Ochrana firemních informací byla vždy důležitou součástí strategie společností. V naší „počítačové době“ je pochopitelně drtivá většina informací uložena v digitální podobě a tudíž je klíčové nabídnout společnostem a jejím uživatelům způsob jakým digitální informace ochránit před neoprávněným použitím.
Na úvod je potřeba smířit se s faktem, že každý systém ochrany informací přináší „práci navíc“ jak pro uživatele tak pro IT oddělení. Nicméně důležité je, že systém, o kterém, je tento článek, tedy Azure RMS, umožňuje maximální efektivitu ve své jednoduchosti použití pro uživatele, nepotřebuje rozsáhlá nastavení a infrastrukturu na straně IT oddělení a přitom poskytuje dostatečnou flexibilitu a stupeň ochrany pro práci s citlivými informacemi.
Azure RMS je cloud „sourozenec“ se známým a dlouho využívaným řešením On-Premises - AD RMS. Azure RMS je tedy poskytované jako služba a je zahrnuta v Office 365 E3 a E4 plánech, nebo je možné ji zakoupit samostatně za 1,5EUR/uživatel/měsíc. Office 365 E3 a E4 plány jsou pro Azure RMS doporučeny, protože obsahují Office 365 ProPlus, který je plně kompatibilní s Azure RMS.
Pokud máme Azure RMS zakoupeno a chceme ho začít využívat tak v Office 365 portálu v části Service Settings aktivujeme Rights Management. Věřte nebo ne, toto jedno kliknutí myší umožní základní využití Azure RMS. Pokud jste někdy jako IT Pro implementovali AD RMS tak tuto jednoduchost implementace určitě oceníte.
Po aktivaci Azure RMS mohou uživatelé začít chránit firemní dokumenty. Nejprve si ukážeme, jakým způsobem nastavíme RMS v Outlooku. Pro novou zprávu v menu Options vybereme pod Permissions příslušnou RMS šablonu. Níže zobrazené RMS šablony jsou standardně vytvořené po aktivaci Azure RMS a je možné je začít ihned využívat. Pokud uživatel například nastaví RMS šablonu Confidential View Only
Tak příjemce nemůže se zprávou jakkoliv manipulovat
Ani ji vytisknout
.png "image")
Stejná úroveň ochrany je samozřejmě aplikována i v OWA
A ochrana je respektována i na mobilních zařízeních.
A také je důležité, že stejný stupeň ochrany je nastaven pro přílohu zprávy.
Po aktivaci Azure RMS máme k dispozici dvě RMS šablony, které zajišťují ochranu dokumentů v rámci celé organizace, jedna šablona (Confidential) umožňuje editaci dokumentů, zatímco šablona Confidential View Only, jak už název napovídá, umožňuje pouze čtení. Každopádně obě základní šablony se vztahují na všechny ověřené uživatele dané organizace.
Pokud nám nestačí dvě základní RMS šablony, můžeme vytvořit vlastní. Například, když potřebujeme zúžit množinu konzumentů na jednu divizi nebo oddělení. Vytvoření vlastní šablony provedeme v Azure portálu.
Kde nastavíme příslušnou AD skupinu a její oprávnění.
Možná oprávnění jsou tato.
V Office aplikacích v tzv. backstage najdeme volbu Protect Document. Nyní je možné nastavit šablonu SalesConfidential, kterou jsme vytvořili v Azure portálu a tedy na dokument budou aplikována oprávnění daná touto šablonou.
Členové skupiny SalesGroup poté mají nastavení odpovídající RMS šabloně.
Z Azure RMS portálu https://portal.aadrm.com/home/downloadmůžeme stáhnout a nainstalovat RMS Sharing Aplikaci, která nám umožní dále rozšířit možnosti využití Azure RMS. Jedná se například o tyto funkce:
- Integrace s Windows Explorer
- Možnost ochrany dokumentů pro všechny formáty
- Možnost sdílení chráněných dokumentů s externími uživateli
Pokud externí uživatel nevyužívá Azure RMS, může se přes link v mailu zaregistrovat pro volné využití Azure RMS (Microsoft Rights Management for individuals) http://blogs.technet.com/b/rms/archive/2013/07/16/introducing-rms-for-individuals.aspx
Portál pro registraci do Azure RMS pro externí uživatele.
Po zaregistrování může externí uživatel pracovat s chráněným obsahem.
Zatím jsme si ukázali, jakým způsobem mohou uživatelé sami nastavit ochranu dokumentů. Pokud společnost nechce spoléhat na uživatele, že potřebná oprávnění sami nastaví, pak existuje několik možností jak ochranu dokumentů automaticky vynutit.
Podporované serverové aplikace jsou Exchange (On-Premises i Online), SharePoint (On-Premises i Online) a Windows FileServer. Všimněme si také zásadní výhody Azure RMS, kdy tento systém můžeme využít jak pro Cloud tak On-Premises systémy, zatímco AD RMS je možné využit pouze pro On-Premises.
V SharePointu Online nejprve nastavíme integraci s RMS.
Poté můžeme v dané dokument library nastavit Information Rights Management.
Pokud do dané SharePoint knihovny poté nahrajeme např. Word dokument.
Tak dojde k automatickému nastavení požadované ochrany dokumentu – v našem případě pouze členové SalesGroup mají právo číst dokument.
Pokud uživatel není členem této skupiny tak se mu dokument nepovede otevřít.
Integrace RMS s SharePoint Online nabízí vynucení ochrany dokumentů na dané dokumentové knihovně, tzn. společnost není závislá na tom, zda uživatel manuálně nastaví ochranu dokumentů, ale ochrana je aplikována vždy při nahrání dokumentu do SharePoint Online.
Výše jsme si ukázali, jak jednoduché je aplikovat ochranu mailové zprávy v Outlooku. Přes tuto jednoduchost je opět možné, že uživatel zapomene nebo nechce tuto ochranu nastavit. Integrace RMS s Exchange Online nám umožní vynutit ochranu na základě parametrů zasílané zprávy.
Jako příklad si uveďme situaci, že chceme dosáhnout stavu, kdy všechny zprávy zaslané z oddělení Finance do oddělení Sales budou chráněny dříve vytvořenou šablonou SalesConfidential.
Tento požadavek můžeme splnit vytvořením následujícího transportního pravidla v Exchange Online kdy nastavíme podmínky aplikace pravidla na příslušné skupiny pro odesílatele a příjemce a jako akci nastavíme aplikování naší RMS šablony SalesConfidential.
Pravidlo otestujeme zasláním testovací zprávy.
A v Inboxu příjemce zkontrolujeme nedostupnost funkcí jako reply a forward.
Opět si všimněme, že ochrana je aplikována i na přiloženou přílohu.
Díky integraci Exchange Online a Azure RMS můžeme dle bezpečnostních požadavků společnosti vynutit ochranu zasílaných zpráv nezávisle na nastavení uživatelů.
Pokud chceme integrovat Azure RMS s On-Premises systémy jako Exchange, SharePoint a Windows FileServer, musíme nejprve implementovat Microsoft Rights Management Connector http://www.microsoft.com/en-us/download/details.aspx?id=40839, který zajistí spolupráci On-Premises systému s Azure RMS.
Poté můžeme ve File Server Resource Manageru nastavit File Management Task, který například pro danou sdílenou složku nastaví automaticky námi vybranou ochranu, v našem případě opět SalesConfidential RMS šablonu.
Opět zkontrolujeme soubor nahraný do sdílené složky na souborovém serveru a vidíme, že ochrana dokumentů byla automaticky aplikována.
Jak bylo vidět během ukázek, Azure RMS představuje velmi jednoduše implementovatelný a spravovatelný systém, který může významně přispět k ochraně firemních dokumentů a tím pádem i k ochraně firemního know-how a její reputace.