Co to je nové Microsoft RMS, proč vzniklo a k čemu nám to vlastně může být dobré? Právě tomu se budeme věnovat v tomto článku.
Psalo se 29. srpna 2013, kdy se na oficiálním blogu Microsoft RMS týmu objevil nenápadný článek o novém Microsoft RMS ve fázi preview. Bystrý čtenář však musel „zavětřit“, protože název nehovořil o ADRMS, ale jen o RMS. Tak moment, tady něco nehraje. RMS? A kde je AD RMS? Už není? Nebude? Nebo se přejmenovalo? A co Jan Tleskač? Na následujících řádcích rozkryjeme, co to je nové Microsoft RMS, proč vzniklo a k čemu nám to vlastně může být dobré.
Proč bychom se měli vlastně zabývat RMS? Víte co je RMS? Jen lehce na úvod, RMS je technologie Microsoftu, která pomáhá organizacím se zabezpečením jejich dat, respektive informací. Zjednodušeně řečeno, tradiční způsob ochrany dat většiny společností, jsou přístupové listy ACL. Ty se velmi často definují pomocí souborového systému NTFS. Tedy pro představu, klasická sdílená složka (nebo jen složka), kde jsou definována přístupová práva do dané složky nebo k souboru. Důležité je to slovo „přístupová“.
Tedy, je to něco jako klíče od vašeho bytu. Mám klíče nebo nemám klíče. Se systémem RMS je to trochu jinak, sice se taky definuje list přístupových práv, ale pro zcela jiný účel, než v případě NTFS. U RMS totiž jde hlavně o ochranu obsahu daného souboru. Tedy o informace. A v rámci definice RMS práv jde například o to, jestli daný konzument obsahu (jak se v terminologii RMS říká) může OBSAH ze souboru kopírovat pomocí schránky nebo „print screen“ nebo nemůže. Jestli může tisknout nebo ne. Jak dlouho je ochrana platná a další užitečná práva, sloužící pro ochranu OBSAHU.
Pokud opět použiji příměr s bytem, tak díky NTFS má uživatel klíče od bytu a může vstoupit, ale díky RMS může jen do obýváku a tam si sednout na pohovku. Nesmí tou pohovkou posunout, nesmí si jí vyfotit, nesmí si pustit televizi. Chráním obsah obýváku, nikoliv jen přístup do něj. Tedy platí, že i když má uživatel práva „full access“ v souboru, který je chráněn pomocí RMS, pak to neznamená, že s tímto souborem může dělat cokoliv. Až definice RMS práv řekne, co vlastně konzument obsahu smí a co se nesmí. Dosud jsme toto vše znali jako roli produktu Windows Server a nasazovali jej většinou velké firmy, které řešily ochranu obsahu dat. Ale co to je tedy to Microsoft RMS?
Zcela nové Microsoft RMS umožňuje organizacím sdílet citlivá data v rámci své firmy nebo s jiným subjektem, a to velmi snadno. Co je ale velmi důležité, že chránit a takto sdílet je možno jakýkoliv typ souboru a ty mohou být otevřeny na valné většině zařízení. Podporováno je rovněž otevření souboru sdíleně v rámci služeb jako je SkyDrive, DropBox nebo Google Drive. Že to zní až neuvěřitelně? Ano, může se zdát. V rámci RMS, jak jsme ho znali dosud, se jedná o takovou revoluci.
Dosud totiž bylo možné šifrovat (chránit) pouze soubory Office (Word, Excel, PowerPoint, OneNote, Outlook), a to ještě při edici Professional Plus a počítač musel mít Windows. Na mobilních zařízeních jsme měli k dispozici buďto Windows Phone (7.5/7.8/8) nebo jiné s rozšířením pomocí software třetí strany. K rozšíření pro další formáty, jako například PDF, se muselo používat rovněž řešení třetích stran. Například Foxit Software. A sdílení mezi organizacemi, které nebyly navzájem propojeny, to bylo řešitelné velmi těžko.
Tento článek je prvním z řady, a tak si Microsoft RMS nyní přehledově představme a v dalších článcích ho rozebereme detailněji. Přeloženo z Microsoft RMS blogu, zde jsou body, které přicházejí s novým Microsoft RMS:
Uživatelé:
- Mohou chránit jakýkoliv typ souboru
- Mohou otevírat soubory na rozličných zařízeních
- Mohou chráněná data sdílet s kýmkoliv
- Prvoplánově, mohou sdílet s „business“ uživateli, kteří se mohou registrovat pomocí „Free RMS“
- Eventuálně sdílet s jednotlivcem s Microsoft Account nebo později s Google Account.
- Mohu se přihlásit k „Free RMS“, pokud moje společnost již nasadila RMS (On-Premise, Azure RMS).
IT Pro:
- Mohou chránit lokální data, pokud je nechtějí zatím přesouvat do cloudu
- Jsou informováni, jak je s daty nakládáno díky „near realtime logging“
- Mohou ovládat „Tenant key“ z lokálního prostředí
- Mohou se spolehnout na spolupráci Microsoft s dalšími partnery (například již s Foxit)
Tyto body vedou ke dvěma velmi zajímavým scénářům. Hned ten první je zcela revoluční a s původním on-premise AD RMS řešením téměř nenasaditelný.
- Uživatelé mohou chránit jakýkoliv typ souboru a sdílet ho s kýmkoliv v rámci jejich organizace, s jinou organizací nebo s externím uživatelem. A mohou si být jistí, že přijemce data přečte.
- IT Pro má velké možnosti volby pro uložiště chráněných souborů. Data mohou být lokálně, ve službě typu Sharepoint, nebo kdekoliv jinde a stále zůstávají informace chráněny (thumb drive, cloud služby pro uživatele…)
Jak to vypadá v praxi, si ukážeme na sdílení dokumentu Word. Pokud má uživatel instalovanou aplikaci RMS Sharing (k dispozici zdarma) rozšíří se mi ve Wordu pás karet o novou sekci „Protection“
Pomocí tohoto tlačítka se zapne aplikace RMS Sharing, kde uživatel volí úroveň ochrany a další atributy, viz obrázek.
Například možnost „Users must login every time they open this file“ znemožní práci se souborem offline, ale na stranu druhou, pokud dosud oprávněný konzument souboru jej mohl číst, ihned po odebrání práv a pokusu o otevření je mu to znemožněno. Není možno využit licenci souboru, která je jinak v cache, právě pro případ čtení obsahu offline. V momentě, kdy uživatel nastavil práva, klikne na tlačítko „Send“ a e-mail může být se souborem odeslán.
A je to :-).
Pro práci s chráněnými soubory na rozličných zařízeních je rovněž určena aplikace RMS Sharing. Tato aplikace je dostupná pro:
- Windows (desktop operační systém)
- Windows Phone 8
- iOS
- Android
Aplikace do Windows Store a pro Mac OSX bude dostupná toto jako.
Tato aplikace umožňuje zobrazovat genericky chráněný obsah (nativní jsou formáty Office a PDF) v souborech typu PFILE. Zároveň umí tento chráněný obsah i vytvářet. Například vyfotíte obsah whiteboardu po meetingu a pomocí aplikace RMS Share zašlete účastníkům zabezpečený obrázek. Zabezpečit obrázek JPEG bylo v ADRMS nemožné bez rozšíření pomocí software třetí strany.
- Spustit aplikaci RMS Sharing
- Vybrat nebo vytvořit fotku
- Zvolit jakou šablonou chci tento obsah chránit
- Uložit na Skydrive (další možnosti přibydou)
Paradoxně zatím nové Office formáty nejsou ještě v plné míře kompatibilní s tímto novým systémem, co se týče mobilních zařízení. Ale na tom se intenzivně pracuje. Tyto formáty je možné sdílet pomocí „Allow consumption on all devices“, kdy se Office soubor ochrání právě pomocí generického PFILE. Nebude tak umožněno využít plný set práv, který jinak RMS a Office umí, ale je možnost data chránit šifrováním.
Službě Microsoft RMS se budeme intenzivně věnovat i nadále, protože se z pohledu možnosti ochrany informací jedná o revoluci v porovnáním s klasickou rolí ADRMS, kterou můžete nalézt na Windows Server 2012 R2 (či starších).
Už teď se těšte na další články o Microsoft RMS a na další novinky z tohoto pole. Pro tuto chvíli je to vše, nyní jsme vás informovali o tom, že revoluce vypukla a dále se budeme zabývat tím, jak moc a co se změní v našich životech, pokud začneme Microsoft RMS používat.
Jan Pilař, MVP
KPCS CZ
Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.
