保护Exchange Server中的语音邮件

适用于:Exchange Server 2013、Exchange Server 2016

某些旧版专用交换机 (PBX) 和 IP PBX 电话系统允许呼叫者将语音邮件标记为私人,阻止邮件的预期收件人将其转发给其他人。 在集成语音邮件系统中,可通过多种方式访问语音邮件,这使得阻止将标记为私人的语音邮件暴露给非预期收听者更加具有挑战性。

统一消息 (UM) 可配置为使用 Active Directory Rights Management Services (AD RMS) 来保护组织的语音消息。 此功能称为“受保护的语音邮件”。

当语音邮件受保护时,不但会阻止收件人转发此邮件,而且 UM 也会确保只有邮件的预期收件人可以访问其内容。 使用 Microsoft Outlook 2010 或更高版本、Outlook Web App 或 Outlook Voice Access 可以访问受保护的语音邮件。

受保护的语音邮件的概述

Exchange 2010 及更高版本的统一消息 (UM) 中提供了受保护的语音邮件功能。 可以在 UM 邮箱策略上配置它,并且所有受保护的语音邮件设置都可以通过使用 Exchange 2010 中的Exchange 管理控制台或 Shell 或 Exchange 2013 中的 Exchange 管理中心 (EAC) 或 cmdlet 来配置。

“受保护的语音邮件”是通过将信息权限管理 (IRM) 应用到语音邮件而实现的。 当语音邮件受 UM 保护时:

  • 用户可以答复受保护的语音邮件。
  • 语音邮件的收件人不能转发该邮件。
  • 用户不能保存语音邮件的副本。
  • 用户不能保存或复制语音邮件的附加音频。
  • 只能由预期收件人打开语音邮件。

使用 Outlook 语音访问) 发送给用户的呼叫应答语音邮件和人际语音邮件 (语音邮件都可以受到 UM 的保护。 但是,保护不适用于以下类型的邮件:

  • 传真邮件。
  • 非语音邮件。 例如,电子邮件或会议请求,即使它们是使用 Outlook 语音访问创建的, (语音答复) 。

Active Directory 权限管理服务概述

AD RMS 是 Windows Server 2008 及更高版本的组件,可用于帮助保护文件,以便只有发件人打算查看文件的用户才能这样做。 AD RMS 通过指定用户访问文件所必须具有的权限来保护文件。 可以配置权限以允许用户使用权限管理信息打开、修改、打印、转发或执行其他操作。 使用 AD RMS 可以在数据分布于网络外部时保护数据。

AD RMS 系统具有服务器和客户端组件,包括以下内容:

  • 安装了 Windows Server 2008 R2 或更高版本的服务器,该服务器运行 Active Directory Rights Management Services 服务器角色,用于处理证书和许可。
  • 数据库服务器。
  • AD RMS 客户端。 最新版本的 AD RMS 客户端包含在 Windows 7 和 Windows 8 操作系统中。

服务器组件由在 Microsoft 服务器(例如 Windows Server 2008 或更高版本)上运行的多个 Web 服务组成。 客户端组件可以在客户端或服务器操作系统上运行,并且包括使应用程序能够对内容进行加密和解密、检索模板和吊销列表以及从服务器获取许可证和证书的功能。

使用 AD RMS 和 AD RMS 客户端,可通过持久使用策略(始终随信息一同存在,无论移动到何处)保护信息,从而增强组织的安全策略。 可以使用 AD RMS 来帮助防止敏感信息 ((如财务报告、产品规格、客户数据以及机密电子邮件和语音邮件)) 有意或意外地落入错误之手。 有关详细信息,请参阅 AD RMS 概述

在 Exchange UM 中,可使用信息权限管理 (IRM) 功能对邮件和附件应用持久保护。

使用 IRM 功能以及受保护的语音邮件,组织和用户可以控制收件人用于访问电子邮件和语音邮件的权限。 IRM 还可用于限制某些收件人操作,例如向其他收件人转发邮件、打印邮件或附件,或者通过复制和粘贴提取邮件或附件内容。

IRM 要求

必须首先部署和配置 AD RMS 基础结构,然后才能在 Exchange 中实施 IRM。 有关详细信息,请参阅 Active Directory Rights Management Services。 要实施 IRM 以在 Exchange 组织中支持受保护的语音邮件,部署必须满足下列要求。

服务器 要求
AD RMS 群集
  • Windows Server 2008 R2 Standard 或 Enterprise SP1,或 Windows Server 2012 Standard 或 Datacenter。 有关系统要求的详细信息,请参阅 Exchange 2013 系统要求
  • 服务连接点 (SCP) :Exchange 2013 和 AD RMS 感知应用程序使用在 Active Directory 中注册的 SCP 来发现 AD RMS 群集和 URL。 AD RMS 允许您在 AD RMS 安装程序中注册 SCP。 如果用于安装 AD RMS 的帐户不是 Enterprise Admins 安全组成员,则可在安装之后执行 SCP 注册。 Active Directory 林中只有一个用于 AD RMS 的 SCP。
  • 权限:必须为 Exchange 服务器组或单个 Exchange 服务器中的服务器分配 AD RMS 服务器认证管道的读取和执行权限。 AD RMS 服务器上的默认路径为 \inetpub\wwwroot_wmcs\certification\ServerCertification.asmx。
  • AD RMS 超级用户:若要启用传输解密、日记报告解密、Outlook Web App中的 IRM 和用于 Exchange 搜索的 IRM,必须将联合传递邮箱(由 Exchange 安装程序创建的系统邮箱)添加到 AD RMS 群集上的 AD RMS 超级用户组。 有关详细信息,请参阅Add the Federation Mailbox to the AD RMS Super Users Group

配置和测试 IRM

必须使用命令行管理程序配置 IRM 功能。 若要配置各项 IRM 功能,请使用 Set-IRMConfiguration cmdlet。 有关如何配置 IRM 功能的详细信息,请参阅 信息权限管理过程

设置 Exchange 服务器之后,可使用 Test-IRMConfiguration cmdlet 执行 IRM 部署的端到端测试。 此 cmdlet 验证组织的 IRM 配置且应在启用受保护的语音邮件之前运行。 Test-IRMConfiguration cmdlet 将执行以下测试:

  • 检查 Exchange 组织的 IRM 配置。
  • 检查 AD RMS 服务器的版本和修补程序信息。
  • 通过检索权限帐户证书和客户端许可方证书 (CLC) 来验证是否可以为 RMS 激活 Exchange 服务器。
  • 从 AD RMS 服务器获取 AD RMS 权限策略模板。
  • 验证指定的发件人是否可以发送受 IRM 保护的邮件。
  • 检索指定收件人的超级用户使用许可证。
  • 获取指定收件人的预许可证。

客户端支持和最终用户功能

用于收听受保护的语音邮件的电子邮件客户端软件必须支持 IRM 并且知道如何读取受 UM 保护的语音邮件。 支持的Email客户端包括Microsoft Outlook 2010或更高版本、Outlook Web App和 Outlook Voice Access。 下表包含电子邮件客户端列表及其是否受支持的信息。

电子邮件客户端 说明
Outlook
  • Outlook 2010 及更高版本中支持受保护的语音邮件。
Outlook Web App
  • Exchange 2010 或更高版本中的Outlook Web App支持受保护的语音邮件。 早期版本的 Outlook Web App(称为 Outlook Web Access)不支持它们。
Outlook Voice Access
  • Exchange 2010 及更高版本中的 Outlook 语音访问支持受保护的语音邮件。 Exchange 2007 附带的 Outlook 语音访问不支持受保护的语音邮件。
  • 用户的邮箱必须位于 Exchange 2010 或更高版本的邮箱服务器上。
Exchange ActiveSync
  • Exchange 2010 SP1 及更高版本中支持受保护的语音邮件。
其他电子邮件客户端
  • 不支持受保护的语音邮件。

受保护的语音邮件结构

实际上每个受保护的语音邮件包括两封邮件。 第一封邮件是未加密的外部邮件。 它包含名为 message.rpmsg 的附件。 此附件包含受 IRM 保护的语音邮件和内部权限管理控制数据。 权限管理控制数据包括内容密钥和权限信息,其中权限信息用于指定可以对语音邮件进行访问的用户以及访问方式。

受保护的语音邮件显示在“语音邮件”搜索文件夹的用户收件箱中。 用户可以使用嵌入的音频播放器收听语音邮件,如同收听普通语音邮件一样,只是“转发”按钮将被禁用,并且在邮件顶部将显示一则注意事项,说明此邮件受到保护且不能转发的。

对于不支持受保护的语音邮件的电子邮件客户端,将显示外部邮件的正文。 当客户端的软件不支持使用 UM 邮箱策略的受保护的语音邮件时,管理员可以包含文本。 可以通过配置 UM 邮箱策略来自定义电子邮件中包含的默认文本。 例如,可以使用自定义文本配置 UM 邮箱策略,例如:

无法打开此语音邮件,因为它受到保护。 若要查看或收听此语音邮件,请登录到您的邮箱 https://mail.contoso.com ,或拨打 +1 (425) 555-1234 呼叫 Outlook Voice Access。

撰写受保护的语音邮件

可以在以下两种情况下创建受保护的语音邮件:

  • 呼叫应答:当呼叫者呼叫启用了 UM 的用户,但该用户无法应答呼叫或将呼叫直接转发到语音邮件时,会发生呼叫应答。 在呼叫应答方案中,语音邮件系统将在呼叫者录制语音邮件之后播放一系列语音提示。

    然后,呼叫者可以从其他邮件选项中进行选择,包括按井号 (#) 键将语音邮件标记为私人的选项。 如果呼叫者按 # 键,则他们可以按照 UM 提供的说明将邮件标记为私人、从私人语音邮件中删除私人标记或者将语音邮件的重要性标记为“高”。 下图显示了呼叫者在为用户留下私人语音邮件时可以使用的菜单选项。

    注意

    对于呼叫应答呼叫,UM 会使用邮件预期收件人 UM 邮箱策略上的受保护的语音邮件设置,因为呼叫者未经过身份验证。

    使用呼叫应答创建受保护的语音邮件。

  • Outlook 语音访问:Outlook Voice Access 允许启用 UM 的用户使用模拟电话、数字电话或移动电话通过拨打其 Outlook Voice Access 号码来访问其邮箱。 有两种统一消息用户界面可供已启用 UM 的用户使用:电话用户界面 (TUI) 和语音用户界面 (VUI)。

    Outlook Voice Access 用户可以在目录中搜索联系人并向他们发送语音邮件。 如果已经为已启用 UM 的收件人启用了受保护的语音邮件,则呼叫者可以在录制邮件之后将其标记为私人。 或者,管理员可以配置 UM 邮箱策略,以确保经过身份验证的用户发送的所有语音邮件都受 UM 保护。

    注意

    如果呼叫者经过身份验证,则将应用链接到该呼叫者的 UM 邮箱策略上的受保护的语音邮件设置,而不管语音邮件的预期收件人的 UM 邮箱策略设置如何。

    使用语音界面创建受保护的语音邮件。

    使用触摸音输入创建受保护的语音邮件。

统一消息邮箱策略

可以创建统一消息邮箱策略,以对已启用 UM 的邮箱集合应用一组常用的 UM 策略设置,例如 PIN 策略设置、拨号限制和受保护的语音邮件设置。 若要详细了解 UM 邮箱策略,请参阅 管理 UM 邮箱策略

可以使用 EAC 或命令行管理程序中的 Set-UMMailboxPolicy cmdlet 配置受保护的语音邮件选项。 下表列出了可以为受保护的语音邮件配置的设置。

命令行管理程序参数 是否为 EAC 中的可用设置? 说明
ProtectAuthenticatedVoiceMail ProtectAuthenticatedVoiceMail 参数指定启用 UM 的用户在使用 Outlook Voice Access 访问其邮箱时是否可以发送受保护的语音邮件。 默认设置为 None。 这意味着撰写语音邮件时不会实施保护,并且呼叫者不会有用于将语音邮件标记为“私人”的选项。 如果值设置为 Private,则仅保护由调用方标记为“专用”的消息。 如果该值设置为 All,则无论呼叫者选择哪种选项,每个语音消息都受到保护。
ProtectUnauthenticatedVoiceMail ProtectUnauthenticatedVoiceMail 参数指定邮箱服务器(这些服务器应答与 UM 邮箱策略相关联且已启用 UM 的用户的呼叫)是否创建受保护的语音邮件。 将邮件从 UM 自动助理发送到已启用 UM 的用户时,也会应用此设置。 默认设置为 None。 这意味着不会对语音邮件实施保护,并且不会向呼叫者提供用于将邮件标记为“私人”的选项。 如果值设置为 Private,则仅保护由调用方标记为“专用”的消息。 如果该值设置为 All,则无论消息是否已被调用方标记为专用,每个语音消息都受到保护。
ProtectedVoiceMailText ProtectedVoiceMailText 参数指定要包括在受保护的语音邮件的外部邮件正文中的文本。 此文本将显示在所有不支持受保护的语音邮件的电子邮件客户端应用程序中。 请注意,当此属性设置为 Null 或 为空时,默认消息始终由 UM 提供。
RequireProtectedPlayOnPhone RequireProtectedPlayOnPhone 参数指定是否强制与 UM 邮箱策略关联的用户使用“在电话上播放”) 通过电话 (侦听受保护的语音邮件。 默认值为 $false. 当该值设置为 $true时,Outlook 或 Outlook Web App 受保护语音邮件窗体上的音频媒体播放器将显示为已禁用。 请注意,始终可以访问语音邮件的预览文本。 用户无法使用任何媒体播放器软件播放音频文件,也无法使用嵌入式媒体播放器收听语音消息。
AllowVoiceResponseToOtherMessageTypes AllowVoiceResponseToOtherMessageTypes 参数指定已通过 Outlook Voice Access 身份验证以访问其电子邮件的呼叫者是否能够撰写电子邮件和会议请求的语音答复。

有关如何管理受保护的语音邮件设置的详细信息,请参阅 受保护的语音邮件过程Set-UMMailboxPolicy

短信通知和受保护的语音邮件

将其 UM 帐户配置为收到语音邮件时向其移动电话发送短信通知(也称为 SMS 通知)的用户也会收到音频转录(语音邮件预览)文本,该文本是短信正文的一部分。 但是,对于受保护的语音邮件,这表示可能会出现安全问题,因为语音邮件的内容应始终受到保护。

当 UM 为受保护的语音邮件创建文本消息通知时,它会检查语音邮件是否标记为“专用”。 如果是这样,它不会将转录的音频文本添加到发送到移动电话的短信中。 以下文本将改为包含在短信中:

使用 Outlook 语音访问访问此受保护的语音邮件。