Знакомство с Enterprise Mobility Suite (часть 5)

Опубликовано: 7 Марта, 2023
Знакомство с Enterprise Mobility Suite (часть 5)

  • Знакомство с Enterprise Mobility Suite (часть 2)

Введение

В первой части этой серии мы говорили о том, как EMS — новое решение Microsoft для управления мобильными устройствами — предлагает организациям более мобильный, ориентированный на облачные технологии способ ведения бизнеса. Мы обсудили компоненты EMS: Microsoft Active Directory Premium, Microsoft Intune и Управление правами Microsoft Azure, а также представили обзор того, что каждый из них представляет собой, делает и как он вписывается в решение. В этой части 2 мы обсудили некоторые особенности развертывания Azure AD и InTune в вашей организации. В части 3 мы продолжили эту серию, начав с обзора того, как развернуть и управлять моей любимой частью EMS: службой управления правами Azure, и начали углубляться в детали развертывания в части 4.

Изначально я намеревался закончить серию четвертой частью, но для более полного освещения процесса развертывания мы продолжим это обсуждение и завершим его в пятой части.

Настройка приложений

Существуют и другие приложения, в которых разрешено управление правами, но большинство пользователей будут использовать Azure RMS с Office — либо локальные клиентские программы Office 2010, 2013 и 2016, либо, в большей степени, Office 365. Поэтому мы сосредоточимся на настройке Azure. RMS для этих приложений и служб.

Если вы используете Office 2013 или 2016 локально с подпиской на Office 365, хорошей новостью является то, что Azure RMS изначально поддерживается обеими этими версиями Office. Это означает, что вам не нужно делать ничего особенного, чтобы иметь возможность использовать управление правами с приложениями. К приложениям с включенными правами относятся Word, Excel, PowerPoint и Outlook. Outlook Web App (OWA) также поддерживается, если вы используете Интернет для управления электронной почтой и календарем.

В этом случае вам не нужно ничего устанавливать или настраивать для защиты документов Office. Однако вы можете установить приложение для обмена RMS, о котором мы упоминали в части 4 и о котором мы поговорим чуть позже.

Установка и использование приложения для совместного использования Rights Management

Как мы упоминали выше, приложение для совместного использования RMS необходимо для использования Azure RMS с Office 2010, а также оно необходимо тем, чьи организации не имеют подписки Azure RMS, если они хотят просматривать защищенный контент, отправленный теми, у кого они есть. Но как это работает?

Существуют версии приложения для обмена данными для Windows, Windows Phone, Mac OS X, iOS и Android. Однако некоторые устройства не поддерживают все функции, которые есть у других.

В настольной версии приложения для обмена добавлены новые кнопки на ленту Office в Word, PowerPoint и Excel, которые упрощают обмен защищенными файлами. Он также добавляет функциональные возможности проводнику файлов, благодаря чему вы можете защитить несколько выбранных файлов или все файлы в выбранной папке, щелкнув правой кнопкой мыши.

Вы можете автоматически развернуть приложение для общего доступа RMS на компьютеры Windows в вашей организации или загрузить и установить программу на один компьютер. Версия приложения для Windows поддерживает установку по сценарию. Существует две версии: одна для 32-битной и одна для 64-битной операционных систем Windows. Развертывание будет отличаться в зависимости от того, используете ли вы Office 2010 или Office 2013/2016. В последнем случае все очень просто: после загрузки и извлечения приложения вы просто запускаете команду setup.exe /s с повышенными привилегиями. С Office 2010 все немного сложнее.

После установки приложения вам нужно будет убедиться, что оно установлено успешно, что опять же делается немного по-разному в зависимости от используемой вами версии Office.

Со стороны пользователя приложение для обмена RMS можно использовать для отправки защищенной электронной почты или документов тому, кто работает в той же или другой организации, чтобы узнать, кто открывал ваши защищенные документы (и отозвать доступ, если хотите), и прочитать защищенные документы. содержимое, к которому вам предоставили доступ, если ваша организация не использует управление правами. Вы можете:

  • Защита файлов «на месте» на устройстве, которая заменяет исходный незащищенный файл защищенным.
  • Защитите файлы, которыми вы делитесь по электронной почте, и RMS отправит вам уведомление по электронной почте при открытии отправленных файлов (или при неудачной попытке открытия).
  • Используйте сайт отслеживания документации для отслеживания ваших общих файлов.
  • Отзовите свои файлы (и при необходимости уведомите людей об отзыве доступа) через Outlook, веб-браузер или проводник.
  • Просматривайте и используйте защищенные файлы, которые вам разрешено просматривать/использовать.
  • Снимите защиту с файла, который вы ранее защитили с помощью приложения для обмена RMS.

Обратите внимание, что в дополнение к использованию встроенной защиты, встроенной в Office, вы также можете защищать другие типы файлов, однако файлы с универсальной защитой (которые можно определить по расширению.pfile) не дают вам почти такого же контроля. над содержимым после того, как вы поделитесь им. Проблема заключается в том, что хотя только авторизованные вами люди могут получить доступ к отправляемому вами файлу с общей защитой, получатель может открыть его и переслать другим, не авторизованным вами, что несколько сводит на нет большую часть ценности RMS. Получатель получает сообщение с просьбой соблюдать разрешения, но они могут игнорировать это, если хотят. Еще одна проблема универсальной защиты заключается в том, что вы не можете устанавливать разрешения детально, например ограничивать копирование и печать. Это все или ничего.

Благодаря встроенной защите файлов Office любые установленные вами ограничения остаются в содержимом, даже когда получатель пересылает его, и вы можете ограничить разрешения, чтобы получатель мог просматривать файл, но не мог его печатать, копировать или изменять.

Настройка прав использования

Пользователи должны настроить права на использование защищенных файлов, если они не используют шаблон политики. При создании настраиваемых шаблонов вы настраиваете для них права использования, которые будут применяться при использовании шаблона для защиты содержимого.

Различные права использования, которые вы можете назначить, включают следующее:

  • Редактировать
  • Сохранять
  • Экспорт (Сохранить как)
  • Вперед
  • Распечатать
  • Отвечать
  • Повторить все
  • Просмотр содержимого
  • Скопируйте и извлеките содержимое
  • Просмотр назначенных прав
  • Изменить права
  • Разрешить макросы
  • Полный контроль

Важно понимать разницу между правами и уровнями разрешений. Чтобы упростить назначение определенного набора прав пользователю, вы можете добавить этого пользователя в группу уровня разрешений. Уровни включают в себя:

  • Зритель: как следует из названия, этот человек может просматривать, открывать и читать контент. Что может быть менее очевидным, так это то, что он/она может отвечать и отвечать всем.
  • Рецензент: этот человек может выполнять задачи, которые обычно связаны с рецензированием контента, включая права зрителя, а также возможность сохранять, редактировать и пересылать контент.
  • Соавтор: этот человек имеет права рецензента, а также может копировать и печатать содержимое, просматривать и сохранять или экспортировать содержимое, а также просматривать и изменять права на содержимое.
  • Совладелец: это лицо имеет все вышеперечисленные права плюс право на полный контроль; другими словами, те же права, что и у владельца, защитившего контент.

Вывод из эксплуатации и деактивация Azure RMS

Если ваша организация больше не нуждается или не хочет использовать Azure RMS для защиты контента, вы можете списать и деактивировать службу. Хорошей новостью является то, что вы не потеряете доступ к содержимому, которое вы ранее защитили с помощью Azure RMS. Однако, чтобы сохранить доступ к содержимому, необходимо сделать копию ключа клиента Azure RMS истечения срока действия подписки Azure RMS. Это означает, что если вы не выбрали BYOK, вам потребуется экспортировать ключ клиента, которым управляет Microsoft.

Примечание:
Вы не можете экспортировать ключ клиента Azure RMS после истечения срока действия подписки.

Процедура, которую необходимо использовать для вывода из эксплуатации Azure RMS, зависит от того, планируете ли вы перейти с Azure RMS на локальный сервер RMS или вообще не собираетесь больше использовать RMS. В первом случае вам потребуется развернуть локальное решение и направить существующих пользователей на локальный сервер управления правами с помощью командлета PowerShell Set-AadrmMigrationUrl. Если вы собираетесь прекратить использование какой-либо формы RMS, вместо этого вам нужно предоставить администратору права суперпользователя. Затем вы даете этому суперпользователю средство защиты RMS, которое можно использовать для расшифровки всех файлов, которые были защищены оптом. После того, как они будут расшифрованы, вы сможете читать их без RMS. Обратите внимание, что вы можете расшифровать файлы до деактивации RMS или после нее.

Фактическую деактивацию можно выполнить либо из центра администрирования Office 365, либо через портал Azure, почти так же, как вы активировали RMS (о котором мы говорили в части 4 этой серии).

Резюме

Это завершает серию из пяти частей в которой мы представили обзор основных компонентов: Microsoft Azure Active Directory Premium, Microsoft Intune и службы управления правами Microsoft Azure (RMS). Я надеюсь, что это помогло вам познакомиться с отдельными службами, входящими в пакет, и предоставило информацию, которая будет вам полезна при оценке того, подходит ли EMS для вашей организации.

подпишитесь на информационный бюллетень WindowsNetworking.com, посвященный обновлению статей в режиме реального времени

  • Знакомство с Enterprise Mobility Suite (часть 2)
  • Знакомство с Enterprise Mobility Suite (часть 4)