Azure RMS

Úvod

Ochrana firemních informací byla vždy důležitou součástí strategie společností. V naší „počítačové době“ je pochopitelně drtivá většina informací uložena v digitální podobě a tudíž je klíčové nabídnout společnostem a jejím uživatelům způsob jakým digitální informace ochránit před neoprávněným použitím.

Na úvod je potřeba smířit se s faktem, že každý systém ochrany informací přináší „práci navíc“ jak pro uživatele tak pro IT oddělení. Nicméně důležité je, že systém, o kterém, je tento článek, tedy Azure RMS, umožňuje maximální efektivitu ve své jednoduchosti použití pro uživatele, nepotřebuje rozsáhlá nastavení a infrastrukturu na straně IT oddělení a přitom poskytuje dostatečnou flexibilitu a stupeň ochrany pro práci s citlivými informacemi.

Azure RMS je cloud „sourozenec“ se známým a dlouho využívaným řešením On-Premises - AD RMS. Azure RMS je tedy poskytované jako služba a je zahrnuta v Office 365 E3 a E4 plánech, nebo je možné ji zakoupit samostatně za 1,5EUR/uživatel/měsíc. Office 365 E3 a E4 plány jsou pro Azure RMS doporučeny, protože obsahují Office 365 ProPlus, který je plně kompatibilní s Azure RMS.

Jak začít s Azure RMS

Pokud máme Azure RMS zakoupeno a chceme ho začít využívat tak v Office 365 portálu v části Service Settings aktivujeme Rights Management. Věřte nebo ne, toto jedno kliknutí myší umožní základní využití Azure RMS. Pokud jste někdy jako IT Pro implementovali AD RMS tak tuto jednoduchost implementace určitě oceníte.

image

Jak Azure RMS použít - Outlook

Po aktivaci Azure RMS mohou uživatelé začít chránit firemní dokumenty. Nejprve si ukážeme, jakým způsobem nastavíme RMS v Outlooku. Pro novou zprávu v menu Options vybereme pod Permissions příslušnou RMS šablonu. Níže zobrazené RMS šablony jsou standardně vytvořené po aktivaci Azure RMS a je možné je začít ihned využívat. Pokud uživatel například nastaví RMS šablonu Confidential View Only

image

Tak příjemce nemůže se zprávou jakkoliv manipulovat

image

Ani ji vytisknout

image

Stejná úroveň ochrany je samozřejmě aplikována i v OWA

image

A ochrana je respektována i na mobilních zařízeních.

A také je důležité, že stejný stupeň ochrany je nastaven pro přílohu zprávy.

image

Jak nastavit vlastní RMS šablony

Po aktivaci Azure RMS máme k dispozici dvě RMS šablony, které zajišťují ochranu dokumentů v rámci celé organizace, jedna šablona (Confidential) umožňuje editaci dokumentů, zatímco šablona Confidential View Only, jak už název napovídá, umožňuje pouze čtení. Každopádně obě základní šablony se vztahují na všechny ověřené uživatele dané organizace.

Pokud nám nestačí dvě základní RMS šablony, můžeme vytvořit vlastní. Například, když potřebujeme zúžit množinu konzumentů na jednu divizi nebo oddělení. Vytvoření vlastní šablony provedeme v Azure portálu.

image

Kde nastavíme příslušnou AD skupinu a její oprávnění.

image

Možná oprávnění jsou tato.

image

Jak Azure RMS použít – Office aplikace např. Word

V Office aplikacích v tzv. backstage najdeme volbu Protect Document. Nyní je možné nastavit šablonu SalesConfidential, kterou jsme vytvořili v Azure portálu a tedy na dokument budou aplikována oprávnění daná touto šablonou.

image

Členové skupiny SalesGroup poté mají nastavení odpovídající RMS šabloně.

image

Azure RMS Sharing Application

Z Azure RMS portálu https://portal.aadrm.com/home/downloadmůžeme stáhnout a nainstalovat RMS Sharing Aplikaci, která nám umožní dále rozšířit možnosti využití Azure RMS. Jedná se například o tyto funkce:

- Integrace s Windows Explorer
image

- Možnost ochrany dokumentů pro všechny formáty
image

- Možnost sdílení chráněných dokumentů s externími uživateli
image

Pokud externí uživatel nevyužívá Azure RMS, může se přes link v mailu zaregistrovat pro volné využití Azure RMS (Microsoft Rights Management for individuals) http://blogs.technet.com/b/rms/archive/2013/07/16/introducing-rms-for-individuals.aspx

image

Portál pro registraci do Azure RMS pro externí uživatele.

image

Po zaregistrování může externí uživatel pracovat s chráněným obsahem.

Automatická aplikace ochrany dokumentů

Zatím jsme si ukázali, jakým způsobem mohou uživatelé sami nastavit ochranu dokumentů. Pokud společnost nechce spoléhat na uživatele, že potřebná oprávnění sami nastaví, pak existuje několik možností jak ochranu dokumentů automaticky vynutit.

Podporované serverové aplikace jsou Exchange (On-Premises i Online), SharePoint (On-Premises i Online) a Windows FileServer. Všimněme si také zásadní výhody Azure RMS, kdy tento systém můžeme využít jak pro Cloud tak On-Premises systémy, zatímco AD RMS je možné využit pouze pro On-Premises.

Sharepoint Online

V SharePointu Online nejprve nastavíme integraci s RMS.

image

Poté můžeme v dané dokument library nastavit Information Rights Management.

image

Pokud do dané SharePoint knihovny poté nahrajeme např. Word dokument.

image

Tak dojde k automatickému nastavení požadované ochrany dokumentu – v našem případě pouze členové SalesGroup mají právo číst dokument.

image

Pokud uživatel není členem této skupiny tak se mu dokument nepovede otevřít.

image

Integrace RMS s SharePoint Online nabízí vynucení ochrany dokumentů na dané dokumentové knihovně, tzn. společnost není závislá na tom, zda uživatel manuálně nastaví ochranu dokumentů, ale ochrana je aplikována vždy při nahrání dokumentu do SharePoint Online.

Exchange Online

Výše jsme si ukázali, jak jednoduché je aplikovat ochranu mailové zprávy v Outlooku. Přes tuto jednoduchost je opět možné, že uživatel zapomene nebo nechce tuto ochranu nastavit. Integrace RMS s Exchange Online nám umožní vynutit ochranu na základě parametrů zasílané zprávy.

Jako příklad si uveďme situaci, že chceme dosáhnout stavu, kdy všechny zprávy zaslané z oddělení Finance do oddělení Sales budou chráněny dříve vytvořenou šablonou SalesConfidential.

image

Tento požadavek můžeme splnit vytvořením následujícího transportního pravidla v Exchange Online kdy nastavíme podmínky aplikace pravidla na příslušné skupiny pro odesílatele a příjemce a jako akci nastavíme aplikování naší RMS šablony SalesConfidential.

Pravidlo otestujeme zasláním testovací zprávy.

image

A v Inboxu příjemce zkontrolujeme nedostupnost funkcí jako reply a forward.

image

Opět si všimněme, že ochrana je aplikována i na přiloženou přílohu.

image

Díky integraci Exchange Online a Azure RMS můžeme dle bezpečnostních požadavků společnosti vynutit ochranu zasílaných zpráv nezávisle na nastavení uživatelů.

Windows File Server

Pokud chceme integrovat Azure RMS s On-Premises systémy jako Exchange, SharePoint a Windows FileServer, musíme nejprve implementovat Microsoft Rights Management Connector http://www.microsoft.com/en-us/download/details.aspx?id=40839, který zajistí spolupráci On-Premises systému s Azure RMS.

Poté můžeme ve File Server Resource Manageru nastavit File Management Task, který například pro danou sdílenou složku nastaví automaticky námi vybranou ochranu, v našem případě opět SalesConfidential RMS šablonu.

image

Opět zkontrolujeme soubor nahraný do sdílené složky na souborovém serveru a vidíme, že ochrana dokumentů byla automaticky aplikována.

image

Závěr

Jak bylo vidět během ukázek, Azure RMS představuje velmi jednoduše implementovatelný a spravovatelný systém, který může významně přispět k ochraně firemních dokumentů a tím pádem i k ochraně firemního know-how a její reputace.