройство ActiveSync

Локальная служба AD RMS

Облачная служба AD RMS

В зависимости от конфигурации службы управления правами Active Directory, настроенной в локальной и облачной организациях, пользователь, работающий с приложениями Outlook 2007 и Outlook Web App, может видеть различные шаблоны облачной службы AD RMS. По этой причине настоятельно рекомендуется применять одни и те же шаблоны как к локальной, так и к облачной организации.

Не должно быть различий в удобстве работы со службой IRM для пользователей клиента Outlook, независимо от того, находится ли их почтовый ящик в локальной или облачной организации.

Пользователь Outlook Web App, чей ящик находится на сервере Exchange 2007, может открывать сообщения с защищенными правами на доступ только после установки надстройки управления правами для Internet Explorer. Эти пользователи не могут создавать сообщения такого типа или отвечать на них.

Пользователь Outlook Web App, чей почтовый ящик находится в облаке, может открывать сообщения с защищенными правами на доступ без дополнительного программного обеспечения, а также создавать новые сообщения подобного типа и отвечать на них.

Функции сервера

На локальных серверах Exchange 2007 используется агент предварительного лицензирования службы управления правами Active Directory для расшифровки сообщений с защищенными правами на доступ, таким образом, пользователям не требуется предоставлять учетные данные при открытии этих сообщений. Локальный сервер Exchange 2007 связывается с локальным сервером AD RMS для проверки политик и прав пользователя и для запроса авторизации на расшифровку сообщения.

Облачная организация Exchange предоставляет несколько дополнительных связанных со службой IRM функций для использования облачной службы управления правами Active Directory. Эти функции, такие как расшифровка отчетов журнала, делают содержимое сообщений с защищенными правами на доступ открытым для служб Exchange для дополнительной обработки. Например, расшифрованное содержимое занесенного в журнал сообщения можно сохранить, наряду с первоначальным сообщением с защищенными правами на доступ, для более простого обнаружения. Кроме того, шаблоны IRM могут быть автоматически применены к сообщениям с помощью правил защиты Outlook или правил транспорта для соответствия сообщений политикам организации по защите данных.

Конфигурация службы IRM в совместной работе

Служба IRM в системе Exchange основана на службе управления правами Active Directory, развернутой в лесу Служба каталогов Active Directory, в котором находится сервер Exchange. Конфигурация службы управления правами Active Directory не синхронизируется автоматически между локальной организацией и облаком. Необходимо вручную экспортировать конфигурацию службы управления правами Active Directory, известную как доверенный домен публикации (TPD), с локального сервера AD RMS, и импортировать эту конфигурацию в облачную организацию Exchange. Доверенный домен публикации содержит конфигурацию службы управления правами Active Directory, в том числе шаблоны, необходимые облачной организации Exchange для использования службы IRM.

Дополнительные сведения см. в разделе Особенности доверенного домена публикации службы управления правами Active Directory

Помимо применения конфигурации локальной службы управления правами Active Directory к облачной организации Exchange, необходимо убедиться, что с серверами AD RMS могут связаться клиенты Outlook и ActiveSync за пределами локальной сети. Это необходимо, чтобы эти клиенты могли получать доступ к сообщениям с защищенными правами на доступ за пределами локальной сети.

После настройки локальной сети и экспорта данных доверенного домена публикации необходимо настроить облачную организацию Exchange путем импорта данных этого домена и включения службы IRM.

Примечание.
Каждый раз при изменении конфигурации локальной службы управления правами Active Directory необходимо вручную применять новую конфигурацию к облачной организации Exchange. Для этого необходимо выполнить экспорт данных доверенного сервера публикации с локального сервера AD RMS и импортировать их в облачную организацию Exchange.

Дополнительные сведения см. в разделе Настройка управления правами на доступ к данным для совместной работы