Hogyan működik az Azure RMS? A motorháztető alatt

A következőre vonatkozik:Azure Information Protection, Office 365

Releváns:: AIP egyesített címkéző ügyfélprogram és klasszikus ügyfélprogram.

Megjegyzés

Az egységes és zökkenőmentes ügyfélélmény érdekében 2021. március 31-énelavult az Azure Information Protection klasszikus ügyfélprogramja és az Azure Portal címkekezelés szolgáltatása. A klasszikus ügyfélprogramhoz nem biztosítunk további támogatást, és a karbantartási verziók a továbbiakban nem lesznek elérhetőek.

A klasszikus ügyfél hivatalosan is kivezetve lesz, és 2022. március 31-én meg fog állni.

Az Azure Information Protection összes klasszikus ügyfélalkalmazásának át kell áttelepítést Microsoft-információvédelem egyesített címkeplatformra, és frissítenie kell az egyesített címkéző ügyfélalkalmazásra. További információt az áttelepítési blogunkban talál.

Fontos megérteni az Azure RMS működését, hogy az Azure Information Protection adatvédelmi szolgáltatása nem látja és nem tárolja az Ön adatait a védelmi folyamat részeként. Az Ön által védett információkat a rendszer soha nem küldi el és nem tárolja az Azure-ban, kivéve ha kifejezetten az Azure-ban tárolja őket, vagy ha egy másik, az Azure-ban tárolt felhőszolgáltatást használ. Az Azure RMS egyszerűen olvashatatlanná teszi a dokumentumokban az adatokat a jogosult felhasználókon és szolgáltatásokon kívül:

  • Az adatok alkalmazásszinten titkosítottak, és tartalmaz egy házirendet, amely meghatározza az adott dokumentum engedélyezett használatát.

  • Ha egy védett dokumentumot egy jogszerű felhasználó használ, vagy egy hivatalos szolgáltatás feldolgozza azt, a dokumentumban megadott adatokat visszafejti a rendszer, és érvényesíti a házirendben meghatározott jogokat.

Magas szinten az alábbi képen láthatja, hogy miként működik ez a folyamat. A titkos képletet tartalmazó dokumentumok védettek, majd egy jogosult felhasználó vagy szolgáltatás sikeresen megnyitja őket. A dokumentumot egy tartalombillentyű (a képen látható zöld billentyű) védi. Minden dokumentumhoz egyedi, és a fájlfejlécbe kerül, ahol az Azure Information Protection bérlői gyökérkulcsa (a képen a piros kulcs) van védve. A bérlői kulcsot létrehozhatja és kezelheti a Microsoft, vagy létrehozhatja és kezelheti saját bérlői kulcsát.

A titkos képlet soha nem lesz elküldve az Azure-nak, amíg az Azure RMS titkosítja, visszafejti, érvényesíti és érvényesíti a korlátozásokat.

Hogyan védi az Azure RMS a fájlokat?

A jelen cikk Első használat, tartalomvédelem és tartalomfelhasználás című szakaszában részletesen olvashat az Azure RMS működését ismertető útmutatóban.

Az Azure RMS algoritmusokkal és azok hosszával kapcsolatos technikai részletekért lásd a következő szakaszt.

Az Azure RMS által használt titkosítási vezérlők: Algoritmusok és kulcshosszok

Még ha nem is kell pontosan tudnia a technológia működését, akkor is előfordulhat, hogy a program rákérdezett az alkalmazás által használt titkosítási vezérlőkre. A biztonság védelmének megerősítése például iparági szabvány.

Titkosítási vezérlők Használat az Azure RMS-ban
Algoritmus: AES

A kulcs hossza: 128 bit és 256 bit [1]
Tartalomvédelem
Algoritmus: RSA

A kulcs hossza: 2048 bit [2]
Kulcsvédelem
SHA-256 Tanúsítvány-aláírás
1. lábjegyzet

Az Azure Information Protection ügyfél 256 bitet használ az alábbi esetekben:

  • Generic protection (.pfile).

  • Natív védelem a PDF-dokumentumok számára, ha a dokumentum PDF-titkosítási ISO-szabványsal van védve, vagy az eredményül kapott védett dokumentum .ppdf fájlnévkiterjesztéssel rendelkezik.

  • Szöveg- és képfájlok (például .ptxt vagy .pjpg) natív védelme.

2. lábjegyzet

A 2048 bit az a kulcshossz, amíg a Azure Tartalomvédelmi szolgáltatások szolgáltatás aktiválva van. A 1024 bites verziók a következő választható forgatókönyvek esetén támogatottak:

  • A helyszíni környezetből való áttelepítés során, ha az AD RMS fürt 1 titkosítási módban fut.

  • A migrálás előtt helyszíni környezetben létrehozott archivált kulcsok esetében, hogy a korábban az AD RMS által védett tartalmakat meg tudja nyitni a helyszíni Azure Tartalomvédelmi szolgáltatások az áttelepítés után.

Az Azure RMS titkosítási kulcsának tárolása és biztonságos tárolása

Az Azure RMS által védett minden dokumentum vagy e-mail esetében az Azure RMS egyetlen AES-kulcsot (a "tartalomkulcsot") hoz létre, amelyet a rendszer beágyaz a dokumentumba, és a dokumentum kiadásaiban marad meg.

A tartalomkulcsot a dokumentumban található házirend részeként a szervezet RSA-kulcsával (az "Azure Information Protection bérlői kulcs") védi, és a házirendet a dokumentum szerzője is aláírja. Ez a bérlői kulcs közös minden olyan dokumentumra és e-mailre, amelyet a szervezet Azure Tartalomvédelmi szolgáltatások szolgáltatása véd, és ezt a kulcsot csak az Azure Information Protection rendszergazdája tudja módosítani, ha a szervezet ügyfél által kezelt bérlői kulcsot használ (más néven "hozza el a saját kulcsát" vagy BYOK).

Ezt a bérlőkulcsot a Microsoft online szolgáltatásai védik, nagy mértékben szabályozott környezetben és szoros felügyelet alatt. Ha ügyfél által kezelt bérlői kulcsot (BYOK) használ, ezt a biztonságot növeli a magas szintű hardveres biztonsági modulok (HSM-k) tömbje az egyes Azure-régióban anélkül, hogy bármilyen körülmények között ki kellene bontani, exportálni vagy meg kellene osztani a kulcsokat. A bérlő kulcsának és a BYOK szolgáltatásnak a megtervezése és végrehajtása az Azure Information Protectionbérlői kulcsában.

A Windows-eszközökre küldött licencek és tanúsítványok az ügyfél eszközének titkos kulcsával vannak védve, amelyet akkor hoznak létre, amikor az eszközön egy felhasználó először használja az Azure RMS-t. Ez a személyes kulcs pedig DPAPI-val van védve az ügyfélen, amely a felhasználó jelszaván lévő kulcs használatával védi ezeket a titkos kulcsokat. Mobileszközön a kulcsokat csak egyszer kell használni, ezért mivel nem az ügyfélen vannak tárolva, nem szükséges védenie ezeket a kulcsokat az eszközön.

Az Azure RMS működése – Első használat, tartalomvédelem, tartalomfelhasználás

Az Azure RMS működését részletesen megértheti, ha az Azure Tartalomvédelmi szolgáltatások szolgáltatás aktiválása után egy tipikus folyamaton megy keresztül, és amikor Windows felhasználó először használja a Tartalomvédelmi szolgáltatást az Windows számítógépén (ez a felhasználói környezet inicializálásának vagy indításnak is nevezik), védi a tartalmakat. (dokumentum vagy e-mail), majd valaki más által védett tartalmakat használ fel (nyit meg és használ fel).

A felhasználói környezet inicializálása után a felhasználó ezt követően védheti a dokumentumokat, vagy felhasználhatja a védett dokumentumokat az adott számítógépen.

Megjegyzés

Ha a felhasználó másik számítógépre Windows, vagy ugyanazt a Windows használja, az inicializálási folyamat megismétlése folyamatban van.

A felhasználói környezet inicializálása

Mielőtt a felhasználó védett tartalmakat védhet vagy védett tartalmakat Windows számítógépen, a felhasználói környezetet fel kell készíteni az eszközön. Ez egy egyszeres folyamat, amely felhasználói beavatkozás nélkül, automatikusan megtörténik, amikor egy felhasználó védett tartalmat próbál védeni vagy igénybevenni:

RmS Client activation flow - step 1, authenticating the client

Mi történik az 1.lépésben: A számítógép rms ügyfélprogramja először csatlakozik a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, és hitelesítést nyújt a felhasználónak a Azure Active Directory használatával.

Amikor a felhasználó fiókja a Azure Active Directory, ez a hitelesítés automatikus, és a felhasználó nem kér hitelesítő adatokat.

RmS Client activation - step 2, certificates are downloaded to the client

Mi történik a 2.lépésben: A felhasználó hitelesítése után a rendszer automatikusan átirányítja a kapcsolatot a szervezet Azure Information Protection bérlői webhelyére, amely tanúsítványokat ad ki, amelyek lehetővé teszi a felhasználónak a Azure Tartalomvédelmi szolgáltatások szolgáltatásba való hitelesítést a védett tartalom használata és az offline tartalom védelme érdekében.

E tanúsítványok egyike a jogosultsági fiók tanúsítványa, amely gyakran raC-ra rövidített. Ez a tanúsítvány hitelesíti a felhasználót Azure Active Directory 31 napig érvényes. A tanúsítványt automatikusan megújítja az RMS-ügyfél, feltéve, hogy a felhasználói fiók továbbra is aktív Azure Active Directory és a fiók engedélyezve van. A rendszergazda nem tudja konfigurálni ezt a tanúsítványt.

A tanúsítvány egy példányát az Azure tárolja, így ha a felhasználó másik eszközre költözik, a tanúsítványok ugyanazon kulcsokkal jön létre.

Tartalomvédelem

Amikor egy felhasználó védelmet nyújt egy dokumentumnak, a tartalomvédelmi szolgáltatás az alábbi műveleteket teszi a nem védett dokumentumokon:

RMS-dokumentumvédelem – 1. lépés, a dokumentum titkosított

Az 1.lépésben történt események: Az RMS-ügyfél véletlenszerű kulcsot (a tartalomkulcsot) hoz létre, és ezzel a kulccsal titkosítja a dokumentumot az AES szimmetrikus titkosítási algoritmusával.

RMS-dokumentumvédelem – 2. lépés, házirend jön létre

Mi történik a 2.lépésben: Az RMS-ügyfél ezután létrehoz egy tanúsítványt, amely tartalmaz egy házirendet a dokumentumhoz, amely tartalmazza a felhasználók vagy csoportok használati jogait és más korlátozásokat, például a lejárati dátumot. Ezek a beállítások definiálhatóak egy olyan sablonban, amelyet a rendszergazda korábban konfigurált, vagy a tartalom védelemének ideje alatt (eseti házirendnek is nevezik).

A kijelölt felhasználók és csoportok azonosításához használt fő Azure AD attribútum az Azure AD ProxyAddresses attribútum, amely egy felhasználó vagy csoport összes e-mail címét tárolja. Ha azonban egy felhasználói fiók nem tartalmaz értéket az AD ProxyAddresses attribútumban, a rendszer a felhasználó UserPrincipalName értékét használja.

Az rmS-ügyfél ezután a szervezeti kulcsot használja, amelyet a felhasználói környezet inicializálásakor kapott, és ezzel a kulccsal titkosítja a házirendet és a szimmetrikus tartalomkulcsot. A tartalomvédelmi szolgáltatás ügyfélprogramja a házirendet annak a felhasználónak a tanúsítványával is aláírja, amelyet a felhasználói környezet inicializálásakor kapott.

RmS document protection - step 3, policy is embedded in the document

Mi történik a 3.lépésben: Végül az RMS-ügyfél beágyazza a házirendet egy fájlba a korábban titkosított dokumentum törzsével, amely együtt áll egy védett dokumentummal.

Ezt a dokumentumot bárhol tárolhatja, vagy bármilyen módszerrel megoszthatja, és a házirend mindig a titkosított dokumentummal marad.

Tartalomfelhasználás

Ha egy felhasználó fel szeretne fogyni egy védett dokumentumot, a tartalomvédelmi szolgáltatás elindul úgy, hogy hozzáférést kér a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz:

RmS document consumption - step 1, user is authenticated and gets the list of rights

Az 1.lépésben történt események: A hitelesített felhasználó elküldi a dokumentum házirendet és a felhasználó tanúsítványait a Azure Tartalomvédelmi szolgáltatások szolgáltatásnak. A szolgáltatás visszafejti és kiértékeli a házirendet, és (ha van ilyen) listát hoz létre a dokumentumhoz a felhasználó számára. A felhasználó azonosításához az Azure AD ProxyAddresses attribútumot azon felhasználó fiókjához és csoportjaihoz használja a rendszer, amelyhez a felhasználó tag. Teljesítménybeli okokból a csoporttagság gyorsítótárazott. Ha a felhasználói fiók nem tartalmaz értékeket az Azure AD ProxyAddresses attribútumhoz, akkor az Azure AD UserPrincipalName értékét használja a rendszer.

RmS-dokumentumok használata – 2. lépés: a felhasználói licenc vissza lesz visszatérve az ügyfélhez

Mi történik a 2.lépésben: A szolgáltatás ezután kinyeri az AES-tartalomkulcsot a visszafejtett házirendből. Ezt a kulcsot ezután titkosítja a rendszer a felhasználónak a kéréshez kapott nyilvános RSA-kulcsával.

Az újra titkosított tartalomkulcsot a rendszer beágyaz egy, a felhasználói jogosultságok listáját tartalmazó titkosított használati licencbe, amelyet a rendszer visszaküld az RMS-ügyfélnek.

RMS-dokumentumfelhasználás – 3. lépés: a dokumentum visszafejtése és a jogok érvényesítése

Mi történik a 3.lépésben: Végül a tartalomvédelmi szolgáltatás ügyfélprogram kiveszi a titkosított használati licencet, és visszafejti azt a saját felhasználói titkos kulccsal. Ez lehetővé teszi, hogy az RMS-ügyfél szükség szerint visszafejtse a dokumentum törzsét, és megjelenítse a képernyőn.

Az ügyfél visszafejti a jogosultságlistát is, és átadja az alkalmazásnak, amely érvényesíti ezeket a jogokat az alkalmazás felhasználói felületén.

Megjegyzés

Amikor a szervezeten kívülről felhasználók az Ön által védett tartalmakat használnak, a felhasználási folyamat megegyezik. Ebben az esetben a felhasználó hitelesítésének a változásai. További információt a Ha a vállalaton kívüli felhasználóval osztok meg egy védett dokumentumot, hogyan hitelesíti a rendszer a felhasználót?

Változatok

Az előző útmutató a szokásos esetekre vonatkozik, de van néhány változat:

  • E-mailekvédelme: Amikor az Exchange Online Office 365 Üzenettitkosítás és az új képességekkel rendelkeznek az e-mailek védelmére, a használatra vonatkozó hitelesítés közösségi identitásszolgáltatóval vagy egyszer használatos pin-kód használatával való összevonást is használhat. Ezután a folyamat folyamata nagyon hasonló, azzal a kivételvel, hogy a tartalomfelhasználás szolgáltatásoldali módon történik egy webböngésző-munkamenetben a kimenő e-mailek ideiglenesen gyorsítótárazott példányán keresztül.

  • Mobileszközök:Amikor mobileszközök védik vagy felhasználják a fájlokat a Azure Tartalomvédelmi szolgáltatások szolgáltatással, a folyamat folyamata sokkal egyszerűbb. A mobileszközök nem először a felhasználó inicializációs folyamatán mennek keresztül, mert ehelyett minden tranzakció (a tartalom védelméhez vagy feldolgozásához) független. A mobileszközök Windows számítógépekhez is csatlakoznak a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz, és hitelesítik magukat. A tartalom védelme érdekében a mobileszközök küldenek egy házirendet, és a Azure Tartalomvédelmi szolgáltatások szolgáltatás közzétételi licencet és szimmetrikus kulcsot küld nekik a dokumentum védelme érdekében. A tartalom felhasználáshoz, amikor a mobileszközök csatlakoznak az Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz és hitelesítik magukat, elküldik a dokumentumra vonatkozó házirendet a Azure Tartalomvédelmi szolgáltatások szolgáltatásnak, és a dokumentum tartalmának igényléséhez felhasználói licencet kérnek. Válaszul a Azure Tartalomvédelmi szolgáltatások elküldi a szükséges kulcsokat és korlátozásokat a mobileszközökre. Mindkét folyamat TLS-t használ a kulcscsere és egyéb kommunikáció védelmére.

  • RmS-összekötő:Amikor a Azure Tartalomvédelmi szolgáltatások szolgáltatást használja az RMS-összekötővel, a folyamatfolyamatok változatlanok maradnak. Az egyetlen különbség az, hogy az összekötő továbbítóként működik a helyszíni szolgáltatások (például a Exchange Server és a SharePoint Server) és a Azure Tartalomvédelmi szolgáltatások között. Az összekötő maga nem végez el semmilyen műveletet, például a felhasználói környezet inicializálását, illetve a titkosítást vagy visszafejtést. Egyszerűen továbbítja a kommunikációt, amely általában egy AD RMS-kiszolgálóra menjen, és az egyes oldalról használt protokollok közötti fordítást kezeli. Ebben az esetben használhatja a Azure Tartalomvédelmi szolgáltatások szolgáltatást a helyszíni szolgáltatásokkal.

  • Általános védelem (.pfile):Amikor a Azure Tartalomvédelmi szolgáltatások szolgáltatás általánosan védi a fájlokat, az adatfolyam lényegében megegyezik a tartalomvédelemmel, azzal a kivétellel, hogy az RMS-ügyfél létrehoz egy olyan házirendet, amely minden jogot biztosít. A fájl a használatkor visszafejthető, mielőtt a célalkalmazásnak továbbküldi. Ez a forgatókönyv lehetővé teszi az összes fájl védelmét, még akkor is, ha azok nem natív módon támogatják a tartalomvédelmi szolgáltatásokat.

  • Microsoft-fiókok:Az Azure Information Protection engedélyezheti az e-mail-címeket használatra, amikor Microsoft-fiókkal vannak hitelesítve. Nem minden alkalmazás képes azonban megnyitni a védett tartalmakat, ha Microsoft-fiókot használnak a hitelesítéshez. További információ.

További lépések

Ha többet szeretne megtudni a Azure Tartalomvédelmi szolgáltatások szolgáltatásról, használja a Understand Explore (Felfedezés megismerés) című szakasz egyéb cikkeit, például azt, hogy az alkalmazások hogyan támogatják az Azure Tartalomvédelmi szolgáltatások szolgáltatást, és ismerje meg, hogy a meglévő alkalmazások hogyan integrálhatók Azure Tartalomvédelmi szolgáltatások biztosítson adatvédelmi megoldást.

Tekintse át az Azure Information Protection terminológiáját, hogy megismerjen minden olyan kifejezést, amely az Azure Tartalomvédelmi szolgáltatások szolgáltatás konfigurálása és használata során előfordulhat, és a telepítés elkezdését megelőzően olvassa el az Azure Information Protection követelményeit is. Ha szeretné azonnal kipróbálni, használja a gyors útmutatót és az oktatóanyagokat:

Ha készen áll arra, hogy elindítsa az adatvédelem üzembe helyezését a szervezetében, az AIP üzembe helyezésének ütemtervét használva besorolási, címkézési és védelmi útmutatót használhat a telepítési lépésekhez és a telepítési lépésekhez, valamint útmutatást mutató hivatkozásokat.

Tipp

További információért és segítségért használja az Információk és támogatás az Azure Information Protection szolgáltatáshoz témakörbentalálható forrásokat és hivatkozásokat.