Эволюция служб управления правами Microsoft (часть 2)
Введение
В части 1 этой серии, посвященной эволюции служб управления правами Active Directory, мы представили обзор того, что такое RMS, как она работает и некоторые изменения, которые она претерпела с момента ее выпуска в качестве надстройки для Windows Server 2003 еще в 2005 года до его воплощения в Windows Server 2012. Во второй части мы поговорим о следующем поколении RMS, Azure RMS, которое было значительно переработано и выпущено в общедоступной предварительной версии этим летом.
AD RMS и Azure RMS
В прошлом у нас была новая версия RMS в каждой последующей версии Windows Server, основанной на предыдущей версии. Хотя Azure RMS основывается на функциях AD RMS, во многих отношениях это другое животное, и Azure RMS сосуществует вместе с Windows Server 2012 RMS, а не является его прямой заменой. То, что вы используете, зависит от вашей сетевой инфраструктуры и от того, основаны ли они на серверах Windows в традиционной модели центра обработки данных или в частном облаке, работающем на Windows Azure.
Azure RMS (также называемый пакетом Microsoft Rights Management Suite) работает как служба Azure, и так же, как Windows Server 2012 RMS использует Windows Active Directory, она использует Azure AD. На момент написания этой статьи (сентябрь 2013 г.) она находилась в предварительной версии, а окончательный выпуск ожидается в октябре. AD RMS, конечно же, уже доступен в качестве роли сервера в Windows Server 2012.
Как работает Azure RMS
Несмотря на то, что все больше и больше организаций видят преимущества облачных вычислений, кажется, что они исчезают, в деловом мире по-прежнему существует большое недоверие к облачным вычислениям. Данные, которые компания хочет защитить с помощью управления правами, по определению являются конфиденциальными данными, поэтому некоторые ИТ-специалисты и менеджеры могут по понятным причинам опасаться использования облачной формы RMS для их защиты.
Хорошая новость заключается в том, что Azure не имеет доступа к содержимому ваших защищенных данных. Хотя Azure RMS работает в Windows Azure, документы, сообщения электронной почты и другие защищенные файлы не отправляются в службу Azure в процессе. Независимо от того, где хранятся файлы — локально или в хранилище или приложении облачного провайдера, — Azure RMS по-прежнему не имеет доступа к данным. Сервер RMS обрабатывает обмен ключами шифрования, даже не «видя» данные.
Затем служба RMS выполняет следующие действия, чтобы защитить файл от неправомерного использования теми, кому он предоставлен:
- Служба RMS аутентифицирует пользователя, который хочет получить доступ к файлу, используя локальную службу Active Directory или Azure AD (Microsoft также объявила, что в будущем пользователи смогут проходить аутентификацию с помощью учетных записей Microsoft, ранее известных как Live ID, и учетных записей Google)..
- Служба RMS авторизует пользователя на основе политики, прикрепленной к защищенному файлу.
- Служба RMS регистрирует действия пользователей в целях аудита. Это верно независимо от того, была ли попытка пользователя получить доступ к файлу успешной или неудачной.
Возможности Azure RMS
Azure RMS выходит за рамки того, что делает AD RMS, и предлагает несколько интересных новых функций. Хотя управление правами через сервер Windows дает вам некоторые очень полезные возможности, оно также имеет некоторые раздражающие ограничения, как с точки зрения администраторов, так и с точки зрения пользователей. Корпорация Майкрософт взглянула на объем и тип защиты, которые необходимы в нашем более мобильном мире, и предоставила возможность действительно расширять эту защиту гибким способом.
Для ИТ-специалистов вы получаете гораздо больше гибкости в отношении того, где вы можете хранить защищенную информацию. Это может быть флэш-накопитель USB, локальный жесткий диск, файловый сервер, сетевое запоминающее устройство, хранилище данных SharePoint в облаке, приложение SaaS поставщика облачных услуг, служба облачного хранилища. Независимо от того, где он хранится, он по-прежнему защищен.
Пользователи могут обмениваться защищенными файлами со всеми, у кого есть учетная запись Active Directory, но когда будет реализована поддержка учетных записей Microsoft и Google (Microsoft указала, что это произойдет в 2014 г.), вы сможете обмениваться документами, защищенными с помощью RMS, с любое лицо, имеющее одну из этих бесплатных учетных записей. Это значительно расширит возможности использования RMS.
Одна из функций, которая мне больше всего нравится, — это возможность теперь защищать все типы файлов, а не только ограниченное количество типов файлов Microsoft, которые можно было защитить в прошлом. Конечно, некоторые типы файлов могут быть более защищены, чем другие, и, естественно, вы получаете максимальную отдачу от затраченных средств, создавая и открывая файлы в приложениях, изначально поддерживающих RMS. Это означает.doc/.docx,.xls/.xlsx,.ppt/.pptx и.pdf. С помощью бесплатного приложения RMS (подробнее об этом позже) вы также можете защитить файлы.txt,.xml,.jpg/.jpeg,.tif/.tiff,.gif и.bmp.
Примечание:
Защищенные файлы.pdf можно открыть с помощью Foxit PDF Reader.
Разработчики могут использовать SDK, предоставленный Microsoft, для создания приложений, поддерживающих RMS.
Приложение RMS
Приложение RMS интегрируется с Windows или Apple OS X, поэтому пользователи обеих операционных систем могут защищать файлы с помощью RMS несколькими различными способами. Он добавляет расширения на панель инструментов Office, которые позволяют быстро и легко обмениваться защищенными файлами. Существует три различных способа защиты файлов.
Первый метод называется «Защита на месте». Пользователь защищает исходный файл там, где он хранится. Второй называется «Share Protected». В этом случае исходный файл остается там, где он есть, и как он есть (защищенный или нет), а пользователь защищает копию файла, которую он/она отправляет кому-либо еще по электронной почте. Третий — вариант «Share Protected» под названием «Share Protected (Camera)». Как следует из названия, он позволяет пользователю отправить защищенную копию выбранной фотографии, сделанной с помощью мобильного устройства.
Приложение RMS добавляет кнопку «Общий защищенный доступ» на панель инструментов в Word на вкладке «Главная». Он вызывает диалоговое окно, в котором вы можете установить разрешения для получателя только просматривать документ, просматривать (редактировать) его, быть соавтором (с разрешением на копирование и печать документа) или быть совладельцем ( со всеми разрешениями). Вы можете выбрать, установив флажок, разрешать ли потребление на всех устройствах, а также можете потребовать, чтобы пользователь входил в систему каждый раз, когда файл открывается. Наконец, вы можете установить дату истечения срока действия контента.
Когда вы закончите настройку разрешений, нажмите кнопку «Отправить», и сообщение электронной почты будет автоматически создано с вложенным защищенным документом. Сообщение содержит ссылки для загрузки приложения RMS и для регистрации в RMS. Получатель дважды щелкает вложенный файл, и он открывается в соответствующем приложении. Для файлов Word, Excel и PowerPoint это означает эти приложения. Для текстовых файлов и файлов изображений это означает приложение Microsoft RMS.
Microsoft обращается к защищенным файлам, добавляя букву P в начало типа файла. Например, защищенный файл.jpg называется PJPG. Файлы, не связанные с собственными приложениями RMS и приложением RMS (например, файл PhotoShop или CorelDraw), по-прежнему могут быть защищены, но вы не можете назначать дополнительные ограничения на использование. Однако вы можете установить контроль доступа, ограничить срок действия контента и потребовать авторизацию. Файл этого типа идентифицируется как PFILE. Таким образом, файл PhotoShop будет называться Filename.PSD.PFILE.
Защищенную электронную почту можно создавать и просматривать с помощью Outlook 2013 с Exchange 2013, которые предназначены для работы с Azure RMS. Это относится как к Exchange Online (часть Office 365), так и к локальным серверам Exchange (через соединитель RMS). Включение RMS в Office 365 — простой процесс; в основном это просто вопрос установки флажка на портале администратора.
Использование коннектора немного сложнее. Соединитель управления правами эмулирует сервер AD RMS и ретранслирует запросы в службу Azure RMS. Соединитель RMS можно установить на виртуальные машины, а для обеспечения высокой доступности вам потребуются два сервера или виртуальные машины. Лицензии службы RMS должны быть приобретены пользователями для создания защищенного содержимого, но вы можете включить Azure Active Directory и DirSync для получения защищенных файлов извне сети, даже если у вас нет лицензий RMS.
Другой вариант — регистрация пользователей в службе Azure RMS для частных лиц. Это создает специальную учетную запись для конкретной организации. Вы сможете преобразовать специальных пользователей в лицензированных пользователей, чтобы ими могли управлять ИТ-специалисты, в общедоступной версии Azure RMS.
Мобильные приложения
Microsoft предоставит мобильные приложения для доступа к содержимому, защищенному с помощью RMS, через мобильные устройства на различных платформах. Они будут доступны в соответствующих магазинах приложений для мобильных операционных систем. В настоящее время вы можете просматривать сообщения электронной почты, защищенные с помощью RMS, и отвечать на них на устройствах, поддерживающих Exchange Active Sync (EAS). Это включает в себя телефоны Windows и Android.
Мобильное приложение RMS позволяет обмениваться файлами, защищенными с помощью RMS, по электронной почте, через SkyDrive, DropBox, FTP и т. д. Когда разработчики создают приложения с поддержкой RMS, они могут включать встроенные возможности обмена.
Резюме
Azure RMS переносит управление правами в облако — общедоступное или частное — и расширяет область и возможности средств защиты Microsoft RMS. Для получения более подробной информации о том, как развернуть Azure RMS, см. технический документ под названием который можно загрузить с веб-сайта блога группы TechNet AD RMS.