次の方法で共有


Outlook の保護ルール

製品: Exchange Server 2013

インフォメーション ワーカーは、毎日、財務レポートやデータ、顧客と従業員の情報、機密情報や仕様など、機密情報を電子メールで交換します。 Microsoft Exchange Server 2013、Microsoft Outlook、および Microsoft Office Outlook Web Appでは、ユーザーは Active Directory Rights Management Services (AD RMS) 権限ポリシー テンプレートを適用することで、メッセージに Information Rights Management (IRM) 保護を適用できます。 これには、組織内の AD RMS のデプロイが必要です。 AD RMS の詳細については、「 Active Directory Rights Management Services」を参照してください。

ただし、ユーザーの指示に任された場合、メッセージは IRM 保護なしで、クリア テキストで送信される可能性があります。 ホストされたサービスとして電子メールを使用する組織の場合、メッセージがクライアントから送信されて、組織の境界外にルーティングおよび保存される際、情報漏洩のリスクが生じます。 電子メールをホストする企業に明確な手順があり、情報漏洩のリスクを軽減できるようにチェックしても、メッセージが組織の境界から出ると、組織は情報を制御できなくなります。 Outlook の保護ルールは、この種の情報漏洩の保護に役立ちます。

IRM の管理に関連する管理タスクについては、「 Information Rights Management の手順」を参照してください。

Outlook の自動 IRM 保護

Exchange 2013 では、Outlook 保護ルールは、IRM 保護を Exchange 2013 のメッセージに自動的に割り当てることにより、情報漏洩のリスクから組織を保護します。 メッセージは Outlook クライアントを出る前に IRM で保護されます。 この保護機能は、ポートされるファイル形式を使用するすべての添付ファイルにも適用されます。

Outlook 保護ルールを Exchange 2013 サーバー上に作成すると、ルールは Exchange Web サービスの使用により、自動的に Outlook 2010 に配布されます。 Outlook 2010 でルールを適用するには、指定する AD RMS 権利ポリシー テンプレートがユーザーのコンピューターで使用できる必要があります。

重要

権利ポリシー テンプレートを AD RMS サーバーから削除した場合、削除されたテンプレートを使用するすべての Outlook 保護ルールを変更する必要があります。 Outlook 保護ルールで、削除された権利ポリシー テンプレートが継続使用され、トランスポート復号化が組織内で有効化されている場合、復号化エージェントは、使用できなくなったテンプレートで保護されたメッセージを解読できなくなります。 トランスポート復号化が必須として構成されている場合、トランスポート サービスはメッセージを拒否し、配信不能レポート (NDR) を送信者に送信します。 トランスポート復号化の詳細については、「トランスポート復号化」を参照してください。 AD RMS 権利ポリシー テンプレートの詳細については、「AD RMS ポリシー テンプレートに関する考慮事項」を参照してください。

Windows Server 2008 以降では、権限ポリシー テンプレートは削除される代わりにアーカイブできます。 アーカイブされたテンプレートは引き続き、コンテンツにライセンスするために使用できますが、Outlook 保護ルールを作成または変更するときに、アーカイブされたテンプレートは、テンプレート一覧に含まれません。

Outlook 保護ルールはトランスポート保護ルールに似ています。 両方ともメッセージの条件に基づいて適用され、AD RMS 権利保護テンプレートを適用してメッセージを保護します。 ただし、メールボックス サーバー上のトランスポート サービスには、トランスポート ルール エージェントによってトランスポート保護ルールが適用されます。 Outlook 2010 では、メッセージがユーザーのコンピューターから送信される前に Outlook 保護ルールが適用されます。 Outlook 保護ルールによって保護されたメッセージは、IRM 保護が既に適用された状態でトランスポート パイプラインに入ります。 また、Outlook 保護ルールで保護されたメッセージは、送信者のメールボックスの送信済みアイテム フォルダーに、暗号化された形式で保存されます。

注:

トランスポート復号化が Exchange 組織で有効化されている場合、組織の AD RMS サーバーを使用することで、Outlook 保護ルールで IRM 保護されているメッセージは、トランスポート サービス上の復号化エージェントによって解読できます。 メッセージ コンテンツは、トランスポート ルール エージェントおよびトランスポート サービスにインストールされた他のトランスポート エージェントによって検査することができます。 トランスポート復号化の詳細については、「トランスポート復号化」を参照してください。

トランスポート保護ルールを使用する場合、メッセージがトランスポート サービスで自動的に保護されるかどうかはユーザーにはわかりません。 Outlook 保護ルールを Outlook 2010 内のメッセージに適用する場合、ユーザーはメッセージが IRM 保護されるかどうかがわかります。 必要に応じて、ユーザーは他の権利ポリシー テンプレートを選択することもできます。

Outlook の保護ルールの作成

Outlook 保護ルールを作成するには、Exchange 管理シェルで New-OutlookProtectionRule コマンドレットを使用する必要があります。 詳細な手順については、「 Outlook 保護ルールを作成する」を参照してください。

ルールを作成する際、ユーザーが IRM 保護を削除するか、またはルールで指定されているものとは異なる AD RMS 権利ポリシー テンプレートを適用することで、ルールを上書きできるかどうかを指定できます。 ユーザーが Outlook 保護規則によって適用される IRM 保護をオーバーライドした場合、Outlook 2010 はメッセージにヘッダーを挿入 X-MS-Outlook-Client-Rule-Overridden します。これにより、ルールがユーザーによってオーバーライドされたことを判断できます。

Outlook 保護ルールの述語

Outlook 保護ルールにより、IRM 保護を自動的に Outlook 2010 に適用するための 3 つの述語を使用できます。

  • FromDepartment: FromDepartment 述語は、Active Directory で送信者の部署属性を検索し、送信者の部署がルールで指定された部署と一致する場合にメッセージを自動的に IRM で保護します。 たとえば、調査部署によって送信されたすべてのメッセージを自動的に保護するための Outlook 保護ルールを作成できます。

  • SentTo: 組織は、すべての会社や財務の配布グループなど、特定の機密性の高い受信者に送信されるメッセージを保護する必要がある場合があります。 SentTo 述語を使用すると、指定した受信者に送信されたメッセージを自動的に IRM で保護する Outlook 保護規則を作成できます。

  • SentToScope: SentToScope 述語を使用すると、組織内外で送信されたメッセージを自動的に IRM で保護する Outlook 保護規則を作成できます。 たとえば、 SentToScope 述語と FromDepartment 述語を使用して、特定の部門から内部ユーザーに送信される IRM 保護メッセージを使用できます。