Применимо к: Exchange Server 2010 SP1

Последнее изменение раздела: 2010-08-16

Некоторые устаревшие телефонные системы АТС позволяют звонящему отмечать голосовое сообщение электронной почты как личное, блокируя для назначенного получателя возможность переадресации сообщения другим пользователям при его прослушивании. В интегрированных системах голосовой почты доступ к голосовому сообщению возможен несколькими способами, что затрудняет защиту голосового сообщения, отмеченного как личное, от нежелательных слушателей.

Единую систему обмена сообщениями в Exchange Server 2010 можно настроить для использования службы управления правами Служба каталогов Active Directory (AD RMS) для защиты голосовых сообщений организации. Эта функция известна как «Защищенные сообщения голосовой почты».

Если голосовое сообщение защищено, выполняется не только блокировка возможности переадресации для получателя. Единая система обмена сообщениями также гарантирует, что только назначенный получатель или назначенные получатели сообщения смогут получить доступ к его содержимому. Доступ к защищенным голосовым сообщениям можно получить с помощью Microsoft Office Outlook 2010, Office Outlook Web App и голосового доступа к Outlook Exchange Server 2010.

Содержание

Общие сведения о защищенной голосовой почте

Обзор служб управления правами Active Directory

Поддержка клиента и возможности конечных пользователей

Защищенная структура голосовых сообщений

Создание защищенного сообщения голосовой почты

Политики почтовых ящиков единой системы обмена сообщениями

SMS-уведомления и защищенная голосовая почта

Общие сведения о защищенной голосовой почте

 

В единой системе обмена сообщениями Exchange 2010 доступна функция защищенной голосовой почты. Ее можно настроить в политике почтовых ящиков единой системы обмена сообщениями, а все параметры защищенной голосовой почты настраиваются с помощью консоли управления Exchange (EMC) или командлетов в командной консоли Exchange.

Примечание.
В развертывании с существующими серверами Exchange 2010 и Microsoft Exchange Server 2007 предварительный просмотр голосовой почты недоступен для пользователей с включенной поддержкой единой системы обмена сообщениями, имеющих почтовые ящики Exchange 2007.

Защищенная голосовая почта реализуется путем применения системы управления правами на доступ к данным (IRM) к голосовым сообщениям. Если голосовые сообщения защищены с помощью единой системы обмена сообщениями:

  • Пользователь может отвечать на защищенные голосовые сообщения.

  • Получатели голосового сообщения не могут переадресовать его.

  • Пользователи не могут сохранять копии голосового сообщения.

  • Пользователи не могут сохранить или скопировать вложенную звуковую запись голосового сообщения.

  • Голосовое почтовое сообщение может быть открыто только назначенным пользователем или назначенными пользователями.

Сообщения голосовой почты автоответчика и межабонентские голосовые сообщения (голосовые сообщения, отправляемые пользователю с помощью голосового доступа к Outlook) могут быть защищены единой системой обмена сообщениями. Однако защита не будет применена к следующим типам сообщений:

  • факсимильные сообщения;

  • неголосовые сообщения. Например, сообщения электронной почты или приглашения на собрания, даже если они созданы с помощью голосового доступа к Outlook (голосовые ответы).

Обзор служб управления правами Active Directory

Компонент Windows Server 2008 AD RMS позволяет обеспечить защиту файлов и делает файл доступным для просмотра только тем пользователям, которых назначил отправитель. AD RMS защищает файл путем назначения прав, которыми должен обладать пользователь для доступа к файлу. Можно настроить права для разрешения открывать, изменять, печатать, переадресовывать или предпринимать другие действия относительно данных, к которым применяются права. При помощи AD RMS можно защитить данные при их распространении вне сети организации.

Система AD RMS включает в себя компонент сервера и клиента, в частности:

  • сервер на основе Windows Server 2008 R2 с выполнением роли сервера службы управления ролями Служба каталогов Active Directory, обрабатывающей сертификаты и лицензии;

  • сервер базы данных;

  • клиент службы управления правами Active Directory. Последняя версия клиента AD RMS включена в операционные системы Windows 7 и Windows Vista.

Компонент сервера состоит из нескольких веб-служб, которые выполняются на сервере Microsoft, например Windows Server 2008. Компонент клиента может быть запущен в операционной системе клиента или сервера и включает в себя функции, позволяющие приложению зашифровывать и расшифровывать содержимое, получать шаблоны и списки отзыва, а также получать лицензии и сертификаты с сервера.

Использование AD RMS и клиента AD RMS позволяет дополнить стратегию безопасности организации, защитив данные с помощью постоянных политик использования, которые остаются прикрепленными к данным вне зависимости от их перемещения. С помощью AD RMS можно предотвратить преднамеренное или случайное попадание конфиденциальных сведений, например финансовых отчетов, спецификаций продуктов, данных о клиентах и сообщений электронной почты для служебного пользования, к посторонним лицам. Дополнительные сведения см. в разделе Обзор службы управления правами Active Directory.

Сервер Exchange 2010 имеет функции управления доступом к данным (IRM) для обеспечения постоянной защиты сообщений и вложений. Система управления правами на доступ к данным использует технологию защиты информации AD RMS в Windows Server 2008 и Windows Server 2008 R2. Для использования управления правами на доступ к данным для реализации защищенной голосовой почты потребуется версия Windows Server 2008 R2 с компонентом AD RMS.

Использование функций управления правами на доступ к данным в Exchange 2010 и защищенной голосовой почты позволит организации и ее пользователям управлять правами получателей на доступ к сообщениям электронной и голосовой почты. С помощью управления правами на доступ к данным можно также разрешить или запретить получателю пересылать сообщение другим получателям, печатать сообщение или вложения, а также копировать текст сообщения или вложений. Дополнительные сведения см. в разделе Общие сведения об управлении правами на доступ к данным.

Требования к управлению правами на доступ к данным

До реализации управления правами на доступ к данным в Exchange 2010 необходимо сначала развернуть и настроить инфраструктуру AD RMS. Дополнительные сведения см. в статье Служба управления правами Active Directory. Чтобы реализовать функции управления правами на доступ к данным для поддержки защищенной голосовой почты в организации Exchange 2010, развертывание должно соответствовать следующим требованиям.

#rtt

Сервер Требования

Кластер AD RMS

  • Windows Server 2008 с пакетом обновления 2 (SP2) с указанным ниже исправлением. Для получения дополнительных сведений см. раздел Исправление, доступное для роли служб управления правами Active Directory на Windows Server 2008.

  • Точка подключения службы (SCP)   Exchange 2010 и приложения с поддержкой AD RMS используют точку подключения службы, зарегистрированную в Служба каталогов Active Directory, для обнаружения кластеров AD RMS и URL-адресов. Служба AD RMS позволяет регистрировать точку подключения службы в программе установки AD RMS. Если при установке AD RMS используется учетная запись, которая не является участником группы безопасности «Администраторы предприятия», регистрацию точки подключения службы можно выполнить после завершения установки. В лесу Служба каталогов Active Directory существует только одна точка подключения службы AD RMS.

  • Разрешения   Группа серверов Exchange или отдельные серверы Exchange должны иметь разрешения на чтение и выполнение в конвейере сертификации сервера AD RMS (путь по умолчанию на серверах AD RMS: \inetpub\wwwroot\_wmcs\certification\ServerCertification.asmx).

  • Суперпользователи AD RMS   Для включения функций расшифровки транспорта и отчетов журнала, управления правами на доступ к данным в приложении Outlook Web App и в службе поиска Exchange необходимо добавить почтовый ящик федеративной доставки — системный почтовый ящик, созданный при установке Exchange 2010, — в группу суперпользователей в кластере AD RMS. Подробные сведения см. в разделе Добавление почтового ящика федеративной доставки в группу суперпользователей службы управления правами Active Directory.

Сервер Exchange

Настройка и тестирование управления правами на доступ к данным

Для настройки функций управления правами на доступ к данным необходимо использовать командную строку в Exchange 2010. Чтобы настроить отдельные функции управления правами на доступ к данным, используйте командлет Set-IRMConfiguration. Для получения дополнительных сведений о настройке функций управления правами на доступ к данным см. раздел Управление защитой прав.

После настройки сервера Exchange 2010 можно выполнить комплексную проверку развертывания управления правами на доступ к данным с помощью командлета Test-IRMConfiguration. Этот командлет проверяет конфигурацию IRM для организации; его необходимо запустить до активации функции защищенной голосовой почты. Командлет Test-IRMConfiguration выполняет следующие тесты:

  • Проверяет конфигурацию IRM для организации Exchange 2010.

  • Проверяет сервер AD RMS для получения сведений о версии и исправлениях.

  • Проверяет возможность активации сервера Exchange для службы управления правами путем получения сертификата учетной записи прав и клиентского сертификата лицензиара (CLC).

  • Получает шаблоны политики прав AD RMS от сервера AD RMS.

  • Проверяет, что указанный отправитель может отправлять сообщения с защитой IRM.

  • Получает для указанного получателя лицензию на использование суперпользователя.

  • Получает для указанного получателя предварительную лицензию.

Поддержка клиента и возможности конечных пользователей

Программное обеспечение почтового клиента, используемого для прослушивания сообщений защищенной голосовой почты, должно поддерживать IRM и включать в себя функциональные возможности для чтения голосовых сообщений с защитой единой системы обмена сообщениями. Поддерживаются следующие почтовые клиенты: Microsoft Outlook 2010, Outlook Web App и голосовой доступ к Outlook Exchange 2010. Следующая таблица содержит список почтовых клиентов, а также данные об их поддержке.

Клиент электронной почты

Описание

Microsoft Outlook

  • Защищенные голосовые сообщения поддерживаются только в Outlook 2010.

Outlook Web App

  • Outlook Web App в Exchange 2010 поддерживает сообщения защищенной голосовой почты. Более ранние версии Outlook Web App или Microsoft Outlook Web Access не поддерживают такие сообщения.

Голосовой доступ к Outlook

  • Голосовой доступ к Outlook в Exchange 2010 поддерживает защищенную голосовую почту. Голосовой доступ к Outlook, входящий в состав Exchange 2007, не поддерживает защищенную голосовую почту.

  • Почтовый ящик пользователя должен находиться на сервере почтовых ящиков Exchange 2010.

Windows Mobile

  • ОС Windows Mobile в настоящее время не поддерживает защищенную голосовую почту.

Другие клиенты электронной почты

  • Защищенная голосовая почта не поддерживается.

#rtt

Защищенная структура голосовых сообщений

Для каждого сообщения защищенной голосовой почты фактически существует два сообщения. Первое сообщение является внешним сообщением, которое не шифруется. Оно содержит вложение с именем message.rpmsg. Вложение содержит голосовое сообщение с защитой IRM и внутренние данные управления правами. Данные управления правами включают в себя ключ содержимого и информацию о правах, указывающую пользователей, которым разрешен доступ к голосовому сообщению, и способ доступа к нему.

Защищенные голосовые сообщения отображаются во входящих сообщениях пользователя в папке Голосовая почта. Пользователь может прослушать голосовое сообщение при помощи встроенного проигрывателя так же, как обычное голосовое сообщение, за исключением того, что кнопка «Переслать» будет неактивна, а в верхней области сообщения будет выведено примечание с сообщением о том, что сообщение защищено и не может быть переадресовано.


Защищенная голосовая почта в Outlook 2010

Защищенная голосовая почта в Outlook Web App

В почтовых клиентах, не поддерживающих защищенную голосовую почту, будет отображено тело внешнего сообщения. При создании защищенного голосового сообщения единой системой обмена сообщениями предоставляется текст по умолчанию. Администраторы могут переписать этот текст с использованием объектов конфигурации политики почтового ящика единой системы обмена сообщениями.

При использовании клиента, не поддерживающего защищенную голосовую почту, в форме сообщения электронной почты приложения клиента будет выведен следующий стандартный текст: «Ваша программа электронной почты не поддерживает открытие голосовых сообщений, отправляемых с ограниченным допуском. Для прослушивания этого сообщения используйте приложение Outlook 2010 или Outlook Web App в Exchange 2010. Также при использовании единой системы обмена сообщениями Exchange 2010 можно применить голосовой доступ к приложению Outlook».

Стандартный текст, включаемый в сообщение электронной почты, можно изменить в настройках политики почтовых ящиков единой системы обмена сообщениями. Например, можно настроить политику почтовых ящиков единой системы обмена сообщениями, введя, к примеру, следующий пользовательский текст: «Вы не можете открыть это голосовое сообщение, потому что оно защищено. Для просмотра или прослушивания этого голосового сообщения войдите на ваш почтовый ящик на сайте https://mail.contoso.com или позвоните по номеру +1 (425) 555-1234 для голосового доступа к приложению Outlook».

Создание защищенного сообщения голосовой почты

Существуют две ситуации, в которых можно создать защищенные голосовые сообщения.

  • Автоответчик   Функция автоответчика необходима, если абонент звонит пользователю с включенной единой системой обмена сообщениями, но пользователь недоступен или переадресует абонента непосредственно к голосовой почте. В сценариях автоответчика система голосовой почты проиграет серию голосовых запросов после записи голосового сообщения звонящего.

    Затем звонящий может выбрать дополнительные параметры сообщения, включая возможность отметить голосовое сообщение как личное, нажав кнопку с решеткой (#). При нажатии кнопки # можно следовать инструкциям, предоставляемым единой системой обмена сообщениями, для пометки сообщения как личного, удалить отметку из личного голосового сообщения или отметить голосовое сообщение как сообщение с высокой степенью важности. На схеме ниже изображены параметры меню, доступные звонящим при записи личного голосового сообщения для пользователя.

    Примечание.
    Для звонков на автоответчик параметры настройки защищенной голосовой почты в политике почтовых ящиков единой системы обмена сообщениями назначенного получателя сообщения используются единой системой обмена сообщениями, поскольку звонящий не прошел проверку подлинности.

    Создание защищенных сообщений голосовой почты с помощью автоответчика
    Создание защищенных сообщений голосовой почты с помощью автоответчика
  • Голосовой доступ к Outlook   Голосовой доступ к Outlook позволяет пользователям с включенной единой системой обмена сообщениями получать доступ к почтовому ящику Exchange 2010 с помощью аналогового, цифрового или сотового телефона при наборе номера голосового доступа к Outlook. Пользователям, имеющим право работы с единой системой обмена сообщениями Exchange 2010, доступны два пользовательских интерфейса: телефонный пользовательский интерфейс (TUI) и голосовой пользовательский интерфейс (VUI).

    Пользователи голосового доступа к Outlook могут выполнять поиск контактов в каталоге и отправлять им голосовые сообщения. При активации защищенной голосовой почты для получателей с включенной единой системой обмена сообщениями звонящие могут отмечать сообщения как личные после их записи. Также администраторы могут настроить политику почтовых ящиков единой системы голосовой почты для обеспечения защиты всех голосовых сообщений, отправляемых пользователями, прошедшими проверку подлинности, в единой системе обмена сообщениями.

    Примечание.
    Если звонящий прошел проверку подлинности, применяются параметры настройки защищенной голосовой почты в политике почтовых ящиков единой системы обмена сообщениями, связанные со звонящим, вне зависимости от параметров настройки политики почтовых ящиков единой системы обмена сообщениями для назначенного получателя сообщения голосовой почты.

    Создание защищенных сообщений голосовой почты с помощью голосового интерфейса

    Создание защищенной голосовой почты с помощью тонового интерфейса
    Создание защищенных голосовых сообщений с помощью телефонного интерфейса пользователя
    Создание защищенного голосового сообщения с помощью голосового интерфейса пользователя

#rtt

Политики почтовых ящиков единой системы обмена сообщениями

Можно создать политику почтовых ящиков единой системы обмена сообщениями для применения общего набора параметров политики единой системы обмена сообщениями, таких как параметры политики ПИН, ограничения набора номеров и параметры защищенной голосовой почты, к коллекции почтовых ящиков с включенной функцией единой системы обмена сообщениями. Дополнительные сведения о политиках почтовых ящиков единой системы обмена сообщениями см. в разделе Управление политиками почтовых ящиков единой системы обмена сообщениями.

Можно использовать командную консоль Exchange или командлет Exchange Set-UMMailboxPolicy для настройки параметров защищенной голосовой почты. В следующей таблице представлены параметры, которые можно настроить для защищенной голосовой почты.

Параметры настройки защищенной голосовой почты

Параметр командной строки

Возможность установки в командной консоли Exchange

Описание

ProtectAuthenticatedVoiceMail

Да

Параметр ProtectAuthenticatedVoiceMail указывает возможность пользователей с включенной единой системой обмена сообщениями отправлять защищенные голосовые сообщения при доступе к почтовому ящику с помощью функции голосового доступа к Outlook. Значение по умолчанию — None. Это означает, что при создании голосовых сообщений не применяется защита, и звонящие не будут иметь возможность пометки голосового сообщения как личного. Если параметр имеет значение Private, защищены только сообщения, отмеченные как личные. При установке значения All защищены все голосовые сообщения вне зависимости от параметра, выбранного пользователем.

ProtectUnauthenticatedVoiceMail

Да

Параметр ProtectUnauthenticatedVoiceMail указывает, будут ли серверы единой системы обмена сообщениями, которые отвечают на вызовы голосового доступа для пользователей, связанных с политикой почтовых ящиков единой системы обмена сообщениями, создавать защищенные сообщения голосовой почты. Эта настройка применима и в случае, если сообщение отправляется от автосекретаря единой системы обмена сообщениями пользователю с включенной единой системой обмена сообщениями. Значение по умолчанию — None. Это означает, что голосовые сообщения не защищены, и звонящему не будет предоставлена возможность пометки сообщения как личного. Если параметр имеет значение Private, защищены только сообщения, отмеченные как личные. При установке значения All защищены все голосовые сообщения вне зависимости от пометки сообщения как личного пользователем.

ProtectedVoiceMailText

Да

Параметр ProtectedVoiceMailText указывает текст, включаемый в тело внешнего сообщения для сообщения защищенной голосовой почты. Текст будет отображен во всех приложениях почтового клиента, не поддерживающих сообщения защищенной электронной почты. Обратите внимание, что при установке для данного параметра значения Null или отсутствии значения предоставляется стандартное сообщение единой системы обмена сообщениями.

RequireProtectedPlayOnPhone

Да

Параметр RequireProtectedPlayOnPhone указывает на необходимость прослушивания защищенного голосового сообщения по телефону (при помощи функции воспроизведения на телефоне) для пользователей, связанных с политикой почтовых ящиков единой системы обмена сообщениями. Значением по умолчанию является значение $false. Если для параметра установлено значение $true, проигрыватель в формах защищенной голосовой почты в Outlook или Outlook Web App будет неактивен. Обратите внимание, что текст предварительного просмотра голосового сообщения доступен в любой момент. Пользователь не сможет воспроизвести звуковой файл ни в одном проигрывателе или использовать встроенный проигрыватель для прослушивания голосового сообщения.

AllowVoiceResponseToOtherMessageTypes

Да

Параметр AllowVoiceResponseToOtherMessageTypes указывает, могут ли абоненты, прошедшие проверку подлинности в голосовом доступе к Outlook для доступа к электронной почте, создавать голосовой ответ на сообщения электронной почты или приглашения на собрания.

Для получения дополнительных сведений об управлении параметрами настройки защищенной голосовой почты см. следующие разделы:

#rtt

SMS-уведомления и защищенная голосовая почта

Пользователи, настраивающие в учетной записи единой системы обмена сообщениями отправку SMS-уведомлений на мобильный телефон в случае получения голосового сообщения, также получат текст транскрипции записи (предварительный просмотр голосовой почты) как часть тела текстового сообщения. Однако для защищенных голосовых сообщений такая настройка нарушит политику безопасности, поскольку содержимое голосового сообщения должно быть защищено всегда.

При создании в единой системе обмена сообщениями текстового сообщения с уведомлением для защищенного голосового сообщения выполняется проверка на пометку данного голосового сообщения как личного. В случае присутствия такой пометки транскрипция текста не будет добавлена в текстовое сообщение, отправляемое на мобильный телефон. Вместо этого в текстовое сообщение будет включен следующий текст: «Используйте голосовой доступ к Outlook для открытия этого защищенного сообщения голосовой почты».



Outlook Web App
Outlook 2010