Information Rights Management in Exchange ActiveSync
Si applica a: Exchange Server 2013
Gli Information Worker utilizzano spesso la posta elettronica per scambiare informazioni riservate. Per proteggere queste informazioni, le organizzazioni possono utilizzare Information Rights Management (IRM) per applicare una protezione permanente al contenuto dei messaggi. Poiché i cellulari vengono sempre più utilizzati per accedere alla posta elettronica, è importante che gli utenti di tali apparati siano in grado di creare e utilizzare contenuti protetti tramite IRM.
Protezione IRM per dispositivi mobili in Exchange 2013
In Exchange 2013, IRM in Microsoft Exchange ActiveSync consente agli utenti di accedere a funzionalità IRM avanzate in qualsiasi dispositivo Exchange ActiveSync supportato senza dover configurare le autorizzazioni di AD RMS o connettere il dispositivo a un computer e attivarlo per IRM. Also, the mobile device doesn't need to be running Windows. Exchange ActiveSync is licensed by Microsoft to mobile device manufacturers, original equipment manufacturers (OEMs), and others. Per un elenco dei licenziatari Exchange ActiveSync correnti, espandere la sezione "protocollo Exchange ActiveSync" nella pagina Microsoft Technology Licensing.
Sono necessari i seguenti requisiti:
- Sui server Accesso client dell'organizzazione deve essere in esecuzione UNRESOLVED_TOKEN_VAL(exExchange2010) SP1 o versioni successive.
- Nell'organizzazione deve essere distribuito un server AD RMS.
- Reply to and forward IRM-protected messages.
Requisiti
Return to top
I server Accesso client nell'organizzazione devono eseguire Exchange 2010 SP1 o versione successiva.
Quando si abilita IRM in Exchange ActiveSync, il server Accesso client effettua la decrittografia dei messaggi protetti tramite IRM prima di rendere i messaggi accessibili dai dispositivi mobili supportate. Subito dopo la sincronizzazione, i messaggi protetti tramite IRM risiedono sul dispositivo mobile in un formato decrittografato. La protezione IRM viene realizzata dall'applicazione client di posta elettronica abilitata IRM sul dispositivo mobile.
IRM deve essere abilitato per i messaggi interni. Si tratta di un prerequisito per tutte le funzionalità IRM in Exchange 2010. Per informazioni dettagliate, vedere Abilitare o disabilitare IRM per i messaggi interni.
IRM deve essere abilitato nei criteri cassetta postale Exchange ActiveSync. È possibile abilitare o disabilitare IRM per diversi set di utenti usando criteri cassetta postale Exchange ActiveSync diversi.
I dispositivi che supportano Exchange ActiveSync protocollo versione 14.1 possono supportare IRM in Exchange ActiveSync. The device's mobile e-mail application must support the RightsManagementInformation tag defined in Exchange ActiveSync version 14.1.
Sicurezza
Quando si abilita IRM in Exchange ActiveSync, il server Accesso client decrittografa i messaggi protetti da IRM prima di fornire i messaggi per l'accesso da parte del dispositivo mobile supportato. Al momento della sincronizzazione, i messaggi protetti da IRM risiedono nel dispositivo mobile in un formato non crittografato. La protezione IRM viene applicata dall'applicazione client di posta elettronica con supporto IRM nel dispositivo mobile.
IRM in Exchange ActiveSync doesn't decrypt IRM-protected attachments on the Client Access server. Access to IRM-protected files is enforced by the application used to create or view the file. To access IRM-protected Office files, users must connect the device to a computer and activate Office Mobile with the RMS server.
When enabling IRM in Exchange ActiveSync, we recommend using the Exchange ActiveSync policy settings shown in the following table to help secure mobile devices.
Exchange ActiveSync policy settings
Impostazione | Selezionare la casella di controllo Richiedi password, e selezionare la casella di controllo Richiedi crittografia del dispositivo. | Imposta il parametro RequireDeviceEncryption su $true. |
---|---|---|
Quando si imposta il parametro RequireDeviceEncryption su $true, i dispositivi mobili che non supportano la crittografia non saranno in grado di collegarsi. | Select the Require password check box. | Impostare il parametro DevicePasswordEnabled su $true . |
Enable encryption for the mobile device. | Select the Require password check box, and then select the Require encryption on device check box. | Impostare il parametro RequireDeviceEncryption su $true . Importante: quando si imposta il parametro $true RequireDeviceEncryption su , i dispositivi mobili che non supportano la crittografia dei dispositivi non potranno connettersi. |
Per abilitare IRM in Exchange ActiveSync, eseguire le seguenti operazioni: | Aggiungere la cassetta postale federata (una cassetta postale di sistema creata durante l'installazione di Exchange 2013 ed UNRESOLVED_TOKEN_VAL(exExchange2010)) al gruppo di utenti con privilegi avanzati in AD RMS. Ciò consente ai server Exchange 2013 ed UNRESOLVED_TOKEN_VAL(exExchange2010) di accedere ai messaggi protetti da IRM. Per ulteriori informazioni, vedere Aggiungere la cassetta postale di federazione per il gruppo di utenti con privilegi avanzati di AD RMS. | Impostare il parametro AllowNonProvisionableDevices su$false . |
Per altre informazioni, vedere Criteri cassetta postale per dispositivi mobili.
Enabling IRM in Exchange ActiveSync
To enable IRM in Exchange ActiveSync, perform the following tasks:
Aggiungere la cassetta postale di federazione (una cassetta postale di sistema creata dal programma di installazione di Exchange 2013 ed Exchange 2010) al gruppo di utenti con privilegi avanzati in AD RMS. Ciò consente ai server Exchange 2013 ed Exchange 2010 di accedere ai messaggi protetti da IRM. For details, see Aggiungere la cassetta postale di federazione per il gruppo di utenti con privilegi avanzati di AD RMS.
Use the Set-IRMConfiguration cmdlet in the Exchange Management Shell to enable IRM on the Client Access server. In questo modo, IRM viene abilitato in Exchange ActiveSync e IRM in Microsoft Office Outlook Web App per l'organizzazione. For details, see Attivare o disattivare Information Rights Management sui server Accesso Client.