Знакомство с Enterprise Mobility Suite (часть 3)

Опубликовано: 7 Марта, 2023
Знакомство с Enterprise Mobility Suite (часть 3)

  • Знакомство с Enterprise Mobility Suite (часть 2)
  • Знакомство с Enterprise Mobility Suite (часть 5)

Введение

В первой части этой серии мы говорили о том, как EMS — новое решение Microsoft для управления мобильными устройствами — предлагает организациям более мобильный, ориентированный на облачные технологии способ ведения бизнеса. Мы обсудили компоненты EMS: Microsoft Active Directory Premium, Microsoft Intune и Управление правами Microsoft Azure, а также представили обзор того, что каждый из них представляет собой, делает и как он вписывается в решение. Во второй части мы обсудили некоторые особенности развертывания Azure AD и InTune в вашей организации.

В этой части 3 мы продолжим эту серию, начав с обзора того, как развернуть и управлять моей любимой частью EMS: службой управления правами Azure, и завершим эту тему — и серию — в части 4.

Эволюция служб управления правами Microsoft

Два года назад я написал серию статей для нашего дочернего издания Windowsecurity.com под названием В этих статьях подробно рассказывается о службе управления правами с момента ее появления в 2005 году в качестве дополнительного компонента для Windows Server 2003, ее преобразования в Active Directory RMS в Server 2012, а затем перехода в облако в виде Azure RMS в 2013 году.

Короче говоря, RMS зародилась как отличная идея, которую было трудно реализовать. Большим препятствием было требование установить и настроить сервер управления правами в вашей сети, что потребовало развертывания IIS, так как RMS работала поверх него. В Windows Server 2008 все стало немного проще, когда служба управления правами была добавлена в качестве роли сервера, но у вас по-прежнему оставался ряд других служб, от которых она зависела, которые нужно было установить и настроить. Некоторый прогресс был достигнут в Server 2012 с поддержкой большего количества версий SQL Server и поддержкой AD RMS в установках ядра сервера. Тем не менее, развертывание RMS оставалось сложной задачей, которая отпугивала многих администраторов даже от выполнения этой задачи.

Во второй части серии я рассказал о (на тот момент) функциях Azure RMS и о том, как они могут выйти за рамки возможностей AD RMS на Windows Server, уделив особое внимание обеспечению работы управления правами в мобильном мире. Одним из преимуществ облачных вычислений, конечно же, является то, что они упрощают такие вещи. Вместо развертывания сервисов на серверах в собственном центре обработки данных вы подписываетесь и используете те сервисы, которые уже установлены, правильно настроены и работают в центре обработки данных облачного провайдера. Существует еще множество зависимостей, которые вы должны учитывать при развертывании Azure RMS, но разница в том, что поставщик облачных услуг делает большую часть тяжелой работы за вас.

Планирование развертывания Azure RMS

Первым и наиболее очевидным требованием для развертывания и использования Azure RMS является подписка Azure, но не любая подписка Azure включает и поддерживает RMS. Те, которые действительно включают (наибольший интерес для нас в этой серии) Enterprise Mobility Suite, а также Office 365, подписка Azure Rights Management Premium или подписка RMS для отдельных лиц.

Прежде чем вы будете в восторге от использования RMS с Office 365, важно знать, что он не включен в большинство планов O365. включен в подписки Enterprise E3 и E4, Education A3 и A4 и правительственные подписки G3 и G4. Другими словами, вам потребуется одна из самых дорогих версий Office 365 высшего уровня, чтобы получить вместе с ней Azure RMS ( извините, что лопнул пузырь).

Хорошая новость заключается в том, что если у вас нет подписки, включающей Azure RMS, вы можете подписаться на нее как на отдельную службу. Это называется Azure RMS Premium (ранее назывался Standalone), вы можете использовать его с версиями Office 365, которые не включают RMS. Он будет работать со всеми версиями O365, хотя в выпуске O365 Business Premium есть некоторые ограничения.

ПРИМЕЧАНИЕ:
 Доступна пробная подписка на эту службу, но важно знать, что если вы используете пробную версию и срок ее действия истечет, вы не сможете получить доступ к содержимому, защищенному RMS, до тех пор, пока вы не купите платную подписку Azure RMS или один из выпусков Office 365, который включает его, или подпишитесь на EMS. Также обратите внимание, что если, с другой стороны, у вас есть платная подписка, включающая RMS, и вы позже списываете ее с эксплуатации и деактивируете, вы по-прежнему сможете получить доступ к содержимому, которое вы защитили с помощью Azure RMS.

Наконец, для отдельных пользователей, в организациях которых нет AD RMS или Azure RMS и которые хотят иметь возможность защищать свой контент или получать доступ к контенту, защищенному с помощью RMS, существует подписка на RMS для физических лиц. Это хорошее решение для сотрудников других организаций, с которыми вы хотите поделиться своим защищенным содержимым, если в их организациях нет учетных записей Azure AD. AD RMS для отдельных пользователей создает неуправляемый клиент Azure и каталог для организации, содержащий учетную запись для отдельного пользователя.

Это бесплатная услуга, поэтому вы можете задаться вопросом, почему каждый просто не получает индивидуальную подписку вместо того, чтобы компания платила за подписку. Ответ заключается в том, что RMS для частных лиц предназначен для контента с защитой RMS. Несмотря на то, что вы также защитить контент с его помощью, эта функция предназначена только для пробного использования. В Условиях обслуживания для этой бесплатной подписки четко указано, что Microsoft может ограничить количество пользователей в организации, которые используют бесплатную службу для создания защищенного содержимого и обмена им. Вы можете просмотреть Условия использования здесь.

В дополнение к подписке, включающей службу RMS, для ее развертывания в вашей организации вам потребуется следующее:

  • Azure Active Directory. Это средство, с помощью которого пользователи аутентифицируются для целей RMS, поэтому вам потребуется подписка Azure с Azure AD. Вы можете настроить интеграцию с каталогом, если хотите использовать учетные записи пользователей локальных служб Active Directory.
  • Многофакторная аутентификация. MFA поддерживается RMS, но не является обязательным. Для MFA требуется Office 2013 или более поздней версии, приложение для совместного использования Rights Management для Windows или приложение для вашего мобильного устройства. MFA настраивается на портале Azure на странице Active Directory.
  • Поддержка клиентских ОС. Клиентские устройства, которые будут использоваться для создания, совместного использования и доступа к содержимому, защищенному с помощью RMS, должны работать под управлением операционных систем, поддерживающих RMS. Это означает Windows 7, 8, 8.1 или 10, Windows 8 или 8.1 RT, Windows Phone 8.1, Mac OS X 10.8 или более поздней версии, Android 4.0.3 или более поздней версии, iPhone/iPad с iOS 7.0 или более поздней версии. Некоторые операционные системы могут поддерживать больше функций и возможностей RMS, чем другие, а для некоторых требуется расширение AD RMS для мобильных устройств.
  • Поддержка приложения. Содержимое, защищенное с помощью RMS, можно создавать, совместно использовать и использовать только с приложениями, поддерживающими Azure RMS. Сюда входят Microsoft Office Pro 2010, 2013 и 2016, выпуски Office 365, включающие Azure RMS, приложение для совместного использования прав на управление правами для Windows, Mac, Windows Phone, iOS и Android. Вы можете скачать приложение для обмена RMS здесь. RMS также поддерживается бизнес-приложениями, написанными собственными силами, или поставщиками программного обеспечения, использующими RMS SDK. Обратите внимание, что Office для Mac 2011 поддерживается Azure RMS на момент написания этой статьи.
  • Инфраструктура. Ваша сетевая инфраструктура и брандмауэры должны быть правильно настроены, чтобы разрешить подключение к определенным URL-адресам, IP-адресам и диапазонам, которые используются Azure RMS. Вы можете найти их здесь.
  • Локальные серверы. Вы можете использовать Azure RMS с локальным файловым сервером Exchange 2010 или 2013, SharePoint 2010 или 2013 или Windows Server 2012/2012 R2 с инфраструктурой классификации файлов (FCI) для защиты файлов Office. Гибридные развертывания Exchange, в которых одни пользователи используют Exchange Online, а другие имеют учетные записи на локальном сервере Exchange, поддерживаются Azure RMS с использованием соединителя RMS для сервера Exchange.

Что делать, если у вас есть локальная служба AD RMS, и вы хотите запустить ее вместе с Azure RMS? Microsoft говорит, что нет — или, скорее, они не поддерживают этот тип развертывания, кроме как во время миграции. Вы можете перейти с AD RMS на Azure RMS или продолжить использовать AD RMS, списать и деактивировать Azure RMS. Существует также «обратный» путь миграции с Azure RMS на AD RMS, поэтому у вас есть несколько вариантов. Подробнее о наиболее распространенном сценарии перехода с AD RMS на Azure RMS можно узнать здесь.

Резюме

В этой части 3 нашей серии статей о EMS мы рассмотрели требования и соображения, которые необходимо учитывать при планировании развертывания компонента службы управления правами Azure (RMS) EMS. В следующий раз, в части 4, мы завершим эту серию более глубоким погружением в практическое руководство по этому предмету.

  • Знакомство с Enterprise Mobility Suite (часть 5)
Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023