Правила защиты Outlook

  • Статья

Область применения: Exchange Server 2013 г.

Каждый день работники информационной сферы обмениваются конфиденциальными сведениями по электронной почте: финансовые отчеты и данные, сведения о покупателях и сотрудниках, конфиденциальные сведения о продуктах и их характеристики. В Microsoft Exchange Server 2013 г., Microsoft Outlook и Microsoft Office Outlook Web App пользователи могут применять защиту управления правами на доступ к данным (IRM) к сообщениям, применяя шаблон политики управления правами Active Directory (AD RMS). Для использования данной возможности в организации должна быть развернута служба управления правами Active Directory. Дополнительные сведения о AD RMS см. в разделе Службы Active Directory Rights Management Services.

Однако если оставить вопрос применения защиты на усмотрение пользователей, существует большая вероятность, что сообщения будут отправляться в незашифрованном виде без применения защиты с использованием управления правами на доступ к данным. В организациях, использующих электронную почту в виде службы, размещенной на веб-сайте поставщика услуг, существует риск утечки информации, поскольку после отправки сообщения его маршрутизация и хранение осуществляется вне организации. Несмотря на наличие у поставщиков служб электронной почты четко описанных процедур и проверок, направленных на снижение риска утечки информации, после того, как сообщение покидает пределы организации, последняя полностью теряет контроль над информацией. Правила защиты Outlook позволяют защитить организацию от этого типа утечки информации.

Сведения о задачах управления, связанных с управлением IRM, см. в разделе Процедуры управления правами на доступ к данным.

Автоматическая защита управления правами на доступ к данным в приложении Outlook

В Exchange 2013 правила защиты Outlook помогают организации защититься от риска утечки информации путем автоматического применения защиты с использованием управления правами на доступ к данным к сообщениям, отправляемым с помощью Exchange 2013. Защита с использованием управления правами на доступ к данным применяется к сообщениям до того, как они покидают клиента Outlook. Этот механизм защиты также применяется ко всем вложениям, использующим поддерживаемые форматы файлов.

После создания правил защиты Outlook на сервере Exchange 2013 правила автоматически распространяются клиентам Outlook 2010 с помощью веб-служб Exchange. Чтобы клиент Outlook 2010 мог применить правило, указанный шаблон политики прав службы управления правами Active Directory должен быть доступен на компьютерах пользователей.

Важно!

Если шаблон политики прав удален с сервера AD RMS, необходимо изменить все правила защиты Outlook, использующие удаленный шаблон. Если правило защиты Outlook продолжает использовать шаблон политики прав, который был удален, а расшифровка транспорта включена в организации, агенту расшифровки не удастся расшифровать сообщение, защищенное шаблоном, который больше недоступен. Если транспортная расшифровка указана как обязательная, служба передачи отклоняет сообщение и отправляет отправителю отчет о недоставке. Дополнительные сведения о расшифровке транспорта см. в разделе Расшифровка транспорта. Дополнительные сведения о шаблонах политик прав AD RMS см. в разделе Рекомендации по шаблону политики AD RMS.

В Windows Server 2008 и более поздних версиях шаблоны политик прав можно архивировать, а не удалять. Архивные шаблоны по-прежнему можно использовать для лицензирования содержимого, но при создании или изменении правила защиты Outlook архивные шаблоны не включаются в список шаблонов.

Правила защиты Outlook похожи на правила защиты транспорта. Оба типа правил применяются исходя из условий сообщения и защищают сообщения путем применения шаблона политики прав службы управления правами Active Directory. Однако, агент правил транспорта применяет правила защиты транспорта в службе передачи на сервере почтовых ящиков. Правила защиты приложения Outlook применяются в приложении Outlook 2010 перед тем, как сообщение отправлено с компьютера пользователя. Сообщения, к которым применено правило защиты Outlook, поступают в транспортный конвейер с уже примененной защитой с использованием управления правами на доступ к данным. Кроме того, сообщения, защищенные с помощью правила защиты Outlook, также сохраняются в зашифрованном виде в папке «Отправленные» почтового ящика отправителя.

Примечание.

Если расшифровка транспорта включена в организации Exchange, сообщения, защищенные IRM правилом защиты Outlook с помощью сервера AD RMS в вашей организации, могут быть расшифрованы агентом расшифровки в транспортной службе. Содержимое сообщения может быть проверено агентом правил транспорта и другими агентами транспорта, установленными на службе передачи. Дополнительные сведения о расшифровке транспорта см. в разделе Расшифровка транспорта.

При использовании правил защиты транспорта у пользователей отсутствует индикатор, показывающий, будет ли сообщение автоматически защищено на службе передачи. Если в Outlook к сообщению применяется правило защиты Outlook 2010, пользователи заранее знают, будет ли сообщение защищено с использованием управления правами на доступ к данным. При необходимости пользователи также могут выбирать другой шаблон политики прав.

Создание правил защиты Outlook

Чтобы создать правила защиты Outlook, необходимо использовать командлет New-OutlookProtectionRule в командной консоли Exchange. Подробные инструкции см. в разделе Create an Outlook Protection Rule.

При создании правила можно указать, может ли пользователь переопределять правило путем удаления защиты с использованием управления правами на доступ к данным или путем применения шаблона политики прав службы управления правами Active Directory, отличающегося от указанного в правиле. Если пользователь переопределяет защиту IRM, применяемую правилом защиты Outlook, Outlook 2010 вставляет X-MS-Outlook-Client-Rule-Overridden заголовок в сообщение, что позволяет определить, что правило было переопределено пользователем.

Предикаты в правилах защиты Outlook

Правила защиты Outlook позволяют использовать три предиката для автоматического применения защиты с использованием управления правами на доступ к данным в Outlook 2010:

  • FromDepartment. Предикат FromDepartment ищет атрибут отдела отправителя в Active Directory и автоматически защищает сообщение, если отдел отправителя соответствует отделу, указанному в правиле. Например, можно создать правило защиты Outlook для автоматической защиты всех сообщений, отправляемых отделом исследований.

  • SentTo. Вашей организации может потребоваться защитить сообщения, отправляемые определенным конфиденциальным получателям, например группам рассылки "Все компании" или "Финансы". С помощью предиката SentTo можно создать правило защиты Outlook, чтобы автоматически защищать сообщения, отправляемые указанным получателям с помощью IRM.

  • SentToScope: предикат SentToScope позволяет создать правило защиты Outlook для автоматической защиты сообщений с правами на доступ к данным, отправляемых внутри организации или за ее пределами. Например, можно использовать предикат SentToScope с предикатом FromDepartment для защиты с использованием управления правами на доступ к данным сообщений, отправляемых некоторым отделом внутренним пользователям.