Gerenciamento de Direitos de Informação no Exchange ActiveSync

  • Artigo

Aplica-se a: Exchange Server 2013

Os operadores de informações costumam usar o email para trocar informações confidenciais. Para ajudar a proteger essas informações, as organizações podem usar o Gerenciamento de Direitos de Informação (IRM) para aplicar proteção persistente a conteúdo de mensagens. Como dispositivos móveis estão sendo cada vez mais usados para acessar email, é importante que os usuários de dispositivo móvel possam criar e consumir conteúdo protegido por IRM.

Proteção de IRM móvel no Exchange 2013

No Exchange 2013, o IRM no Microsoft Exchange ActiveSync permite que seus usuários acessem funcionalidades avançadas de IRM em qualquer dispositivo de Exchange ActiveSync com suporte sem precisar configurar permissões do AD RMS ou conectar o dispositivo a um computador e ativá-lo para IRM. Also, the mobile device doesn't need to be running Windows. Exchange ActiveSync is licensed by Microsoft to mobile device manufacturers, original equipment manufacturers (OEMs), and others. Para obter uma lista de licenciados Exchange ActiveSync atuais, expanda a seção "Protocolo Exchange ActiveSync" na página Licenciamento de Tecnologia da Microsoft.

Os seguintes requisitos se aplicam:

  • Os servidores Acesso do Cliente na organização devem estar executando o UNRESOLVED_TOKEN_VAL(exExchange2010) SP1 ou mais recente.
  • Um servidor AD RMS deve estar implantado na organização.
  • Reply to and forward IRM-protected messages.

Requisitos

Return to top

  • Os servidores de Acesso ao Cliente em sua organização devem estar executando o Exchange 2010 SP1 ou posterior.

  • Quando você habilita o IRM no Exchange ActiveSync, o servidor Acesso do Cliente descriptografa mensagens protegidas por IRM antes de fornecer às mensagens o acesso pelo dispositivo móvel com suporte. Mediante a sincronização, as mensagens protegidas pelo IRM residem no dispositivo móvel em um formato descriptografado. A proteção do IRM é aplicada pelo aplicativo cliente de email compatível com IRM no dispositivo móvel.

  • O IRM deve estar habilitado para mensagens internas. Este é um pré-requisito para todos os recursos de IRM no Exchange 2010. Para obter detalhes, consulte Habilitar ou desabilitar o IRM para mensagens internas.

  • O IRM deve estar habilitado na política de caixa de correio Exchange ActiveSync. Você pode habilitar ou desabilitar o IRM para diferentes conjuntos de usuários usando políticas de caixa de correio Exchange ActiveSync diferentes.

  • Dispositivos com suporte Exchange ActiveSync protocolo versão 14.1 podem dar suporte ao IRM em Exchange ActiveSync. The device's mobile e-mail application must support the RightsManagementInformation tag defined in Exchange ActiveSync version 14.1.

Segurança

Quando você habilita o IRM em Exchange ActiveSync, o servidor de Acesso ao Cliente descriptografa mensagens protegidas por IRM antes de fornecer as mensagens para acesso pelo dispositivo móvel com suporte. Após a sincronização, as mensagens protegidas pelo IRM residem no dispositivo móvel em um formato não criptografado. A proteção IRM é imposta pelo aplicativo cliente de email compatível com IRM no dispositivo móvel.

IRM in Exchange ActiveSync doesn't decrypt IRM-protected attachments on the Client Access server. Access to IRM-protected files is enforced by the application used to create or view the file. To access IRM-protected Office files, users must connect the device to a computer and activate Office Mobile with the RMS server.

When enabling IRM in Exchange ActiveSync, we recommend using the Exchange ActiveSync policy settings shown in the following table to help secure mobile devices.

Exchange ActiveSync policy settings

Setting Marque a caixa de seleção Requerer senha e selecione Exigir criptografia no dispositivo. Defina o parâmetro RequireDeviceEncryption como $true.
Quando você definir o parâmetro RequireDeviceEncryption como $true, os dispositivos móveis sem suporte à criptografia de dispositivo não poderão se conectar. Select the Require password check box. Defina o parâmetro DevicePasswordEnabled como $true.
Enable encryption for the mobile device. Select the Require password check box, and then select the Require encryption on device check box. Defina o parâmetro RequireDeviceEncryption como $true.

Importante: quando você definir o parâmetro RequireDeviceEncryption como $true, dispositivos móveis que não dão suporte à criptografia do dispositivo não poderão se conectar.
Para habilitar o IRM no Exchange ActiveSync, realize as seguintes tarefas: Adicione a caixa de correio Federação (uma caixa de correio do sistema criada pela Instalação do Exchange 2013 e UNRESOLVED_TOKEN_VAL(exExchange2010)) ao grupo de superusuários no AD RMS. Isso permite aos servidores Exchange 2013 e UNRESOLVED_TOKEN_VAL(exExchange2010) acessar mensagens protegidas por IRM. Para detalhes, consulte Adicionar a caixa de correio de Federação ao grupo de usuários do AD RMS Super. Defina o parâmetro AllowNonProvisionableDevices como $false.

Para saber mais, confira Políticas de caixa de correio do dispositivo móvel.

Enabling IRM in Exchange ActiveSync

To enable IRM in Exchange ActiveSync, perform the following tasks:

  1. Adicione a caixa de correio Federação (uma caixa de correio do sistema criada pelo Exchange 2013 e a Instalação do Exchange 2010) ao grupo de super usuários no AD RMS. Isso permite que os servidores exchange 2013 e Exchange 2010 acessem mensagens protegidas por IRM. For details, see Adicionar a caixa de correio de Federação ao grupo de usuários do AD RMS Super.

  2. Use the Set-IRMConfiguration cmdlet in the Exchange Management Shell to enable IRM on the Client Access server. Isso habilita o IRM em Exchange ActiveSync e IRM no Microsoft Office Outlook Web App para sua organização. For details, see Habilitar ou desabilitar o gerenciamento de direitos de informação nos servidores de acesso do cliente.