Microsoft Rights Management Services (RMS)

Содержание

Microsoft Windows Rights Management Services (RMS) — это дополнительная служба для Windows Server 2003 (R2) в редакциях Standard, Enterprise, Web и Datacenter, помогающая предотвратить несанкционированное обращение к электронной информации в онлайновом и автономном режиме, внутри границ корпоративного брандмауэра и за его рамками.

RMS расширяет стратегию безопасности предприятия, защищая информацию с помощью строгих политик использования, которые сопровождают эти данные, куда бы они не попали. Сотрудники, работающие с информацией, могут четко определить, как адресат может использовать полученную информацию. В частности, можно определить, кто может открывать, редактировать, переадресовывать и/или выполнять иные операции с этой информацией. Организации могут создавать собственные шаблоны политик разграничения доступа, такие как «Конфиденциально-Только для чтения». Эти шаблоны можно непосредственно применять к таким документам, как стратегические бизнес-планы, финансовые отчеты, спецификации продукции, сведения о клиентах и электронные письма.

Ограничение режима просмотра и использования

Шифрование ограничивает аудиторию просмотра данных – это смогут делать только уполномоченные пользователи Используются строгие и постоянные политики разграничения доступа к информации Политики разграничения доступа управляют использованием информации Автор информации сам применяет необходимую политику с помощью приложения, поддерживающего технологию RMS Данные об ограничении прав хранятся в самом документе на уровне файловой системы Вся защита работает в интерактивном и автономном режиме, внутри границ корпоративного брандмауэра и за его рамками

Надежность решения

Используются встроенные возможности и утилиты Windows Server 2003 Промышленные технологии защиты информации — шифрование, сертификаты на базе стандарта XrML, проверка подлинности Гибкая технология с возможностями индивидуальной доработки Набор инструментов разработчика RMS SDK содержит интегрированный SDK для клиентов и серверов RMS Защиту секретной информации обеспечивает любое приложение с поддержкой RMS Позволяет сторонним разработчикам информационных технологий интегрировать средства защиты информации в свои продукты для создания универсальных платформенных решений

Преимущества

Защита секретной информации от несанкционированного использования Обеспечивается непрерывная защита информации, куда бы эта информация не попала Минимальный объем работ по администрированию и легкость эксплуатации Централизованно определяемые и управляемые политики использования информации в полной мере реализуются для данных в электронном виде Система ведет аудит всей информации с ограниченным доступом Предлагаемая гибкая технология удобна в администрировании и хорошо поддается расширению функций Реализация промышленных стандартов: XrML и шифрование с помощью 128-битного алгоритма AES Готовое к работе решение можно внедрить без изменений в средах, где используются различные выпуски Microsoft Office 2003 или 2007 Браузер IE поддерживает технологию RMS с помощью надстройки Rights Management Add-on (RMA) и служит базовым средством просмотра информации с ограниченным доступом

Интеграция с другими продуктами Microsoft

Cлужба RMS — дополнительное средство для Windows Server 2003. Для его поддержки необходимы также служба каталогов Active Directory и база данных SQL. На уровне настольных компьютеров для создания или просмотра содержимого с ограничением прав доступа требуется приложение, поддерживающее RMS. Первым таким приложением, предлагаемым корпорацией Майкрософт, является Office 2003. Для создания или просмотра документов Office, рабочих листов, презентаций и сообщений электронной почты с ограничением прав доступа необходимо наличие Office 2003 Professional Edition. Microsoft Office 2003 Standard Edition дает пользователям возможность просматривать документы Office с ограничением прав доступа, но не позволяет создавать их.

Microsoft RMS позволяет защищать информацию не только внутри корпоративной сети, но и данные, отправляемые за ее пределы.

Что такое управление правами Azure? What is Azure Rights Management?

Для унификации и улучшения работы пользователей поддержка классического клиента Azure Information Protection и клиента управления метками на портале Azure прекращается с 31 марта 2021 г. To provide a unified and streamlined customer experience, the Azure Information Protection classic client and Label Management in the Azure Portal are deprecated as of March 31, 2021. Хотя классический клиент продолжит работать, дальнейшая поддержка предоставляться не будет и версии для обслуживания классического клиента больше не будут выпускаться. While the classic client continues to work as configured, no further support is provided, and maintenance versions will no longer be released for the classic client.

Рекомендуется перейти на унифицированные метки и выполнить обновление до клиента унифицированных меток. We recommend that you migrate to unified labeling and upgrade to the unified labeling client. Дополнительные сведения см. в недавней записи блога о прекращении использования. Learn more in our recent deprecation blog.

Azure Rights Management (Azure RMS) — это облачная технология защиты, используемая Azure Information Protection. Azure Rights Management (Azure RMS) is the cloud-based protection technology used by Azure Information Protection.

Azure RMS помогает защищать файлы и сообщения электронной почты на нескольких устройствах, включая телефоны, планшеты и компьютеры, с помощью политик шифрования, удостоверений и авторизации. Azure RMS helps to protect files and emails across multiple devices, including phones, tablets, and PCs by using encryption, identity, and authorization policies.

Например, когда сотрудники отправляют документ по электронной почте партнерской компании или сохраняют документ на своем облачном диске, функция постоянной защиты Azure RMS данных помогает обеспечить безопасность данных. For example, when employees email a document to a partner company, or save a document to their cloud drive, Azure RMS’s persistent protection helps secure the data.

Параметры защиты применяются к данным, даже когда эти данные передаются за пределы организации, благодаря чему содержимое можно защитить как внутри организации, так и за ее пределами. Protection settings remain with your data, even when it leaves your organization’s boundaries, keeping your content protected both within and outside your organization.

Azure RMS может официально требоваться для соблюдения соответствия, юридических требований к обнаружению или рекомендаций по управлению информацией. Azure RMS may be legally required for compliance, legal discovery requirements, or best practices for information management.

Azure RMS используется с подписками на Microsoft 365 или с подписками на Azure Information Protection. Use Azure RMS with Microsoft 365 subscriptions or subscriptions for Azure Information Protection. Дополнительные сведения об отдельных типах подписок и поддерживаемых функциях см. на странице с ценами на Azure Information Protection. For more information about individual subscription types and supported features, see the Azure Information Protection pricing site.

Azure RMS гарантирует, что авторизованные пользователи и службы, например службы поиска и индексации, смогут продолжать читать и проверять защищенные данные. Azure RMS ensures that authorized people and services, such as search and indexing, can continue to read and inspect the protected data.

Обеспечение непрерывного доступа со стороны авторизованных пользователей и служб, также называемое «обоснованием данных», является ключевым элементом при обеспечении контроля над данными организации. Ensuring ongoing access for authorized people and services, also known as «reasoning over data», is a crucial element in maintaining control of your organization’s data. Эту возможность может быть сложно реализовать в других решениях по защите информации, в которых используется шифрование на уровне отдельных узлов. This capability may not be easily accomplished with other information protection solutions that use peer-to-peer encryption.

Функции защиты Protection features

Компонент Feature	Описание Description
Защита файлов нескольких типов Protect multiple file types	В ранних версиях Rights Management можно было защищать только файлы Office при помощи встроенной защиты Rights Management. In early implementations of Rights Management, only Office files could be protected, using built-in Rights Management protection. Azure Information Protection поддерживает дополнительные типы файлов. Azure Information Protection provides support for additional file types. Дополнительные сведения см. в разделе Поддерживаемые типы файлов. For more information, see Supported file types.
Повсеместная защита файлов Protect files anywhere	Когда файл защищен, эта защита остается с файлом, даже если он сохраняется или копируется в хранилище, которое не находится под управлением ИТ-служб, например в службу облачного хранения. When a file is protected, the protection stays with the file, even if it is saved or copied to storage that is not under the control of IT, such as a cloud storage service.

Функции совместной работы Collaboration features

Компонент Feature	Описание Description
Безопасное предоставление доступа к информации Safely share information	Защищенными файлами, например вложением в сообщении электронной почты или ссылкой на сайт SharePoint, можно безопасно делиться с другими пользователями. Protected files are safe to share with others, such as an attachment to an email or a link to a SharePoint site. Если в сообщении электронной почты содержатся конфиденциальные сведения, защитите его или воспользуйтесь функцией Не пересылать в Outlook. If the sensitive information is within an email message, protect the email, or use the Do Not Forward option from Outlook.
Поддержка совместной работы типа «бизнес-бизнес» Support for business-to-business collaboration	Так как Azure Rights Management — это облачная служба, вам не нужно явным образом настраивать доверительные отношения с другими организациями, чтобы совместно использовать защищенное содержимое. Because Azure Rights Management is a cloud service, there’s no need to explicitly configure trusts with other organizations before you can share protected content with them. Совместная работа с организациями, у которых уже есть Microsoft 365 или каталог Azure AD, поддерживается автоматически. Collaboration with other organizations that already have a Microsoft 365 or an Azure AD directory is automatically supported. В организациях без Microsoft 365 или каталога Azure AD пользователи могут зарегистрировать бесплатную подписку RMS для отдельных пользователей или же применить учетную запись Майкрософт для поддерживаемых приложений. For organizations without Microsoft 365 or an Azure AD directory, users can sign up for the free RMS for individuals subscription, or use a Microsoft account for supported applications.

Вложение защищенных файлов вместо защиты всего сообщения электронной почты позволяет не шифровать текст сообщения. Attaching protected files, rather than protecting an entire email message, enables you to keep the email text un-encrypted.

Например, может потребоваться включить инструкции по первому использованию, если сообщение отправляется за пределы организации. For example, you may want to include instructions for first-time use if the email is being sent outside your organization. Если вложить защищенный файл, основные инструкции сможет прочитать любой пользователь. Но открыть документ смогут только авторизованные пользователи, даже если сообщение или документ пересылается другим пользователям. If you attach a protected file, the basic instructions can be read by anyone, but only authorized users will be able to open the document, even if the email or document is forwarded to other people.

Возможности поддержки платформ Platform support features

Azure RMS поддерживает широкий спектр платформ и приложений, в том числе: Azure RMS supports a broad range of platforms and applications, including:

Компонент Feature	Описание Description
Распространенные устройства, Commonly used devices а не только компьютеры Windows not just Windows computers	Клиентские устройства включают: Client devices include: Компьютеры и телефоны с Windows — Windows computers and phones Компьютеры Mac — Mac computers Планшеты и телефоны с iOS — iOS tablets and phones Планшеты и телефоны с Android — Android tablets and phones
Локальные службы On-premises services	Кроме возможности интеграции с Office 365, Azure Rights Management можно использовать со следующими локальными службами при развертывании соединителя RMS: In addition to working seamlessly with Office 365, use Azure Rights Management with the following on-premises services when you deploy the RMS connector: Exchange Server — Exchange Server SharePoint Server — SharePoint Server Windows Server, где используется инфраструктура классификации файлов — Windows Server running File Classification Infrastructure
Расширяемость приложений Application extensibility	Azure Rights Management тесно интегрируется с приложениями и службами Microsoft Office, а также поддерживает другие приложения благодаря использованию клиента Azure Information Protection. Azure Rights Management has tight integration with Microsoft Office applications and services, and extends support for other applications by using the Azure Information Protection client. Пакеты SDK Microsoft Information Protection содержат API-интерфейсы для внутренних разработчиков и поставщиков программного обеспечения, позволяющие создавать собственные приложения, которые поддерживают Azure Information Protection. The Microsoft Information Protection SDK provide your internal developers and software vendors with APIs to write custom applications that support Azure Information Protection. См. дополнительные сведения о других приложениях, поддерживающих API-интерфейсы Rights Management. For more information, see Other applications that support the Rights Management APIs.

Функции инфраструктуры Infrastructure features

Azure RMS предоставляет следующие возможности для поддержки ИТ-отделов и инфраструктурных организаций: Azure RMS provides the following features to support IT departments and infrastructure organizations:

Организации всегда могут прекратить использование службы Azure Rights Management без потери доступа к содержимому, которое ранее было защищено с помощью Azure Rights Management. Organizations always have the choice to stop using the Azure Rights Management service without losing access to content that was previously protected by Azure Rights Management.

Создание простых и гибких политик Create simple and flexible policies

Настраиваемые шаблоны защиты позволяют администраторам быстро и легко применять политики, а пользователям — применять нужный уровень защиты для каждого документа, чтобы доступ к нему имели только пользователи из вашей организации. Customized protection templates provide a quick and easy solution for administrators to apply policies, and for users to apply the correct level of protection for each document and restrict access to people inside your organization.

Например, чтобы предоставить общий доступ к корпоративному стратегическому документу для всех сотрудников, примените для всех внутренних сотрудников политику «только для чтения». For example, for a company-wide strategy paper to be shared with all employees, apply a read-only policy to all internal employees. Применительно к более конфиденциальному документу, например финансовому отчету, предоставьте доступ только руководителям. For a more sensitive document, such as a financial report, restrict access to executives only.

Настройте политики меток в центре администрирования меток: Configure your labeling policies in your labeling admin center:

Клиент унифицированной маркировки. Используйте Центр безопасности Microsoft 365, Центр соответствия требованиям Microsoft 365 или Центр безопасности и соответствия требованиям Microsoft 365. Unified labeling client: Use the Microsoft 365 security center, the Microsoft 365 compliance center, or the Microsoft 365 Security & Compliance Center.

Классический клиент. Воспользуйтесь порталом Azure. Classic client: Use the Azure portal. Дополнительные сведения см. в статье Настройка шаблонов и управление ими в Azure Information Protection. For more information, see Configuring and managing templates for Azure Information Protection.

Простая активация Easy activation

Для новых подписок активация проводится автоматически. For new subscriptions, activation is automatic. В существующих подписках для включения службы Rights Management достаточно нескольких щелчков мышью на портале управления или двух команд PowerShell. For existing subscriptions, activating the Rights Management service requires just a couple of clicks in your management portal, or two PowerShell commands.

Аудит и мониторинг служб Auditing and monitoring services

Проводите аудит и контролируйте использование защищенных файлов даже после того, как они покидают пределы организации. Audit and monitor usage of your protected files, even after these files leave your organization’s boundaries.

Например, если сотрудник компании Contoso, Ltd участвует в совместном проекте с тремя сотрудниками компании Fabrikam, Inc, он может отправить им документ, на который установлена защита и который разрешено только читать. For example, if a Contoso, Ltd employee works on a joint project with three people from Fabrikam, Inc, they might send their Fabrikam partners a document that’s protected and restricted to read-only.

Функция аудита системы RMS Azure может предоставлять следующую информацию: Azure RMS auditing can provide the following information:

открывали ли партнеры из компании Fabrikam этот документ и в какое время; Whether the Fabrikam partners opened the document, and when.

совершали ли другие пользователи, которых вы не указали, неудачные попытки открыть документ. Whether other people, who were not specified, attempted, and failed to open the document. Это может произойти, если сообщение было переслано или сохранено в общем расположении. This might happen if the email was forwarded on, or saved to a shared location.

Администраторы AIP могут отслеживать использование документов и отзывать доступ к файлам Office. AIP administrators can track document usage and revoke access for Office files. При необходимости пользователи могут отзывать доступ к своим защищенным документам. Users can revoke access for their protected documents as needed.

Возможность масштабирования в пределах организации Ability to scale across your organization

Azure Rights Management функционирует как облачная служба, которой присуща эластичность Azure (возможности вертикального увеличения и уменьшения масштаба), поэтому вам не нужно подготавливать или развертывать дополнительные локальные серверы. Because Azure Rights Management runs as a cloud service with the Azure elasticity to scale up and out, you don’t have to provision or deploy additional on-premises servers.

ИТ-контроль над данными Maintain IT control over data

Организации могут использовать возможности ИТ-управления, в том числе следующие: Organizations can benefit from IT control features, such as:

Компонент Feature	Описание Description
Управление ключом клиента Tenant key management	Используйте решения для управления ключом клиента, такие как создание собственных ключей (BYOK) и двойное шифрование ключей (DKE). Use tenant key management solutions, such as Bring Your Own Key (BYOK) or Double Key Encryption (DKE). Дополнительные сведения см. в следующих статьях: For more information about, see: — Планирование и реализация ключа клиента AIP — Planning and implementing your AIP tenant key — DKE в документации по Microsoft 365. — DKE in the Microsoft 365 documentation.
Аудит и ведение журнала использования Auditing and usage logging	Используйте функции аудита и ведения журнала использования для анализа бизнес-информации, отслеживания нарушений и проведения расследования при утечке информации. Use auditing and usage logging features to analyze for business insights, monitor for abuse, and perform forensic analysis for information leaks.
Делегирование доступа Access delegation	Делегированный доступ с использованием функции суперпользователя гарантирует, что ИТ-отдел всегда может получить доступ к защищенному содержимому, даже если документ был защищен сотрудником, который уже не работает в вашей организации. Delegate access with the super user feature, ensuring that IT can always access protected content, even if a document was protected by an employee who then leaves the organization. Следует отметить, что системы однорангового шифрования могут терять доступ к корпоративным данным. In comparison, peer-to-peer encryption solutions risk losing access to company data.
Синхронизация Active Directory Active Directory synchronization	Синхронизация только тех атрибутов каталога, которые необходимы Azure RMS для поддержки стандартных удостоверений локальных учетных записей Active Directory, с помощью решения для управления гибридными удостоверениями, такого как Azure AD Connect. Synchronize just the directory attributes that Azure RMS needs to support a common identity for your on-premises Active Directory accounts, by using a hybrid identity solution, such as Azure AD Connect.
Единый вход Single-sign on	Поддержка единого входа в облако без репликации паролей с помощью AD FS. Enable single-sign on without replicating passwords to the cloud, by using AD FS.
Переход с AD RMS Migration from AD RMS	Если вы развернули службы Active Directory Rights Management (AD RMS), вы можете перейти на использование Azure Rights Management без потери доступа к данным, которые ранее были защищены с помощью AD RMS. If you’ve deployed Active Directory Rights Management Services (AD RMS), migrate to the Azure Rights Management service without losing access to data that was previously protected by AD RMS.

Нормативные требования и требования безопасности Security, compliance, and regulatory requirements

Azure Rights Management поддерживает следующие нормативные требования, а также требования соответствия и безопасности: Azure Rights Management supports the following security, compliance, and regulatory requirements:

Использование стандартных отраслевых методов криптографии и поддержка FIPS 140-2. Use of industry-standard cryptography and supports FIPS 140-2. Для получения дополнительных сведений см. раздел Элементы управления шифрования, используемые Azure RMS: алгоритмы и длина ключей. For more information, see the Cryptographic controls used by Azure RMS: Algorithms and key lengths information.

Поддержка аппаратных модулей безопасности (HSM) nCipher nShield для хранения ключа клиента в центрах обработки данных Microsoft Azure. Support for nCipher nShield hardware security module (HSM) to store your tenant key in Microsoft Azure data centers.

Azure Rights Management использует разные механизмы обеспечения безопасности для своих центров обработки данных в Северной Америке, регионах EMEA (Европа, Ближний Восток и Африка), а также в Азии. Это гарантирует, что ваши ключи будут использоваться исключительно в вашем регионе. Azure Rights Management uses separate security worlds for its data centers in North America, EMEA (Europe, Middle East and Africa), and Asia, so your keys can be used only in your region.

Сертификация по следующим стандартам: Certification for the following standards:

• стандарт ISO/IEC 27001:2013 (включает ISO/IEC 27018) ISO/IEC 27001:2013 (./includes ISO/IEC 27018)
• Аттестаты SOC 2 SSAE 16/ISAE 3402 SOC 2 SSAE 16/ISAE 3402 attestations
• HIPAA BAA HIPAA BAA
• Типовая статья ЕС EU Model Clause
• FedRAMP, являющейся частью Azure Active Directory в сертификации Office 365, выпущенной HHS для FedRAMP Agency Authority to Operate FedRAMP as part of Azure Active Directory in Office 365 certification, issued FedRAMP Agency Authority to Operate by HHS
• PCI DSS, уровень 1 PCI DSS Level 1

Дополнительные сведения о внешних сертификациях см. в разделе Центр управления безопасностью Azure. For more information about these external certifications, see the Azure Trust Center.

Дальнейшие действия Next steps

Более подробную техническую информацию о работе службы Azure Rights Management см. в разделе Как работает Azure RMS? For more technical information about how the Azure Rights Management service works, see How does Azure RMS work?

Если вы знакомы с локальной версией службы управления правами — службами Active Directory Rights Management (RMS AD), вам может оказаться интересной сравнительная таблица в разделе Сравнение службы управления правами Azure и AD RMS. If you are familiar with the on-premises version of Rights Management, Active Directory Rights Management Services (AD RMS), you might be interested in the comparison table from Comparing Azure Rights Management and AD RMS.