Что такое управление правами Azure?

Область применения: Azure Information Protection, Office 365

К чему относится: клиент унифицированных меток и классический клиент AIP.

Примечание

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. Дополнительные сведения см. в недавней записи блога о прекращении использования.

Azure Rights Management (Azure RMS) — это облачная технология защиты, используемая Azure Information Protection.

Azure RMS помогает защищать файлы и сообщения электронной почты на нескольких устройствах, включая телефоны, планшеты и компьютеры, с помощью политик шифрования, удостоверений и авторизации.

Например, когда сотрудники отправляют документ по электронной почте партнерской компании или сохраняют документ на своем облачном диске, функция постоянной защиты Azure RMS данных помогает обеспечить безопасность данных.

  • Параметры защиты применяются к данным, даже когда эти данные передаются за пределы организации, благодаря чему содержимое можно защитить как внутри организации, так и за ее пределами.

  • Azure RMS может официально требоваться для соблюдения соответствия, юридических требований к обнаружению или рекомендаций по управлению информацией.

  • Azure RMS используется с подписками на Microsoft 365 или с подписками на Azure Information Protection. Дополнительные сведения об отдельных типах подписок и поддерживаемых функциях см. на странице с ценами на Azure Information Protection.

Azure RMS гарантирует, что авторизованные пользователи и службы, например службы поиска и индексации, смогут продолжать читать и проверять защищенные данные.

Обеспечение непрерывного доступа со стороны авторизованных пользователей и служб, также называемое "обоснованием данных", является ключевым элементом при обеспечении контроля над данными организации. Эту возможность может быть сложно реализовать в других решениях по защите информации, в которых используется шифрование на уровне отдельных узлов.

Функции защиты

Компонент Описание
Защита файлов нескольких типов В ранних версиях Rights Management можно было защищать только файлы Office при помощи встроенной защиты Rights Management.

Azure Information Protection поддерживает дополнительные типы файлов. Дополнительные сведения см. в разделе Поддерживаемые типы файлов.
Повсеместная защита файлов Когда файл защищен, эта защита остается с файлом, даже если он сохраняется или копируется в хранилище, которое не находится под управлением ИТ-служб, например в службу облачного хранения.

Функции совместной работы

Компонент Описание
Безопасное предоставление доступа к информации Защищенными файлами, например вложением в сообщении электронной почты или ссылкой на сайт SharePoint, можно безопасно делиться с другими пользователями.

Если в сообщении электронной почты содержатся конфиденциальные сведения, защитите его или воспользуйтесь функцией Не пересылать в Outlook.
Поддержка совместной работы типа «бизнес-бизнес» Так как Azure Rights Management — это облачная служба, вам не нужно явным образом настраивать доверительные отношения с другими организациями, чтобы совместно использовать защищенное содержимое.

Совместная работа с организациями, у которых уже есть Microsoft 365 или каталог Azure AD, поддерживается автоматически.

В организациях без Microsoft 365 или каталога Azure AD пользователи могут зарегистрировать бесплатную подписку RMS для отдельных пользователей или же применить учетную запись Майкрософт для поддерживаемых приложений.

Совет

Вложение защищенных файлов вместо защиты всего сообщения электронной почты позволяет не шифровать текст сообщения.

Например, может потребоваться включить инструкции по первому использованию, если сообщение отправляется за пределы организации. Если вложить защищенный файл, основные инструкции сможет прочитать любой пользователь. Но открыть документ смогут только авторизованные пользователи, даже если сообщение или документ пересылается другим пользователям.

Возможности поддержки платформ

Azure RMS поддерживает широкий спектр платформ и приложений, в том числе:

Компонент Описание
Распространенные устройства,
а не только компьютеры Windows
Клиентские устройства включают:

Компьютеры и телефоны с Windows
Компьютеры Mac
Планшеты и телефоны с iOS
Планшеты и телефоны с Android
Локальные службы Кроме возможности интеграции с Office 365, Azure Rights Management можно использовать со следующими локальными службами при развертывании соединителя RMS:

Exchange Server
SharePoint Server
Windows Server, где используется инфраструктура классификации файлов
Расширяемость приложений Azure Rights Management тесно интегрируется с приложениями и службами Microsoft Office, а также поддерживает другие приложения благодаря использованию клиента Azure Information Protection.

Пакеты SDK Microsoft Information Protection содержат API-интерфейсы для внутренних разработчиков и поставщиков программного обеспечения, позволяющие создавать собственные приложения, которые поддерживают Azure Information Protection.

См. дополнительные сведения о других приложениях, поддерживающих API-интерфейсы Rights Management.

Функции инфраструктуры

Azure RMS предоставляет следующие возможности для поддержки ИТ-отделов и инфраструктурных организаций:

Примечание

Организации всегда могут прекратить использование службы Azure Rights Management без потери доступа к содержимому, которое ранее было защищено с помощью Azure Rights Management.

Дополнительные сведения см. в статье Деактивация службы управления правами Azure и вывод ее из эксплуатации.

Создание простых и гибких политик

Настраиваемые шаблоны защиты позволяют администраторам быстро и легко применять политики, а пользователям — применять нужный уровень защиты для каждого документа, чтобы доступ к нему имели только пользователи из вашей организации.

Например, чтобы предоставить общий доступ к корпоративному стратегическому документу для всех сотрудников, примените для всех внутренних сотрудников политику "только для чтения". Применительно к более конфиденциальному документу, например финансовому отчету, предоставьте доступ только руководителям.

Настройте политики меток в центре соответствия Microsoft 365:

Простая активация

Для новых подписок активация проводится автоматически. В существующих подписках для включения службы Rights Management достаточно нескольких щелчков мышью на портале управления или двух команд PowerShell.

Аудит и мониторинг служб

Проводите аудит и контролируйте использование защищенных файлов даже после того, как они покидают пределы организации.

Например, если сотрудник компании Contoso, Ltd участвует в совместном проекте с тремя сотрудниками компании Fabrikam, Inc, он может отправить им документ, на который установлена защита и который разрешено только читать.

Функция аудита системы RMS Azure может предоставлять следующую информацию:

  • открывали ли партнеры из компании Fabrikam этот документ и в какое время;

  • совершали ли другие пользователи, которых вы не указали, неудачные попытки открыть документ. Это может произойти, если сообщение было переслано или сохранено в общем расположении.

Администраторы AIP могут отслеживать использование документов и отзывать доступ к файлам Office. При необходимости пользователи могут отзывать доступ к своим защищенным документам.

Возможность масштабирования в пределах организации

Azure Rights Management функционирует как облачная служба, которой присуща эластичность Azure (возможности вертикального увеличения и уменьшения масштаба), поэтому вам не нужно подготавливать или развертывать дополнительные локальные серверы.

ИТ-контроль над данными

Организации могут использовать возможности ИТ-управления, в том числе следующие:

Компонент Описание
Управление ключом клиента Используйте решения для управления ключом клиента, такие как создание собственных ключей (BYOK) и двойное шифрование ключей (DKE).

Дополнительные сведения см. в следующих статьях:
- Планирование и реализация ключа клиента AIP
- DKE в документации по Microsoft 365.
Аудит и ведение журнала использования Используйте функции аудита и ведения журнала использования для анализа бизнес-информации, отслеживания нарушений и проведения расследования при утечке информации.
Делегирование доступа Делегированный доступ с использованием функции суперпользователя гарантирует, что ИТ-отдел всегда может получить доступ к защищенному содержимому, даже если документ был защищен сотрудником, который уже не работает в вашей организации.
Следует отметить, что системы однорангового шифрования могут терять доступ к корпоративным данным.
Синхронизация Active Directory Синхронизация только тех атрибутов каталога, которые необходимы Azure RMS для поддержки стандартных удостоверений локальных учетных записей Active Directory, с помощью решения для управления гибридными удостоверениями, такого как Azure AD Connect.
Единый вход Поддержка единого входа в облако без репликации паролей с помощью AD FS.
Переход с AD RMS Если вы развернули службы Active Directory Rights Management (AD RMS), вы можете перейти на использование Azure Rights Management без потери доступа к данным, которые ранее были защищены с помощью AD RMS.

Нормативные требования и требования безопасности

Azure Rights Management поддерживает следующие нормативные требования, а также требования соответствия и безопасности:

  • Использование стандартных отраслевых методов криптографии и поддержка FIPS 140-2. Для получения дополнительных сведений см. раздел Элементы управления шифрования, используемые Azure RMS: алгоритмы и длина ключей.

  • Поддержка аппаратных модулей безопасности (HSM) nCipher nShield для хранения ключа клиента в центрах обработки данных Microsoft Azure.

    Azure Rights Management использует разные механизмы обеспечения безопасности для своих центров обработки данных в Северной Америке, регионах EMEA (Европа, Ближний Восток и Африка), а также в Азии. Это гарантирует, что ваши ключи будут использоваться исключительно в вашем регионе.

  • Сертификация по следующим стандартам:

    • стандарт ISO/IEC 27001:2013 (включает ISO/IEC 27018)
    • Аттестаты SOC 2 SSAE 16/ISAE 3402
    • HIPAA BAA
    • Типовая статья ЕС
    • FedRAMP, являющейся частью Azure Active Directory в сертификации Office 365, выпущенной HHS для FedRAMP Agency Authority to Operate
    • PCI DSS, уровень 1

Дополнительные сведения о внешних сертификациях см. в разделе Центр управления безопасностью Azure.

Дальнейшие действия

Более подробную техническую информацию о работе службы Azure Rights Management см. в разделе Как работает Azure RMS?

Если вы знакомы с локальной версией службы управления правами — службами Active Directory Rights Management (RMS AD), вам может оказаться интересной сравнительная таблица в разделе Сравнение службы управления правами Azure и AD RMS.