Что такое управление правами Azure?

Azure Rights Management (Azure RMS) — это облачная технология защиты, используемая Azure Information Protection.

Azure RMS помогает защищать файлы и сообщения электронной почты на нескольких устройствах, включая телефоны, планшеты и компьютеры, с помощью политик шифрования, удостоверений и авторизации.

Например, когда сотрудники отправляют документ по электронной почте партнерской компании или сохраняют документ на своем облачном диске, функция постоянной защиты Azure RMS данных помогает обеспечить безопасность данных.

  • Параметры защиты применяются к данным, даже когда эти данные передаются за пределы организации, благодаря чему содержимое можно защитить как внутри организации, так и за ее пределами.

  • Azure RMS может официально требоваться для соблюдения соответствия, юридических требований к обнаружению или рекомендаций по управлению информацией.

  • Azure RMS используется с подписками на Microsoft 365 или с подписками на Azure Information Protection. Дополнительные сведения см. в руководстве по лицензированию Microsoft 365 для обеспечения соответствия требованиям безопасности&.

Azure RMS гарантирует, что авторизованные пользователи и службы, например службы поиска и индексации, смогут продолжать читать и проверять защищенные данные.

Обеспечение непрерывного доступа со стороны авторизованных пользователей и служб, также называемое "обоснованием данных", является ключевым элементом при обеспечении контроля над данными организации. Эту возможность может быть сложно реализовать в других решениях по защите информации, в которых используется шифрование на уровне отдельных узлов.

Функции защиты

Компонент Описание
Защита файлов нескольких типов В ранних версиях Rights Management можно было защищать только файлы Office при помощи встроенной защиты Rights Management.

Azure Information Protection обеспечивает поддержку дополнительных типов файлов. Дополнительные сведения см. в разделе Поддерживаемые типы файлов.
Повсеместная защита файлов Когда файл защищен, эта защита остается с файлом, даже если он сохраняется или копируется в хранилище, которое не находится под управлением ИТ-служб, например в службу облачного хранения.

Функции совместной работы

Компонент Описание
Безопасное предоставление доступа к информации Защищенными файлами, например вложением в сообщении электронной почты или ссылкой на сайт SharePoint, можно безопасно делиться с другими пользователями.

Если конфиденциальная информация находится в сообщении электронной почты, защитите его или используйте параметр "Не пересылать " из Outlook.
Поддержка совместной работы типа «бизнес-бизнес» Так как Azure Rights Management — это облачная служба, вам не нужно явным образом настраивать доверительные отношения с другими организациями, чтобы совместно использовать защищенное содержимое.

Совместная работа с другими организациями, у которых уже есть Каталог Microsoft 365 или Azure AD, автоматически поддерживается.

Для организаций без Microsoft 365 или каталога Azure AD пользователи могут зарегистрироваться для получения бесплатной подписки RMS для частных лиц или использовать учетную запись Майкрософт для поддерживаемых приложений.

Совет

Вложение защищенных файлов вместо защиты всего сообщения электронной почты позволяет не шифровать текст сообщения.

Например, может потребоваться включить инструкции по первому использованию, если сообщение отправляется за пределы организации. Если вложить защищенный файл, основные инструкции сможет прочитать любой пользователь. Но открыть документ смогут только авторизованные пользователи, даже если сообщение или документ пересылается другим пользователям.

Возможности поддержки платформ

Azure RMS поддерживает широкий спектр платформ и приложений, в том числе:

Компонент Описание
Часто используемые устройства
не только компьютеры с Windows
К клиентским устройствам относятся:

— компьютеры с Windows и телефоны
— компьютеры
Mac — планшеты iOS и телефоны
— планшеты Android и телефоны
Локальные службы Помимо эффективной работы с Office 365, используйте Службу управления правами Azure со следующими локальными службами при развертывании соединителя RMS:

— Exchange Server
— SharePoint Server — Windows Server
под управлением инфраструктуры классификации файлов.
Расширяемость приложений Azure Rights Management тесно интегрируется с приложениями и службами Microsoft Office, а также поддерживает другие приложения благодаря использованию клиента Azure Information Protection.

Пакет SDK Microsoft informācijas aizsardzība предоставляет внутренним разработчикам и поставщикам программного обеспечения API для написания пользовательских приложений, поддерживающих Information Protection Azure.

Дополнительные сведения см. в разделе "Другие приложения, поддерживающие API Rights Management".

Функции инфраструктуры

Azure RMS предоставляет следующие возможности для поддержки ИТ-отделов и инфраструктурных организаций:

Примечание

Организации всегда могут прекратить использование службы Azure Rights Management без потери доступа к содержимому, которое ранее было защищено с помощью Azure Rights Management.

Дополнительные сведения см. в статье " Списание и деактивация Службы управления правами Azure".

Создание простых и гибких политик

Настраиваемые шаблоны защиты позволяют администраторам быстро и легко применять политики, а пользователям — применять нужный уровень защиты для каждого документа, чтобы доступ к нему имели только пользователи из вашей организации.

Например, чтобы предоставить общий доступ к корпоративному стратегическому документу для всех сотрудников, примените для всех внутренних сотрудников политику "только для чтения". Применительно к более конфиденциальному документу, например финансовому отчету, предоставьте доступ только руководителям.

Настройте политики маркировки на портале соответствия Требованиям Microsoft Purview. Дополнительные сведения см. в документации по меткам конфиденциальности для Microsoft 365.

Простая активация

Для новых подписок активация проводится автоматически. В существующих подписках для включения службы Rights Management достаточно нескольких щелчков мышью на портале управления или двух команд PowerShell.

Аудит и мониторинг служб

Проводите аудит и контролируйте использование защищенных файлов даже после того, как они покидают пределы организации.

Например, если сотрудник компании Contoso, Ltd участвует в совместном проекте с тремя сотрудниками компании Fabrikam, Inc, он может отправить им документ, на который установлена защита и который разрешено только читать.

Функция аудита системы RMS Azure может предоставлять следующую информацию:

  • открывали ли партнеры из компании Fabrikam этот документ и в какое время;

  • совершали ли другие пользователи, которых вы не указали, неудачные попытки открыть документ. Это может произойти, если сообщение было переслано или сохранено в общем расположении.

Администраторы AIP могут отслеживать использование документов и отзывать доступ к файлам Office. При необходимости пользователи могут отзывать доступ к своим защищенным документам.

Возможность масштабирования в пределах организации

Azure Rights Management функционирует как облачная служба, которой присуща эластичность Azure (возможности вертикального увеличения и уменьшения масштаба), поэтому вам не нужно подготавливать или развертывать дополнительные локальные серверы.

ИТ-контроль над данными

Организации могут использовать возможности ИТ-управления, в том числе следующие:

Компонент Описание
Управление ключом клиента Используйте решения для управления ключом клиента, такие как создание собственных ключей (BYOK) и двойное шифрование ключей (DKE).

Дополнительные сведения см. в следующих статьях:
- Планирование и реализация ключа клиента AIP
- DKE в документации по Microsoft 365.
Аудит и ведение журнала использования Используйте функции аудита и ведения журнала использования для анализа бизнес-информации, отслеживания нарушений и проведения расследования при утечке информации.
Делегирование доступа Делегированный доступ с использованием функции суперпользователя гарантирует, что ИТ-отдел всегда может получить доступ к защищенному содержимому, даже если документ был защищен сотрудником, который уже не работает в вашей организации.
Для сравнения решения однорангового шифрования рискуют потерять доступ к корпоративным данным.
Синхронизация Active Directory Синхронизация только тех атрибутов каталога, которые необходимы Azure RMS для поддержки стандартных удостоверений локальных учетных записей Active Directory, с помощью решения для управления гибридными удостоверениями, такого как Azure AD Connect.
Единый вход Поддержка единого входа в облако без репликации паролей с помощью AD FS.
Переход с AD RMS Если вы развернули службы Active Directory Rights Management (AD RMS), вы можете перейти на использование Azure Rights Management без потери доступа к данным, которые ранее были защищены с помощью AD RMS.

Нормативные требования и требования безопасности

Azure Rights Management поддерживает следующие нормативные требования, а также требования соответствия и безопасности:

  • Использование стандартных отраслевых методов криптографии и поддержка FIPS 140-2. Для получения дополнительных сведений см. раздел Элементы управления шифрования, используемые Azure RMS: алгоритмы и длина ключей.

  • Поддержка аппаратных модулей безопасности (HSM) nCipher nShield для хранения ключа клиента в центрах обработки данных Microsoft Azure.

    Azure Rights Management использует разные механизмы обеспечения безопасности для своих центров обработки данных в Северной Америке, регионах EMEA (Европа, Ближний Восток и Африка), а также в Азии. Это гарантирует, что ваши ключи будут использоваться исключительно в вашем регионе.

  • Сертификация по следующим стандартам:

    • стандарт ISO/IEC 27001:2013 (включает ISO/IEC 27018)
    • Аттестаты SOC 2 SSAE 16/ISAE 3402
    • HIPAA BAA
    • Типовая статья ЕС
    • FedRAMP, являющейся частью Azure Active Directory в сертификации Office 365, выпущенной HHS для FedRAMP Agency Authority to Operate
    • PCI DSS, уровень 1

Дополнительные сведения о внешних сертификациях см. в разделе Центр управления безопасностью Azure.

Дальнейшие действия

Более подробную техническую информацию о работе службы Azure Rights Management см. в разделе Как работает Azure RMS?

Если вы знакомы с локальной версией службы управления правами — службами Active Directory Rights Management (RMS AD), вам может оказаться интересной сравнительная таблица в разделе Сравнение службы управления правами Azure и AD RMS.