Azure Rights Management(有时缩写为 Azure RMS)是Microsoft Purview 信息保护的主要基于云的加密服务。
Azure Rights Management 使用加密、标识和授权策略,帮助跨多个设备(包括手机、平板电脑和电脑)保护项目(如文件和电子邮件)。
例如,当员工将文档通过电子邮件发送给合作伙伴公司或将文档保存到其云驱动器时,Azure Rights Management 的持久加密有助于保护数据。
即使数据离开组织的边界,加密设置仍保留在数据中,从而在组织内外保护内容。
出于合规性、法律发现要求或信息管理的最佳做法,在法律上可能需要加密。
将 Azure Rights Management 与 Microsoft 365 订阅配合使用,或用于Microsoft Purview 信息保护订阅。 有关详细信息,请参阅 Microsoft 365 安全 & 合规性许可指南 页。
Azure Rights Management 确保授权人员和服务(如搜索和索引)可以继续读取和检查加密数据。
确保授权人员和服务(也称为“对数据进行推理”)的持续访问是保持对组织数据的控制的关键要素。 使用对等加密的其他信息保护解决方案可能无法轻松实现此功能。
保护功能
| 功能 | 说明 |
|---|---|
| 加密多个文件类型 | 在 Rights Management 的早期实现中,只有 Office 文件可以使用内置的 Rights Management 保护进行加密。
Azure Rights Management 支持其他文件类型。 有关详细信息,请参阅 支持的文件类型。 |
| 保护任意位置的文件 | 加密文件时,即使文件已保存或复制到不受 IT 控制的存储(例如云存储服务),此保护也会保留在该文件中。 |
协作功能
| 功能 | 说明 |
|---|---|
| 安全共享信息 | 加密文件可以安全地与他人共享,例如电子邮件附件或 SharePoint 网站的链接。
如果敏感信息位于电子邮件中,请加密电子邮件,或使用 Outlook 中的 “请勿转发” 选项。 |
| 支持企业到企业协作 | 由于 Azure Rights Management 是一项云服务,因此通常无需显式配置与其他组织的信任,即可与其共享加密内容。
默认情况下,自动支持与已有 Microsoft 365 或 Microsoft Entra 目录的其他组织的协作。 高级 配置 或专用方案可能需要一些其他配置。 对于没有 Microsoft 365 或 Microsoft Entra 目录的组织,用户可以注册个人免费 RMS 订阅,或使用Microsoft帐户支持的应用程序。 |
提示
通过附加加密文件,而不是加密整个电子邮件,可使电子邮件文本保持未加密状态。
例如,如果电子邮件正在组织外部发送,则可能需要包含首次使用说明。 如果附加加密文件,任何人都可以阅读基本说明,但只有授权用户才能打开文档,即使电子邮件或文档转发给其他人也是如此。
平台支持功能
Azure Rights Management 服务支持广泛的平台和应用程序,包括:
| 功能 | 说明 |
|---|---|
|
常用设备 不只是 Windows 计算机 |
客户端设备包括: - Windows 计算机和手机 - Mac 计算机 - iOS 平板电脑和手机 - Android 平板电脑和手机 |
| 本地服务 | 除了与 Microsoft 365 无缝协作外,还可以在部署 Microsoft Rights Management 连接器时将 Azure Rights Management 与以下本地服务配合使用: - Exchange Server - SharePoint Server - Windows Server运行文件分类基础结构 |
| 应用程序扩展性 | Azure Rights Management 与 Microsoft 365 应用程序和服务紧密集成,并使用 Microsoft Purview 信息保护 客户端扩展了对其他应用程序的支持。
Microsoft 信息保护 SDK 为内部开发人员和软件供应商提供 API,用于编写支持 Azure Rights Management 服务的自定义应用程序。 |
基础结构功能
Azure Rights Management 服务提供以下功能来支持 IT 部门和基础结构组织:
注意
组织始终可以选择停止使用 Azure Rights Management 服务,而不会失去对以前受 Azure Rights Management 保护的内容的访问权限。
有关详细信息,请参阅 停用和停用 Azure Rights Management 服务。
创建简单灵活的策略
使用 敏感度标签 应用的加密设置为管理员应用信息保护策略提供了一种快速简便的方法,并且用户可以根据需要为每个项目应用正确的保护级别。
例如,对于要与所有员工共享的公司范围战略文件,请对所有内部员工应用只读策略。 对于更敏感的文档(如财务报告),仅限高管访问。
有关详细信息,请参阅 通过使用敏感度标签来应用加密来限制对内容的访问。
轻松激活
对于新订阅,激活是自动的。 对于现有订阅, 激活 Rights Management 服务 只需两个 PowerShell 命令。
审核和监视服务
审核和监视 加密文件的使用情况,即使在这些文件离开组织的边界之后也是如此。
例如,如果 Contoso, Ltd 员工与来自 Fabrikam, Inc 的三个人共同处理一个联合项目,他们可能会向其 Fabrikam 合作伙伴发送一个已加密且限制为 只读的文档。
Azure Rights Management 审核可以提供以下信息:
Fabrikam 合作伙伴是否打开了文档,以及何时打开。
未指定、尝试和未能打开文档的其他人。 如果电子邮件已转发或保存到共享位置,则可能会发生这种情况。
管理员可以 跟踪文档使用情况并撤销 对 Office 文件的访问权限。 用户可以根据需要 撤销 对其标记和加密文档的访问权限。
跨组织缩放的能力
由于 Azure Rights Management 作为云服务运行,具有 Azure 弹性来纵向扩展和横向扩展,因此无需预配或部署其他本地服务器。
保持 IT 对数据的控制
组织可以从 IT 控制功能中受益,例如:
| 功能 | 说明 |
|---|---|
| 租户密钥管理 | 使用租户密钥管理解决方案,例如将自己的密钥 (BYOK) 或双密钥加密 (DKE) 。 有关更多信息,请参阅: - 规划和实现 Azure Rights Management 租户密钥 - 什么是双密钥加密 (DKE) ? |
| 审核和使用情况日志记录 | 使用审核和 使用情况日志记录 来分析业务见解、监视滥用情况,并针对信息泄漏执行取证分析。 |
| 访问委派 | 使用 超级用户功能委托访问权限,确保 IT 始终可以访问加密内容,即使文档由随后离开组织的员工加密也是如此。
相比之下,对等加密解决方案可能会失去对公司数据的访问权限。 |
| Active Directory 同步 | 使用混合标识解决方案(如 Microsoft Entra Connect)仅同步 Azure RMS 支持本地 Active Directory帐户通用标识所需的目录属性。 |
| 单一登录 | 使用 AD FS 启用单一登录,而无需将密码复制到云。 |
| 从 AD RMS 迁移 | 如果已将 Active Directory Rights Management Services (AD RMS) , 请迁移到 Azure Rights Management 服务 ,而不会失去对以前由 AD RMS 加密的数据的访问权限。 |
安全性、合规性和法规要求
Azure Rights Management 支持以下安全性、合规性和法规要求:
使用行业标准加密并支持 FIPS 140-2。 有关详细信息,请参阅 加密控制:算法和密钥长度 信息。
支持 nCipher nShield 硬件安全模块 (HSM) 将租户密钥存储在 azure 数据中心Microsoft。
Azure Rights Management 为其位于 北美、EMEA (欧洲、中东和非洲) 以及亚洲的数据中心使用单独的安全环境,因此密钥只能在你的区域使用。
以下标准的认证:
- ISO/IEC 27001:2013 (./include ISO/IEC 27018)
- SOC 2 SSAE 16/ISAE 3402 证明
- HIPAA BAA
- EU 模型子句
- FedRAMP 作为Office 365认证中Microsoft Entra ID 的一部分,颁发了由 HHS 运营的 FedRAMP 代理机构
- PCI DSS 级别 1
有关这些外部认证的详细信息,请参阅 Microsoft信任中心。
常见问题解答
Microsoft Purview 信息保护中有关 Azure Rights Management 加密服务的一些更常见问题:
文件是否必须位于云中才能由 Azure Rights Management 服务加密?
不,这是一个常见的误解。 Azure Rights Management 服务 (和Microsoft) 不会在加密过程中看到或存储数据。 加密的信息永远不会发送到 Azure 或存储在 Azure 中,除非将其显式存储在 Azure 中,或者使用将信息存储在 Azure 中的另一个云服务。
有关详细信息,请参阅 Azure Rights Management 服务的工作原理:技术详细信息 ,了解在本地创建和存储的机密公式如何由 Azure Rights Management 服务加密但仍保留在本地。
Azure Rights Management 加密与其他Microsoft云服务中的加密有何区别?
Microsoft提供多种加密技术,使你能够针对不同且通常是互补的方案保护数据。 例如,虽然 Microsoft 365 为存储在 Microsoft 365 中的数据提供静态加密,但来自 Microsoft Purview 信息保护 的 Azure Rights Management 服务会独立加密数据,以便无论数据位于何处或传输方式如何,数据都受到保护。
这些加密技术是互补的,使用它们需要单独启用和配置它们。 执行此作时,可以选择自带密钥进行加密,这一方案也称为“BYOK”。为其中一项技术启用 BYOK 不会影响其他技术。 例如,可以将 BYOK 用于 Azure Rights Management 服务,而不将 BYOK 用于其他加密技术,反之亦然。 这些不同技术使用的密钥可能相同或不同,具体取决于为每个服务配置加密选项的方式。
我看到Microsoft Rights Management Services 被列为可用于条件访问的云应用,这是如何工作的?
是的,可以为 Azure Rights Management 服务配置Microsoft Entra条件访问。
当用户打开由 Azure Rights Management 服务加密的文档时,管理员可以基于标准条件访问控制阻止或授予其租户中的用户访问权限。 要求多重身份验证 (MFA) 是最常见的请求条件之一。 另一个是设备必须 符合 Intune 策略 ,以便移动设备满足密码要求和最低作系统版本,并且计算机必须加入域。
有关详细信息,请参阅 条件访问策略和加密文档。
其他信息:
| 主题 | 详细信息 |
|---|---|
| 评估频率 | 对于 Windows 计算机,在 初始化用户环境 时会评估 Azure Rights Management 服务的条件访问策略 (此过程也称为启动) ,然后每 30 天启动一次。 若要微调条件访问策略的评估频率, 请配置令牌生存期。 |
| 管理员帐户 | 建议不要将管理员帐户添加到条件访问策略,因为在 Microsoft Purview 门户中为敏感度标签配置加密设置时,这些帐户无法访问 Azure Rights Management 服务。 |
| MFA 和 B2B 协作 | 如果在条件访问策略中使用 MFA 与其他组织协作, (B2B) ,则必须使用Microsoft Entra B2B 协作并为要在其他组织中与之共享的用户创建来宾帐户。 |
| 使用条款提示 | 在用户首次打开加密文档之前,可以 提示他们接受使用条款 。 |
| 云应用 | 如果使用许多云应用进行条件访问,则列表中可能不会显示Microsoft信息保护同步服务和Microsoft Rights Management Service。 在这种情况下,请使用列表顶部的搜索框。 开始键入“Microsoft信息保护同步服务”和“Microsoft Rights Management Service”来筛选可用的应用。 提供受支持的订阅;然后,你将看到这些选项,并且将能够选择它们。 |
我已加密文档,现在想要更改使用权限或添加用户,是否需要重新加密文档?
如果文档是使用敏感度标签或权限管理模板加密的,则无需重新加密文档。 通过更改使用权限来修改敏感度标签或权限管理模板,或者) 添加新组 (或用户,然后保存这些更改:
如果用户在进行更改之前尚未访问文档,则更改将在用户打开文档后立即生效。
当用户已访问文档时,这些更改将在 其使用许可证 过期时生效。 仅当不能等待使用许可证过期时,才重新加密文档。 例如,删除应用加密的敏感度标签,然后保存并再次应用该标签。 重新加密可有效地创建文档的新版本,从而为用户创建新的使用许可证。
或者,如果已为组配置了所需权限,则可以更改组成员身份以包含或排除用户,并且无需更改敏感度标签或权限管理模板。 更改生效前可能会有一小段时间的延迟,因为组成员身份由 Azure Rights Management 服务 缓存 。
如果文档是使用用户定义的权限(如 “允许用户为敏感度标签分配权限” 加密设置)加密的,则无法更改现有文档的权限。 必须再次加密文档,并指定所有用户以及此新版本文档所需的所有使用权限。 若要重新加密加密的文档,必须具有 “完全控制”使用权限。
如果我将此加密解决方案用于我的生产环境,则我的公司是否锁定在解决方案中?
否,即使决定不再使用 Azure Rights Management 服务,你始终可以控制数据并可以继续访问它。 有关详细信息,请参阅 停用和停用 Azure Rights Management 服务。
是否可以控制哪些用户可以使用 Azure Rights Management 服务来加密内容?
是的,使用 敏感度标签加密内容时,标签发布策略定义哪些用户在其应用中看到标签。 如果不希望某些用户加密内容,请为其创建单独的标签发布策略,并在策略中仅包括不应用加密的标签。 有关详细信息,请参阅 创建和配置敏感度标签及其策略。
当我与公司外部的人共享加密文档时,该用户如何进行身份验证?
默认情况下,Azure Rights Management 服务使用Microsoft Entra帐户和关联的电子邮件地址进行用户身份验证,这使管理员可以无缝地进行企业到企业协作。 如果其他组织使用 Azure 服务,则即使这些帐户在本地创建和管理,然后同步到 Azure,用户也已有Microsoft Entra ID 中的帐户。 如果组织具有 Microsoft 365,则此服务还会对用户帐户使用Microsoft Entra ID。 如果用户的组织在 Azure 中没有托管帐户,则可以使用来宾帐户对其进行身份验证。 有关详细信息,请参阅《与外部用户共享加密的文档》。
这些帐户的身份验证方法可能会有所不同,具体取决于其他组织中的管理员配置Microsoft Entra帐户的方式。 例如,他们可以使用为这些帐户创建的密码、联合身份验证或Active Directory 域服务中创建的密码,然后同步到Microsoft Entra ID。
其他身份验证方法:
如果使用 Office 文档附件将电子邮件加密给MICROSOFT ENTRA ID 中没有帐户的用户,身份验证方法会更改。 Azure Rights Management 服务与一些常用的社交标识提供者(如 Gmail)联合。 如果用户的电子邮件提供商受支持,则用户可以登录到该服务,并且其电子邮件提供商负责对其进行身份验证。 如果用户的电子邮件提供程序不受支持,或者作为首选项,用户可以申请一次性密码,以便对用户进行身份验证,并在 Web 浏览器中显示包含加密文档的电子邮件。
Azure Rights Management 服务可以将Microsoft帐户用于受支持的应用程序。 但是,使用 Microsoft 帐户进行身份验证时,并非所有应用程序都可以打开加密内容。
可以将哪些类型的组用于 Azure Rights Management 服务?
在大多数情况下,可以在具有电子邮件地址的MICROSOFT ENTRA ID 中使用任何组类型。 分配使用权限时,此经验法则始终适用,但管理 Azure Rights Management 服务时有一些例外。 有关详细信息,请参阅 组帐户的 Azure Rights Management 服务要求。
如何实现将加密电子邮件发送到 Gmail 或 Hotmail 帐户?
使用 Exchange Online 和 Azure Rights Management 服务时,只需将电子邮件作为加密邮件发送给用户。 例如,可以选择自动为你应用“请勿转发”的敏感度标签。
收件人看到登录其 Gmail、Yahoo 或 Microsoft 帐户的选项,然后他们可以阅读加密的电子邮件。 或者,他们可以选择一次性密码选项,以便在浏览器中阅读电子邮件。
若要支持此方案,必须为 Azure Rights Management 服务和Microsoft Purview 邮件加密启用Exchange Online。
有关支持所有设备上所有电子邮件帐户的功能的详细信息,请参阅以下博客文章:宣布Office 365邮件加密中提供的新功能。
Azure Rights Management 服务支持哪些文件类型?
Azure Rights Management 服务可以支持所有文件类型。 对于文本、图像、Microsoft Office (Word、Excel、PowerPoint) 文件、PDF 文件和其他一些应用程序文件类型,Azure Rights Management 服务支持本机加密,其中包括强制实施使用权限 (权限) 。 对于所有其他应用程序和文件类型,通用加密提供文件封装和身份验证,以验证用户是否有权打开该文件。
有关 Office 应用和服务支持的文件类型列表,请参阅敏感度标签文档中 支持的 Office 文件类型 。
有关 Microsoft Purview 信息保护 客户端支持的其他文件类型的列表,请参阅信息保护客户端文档中支持的文件类型。
当我打开由 Azure Rights Management 服务加密的 Office 文档时,关联的临时文件是否也由此服务加密?
不正确。 在此方案中,关联的临时文件不包含来自原始文档的数据,而是仅包含用户在文件打开时输入的数据。 与原始文件不同,临时文件显然不是用于共享的,并且会保留在设备上,受本地安全控件(如 BitLocker 和 EFS)的保护。
如何重新获得对已离开组织的员工加密的文件的访问权限?
使用 超级用户功能,该功能向授权用户授予租户加密的所有项的完全控制使用权限。 超级用户始终可以读取此加密内容,并在必要时删除加密或重新加密其他用户的项目。 同一功能允许授权服务根据需要对项进行索引和检查。
如果内容存储在 SharePoint 或 OneDrive 中,管理员可以运行 Unlock-SensitivityLabelEncryptedFile cmdlet,以删除敏感度标签和加密。 有关详细信息,请参阅 删除已标记文档的加密。
Rights Management 是否可以阻止屏幕捕获?
通过不授予 复制使用权限,Rights Management 可以阻止从 Windows 平台上的许多常用屏幕捕获工具进行屏幕捕获。 在Office for Mac中,对于 Word、Excel 和 PowerPoint,在 Office for Mac 中同样可以阻止屏幕捕获,但 Outlook 无法阻止。
但是,对于 iOS 和 Android 上的其他应用,这些作系统不允许应用阻止屏幕捕获。 此外,Edge 以外的浏览器无法阻止屏幕捕获。 浏览器使用包括Outlook 网页版和Office 网页版。
防止屏幕捕获有助于避免意外或疏忽泄露机密或敏感信息。 但是,用户可以通过多种方式共享屏幕上显示的数据,而屏幕截图只是一种方法。 例如,想要共享显示信息的用户可以使用其相机手机拍摄其照片、重新键入数据,或者直接口头将其转发给某人。
如这些示例所示,即使所有平台和所有软件都支持权限管理 API 来阻止屏幕捕获,仅技术本身也不可能始终阻止用户共享他们不应共享的数据。 Rights Management 可以使用授权和使用策略来帮助保护重要数据,但此企业权限管理解决方案应与其他控件一起使用。 例如,实现物理安全性,仔细筛选和监视有权访问组织数据的人员,并投入用户教育,以便用户了解不应共享哪些数据。
使用“请勿转发”的用户加密电子邮件和使用权限不包括“转发”权限之间的区别是什么?
尽管名称相同, 但“请勿转发 ”与“转发”使用权限或模板并不相反。 它实际上是一组权限,包括限制复制、打印和保存邮箱外的电子邮件,以及限制电子邮件转发。 权限通过所选收件人动态应用于用户,而不是由管理员静态分配。 有关详细信息,请参阅配置 Azure Rights Management 服务的使用权限中的“不要转发电子邮件”部分。
后续步骤
有关 Azure Rights Management 服务工作原理的更多技术信息,请参阅 Azure Rights Management 服务的工作原理:技术详细信息。
如果已准备好将 Azure Rights Management 加密作为信息保护解决方案的集成部分,请参阅 使用 Microsoft Purview 部署信息保护解决方案。