Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-01-13

Сотрудники организации ежедневно обмениваются конфиденциальными сведениями по электронной почте. В качестве примеров конфиденциальных сведений можно привести финансовые данные и отчеты, сведения о клиентах и сотрудниках, а также сведения о продуктах и технических описаниях продуктов. В Microsoft Exchange Server 2010, Microsoft Outlook и Microsoft Office Outlook Web App пользователи могут защищать сообщения электронной почты с помощью управления правами на доступ к данным путем применения шаблона политики прав службы управления правами Служба каталогов Active Directory (AD RMS). Для использования данной возможности в организации должна быть развернута служба управления правами Active Directory. Дополнительные сведения о службе управления правами Active Directory см. на веб-странице Служба управления правами Active Directory.

Однако если оставить вопрос применения защиты на усмотрение пользователей, существует большая вероятность, что сообщения будут отправляться в незашифрованном виде без применения защиты с использованием управления правами на доступ к данным. В организациях, использующих электронную почту в виде службы, размещенной на веб-сайте поставщика услуг, существует риск утечки информации, поскольку после отправки сообщения его маршрутизация и хранение осуществляется вне организации. Несмотря на наличие у поставщиков служб электронной почты четко описанных процедур и проверок, направленных на снижение риска утечки информации, после того, как сообщение покидает пределы организации, последняя полностью теряет контроль над информацией. Правила защиты Outlook позволяют защитить организацию от этого типа утечки информации.

Необходимы сведения о задачах управления, связанных с управлением правами на доступ к данным? См. раздел Управление защитой прав.

Автоматическая защита с использованием управления правами на доступ к данным в Outlook 2010

В Exchange 2010 правила защиты Outlook помогают организации защититься от риска утечки информации путем автоматического применения защиты с использованием управления правами на доступ к данным к сообщениям, отправляемым с помощью Outlook 2010. Защита с использованием управления правами на доступ к данным применяется к сообщениям до того, как они покидают клиента Outlook. Этот механизм защиты также применяется ко всем вложениям, использующим поддерживаемые форматы файлов.

После создания правил защиты Outlook на сервере Exchange 2010 правила автоматически распространяются клиентам Outlook 2010 с помощью веб-служб Exchange. Чтобы клиент Outlook 2010 мог применить правило, указанный шаблон политики прав службы управления правами Active Directory должен быть доступен на компьютерах пользователей.

Важно!
Если шаблон политики прав удален с сервера службы управления правами Active Directory, необходимо изменить все правила защиты Outlook, использующие удаленный шаблон. Если правило защиты Outlook продолжает использовать удаленный шаблон политики прав и в организации включена расшифровка транспорта, агент расшифровки не сможет расшифровать сообщение, защищенное с помощью этого шаблона. Если расшифровка транспорта настроена в качестве обязательной, транспортный сервер-концентратор будет отклонять сообщения и отправлять отправителю отчет о недоставке. Дополнительные сведения о расшифровке транспорта см. в разделе Общие сведения о расшифровке транспорта. Дополнительные сведения о шаблонах политики прав службы управления правами Active Directory см. в разделе Шаблон политики прав службы управления правами Active Directory (содержимое страницы может отображаться на английском языке).

В Windows Server 2008 вместо удаления шаблоны политики прав можно архивировать. Архивированные шаблоны можно по-прежнему использовать для лицензирования содержимого, однако при создании или изменении правила защиты Outlook архивированные шаблоны не добавляются в список шаблонов.

Правила защиты Outlook похожи на правила защиты транспорта. Оба типа правил применяются исходя из условий сообщения и защищают сообщения путем применения шаблона политики прав службы управления правами Active Directory. Однако правила защиты транспорта применяются на транспортном сервере-концентраторе агентом правил транспорта. Правила защиты Outlook применяются в Outlook 2010 до того, как сообщение покидает компьютер пользователя. Сообщения, к которым применено правило защиты Outlook, поступают в транспортный конвейер с уже примененной защитой с использованием управления правами на доступ к данным. Кроме того, сообщения, защищенные с помощью правила защиты Outlook, также сохраняются в зашифрованном виде в папке «Отправленные» почтового ящика отправителя.

Примечание.
Если расшифровка транспорта включена в организации Exchange, сообщения, защищенные с использованием управления правами на доступ к данным правилом защиты Outlook с помощью сервера службы управления правами Active Directory в организации, могут быть расшифрованы агентом расшифровки на транспортных серверах-концентраторах. Содержимое сообщения может быть проверено агентом правил транспорта и другими агентами транспорта, установленными на транспортном сервере-концентраторе. Дополнительные сведения о расшифровке транспорта см. в разделе Общие сведения о расшифровке транспорта.

При использовании правил защиты транспорта у пользователей отсутствует индикатор, показывающий, будет ли сообщение автоматически защищено на транспортном сервере-концентраторе. Если в Outlook 2010 к сообщению применяется правило защиты Outlook, пользователи заранее знают, будет ли сообщение защищено с использованием управления правами на доступ к данным. При необходимости пользователи также могут выбирать другой шаблон политики прав.

Создание правил защиты Outlook

Для создания правил защиты Outlook используется командлет New-OutlookProtectionRule в командной консоли Exchange. Подробные инструкции см. в разделе Создание правила защиты Outlook.

При создании правила можно указать, может ли пользователь переопределять правило путем удаления защиты с использованием управления правами на доступ к данным или путем применения шаблона политики прав службы управления правами Active Directory, отличающегося от указанного в правиле. Если пользователь переопределяет защиту с использованием управления правами на доступ к данным, примененную правилом защиты Outlook, Outlook 2010 вставляет в сообщение заголовок X-MS-Outlook-Client-Rule-Overridden, который позволяет определить, было ли переопределено правило пользователем.

Предикаты в правилах защиты Outlook

Правила защиты Outlook позволяют использовать три предиката для автоматического применения защиты с использованием управления правами на доступ к данным в Outlook 2010:

  • FromDepartment.   Предикат FromDepartment выполняет поиск атрибута отдела отправителя в Служба каталогов Active Directory и автоматически применяет к сообщению защиту с использованием управления правами на доступ к данным, если отдел отправителя совпадает с отделом, указанным в правиле. Например, можно создать правило защиты Outlook, предназначенное для автоматической защиты всех сообщений, отправляемых отделом исследований.

  • SentTo.   В организации может потребоваться защищать сообщения, отправляемые некоторым конфиденциальным получателям, например группам рассылки «Вся организация» или «Финансовый отдел». С помощью предиката SentTo можно создать правило защиты Outlook, предназначенное для автоматической защиты с использованием управления правами на доступ к данным сообщений, отправляемых указанным получателям.

  • SentToScope.   С помощью предиката SentToScope можно создать правило защиты Outlook, предназначенное для автоматической защиты с использованием управления правами на доступ к данным сообщений, отправляемых получателям внутри или вне организации. Например, можно использовать предикат SentToScope с предикатом FromDepartment для защиты с использованием управления правами на доступ к данным сообщений, отправляемых некоторым отделом внутренним пользователям.