Jak działa usługa Azure RMS? Kulisy

Dotyczy: Azure Information Protection, Office 365

Dotyczy: Ujednolicony klient etykietowania usługi AIP i klient klasyczny.

Uwaga

Aby zapewnić ujednolicone i usprawnione środowisko klienta, Azure Information Protection klasyczny klient i zarządzanie etykietami w witrynie Azure Portal są przestarzałe od 31 marca 2021. Mimo że klasyczny klient nadal działa zgodnie z konfiguracją, nie podano dalszej pomocy technicznej i wersje konserwacji nie będą już udostępniane dla klasycznego klienta.

Zalecamy przeprowadzenie migracji do ujednoliconej etykietowania i uaktualnienia do ujednoliconego klienta etykietowania. Więcej informacji znajdziesz w naszym blogu dotyczącym wycofania.

Ważnym aspektem działania usługi Azure RMS jest to, że ta usługa ochrony danych firmy Azure Information Protection nie widzi ani nie przechowuje danych w ramach procesu ochrony. Informacje, które chronisz, nigdy nie są wysyłane ani przechowywane na platformie Azure, chyba że jawnie przechowujesz je na platformie Azure lub używasz innej usługi w chmurze, która przechowuje je na platformie Azure. Usługa Azure RMS sprawia po prostu, że dane w dokumencie są nieczytelne dla każdego z wyjątkiem autoryzowanych użytkowników i usług:

  • Dane są szyfrowane na poziomie aplikacji i zawierają zasady, które definiują autoryzowane użycie danego dokumentu.

  • Gdy chroniony dokument jest używany przez uprawnionego użytkownika lub jest przetwarzany przez autoryzowaną usługę, dane zawarte w dokumencie zostają odszyfrowane i wymuszane są prawa określone w ramach zasad.

Na poniższej ilustracji można prześledzić ogólne działanie tego procesu. Dokument zawierający tajną formułę jest chroniony i może zostać pomyślnie otwarty przez autoryzowanego użytkownika lub usługę. Dokument jest zabezpieczony przy użyciu klucza zawartości (zielony klucz na tym rysunku). Jest on unikatowy dla każdego dokumentu i znajduje się w nagłówku pliku, gdzie jest chroniony przez klucz główny dzierżawy usługi Azure Information Protection (czerwony klucz na tym rysunku). Klucz dzierżawy może być wygenerowany i zarządzany przez firmę Microsoft lub użytkownik może sam wygenerować własny klucz dzierżawy i nim zarządzać.

Gdy w trakcie procesu ochrony usługa Azure RMS wykonuje szyfrowanie i odszyfrowywanie, autoryzowanie i wymuszanie ograniczeń, tajne formuły nigdy nie są wysyłane do usługi Azure.

Jak usługa Azure RMS chroni plik

Szczegółowy opis wykonywanych działań można znaleźć w sekcji Wskazówki dotyczące działania usługi Azure RMS: pierwsze użycie, ochrona zawartości, zużycie zawartości w tym artykule.

Aby uzyskać szczegółowe informacje techniczne dotyczące algorytmów i długości kluczy używanych przez usługę Azure RMS, zobacz następną sekcję.

Formanty kryptograficzne używane przez usługę Azure RMS: algorytmy i długości kluczy

Nawet jeśli nie musisz szczegółowo wiedzieć, jak ta technologia działa, możesz zostać poproszony o kontrolki kryptograficzne, których używa. Na przykład w celu potwierdzenia, że ochrona zabezpieczeń jest standardem branżowym.

Formanty kryptograficzne Użycie w usłudze Azure RMS
Algorytm: AES

Długość klucza: 128 bitów i 256 bitów [1]
Ochrona zawartości
Algorytm: RSA

Długość klucza: 2048 bitów [2]
Ochrona klucza
SHA-256 Podpisywanie certyfikatu
Przypis 1

256 bitów jest używane przez klienta Azure Information Protection w następujących scenariuszach:

  • Ochrona ogólna (pfile).

  • Natywna ochrona dokumentów PDF, gdy dokument jest chroniony za pomocą standardu ISO szyfrowania PLIKÓW PDF lub wynikowy dokument chroniony ma rozszerzenie nazwy pliku ppdf.

  • Natywna ochrona plików tekstowych lub obrazów (takich jak ptxt lub pjpg).

Przypis 2

2048 bitów to długość klucza po aktywowaniu Rights Management Azure. 1024 bity są obsługiwane w następujących scenariuszach opcjonalnych:

  • Podczas migracji ze środowisk lokalnych, jeśli AD RMS jest uruchomiony w trybie kryptograficznym 1.

  • W przypadku zarchiwizowane klucze utworzone lokalnie przed migracją, dzięki czemu zawartość, która była wcześniej chroniona przez usługę AD RMS, może być nadal otwierana przez usługę Azure Rights Management po migracji.

Jak są przechowywane i zabezpieczane klucze kryptograficzne usługi Azure RMS

Dla każdego dokumentu lub wiadomości e-mail, które są chronione przez usługę Azure RMS, usługa ta tworzy pojedynczy klucz AES („klucz zawartości”), który zostaje osadzony w dokumencie i będzie zawarty w kolejnych wersjach dokumentu.

Klucz zawartości jest chroniony za pomocą klucza RSA organizacji (klucz dzierżawy usługi Azure Information Protection) jako część zasad w dokumencie, a zasady są także podpisane przez autora dokumentu. Ten klucz dzierżawy jest wspólny dla wszystkich dokumentów i wiadomości e-mail, które są chronione przez usługę Azure Rights Management w organizacji. Może go zmienić tylko administrator usługi Azure Information Protection, jeśli organizacja korzysta z klucza dzierżawy zarządzanego przez klienta w ramach rozwiązania BYOK (Bring Your Own Key).

Ten klucz dzierżawy jest w usługach online firmy Microsoft chroniony w dokładnie kontrolowanym i ściśle monitorowanym środowisku. W przypadku używania klucza dzierżawy zarządzanego przez klienta (BYOK) zabezpieczenia te są zwiększane przez użycie tablicy sprzętowych modułów zabezpieczeń (HSM) wysokiej klasy w każdym regionie świadczenia usługi Azure bez możliwości wyodrębniania, eksportowania lub współużytkowania kluczy w jakichkolwiek okolicznościach. Aby uzyskać więcej informacji na temat klucza dzierżawy i rozwiązania BYOK, zobacz Planowanie i wdrażanie klucza dzierżawy usługi Azure Information Protection.

Licencje i certyfikaty wysyłane do urządzenia z systemem Windows są chronione przy użyciu klucza prywatnego na urządzeniu klienta, który jest tworzony w chwili, gdy użytkownik po raz pierwszy korzysta na urządzeniu z usługi Azure RMS. Ten klucz prywatny jest z kolei chroniony funkcją DPAPI po stronie klienta, która zabezpiecza informacje za pomocą klucza generowanego na podstawie hasła użytkownika. Na urządzeniach przenośnych klucze są używane tylko jeden raz. Ponieważ nie są przechowywane po stronie klienta, nie wymagają ochrony na urządzeniu.

Wskazówki dotyczące działania usługi Azure RMS: pierwsze użycie, ochrona zawartości, zużycie zawartości

Aby bardziej szczegółowo poznać działanie usługi Azure RMS, przeanalizujemy typowy przepływ pracy realizowany po aktywowaniu usługi Azure Rights Management oraz gdy użytkownik najpierw używa usługi Rights Management na komputerze z systemem Windows (proces znany także jako inicjowanie środowiska użytkownika lub uruchomienie), chroni zawartość (dokument lub wiadomość e-mail), a następnie korzysta z zawartości chronionej przez kogoś innego (otwiera i używa).

Po zainicjowaniu środowiska użytkownika dany użytkownik może chronić dokumenty lub korzystać z chronionych dokumentów na tym komputerze.

Uwaga

Jeśli użytkownik przejdzie do innego komputera z systemem Windows lub inny użytkownik skorzysta z tego samego komputera z systemem Windows, proces inicjowania jest powtarzany.

Inicjowanie środowiska użytkownika

Zanim użytkownik będzie mógł chronić zawartość lub korzystać z zawartości chronionej na komputerze z systemem Windows, należy przygotować środowisko użytkownika na urządzeniu. To proces jednorazowy, który jest wykonywany automatycznie bez interwencji użytkownika, gdy użytkownik próbuje chronić zawartość lub korzystać z zawartości chronionej:

Przepływ aktywacji klienta usługi RMS — krok 1, uwierzytelnianie klienta

Działania wykonywane w kroku 1: klient RMS na komputerze najpierw łączy się z usługą Azure Rights Management i uwierzytelnia użytkownika przy użyciu jego konta usługi Azure Active Directory.

Gdy konto użytkownika jest sfederowane przy użyciu usługi Azure Active Directory, uwierzytelnianie odbywa się automatyczne, a użytkownik nie otrzymuje monitu o podanie poświadczeń.

Aktywacja klienta usługi RMS — krok 2, certyfikaty są pobierane do klienta

Działania wykonywane w kroku 2: po uwierzytelnieniu użytkownika połączenie jest automatycznie przekierowywane do dzierżawy usługi Azure Information Protection organizacji, która wystawia certyfikaty umożliwiające użytkownikowi uwierzytelnianie w usłudze Azure Rights Management w celu korzystania z zawartości chronionej oraz ochrony zawartości w trybie offline.

Jednym z tych certyfikatów jest certyfikat konta praw, często skracany do RAC. Ten certyfikat uwierzytelnia użytkownika w Azure Active Directory i jest ważny przez 31 dni. Certyfikat jest automatycznie odnawiany przez klienta usługi RMS, pod Azure Active Directory konto użytkownika jest włączone. Administrator nie może skonfigurować tego certyfikatu.

Kopia tego certyfikatu jest przechowywana na platformie Azure, więc jeśli użytkownik przeniesie się do innego urządzenia, certyfikaty zostaną utworzone przy użyciu tych samych kluczy.

Ochrona zawartości

Gdy użytkownik chroni dokument, klient RMS wykonuje następujące czynności w odniesieniu do dokumentu niechronionego:

Ochrona dokumentów za pomocą usługi RMS — krok 1, dokument jest szyfrowany

Działania wykonywane w kroku 1: na kliencie RMS zostaje utworzony klucz losowy (klucz zawartości) użyty następnie do zaszyfrowania dokumentu za pomocą algorytmu szyfrowania symetrycznego AES.

Ochrona dokumentów za pomocą usługi RMS — krok 2, zasady są tworzone

Działania wykonywane w kroku 2: klient usługi RMS tworzy certyfikat, który obejmuje zasady dla dokumentu zawierające prawa użytkowania dla użytkowników lub grup i inne ograniczenia, takie jak data wygaśnięcia. Te ustawienia można zdefiniować w szablonie, który został wcześniej skonfigurowany przez administratora, lub określić w czasie, gdy zawartość jest chroniona (czasami określane jako "zasady ad hoc").

Główny atrybut usługi Azure AD używany do identyfikowania wybranych użytkowników i grup to atrybut ProxyAddresses usługi Azure AD, w którym są przechowywane wszystkie adresy e-mail użytkownika lub grupy. Jeśli jednak konto użytkownika nie ma żadnych wartości atrybutu ProxyAddresses usługi AD, w zamian jest używana wartość UserPrincipalName użytkownika.

Następnie klient RMS wykorzystuje klucz organizacji uzyskany podczas inicjowania środowiska użytkownika do szyfrowania zasad i symetrycznego klucza zawartości. Klient usługi RMS podpisuje także zasady, korzystając z certyfikatu użytkownika uzyskanego podczas inicjowania środowiska użytkownika.

Ochrona dokumentów za pomocą usługi RMS — krok 3, zasady są osadzane w dokumencie

Co dzieje się w kroku 3: Na koniec klient usługi RMS osadza zasady w pliku z zaszyfrowaną wcześniej treścią dokumentu, która razem składa się z dokumentu chronionego.

Ten dokument może być przechowywany w dowolnym miejscu lub udostępniany przy użyciu dowolnej metody, a zasady zawsze pozostają częścią zaszyfrowanego dokumentu.

Użycie zawartości

Gdy użytkownik chce skorzystać z chronionego dokumentu, na kliencie RMS tworzone jest żądanie dostępu do usługi Azure Rights Management:

Użycie dokumentu RMS — krok 1, użytkownik jest uwierzytelniany i pobiera listę praw

Działania wykonywane w kroku 1: uwierzytelniony użytkownik wysyła zasady zawarte w dokumencie i certyfikaty użytkownika do usługi Azure Rights Management. Usługa odszyfrowuje i ocenia zasady oraz tworzy listę praw (jeśli istnieją), jakie użytkownik ma w odniesieniu do dokumentu. W celu identyfikacji użytkownika atrybut ProxyAddresses usługi Azure AD jest używany dla konta użytkownika i grup, których użytkownik jest członkiem. Ze względu na wydajność członkostwo w grupie jest buforowane. Jeśli konto użytkownika nie ma żadnych wartości atrybutu ProxyAddresses usługi Azure AD, w zamian jest używana wartość UserPrincipalName usługi Azure AD.

Użycie dokumentu RMS — krok 2, licencja użytkowania jest zwracana do klienta

Działania wykonywane w kroku 2: następnie klucz zawartości AES zostaje wyodrębniony przez usługę z odszyfrowanych zasad. Ten klucz jest następnie szyfrowany przy użyciu należącego do użytkownika klucza publicznego RSA, który został otrzymany wraz z żądaniem.

Ponownie zaszyfrowany klucz zawartości zostaje następnie osadzony w zaszyfrowanej licencji użytkowania razem z listą praw użytkownika, która jest zwracana do klienta RMS.

Zużycie dokumentu RMS — krok 3, odszyfrowywanie dokumentu i wymuszanie praw

Działania wykonywane w kroku 3: na koniec klient RMS odbiera zaszyfrowaną licencję użytkowania i odszyfrowuje ją przy użyciu własnego klucza prywatnego użytkownika. Dzięki temu klient RMS może odszyfrować treść dokumentu, gdy jest to wymagane, i renderować ją na ekranie.

Klient odszyfrowuje również listę uprawnień i przekazuje ją do aplikacji, która wymusza te prawa w interfejsie użytkownika aplikacji.

Uwaga

Gdy użytkownicy spoza Twojej organizacji korzystają z zabezpieczonej przez Ciebie zawartości, przepływ użycia jest taki sam. Tym, co zmienia się w tym scenariuszu, jest sposób uwierzytelniania użytkownika. Aby uzyskać więcej informacji, zobacz W jaki sposób może zostać uwierzytelniony użytkownik spoza mojej firmy, któremu udostępniam chroniony dokument?

Warianty

Przedstawione wskazówki obejmują scenariusze standardowe, ale istnieją różne ich warianty:

  • Ochrona poczty e-mail: jeśli usługi Exchange Online i Szyfrowanie wiadomości usługi Office 365 z nowymi możliwościami są używane do ochrony wiadomości e-mail, uwierzytelnianie do użycia może również używać federacji z dostawcą tożsamości społecznościowych lub przy użyciu kodu dostępu. Następnie przepływy procesów są bardzo podobne, z tą różnicą, że zużycie zawartości odbywa się po stronie usługi w sesji przeglądarki internetowej za pośrednictwem tymczasowo buforowanej kopii wychodzącej wiadomości e-mail.

  • Urządzenia przenośne: gdy urządzenia przenośne chronią pliki lub korzystają z nich przy użyciu usługi Azure Rights Management, przepływy procesu są dużo prostsze. W przypadku urządzeń przenośnych nie jest wykonywany proces inicjowania użytkownika, ponieważ każda transakcja (wykonywana w celu ochrony lub wykorzystania zawartości) jest niezależna. Podobnie jak komputery z systemem Windows, urządzenia przenośne łączą się z usługą Azure Rights Management i dokonują uwierzytelnienia. W celu ochrony zawartości urządzenia przenośne przesyłają zasady, a usługa Azure Rights Management wysyła do nich licencję publikowania i klucz symetryczny do ochrony dokumentu. Aby umożliwić użycie zawartości, po nawiązaniu połączenia z usługą Azure Rights Management i wykonaniu uwierzytelnienia urządzenia przenośne przesyłają zasady dokumentu do usługi Azure Rights Management i żądają licencji użytkowania. W odpowiedzi usługa Azure Rights Management wysyła do urządzeń przenośnych niezbędne klucze i ograniczenia. Oba procesy używają zabezpieczeń TLS do ochrony wymiany kluczy i innej komunikacji.

  • Łącznik usługi RMS: w przypadku korzystania z usługi Azure Rights Management z łącznikiem usługi RMS przepływy procesu pozostają takie same. Jedyna różnica polega na tym, że łącznik działa jako przekaźnik pomiędzy usługami lokalnymi (takimi jak Exchange Server i SharePoint Server) a usługą Azure Rights Management. Łącznik sam nie wykonuje żadnych operacji, takich jak inicjowanie środowiska użytkownika bądź szyfrowanie i odszyfrowywanie. Przekazuje on po prostu treść komunikacji zazwyczaj wysyłaną do serwera usług AD RMS, obsługując tłumaczenie między protokołami używanymi po każdej stronie. W tym scenariuszu można korzystać z usługi Azure Rights Management wraz z usługami lokalnymi.

  • Ochrona ogólna (pfile): gdy usługa Azure Rights Management chroni plik w sposób ogólny, przepływ procesu w odniesieniu do ochrony zawartości jest zasadniczo taki sam, z tą różnicą, że to klient RMS tworzy zasady, na podstawie których są przyznawane wszystkie uprawnienia. Gdy plik jest używany, zostaje odszyfrowywany przed przekazaniem do aplikacji docelowej. Ten scenariusz umożliwia ochronę wszystkich plików, także tych bez natywnej obsługi usługi RMS.

  • Konta Microsoft: Azure Information Protection autoryzować adresy e-mail do użycia podczas uwierzytelniania za pomocą konta konto Microsoft. Jednak nie wszystkie aplikacje mogą otwierać chronioną zawartość, gdy konto Microsoft do uwierzytelniania. Więcej informacji:.

Następne kroki

Aby dowiedzieć się więcej na temat usługi Azure Rights Management, zapoznaj się z innymi artykułami w sekcji Poznawanie i eksplorowanie, na przykład Jak aplikacje obsługują usługę Azure Rights Management. Znajdziesz tu informacje na temat integracji istniejących aplikacji z usługą Azure Rights Management w celu uzyskania rozwiązania zapewniającego ochronę informacji.

Zapoznaj się z sekcją Usługa Azure Information Protection — terminologia, aby zapoznać się z pojęciami, które możesz napotkać podczas konfigurowania i używania usługi Azure Rights Management. Przed rozpoczęciem wdrażania zobacz również Wymagania dotyczące usługi Azure Information Protection. Jeśli chcesz od razu rozpocząć korzystanie z tej funkcji i wypróbować ją samodzielnie, skorzystaj z przewodników Szybki start i samouczków:

Jeśli wszystko jest gotowe do rozpoczęcia wdrażania ochrony danych w organizacji, skorzystaj z planu wdrożenia usługi AIP dotyczącego klasyfikacji, etykietowania i ochrony kroków wdrażania oraz linków do instrukcji.

Porada

Aby uzyskać dodatkowe informacje i pomoc, skorzystaj z zasobów i linków w sekcji Informacje i pomoc techniczna dla usługi Azure Information Protection.