Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Rights Management, иногда сокращенное до Azure RMS, является основной облачной службой шифрования из Защита информации Microsoft Purview.
Azure Rights Management помогает защитить такие элементы, как файлы и сообщения электронной почты на нескольких устройствах, включая телефоны, планшеты и компьютеры, с помощью политик шифрования, удостоверений и авторизации.
Например, когда сотрудники по электронной почте отправляет документ компании-партнеру или сохраняет документ на своем облачном диске, постоянное шифрование из Azure Rights Management помогает защитить данные.
Параметры шифрования остаются в ваших данных, даже если они покидают границы вашей организации, обеспечивая защиту содержимого как внутри организации, так и за ее пределами.
Шифрование может быть по закону обязательным для соответствия требованиям, юридическим требованиям обнаружения или рекомендациям по управлению информацией.
Используйте Azure Rights Management с подписками Или подписками Microsoft 365 для Защита информации Microsoft Purview. Дополнительные сведения см. на странице Руководства по лицензированию Microsoft 365 по обеспечению безопасности & соответствия требованиям .
Azure Rights Management гарантирует, что авторизованные пользователи и службы, такие как поиск и индексирование, могут продолжать считывать и проверять зашифрованные данные.
Обеспечение постоянного доступа для авторизованных пользователей и служб, также известное как "анализ данных", является важным элементом контроля над данными вашей организации. Эту возможность может быть непросто реализовать с помощью других решений для защиты информации, использующих одноранговую шифрование.
Функции защиты
| Функция | Описание |
|---|---|
| Шифрование файлов нескольких типов | В ранних реализациях Rights Management можно было шифровать только файлы Office с помощью встроенной защиты Rights Management.
Azure Rights Management обеспечивает поддержку дополнительных типов файлов. Дополнительные сведения см. в разделе Поддерживаемые типы файлов. |
| Защита файлов в любом месте | При шифровании файла эта защита остается с файлом, даже если он сохранен или скопирован в хранилище, которое не находится под контролем ИТ-специалистов, например в службу облачного хранилища. |
Функции совместной работы
| Функция | Описание |
|---|---|
| Безопасный общий доступ к информации | Зашифрованные файлы можно безопасно делиться с другими пользователями, например вложением к электронной почте или ссылкой на сайт SharePoint.
Если конфиденциальная информация находится в сообщении электронной почты, зашифруйте его или используйте параметр Не пересылать из Outlook. |
| Поддержка совместной работы между организациями | Так как Azure Rights Management — это облачная служба, обычно нет необходимости явно настраивать отношения доверия с другими организациями, прежде чем вы сможете предоставить им общий доступ к зашифрованным содержимым.
По умолчанию совместная работа с другими организациями, у которых уже есть каталог Microsoft 365 или Microsoft Entra, поддерживается автоматически. Для расширенных конфигураций или специализированных сценариев может потребоваться дополнительная конфигурация . В организациях без Microsoft 365 или каталога Microsoft Entra пользователи могут зарегистрироваться для получения бесплатной подписки RMS для частных лиц или использовать учетную запись Майкрософт для поддерживаемых приложений. |
Совет
Вложение зашифрованных файлов, а не шифрование всего сообщения электронной почты позволяет сохранить текст сообщения электронной почты незашифрованным.
Например, вы можете включить инструкции по первому использованию, если сообщение электронной почты отправляется за пределы вашей организации. Если вы вложите зашифрованный файл, основные инструкции может прочитать любой пользователь, но только авторизованные пользователи смогут открыть документ, даже если сообщение электронной почты или документ перенаправляется другим пользователям.
Функции поддержки платформы
Служба Azure Rights Management поддерживает широкий спектр платформ и приложений, в том числе:
| Функция | Описание |
|---|---|
|
Часто используемые устройства не только компьютеры Windows |
Клиентские устройства: - Компьютеры и телефоны с Windows - Компьютеры Mac - Планшеты и телефоны iOS - Планшеты и телефоны Android |
| Локальные службы | Помимо удобной работы с Microsoft 365, при развертывании соединителя Microsoft Rights Management можно использовать Azure Rights Management со следующими локальными службами: - Exchange Server - SharePoint Server - Windows Server запущена инфраструктура классификации файлов. |
| Расширяемость приложения | Служба Azure Rights Management тесно интегрирована с приложениями и службами Microsoft 365 и расширяет поддержку других приложений с помощью клиента Защита информации Microsoft Purview.
Пакет SDK для microsoft Information Protection предоставляет внутренним разработчикам и поставщикам программного обеспечения API для написания пользовательских приложений, поддерживающих службу Azure Rights Management. |
Функции инфраструктуры
Служба Azure Rights Management предоставляет следующие функции для поддержки ИТ-отделов и организаций инфраструктуры:
- Создание простых и гибких политик
- Простая активация
- Службы аудита и мониторинга
- Возможность масштабирования в организации
- Управление данными в ИТ-службах
Примечание.
Организации всегда могут отказаться от использования службы Azure Rights Management, не потеряв доступ к содержимому, которое ранее было защищено Azure Rights Management.
Дополнительные сведения см. в статье Вывод из эксплуатации и отключение службы Azure Rights Management.
Создание простых и гибких политик
Параметры шифрования, применяемые с метками конфиденциальности , позволяют администраторам быстро применять политики защиты информации, а пользователям — при необходимости применять правильный уровень защиты для каждого элемента.
Например, чтобы документ о стратегии в масштабах всей компании был предоставлен всем сотрудникам, примените политику только для чтения ко всем внутренним сотрудникам. Для более конфиденциальных документов, таких как финансовый отчет, ограничьте доступ только для руководителей.
Дополнительные сведения см. в статье Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования.
Простая активация
Для новых подписок активация выполняется автоматически. Для существующих подписок для активации службы Rights Management требуется всего две команды PowerShell.
Службы аудита и мониторинга
Аудит и мониторинг использования зашифрованных файлов даже после того, как эти файлы покинут границы вашей организации.
Например, если сотрудник Contoso, Ltd работает над совместным проектом с тремя людьми из Fabrikam, Inc, он может отправить своим партнерам Fabrikam документ, зашифрованный и ограниченный только для чтения.
Аудит Azure Rights Management может предоставить следующие сведения:
Открыли ли партнеры Fabrikam документ и когда.
Пытались ли другие пользователи, которые не были указаны, пытались и не смогли открыть документ. Это может произойти, если сообщение электронной почты было переадресовлено или сохранено в общем расположении.
Администраторы могут отслеживать использование документов и отзывать доступ к файлам Office. При необходимости пользователи могут отозвать доступ к своим помеченным и зашифрованным документам.
Возможность масштабирования в организации
Так как Azure Rights Management работает как облачная служба с эластичностью Azure для увеличения и увеличения масштаба, вам не нужно подготавливать или развертывать дополнительные локальные серверы.
Управление данными в ИТ-службах
Организации могут воспользоваться преимуществами функций УПРАВЛЕНИЯ ИТ, таких как:
| Функция | Описание |
|---|---|
| Управление ключами клиента | Используйте решения для управления ключами клиента, такие как использование собственного ключа (BYOK) или шифрование двойного ключа (DKE). Дополнительные сведения см. в разделе: - Планирование и реализация ключа клиента Azure Rights Management - Что такое шифрование с двойным ключом (DKE)? |
| Ведение журнала аудита и использования | Используйте аудит и ведение журнала использования для анализа бизнес-аналитики, мониторинга на предмет злоупотреблений и выполнения судебно-медицинского анализа на предмет утечек информации. |
| Делегирование доступа | Делегируйте доступ с помощью функции суперпользования, гарантируя, что ИТ-специалисты всегда могут получить доступ к зашифрованным содержимому, даже если документ был зашифрован сотрудником, который затем покидает организацию.
Для сравнения решения однорангового шифрования рискуют потерять доступ к корпоративным данным. |
| Синхронизация Active Directory | Синхронизируйте только атрибуты каталога, необходимые Azure RMS для поддержки общего удостоверения для учетных записей локальная служба Active Directory, используя гибридное решение для идентификации, например Microsoft Entra Connect. |
| Единый вход | Включите единый вход без репликации паролей в облако с помощью AD FS. |
| Миграция из AD RMS | Если вы развернули службы Active Directory Rights Management Services (AD RMS), перейдите в службу Azure Rights Management без потери доступа к данным, которые ранее были зашифрованы AD RMS. |
Требования к безопасности, соответствию требованиям и нормативным требованиям
Azure Rights Management поддерживает следующие требования к безопасности, соответствию требованиям и нормативным требованиям.
Использование стандартного отраслевого шифрования и поддержки FIPS 140-2. Дополнительные сведения см. в разделе Криптографические элементы управления: сведения об алгоритмах и длинах ключей .
Поддержка модуля аппаратной безопасности (HSM) nCipher nShield для хранения ключа клиента в центрах обработки данных Microsoft Azure.
Azure Rights Management использует отдельные миры безопасности для своих центров обработки данных в Северная Америка, EMEA (Европа, Ближний Восток и Африка) и Азии, поэтому ключи можно использовать только в вашем регионе.
Сертификация по следующим стандартам:
- ISO/IEC 27001:2013 (./includes ISO/IEC 27018)
- Аттестации SOC 2 SSAE 16/ISAE 3402
- HIPAA BAA
- Типовая оговорка ЕС
- FedRAMP в рамках Microsoft Entra идентификатора в Office 365 сертификации, выданной FedRAMP агентство управление по HHS
- PCI DSS уровня 1
Дополнительные сведения об этих внешних сертификациях см. в центре управления безопасностью Майкрософт.
Вопросы и ответы
Некоторые из наших часто задаваемых вопросов о службе шифрования Azure Rights Management от Защита информации Microsoft Purview:
Должны ли файлы находиться в облаке для шифрования службой Azure Rights Management?
Нет, это распространенное заблуждение. Служба Azure Rights Management (и Корпорация Майкрософт) не видит и не хранит ваши данные в процессе шифрования. Зашифрованные данные никогда не отправляются и не хранятся в Azure, если вы явно не храните их в Azure или не используете другую облачную службу, которая хранит ее в Azure.
Дополнительные сведения см. в статье Как работает служба Azure Rights Management: Технические сведения , чтобы понять, как секретная формула, созданная и хранимая в локальной среде, шифруется службой Azure Rights Management, но остается локальной.
В чем разница между шифрованием Azure Rights Management и шифрованием в других облачных службах Майкрософт?
Корпорация Майкрософт предоставляет несколько технологий шифрования, которые позволяют защищать данные в различных, часто взаимодополняющих сценариях. Например, в то время как Microsoft 365 предлагает шифрование неактивных данных, хранящихся в Microsoft 365, служба Azure Rights Management из Защита информации Microsoft Purview независимо от того, где они находятся и как они передаются.
Эти технологии шифрования дополняют друг друга, и для их использования требуется их независимое включение и настройка. В этом случае у вас может быть возможность принести собственный ключ для шифрования, который также называется BYOK. Включение BYOK для одной из этих технологий не влияет на другие. Например, можно использовать BYOK для службы Azure Rights Management и не использовать BYOK для других технологий шифрования, и наоборот. Ключи, используемые этими разными технологиями, могут быть одинаковыми или разными в зависимости от того, как вы настраиваете параметры шифрования для каждой службы.
Я вижу, что службы Microsoft Rights Management перечислены в качестве доступного облачного приложения для условного доступа— как это работает?
Да, вы можете настроить Microsoft Entra условный доступ для службы Azure Rights Management.
Когда пользователь открывает документ, зашифрованный службой Azure Rights Management, администраторы могут блокировать или предоставлять доступ пользователям в клиенте на основе стандартных элементов управления условным доступом. Требование многофакторной проверки подлинности (MFA) является одним из наиболее часто запрашиваемых условий. Кроме того, устройства должны соответствовать политикам Intune , чтобы, например, мобильные устройства соответствовали требованиям к паролю и минимальной версии операционной системы, а компьютеры должны быть присоединены к домену.
Дополнительные сведения см. в разделе Политики условного доступа и зашифрованные документы.
Дополнительные сведения
| Статья | Сведения |
|---|---|
| Частота оценки | Для компьютеров Windows политики условного доступа для службы Azure Rights Management оцениваются при инициализации пользовательской среды (этот процесс также называется начальной загрузкой), а затем каждые 30 дней. Чтобы точно настроить частоту оценки политик условного доступа, настройте время существования маркера. |
| Учетные записи администратора | Не рекомендуется добавлять учетные записи администратора в политики условного доступа, так как эти учетные записи не смогут получить доступ к службе Azure Rights Management при настройке параметров шифрования для меток конфиденциальности на портале Microsoft Purview. |
| Совместная работа MFA и B2B | Если вы используете MFA в политиках условного доступа для совместной работы с другими организациями (B2B), необходимо использовать Microsoft Entra совместной работы B2B и создать гостевые учетные записи для пользователей, которым вы хотите предоставить общий доступ в другой организации. |
| Запросы условий использования | Перед первым открытием зашифрованного документа можно предложить пользователям принять условия использования . |
| Облачные приложения | Если вы используете несколько облачных приложений для условного доступа, в списке могут не отображаться Служба синхронизации Microsoft Information Protection и Служба управления правами Майкрософт. В этом случае используйте поле поиска в верхней части списка. Начните вводить "Microsoft Information Protection Sync Service" и "Microsoft Rights Management Service", чтобы отфильтровать доступные приложения. Если у вас есть поддерживаемая подписка; Вы увидите эти параметры и сможете их выбрать. |
Я зашифровал документ и теперь хочу изменить права на использование или добавить пользователей. Нужно ли повторно шифровать документ?
Если документ был зашифрован с помощью метки конфиденциальности или шаблона управления правами, повторно шифровать документ не требуется. Измените метку конфиденциальности или шаблон управления правами, внося изменения в права на использование или добавьте новые группы (или пользователей), а затем сохраните эти изменения:
Если пользователь не получил доступ к документу до внесения изменений, изменения вступают в силу, как только пользователь открывает документ.
Если пользователь уже получил доступ к документу, эти изменения вступают в силу по истечении срока действия лицензии на использование . Повторно шифруйте документ, только если вы не можете дождаться истечения срока действия лицензии на использование. Например, удалите метку конфиденциальности, которая применила шифрование, сохраните и примените метку еще раз. Повторное шифрование фактически создает новую версию документа и, следовательно, новую лицензию на использование для пользователя.
Кроме того, если вы уже настроили группу для необходимых разрешений, вы можете изменить членство в группе, чтобы включить или исключить пользователей, и нет необходимости изменять метку конфиденциальности или шаблон управления правами. До вступления изменений в силу может возникнуть небольшая задержка, так как членство в группах кэшируется службой Azure Rights Management.
Если документ был зашифрован с помощью определяемых пользователем разрешений, таких как параметр Разрешить пользователям назначать разрешения для меток конфиденциальности, вы не сможете изменить разрешения для существующего документа. Необходимо снова зашифровать документ и указать всех пользователей и все права на использование, необходимые для этой новой версии документа. Чтобы повторно зашифровать зашифрованный документ, необходимо иметь право "Полный доступ".
Если я использую это решение для шифрования в рабочей среде, будет ли моя компания заблокирована для решения?
Нет, вы всегда остаетесь под контролем своих данных и можете продолжать к ним доступ, даже если вы решили больше не использовать службу Azure Rights Management. Дополнительные сведения см. в статье Вывод из эксплуатации и отключение службы Azure Rights Management.
Можно ли указать, какие из моих пользователей могут использовать службу Azure Rights Management для шифрования содержимого?
Да, при использовании меток конфиденциальности для шифрования содержимого политики публикации меток определяют, какие пользователи видят метки в своих приложениях. Если вы не хотите, чтобы некоторые пользователи шифруют содержимое, создайте для них отдельную политику публикации меток и включите в нее только метки, которые не применяют шифрование. Инструкции см. в статье Создание и настройка меток конфиденциальности и соответствующих политик.
Когда я делюсь зашифрованным документом с кем-то за пределами моей компании, как этот пользователь проходит проверку подлинности?
По умолчанию служба Azure Rights Management использует учетную запись Microsoft Entra и связанный с ней адрес электронной почты для проверки подлинности пользователей, что упрощает совместную работу между организациями для администраторов. Если другая организация использует службы Azure, у пользователей уже есть учетные записи в Microsoft Entra идентификатор, даже если эти учетные записи создаются и управляются локально, а затем синхронизируются с Azure. Если в организации используется Microsoft 365, эта служба также использует идентификатор Microsoft Entra для учетных записей пользователей. Если в организации пользователя нет управляемых учетных записей в Azure, их можно пройти проверку подлинности с помощью гостевой учетной записи. Дополнительные сведения см. в разделе Совместное использование зашифрованных документов с внешними пользователями.
Метод проверки подлинности для этих учетных записей может отличаться в зависимости от того, как администратор в другой организации настроил учетные записи Microsoft Entra. Например, они могут использовать пароли, созданные для этих учетных записей, федерации или пароли, созданные в доменные службы Active Directory, а затем синхронизированные с идентификатором Microsoft Entra.
Другие методы проверки подлинности:
Если вы зашифруете сообщение электронной почты с помощью вложения документа Office для пользователя, у которого нет учетной записи в Microsoft Entra идентификаторе, метод проверки подлинности изменится. Служба Azure Rights Management федеративна с некоторыми популярными поставщиками удостоверений социальных сетей, такими как Gmail. Если поставщик электронной почты пользователя поддерживается, пользователь может войти в службу, и его поставщик электронной почты отвечает за проверку подлинности. Если поставщик электронной почты пользователя не поддерживается или в качестве предпочтительного варианта, пользователь может подать заявку на одноразовый секретный код, который проверяет его подлинность и отображает сообщение электронной почты с зашифрованным документом в веб-браузере.
Служба Azure Rights Management может использовать учетные записи Майкрософт для поддерживаемых приложений. Однако не все приложения могут открывать зашифрованное содержимое, если учетная запись Майкрософт используется для проверки подлинности.
Какой тип групп можно использовать со службой Azure Rights Management?
В большинстве случаев в идентификаторе Microsoft Entra с адресом электронной почты можно использовать любой тип группы. Это правило всегда применяется при назначении прав использования, но существуют некоторые исключения для администрирования службы Azure Rights Management. Дополнительные сведения см. в статье Требования к службе Azure Rights Management для групповых учетных записей.
Разделы справки отправить зашифрованное сообщение электронной почты в учетную запись Gmail или Hotmail?
При использовании Exchange Online и службы Azure Rights Management вы просто отправляете пользователю сообщение электронной почты в виде зашифрованного сообщения. Например, можно выбрать метку конфиденциальности, которая автоматически применяется не пересылать.
Получатель видит возможность входа в свою учетную запись Gmail, Yahoo или Майкрософт, а затем сможет прочитать зашифрованное сообщение электронной почты. Кроме того, они могут выбрать вариант для одноразового секретного кода для чтения сообщения электронной почты в браузере.
Для поддержки этого сценария необходимо включить Exchange Online для службы Azure Rights Management и Шифрование сообщений Microsoft Purview.
Дополнительные сведения о возможностях, которые включают поддержку всех учетных записей электронной почты на всех устройствах, см. в следующей записи блога: Объявление о новых возможностях, доступных в Office 365 шифрование сообщений.
Какие типы файлов поддерживаются службой Azure Rights Management?
Служба Azure Rights Management может поддерживать все типы файлов. Для текстовых файлов, файлов image, Microsoft Office (Word, Excel, PowerPoint), PDF-файлов и файлов некоторых других типов приложений служба Azure Rights Management поддерживает собственное шифрование, включающее принудительное применение прав на использование (разрешений). Для всех других приложений и типов файлов универсальное шифрование обеспечивает инкапсуляцию файлов и проверку подлинности, чтобы проверить, авторизован ли пользователь на открытие файла.
Список типов файлов, поддерживаемых для приложений и служб Office, см. в разделе Типы файлов Office, поддерживаемые в документации по меткам конфиденциальности.
Список дополнительных типов файлов, поддерживаемых клиентом Защита информации Microsoft Purview, см. в разделе Поддерживаемые типы файлов в документации клиента защиты информации.
При открытии документа Office, зашифрованного службой Azure Rights Management, шифруется ли связанный временный файл этой службой?
Нет. В этом сценарии связанный временный файл не содержит данные из исходного документа, а только то, что пользователь вводит при открытии файла. В отличие от исходного файла, временный файл, очевидно, не предназначен для совместного использования и останется на устройстве, защищенный локальными элементами управления безопасностью, такими как BitLocker и EFS.
Как восстановить доступ к файлам, зашифрованным сотрудником, который теперь покинул организацию?
Используйте функцию суперпользователей, которая предоставляет авторизованным пользователям права на использование полного доступа для всех элементов, зашифрованных клиентом. Суперпользователей всегда могут прочитать это зашифрованное содержимое и при необходимости удалить шифрование или повторно зашифровать элемент для разных пользователей. Эта же функция позволяет авторизованным службам индексировать и проверять элементы по мере необходимости.
Если содержимое хранится в SharePoint или OneDrive, администраторы могут выполнить командлет Unlock-SensitivityLabelEncryptedFile , чтобы удалить метку конфиденциальности и шифрование. Дополнительные сведения см. в разделе Удаление шифрования для помеченного документа.
Может ли управление правами предотвратить захват экрана?
Не предоставляя право на использованиекопирования, Rights Management может запретить захват экрана из многих часто используемых средств захвата экрана на платформах Windows. В Office для Mac записи экрана также можно запретить в Office для Mac для Word, Excel и PowerPoint, но не Outlook.
Однако для других приложений в iOS и Android эти операционные системы не позволяют приложениям предотвращать захват экрана. Кроме того, браузеры, отличные от Edge, не могут запретить захват экрана. Использование браузера включает в себя Outlook в Интернете и Office для Интернета.
Предотвращение захвата экрана может помочь избежать случайного или небрежного раскрытия конфиденциальной или конфиденциальной информации. Но существует множество способов, с помощью которых пользователь может делиться данными, отображаемыми на экране, и сделать снимок экрана — это только один метод. Например, пользователь, намеревающийся поделиться отображаемой информацией, может сфотографировать ее с помощью телефона с камеры, повторно ввести данные или просто передать их кому-либо устно.
Как показано в этих примерах, даже если все платформы и все программное обеспечение поддерживали API управления правами для блокировки захвата экрана, сама по себе технология не всегда может запретить пользователям обмениваться данными, что они не должны. Управление правами может помочь защитить важные данные с помощью политик авторизации и использования, но это корпоративное решение для управления правами следует использовать с другими элементами управления. Например, реализуйте физическую безопасность, тщательно отслеживайте и отслеживайте пользователей, имеющих авторизованный доступ к данным вашей организации, а также инвестируйте средства в обучение пользователей, чтобы пользователи понимали, к каким данным не следует предоставлять общий доступ.
В чем разница между пользователем, шифрующим электронную почту с помощью функции "Не пересылать", и правами на использование, которые не включают право пересылки?
Несмотря на свое название, параметр "Не пересылать " не является противоположностью праву использования пересылки или шаблону. На самом деле это набор прав, которые включают ограничение копирования, печати и сохранения электронной почты за пределами почтового ящика, а также ограничение переадресации сообщений электронной почты. Права динамически применяются к пользователям через выбранных получателей, а не назначаются администратором статически. Дополнительные сведения см. в разделе Не пересылать сообщения электронной почты в разделе Настройка прав на использование для службы Azure Rights Management.
Дальнейшие действия
Дополнительные технические сведения о работе службы Azure Rights Management см. в статье Как работает служба Azure Rights Management: Технические сведения.
Если вы готовы сделать шифрование Azure Rights Management интегрированной частью решения для защиты информации, см. статью Развертывание решения для защиты информации с помощью Microsoft Purview.