Mitä on sisältöoikeuksien hallinta Azure?

 

Koskee:Azure Rights Management,Office 365

Azure Rights Management (Azure RMS) on tietoja suojelua ratkaisu organisaatioille, jotka haluat suojata niiden tiedot kuluvan päivän haastavaa työympäristön.

Näihin haasteisiin kuuluvat ei tarvitse olla Internet-yhteydessä, käyttäjille tuo oman laitteen toimimaan, kotona ja tien yrityksen tietojen käyttämisestä ja tärkeiden liiketoimintakumppaneiden kanssa luottamuksellisten tietojen jakaminen. Osana heidän päivittäiseen työhönsä käyttäjien avulla sähköposti, tiedostojen jakamisen sivustoja ja cloud services. Näissä tilanteissa (kuten käyttöoikeusluettelot ja NTFS-käyttöoikeuksia) perinteinen turvavalvontatoimenpiteitä ja palomuurit on rajoitettu tehokkuutta Jos haluat suojata yrityksen tietoja samalla, kun uskomme edelleen käyttäjät voivat työskennellä tehokkaasti.

Vertailun vuoksi Azure RMS suojata yrityksen luottamuksellisia tietoja näissä tilanteissa. Se käyttää tiedostojen ja sähköpostin suojaaminen salauksen, tunnistetiedot ja luvan käytännöt ja se toimii useiden laitteiden kesken, puhelimet, tabletit ja PC. Tiedot voidaan suojata organisaation sisällä ja organisaation ulkopuolelle, koska kyseisen suojaus pysyy tiedot, vaikka se lähtee organisaation rajat. Esimerkiksi työntekijät saattavat sähköposti asiakirjan kumppani yritykseen tai asiakirjan tallentaminen pilvi niiden asemaan. Jatkuva suojaus, joka tarjoaa Azure RMS auttaa suojaamaan yrityksen tietoja paitsi saattaa myös olla laillisesti määrätty noudattaminen, juridista vaatimukset tai yksinkertaisesti hyvän tietojen hallintakäytännöt.

Mutta hyvin lisäksi valtuutettujen käyttäjien ja palveluiden (kuten etsinnän ja indeksoinnin) voi lukea ja tutkia tietoja, joka suojaa Azure RMS, joka ei helposti määrittämällä muut tiedot ratkaisuja, jotka käyttävät salausta peer-to-peer. Tätä mahdollisuutta käytetään joskus nimitystä "päättelypeli tietojen päälle" ja on tärkeä osa pitää hallita organisaation tietoja.

Seuraavassa kuvassa näkyy, miten Azure RMS toimii sisältöoikeuksien hallinnan ratkaisuna myös Office 365: n tiloissa palvelimia ja palveluita. Näet myös, että se tukee suosittuja käyttäjän laitteissa, joissa Windows, Mac OS, iOS, Android ja Windows Phone.

Huomautus

Voit Azure RMS cloud eri tilaus, joka sisältää Office 365 ja Azure RMS Premium Enterprise Mobility Suite. Lisätietoja on ohjeaiheessa Cloud-tilaukset, jotka tukevat Azure RMS.

Overview of Azure RMS

 

System_CAPS_tipVihje

Tässä vaiheessa joista voi olla hyötyä muita tietolähteitä:

Lisätietoja Azure RMS seuraavien osien avulla:

  • Mitä ongelmia Azure RMS ratkaista?

    • Suojaus ja lainsäädännössä asetettujen vaatimusten noudattaminen
  • Azure RMS-toiminto: Mitä Järjestelmänvalvojat ja käyttäjät näkevät

    • Aktivoinnista ja asetusten määrityksestä Rights Management

    • Automaattisesti tiedostoja tiedostopalvelimet Windows Server ja File luokittelu infrastruktuurin suojaaminen

    • Suojaaminen Exchange Onlinen ja tietojen menetyksen ehkäisemiseen tähtäävissä sähköpostit automaattisesti

    • Suojaa automaattisesti tiedostoja, SharePoint Online ja suojattu kirjastojen kanssa

    • Käyttäjien jakaa liitteitä turvallisesti kannettavien tietokoneiden käyttäjät

  • Miten Azure RMS toimii? Pohjautuvista

    • Salauksen Azure RMS käyttämät komponentit: Algoritmien ja avainten pituuksia

    • Vaihe vaiheelta, miten Azure RMS toimii Käyttää ensin, sisällön suojaus-sisällön kulutus

  • Seuraavat vaiheet

Mitä ongelmia Azure RMS ratkaista?

Käytä seuraavassa taulukossa tunnistaa liiketoiminnan vaatimukset tai ongelmia, jotka organisaatiossa voi olla ja miten Azure RMS käsitellä näitä.

Tarve tai ongelma

Azure RMS avulla

Suojaa kaikki tiedostotyypit

√ Rights Management-tiedostot voidaan suojata, ainoastaan Office käyttäen native suojauksen edellisen täytäntöönpanemiseksi. Nyt Yleinen suojaus tarkoittaa sitä, että kaikki tiedostotyypit ovat tuettuja.

Suojaa tiedostot missä tahansa

√ Kun tiedosto tallennetaan uuteen paikkaan (Suojaa paikallaan), tiedosto säilyy suojelua myös silloin, kun se kopioidaan, että ne ovat hallinnassa, ei se pilvi varastointi palvelu kuten.

Tiedostojen jakaminen turvallisesti sähköpostilla

√ Kun tiedosto jaetaan sähköpostitse (Jaa suojatut), tiedosto on suojattu liitteenä sähköpostiviestin, jossa ohjeet miten avata suojattu liitteen. Sähköpostiviestin teksti ei ole salattu, joten vastaanottaja voi lukea näitä ohjeita aina. Kuitenkin koska liitetty asiakirja on suojattu, vain valtuutetut käyttäjät voi sitä, vaikka sähköposti tai asiakirja toimitetaan muille.

Valvonta ja seuranta

√ Voit valvoa ja seurata käyttö suojatut tiedostot, vaikka nämä tiedostot jättää organisaation rajat.

Työskentelet esimerkiksi Contoso, Ltd. Käsittelet yhteisen projektin 3 Fabrikam, Inc.: n käyttäjien kanssa Nämä 3 ihmiset sähköpostitse, joka suojaa ja rajoittaa vain luku-tiedosto. Azure RMS valvonta voidaan antaa seuraavat tiedot:

Onko Fabrikamiin määritetyille henkilöille avata asiakirjan ja milloin.

Onko muille, että et ole määrittänyt yrittänyt (ja epäonnistui) asiakirjan avaamiseen – ehkä koska se oli välitetty tai tallennettu jaettuun sijaintiin, jossa muut voivat käyttää.

Onko määritetty joku yrittänyt (ja epäonnistui) tulostaa tai muuttaa asiakirjaa.

Kaikki tuki käytetään yleensä laitteita, ei pelkästään Windows-tietokoneissa

√ tuettujen laitteiden ovat:

Windows-tietokoneisiin ja matkapuhelimiin

Mac-tietokoneet

iOS-tabletit ja puhelimet

Android tabletit ja puhelimet

Business to business collaboration-tuki

√ on koska RMS Azure cloud service, ei tarvitse erikseen määrittää luottamussuhteita muiden organisaatioiden kanssa, ennen kuin suojattu sisältö voidaan jakaa niiden kanssa. Jos ne vielä Office 365: ssä tai Azure AD-hakemisto, yhteistyö eri organisaatioiden tuetaan automaattisesti. Jos näin ei ole, käyttäjät voivat kirjautua ilmaiseksi RMS henkilöille tilauksen.

Paikalliset palvelut, kuten myös Office 365-tuki

√ Lisäksi toimiva saumattomasti Office 365: n kanssa, voit käyttää myös Azure RMS tiloissa seuraavat palvelut sisältävän asentaessasi RMS-liitin:

Exchange-palvelimen

SharePoint-palvelimeen

Tiedoston luokitusta infrastruktuurin Windows-palvelimeen

Aktivointia helposti

√ Rights Management-palvelun aktivoiminen vaatii vain pari napsautusta Azure classic-portaalin käyttäjille.

Kyky skaalata koko organisaatiossa, tarvittavat

√ Koska Azure RMS suoritetaan palveluna cloud kanssa skaalata ylös ja ulos Azure tasaisuutta, sinun ei tarvitse valmistella tai muita yrityksen omissa tiloissa käytettävä palvelimia.

Mahdollisuus luoda yksinkertaiset ja joustavat käytännöt

√ mukauttaa oikeuksien käytäntömalleja tarjota nopea ja helppo ratkaisu, järjestelmänvalvojat voivat käyttää käytäntöjä ja käyttäjät voivat käyttää kunkin asiakirjan oikean suojan ja rajoittaa henkilöt organisaation sisältä.

Esimerkiksi koko yrityksen toimintamallin paperin kaikkien työntekijöiden kanssa, käytä vain luku-käytännön sisäinen työntekijöihin. Sitten herkempiä asiakirjan, kuten taloudellinen raportti, vain johtajat saattaa rajoittaa käyttöä.

Laaja sovellusten tuki

√ Azure RMS on tiivis integrointi Microsoft Office-sovellusten ja palveluiden kanssa ja laajentaa muiden sovellusten tuen avulla RMS-sovelluksen jakaminen.

Microsoft Rights Management SDK: N tarjoaa sisäiset kehittäjät ja toimittajat kirjoittaa mukautettuja sovelluksia, jotka tukevat Azure RMS API.

Lisätietoja on ohjeaiheessa Miten sovellukset tukevat Azure sisältöoikeuksien hallinta.

IT on hallittavissa tietoja

√ Organisaatiot voivat halutessaan vuokralaisen oma avain hallinta ja käyttäminen "Tuo oma oma avain" (BYOK) liuos ja niiden vuokralaisen avain tallennetaan laitteiston suojaus moduulit (HSMs).

√ Tuen valvonta- ja Käyttötietojen kirjaaminen väärinkäyttöä, siten, että yritykseen liittyvät tiedot, voit analysoida, valvoa lainmukaisten analyysin tekeminen ja (Jos sinulla tietoja vuotaa).

√ Delegated-käytön avulla tehokäyttäjä-toimintoa varmistaa, että se voi aina käyttää suojatun sisällön, vaikka asiakirja on suojattu työntekijää, joka poistuu sitten organisaation. Vertailun vuoksi peer-to-peer salaus ratkaisuja riskin hävinnyt pääsyn yrityksen tiedot.

√ Synkronoi juuri Kansiomääritteiden Azure RMS tarvitsemat tukemaan yhteisen identiteetin paikalliseen Active Directory-tilien avulla hakemiston synkronointi työkalu, kuten Azure AD-muodosta.

√ Käyttöön single-sign ilman salasanoja replikoidaan pilveen, AD FS: N avulla.

√ Organisaatioilla on aina vaihtoehto menettämättä sisältöä, joka oli aiemmin suojattu Azure RMS, Azure RMS käytön lopettaminen. Lisätietoja asetusten käytöstä on Käytöstä ja käytöstä Azure sisältöoikeuksien hallinta. Lisäksi organisaatiot, jotka ovat ottaneet käyttöön Active Directory Rights Management Services (AD RMS) voi siirtää Azure RMS ilman, että pystyt käyttämään tietoja, jotka on suojattu AD RMS aiemmin.

System_CAPS_tipVihje

Jos olet perehtynyt paikalliseen versiolla sisältöoikeuksien hallinta Active Directory Rights Management Services (AD RMS)-saatat olla kiinnostunut-vertailu-taulukon Azure sisältöoikeuksien hallinta sekä AD RMS-tiedostojärjestelmien vertailu.

Suojaus ja lainsäädännössä asetettujen vaatimusten noudattaminen

Azure RMS tukee seuraavien, yhteensopivuuden ja sääntelyn vaatimukset:

√ Käyttö ja yleisesti käytetty salaus FIPS 140-2 tukee. Lisätietoja on ohjeaiheessa Salauksen Azure RMS käyttämät komponentit: Algoritmien ja avainten pituuksia Tässä ohjeaiheessa olevassa osassa.

√ Thales laitteiston suojaus-moduulien (HSMs) vuokralaisen-avain tallennetaan Microsoftin Azure-tiedot tukikeskuksista. Azure RMS käyttää erillistä suojausta maailmoja sen tiedot-keskukset Pohjois-Amerikka, EMEA (Eurooppa, Lähi-itä ja Afrikka) ja Aasiassa, joten avaimia voidaan käyttää vain oman alueesi.

√ Sertifioinnin osalta seuraavasti:

  • ISO/IEC 27001:2013 (sisältää ISO/IEC 27018)

  • SOC 2 SSAE 16/ISAE 3402 todistukset

  • HIPAA BAA

  • EU: N mallin lause

  • Osana Azure Active Directory-Office 365: ssä kuvaillun FedRAMP myönnetty FedRAMP viraston viranomaisen HHS mukaan liikennöintiluvan

  • PCI-DSS-taso 1

Saat lisätietoja näiden ulkoisten tutkinnot Azure Valvontakeskuksen.

Azure RMS-toiminto: Mitä Järjestelmänvalvojat ja käyttäjät näkevät

Kuvia tässä osassa Näytä joitakin tyypillisiä esimerkkejä siitä, kuinka järjestelmänvalvojat ja käyttäjät nähdä ja voit käyttää Azure RMS auttaa suojaamaan arkaluontoisia tai luottamuksellisia tietoja.

Huomautus

Kaikissa näissä esimerkeissä jossa Azure RMS suojaa tiedot sisällön omistaja edelleen täydet tiedot (tiedoston tai sähköposti), vaikka käytössä suojaus myöntää oikeudet, omistaja ei ollut jäsen ryhmään tai vaikka käytetyn suojan voimassaolon päättymispäivän.

Vastaavasti IT voi aina käyttää suojattuja tietoja ilman rajoituksia, tehokäyttäjä, joka antaa delegoidut käyttöoikeudet käyttäjille tai palvelut, joita voit määrittää sisältöoikeuksien hallinta-ominaisuuden avulla. Lisäksi se voi seurata ja valvoa tietoja, jotka on suojattu käyttö —, joka käsittelee tiedot ja milloin.

Muiden näyttökuvat ja videoita, jotka näyttävät RMS-toiminto tarkistaa Microsoft Rights Management services portal, ja Team blogi Microsoft Rights Management (RMS).

Aktivoinnista ja asetusten määrityksestä Rights Management

Vaikka Windows PowerShellin avulla voit ottaa käyttöön ja määrittää Azure RMS, on helpoin management-portaalista. Heti, kun palvelu on käytössä, sinulla on kaksi oletusmalleja, järjestelmänvalvojat ja käyttäjät voivat valita, voit nopeasti ja helposti käyttää tiedostoja tietojen suojaaminen. Mutta voit myös luoda omia mukautettuja malleja ja muita asetuksia asetukset.

Activate RMS in the management portal

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Voit käyttää joko Office 365 hallintakeskukseen (ensin kuva) tai perinteinen Azure portaalin (toinen kuva) Aktivoi RMS.

Yhdellä napsautuksella voit aktivoida ja toiseen napsauttamalla Vahvista, tietojen suojaus on käytössä, järjestelmänvalvojat ja käyttäjät organisaatiossa.

Azure RMS templates, default and new

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Aktivoinnin jälkeen kaksi oikeuksien käytäntömalleja ovat automaattisesti käytettävissä organisaatiossa. Yksi malli on vain luku-tilassa (vain luottamuksellisia Näytä sisältyy nimi), toinen lukea ja muokata access (Luottamuksellinen).

Kun nämä mallit otetaan käyttöön tiedostoja tai sähköpostiviestejä, ne rajoittaa organisaatiosi käyttäjien kanssa. Tämä on erittäin nopea ja helppo tapa estää yrityksen tietoja organisaation ulkopuolisille henkilöille vuoda.

Vihje: On helppo muistaa nämä oletusmalleja, koska ne ovat automaattisesti niidenkin organisaationimi. Esimerkissämme VanArsdel Ltd: N.

Jos et halua käyttäjien näkevän näitä malleja, tai jos haluat luoda omia malleja, voit tehdä tämän perinteisen Azure-portaalista. Kuten kuvasta näkyy, ohjattu toiminto opastaa mukautetun mallin luontia.

Available settings for custom templates

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Offline-käytön, vanhenemisen asetusten ja julkaistaanko se heti (tuoda sen näkyviin käyttöoikeuksien hallintaa tukevien sovellusten) ovat jotkin asetukset käytettävissä, jos päätät luoda omia malleja.

Select Azure RMS templates from applications

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Seurauksena nämä mallit on julkaistu, käyttäjät voivat nyt valita ne File Explorer ja Microsoft Word-sovelluksissa:

Käyttäjä voi valita oletusmalli, VanArsdel Ltd: N – Luottamuksellinen. Sitten vain VanArsdel organisaation työntekijöitä voi avata ja käyttää tätä asiakirjaa, vaikka se on myöhemmin joku organisaation ulkopuolella, sähköpostitse tai tallennettu julkiseen sijaintiin.

Käyttäjä voi valita mukautetun mallin, jonka järjestelmänvalvoja on luonut, Myynti ja markkinointi – Lue ja Tulosta vain. Sitten on tiedosto suojattu organisaation ulkopuolisille henkilöille, paitsi se on myös estetty työntekijöille myynti ja markkinointi-osaston. Lisäksi nämä työntekijät ei ole täydet oikeudet asiakirjaan, vain lukea ja tulostaa. Ne ei voi esimerkiksi muokata sitä tai kopioida sen.

Lisätietoja, katso Aktivoiminen Azure sisältöoikeuksien hallinta ja Mukautetut mallit Azure sisältöoikeuksien hallinnan määrittäminen.

Avulla käyttäjät voivat suojata yrityksen tärkeät tiedostot, katso Tiedostojen suojaaminen Azure sisältöoikeuksien hallinnan avulla käyttäjät.

Katso seuraavaksi joitakin esimerkkejä siitä, miten järjestelmänvalvojat voivat ottaa käyttöön mallien määrittämiseen tietojen suojaaminen tiedostot ja sähköpostit automaattisesti.

Automaattisesti tiedostoja tiedostopalvelimet Windows Server ja File luokittelu infrastruktuurin suojaaminen

Tämä esimerkki näyttää kuinka Azure RMS avulla voit automaattisesti suojata tiedostoja tiedosto-palvelimissa, joissa suoritetaan vähintään Windows Server 2012 ja on määritetty käyttämään tiedostoa luokittelu infrastruktuurin.

Jos haluat käyttää tiedostojen luokitus monilla tavoilla. Voit esimerkiksi tutkia tiedostojen sisältöä ja käyttää vastaavasti sisäiset luokitukset kuten luottamuksellisuutta ja henkilökohtaisesti tunnistettavia tietoja. Kuitenkin tässä esimerkissä järjestelmänvalvoja luo mukautetun luokittelu kaupan jota käytetään automaattisesti kaikki käyttäjän tiedostot, jotka tallentuvat markkinoinnin kampanjat kansio. Vaikka tämä kansio on suojattu NTFS-oikeuksilla, joka rajoittaa käytön Markkinointi-ryhmän jäsenille, järjestelmänvalvoja tietää, että nämä oikeudet voidaan menettää Jos joku kyseisestä ryhmästä siirtää sähköpostit tiedostot. Tällöin tiedostojen tietoja voitu käyttää luvattoman.

Configuring the RMS connector for FCI

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Järjestelmänvalvojien asentaa ja määrittää yhdistimen Rights Management (RMS), joka toimii tiloissa palvelimet ja Azure RMS rele.

Configuring the file server for FCI

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Tiedoston, palvelimen järjestelmänvalvoja määrittää luokituksen säännöistä ja tehtävät siten, että kaikki käyttäjätiedostot markkinoinnin kampanjat kansio luokitellaan automaattisesti markkinointi ja suojattu RMS-salauksen kanssa.

Hän valitsee mukautetun RMS-mallin, joka on luotu meidän ensimmäinen esimerkki, joka rajoittaa käytön jäsenten myynnin ja markkinoinnin osastot: Myynti ja markkinointi – lukea ja tulostaa vain.

Seurauksena kaikki tiedostot kansioon määritetty markkinointi-luokitus ja automaattisesti myynnin ja markkinoinnin RMS suojattu malli.

By accident, emailing confidential information

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Miten RMS auttaa estämään tietojen vuoda henkilöille, jotka eivät pääse luottamuksellisia tietoja:

Janet, markkinointi, josta sähköpostit luottamuksellisen raportin markkinoinnin Kampanjat-kansiosta. Raportti sisältää tuotteen uusia ominaisuuksia ja mainonta suunnitelmat ja pyytää työtoverille, joka on tällä hetkellä matkalla rasitteisiin. Kuitenkin Janet vahingossa sähköpostit sen väärälle henkilölle, hän ei Huomaa, että hän vahingossa valinnut vastaanottajan hieman eri nimellä, toisessa yrityksessä.

Vastaanottaja ei voi lukea luottamuksellisen raportin, koska hän ei ole myynti ja markkinointi-ryhmän jäsen.

Lisätietoja on ohjeaiheessa Azure oikeudet käyttäjänhallinnan yhdistimen käyttöönotto.

Suojaaminen Exchange Onlinen ja tietojen menetyksen ehkäisemiseen tähtäävissä sähköpostit automaattisesti

Edellisessä esimerkissä osoitti, miten voisi automaattisesti suojata luottamuksellisia tietoja sisältäviä tiedostoja, mutta entä jos tiedot ovat ei-tiedostoon, mutta sähköpostiviestin? Jos Exchange Online tietojen menettämisen (DLP) ehkäisemiseen tähtäävissä tulee, on jossa käyttäjät voivat käyttää tietojen suojaus (käyttämällä käytännön vihjeitä) tai käyttämällä sitä automaattisesti ne (käyttämällä Siirtosäännöt).

Tässä esimerkissä järjestelmänvalvoja määrittää käytännön parantaa organisaation MEILLE henkilökohtaisia tietoja tietojen suojaamista koskevien määräysten mukaisesti, mutta säännöt voidaan määrittää myös muiden määräysten noudattamista tai mukautettuja sääntöjä, jotka määrität.

Configuring DLP for Exchange Online with RMS

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Exchange-admin Centerissä, Exchangen mallin nimi USA: n Tiedot henkilökohtaisesti tunnistettavia tietoja (pii: N) avulla järjestelmänvalvoja luoda ja määrittää uusi DLP-käytäntö. Tämä malli etsii tietoja, kuten henkilötunnus ja email-viestien tai ajokortin numeroa.

Exchange DLP-säännöt määritetään siten, että sähköpostiviestit, jotka sisältävät tietoja ja, jotka lähetetään organisaation ulkopuolinen automaattisesti soveltaa RMS-mallia, joka rajoittaa käyttöoikeudet vain yrityksen työntekijöiden oikeuksien suojelua.

Tässä sääntö määritetään käyttämään oletusmalleja, VanArsdel Ltd: N – Luottamuksellinen, kuin meidän ensimmäinen esimerkki. Mutta voit myös nähdä miten sisältää kaikki luomasi mukautetut mallit Mallit valinta- ja eteen ei tehdä asetus, joka koskee Exchange.

Unprotected email (internal)

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Esimiehet kirjoittaa sähköpostiviestin, jossa on äskettäin palkattu työntekijä henkilötunnuksen. Hän lähettää tämän sähköpostiviestin Sherrie Henkilöstöhallinto-osaston.

Protected email (external)

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Jos tämä sähköpostiviesti lähetetään tai toimitetaan joku organisaation ulkopuolella, DLP-sääntö koskee oikeuksien suojelua.

Sähköposti salataan, kun se lähtee organisaation infrastruktuurin niin, että sähköpostin sosiaaliturvatunnus ei voi lukea, kauttakulku- tai vastaanottajan Saapuneet-kansioon. Vastaanottaja ei voi lukea viestiä, ellei hän ole VanArsdel työntekijän.

Lisätietoja on seuraavissa kohdissa:

Suojaa automaattisesti tiedostoja, SharePoint Online ja suojattu kirjastojen kanssa

Tämä osoittaa, miten voit helposti suojata tiedostot käytettäessä SharePoint Online ja suojattu kirjastot.

Tämän esimerkin Contoso SharePoint-järjestelmänvalvoja on luonut kirjaston kullekin osastolle, jota käytetään tallentaa keskitetysti ja tutustu tiedostojen muokkaamista ja versioiden hallinnassa. On esimerkiksi kirjasto, myynti-ja toinen markkinointi yksi inhimillisten voimavarojen ja niin edelleen. Kun uusi tiedosto ladata tai luoda suojattuja nämä kirjastot, asiakirja perii kirjasto (ei tarvitse valita oikeuksien käytäntömallia) suojelu ja asiakirja on automaattisesti suojattu ja säilyvät suojattuina, vaikka se siirrettäisiin sen SharePoint-kirjaston ulkopuolella.

Enabling IRM on SharePoint Online

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Järjestelmänvalvoja ottaa käyttöön sisältöoikeuksien hallinta SharePoint-sivuston.

Enabling IRM on a SharePoint library

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Sitten hän ottaa käyttöön sisältöoikeuksien hallinnan kirjaston. Vaikka valittavana on lisäasetuksia, yksinkertainen asetus on usein kaikki tarvittavat.

Kun tiedostot on ladattu nyt tästä kirjastosta, ne on suojattu automaattisesti Rights Management-suoja, joka on määritetty kirjasto perii.

Downloaded protected SharePoint document

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Kun joku myyntiosastolta Kuittaa ulos tämä myyntiraportti kirjastosta, ne selvästi näkyy yläosassa tiedotus-nauha-suojatun asiakirjan käyttöoikeuksia on rajoitettu ja se on.

Asiakirjan säilyvät suojattuina, vaikka käyttäjä nimeää sen uudelleen, tallentaa se toiseen paikkaan tai jakaa sen sähköpostitse. Riippumatta siitä, mitä tiedoston nimi, johon se on tallennettu tai onko se jaettu sähköpostitse vain jäsenet myyntiosasto voi lukea sen.

Lisätietoja on seuraavissa kohdissa:

Käyttäjien jakaa liitteitä turvallisesti kannettavien tietokoneiden käyttäjät

Edellisissä esimerkeissä osoitti, kuinka järjestelmänvalvojat voivat automaattisesti ottaa käyttöön tietojen suojaa arkaluonteisia ja luottamuksellisia tietoja. Mutta on joitakin kertoja, kun käyttäjien on ehkä käyttää itse. Esimerkiksi toisessa organisaatiossa kumppaneiden kanssa yhteistyötä, he tarvitsevat mukautettuja käyttöoikeuksia tai asetukset, joita ei ole määritetty, mallien tai ad-hoc tilanteissa, jotka eivät kuulu edellä olevissa esimerkeissä. Tällaisessa tilanteessa käyttäjät voivat käyttää itse RMS-malleja tai määrittää mukautettuja oikeuksia.

Tämä esimerkki osoittaa, miten käyttäjät voivat helposti jakaa asiakirjan kanssa joku ne olet kanssaan toisesta yrityksestä, mutta silti Suojaa asiakirja ja olla varma siitä, että vastaanottaja voi lukea, vaikka suosittu mobiililaitteesta käsin. Tässä tilanteessa käyttää sisältöoikeuksien hallinnan jakamisen hakemus, jossa voit ottaa käyttöön Windows-tietokoneisiin automaattisesti organisaatiossa. Tai käyttäjät voivat asentaa se itse.

Tässä esimerkissä-Contoso, Anneli sähköpostit luottamuksellisia Bob Fabrikam, hän lähettää Word-asiakirjan. Hän lukee asiakirjan hänen iPadissa, mutta hän voisi aivan yhtä helppoa lukea iPhonen, Android tablet tai puhelin, Mac-tietokoneessa tai Windows-puhelimen tai tietokoneen.

Add protection for attachment

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Hänen Windows PC: stä Anneli Luo standardin sähköpostiviestin ja liittää asiakirjaan.

Hän valitsee jakaa suojattu valintanauhassa, joka lataa suojattu jakaminen jakaminen sovelluksen RMS-valintaikkunassa.

Anneli haluaa rajoittaa Bob tarkastella ja muokata asiakirjan ja ei halua häntä kopioida tai tulostaa sen, niin hän valitsee TARKISTAJAN – Tarkastele ja muokkaa. Hän haluaa myös sähköpostitse, kun joku yrittää avata asiakirjan, ja on mahdollisuus peruuttaa asiakirjan myöhemmin tarvittaessa ja tietää, että peruuttaminen tulee voimaan välittömästi.

Email arrives on iPad

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Paavo näkee hänen iPad sähköposti.

Anneli 's viesti ja liitetiedosto lisäksi on ohjeet, joita hän noudattaa käyttäjäksi ja asentamalla RMS-Virtaan, hänen iPad app jakaminen.

Protected document on iPad

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Paavo nyt avata liitettä. Hän on ensin pyydetään kirjautumaan sisään, että hän on vastaanottajalle.

Pekka tarkastelee sitä, kun hän näkee käyttöoikeuksia on rajoitettu, joka kertoo hänelle, hän näyttää ja muokkaa tiedostoa, mutta ei tulostaa tai kopioida tiedot.

Notification email

Suurempi kuva (oletusarvon mukaan samaan selainikkunaan)

Anneli saa sähköpostiviestin, joka kertoo hänelle asiakirjan, jonka hän lähettää, ja kun hän käyttää asiakirjan avaaminen onnistui Bob.

Jos Bob välittää hänen liitteen sisältävä sähköpostiviesti tai tallentaa sen, jossa muut käyttäjät voivat käyttää, tai se on siepata verkon muiden käyttäjien ei voi lukea asiakirjaa.

Lisätietoja, katso Suojaa tiedostossa, jonka jaat sähköpostitse ja tarkastella ja käyttää tiedostoja, jotka on suojattu - Sisältöoikeuksien hallinnan jakamisen sovelluksen käyttöopas.

Lisäksi Pika-aloitus opetusohjelma Azure sisältöoikeuksien hallinta sisältää vaiheittaiset ohjeet tämän skenaarion.

Nyt olet huomannut joitakin esimerkkejä siitä, mitä voit tehdä Azure RMS, saatat olla kiinnostunut siitä, miten se tekee. Teknisiä tietoja Azure RMS toiminnasta lisätietoja seuraavassa osassa.

Miten Azure RMS toimii? Pohjautuvista

Azure-RMS toimintaa koskevia tietoja yhtä tärkeintä on, että oikeuksien hallintapalvelu (ja Microsoft) ei nähdä tai tallentaa tiedot tietojen suojauksen aikana. Koskaan, voit suojata tiedot lähetetään tai tallennettu Azure ellet erikseen tallennetaan Azure tai käyttää pilvipalvelu, joka tallennetaan Azure. Azure RMS yksinkertaisesti tekee tiedot asiakirjan voi lukea muut kuin valtuutettujen käyttäjien ja palveluiden:

  • Tiedot salataan sovellustasolla ja sisältää käytännön, joka määrittää kyseisen asiakirjan käyttötarkoituksen.

  • Kun laillinen käyttäjä käyttää suojattua tiedostoa tai valtuutettu palvelu käsittelee, asiakirjan tiedot puretaan ja oikeuksia, jotka on määritetty käytäntö on pakotettu.

Korkealla tasolla näet, miten tämä prosessi toimii seuraavassa kuvassa. Salaisen kaavan sisältävä asiakirja on suojattu, ja onnistuneesti avannut valtuutettu käyttäjä tai palvelu. Asiakirja on suojattu sisältö avain (vihreä avain tämän kuvan). Se on yksilöllinen kunkin asiakirjan ja on sijoitettu otsikon jos se on suojattu RMS vuokralaisen root avaimesi (punainen avain tämän kuvan). Vuokralaisen-avain on luotu ja Microsoftin ylläpitämä, tai voit luoda ja hallita vuokralaisen oma avain.

Suojan aikana kun Azure RMS on salaaminen ja salauksen sallimisesta ja pannaan täytäntöön rajoituksia, salainen kaava ei lähetetä Azure.

How Azure RMS protects a file

Kohdassa yksityiskohtaisesti, mitä tämä tarkoittaa, Vaihe vaiheelta, miten Azure RMS toimii Käyttää ensin, sisällön suojaus-sisällön kulutus Tässä ohjeaiheessa olevassa osassa.

Saat teknisiä tietoja algoritmeista ja avainten pituuksia, joka käyttää Azure RMS seuraavaan osaan.

Salauksen Azure RMS käyttämät komponentit: Algoritmien ja avainten pituuksia

Vaikka sinun ei tarvitse tietää itse, miten toimii RMS, ehkä kysyy tietoja salausmenetelmän ohjausobjekteista, jota se käyttää, varmista, että turvallisuuden suojaus on standardina.

Asiakirjojen suojausmenetelmä:

Algoritmi: AES

Avaimen pituus: 128 bittiä ja 256 bittiä1

Avaimen suojausmenetelmä:

Algoritmi: RSA

Avaimen pituus: 2 048 bittiä

Varmenteen allekirjoitus:

Algoritmi: SHA-256

1 256 bittiä käytetään sovelluksen jakamisen tiedostotunniste tai suojattu tekstin tai kuvan tiedostoon (kuten .ptxt tai .pjpg) on yleinen suojaus ja alkuperäinen suoja on .ppdf kun oikeuksienhallinta.

Miten salausavaimet tallennetaan ja suojattu:

  • Kunkin asiakirjan tai sähköpostia, joka on suojattu Azure RMS Azure RMS luo yhden AES-avaimen ("sisällön avain") ja avaimen on upotettu asiakirjaan, ja jatkuu läpi asiakirjan versiot.

  • Organisaation RSA-avaimen ("Azure RMS vuokralaisen avain") on suojattu sisältö avaimen osana käytännön asiakirjan ja käytäntö on myös allekirjoittanut asiakirjan laatijan. Vuokralaisen avain on kaikki tiedostot ja sähköpostit, joka on suojattu Azure RMS organisaation yhteisiä ja tätä näppäintä voi muuttaa vain Azure RMS-järjestelmänvalvoja, jos organisaatio käyttää vuokralaisen näppäin on asiakkaan hallittujen (tunnetaan nimellä "tuomaan oma avain", tai BYOK).

    Vuokralaisen avain on suojattu Microsoftin online-palvelut, erittäin säädellyssä ympäristössä ja seurata. Kun asiakkaan hallittujen vuokralaisen avain (BYOK), tämän tietoturvapäivityksen entistä laadukkaammat laitteet security moduulit (HSMs) Azure alueittain, mutta ei purettu, viedä tai jakaa missään tapauksessa avaimet matriisin käyttö. Saat lisätietoja avaimen vuokralaisen ja BYOK Suunnittelussa ja toteuttamisessa avaimesi vuokralaisen Azure Rights Management.

  • Lisenssit ja kunniamaininnat, jotka lähetetään Windows-laite on suojattu asiakkaan laitteen yksityinen avain, joka luodaan ensimmäisen kerran, laitteen käyttäjä käyttää Azure RMS. Tämä yksityinen avain puolestaan on suojattu DPAPI-asiakasohjelma, joka suojaa käyttäjän salasana johdettujen avainten avulla nämä salaisuudet. Mobiililaitteiden, näppäimiä käytetään vain kerran, koska niitä ei ole tallennettu asiakkaisiin, näitä avaimia ei tarvitse suojata laitteen.

Vaihe vaiheelta, miten Azure RMS toimii Käyttää ensin, sisällön suojaus-sisällön kulutus

Ymmärtää tarkemmin Azure RMS toiminta, nyt käydä läpi normaalin virtauksen jälkeen Azure RMS-palvelu on aktivoitu ja kun käyttäjä käyttää RMS ensin Windows-tietokoneensa (prosessin, jota kutsutaan myös alustetaan käyttäjän ympäristössä tai automaattiseen käynnistykseen), sisältöä suojaa (asiakirjan tai sähköposti), ja kuluttaa (Avaa ja käyttää) sisältöä, joka on suojattu mukaan toiselle.

Käyttäjän ympäristössä on alustettu, kun käyttäjä voi sitten suojata asiakirjoja tai kuluttaa suojatut tiedostot tietokoneeseen.

Huomautus

Jos käyttäjä siirtyy toisesta Windows-tietokoneesta tai joku toinen käyttäjä käyttää samaa Windows tähän tietokoneeseen, toistetaan alustusprosessia.

Alustetaan käyttäjän ympäristössä

Ennen kuin käyttäjä voi suojata sisältöä tai käyttää suojattua sisältöä Windows-tietokoneessa, käyttäjän ympäristössä on valmistettava laitteessa. Tämä on vain kerran ja tapahtuu automaattisesti ilman käyttäjän toimia, kun käyttäjä yrittää käyttää suojattua sisältöä tai suojella:

RMS client activation - step 1

RMS-asiakasohjelman tietokoneeseen ensin muodostaa Azure RMS- ja todentaa käyttäjän niiden Azure Active Directory-tilin avulla.

Kun käyttäjän tili on liitetty Azure Active Directory-todennus tapahtuu automaattisesti ja käyttäjää ei kehoteta antamaan tunnistetiedot.

RMS client activation - step 2

Kun käyttäjä on todennettu yhteys ohjataan automaattisesti organisaation RMS vuokralaisen, jossa ongelmat sertifikaatit, joiden avulla käyttäjä voi todentaa Azure RMS kuluttaa suojattua sisältöä ja suojaamaan sisältöä offline-tilassa.

Azure-RMS käyttäjän varmenteen kopio tallennetaan niin, että jos käyttäjä siirtyy toiseen laitteeseen, todistukset luodaan käyttämällä samoja avaimia.

Sisällön suojaus

Kun käyttäjä Suojaa asiakirja-RMS-asiakasohjelman tekee seuraavat toiminnot suojaamaton tiedosto:

RMS document protection - step 1

RMS-asiakasohjelman Luo satunnainen avain (avain sisältö) ja asiakirjan avulla AES-salausalgoritmin symmetrinen avain salaa.

RMS document protection - step 2

RMS-asiakasohjelman Luo todistus, joka sisältää asiakirjan käytännön, joko määrittämällä asiakirjan oikeudet tai mallin perusteella. Tämä käytäntö sisältää oikeudet eri käyttäjille tai ryhmille ja muita rajoituksia, kuten vanhentumispäivämäärä.

RMS-asiakasohjelman käyttää organisaation avain, joka on saatu, kun käyttäjän ympäristössä on alustettu ja käyttää tätä avainta käytännön ja sisällön käytettävän symmetrisen avaimen salaamiseen. RMS-asiakasohjelman allekirjoittaa myös käytännön kanssa, joka on saatu, kun käyttäjän ympäristössä on alustettu käyttäjän varmenteen.

RMS document protection - step 3

Lopuksi RMs-asiakasohjelman upottaa käytännön tiedostoon salattu aiemmin asiakirjan rungossa, jotka yhdessä muodostavat suojatun asiakirjan kanssa.

Tämän asiakirjan olla tallennettu mihin tahansa tai jakaa millään muulla ja käytännön pysyy salatun asiakirjan kanssa.

Sisällön kulutus

Kun käyttäjä haluaa käyttää suojattua tiedostoa, RMS-asiakasohjelman aloittaa lähettämällä pyynnön esittäneen Azure RMS-palvelu:

RMS documention consumption - step 1

Todennettu käyttäjä lähettää asiakirjan käytäntöä ja käyttäjän sertifikaatit Azure RMS. Palvelu poistaa salauksen ja arvioi käytännön ja rakentaa oikeuksien luettelo (jos sellainen on) käyttäjällä on asiakirjan.

RMS document consumption - step 2

Palvelu purkaa sisällön AES-avain sitten purettu käytäntö. Tämä avain salataan käyttäjän julkinen RSA-avain, joka on saatu pyyntöön kanssa.

Sisällön uudelleen salatun avaimen sitten upotetaan salatun käyttöoikeus kanssa luettelon käyttöoikeudet, jotka palautetaan takaisin RMS-asiakasohjelman.

RMS document consumption - step 3

Lopuksi RMS-asiakasohjelman tulee salattu käyttöoikeus ja purkaa sen käyttäjän omalla yksityisellä avaimella. Tämä antaa RMS-asiakasohjelman värialueita näytössä ja purkaa asiakirjan runko on tarpeen.

Myös asiakkaan oikeuksien luettelosta poistaa salauksen ja välittämistä sovellukseen, mikä pakottaa näiden oikeuksien sovelluksen käyttöliittymä.

Variaatiot

Edeltävä vaihe vaiheelta kattaa normaalin tilanteita, mutta on joitakin vaihtelut:

  • Kannettavien laitteiden: Kannettavien laitteiden suojaamiseksi tai kuluttaa Azure RMS tiedostoja, kun virrat prosessi on helpompaa. Mobiililaitteiden ei ensin käydä läpi käyttäjän alustusprosessin, koska sen sijaan kunkin tapahtuman (suojaa tai kuluttaa sisältöä) on riippumaton. Windows-tietokoneiden kanssa mobiililaitteisiin Azure RMS-palvelu muodostaa ja todentaa. Suojaamaan sisältöä, Mobiililaitteet lähettävät käytännön ja Azure RMS lähettää ne julkaistaan käyttöoikeus ja suojata asiakirjan symmetrisen avaimen. Varaamaan sisältöä, kun kannettavien laitteiden Azure RMS-palvelu muodostaa ja todentaa ne lähettää asiakirjan käytännön Azure RMS ja pyytää varaamaan asiakirjan käyttöoikeutta. Azure-RMS lähettää vastauksen, tarvittavat avaimet ja rajoitukset mobiililaitteisiin. Molemmissa tapauksissa TLS avulla voit suojata avainten vaihtoa ja muu viestintä.

  • RMS-liitin: Kun RMS-Connectoria käytetään Azure RMS, prosessi virrat pysyvät samoina. Ainoa ero on se, että liitin toimii rele Azure RMS ja paikalliset palvelut (kuten Exchange Server ja SharePoint Server) välillä. Itse yhdistin ei suorita toimintoja, kuten käyttäjän ympäristössä tai salauksen tai salauksen purkamisen alustus. Se yksinkertaisesti releet tiedonannon, joka ylittäisi yleensä AD RMS-palvelimeen, käsittely käännös väliset protokollat, joita käytetään molemmin puolin. Tässä tilanteessa antaa sinun käyttää Azure RMS Services tiloissa.

  • Yleinen suojaus (.pfile): Azure-RMS yhdistyvät toisten tietokantajärjestelmien suojaa tiedosto, kun virtaus on pohjimmiltaan sama sisällön suojauksen, paitsi että RMS-asiakas luo käytännön, joka on kaikki oikeudet. Kun kulutetaan tiedoston, se puretaan ennen kuin se siirretään kohdesovelluksen. Tässä tilanteessa voit suojata kaikki tiedostot, vaikka ne eivät suoraan tue RMS.

  • Suojattu PDF (.ppdf): Azure-RMS suojaa suoraan Office-tiedostoa, kun se luo tiedoston kopion myös ja suojaa sen samalla tavalla. Ainoa ero on, että tiedostojen kopioinnin PPDF muotoon, joka jakamisen sovelluksen RMS tietävät, miten avata vain katselua varten. Tämän skenaarion avulla lähetät suojatun liitteitä sähköpostitse, tietäen, että vastaanottajan matkaviestimessä aina voi lukea niitä, vaikka kannettava laite ohjesarjaa tukevan app ei ole suojattu Office-tiedostoja.

Seuraavat vaiheet

Saat lisätietoja Azure RMS käyttää muita aiheita Azure sisältöoikeuksien hallinnan käytön aloittaminen osa, kuten Miten sovellukset tukevat Azure sisältöoikeuksien hallinta tietoja siitä, miten sovellukset voidaan integroida Azure RMS tietojen suojaus ratkaisu antaa. Tarkista Terminologia, Azure sisältöoikeuksien hallinta niin, että osaat käyttää ehtoja, jotka saattavat huomata, kun olet määrittämisestä ja käyttämisestä Azure RMS ja on myös sekin että Azure käyttöoikeuksien hallintaa koskevat vaatimukset ennen käyttöönottoa. Jos haluat käsittelevät oikealle ja kokeilla sitä itse, käyttää Pika-aloitus opetusohjelma Azure sisältöoikeuksien hallinta.

Jos olet valmis, voit aloittaa organisaatiosi Azure RMS käyttöönotto Azure oikeuksien hallinnan käyttöönotto tiekartta käyttöönotto-ohjeita ja käyttövinkkejä linkkejä.

System_CAPS_tipVihje

Lisätietoja ja ohjeita käyttää resursseja ja linkkejä Tietoa ja tukea Azure sisältöoikeuksien hallinta.

Katso myös

Azure sisältöoikeuksien hallinnan käytön aloittaminen