Partager via


Protéger la messagerie vocale dans Exchange Server

S’applique à : Exchange Server 2013, Exchange Server 2016

Certains systèmes téléphoniques PBX (Private Branch eXchange) et PBX IP existants permettent à l'appelant de marquer un message vocal comme privé, empêchant ainsi le destinataire de le transférer à un tiers. Dans les systèmes de messagerie vocale intégrés, il est possible d'accéder à un message vocal de plusieurs façons, ce qui rend délicate la tâche d'empêcher que les messages marqués comme étant privés soient écoutés par un tiers à qui ils ne sont pas destinés.

La messagerie unifiée peut être configurée pour utiliser Active Directory Rights Management Services (AD RMS) afin de protéger les messages vocaux d’une organisation. Cette fonctionnalité est appelée Messagerie vocale protégée.

Quand un message vocal est protégé, le destinataire ne peut non seulement pas le transférer, mais la messagerie unifiée garantit également que seuls le ou les destinataires peuvent accéder à son contenu. Les messages vocaux protégés sont accessibles à l’aide de Microsoft Outlook 2010 ou version ultérieure, d’Outlook Web App ou d’Outlook Voice Access.

Présentation de la fonctionnalité de messagerie vocale protégée

La fonctionnalité de messagerie vocale protégée est disponible avec Exchange 2010 et les versions ultérieures de la messagerie unifiée. Il peut être configuré sur une stratégie de boîte aux lettres de messagerie unifiée, et tous les paramètres de messagerie vocale protégée peuvent être configurés à l’aide de l’console de gestion Exchange ou de l’interpréteur de commandes dans Exchange 2010 ou à l’aide du Centre d’administration Exchange (EAC) ou des applets de commande dans l’interpréteur de commandes dans Exchange 2013.

La fonctionnalité de messagerie vocale protégée est implémentée par l'application de la gestion des droits relatifs à l'information (IRM) aux messages vocaux. Quand les messages vocaux sont protégés par la messagerie unifiée :

  • Les utilisateurs peuvent répondre aux messages vocaux protégés.
  • Les destinataires d'un message vocal ne peuvent pas le transférer.
  • Les utilisateurs ne peuvent pas enregistrer une copie du message vocal.
  • Les utilisateurs ne peuvent pas enregistrer ou copier les données audio jointes au message vocal.
  • Un message vocal ne peut être ouvert que par son ou ses destinataires.

Tant les messages vocaux de répondeur automatique que les messages vocaux interpersonnels (messages vocaux envoyés à un utilisateur via Outlook Voice Access) peuvent être protégés par la messagerie unifiée. Toutefois, les types de messages suivants ne sont pas protégés :

  • Messages de télécopie.
  • Messages non vocaux. Par exemple, les messages électroniques ou les demandes de réunion, même s'ils sont créés via Outlook Voice Access (réponses vocales).

Présentation d'Active Directory Rights Management Services

AD RMS, un composant de Windows Server 2008 et versions ultérieures, est disponible pour protéger les fichiers afin que seuls les utilisateurs que l’expéditeur a l’intention d’afficher un fichier puissent le faire. AD RMS permet de protéger un fichier en spécifiant les droits dont doit disposer un utilisateur pour y accéder. Il est possible de configurer ces droits pour que l'utilisateur puisse ouvrir, modifier, imprimer, transférer ou traiter les informations d'une autre manière grâce à la gestion des droits. Avec AD RMS, vous pouvez sécuriser vos données lorsqu'elles sont distribuées hors de votre réseau.

Un système AD RMS dispose d'un composant serveur et d'un composant client, qui contiennent les éléments suivants :

  • Un serveur sur lequel Windows Server 2008 R2 ou une version ultérieure est installé et qui exécute le rôle serveur Active Directory Rights Management Services, qui gère les certificats et les licences.
  • Un serveur de base de données.
  • Le client AD RMS. La dernière version du client AD RMS est incluse dans le cadre des systèmes d’exploitation Windows 7 et Windows 8.

Le composant serveur est constitué de plusieurs services web qui s’exécutent sur un serveur Microsoft tel que Windows Server 2008 ou une version ultérieure. Le composant client peut être exécuté sur le système d'exploitation client ou serveur et comprend des fonctions qui permettent d'activer une application destinée à chiffrer et déchiffrer les contenus, à récupérer des modèles et des listes de révocation et à acquérir des licences et des certificats sur un serveur.

En utilisant AD RMS et les client AD RMS, vous pouvez améliorer la stratégie de sécurité au sein d'une organisation en protégeant les informations grâce à des stratégies d'utilisation permanentes qui accompagnent les informations, quel que soit l'endroit où elles se trouvent. Vous pouvez utiliser AD RMS pour éviter que des informations sensibles (telles que des rapports financiers, des spécifications de produits, des données client et des messages électroniques et vocaux confidentiels) ne tombent intentionnellement ou accidentellement entre de mauvaises mains. Pour plus d’informations, consultez Vue d’ensemble d’AD RMS.

Dans la messagerie unifiée Exchange, vous pouvez utiliser les fonctionnalités de Gestion des droit relatifs à l'information (IRM) pour appliquer une protection permanente aux messages et pièces jointes.

Avec les fonctionnalités IRM et de messagerie vocale protégée, votre organisation et vos utilisateurs sont à même de contrôler les droits octroyés aux destinataires en ce qui concerne l'accès aux messages vocaux et électroniques. La gestion des droits relatifs à l'information peut être également utilisée pour autoriser ou restreindre les actions des destinataires, comme le transfert d'un message à d'autres destinataires, l'impression d'un message ou d'une pièce jointe ou l'extraction du contenu d'un message ou d'une pièce jointe par une opération copier-coller.

Configuration requise pour la Gestion des droits relatifs à l'information (IRM)

Avant de pouvoir implémenter la fonctionnalité IRM dans Exchange, vous devez d'abord déployer et configurer votre infrastructure AD RMS. Pour plus d’informations, consultez Active Directory Rights Management Services. Pour implémenter la fonctionnalité IRM et prendre en charge la messagerie vocale protégée dans votre organisation Exchange, votre déploiement doit répondre aux exigences suivantes.

Serveur Conditions requises
Cluster AD RMS
  • Windows Server 2008 R2 Standard ou Enterprise avec SP1 ou Windows Server 2012 Standard ou Datacenter. Pour plus d’informations sur la configuration système requise, consultez Configuration requise pour Exchange 2013.
  • Point de connexion de service (SCP) : les applications prenant en charge Exchange 2013 et AD RMS utilisent le scp inscrit dans Active Directory pour découvrir les clusters et les URL AD RMS. AD RMS vous permet d'enregistrer le point de connexion de service dans le programme d'installation d'AD RMS. Si le compte utilisé pour installer AD RMS n'est pas membre du groupe de sécurité Administrateurs d'entreprise, il est possible d'effectuer l'enregistrement du point de connexion de service après l'installation. Il n’y a qu’un seul SCP pour AD RMS dans une forêt Active Directory.
  • Autorisations : les serveurs du groupe de serveurs Exchange ou des serveurs Exchange individuels doivent se voir attribuer des autorisations de lecture et d’exécution sur le pipeline de certification du serveur AD RMS. Le chemin par défaut est \inetpub\wwwroot_wmcs\certification\ServerCertification.asmx sur les serveurs AD RMS.
  • Super utilisateurs AD RMS : pour activer le déchiffrement du transport, le déchiffrement des rapports de journal, l’IRM dans Outlook Web App et irm pour la recherche Exchange, vous devez ajouter la boîte aux lettres de remise fédérée, une boîte aux lettres système créée par le programme d’installation d’Exchange, au groupe de super utilisateurs AD RMS sur le cluster AD RMS. Pour plus d'informations, consultez Add the Federation Mailbox to the AD RMS Super Users Group.

Configuration et test de la Gestion des droits relatifs à l'information (IRM)

Vous devez utiliser l'environnement de ligne de commande Exchange Management Shell pour configurer les fonctionnalités IRM. Pour configurer les fonctionnalités IRM individuelles, utilisez la cmdlet Set-IRMConfiguration. Pour plus d’informations sur la configuration des fonctionnalités IRM, consultez Procédures de gestion des droits relatifs à l’information.

Après avoir configuré un serveur Exchange, vous pouvez utiliser la cmdlet Test-IRMConfiguration pour tester de bout en bout votre déploiement IRM. Cette cmdlet vérifie la configuration IRM d'une organisation et doit être exécutée préalablement à l'activation de la fonction Messagerie vocale protégée. La cmdlet Test-IRMConfiguration exécute les tests suivants :

  • Elle inspecte la configuration IRM de votre organisation Exchange.
  • Elle contrôle les informations relatives à la version et aux correctifs du serveur AD RMS.
  • Vérifie si un serveur Exchange peut être activé pour RMS en récupérant un certificat de compte de droits et un certificat de licence client (CLC).
  • Elle acquiert des modèles de stratégie de droits AD RMS à partir du serveur AD RMS.
  • Elle vérifie que l'expéditeur spécifié peut envoyer des messages protégés par IRM.
  • Elle récupère une licence d'utilisation de super utilisateur pour le destinataire spécifié.
  • Elle acquiert une pré-licence pour le destinataire spécifié.

Prise en charge des clients et fonctionnalités destinées aux utilisateurs finaux

Le logiciel client de messagerie utilisé pour écouter un message vocal protégé doit prendre en charge l'IRM et pouvoir lire un message vocal protégé par messagerie unifiée. Email clients pris en charge incluent Microsoft Outlook 2010 ou versions ultérieures, Outlook Web App et Outlook Voice Access. Le tableau suivant contient la liste des clients de messagerie et indique s'ils sont pris en charge ou non.

Client de messagerie Description
Outlook
  • Les messages vocaux protégés sont pris en charge dans Outlook 2010 et les versions ultérieures.
Outlook Web App
  • Outlook Web App dans Exchange 2010 ou versions ultérieures prend en charge les messages vocaux protégés. Les versions antérieures d’Outlook Web App, appelées Outlook Web Access, ne les prennent pas en charge.
Outlook Voice Access
  • Outlook Voice Access dans Exchange 2010 et versions ultérieures prend en charge la messagerie vocale protégée. Outlook Voice Access inclus avec Exchange 2007 ne prend pas en charge la messagerie vocale protégée.
  • La boîte aux lettres de l’utilisateur doit résider sur un serveur de boîtes aux lettres dans Exchange 2010 ou une version ultérieure.
Exchange ActiveSync
  • Exchange 2010 SP1 et les versions ultérieures prennent en charge la messagerie vocale protégée.
Autres clients de messagerie
  • La fonction Messagerie vocale protégée n'est pas prise en charge.

Structure des messages vocaux protégés

Il y a en fait deux messages impliqués pour chaque message de messagerie vocale protégée. Le premier message est le message externe, qui n’est pas chiffré. Il contient une pièce jointe nommée message.rpmsg. La pièce jointe contient le message vocal protégé par IRM et les données de contrôle de gestion des droits internes. Les données de contrôle de gestion des droits incluent une clé de contenu et des informations de droits qui spécifient qui peut accéder au message vocal et comment ces utilisateurs peuvent y accéder.

Les messages vocaux protégés sont affichés dans la boîte de réception de l'utilisateur, dans le dossier de recherche de la Messagerie vocale. L'utilisateur peut écouter les messages vocaux par le biais du lecteur audio intégré, tout comme il écouterait un message vocal ordinaire, sauf que le bouton Transférer est désactivé et qu'une notification apparaît en haut du message indiquant qu'il est protégé et ne peut être transféré.

Pour les clients de messagerie qui ne prennent pas en charge la messagerie vocale protégée, le corps du message externe est simplement affiché. Les administrateurs peuvent inclure un texte lorsque le logiciel du client ne prend pas en charge la messagerie vocale protégée à l'aide de stratégies de boîte aux lettres de messagerie unifiée. Vous pouvez personnaliser le texte par défaut inclus dans le message électronique en configurant une stratégie de boîte aux lettres de messagerie unifiée. Par exemple, vous pouvez configurer la stratégie de boîte aux lettres de messagerie unifiée avec un texte personnalisé, par exemple :

Vous ne pouvez pas ouvrir ce message vocal, car il est protégé. Pour afficher ou écouter ce message vocal, connectez-vous à votre boîte aux lettres à l’adresse https://mail.contoso.com ou appelez +1 (425) 555-1234 pour appeler à Outlook Voice Access.

Création d'un message vocal protégé

Il existe deux cas dans lesquels il est possible de créer des messages vocaux protégés :

  • Répondeur d’appel : le répondeur d’appel se produit lorsqu’un appelant appelle un utilisateur prenant en charge la messagerie unifiée, mais que l’utilisateur n’est pas disponible pour répondre à l’appel ou le transfère directement à la messagerie vocale. Dans les scénarios de répondeur automatique, le système de messagerie vocale lit une série d'invites vocales après que l'appelant a enregistré un message vocal.

    L'appelant peut alors choisir parmi plusieurs options de message, notamment celle de marquer le message comme étant un message privé en appuyant sur la touche dièse (#). Si l'appelant appuie sur la touche #, il peut suivre les instructions de la messagerie unifiée pour marquer le message comme étant privé, supprimer cette option pour le message ou indiquer qu'il s'agit d'un message important. Le diagramme suivant montre les options du menu à disposition des appelants qui souhaitent laisser un message vocal privé à leur interlocuteur.

    Remarque

    Pour les appels arrivant sur le répondeur automatique, la messagerie unifiée utilise les paramètres de la messagerie vocale protégée de la stratégie de boîte aux lettres de messagerie unifiée du destinataire du message, car l'appelant n'est pas authentifié.

    Créer une messagerie vocale protégée à l’aide du répondeur d’appel.

  • Outlook Voice Access : Outlook Voice Access permet aux utilisateurs de messagerie unifiée d’accéder à leur boîte aux lettres à l’aide de téléphones analogiques, numériques ou cellulaires en composant leur numéro Outlook Voice Access. Les utilisateurs à extension messagerie unifiée peuvent accéder à deux interfaces utilisateur de messagerie unifiée : l'interface utilisateur téléphonique et l'interface utilisateur vocale.

    Les utilisateurs d'Outlook Voice Access peuvent rechercher leurs contacts dans le répertoire et leur envoyer des messages vocaux. Si la fonctionnalité de messagerie vocale protégée a été activée pour les destinataires à extension messagerie unifiée, les appelants peuvent marquer les messages comme privés après les avoir enregistrés. Les administrateurs peuvent également configurer une stratégie de boîte aux lettres de messagerie unifiée pour s'assurer que tous les messages vocaux envoyés par des utilisateurs authentifiés sont protégés par la messagerie unifiée.

    Remarque

    Si un appelant est authentifié, les paramètres de messagerie vocale protégée sur la stratégie de boîte aux lettres de messagerie unifiée qui est liée à l'appelant sont appliqués, indépendamment des paramètres de stratégie de boîte aux lettres de messagerie unifiée pour le destinataire prévu du message vocal.

    Créer une messagerie vocale protégée à l’aide de l’interface vocale.

    Créez une messagerie vocale protégée à l’aide d’une entrée tactile.

Stratégies de boîte aux lettres de messagerie unifiée

Vous pouvez créer une stratégie de boîte aux lettres de messagerie unifiée pour appliquer un jeu commun de paramètres de stratégie de messagerie unifiée, par exemple, des paramètres de stratégie de code confidentiel, des restrictions d'appel et des paramètres de messagerie vocale protégée, à une série de boîtes aux lettres à extension messagerie unifiée. Pour en savoir plus sur les stratégies de boîte aux lettres de messagerie unifiée, consultez Gérer une stratégie de boîte aux lettres de messagerie unifiée.

Vous pouvez configurer les options de la messagerie vocale protégée via le Centre d'administration Exchange (CAE) ou la cmdlet Set-UMMailboxPolicy dans l'environnement de ligne de commande Exchange Management Shell. Le tableau suivant recense les paramètres configurables pour la fonctionnalité de messagerie vocale protégée.

Paramètre de l'environnement de ligne de commande Exchange Management Shell Quels sont les paramètres disponibles dans le CAE ? Description
ProtectAuthenticatedVoiceMail Oui Le paramètre ProtectAuthenticatedVoiceMail spécifie si les utilisateurs prenant en charge la messagerie unifiée peuvent envoyer des messages vocaux protégés lorsqu’ils accèdent à leur boîte aux lettres à l’aide d’Outlook Voice Access. Le paramètre par défaut est None. Cela signifie qu'aucune protection n'est appliquée lors de la création des messages vocaux et que les appelants ne peuvent pas marquer leurs messages comme étant privés. Si la valeur est définie sur Private, seuls les messages marqués comme privés par l’appelant sont protégés. Si la valeur est définie sur All, chaque message vocal est protégé, quelle que soit l’option choisie par l’appelant.
ProtectUnauthenticatedVoiceMail Oui Le paramètre ProtectUnauthenticatedVoiceMail spécifie si les serveurs de boîtes aux lettres qui répondent aux appels pour les utilisateurs avec messagerie unifiée associés à une stratégie de boîte aux lettres de messagerie unifiée créent des messages vocaux protégés. Ce paramètre s'applique aussi quand un message est envoyé depuis un standard automatique de messagerie unifiée à un utilisateur de messagerie unifiée. Le paramètre par défaut est None. Cela signifie qu'aucune protection n'est appliquée aux messages vocaux et que l'appelant ne pourra pas marquer son message comme étant privé. Si la valeur est définie sur Private, seuls les messages marqués comme privés par l’appelant sont protégés. Si la valeur est définie sur All, chaque message vocal est protégé, que le message ait ou non été marqué comme privé par l’appelant.
ProtectedVoiceMailText Oui Le paramètre ProtectedVoiceMailText spécifie le texte à inclure dans le corps du message externe d’un message vocal protégé. Ce texte est affiché dans tous les clients de messagerie qui ne prennent pas en charge les messages vocaux protégés. Notez qu’un message par défaut est toujours fourni par la messagerie unifiée lorsque cette propriété a la Null valeur ou est vide.
RequireProtectedPlayOnPhone Oui Le paramètre RequireProtectedPlayOnPhone spécifie si les utilisateurs associés à la stratégie de boîte aux lettres de messagerie unifiée seront obligés d’écouter le message vocal protégé sur le téléphone (à l’aide de Play On Phone). La valeur par défaut est $false. Lorsque la valeur est définie sur $true, le lecteur multimédia audio sur les formulaires de messagerie vocale protégée dans Outlook ou Outlook Web App s’affiche comme désactivé. Notez que le texte d’aperçu du message vocal est toujours accessible. L’utilisateur ne peut pas lire le fichier audio à l’aide d’un logiciel de lecteur multimédia ou utiliser le lecteur multimédia incorporé pour écouter le message vocal.
AllowVoiceResponseToOtherMessageTypes Oui Le paramètre AllowVoiceResponseToOtherMessageTypes spécifie si les appelants qui se sont authentifiés auprès d’Outlook Voice Access pour accéder à leur courrier électronique pourront composer une réponse vocale aux messages électroniques et aux demandes de réunion.

Pour plus d’informations sur la gestion des paramètres de messagerie vocale protégée, consultez Procédures de messagerie vocale protégée ou Set-UMMailboxPolicy.

Notifications par message texte et messagerie vocale protégée

Les utilisateurs qui configurent leur compte de messagerie unifiée pour envoyer des notifications par message texte (appelés également notifications par SMS) à leur téléphone mobile quand ils reçoivent des messages vocaux, recevront aussi une transcription du message vocal (Aperçu de messagerie vocale) dans le corps du message texte. Ceci représente toutefois un problème de sécurité car le contenu des messages vocaux protégés doit être protégé en permanence.

Lorsque la messagerie unifiée crée une notification par sms pour un message vocal protégé, elle vérifie si le message vocal est marqué comme privé. Si c’est le cas, il n’ajoute pas le texte audio transcrit au message texte qu’il envoie au téléphone mobile. Le texte suivant sera inclus dans le message texte à la place :

Utilisez Outlook Voice Access pour accéder à ce message vocal protégé.