Co je Azure Rights Management?What is Azure Rights Management?

Platí pro: Azure Information Protection, Office 365Applies to: Azure Information Protection, Office 365

Služba Azure Rights Management (často se zkracuje na Azure RMS) je technologie ochrany, kterou používá Azure Information Protection.Azure Rights Management (often abbreviated to Azure RMS) is the protection technology used by Azure Information Protection.

Tato cloudová služba ochrany používá zásady šifrování, identity a autorizace, které vám pomůžou zabezpečit soubory a e-maily a funguje na různých zařízeních – na telefonech, tabletech a počítačích.This cloud-based protection service uses encryption, identity, and authorization policies to help secure your files and email, and it works across multiple devices—phones, tablets, and PCs. Informace je možné chránit jak v rámci organizace, tak i mimo ni. Data jsou chráněná, i když se dostanou mimo síť organizace.Information can be protected both within your organization and outside your organization because that protection remains with the data, even when it leaves your organization’s boundaries.

Zaměstnanci můžou například poslat dokument e-mailem do partnerské firmy nebo ho uložit na cloudovou jednotku.As an example, employees might email a document to a partner company, or save a document to their cloud drive. Trvalá ochrana, kterou Azure RMS poskytuje, pomáhá zajistit nejen zabezpečení firemních dat, ale může také mít právo na dodržování předpisů, zákonné požadavky na zjišťování nebo jednoduché postupy správy informací.The persistent protection that Azure RMS provides not only helps to secure your company data, but might also be legally mandated for compliance, legal discovery requirements, or simply for good information management practices.

Ale důležité osoby a služby (například vyhledávání a indexování) můžou dál číst a kontrolovat chráněná data.But importantly, authorized people and services (such as search and indexing) can continue to read and inspect the protected data. Tato funkce se nedá snadno docílit u jiných řešení ochrany informací, která používají šifrování peer-to-peer.This capability is not easily accomplished with other information protection solutions that use peer-to-peer encryption. Možná jste si vyslyšeli tuto funkci, která se označuje jako "vyvýšení dat" a je to zásadní prvek pro zachování kontroly nad daty vaší organizace.You might have heard this capability referred to as "reasoning over data" and it is a crucial element in maintaining control of your organization’s data.

Následující obrázek ukazuje, jak tato služba nabízí řešení ochrany pro Office 365 a také pro místní servery a služby.The following picture shows how this service offers a protection solution for Office 365, as well as for on-premises servers and services. Tato ochrana se taky podporuje v oblíbených zařízeních koncových uživatelů, na kterých běží Windows, macOS, iOS a Android.You also see that protection is supported by the popular end-user devices that run Windows, macOS, iOS, and Android.

Jak Azure RMS funguje

Tuto ochranu můžete použít s předplatnými Office 365 i s předplatnými pro Azure Information Protection.You can use this protection with Office 365 subscriptions as well as with subscriptions for Azure Information Protection. Další informace o dostupných předplatných a funkcích, které podporují, najdete na webu Azure Information Protection .You can find more information about the available subscriptions and which features they support on the Azure Information Protection site.

Řešení problémů v podniku vyřešené službou Azure Rights ManagementBusiness problems solved by Azure Rights Management

Pomocí následující tabulky můžete identifikovat obchodní požadavky nebo problémy, které vaše organizace může mít k ochraně dokumentů a e-mailů, a jak je může technologie Azure Rights Management řešit.Use the following table to identify business requirements or problems that your organization might have for protecting documents and emails, and how the Azure Rights Management technology can address these.

Požadavek nebo potížeRequirement or problem Řešení služby Azure RMSSolved by Azure RMS
Ochrana více typů souborůProtect multiple file types √ V počátečních implementacích Rights Management můžou být chráněné jenom soubory Office, které používají nativní ochranu Rights Management.√ In early implementations of Rights Management, only Office files could be protected, using native Rights Management protection. Nyní obecná ochrana, kterou dříve nabízela aplikace pro sdílení obsahu a kterou v současné době nabízí klient služby Azure Information Protection, znamená, že se podporuje více typů souborů.Now, generic protection that was first offered by the Rights Management sharing application and now by the Azure Information Protection client means that more file types are supported.
Ochrana souborů kdekoliProtect files anywhere √ Když je soubor chráněný, ochrana se souborem zůstane, i když je uložený nebo zkopírovaný do úložiště, které není pod kontrolou IT, jako je třeba služba cloudového úložiště.√ When a file is protected, the protection stays with the file, even if it is saved or copied to storage that is not under the control of IT, such as a cloud storage service.
Bezpečné sdílení informacíSafely share information √ Když je soubor chráněný, je bezpečné ho sdílet s ostatními.√ When a file is protected, it is safe to share with others. Můžete ho sdílet například jako e-mailovou přílohu nebo odkaz na sharepointový web.For example, an attachment to an email or a link to a SharePoint site. Pokud v e-mailové zprávě uvádíte citlivé informace, můžete chránit e-mail nebo jednoduše použít outlookovou možnost Nepřeposílat.If the sensitive information is within an email message, you can protect the email or simply use the Do Not Forward option from Outlook.

Výhoda připojení chráněného souboru spíše než ochrana celé e-mailové zprávy spočívá v tom, že text e-mailu není zašifrovaný, takže můžete uvést pokyny pro první použití, pokud e-mail odesíláte z umístění mimo vaši organizaci.The benefit of attaching a protected file rather than protecting the whole email message is that the email text is not encrypted, so you can include instructions for first-time use if the email is being sent outside your organization. Pokyny si může přečíst kdokoli, ale protože je přiložený dokument chráněný, můžou ho otevřít jenom oprávnění uživatelé, i když se e-mail nebo dokument předá jiným osobám.Anybody can read the instructions but because the attached document is protected, only authorized users will be able to open the document, even if the email or document is forwarded to other people.
Auditování a sledováníAuditing and monitoring √ Můžete Auditovat a monitorovat využití chráněných souborů, i když tyto soubory opustí hranice vaší organizace.√ You can audit and monitor usage of your protected files, even after these files leave your organization’s boundaries.

Například pracujete se společností Contoso, Ltd. Pracujete na společném projektu se třemi lidmi ze společnosti Fabrikam, Inc. Těmto třem osobám pošlete e-mailem dokument, který chráníte a omezíte jen pro čtení.For example, you work for Contoso, Ltd. You are working on a joint project with three people from Fabrikam, Inc. You email these three people a document that you protect and restrict to read-only. Auditování Azure Rights Management může poskytnout následující informace:Azure Rights Management auditing can provide the following information:

– Jestli vámi určené osoby ze společnosti Fabrikam dokument otevřely a kdy.- Whether the people you specified in Fabrikam opened the document, and when.

– Jestli se o otevření dokumentu (neúspěšně) pokusily jiné osoby, které jste neurčili – možná ho někdo předal dál nebo uložil do sdíleného umístění, ke kterému mají přístup i ostatní uživatelé.- Whether other people that you didn’t specify attempted (and failed) to open the document—perhaps because it was forwarded or saved to a shared location that others could access.

– Jestli se některá z určených osob pokusila dokument (neúspěšně) vytisknout nebo změnit.- Whether any of the specified people tried (and failed) to print or change the document.

Kromě toho web pro sledování dokumentů umožňuje uživatelům a správcům sledovat a v případě potřeby odvolat přístup k chráněným dokumentům.In addition, the document tracking site lets users and administrators track, and if necessary, revoke access to protected documents.
Podpora běžně používaných zařízení, nejenom počítačů s WindowsSupport for commonly used devices, not just Windows computers √ Podporovaná zařízení zahrnují:√ Supported devices include:

– Počítače a telefony s Windows- Windows computers and phones

– Počítače Mac- Mac computers

– Tablety a telefony s iOS- iOS tablets and phones

– Tablety a telefony s Androidem- Android tablets and phones
Podpora spolupráce mezi firmamiSupport for business-to-business collaboration √ Vzhledem k tomu, že Azure Rights Management je cloudová služba, není potřeba explicitně konfigurovat vztahy důvěryhodnosti s jinými organizacemi, abyste s nimi mohli sdílet chráněný obsah.√ Because Azure Rights Management is a cloud service, there’s no need to explicitly configure trusts with other organizations before you can share protected content with them. Pokud už mají Office 365 nebo adresář služby Azure AD, je spolupráce v organizacích automaticky podporovaná.If they already have an Office 365 or an Azure AD directory, collaboration across organizations is automatically supported. Pokud ne, můžou si uživatelé zaregistrovat bezplatný odběr služby RMS pro jednotlivce nebo použít účet Microsoft pro aplikace, které podporují toto ověřování pro Azure Information Protection.If they do not, users can sign up for the free RMS for individuals subscription, or use a Microsoft account for applications that support this authentication for Azure Information Protection.
Podpora místních služeb i Office 365Support for on-premises services, as well as Office 365 √ Mimo bezproblémovou práci se sadou Office 365můžete také použít Azure Rights Management s následujícími místními službami při nasazení RMS Connector:√  In addition to working seamlessly with Office 365, you can also use Azure Rights Management with the following on-premises services when you deploy the RMS connector:

– Exchange Server- Exchange Server

– SharePoint Server- SharePoint Server

– Windows Server se spuštěnou infrastrukturou klasifikace souborů- Windows Server running File Classification Infrastructure
Snadná aktivaceEasy activation √ Pro nové odběry je aktivace automatická.√ For new subscriptions, activation is automatic. U stávajících předplatných vyžaduje Aktivace služby Rights Management na portálu pro správu pouze několik kliknutí.For existing subscriptions, activating the Rights Management service requires just a couple of clicks in your management portal. Případně můžete provést jen dva powershellové příkazy, pokud dáváte přednost příkazovému řádku.Or, if you prefer command-line control, just two PowerShell commands.
Schopnost škálování v rámci organizace podle potřebyAbility to scale across your organization, as needed √ Protože Azure Rights Management běží jako cloudová služba s pružností Azure pro horizontální navýšení nebo navýšení kapacity, nemusíte zřizovat ani nasazovat další místní servery.√ Because Azure Rights Management runs as a cloud service with the Azure elasticity to scale up and out, you don’t have to provision or deploy additional on-premises servers.
Schopnost vytvářet jednoduché a flexibilní zásadyAbility to create simple and flexible policies √ Přizpůsobené šablony ochrany poskytují správcům rychlé a snadné řešení pro použití zásad a uživatelům, kteří budou používat správnou úroveň ochrany pro každý dokument a omezují přístup k lidem v rámci vaší organizace.√ Customized protection templates provide a quick and easy solution for administrators to apply policies, and for users to apply the correct level of protection for each document and restrict access to people inside your organization.

Pokud třeba chcete sdílet celopodnikový dokument o strategii se všemi zaměstnanci, můžete pro všechny interní zaměstnance nastavit zásady jenom pro čtení.For example, for a company-wide strategy paper to be shared with all employees, you could apply a read-only policy to all internal employees. U citlivějších dokumentů, jako jsou finanční sestavy, zase můžete omezit přístup jenom na pracovníky vedení.Then, for a more sensitive document, such as a financial report, you could restrict access to executives only.
Široká podpora aplikacíBroad application support √ Azure Rights Management nabízí úzkou integraci s systém Microsoft Office aplikacemi a službami a rozšiřuje podporu dalších aplikací pomocí Azure Information Protection klienta.√ Azure Rights Management has tight integration with Microsoft Office applications and services, and extends support for other applications by using the Azure Information Protection client.

√ Sady sdk Azure Information Protection poskytují interním vývojářům a dodavatelům softwaru rozhraní API pro psaní vlastních aplikací, které podporují Azure Information Protection.√ The Azure Information Protection SDKs provide your internal developers and software vendors with APIs to write custom applications that support Azure Information Protection.

Další informace najdete v tématu Jiné aplikace s podporou rozhraní API služby Rights Management.For more information, see Other applications that support the Rights Management APIs.
Oddělení IT si musí zachovat kontrolu nad datyIT must maintain control of data √ Organizace můžou spravovat svůj vlastní klíč tenanta a používat řešení "Bring Your Own Key" (BYOK) a ukládat svůj klíč tenanta v modulech hardwarového zabezpečení (HSM).√ Organizations can choose to manage their own tenant key and use the “Bring Your Own Key” (BYOK) solution and store their tenant key in Hardware Security Modules (HSMs).

√ Podporu auditování a protokolování využití , abyste mohli analyzovat obchodní přehledy, sledovat zneužití a (Pokud máte nevrácenou informaci) provádět analýzu forenzní.√ Support for auditing and usage logging so that you can analyze for business insights, monitor for abuse, and (if you have an information leak) perform forensic analysis.

√ Delegovaný přístup pomocí funkce superuživatele zajišťuje, že může mít vždycky přístup k chráněnému obsahu, i když byl dokument chráněn zaměstnancem, který pak organizaci opustí.√ Delegated access by using the super user feature ensures that IT can always access protected content, even if a document was protected by an employee who then leaves the organization. Oproti tomu u řešení šifrování typu peer-to-peer existuje ztráta přístupu k datům společnosti.In comparison, peer-to-peer encryption solutions risk losing access to company data.

√ Synchronizuje jenom atributy adresáře, které Azure RMS potřebují k podpoře společné identity pro místní účty služby Active Directory, a to pomocí řešení hybridní identity, jako je například Azure AD Connect.√ Synchronize just the directory attributes that Azure RMS needs to support a common identity for your on-premises Active Directory accounts, by using a hybrid identity solution, such as Azure AD Connect.

√ Povolí jednotné přihlašování bez replikace hesel do cloudu pomocí AD FS.√ Enable single-sign on without replicating passwords to the cloud, by using AD FS.

√ Organizace mají vždycky možnost přestat používat službu Azure Rights Management bez ztráty přístupu k obsahu, který byl dříve chráněn službou Azure Rights Management.√ Organizations always have the choice to stop using the Azure Rights Management service without losing access to content that was previously protected by Azure Rights Management. Informace o možnostech vyřazení z provozu najdete v tématu Vyřazení z provozu a deaktivace služby Azure Rights Management.For information about decommissioning options, see Decommissioning and deactivating Azure Rights Management. Kromě toho můžou organizace, které nasadily služba AD RMS (Active Directory Rights Management Services) (AD RMS), migrovat na službu Azure Rights Management, aniž by ztratili přístup k datům, která byla předtím chráněná službou AD RMS.In addition, organizations who have deployed Active Directory Rights Management Services (AD RMS) can migrate to the Azure Rights Management service without losing access to data that was previously protected by AD RMS.

Tip

Pokud znáte místní verze služeb Rights Management a Active Directory Rights Management Services (AD RMS), mohla by vás zajímat srovnávací tabulka z tématu Porovnání služeb Azure Rights Management a AD RMS.If you are familiar with the on-premises version of Rights Management, Active Directory Rights Management Services (AD RMS), you might be interested in the comparison table from Comparing Azure Rights Management and AD RMS.

Požadavky na zabezpečení, dodržování předpisů a dodržování zákonůSecurity, compliance, and regulatory requirements

Azure Rights Management podporuje následující požadavky na zabezpečení, dodržování předpisů a předpisy:Azure Rights Management supports the following security, compliance, and regulatory requirements:

√ Používání standardní kryptografie a podporuje FIPS 140-2.√ Use of industry-standard cryptography and supports FIPS 140-2. Další informace najdete v článku Kryptografické prvky používané službou Azure RMS: Algoritmy a délky klíčů.For more information, see the Cryptographic controls used by Azure RMS: Algorithms and key lengths information.

Podpora √ pro podpůrný software nCipher hardwarového nShield hardwarového zabezpečení (HSM) pro uložení klíče tenanta do datových center Microsoft Azure.√ Support for nCipher nShield hardware security module (HSM) to store your tenant key in Microsoft Azure data centers. Azure Rights Management využívá samostatné světů zabezpečení pro svá datová centra v Severní Amerika, EMEA (Evropa, Střední východ a Afrika) a Asii, takže je možné klíče použít jenom ve vaší oblasti.Azure Rights Management uses separate security worlds for its data centers in North America, EMEA (Europe, Middle East and Africa), and Asia, so your keys can be used only in your region.

√ Certifikováno pro následující:√ Certified for the following:

  • ISO/IEC 27001:2013 (./includes ISO/iec 27018)ISO/IEC 27001:2013 (./includes ISO/IEC 27018)

  • Atestace podle SOC 2 SSAE 16/ISAE 3402SOC 2 SSAE 16/ISAE 3402 attestations

  • HIPAA BAAHIPAA BAA

  • Modelové doložky EUEU Model Clause

  • FedRAMP jako součást Azure Active Directory v certifikaci Office 365, kterou vystavila autorita pro FedRAMPou agenturu k provozu na HHSFedRAMP as part of Azure Active Directory in Office 365 certification, issued FedRAMP Agency Authority to Operate by HHS

  • PCI DSS úrovně 1PCI DSS Level 1

Další informace o těchto externích certifikacích najdete v Centru zabezpečení Azure.For more information about these external certifications, see the Azure Trust Center.

Další krokyNext steps

Další technické informace o fungování služby Azure Rights Management najdete v tématu Jak Azure RMS funguje?For more technical information about how the Azure Rights Management service works, see How does Azure RMS work?