Управление правами Azure

Статья
10/18/2023

Azure Rights Management (Azure RMS) — это облачная технология защиты, используемая Azure Information Protection.

Azure RMS помогает защитить файлы и сообщения электронной почты на нескольких устройствах, включая телефоны, планшеты и компьютеры с помощью политик шифрования, идентификации и авторизации.

Например, когда сотрудники по электронной почте отправьте документ в партнерскую компанию или сохраните документ на своем облачном диске, постоянная защита Azure RMS помогает защитить данные.

Параметры защиты остаются в ваших данных, даже если они покидают границы вашей организации, сохраняя содержимое, защищенное как внутри организации, так и за ее пределами.
Azure RMS может быть юридически обязательным для соответствия требованиям, требованиям к юридическому обнаружению или рекомендациям по управлению информацией.
Используйте Azure RMS с подписками или подписками Microsoft 365 для Azure Information Protection. Дополнительные сведения см. в руководстве по лицензированию Microsoft 365 для обеспечения безопасности и соответствия требованиям.

Azure RMS гарантирует, что авторизованные пользователи и службы, такие как поиск и индексирование, могут продолжать читать и проверять защищенные данные.

Обеспечение постоянного доступа для авторизованных пользователей и служб, также известных как "обоснование данных", является важным элементом в обеспечении контроля над данными вашей организации. Эта возможность не может быть легко достигнута с помощью других решений защиты информации, использующих одноранговую шифрование.

Функции защиты

Возможность	Description
Защита нескольких типов файлов	В ранних реализациях Rights Management можно защитить только файлы Office, используя встроенную защиту Rights Management. Azure Information Protection обеспечивает поддержку дополнительных типов файлов. Дополнительные сведения см. в разделе "Поддерживаемые типы файлов".
Защита файлов в любом месте	Когда файл защищен, защита остается с файлом, даже если он сохраняется или копируется в хранилище, которое не находится под контролем ИТ- службы, например облачной службы хранилища.

Возможность

Description

Защита нескольких типов файлов

В ранних реализациях Rights Management можно защитить только файлы Office, используя встроенную защиту Rights Management.

Azure Information Protection обеспечивает поддержку дополнительных типов файлов. Дополнительные сведения см. в разделе "Поддерживаемые типы файлов".

Защита файлов в любом месте

Когда файл защищен, защита остается с файлом, даже если он сохраняется или копируется в хранилище, которое не находится под контролем ИТ- службы, например облачной службы хранилища.

Функции совместной работы

Возможность	Description
Сейф совместное использование сведений	Защищенные файлы безопасны для совместного использования с другими пользователями, например вложение к электронной почте или ссылку на сайт SharePoint. Если конфиденциальная информация находится в сообщении электронной почты, защитите его или используйте параметр "Не пересылать " из Outlook.
Поддержка бизнес-совместной работы	Так как Azure Rights Management — это облачная служба, вам не нужно явно настраивать отношения доверия с другими организациями, прежде чем предоставлять общий доступ к защищенному содержимому. Совместная работа с другими организациями, у которых уже есть каталог Microsoft 365 или каталог Microsoft Entra, автоматически поддерживается. Для организаций без Microsoft 365 или каталога Microsoft Entra пользователи могут зарегистрироваться для бесплатной подписки RMS для частных лиц или использовать учетную запись Майкрософт для поддерживаемых приложений.

Возможность

Description

Сейф совместное использование сведений

Защищенные файлы безопасны для совместного использования с другими пользователями, например вложение к электронной почте или ссылку на сайт SharePoint.

Если конфиденциальная информация находится в сообщении электронной почты, защитите его или используйте параметр "Не пересылать " из Outlook.

Поддержка бизнес-совместной работы

Так как Azure Rights Management — это облачная служба, вам не нужно явно настраивать отношения доверия с другими организациями, прежде чем предоставлять общий доступ к защищенному содержимому.

Совместная работа с другими организациями, у которых уже есть каталог Microsoft 365 или каталог Microsoft Entra, автоматически поддерживается.

Для организаций без Microsoft 365 или каталога Microsoft Entra пользователи могут зарегистрироваться для бесплатной подписки RMS для частных лиц или использовать учетную запись Майкрософт для поддерживаемых приложений.

Совет

Присоединение защищенных файлов, а не защита всего сообщения электронной почты позволяет сохранять текст электронной почты незашифрованным.

Например, может потребоваться включить инструкции для первого использования, если электронная почта отправляется за пределы организации. Если вы вложите защищенный файл, основные инструкции можно прочитать любым пользователем, но только авторизованные пользователи смогут открыть документ, даже если электронная почта или документ пересылаются другим пользователям.

Функции поддержки платформы

Azure RMS поддерживает широкий спектр платформ и приложений, в том числе:

Возможность	Description
Часто используемые устройства не только компьютеры Windows	К клиентским устройствам относятся: — компьютеры и телефоны Windows — компьютеры Mac — планшеты iOS и телефоны — планшеты Android и телефоны
Локальные службы	Помимо простой работы с Office 365, используйте Azure Rights Management со следующими локальными службами при развертывании соединителя RMS: — Exchange Server — SharePoint Server — Windows Server под управлением инфраструктуры классификации файлов
Расширяемость приложения	Azure Rights Management тесно интегрируется с microsoft Приложение Office lications и службами, а также расширяет поддержку других приложений с помощью клиента Azure Information Protection. Пакет SDK Microsoft Information Protection предоставляет внутренним разработчикам и поставщикам программного обеспечения API для написания пользовательских приложений, поддерживающих Azure Information Protection. Дополнительные сведения см. в других приложениях, поддерживающих API Rights Management.

Функции инфраструктуры

Azure RMS предоставляет следующие функции для поддержки ИТ-отделов и организаций инфраструктуры:

Создание простых и гибких политик
Простая активация
Аудит и мониторинг служб
Возможность масштабирования в организации
Обслуживание ИТ-контроля над данными

Примечание.

Организации всегда имеют возможность прекратить использование службы Azure Rights Management без потери доступа к содержимому, ранее защищенному Azure Rights Management.

Дополнительные сведения см. в статье Деактивация защиты для Azure Information Protection и вывод службы из эксплуатации.

Создание простых и гибких политик

Настраиваемые шаблоны защиты предоставляют быстрое и простое решение для администраторов для применения политик, а также для пользователей для применения правильного уровня защиты для каждого документа и ограничения доступа к пользователям в организации.

Например, чтобы документ стратегии всей компании был предоставлен всем сотрудникам, применяйте политику только для чтения ко всем внутренним сотрудникам. Для более конфиденциального документа, например финансового отчета, ограничьте доступ только к руководителям.

Настройте политики маркировки в Портал соответствия требованиям Microsoft Purview. Дополнительные сведения см. в документации по меткам конфиденциальности для Microsoft 365.

Простая активация

Для новых подписок активация выполняется автоматически. Для существующих подписок активация службы Rights Management требует всего нескольких щелчков на портале управления или двух команд PowerShell.

Аудит и мониторинг служб

Аудит и мониторинг использования защищенных файлов даже после того, как эти файлы покидают границы вашей организации.

Например, если сотрудник Contoso, Ltd работает над совместным проектом с тремя людьми из Fabrikam, Inc, они могут отправить своим партнерам Fabrikam документ, защищенный и ограниченный только для чтения.

Аудит Azure RMS может предоставить следующие сведения:

Если партнеры Fabrikam открыли документ и когда.
Не были ли другие пользователи, которые не были указаны, пытались и не открывали документ. Это может произойти, если электронная почта перенаправилась или сохранена в общее расположение.

Администраторы AIP могут отслеживать использование документов и отзывать доступ к файлам Office. При необходимости пользователи могут отозвать доступ к защищенным документам.

Возможность масштабирования в организации

Так как Azure Rights Management выполняется как облачная служба с эластичностью Azure для увеличения и увеличения масштаба, вам не нужно подготавливать или развертывать дополнительные локальные серверы.

Обслуживание ИТ-контроля над данными

Организации могут воспользоваться функциями управления ИТ,такими как:

Возможность	Description
Управление ключами клиента	Используйте решения по управлению ключами клиента, например принести собственный ключ (BYOK) или двойное шифрование ключей (DKE). Дополнительные сведения см. в следующем разделе: - Планирование и реализация ключа клиента AIP - DKE в документации по Microsoft 365.
Ведение журнала аудита и использования	Используйте функции аудита и ведения журнала использования для анализа бизнес-аналитики, мониторинга злоупотреблений и выполнения судебно-судебного анализа для утечки информации.
Делегирование доступа	Делегируйте доступ с помощью функции суперпользования, гарантируя, что ИТ-специалисты всегда могут получать доступ к защищенному содержимому, даже если документ был защищен сотрудником, который затем покидает организацию. В сравнении решения для однорангового шифрования рискуют потерять доступ к корпоративным данным.
Синхронизация Active Directory	Синхронизируйте только атрибуты каталога, необходимые Azure RMS для поддержки общего удостоверения для учетных записей локальная служба Active Directory, с помощью решения гибридного удостоверения, например Microsoft Entra Подключение.
Единый вход	Включите единый вход без реплика паролей в облако с помощью AD FS.
Миграция с AD RMS	Если вы развернули службы Active Directory Rights Management (AD RMS), перейдите в службу Azure Rights Management без потери доступа к данным, которые ранее были защищены AD RMS.

Требования к безопасности, соответствию и нормативным требованиям

Azure Rights Management поддерживает следующие требования к безопасности, соответствию и нормативным требованиям:

Использование стандартной криптографии и поддержки FIPS 140-2. Дополнительные сведения см. в разделах о криптографических элементах управления, используемых Azure RMS: алгоритмы и сведения о длине ключей .
Поддержка модуля безопасности оборудования nCipher nShield (HSM) для хранения ключа клиента в центрах обработки данных Microsoft Azure.

Azure Rights Management использует отдельные миры безопасности для своих центров обработки данных в Северная Америка, EMEA (Европа, Ближний Восток и Африка) и Азии, чтобы ключи можно было использовать только в вашем регионе.
Сертификация для следующих стандартов:
- ISO/IEC 27001:2013 (./includes ISO/IEC 27018)
- Аттестации SOC 2 SSAE 16/ISAE 3402
- HIPAA BAA
- Предложение модели ЕС
- FedRAMP в составе идентификатора Microsoft Entra в сертификации Office 365, выданный Центром агентства FedRAMP для управления HHS
- PCI DSS, уровень 1.

Дополнительные сведения об этих внешних сертификациях см. в Центре управления безопасностью Azure.

Следующие шаги

Дополнительные технические сведения о работе службы Azure Rights Management см. в статье о работе Azure RMS?

Если вы знакомы с локальной версией Rights Management, службы Active Directory Rights Management (AD RMS), вы можете ознакомиться с таблицей сравнения из сравнения Azure Rights Management и AD RMS.