Regole di protezione del trasporto

Si applica a: Exchange Server 2013

Email messaggi e allegati contengono sempre più informazioni cruciali per l'azienda, ad esempio specifiche del prodotto, documenti di strategia aziendale e dati finanziari o informazioni personali, ad esempio i dettagli di contatto, i numeri di previdenza sociale, i numeri di carta di credito e i record dei dipendenti. Esistono diverse normative locali e specifiche del settore in molte parti del mondo che regolano la raccolta, l'archiviazione e la divulgazione di informazioni personali.

Per consentire la sicurezza delle informazioni riservate, le organizzazioni creano criteri di messaggistica che forniscono linee guida su come gestire queste informazioni. In Microsoft Exchange Server 2013, è possibile usare le regole di protezione del trasporto per implementare questi criteri di messaggistica controllando il contenuto dei messaggi, crittografando il contenuto sensibile della posta elettronica e usando rights management per controllare l'accesso al contenuto.

Per le attività di gestione relative alla gestione di IRM, vedere Procedure di Information Rights Management.

Regole di protezione del trasporto e AD RMS

Le regole di protezione del trasporto consentono di utilizzare le regole di trasporto per proteggere con IRM i messaggi applicando un modello di criteri per i diritti di Active Directory Rights Management Services (AD RMS).

Nota

AD RMS è una tecnologia per la sicurezza delle informazioni che interagisce con applicazioni e client abilitati a Rights Management Service (RMS) per proteggere le informazioni riservate online e offline. Per usare la protezione IRM in una distribuzione di Exchange locale, Exchange 2013 richiede una distribuzione locale di AD RMS in esecuzione in Windows Server 2008 o versioni successive.

AD RMS utilizza modelli di criteri basati su XML per consentire alle applicazioni abilitate a IRM compatibili di applicare criteri di sicurezza coerenti. In Windows Server 2008 e versioni successive, il server AD RMS presenta un servizio Web utilizzabile per enumerare e acquisire i modelli. Exchange 2013 viene fornito con il modello Non inoltrare.

Quando il modello Non inoltrare viene applicato a un messaggio, solo i destinatari specificati nel messaggio possono decrittografare il messaggio. I destinatari non possono inoltrare, copiare o stampare il messaggio.

Per soddisfare i requisiti di sicurezza dei diritti per l'organizzazione, è possibile creare ulteriori modelli RMS nella distribuzione locale di AD RMS.

Importante

Se un modello di criteri per i diritti viene rimosso dal server AD RMS, è necessario modificare tutte le regole di protezione del trasporto che utilizzano il modello rimosso. Se una regola di protezione del trasporto continua a utilizzare un modello di criteri per i diritti rimosso, il server AD RMS non concederà la licenza a nessun destinatario e al mittente verrà inviato un rapporto di mancato recapito (NDR).

In Windows Server 2008 e versioni successive è possibile archiviare i modelli di criteri di diritti anziché eliminarli. I modelli archiviati possono ancora essere utilizzati per concedere licenze per il contenuto, ma quando si crea o si modifica una regola di protezione del trasporto, i modelli archiviati non vengono compresi nell'elenco dei modelli.

Per ulteriori informazioni sulla creazione di modelli AD RMS, vedere Guida dettagliata alla creazione e distribuzione dei modelli di criteri per i diritti di utilizzo di Active Directory Rights Management Services.

Protezione automatica tramite le regole di protezione del trasporto

I messaggi contenenti informazioni aziendali critiche o informazioni personali possono essere identificati usando una combinazione di condizioni delle regole di trasporto, incluse espressioni regolari per identificare modelli di testo come i numeri di previdenza sociale. Le organizzazioni richiedono diversi livelli di sicurezza per le informazioni riservate. Alcune informazioni possono essere limitate a dipendenti, fornitori o partner; mentre altre informazioni possono essere limitate solo ai dipendenti a tempo pieno. Il livello di sicurezza desiderato può essere applicato ai messaggi adottando un modello di criteri per i diritti adeguato. Ad esempio, gli utenti possono contrassegnare i messaggi o gli allegati di posta elettronica come Materiale aziendale riservato. Come illustrato nella figura seguente, è possibile creare una regola di protezione del trasporto per esaminare il contenuto del messaggio con le parole "Materiale aziendale riservato" e proteggere automaticamente con IRM il messaggio.

Per ulteriori informazioni sulla creazione del regole di trasporto per applicare la sicurezza dei diritti, vedere Creare una regola di protezione del trasporto.

Protezione permanente degli allegati di posta elettronica

Gli utenti inviano informazioni aziendali critiche e informazioni personali negli allegati di posta elettronica usando formati di file di Microsoft Office comuni, ad esempio Microsoft Office Word, Excel e PowerPoint. Tutti questi formati di file supportano la protezione permanente tramite IRM ed è possibile assicurarsi che le informazioni aziendali critiche e le informazioni personali in questi documenti siano protette correttamente. Le regole di protezione del trasporto consentono di applicare lo stesso livello di protezione ai messaggi e agli allegati di posta elettronica nei formati di file supportati.

Agente Regole di trasporto e agente di crittografia

Quando si utilizzano le regole di protezione del trasporto per proteggere con IRM i messaggi in base alle condizioni delle regole, i messaggi vengono esaminati dall'agente Regole di trasporto nel servizio Trasporto. Se soddisfano tutte le condizioni e nessuna eccezione, il messaggio viene contrassegnato per la protezione IRM. L'agente di crittografia, un agente di trasporto incorporato che si attiva in concomitanza dell'evento OnRoutedMessage, rende effettiva la protezione IRM del messaggio. L'agente di crittografia agisce sui messaggi solo se IRM è abilitato per i messaggi interni. Per ulteriori informazioni sull'abilitazione di IRM, vedere Abilitazione o disabilitazione di IRM per i messaggi interni.

Quando il servizio di trasporto viene riavviato ed elabora il primo messaggio richiedente la crittografia IRM, l'agente di crittografia deve essere in grado di raggiungere un server AD RMS dell'organizzazione. Per i messaggi successivi, l'agente non deve contattare il server AD RMS. Se la crittografia del messaggio non riesce per condizioni temporanee, Exchange tenta di rieseguire l'operazione per tre volte a intervalli di 10 minuti. Dopo tre tentativi, se non può essere crittografato, il messaggio non viene recapitato ai destinatari. Al mittente viene inviato un rapporto di mancato recapito. Si consiglia di pianificare la distribuzione di AD RMS a elevata disponibilità per assicurarsi di non interferire con il flusso dei messaggi.

Durante la pianificazione dell'utilizzo delle regole di protezione del trasporto, è necessario considerare il tipo di informazioni da proteggere e pianificare la creazione delle relative regole. In Exchange 2013, le regole di trasporto dispongono di un gran numero di predicati che consentono di esaminare il contenuto dei messaggi, compresi gli allegati supportati, le intestazioni dei messaggi, gli indirizzi del mittente e dei destinatari e gli attributi di Active Directory quali reparto, appartenenza ai gruppi di distribuzione e relazioni di gestione del mittente con i destinatari. Per altre informazioni sui predicati delle regole di trasporto disponibili in Exchange 2013, vedere Condizioni delle regole di trasporto (predicati).

Inoltre, è necessario considerare il traffico di messaggistica dell'organizzazione e il numero di messaggi da proteggere utilizzando le regole di protezione del trasporto. L'applicazione della protezione IRM a un gran numero di messaggi richiede maggiori risorse sul server Cassette postali. Inoltre, la protezione di un gran numero di messaggi o di tutti i messaggi interferisce anche con le prestazioni client, in particolare per gli utenti di Microsoft Outlook.