Exchange ActiveSync での Information Rights Management について

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

インフォメーション ワーカーは、電子メールを使用して機密情報を頻繁にやり取りします。この情報をセキュリティ保護するため、組織は Information Rights Management (IRM) を使用して、メッセージング コンテンツに強力な保護を適用できます。電子メールへのアクセスにモバイル デバイスが使用される機会が多くなっているため、モバイル デバイスのユーザーが IRM 保護コンテンツを作成して使用できることが重要です。

目次

Exchange 2010 RTM と Exchange 2010 SP1 におけるモバイル IRM 保護の違い

要件

セキュリティ

Exchange ActiveSync で IRM を有効にする

IRM に関連する管理タスクについては、「権限での保護の管理」を参照してください。

Exchange 2010 RTM と Exchange 2010 SP1 におけるモバイル IRM 保護の違い

Microsoft Exchange Server 2010 の Release To Manufacturing (RTM) バージョンでモバイル デバイスの IRM 保護を有効にするには、次の要件を満たす必要があります。

  • モバイル デバイスが Windows Mobile 6.0 以降を実行している必要があります。

  • Active Directory Rights Management Services (AD RMS) 管理者は、モバイル証明パイプラインに対して読み取りアクセス許可、および読み取りと実行アクセス許可を許可する必要があります (AD RMS サーバーの Inetpub\wwwroot\_wmcs\Certification フォルダーにある MobileDeviceCertification.asmx ファイルを使用)。詳細については、「モバイル デバイスの証明書を有効にする」を参照してください。

  • ユーザーは次のいずれかの方法を用いて、コンピューターにデバイスを接続して、デバイスの IRM を有効にする必要があります。

    • Windows 7 または Windows Vista オペレーティング システムを実行するコンピューターで Windows Mobile デバイス センターを使用する

    • Windows XP オペレーティング システムを実行するコンピューターで Microsoft ActiveSync クライアント アプリケーションを使用する

Exchange 2010 Service Pack 1 (SP1) では、Microsoft Exchange ActiveSync の IRM により、AD RMS のアクセス許可を構成したり、コンピューターにデバイスを接続してデバイスの IRM を有効にする必要なしに、サポートされる Exchange ActiveSync デバイスで豊富な IRM 機能にアクセスできます。また、モバイル デバイスは Windows を実行している必要はありません。Exchange ActiveSync はマイクロソフトにより、モバイル デバイス製造業者、相手先ブランド供給 (OEM) などにライセンスされています。現在の Exchange ActiveSync ライセンシーの一覧については、「Exchange ActiveSync プロトコル」を参照してください。

Exchange ActiveSync で IRM を使用することにより、モバイル デバイスのユーザーは次の操作を実行できます。

  • IRM で保護されたメッセージの作成。

  • IRM で保護されたメッセージの読み取り。

  • IRM で保護されたメッセージの返信と転送。

Exchange 2010 RTM と Exchange 2010 SP1 におけるモバイル IRM 保護の違い

要件

次の要件が適用されます。

  • 組織内のクライアント アクセス サーバーは Exchange 2010 SP1 を実行している必要があります。

  • 組織に AD RMS サーバーを展開する必要があります。

  • 内部メッセージ用に IRM を有効にする必要があります。これは、Exchange 2010 の IRM 機能すべての前提条件です。詳細については、「内部メッセージの IRM を有効または無効にする」を参照してください。

  • Exchange ActiveSync メールボックス ポリシーで IRM を有効にする必要があります。異なる Exchange ActiveSync メールボックス ポリシーを使用することにより、異なるユーザーの集まりごとに IRM を有効または無効にできます。

  • Exchange ActiveSync プロトコル Version 14.1 をサポートするデバイス (Windows フォンを含む) は、Exchange ActiveSync で IRM をサポートできます。デバイスのモバイル電子メール アプリケーションでは、Exchange ActiveSync プロトコル Version 14.1 で定義される RightsManagementInformation タグがサポートされる必要があります。

Exchange 2010 RTM と Exchange 2010 SP1 におけるモバイル IRM 保護の違い

セキュリティ

Exchange ActiveSync で IRM を有効にすると、サポートされるモバイル デバイスのアクセスのためにメッセージを提供する前に、クライアント アクセス サーバーが IRM 保護メッセージを復号化します。同期すると、IRM 保護メッセージはモバイル デバイスに復号化された形式で記録されます。IRM 保護は、モバイル デバイスの IRM 対応電子メール クライアント アプリケーションにより実行されます。

Exchange ActiveSync の IRM は、クライアント アクセス サーバー上で IRM 保護された添付ファイルを復号化しません。IRM 保護ファイルへのアクセスは、ファイルの作成または表示に使用されるアプリケーションが実行します。たとえば、Windows Phone では、Microsoft Office ファイルの IRM 保護は Microsoft Office Mobile により実行されます。IRM 保護 Office ファイルにアクセスするには、ユーザーはコンピューターにデバイスを接続して、RMS サーバーで Office Mobile を有効にする必要があります。

Exchange ActiveSync で IRM を有効にするとき、次の表にある Exchange ActiveSync ポリシー設定を使用して、モバイル デバイスをセキュリティ保護することを推奨します。

Exchange ActiveSync ポリシーの設定

設定 Exchange ActiveSync メールボックス ポリシーの新規作成ウィザードを使用して構成する New-ActiveSyncMailboxPolicy コマンドレットを使用して構成する

ユーザーはモバイル デバイスの情報にアクセスするのに、パスワードを入力する必要がある。

[パスワードを要求する] チェック ボックスをオンにします。

DevicePasswordEnabled パラメーターを $true に設定します。

モバイル デバイスの暗号化を有効にする。

[パスワードを要求する] チェック ボックスをオンにし、[デバイスでの暗号化を要求する] チェックボックスをオンにします。

RequireDeviceEncryption パラメーターを $true に設定します。

重要

RequireDeviceEncryption パラメーターを $true に設定すると、デバイスの暗号化をサポートしないモバイル デバイスは接続できなくなります。

サポートしていないモバイル デバイスの Exchange サーバーとの同期を禁止する。

[サポートしていないデバイスのアクセスを許可する] チェックボックスをオフにします。

AllowNonProvisionableDevices パラメーターを $false に設定します。

詳細については、「Exchange ActiveSync メールボックス ポリシーについて」を参照してください。

Exchange 2010 RTM と Exchange 2010 SP1 におけるモバイル IRM 保護の違い

Exchange ActiveSync で IRM を有効にする

Exchange ActiveSync で IRM を有効にするには、以下の操作を実行します。

  1. AD RMS 内のスーパー ユーザー グループにフェデレーション メールボックス (Exchange 2010 セットアップによって作成されるシステム メールボックス) を追加します。これにより、Exchange 2010 サーバーは IRM で保存されたメッセージにアクセスできるようになります。詳細については、「AD RMS のスーパー ユーザー グループにフェデレーション配信メールボックスを追加する」を参照してください。

  2. Exchange 管理シェルで Set-IRMConfiguration コマンドレットを使用して、クライアント アクセス サーバーの IRM を有効にします。これにより、組織の Exchange ActiveSync の IRM、および Microsoft OfficeOutlook Web App の IRM が有効になります。詳細については、「Outlook Web Appの Information Rights Management を有効または無効にする」を参照してください。

Exchange 2010 RTM と Exchange 2010 SP1 におけるモバイル IRM 保護の違い

 © 2010 Microsoft Corporation.All rights reserved.