Exportieren (0) Drucken
Alle erweitern

Was ist Azure Rights Management?

Letzte Aktualisierung: Februar 2015

Betrifft: Azure Rights Management, Office 365

Fast jede Organisation hat heutzutage eine Verbindung mit dem Internet, wobei Benutzer persönliche Geräte mit zur Arbeit bringen, unterwegs und von zuhause auf Unternehmensdaten zugreifen sowie sensible Informationen mit wichtigen Geschäftspartnern gemeinsam nutzen. Zum Tagesgeschäft der Benutzer gehört es, Informationen durch Verwenden von E-Mails, Websites zum Dateienaustausch sowie Cloud-Diensten gemeinsam zu nutzen. In diesen Zusammenhängen haben herkömmliche Sicherheitsvorkehrungen (etwa Zugriffssteuerungslisten und NTFS-Berechtigungen) sowie Firewalls eingeschränkte Effektivität, wenn Sie die Daten Ihres Unternehmens schützen und gleichzeitig den Benutzern ermöglichen möchten, effizient arbeiten zu können.

Demgegenüber kann Azure Rights Management (Azure RMS) die sensiblen Informationen Ihres Unternehmens in allen diesen Zusammenhängen schützen. In Azure RMS werden Verschlüsselungs-, Identitäts- und Autorisierungsrichtlinien verwendet, um Ihre Dateien und E-Mails zu schützen, und Azure RMS funktioniert für mehrere Gerätetypen: Telefone, Tablets und PCs. Informationen können sowohl innerhalb als auch außerhalb Ihrer Organisation geschützt werden, weil dieser Schutz bei den Daten verbleibt, und zwar selbst dann, wenn die Daten die Grenzen Ihrer Organisation verlassen. Mitarbeiter senden ein Dokument beispielsweise per E-Mail an ein Partnerunternehmen oder speichern ein Dokument auf einem Cloud-Laufwerk. Der dauerhafte Schutz, den Azure RMS bereitstellt, ermöglicht nicht nur das Schützen Ihrer Unternehmensdaten, sondern kann sogar gesetzlich vorgeschrieben sein: zur Einhaltung von Vorgaben, für Anforderungen zu gesetzlichen Ermittlungen oder einfach für bewährte Verfahren der Informationsverwaltung.

Aber sehr wichtig ist, dass autorisierte Personen und Dienste (beispielsweise Such- und Indizierungsdienste) die Daten weiterhin lesen und auswerten können, die von Azure RMS geschützt werden. Dies lässt sich mit anderen Datenschutzlösungen, in denen Peer-zu-Peer-Verschlüsselung verwendet wird, nicht einfach erreichen. Diese Fähigkeit wird gelegentlich als "Schlussfolgern über Daten" (reasoning over data) bezeichnet und ist ein ausschlaggebendes Element dabei, die Kontrolle über die Daten Ihrer Organisation zu behalten.

In der folgenden Abbildung wird verdeutlicht, wie Azure RMS als Lösung zur Rechteverwaltung für Office 365 sowie für lokale Server und Dienste fungiert. Außerdem unterstützt Azure RMS gängige Endbenutzergeräte, die unter Windows, Mac OS, iOS, Android oder Windows Phone ausgeführt werden.

Übersicht über Azure RMS

 

TipTipp
An diesem Punkt können zusätzliche Ressourcen ggf. nützlich sein:

Verwenden Sie die folgenden Abschnitte, um weitere Informationen zu erhalten:

Anhand der folgenden Tabelle können Sie Geschäftsanforderungen oder -probleme bestimmen, die Ihre Organisation möglicherweise hat, und können ermitteln, wie sich diese Probleme mit Azure RMS lösen lassen.

 

Anforderung oder Problem Gelöst durch Azure RMS

Schützen von Dateien beliebigen Typs

√ In früheren Implementierungen von Azure Rights Management können nur Office-Dateien geschützt werden, wozu systemeigener Schutz verwendet wird. Nun gibt es generischen Schutz, d. h., es werden alle Dateitypen unterstützt.

Schützen von Dateien überall

√ Wenn eine Datei in einem Speicherort gespeichert wird (direkt schützen), verbleibt der Schutz bei der Datei, und zwar selbst dann, wenn sie in Speicher kopiert wird, der nicht von der IT-Abteilung betreut wird, beispielsweise ein Cloud-Speicherdienst.

Sicheres Freigeben von Dateien per E-Mail

√ Wird eine Datei per E-Mail freigegeben (geschützt freigeben), wird die Datei als Anlage einer E-Mail-Nachricht geschützt mit Anweisungen, wie die geschützte Anlage geöffnet werden kann. Der Text der E-Mail ist nicht verschlüsselt, sodass der Empfänger diese Anweisungen immer lesen kann. Da das als Anlage angehängte Dokument aber geschützt ist, kann es nur von autorisierten Benutzern geöffnet werden, auch wenn die E-Mail oder das Dokument an andere Personen weitergeleitet wird.

Überprüfung und Überwachung

√ Sie können die Nutzung Ihrer geschützten Dateien selbst dann noch überprüfen und überwachen, wenn diese Dateien die Grenzen Ihrer Organisation verlassen haben.

Nehmen Sie beispielsweise an, Sie arbeiten bei Contoso, Ltd., und Sie arbeiten mit 3 Personen von Fabrikam, Inc. an einem Gemeinschaftsprojekt. An diese 3 Personen senden Sie per E-Mail ein Dokument, das Sie schützen und auf Lesezugriff beschränken. Azure RMS-Überprüfung kann die folgenden Informationen bereitstellen:

  • Ob und wann die von Ihnen angegebenen Fabrikam-Personen das Dokument geöffnet haben.

  • Ob andere Personen, die Sie nicht angegeben haben, versucht haben, das Dokument zu öffnen (und dabei gescheitert sind): Das Dokument wurde möglicherweise weitergeleitet oder in einem freigegebenen Speicherort gespeichert, auf den andere Personen Zugriff haben.

  • Ob eine der angegebenen Personen versucht hat (und gescheitert ist), das Dokument zu drucken oder zu ändern.

Unterstützung für häufig verwendete Geräte, nicht nur Windows-Computer

√ Zu den unterstützten Geräten gehören:

  • Windows-Computer und -Telefone

  • Mac-Computer

  • iOS-Tablets und -Telefone

  • Android-Tablets und -Telefone

Unterstützung von Business-to-Business-Zusammenarbeit

√ Weil Azure RMS ein Cloud-Dienst ist, ist es nicht erforderlich, explizit Vertrauensstellungen zu anderen Organisationen zu konfigurieren, bevor Sie geschützte Inhalte mit diesen gemeinsam nutzen können. Sofern diese Organisationen bereits ein Office 365- oder Azure AD-Verzeichnis haben, wird Zusammenarbeit zwischen Organisationen automatisch unterstützt. Haben die Organisationen kein solches Verzeichnis, können sich Benutzer für das kostenfreie RMS für Einzelpersonen-Abonnement anmelden.

Unterstützung sowohl für lokale Dienste als auch für Office 365

√  Azure RMS arbeitet nahtlos mit Office 365 zusammen. Außerdem können Sie Azure RMS mit den folgenden lokalen Diensten verwenden, wenn Sie den RMS-Verbindungsdienst bereitstellen:

  • Exchange Server

  • SharePoint Server

  • Windows Server mit Dateiklassifizierungsinfrastruktur (File Classification Infrastructure)

Einfache Aktivierung

√ Für das Aktivieren des Rechteverwaltungsdiensts für Benutzer sind nur einige Mausklicks im Verwaltungsportal erforderlich.

Fähigkeit, nach Bedarf über die gesamte Organisation zu skalieren

√ Weil Azure RMS als Cloud-Dienst mit der Azure-Flexibilität für zentrales und horizontales Hochskalieren ausgeführt wird, müssen Sie keine zusätzlichen lokalen Server bereitstellen.

Fähigkeit, einfache und flexible Richtlinien zu erstellen

√ Angepasste Vorlagen für Benutzerrechterichtlinien bieten schnelle und einfache Lösungen, mit denen Administratoren Richtlinien anwenden und Benutzer das richtige Maß an Schutz für jedes Dokument anwenden sowie den Zugriff auf Personen in der eigenen Organisation beschränken können.

Soll beispielsweise ein unternehmensweites Strategiepapier für alle Mitarbeiter freigegeben werden, könnten Sie eine Schreibschutzrichtlinie für alle internen Mitarbeiter anwenden. Für ein Dokument mit sensibleren Daten, etwa einen Finanzbericht, könnten Sie den Zugriff auf Führungskräfte beschränken.

Breite Anwendungsunterstützung

√ Azure RMS ist eng auf Microsoft Office-Anwendungen und -Dienste abgestimmt und ermöglicht durch Verwenden der RMS-Freigabe-Anwendung erweiterte Unterstützung für andere Anwendungen.

√ Im Microsoft Rights Management SDK werden Ihren internen Entwicklern sowie Softwareherstellern APIs bereitgestellt, mit denen sie angepasste Anwendungen schreiben können, die Azure RMS unterstützen.

Weitere Informationen finden Sie unter Unterstützung von Azure Rights Management durch Anwendungen.

IT-Abteilung muss Kontrolle über die Daten behalten

√ Eine Organisation hat die Wahl, ihren eigenen Mandantenschlüssel zu verwalten sowie die BYOK (Bring Your Own Key)-Lösung zu verwenden und ihren Mandantenschlüssel in Hardwaresicherheitsmodulen (HSMs) zu speichern.

√ Unterstützung für Überwachung und Nutzungsprotokollierung, sodass Sie hinsichtlich Geschäftseinblicken analysieren, auf Missbrauch überwachen und (wenn es ein Informationsleck gibt) forensische Analysen ausführen können.

√ Delegierter Zugriff mithilfe der Funktion Administrator stellt sicher, dass die IT-Abteilung immer auf geschützte Inhalte zugreifen kann, auch wenn ein Dokument von einem Mitarbeiter geschützt wurde, der die Organisation dann verlassen hat. Bei Peer-zu-Peer-Verschlüsselungslösungen besteht dagegen das Risiko, dass Zugriff auf Unternehmensdaten verloren geht.

√ Synchronisieren nur der Verzeichnisattribute, die Azure RMS für die Unterstützung einer allgemeinen Identität für Ihre lokalen Active Directory-Konten benötigt, indem Azure Active Directory Synchronization Services (AAD Sync) verwendet wird.

√ Aktivieren von einmaligem Anmelden, ohne Kennwörter in die Cloud zu replizieren, mithilfe von AD FS.

√ Eine Organisation hat immer die Option, das Nutzen von Azure RMS zu beenden, ihren RMS-Mandanten zu deaktivieren und die Lösung auf lokale Server zu migrieren, sodass die Organisation danach auf die von ihr geschützten Daten zugreifen kann. Organisationen, die Active Directory Rights Management Services (AD RMS) bereitgestellt haben, können darüber hinaus zu Azure RMS migrieren, ohne den Zugriff auf Daten zu verlieren, die zuvor geschützt waren.

Einhaltung von Richtlinien und gesetzlichen Anforderungen

√ Verwendung von Kryptografie nach Branchenstandard und Unterstützung von FIPS 140-2. Weitere Informationen finden Sie im Abschnitt Von Azure RMS verwendete kryptografische Steuerelemente: Algorithmen und Schlüssellängen in diesem Thema.

√ Unterstützung für Thales Hardwaresicherheitsmodule (HSMs), damit Sie Ihren Mandantenschlüssel in Microsoft Azure-Rechenzentren speichern können. Azure RMS verwendet getrennte Security Worlds für seine Rechenzentren in Nordamerika, EMEA (Europa, Naher Osten und Afrika) und Asien, sodass Ihre Schlüssel nur in Ihrer Region verwendet werden können.

√ Zertifiziert für Folgendes:

  • ISO/IEC 27001:2005

  • SOC 2 SSAE 16/ISAE 3402 Attestations

  • HIPAA BAA

  • EU-Modellklauseln

Weitere Informationen zu diesen externen Zertifizierungen finden Sie unter Azure Trust Center.

TipTipp
Wenn Sie mit der lokalen Version von Rights Management, Active Directory Rights Management Services (AD RMS), vertraut sind, ist die Vergleichstabelle in Vergleich zwischen Azure Rights Management und AD RMS möglicherweise für Sie interessant.

Die Abbildungen in diesem Abschnitt zeigen einige typische Beispiele dafür, wie Administratoren und Benutzern Azure RMS angezeigt wird und wie Azure RMS verwendet werden kann, um sensible oder vertrauliche Informationen zu schützen.

noteHinweis
In allen diesen Beispielen, in denen Azure RMS Daten schützt, verfügt der Besitzer der Inhalte auch weiterhin über Vollzugriff auf die Daten (Dateien oder E-Mail). Dies gilt selbst dann, wenn der angewendete Schutz Berechtigungen für eine Gruppe gewährt, in der der Besitzer nicht Mitglied war, oder wenn der angewendete Schutz ein Ablaufdatum enthält.

Analog dazu können die IT-Mitarbeiter immer ohne Einschränkungen auf die geschützten Daten zugreifen, indem die Funktion "Administrator" der Rechteverwaltung verwendet wird, die delegierten Zugriff für autorisierte Benutzer oder Dienste gewährt, die Sie angeben. Darüber hinaus können die IT-Mitarbeiter die Nutzung für Daten verfolgen und überwachen, die geschützt werden – z. B., wer auf die Daten zugreift und wann dies geschieht.

Weitere Screenshots und Videos, die RMS in Aktion zeigen, finden Sie im Microsoft Rights Management Services-Portal, im Blog des Microsoft Rights Management-Teams (RMS) und im kuratierten Inhalt für Azure RMS auf der Curah!-Website.

Auch wenn Sie Windows PowerShell zum Aktivieren und Konfigurieren von Azure RMS verwenden können, erfolgt dieser Vorgang am einfachsten über das Verwaltungsportal. Sobald der Dienst aktiviert wurde, stehen Ihnen zwei Standardvorlagen zur Verfügung, die Administratoren und Benutzer auswählen können, um schnell und einfach Schutz von Informationen auf Dateien anzuwenden. Sie können jedoch auch eigene benutzerdefinierte Vorlagen für zusätzliche Optionen und Einstellungen erstellen.

 

Aktivieren von RMS im Verwaltungsportal

Größeres Bild (standardmäßig im gleichen Browserfenster)

Sie können das Office 365 Admin Center (erste Abbildung) oder das Azure-Verwaltungsportal (zweite Abbildung) verwenden, um RMS zu aktivieren.

Sie benötigen nur einen Klick zum Aktivieren und einen weiteren Klick zum Bestätigen – dann ist der Schutz von Informationen für Administratoren und Benutzer in Ihrer Organisation aktiviert.

Azure RMS-Vorlagen, Standard- und neue Vorlagen

Größeres Bild (standardmäßig im gleichen Browserfenster)

Nach der Aktivierung stehen zwei Vorlagen für Benutzerrechterichtlinien automatisch für Ihre Organisation zur Verfügung. Eine Vorlage dient ausschließlich dem schreibgeschützten Zugriff (namens Nur vertrauliche Ansicht), die andere für Lese- und Änderungszugriff (Vertraulich).

Wenn diese Vorlagen auf Dateien oder E-Mail-Nachrichten angewendet werden, schränken sie den Zugriff auf Benutzer in Ihrer Organisation ein. Dies ist eine sehr schnelle und einfache Möglichkeit, um zu verhindern, dass Personen außerhalb Ihrer Organisation an Daten Ihres Unternehmens gelangen.

TipTipp
Diese Standardvorlagen können Sie leicht erkennen, da ihnen der Name Ihrer Organisation als Präfix vorangestellt wird. In unserem Beispiel ist dies VanArsdel, Ltd..

Wenn Sie nicht möchten, dass Benutzern diese Vorlagen angezeigt werden, oder wenn Sie eigene Vorlagen erstellen möchten, kann dies über das Azure-Verwaltungsportal geschehen. Wie in dieser Abbildung gezeigt wird, führt Sie ein Assistent durch den Erstellungsvorgang für benutzerdefinierte Vorlagen.

Verfügbare Einstellungen für benutzerdefinierte Vorlagen

Größeres Bild (standardmäßig im gleichen Browserfenster)

Offlinezugriff, Einstellungen für den Ablauf und die Angabe, ob die Vorlage sofort veröffentlicht werden soll (in Anwendungen sichtbar gemacht werden soll, die Rechteverwaltung unterstützen), sind einige der Konfigurationseinstellungen, die verfügbar sind, wenn Sie eigene Vorlagen erstellen möchten.

Auswählen von Azure RMS-Vorlagen aus Anwendungen

Größeres Bild (standardmäßig im gleichen Browserfenster)

Nach dem Veröffentlichen dieser Vorlagen sind der Datei-Explorer und Word nur zwei Beispiele dafür, wie Benutzer diese Vorlagen nun auswählen können, um schnell Schutz von Informationen auf Dateien anzuwenden:

  • Ein Benutzer kann z. B. die Standardvorlage VanArsdel, Ltd – Vertraulich auswählen. Anschließend können nur Mitarbeiter des Unternehmens VanArsdel dieses Dokument öffnen und verwenden. Dies gilt selbst dann, wenn es später per E-Mail an jemanden außerhalb des Unternehmens gesendet oder an einem öffentlichen Speicherort gespeichert wird.

  • Ein Benutzer kann die benutzerdefinierte Vorlage auswählen, die der Administrator erstellt hat: Vertrieb und Marketing – Nur lesen und drucken. In diesem Fall ist die Datei nicht nur vor Personen außerhalb des Unternehmens geschützt, sondern auch auf Mitarbeiter aus der Vertriebs- und Marketingabteilung eingeschränkt. Darüber hinaus besitzen diese Mitarbeiter keinen Vollzugriff auf das Dokument, sondern können es nur lesen und drucken. Sie können es z. B. nicht ändern oder Teile daraus kopieren.

Weitere Informationen finden Sie unter Aktivieren von Azure Rights Management und Konfigurieren benutzerdefinierter Vorlagen für Azure Rights Management.

Weitere Informationen zum Schützen wichtiger Unternehmensdateien durch Benutzer finden Sie unter Unterstützung von Benutzern beim Schützen von Dateien unter Verwendung von Azure Rights Management.

Im Folgenden finden Sie einige Beispiele dafür, wie Administratoren die Vorlagen anwenden können, um automatisch den Schutz von Informationen für Dateien und E-Mails zu konfigurieren.

Dieses Beispiel zeigt, wie Sie Azure RMS verwenden können, um Dateien auf Dateiservern automatisch zu schützen, die mindestens Windows Server 2012 ausführen und für die Verwendung der Dateiklassifizierungsinfrastruktur konfiguriert sind.

Es gibt viele Möglichkeiten, Klassifizierungswerte auf Dateien anzuwenden. Sie können z. B. die Inhalte von Dateien untersuchen und entsprechend integrierte Klassifizierungen wie Vertraulichkeit und personenbezogene Informationen anwenden. In diesem Beispiel erstellt ein Administrator jedoch eine benutzerdefinierte Klassifizierung Marketing, die automatisch für alle Benutzerdokumente angewendet wird, die im Ordner Marketingaktionen gespeichert werden. Obwohl dieser Ordner durch NTFS-Berechtigungen geschützt ist, die den Zugriff auf Mitglieder der Gruppe Marketing einschränken, weiß der Administrator, dass diese Berechtigungen verloren gehen können, wenn jemand aus dieser Gruppe die Dateien verschiebt oder per E-Mail sendet. In diesem Fall könnte auf die Informationen in den Dateien durch nicht autorisierte Benutzer zugegriffen werden.

 

Konfigurieren des RMS-Verbindungsdiensts für FCI

Größeres Bild (standardmäßig im gleichen Browserfenster)

Die Administratoren installieren und konfigurieren den RMS-Verbindungsdienst, der als Relay zwischen lokalen Servern und Azure RMS fungiert.

Konfigurieren des Dateiservers für FCI

Größeres Bild (standardmäßig im gleichen Browserfenster)

Auf dem Dateiserver konfiguriert der Administrator die Klassifizierungsregeln und -aufgaben, damit alle Benutzerdateien im Ordner Marketingaktionen automatisch als Marketing klassifiziert und mit RMS-Verschlüsselung geschützt werden.

Er wählt die benutzerdefinierte RMS-Vorlage aus, die im ersten Beispiel erstellt wurde, die den Zugriff auf die Mitglieder der Vertriebs- und Marketingabteilungen einschränkt: Vertrieb und Marketing - Nur lesen und drucken.

Als Ergebnis werden alle Dokumente in diesem Ordner automatisch mit der Klassifizierung Marketing konfiguriert und durch die RMS-Vorlage Vertrieb und Marketing geschützt.

Zufällig per E-Mail gesendete, vertrauliche Daten

Größeres Bild (standardmäßig im gleichen Browserfenster)

So verhindert RMS, dass Daten an Personen gelangen, die keinen Zugriff auf sensible oder vertrauliche Informationen besitzen sollten:

  • Janet aus der Marketingabteilung sendet einen vertraulichen Bericht aus dem Ordner Marketingaktionen per E-Mail. Dieser Bericht enthält neue Produktfeatures und Werbepläne und wird von einem Kollegen angefordert, der sich zurzeit auf Geschäftsreise befindet. Janet sendet die E-Mail jedoch versehentlich an die falsche Person – sie hat nicht bemerkt, dass sie versehentlich einen Empfänger mit einem ähnlichen Namen in einem anderen Unternehmen ausgewählt hat.

    Der Empfänger kann den vertraulichen Bericht nicht lesen, weil er kein Mitglied der Gruppe Vertrieb und Marketing ist.

Weitere Informationen finden Sie unter Bereitstellen des Azure Rights Management-Verbindungsdiensts.

Im vorherigen Beispiel wurde gezeigt, wie Dateien automatisch geschützt werden können, die sensible oder vertrauliche Informationen enthalten. Was geschieht jedoch, wenn sich die Informationen nicht in einer Datei, sondern in einer E-Mail-Nachricht befinden? Hier greifen die Richtlinien zur Verhinderung von Datenverlusten (Data Loss Prevention, DLP) von Exchange Online, die Sie zum Anwenden von Schutz von Informationen (mithilfe von Richtlinientipps) auffordern oder diesen automatisch (mithilfe von Transportregeln) anwenden.

In diesem Beispiel konfiguriert der Administrator eine Richtlinie, damit die Organisation den US-Bestimmungen zum Schutz personenbezogener Daten genügt. Es können jedoch auch Regeln für andere Genehmigungsregelungen bzw. benutzerdefinierte Regeln konfiguriert werden, die Sie definieren.

 

Konfigurieren von DLP für Exchange Online mit RMS

Größeres Bild (standardmäßig im gleichen Browserfenster)

Die Exchange-Vorlage namens USA – Daten mit persönlich identifizierbaren Informationen (PII) wird vom Administrator zum Erstellen und Konfigurieren einer neuen DLP-Richtlinie verwendet. Diese Vorlage sucht in E-Mail-Nachrichten nach Informationen wie z. B. Sozialversicherungsnummern und Führerscheinnummern.

Die Regeln sind so konfiguriert, dass auf E-Mail-Nachrichten, die diese Informationen enthalten und an Empfänger außerhalb des Unternehmens gesendet werden, automatisch Rechteschutz mithilfe einer RMS-Vorlage angewendet wird, die den Zugriff ausschließlich auf Mitarbeiter des Unternehmens einschränkt.

Hier wird die Regel so konfiguriert, dass eine der Standardvorlagen verwendet wird: VanArsdel, Ltd – Vertraulich aus unserem ersten Beispiel. Sie können jedoch auch sehen, dass die Vorlagenauswahl alle benutzerdefinierten Vorlagen enthält, die Sie erstellt haben, sowie eine Option Nicht weiterleiten, die für Exchange spezifisch ist.

Ungeschützte E-Mail (intern)

Größeres Bild (standardmäßig im gleichen Browserfenster)

Der Personalleiter schreibt eine E-Mail-Nachricht, die die Sozialversicherungsnummer eines kürzlich eingestellten Mitarbeiters enthält. Er sendet diese E-Mail-Nachricht an Sherrie in der Personalabteilung.

Geschützte E-Mail (extern)

Größeres Bild (standardmäßig im gleichen Browserfenster)

Wenn diese E-Mail-Nachricht an jemanden außerhalb des Unternehmens gesendet oder weitergeleitet wird, wendet die DLP-Regel automatisch Rechteschutz an.

Die E-Mail wird verschlüsselt, wenn sie die Infrastruktur der Organisation verlässt, damit die Sozialversicherungsnummer in der E-Mail-Nachricht während der Übertragung oder im Posteingang des Empfängers nicht gelesen werden kann. Der Empfänger ist nur dann in der Lage, die Nachricht zu lesen, wenn er ein Mitarbeiter von VanArsdel ist.

Weitere Informationen finden Sie in den folgenden Abschnitten:

Dies zeigt, wie Sie auf einfache Weise Dokumente schützen können, wenn Sie SharePoint Online und geschützte Bibliotheken verwenden.

In diesem Beispiel hat der SharePoint-Administrator für Contoso eine Bibliothek für jede Abteilung erstellt, die zum zentralen Speichern und Auschecken von Dokumenten für die Bearbeitung und Versionskontrolle verwendet wird. Beispielsweise ist eine Bibliothek für den Vertrieb, eine Bibliothek für Marketing, eine Bibliothek für die Personalabteilung usw. vorhanden. Wenn ein neues Dokument hochgeladen oder in einer dieser geschützten Bibliotheken erstellt wird, erbt dieses Dokument den Schutz der Bibliothek (es ist nicht erforderlich, eine Rechterichtlinienvorlage auszuwählen), und dieses Dokument wird automatisch geschützt und bleibt geschützt, auch wenn es aus der SharePoint-Bibliothek verschoben wird.

 

Aktivieren von IRM für SharePoint Online

Größeres Bild (standardmäßig im gleichen Browserfenster)

Der Administrator aktiviert die Verwaltung von Informationsrechtenfür die SharePoint-Website.

Aktivieren von IRM für eine SharePoint-Bibliothek

Größeres Bild (standardmäßig im gleichen Browserfenster)

Anschließend aktiviert er die Verwaltung von Informationsrechten für eine Bibliothek. Auch wenn weitere Optionen vorhanden sind, ist diese einfache Einstellung häufig die einzige erforderliche.

Wenn neue Dokumente in dieser Bibliothek erstellt oder dorthin hochgeladen werden, erben sie automatisch den Schutz, der für die Bibliothek konfiguriert ist.

Heruntergeladenes durch SharePoint geschütztes Dokument

Größeres Bild (standardmäßig im gleichen Browserfenster)

Wenn ein Mitarbeiter aus der Vertriebsabteilung diesen Umsatzbericht aus der Bibliothek auscheckt, kann er anhand des oben angezeigten Informationsbanners klar erkennen, dass es sich um ein geschütztes Dokument mit eingeschränktem Zugriff handelt.

Das Dokument bleibt selbst dann geschützt, wenn der Benutzer es umbenennt, an einem anderen Speicherort speichert oder per E-Mail freigibt. Unabhängig davon, welchen Namen die Datei trägt, wo sie gespeichert ist oder ob sie per E-Mail freigegeben wird, kann sie nur von Mitgliedern der Vertriebsabteilung gelesen werden.

Weitere Informationen finden Sie in den folgenden Abschnitten:

In den vorherigen Beispielen wurde gezeigt, wie Administratoren automatisch Schutz von Informationen auf sensible und vertrauliche Daten anwenden können. Unter bestimmten Umständen müssen Benutzer jedoch ggf. diesen Schutz selbst anwenden. Dies gilt z. B. dann, wenn sie mit Partnern in einer anderen Organisation zusammenarbeiten, benutzerdefinierte Berechtigungen oder Einstellungen benötigen, die nicht in Vorlagen definiert sind, oder in Ad-hoc-Situationen, die von den vorherigen Beispielen nicht berücksichtigt werden. In diesen Fällen können Benutzer die RMS-Vorlagen selbst anwenden oder benutzerdefinierte Berechtigungen konfigurieren.

Dieses Beispiel zeigt, wie Benutzer ein Dokument problemlos für Personen aus einem anderen Unternehmen freigeben können, mit denen sie zusammenarbeiten. Das Dokument wird dabei immer noch geschützt, und der Empfänger ist in der Lage, das Dokument sogar mit einem gängigen mobilen Gerät zu lesen. Dieses Szenario verwendet die RMS-Freigabeanwendung, die automatisch auf Windows-Computern in Ihrer Organisation bereitgestellt werden kann. Sie kann jedoch auch von Benutzern selbst installiert werden.

In diesem Beispiel sendet die Mitarbeiterin Alice von Contoso ein vertrauliches Word-Dokument per E-Mail an Bob, der bei Fabrikam arbeitet. Er liest das Dokument auf seinem iPad. Er könnte es jedoch auch auf ebenso einfache Weise auf einem iPhone, einem Android-Tablet oder -Telefon, einem Macintosh-Computer oder einem Windows Phone oder -Computer lesen.

 

Hinzufügen von Schutz für eine Anlage

Größeres Bild (standardmäßig im gleichen Browserfenster)

Auf ihrem Windows-PC erstellt Alice eine E-Mail-Standardnachricht und fügt ein Dokument an.

Sie klickt im Menüband auf Geschützt freigeben und lädt so das Dialogfeld Schutz hinzufügen aus der RMS-Freigabeanwendung.

Alice möchte, dass Bob das Dokument nur anzeigen und bearbeiten kann. Er darf es nicht kopieren oder drucken. Sie wählt daher PRÜFER aus. Außerdem möchte sie per E-Mail benachrichtigt werden, wenn jemand versucht, das Dokument zu öffnen.

E-Mail geht auf iPad ein

Größeres Bild (standardmäßig im gleichen Browserfenster)

Bob sieht die E-Mail auf seinem iPad.

Er erhält nicht nur die Nachricht und die Anlage von Alice, sondern auch Anweisungen, die er zum Registrieren und Installieren der RMS-Freigabeanwendung auf seinem iPad befolgt.

Geschütztes Dokument auf iPad

Größeres Bild (standardmäßig im gleichen Browserfenster)

Bob kann die Anlage jetzt öffnen. Er wird zuerst aufgefordert, sich anzumelden, um zu bestätigen, dass er der beabsichtigte Empfänger ist.

Wenn Bob das Dokument anzeigt, sieht er auch Informationen zum eingeschränkten Zugriff, die ihn informieren, dass er das Dokument anzeigen und bearbeiten, jedoch nicht kopieren oder drucken kann.

Benachrichtigungs-E-Mail

Größeres Bild (standardmäßig im gleichen Browserfenster)

Alice erhält eine E-Mail-Nachricht, die sie informiert, dass Bob das von ihr gesendete Dokument erfolgreich geöffnet hat und wann dies geschehen ist.

Wenn Bob seine E-Mail-Nachricht mit der Anlage weiterleitet oder an einem Speicherort speichert, an dem andere Benutzer darauf zugreifen können, oder die Nachricht im Netzwerk abgefangen wird, sind andere Personen nicht in der Lage, das Dokument zu lesen.

Weitere Informationen finden Sie unter Schützen einer Datei, die Sie per E-Mail freigeben und Anzeigen und Verwenden von Dateien, die geschützt wurden im Benutzerhandbuch zur RMS-Freigabeanwendung.

Nachdem Sie nun einige Beispiele für die Möglichkeiten von Azure RMS kennengelernt haben, möchten Sie ggf. mehr über die Funktionsweise erfahren. Technische Informationen zur Funktionsweise von Azure RMS finden Sie im nächsten Abschnitt.

Es ist wichtig, hinsichtlich der Funktionsweise von Azure RMS zu verstehen, dass der Rechteverwaltungsdienst (und Microsoft) Ihre Daten als Teil des Informationsschutzvorgangs weder sieht noch speichert. Informationen, die Sie schützen, werden niemals an Azure gesendet oder dort gespeichert – es sei denn, dass Sie diese explizit in Azure speichern oder einen anderen Cloud-Dienst verwenden, der sie in Azure speichert. Durch Azure RMS werden die Daten in einem Dokument einfach nicht lesbar für Personen, die keine autorisierten Benutzer und Dienste sind:

  • Die Daten werden auf der Anwendungsebene verschlüsselt und enthalten eine Richtlinie, die die autorisierte Verwendung für dieses Dokument definiert.

  • Wenn ein geschütztes Dokument von einem legitimen Benutzer verwendet oder von einem autorisierten Dienst verarbeitet wird, werden die Daten im Dokument entschlüsselt, und die Rechte, die in der Richtlinie definiert werden, werden durchgesetzt.

Die folgende Abbildung zeigt die Funktionsweise dieses Vorgangs als Übersicht. Ein Dokument, das die geheime Formel enthält, ist geschützt und wird dann von einem autorisierten Benutzer oder Dienst erfolgreich geöffnet. Das Dokument wird durch einen Inhaltsschlüssel (der grüne Schlüssel in der Abbildung) geschützt. Er ist für jedes Dokument eindeutig und wird im Dateiheader gespeichert. Dort ist er durch den Stammschlüssel Ihres RMS-Mandanten geschützt (der rote Schlüssel in der Abbildung). Ihr Mandantenschlüssel kann von Microsoft generiert und verwaltet werden, oder Sie generieren und verwalten Ihren eigenen Mandantenschlüssel.

Während des gesamten Schutzvorgangs (wenn Azure RMS Daten verschlüsselt und entschlüsselt, autorisiert und Einschränkungen durchsetzt) wird die geheime Formel niemals an Azure gesendet.

Schützen einer Datei mit Azure RMS (Funktionsweise)

Eine ausführliche Beschreibung der Funktionsweise finden Sie im Abschnitt Exemplarische Vorgehensweise zur Funktionsweise von Azure RMS: Erste Verwendung, Inhaltsschutz, Inhaltsaufnahme in diesem Thema.

Technische Details zu den Algorithmen und Schlüssellängen, die Azure RMS verwendet, finden Sie im nächsten Abschnitt.

Auch wenn Sie selbst die Funktionsweise von RMS nicht kennen müssen, werden Sie ggf. zu den verwendeten kryptografischen Steuerelementen befragt, um sicherzustellen, dass ein Sicherheitsschutz nach Branchenstandard verwendet wird.

 

Schutzmethode für Dokumentation:

Algorithmus: AES

Schlüssellänge: 128 Bits und 256 Bits 1

Schlüsselschutzmethode:

Algorithmus: RSA

Schlüssellänge: 2.048 Bits

Zertifikatsignatur:

Algorithmus: SHA-256

1 256 Bits werden von der Rights Management-Freigabeanwendung für den generischen und und den systemeigenen Schutz verwendet, wenn die Datei eine PPDF-Dateinamenerweiterung aufweist oder eine geschützte Text- oder Imagedatei (z. B. eine PTXT- oder PJPG-Datei) ist.

Sehen Sie sich zum besseren Verständnis der Funktionsweise von Azure RMS einen typischen Ablauf an, nachdem Azure RMS aktiviert wurde und ein Benutzer RMS erstmals auf seinem Windows-Computer verwendet (ein Vorgang, der auch als Initialisierung der Benutzerumgebung oder Bootstrapping bezeichnet wird), Inhalte geschützt werden (ein Dokument oder eine E-Mail) und dann ein Inhalt genutzt (geöffnet und verwendet) wird, der durch eine andere Person geschützt wurde.

Nach der Initialisierung der Benutzerumgebung kann der Benutzer Dokumente schützen oder geschützte Dokumente auf diesem Computer nutzen.

noteHinweis
Wenn dieser Benutzer zu einem anderen Windows-Computer wechselt oder ein anderer Benutzer den gleichen Windows-Computer verwendet, wird der Initialisierungsvorgang wiederholt.

Bevor ein Benutzer Inhalte schützen oder geschützte Inhalte auf einem Windows-Computer nutzen kann, muss die Benutzerumgebung auf dem Gerät vorbereitet werden. Dies ist ein einmaliger Vorgang. Er geschieht automatisch ohne Benutzereingriff, wenn ein Benutzer versucht, Inhalte zu schützen oder geschützte Inhalte zu nutzen:

 

RMS-Clientaktivierung – Schritt 1

Der RMS-Client auf dem Computer stellt zunächst eine Verbindung mit Azure RMS her und authentifiziert den Benutzer mithilfe seines Azure Active Directory-Kontos.

Wenn das Konto des Benutzers einen Verbund mit Azure Active Directory aufweist, erfolgt diese Authentifizierung automatisch, und der Benutzer wird nicht zur Eingabe von Anmeldeinformationen aufgefordert.

 

RMS-Clientaktivierung – Schritt 2

Nachdem der Benutzer authentifiziert wurde, wird die Verbindung automatisch an den RMS-Mandanten der Organisation umgeleitet, der Zertifikate ausstellt, mit denen sich der Benutzer bei Azure RMS authentifiziert, um geschützte Inhalte zu nutzen und Inhalte offline zu schützen.

Eine Kopie des Zertifikats des Benutzers wird in Azure RMS gespeichert, damit die Zertifikate mithilfe der gleichen Schlüsseln erstellt werden, wenn der Benutzer ein anderes Gerät verwendet.

Wenn ein Benutzer ein Dokument schützt, führt der RMS-Client die folgenden Aktionen für ein ungeschütztes Dokument aus:

 

RMS-Dokumentenschutz – Schritt 1

Der RMS-Client erstellt einen zufälligen Schlüssel (den Inhaltsschlüssel) und verschlüsselt das Dokument mithilfe dieses Schlüssels mit dem symmetrischen Verschlüsselungsalgorithmus AES.

 

RMS-Dokumentenschutz – Schritt 2

Der RMS-Client erstellt dann eine Richtlinie für das Dokument. Diese basiert auf einer Vorlage oder auf der Angabe bestimmter Rechte für das Dokument. Diese Richtlinie umfasst die Rechte für verschiedene Benutzer oder Gruppen und andere Einschränkungen, z. B. ein Ablaufdatum.

Der RMS-Client verwendet dann den Schlüssel der Organisation, der abgerufen wurde, als die Benutzerumgebung initialisiert wurde. Er verwendet diesen Schlüssel zum Verschlüsseln der Richtlinie und des symmetrischen Inhaltsschlüssels. Der RMS-Client signiert die Richtlinie außerdem mit dem Zertifikat des Clients, das abgerufen wurde, als die Benutzerumgebung initialisiert wurde.

 

RMS-Dokumentenschutz – Schritt 3

Schließlich bettet der RMS-Client die Richtlinie in eine Datei mit dem Text des zuvor verschlüsselten Dokuments ein. Zusammen ergibt dies ein geschütztes Dokument.

Dieses Dokument kann an einem beliebigen Ort gespeichert oder mithilfe einer beliebigen Methode freigegeben werden. Die Richtlinie verbleibt immer im verschlüsselten Dokument.

Wenn ein Benutzer ein geschütztes Dokument nutzen möchte, fordert der RMS-Client im ersten Schritt Zugriff auf den Azure RMS-Dienst an:

 

RMS-Dokumentennutzung – Schritt 1

Der authentifizierte Benutzer sendet die Dokumentrichtlinie und die Zertifikate des Benutzers an Azure RMS. Der Dienst entschlüsselt die Richtlinie und wertet sie aus und erstellt dann eine Liste der Rechte (sofern vorhanden), die der Benutzer für das Dokument besitzt.

 

RMS-Dokumentennutzung – Schritt 2

Der Dienst extrahiert dann den AES-Inhaltsschlüssel aus der entschlüsselte Richtlinie. Dieser Schlüssel wird dann mit öffentlichen RSA-Schlüssel des Benutzers verschlüsselt, der mit der Anforderung abgerufen wurde.

Der erneut verschlüsselte Inhaltsschlüssel wird dann in eine verschlüsselte Nutzungslizenz mit der Liste der Benutzerberechtigungen eingebettet, die dann an den RMS-Client zurückgegeben wird.

 

RMS-Dokumentennutzung – Schritt 3

Schließlich verwendet der RMS-Client die verschlüsselte Nutzungslizenz und entschlüsselt diese mit dem privaten Schlüssel seines eigenen Benutzers. Auf diese Weise kann der RMS-Client den Text des Dokuments nach Bedarf entschlüsseln und auf dem Bildschirm darstellen.

Der Client entschlüsselt außerdem die Rechteliste und übergibt sie an die Anwendung, die diese Rechte in der Benutzeroberfläche der Anwendung durchsetzt.

Die vorherigen exemplarischen Vorgehensweisen beschreiben die Standardszenarien. Es gibt jedoch einige Varianten:

  • Mobile Geräte: Wenn mobile Geräte Dateien mit Azure RMS schützen oder nutzen, sind die Prozessabläufe wesentlich einfacher. Mobile Geräte durchlaufen nicht zuerst den Initialisierungsprozess, weil stattdessen jede Transaktion (zum Schützen oder Nutzen von Inhalten) unabhängig ist. Ebenso wie Windows-Computer stellen mobile Geräte eine Verbindung mit dem Azure RMS-Dienst her und authentifizieren sich. Zum Schützen von Inhalten übermitteln mobile Geräte eine Richtlinie, und Azure RMS sendet ihnen dann eine Veröffentlichungslizenz und einen symmetrischen Schlüssel zum Schützen des Dokuments. Zum Nutzen von Inhalten senden mobile Geräte die Dokumentrichtlinie an Azure RMS und fordern eine Nutzungslizenz an, um das Dokument zu nutzen, wenn sie eine Verbindung mit dem Azure RMS-Dienst herstellen und sich authentifizieren. Als Antwort sendet Azure RMS die erforderlichen Schlüssel und Einschränkungen an das mobile Gerät. Beide Prozesse verwenden TLS, um den Schlüsselaustausch und andere Kommunikation zu schützen.

  • RMS-Verbindungsdienst: Wenn Azure RMS mit dem RMS-Verbindungsdienst verwendet wird, bleiben die Prozessabläufe unverändert. Der einzige Unterschied besteht darin, dass der Verbindungsdienst als Relay zwischen den lokalen Diensten (z. B. Exchange Server und SharePoint Server) und Azure RMS fungiert. Der Verbindungsdienst selbst führt keine Vorgänge aus, z. B. die Initialisierung der Benutzerumgebung oder Ver- und Entschlüsselung. Es leitet lediglich die Kommunikation weiter, die normalerweise an einen AD RMS-Server gesendet würde, der die Übersetzung zwischen den Protokollen verarbeitet, die auf jeder Seite verwendet werden. In diesem Szenario können Sie Azure RMS mit lokalen Diensten verwenden.

  • Allgemeiner Schutz (PFILE-Datei): Wenn Azure RMS eine Datei allgemein schützt, ist der Datenfluss grundsätzlich mit der Ausnahme, dass der RMS-Client eine Richtlinie erstellt, die alle Rechte gewährt, identisch mit dem Inhaltsschutz. Wenn die Datei genutzt wird, wird sie entschlüsselt, bevor sie an die Zielanwendung übergeben wird. In diesem Szenario können Sie alle Dateien selbst dann schützen, wenn sie keine systemeigene Unterstützung für RMS besitzen.

  • Geschützte PDF-Datei (PPDF-Datei): Wenn Azure RMS eine Office-Datei mit systemeigenen Schutz versieht, wird auch eine Kopie dieser Datei erstellt und auf die gleiche Weise geschützt. Der einzige Unterschied besteht darin, dass die Dateikopie im PPDF-Dateiformat vorliegt. Die RMS-Freigabeanwendung weiß, wie diese ausschließlich für die Anzeige geöffnet wird. In diesem Szenario können Sie geschützte Anlagen per E-Mail senden und dabei sicher sein, dass der Empfänger auf einem mobilen Gerät diese immer lesen kann – selbst dann, wenn das mobile Gerät nicht über eine App verfügt, die systemeigene Unterstützung für geschützte Office-Dateien bietet.

Wenn Sie weitere Informationen zu Azure RMS wünschen, lesen Sie die weiteren Themen im Abschnitt Erste Schritte mit Azure Rights Management, beispielsweise Unterstützung von Azure Rights Management durch Anwendungen, um zu erfahren, wie Ihre vorhandenen Anwendungen auf Azure RMS abgestimmt werden können, um eine Lösung mit Informationsschutz bereitzustellen. Lesen Sie Terminologie für Azure Rights Management, um sich mit den Begriffen vertraut zu machen, denen Sie möglicherweise begegnen, wenn Sie Azure RMS konfigurieren und verwenden. Außerdem sollten Sie unbedingt Voraussetzungen für Azure Rights Management lesen, bevor Sie mit der Bereitstellung beginnen.

Wenn Sie soweit sind, mit der Bereitstellung von Azure RMS zu beginnen, sollten Sie die Roadmap für die Bereitstellung von Azure Rights Management für die Bereitstellungsschritte und sowie für Links zu praktischen Anweisungen verwenden.

TipTipp
Weitere Informationen und Hilfe finden Sie über die Ressourcen und Links in Informationen zu und Unterstützung für Azure Rights Management.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft