Поделиться через


Общие сведения о расшифровке отчета журнала

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2010-01-21

Пользователи Microsoft Outlook 2010 и Microsoft Office Outlook Web App могут защищать сообщения с помощью управления правами на доступ к данным в Microsoft Exchange Server 2010. Можно создать правила защиты Outlook, в соответствии с которыми защита с использованием управления правами на доступ к данным будет применяться автоматически перед отправкой сообщения от клиента Outlook 2010. Кроме того, можно создать правила защиты транспорта для применения защиты с использованием управления правами на доступ к данным к сообщениям в пути, которые соответствуют условиям правила.

Дополнительные сведения о правилах защиты Outlook см. в разделе Общие сведения о правилах защиты Outlook.

Ограничения стандартных решений для шифрования

Если для шифрования сообщений организация использует такие традиционные решения, как протокол S/MIME, диспетчеры записей не смогут проверить зашифрованное содержимое или найти его. Архивация зашифрованных сообщений, содержащих недоступное или непонятное содержимое, может не соответствовать требованиям бизнеса или нормативным требованиям. При обнаружении запроса электронного обнаружения (eDiscovery) неспособность расшифровать, найти и представить содержимое из зашифрованных сообщений может оказаться проблемой, а отсутствие требуемой информации может повлечь за собой юридические и финансовые риски.

Кроме того, политики обмена сообщениями в организации могут требовать расшифровку сообщений журнала, чтобы содержимое было доступно средствам eDiscovery, автоматизированным процессам или диспетчерам записей, получающим доступ к почтовому ящику ведения журнала. Расшифровка отчета журнала в Exchange 2010 соответствует описанным выше требованиям.

Дополнительные сведения о ведении журнала см. в разделах Общие сведения о ведении журнала и Общие сведения об отчетах журнала.

Расшифровка отчета журнала

Расшифровка отчета журнала позволяет сохранить копию текста сообщений, защищенных с использованием управления правами на доступ к данным, вместе с исходным сообщением. Если сообщение, защищенное с использованием управления правами на доступ к данным, содержит любые поддерживаемые вложения, которые были защищены с помощью кластера службы управления правами Active Directory (AD RMS) организации, вложения также расшифровываются.

Важно!

Для расшифровки отчета журнала требуется клиентская лицензия Exchange Enterprise. Расшифровка отчета журнала поддерживает только ведение расширенного журнала.

Расшифровка выполняется агентом расшифровки отчета журнала, который является транспортным агентом. Агент расшифровки отчета журнала запускается при возникновении события OnCategorizedMessage. Сообщения, защищенные в пересылке с помощью правил защиты транспорта, уже зашифрованы агентом шифрования, который запускается при возникновении события OnRoutedMessage, до получения сообщений агентом расшифровки отчета журнала. Эти сообщения расшифровываются агентом расшифровки отчета журнала.

Dd876936.note(ru-ru,EXCHG.140).gifПримечание.
В Exchange 2010 агент расшифровки отчета журнала является встроенным агентом. Встроенные агенты не включены в список агентов, возвращаемых командлетом Get-TransportAgent. Дополнительные сведения см. в разделе Общие сведения об агентах транспорта.

Агент расшифровывает следующие типы сообщений, защищенных с использованием управления правами на доступ к данным:

  1. Сообщения, защищенные с помощью управления правами на доступ к данным пользователем в Outlook Web App.
  2. Сообщения, защищенные с помощью управления правами на доступ к данным пользователем в Outlook 2010.
  3. Сообщения, защищенные с помощью управления правами на доступ к данным в Outlook 2010 с помощью правил защиты Outlook.
  4. Сообщения, защищенные автоматически с использованием управления правами на доступ к данным в процессе передачи с помощью правил защиты транспорта.

Важно!

Агент расшифровки отчета журнала расшифровывает только те сообщения, которые были защищены с использованием управления правами на доступ к данным сервером службы управления правами Active Directory в организации. Агент не расшифровывает вложение, если оно не было защищено одновременно с сообщением (и следовательно, не имеет той же лицензии), или файл, защищенный с помощью управления правами на доступ к данным, который добавлен в качестве вложения к незащищенному сообщению.

Настройка расшифровки отчета журнала

Для настройки расшифровки отчета журнала используется командлет Set-IRMConfiguration в командной консоли Exchange. Однако перед настройкой расшифровки отчета журнала необходимо назначить серверам Exchange 2010 разрешения для расшифровки содержимого, защищенного с помощью управления правами на доступ к данным сервером службы управления правами Active Directory. Для этого необходимо добавить почтовый ящик федеративной доставки в группу суперпользователей, настроенную в кластере службы управления правами Active Directory организации. Дополнительные сведения см. в разделе Добавление почтового ящика федеративной доставки в группу суперпользователей службы управления правами Active Directory.

Важно!

Если служба управления правами Active Directory развернута между лесами, т. е. в каждом лесу развернут кластер службы управления правами Active Directory, необходимо добавить почтовый ящик федеративной доставки в группу суперпользователей на кластере службы управления правами Active Directory в каждом лесу, чтобы разрешить транспортным серверам-концентраторам Exchange 2010 расшифровывать сообщения, защищенные на каждом кластере службы управления правами Active Directory.

Дополнительные сведения о настройке расшифровки отчета журнала см. в разделе Включение и отключение расшифровки отчета журнала.

После включения расшифровки отчета журнала почтовый ящик ведения журнала может содержать отчеты журнала с конфиденциальными данными в незашифрованном виде. Рекомендуется отслеживать доступ к почтовому ящику ведения журнала и предоставлять доступ только авторизованным пользователям. Эта рекомендация также относится к случаю, если защита с использованием управления правами на доступ к данным не применяется к сообщениям электронной почты.