Настройка пользовательских шаблонов RMS в Microsoft Azure и Exchange Online
В прошлом для сервера управления правами (теперь известного как Active Directory RMS, а ранее — Windows RMS) требовалась локальная серверная инфраструктура, но с появлением облака все стало намного проще. У некоторых клиентов вся среда находится в Microsoft Office365, и это еще больше упрощает работу.
Для тех клиентов, у которых есть гибридная среда, в которой некоторые почтовые ящики могут находиться в Exchange On-Premises, а некоторые почтовые ящики в Office 365, мы можем воспользоваться решением под названием RMS Connector и Azure RMS для управления безопасностью информации.
Служба Azure RMS шифрует на уровне приложения и делает ее доступной для чтения только авторизованным пользователям и службам, информация не хранится в Azure ни в какой форме. Пользователь может делиться зашифрованными файлами с определенными уровнями доступа на любых носителях, а документ будет безопасным и доступным только для нужных людей.
Когда служба Azure RMS включена в Azure, создается ключ, который будет использоваться для шифрования документов. При первом входе пользователя в систему ему назначается ключ, и этот ключ хранится в Azure, когда пользователь перемещается, используется тот же ключ.
Когда пользователь шифрует файл, используя шаблон или определенные права, генерируется случайный ключ, который шифрует тело документа, затем создается сертификат, который включает политику (уровень разрешений пользователей/групп и срок действия), затем ключ организации используется для шифрования политики и случайного ключа, политика также подписывается сертификатом пользователя.
Решение Azure RMS работает с Windows Server, локальными Exchange/SharePoint, мобильной платформой и Office365. Схема решения показана на изображении ниже.
Источник: документация Microsoft Azure RMS.
Создание пользовательского шаблона…
Теперь, когда мы кратко представили Azure RMS, мы можем показать шаги, необходимые для создания нового шаблона. Все шаблоны RMS выполняются через классический портал Azure, щелкните Active Directory, а затем перейдите на вкладку «Управление правами». Для этой статьи служба уже была включена, как показано на изображении ниже.
По умолчанию Azure RMS поставляется с двумя (2) шаблонами: Конфиденциально и Конфиденциально только для просмотра. Мы можем создать шаблон с нуля или скопировать из существующего шаблона и просто изменить некоторые права, чтобы создать совершенно новый шаблон, мы выберем Конфиденциально и нажмем кнопку Копировать, расположенную на нижней панели.
На новой странице . Мы можем определить язык, имя и описание, для простоты мы создадим шаблон, который позволяет только отвечать, и после заполнения информации мы нажмем «ОК».
После создания шаблона будет показано новое представление созданного шаблона, мы можем определить для него права, область действия и дополнительную настройку.
Нажмите «Права», а затем дважды щелкните запись в списке, эта запись взята из исходного шаблона, который мы скопировали.
На новой странице оставьте значения по умолчанию (Пользовательские) и нажмите «Далее».
На странице . Мы можем выбрать пользовательские права для этого шаблона, мы выберем только два права: Просмотр содержимого и Ответ. Нажмите ОК.
После создания шаблона нам нужно опубликовать его, вернуться на исходную страницу, где перечислены все шаблоны, выбрать новый шаблон и нажать «Опубликовать». Небольшое диалоговое окно появится на нижней странице, нажмите «Да» для подтверждения.
Обновление шаблонов в Office 365…
Обновление в Exchange Online не выполняется автоматически, и для обновления существующих опубликованных шаблонов требуется ручной шаг.
Первым шагом является подключение к службе с помощью PowerShell. Можно использовать следующие командлеты:
$cred = Get-Credentials $session = New-PSSession –ConfigurationName Microsoft.Exchange –ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred –Authentication Basic –AllowRedirection Import-PSSession $session
Чтобы получить список доверенных доменов публикации RMS, мы можем использовать командлет Get-RMSTrustedPublishingDomain.
Следующим шагом является использование Import-RMSTrustedPublishingDomain для обновления шаблонов, полный командлет указан ниже.
Чтобы проверить, все ли прошло нормально, мы всегда можем запустить следующий командлет.
Процесс проверки прост: просто отредактируйте или создайте новое правило транспорта в Exchange Online, а затем примените действие …, а затем выберите и в новом диалоговом окне выберите доступные шаблоны.. В этом списке уже должен быть указан новый шаблон, который мы только что создали.
Это шаги, необходимые для создания нового шаблона RMS и проверки возможности его использования в Exchange Online. Если у вас есть приложение RMS Sharing, Office 2013 или 2016, время обновления по умолчанию составляет 7 дней.
Если требуется немедленное обновление, то значение LastUpdateTime должно быть пустым, и его можно найти по адресу
HKEY_CURRENT_USERSoftwareClassesLocal SettingsSoftwareMicrosoftMSIPC<RMS-FQDN>Template.