Na vlastních systémech můžete pro ochranu informací využít Microsoft RMS. Ale existuje podobná možnost i u cloudových služeb?
V minulých dílech tohoto seriálu o Rights Management Services jsme psali o AD RMS a nasazení ochrany „on-premise“, tedy přímo uvnitř společnosti za použití vlastních prostředků. Psali jsme dále o technologii Microsoft RMS, tedy o úplné novince. Ale ještě jsme se nezmínili o RMS pro Office 365. Co když moje infrastruktura je v cloudu? Tedy, v Office 365? Mám tam už „rozjetou“ Exchange a Sharepoint, tedy důležité informace. Musím kvůli tomu stavět AD RMS u sebe ve firmě a s cloudem to propojit? Na tyto otázky vám odpoví následující řádky.
Co to je a kde to seženu?
Hned na úvod si řekněme, jaké mám možnosti, když využívám nebo plánuji využívat služeb Microsoft Office 365. Ochrana informací se v cloudu nazývá „Azure Rights Management“, neboli Azure RMS. Ano, cludové RMS je součástí služeb Azure a společně s Office 365 jako takovým jsou propojeny. Nebo lépe řečeno, mohou být propojeny. Jak známo, u Office 365 je velmi důležité správně vybrat plán, který budu chtít dále využívat. Už jen kvůli případným migracím v případě změny plánu atd. Jedním z takových bodů ke zvážení je například právě Azure RMS. Ti zákazníci, kteří si pořídili plány E3, E4, A3 nebo A4, mají Azure RMS již v ceně předplatného a stačí, když si jej aktivují v rámci administrace. Ale co když nemám jeden z těchto plánů? Pak si můžete Azure RMS zakoupit separátně jako službu. Toto se provádí v Office 365 portálu jako Addon například pro plány K1, E1, A1, P1, P2. Takže fajn, když mám vlastní Exchange a vlastní file server, postavím si vlastní AD RMS, a když mám Exchange Online a Sharepoint Online v rámci Office 365, tak si aktivuji Azure RMS. Hm, to je logické. Ano, ale co když nechcete stavět vlastní AD RMS server, ale stejně byste chtěli mít RMS? Existuje i scénář, kdy se vlastní on-premise infrastruktura propojí pomocí RMS connectoru s Azure RMS. Používání tohoto connectoru není nijak zpoplatněno, platí se pouze předplatné za službu Azure RMS. A tak můžete mít vlastní prostředí a přitom hostovanou technologii pro ochranu informací – Azure RMS. Scénářů je tak více a vybrat si může každý.
Jak Azure RMS aktivuji?
Aktivace Azure RMS, jak již bylo uvedeno, probíhá z portálu Office 365. Portál je na adrese portal.microsoftonline.com. Na následujících obrázcích uvidíte postup krok za krokem.
A je to, docela jednoduché a přímočaré, nemyslíte? Tímto správce povolil využívat služeb RMS například společně s elektronickou poštou. Uživatelé si nyní po konfiguraci Office mohou vytvářet chráněné emaily. Pro konfiguraci s Sharepoint Online nebo automatické používání v rámci Exchange transportních pravidel je však nutno udělat ještě další kroky.
Exchange online
RMS v Exchange Online umožňuje uživatelům číst (i když správně se říká „konzumovat“) a vytvářet chráněný obsah v aplikaci Outlook, pomocí Outlook Web App (OWA) přímo z internetového prohlížeče nebo pomocí aplikace OWA pro iPad a iPhone.
Jste teď trochu v šoku, že o řádek výš není zmíněn Windows Phone? Nebuďte, všechna zařízení, která ke schránce přistupují pomocí Exchange Active Sync mají možnost zobrazovat chráněný obsah. Tedy i například Windows Phone 8. Pro vytváření je pak určena aplikace RMS Sharing. Ta je rovněž dostupná i pro iPhone, ale i telefony s Android OS.
Zmíněné je hlavně o uživatelích a možnostech práce s RMS a chráněným obsahem v případě, že ho chtějí zobrazit nebo vytvářet vědomě. Ale co když organizace chce rovněž předcházet možnostem úniku informací. Tedy scénář, kdy chcete primárně zamezit nechtěnému úniku informací nebo celý proces automatizovat. Stejně jako u on-premise Exchange, tak i v Azure RMS mohou správci vytvářet transportní pravidla, která zprávu ochrání bez součinnosti s uživatelem. Tedy, když uživatel odesílá e-mail, transportní pravidlo může hledat různé informace jako třeba označení důležitosti, rodná čísla, údaje k online platbám. V momentě, kdy jsou taková data identifikována, a tedy jsou splněna kritéria pro spuštění transportního pravidla, e-mail je automaticky ochráněn pomocí Azure RMS. Využije k tomu nastavenou šablonu. Tedy, správcem nastavenou šablonu. To znamená, že transportních pravidel může mít organizace celou řadu a používat různé stupně ochrany pro rozličně identifikované zprávy či obsah. Na základě jejich obsahu.
Zároveň s tím, dále fungují funkce jako indexování zpráv nebo žurnálování, Exchange Online se stává tzv. super userem, který má právo libovolně zprávy dekryptovat. Zprávy však nejsou následně ponechány rozšifrované. V žurnálovacím mailboxu končí sice jako nešifrovaný e-mail, ale se zašifrovanou přílohou, kterou je chráněný email.
Sharepoint Online
RMS, nebo Azure RMS je podporováno i v Sharepoint Online. Konkrétně v dokumentových knihovnách Sharepointu. U Sharepointu funguje obecně (tedy i on-premise) RMS ochrana tak, že se obsah chrání (šifruje) až v momentě, kdy jej uživatel chce zobrazit. A je v tu chvíli jedno, jestli jen pro čtení, nebo i editaci. Jak u cloudového, tak i on-premise Sharepoint tedy platí, že data jsou v databázi Sharepointu nešifrovaná, samotná ochrana se aplikuje až při interakci s uživatelem na read operaci. Nikoliv při write v momentě, kdy se soubor do dokumentové knihovny nahrává. Pro práci s chráněným obsahem a Sharepoint Online slouží samozřejmě kancelářský balík Office. Uživatel, který nemá počítač vybaven tímto balíkem může pro čtení a zobrazení obsahu využít Office Web Access přímo v internetovém prohlížeči. Obecně však u Sharepoint ale platí, že se politika RMS (tedy systém práv) dědí z nastavení ACL nad knihovnou. Vytváří se ekvivalent práv. Tedy, když má uživatel právo read v ACL, bude mít RMS právo view. Když má v ACL change, bude mít automaticky právo view/copy a save a save as v RMS. Ale pozor na práva tisku, ta se nastavují pro všechny uživatele (výjimkou jsou ti, co mají plný přístup k dokumentům). Tedy bez ohledu na to, jestli mám právo read nebo change, mohu nebo nemohu tisknout podle toho, jestli to správce nastavil či nikoliv.
Pro ochranu dat v uživatelských složkách je Azure RMS podporováno i v SkyDrive Pro.
Jak aktivovat RMS společně s Sharepoint Online
Opět formou obrázků se podívejte, jak vypadá integrace Azure RMS a Sharepoint Online, respektive knihovny dokumentů.
Jak konfigurovat RMS s knihovnou dokumentů Sharepoint Online
Azure RMS a Office
Rights Management Services je podporován v Office 2010 a Office 2013. U Office 2013 je velmi příjemné, že konfigurace je u uživatele tzv „on-click“ u Office 2010 musí ještě správce nastavit kdo je RMS server. Tedy ten Azure RMS server. Nebo instalovat RMS App. A když už jsme u toho, společně s kancelářským balíkem Office může být použita právě aplikace RMS Share App, kterou jsme popisovali v minulém TechNet Flash. Ve zkratce, tato aplikace funguje v Windows Exploreru, Microsoft Office a hlavně na dnes mnoha rozšířených zařízeních díky podpoře Androidu, iOSu a Windows Phone 8.
Závěr
Článek ukázal, že i když máte Exchange Online nebo Sharepoint Online v rámci Microsoft Office 365, jsou vám dostupné i takové funkce, jako ochrana informací pomocí Azure RMS. Tedy funkcionalita, která byla ještě donedávna doménou vlastních řešení, která se stavěla výhradně v privátních cloudech nebo vlastních serverovnách. A co je důležité, při správném plánu předplatného RMS už máte, stačí jen aktivovat.
Jan Pilař, MVP
KPCS CZ
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.
