Применимо к: Exchange Server 2010 SP1
Последнее изменение раздела: 2011-02-14
Специалисты по обработке данных часто используют электронную почту для обмена конфиденциальными сведениями. С целью защиты таких данных в организациях может использоваться управление правами на доступ к данным (IRM) для применения постоянной защиты к содержимому сообщений. Поскольку популярность мобильных устройств для доступа к электронной почте непрерывно растет, важным условием для их пользователей является возможность создания и работы с содержимым, защищенным с помощью функции управления правами на доступ к данным.
Содержание
Включение функции IRM в службе Exchange ActiveSync
Необходимы сведения о задачах управления, связанных с функцией IRM? См. раздел Управление защитой прав.
Различия между защитой IRM для мобильных устройств в Exchange 2010 с пакетом обновления 1 (SP1) и в окончательной первоначальной версии (RTM) Exchange 2010
Чтобы включить защиту IRM для мобильных устройств в окончательной первоначальной версии (RTM) Microsoft Exchange Server 2010, необходимо выполнение следующих условий.
- Мобильные устройства должны работать под управлением ОС Windows
Mobile 6.0 или более поздних версий.
- Администратору службы управления правами Служба каталогов
Active Directory (AD RMS) необходимо предоставить разрешения
на чтение или чтение и выполнение в механизме сертификации
мобильных устройств (с помощью файла
MobileDeviceCertification.asmx, расположенного в папке
Inetpub\wwwroot\_wmcs\Certification на сервере AD RMS).
Дополнительные сведения см. в статье Включение сертификации мобильных устройств.
- Пользователям необходимо подключить устройство к компьютеру и
активировать его для управления правами на доступ к данным одним из
следующих способов:
- с помощью центра устройств Windows Mobile на компьютерах,
работающих под управлением операционных систем Windows 7 или
Windows Vista;
- с помощью клиентского приложения Microsoft ActiveSync на
компьютерах, работающих под управлением операционной системы
Windows XP.
- с помощью центра устройств Windows Mobile на компьютерах,
работающих под управлением операционных систем Windows 7 или
Windows Vista;
На сервере Exchange 2010 с пакетом обновления 1 (SP1) служба управления правами на доступ к данным (IRM) в составе Microsoft Exchange ActiveSync предоставляет пользователям доступ к полнофункциональному интерфейсу IRM на любом поддерживаемом устройстве Exchange ActiveSync без необходимости настройки разрешений AD RMS или подключения устройства к компьютеру и его активации для работы с функцией IRM. Кроме того, мобильное устройство необязательно должно работать под управлением ОС Windows. Приложение Exchange ActiveSync лицензируется корпорацией Майкрософт для изготовителей мобильных устройств, поставщиков вычислительной техники (OEM) и других заинтересованных лиц. Список текущих лицензиатов Exchange ActiveSync см. в статье Протокол Exchange ActiveSync.
С помощью управления правами на доступ к данным в службе Exchange ActiveSync пользователи мобильных устройств могут:
- создавать сообщения с защитой IRM;
- читать сообщения с защитой IRM;
- отвечать и пересылать сообщения с защитой IRM.
Требования
Применяются следующие требования.
- Серверы клиентского доступа в организации должны работать под
управлением сервера Exchange 2010 с пакетом обновления 1
(SP1).
- В организации необходимо развернуть сервер AD RMS.
- Для внутренних сообщений необходимо включить управление правами
на доступ к данным. Это необходимое условие для всех функций IRM в
системе Exchange 2010. Дополнительные сведения см. в разделе
Включение или
отключение управления правами на доступ к данным для внутренних
сообщений.
- В политике почтовых ящиков Exchange ActiveSync необходимо
включить функцию IRM. Включить или отключить функцию IRM для
различных групп пользователей можно с помощью разных политик
почтовых ящиков Exchange ActiveSync.
- Устройства, работающие с протоколом Exchange ActiveSync версии
14.1, в том числе телефоны под управлением ОС Windows, могут
поддерживать управление правами на доступ к данным в службе
Exchange ActiveSync. Почтовое приложение на мобильном устройстве
должно поддерживать тег RightsManagementInformation, определенный в
протоколе Exchange ActiveSync версии 14.1.
Безопасность
При включении службы управления правами на доступ к данным (IRM) в службе Exchange ActiveSync сервер клиентского доступа расшифровывает сообщения с защитой IRM, после чего предоставляет к ним доступ с поддерживаемого мобильного устройства. После синхронизации сообщения с защитой IRM размещаются на мобильном устройстве в незашифрованном формате. На мобильном устройстве защиту IRM принудительно применяет клиентское почтовое приложение с поддержкой соответствующих функций.
На сервере клиентского доступа служба IRM в приложении Exchange ActiveSync не расшифровывает вложения, защищенные с ее помощью. Доступ к файлам с защитой IRM осуществляется приложением, которое использовалось для их создания или просмотра. Например, на телефоне под управлением Windows защиту IRM для файлов Microsoft Office применяет пакет приложений Microsoft Office Mobile. Для доступа к файлам Office с защитой IRM пользователям необходимо подключить устройство к компьютеру и активировать пакет Office Mobile с помощью сервера службы управления правами (RMS).
Чтобы обеспечить безопасность мобильных устройств, при включении функций управления правами на доступ к данным в службе Exchange ActiveSync рекомендуется использовать параметры политики Exchange ActiveSync, перечисленные в следующей таблице.
Параметры политики Exchange ActiveSync
Параметр | Настройка с помощью мастера создания политик почтовых ящиков Exchange ActiveSync | Настройка с помощью командлета New-ActiveSyncMailboxPolicy | ||
---|---|---|---|---|
Требовать, чтобы пользователь вводил пароль для доступа к информации на своем мобильном устройстве. |
Установите флажок Требовать пароль. |
Задайте для параметра DevicePasswordEnabled значение
|
||
Включить шифрование на мобильном устройстве. |
Последовательно установите флажки Требовать пароль и Требовать шифрование на устройстве. |
Задайте для параметра RequireDeviceEncryption значение
|
||
Запретить неинициализируемым мобильным устройствам синхронизироваться с сервером Exchange. |
Снимите флажок Разрешить неинициализируемые устройства. |
Задайте для параметра AllowNonProvisionableDevices
значение |
Дополнительные сведения см. в разделе Общие сведения о политиках почтовых ящиков Exchange ActiveSync.
Включение функции IRM в службе Exchange ActiveSync
Чтобы включить функцию управления правами на доступ к данным (IRM) в службе Exchange ActiveSync, выполните следующие действия.
- Добавьте федеративный почтовый ящик (системный почтовый ящик,
созданный программой установки Exchange 2010) в группу
суперпользователей в службе AD RMS. Это позволяет серверам
Exchange 2010 получать доступ к сообщениям с защитой IRM.
Дополнительные сведения см. в разделе Добавление почтового
ящика федеративной доставки в группу суперпользователей службы
управления правами Active Directory.
- С помощью командлета Set-IRMConfiguration
в командной консоли Exchange включите функцию IRM на сервере
клиентского доступа. Таким способом функции IRM включаются в службе
Exchange ActiveSync и в приложении Microsoft Office Outlook
Web App для имеющейся организации. Дополнительные сведения см. в
разделе Включение и отключение
управления правами на доступ к данным в Outlook Web App.