Azure 权限管理是什么?
Azure Rights Management (Azure RMS) 是 Azure 信息保护使用的基于云的保护技术。
Azure RMS 通过使用加密、标识和授权策略来帮助跨多个设备(包括手机、平板电脑和 PC)保护文件和电子邮件。
例如,当员工将文档通过电子邮件发送给合作伙伴公司,或者将文档保存到云驱动器时,Azure RMS 的永久性保护有助于保护数据。
保护设置会始终作用于你的数据,即使数据越过组织的边界,这些设置也会使你的内容在组织内外都受到保护。
Azure RMS 可能是实现合规性、法律发现要求或信息管理最佳做法所需执行的合法措施。
将 Azure RMS 用于 Microsoft 365 订阅或 Azure 信息保护订阅。 有关详细信息,请参阅 Microsoft 365 安全性与合规性许可指南页。
Azure RMS 确保经过授权的人员和服务(例如搜索和索引)可以继续读取和检查受保护的数据。
确保维护经过授权的人员和服务的持续访问权限,这也称为“数据推理”,是保持对组织数据进行控制的关键因素。 无法通过其他使用对等加密的信息保护解决方案轻松实现此功能。
保护功能
| 功能 | 说明 |
|---|---|
| 保护多个文件类型 | 在 Rights Management 的早期实现中,只有 Office 文件才能使用内置 Rights Management 保护功能获得保护。 Azure 信息保护为其他文件类型提供支持。 有关详细信息,请参阅支持的文件类型。 |
| 随时随地保护文件 | 文件一旦受保护,便会始终受到保护,即使它被保存或复制到不受 IT 部门控制的存储(如云存储服务),也是如此。 |
协作功能
| 功能 | 说明 |
|---|---|
| 安全共享信息 | 可以与他人安全共享受保护的文件,例如电子邮件的附件或指向 SharePoint 站点的链接。 如果电子邮件中有敏感信息,则请保护该电子邮件,或使用 Outlook 中的“不要转发”选项。 |
| 支持企业与企业之间的协作 | 由于 Azure Rights Management 是云服务,因此在与其他组织共享受保护内容前,不需要显式配置与这些组织的信任关系。 自动支持与已有 Microsoft 365 或 Microsoft Entra 目录的其他组织协作。 对于没有 Microsoft 365 或 Microsoft Entra 目录的组织,用户可以注册免费的个人 RMS 订阅,也可以将 Microsoft 帐户用于支持的应用程序。 |
提示
附加受保护的文件,而不是保护整个电子邮件,使你能够将电子邮件文本保持未加密状态。
例如,如果要将电子邮件发送到组织外部,可能需要包含首次使用说明。 如果你附加受保护的文件,任何人都可以读取基本说明,但只有授权用户才能打开文档,即使将该电子邮件或文档转发给其他用户也是如此。
平台支持功能
Azure RMS 支持广泛的平台和应用程序,包括:
| 功能 | 说明 |
|---|---|
| 常用设备 不仅仅是 Windows 计算机 |
客户端设备包括:- Windows 和手机 - Mac 计算机 - iOS 平板电脑和手机 - Android 平板电脑和手机 |
| 本地服务 | 除了与 Office 365 无缝协作外,还请在部署 RMS 连接器时将 Azure Rights Management 与以下本地服务配合使用: - Exchange Server - SharePoint Server - 运行文件分类基础结构的 Windows Server |
| 应用程序扩展性 | Azure Rights Management 可与 Microsoft Office 应用程序和服务紧密集成,并使用 Azure 信息保护客户端扩展对其他应用程序的支持。 为内部开发人员和软件供应商提供 API,用于编写支持 Azure 信息保护的自定义应用程序。 有关详细信息,请参阅 。 |
基础结构功能
Azure RMS 提供了以下功能来支持 IT 部门和基础结构组织:
注意
组织始终可以选择停止使用 Azure Rights Management 服务,而不会失去对以前受 Azure Rights Management 保护的内容的访问权限。
有关详细信息,请参阅解除 Azure Rights Management 授权和停用 Azure Rights Management。
创建简单灵活的策略
自定义保护模板提供了一款便捷的解决方案。通过该解决方案,管理员可以应用策略,用户可以对每个文档应用适当级别的保护,并将访问权限限制给组织内部人员。
例如,为了与所有员工共享公司范围内的策略文档,可对所有内部员工应用只读策略。 对于更敏感的文档,如财务报表,可将访问权限仅限制为高级管理人员。
在 Microsoft Purview 合规门户配置标记策略。 有关详细信息,请参阅 Microsoft 365 敏感度标记文档。
轻松激活
对于新订阅,激活是自动进行的。 对于现有订阅,只需在管理门户中单击几下鼠标,或单击两条 PowerShell 命令即可激活 Rights Management 服务。
审核和监视服务
审核和监视受保护文件的使用情况,即使这些文件已经越过了组织的边界也是如此。
例如,如果 Contoso, Ltd 的员工与来自 Fabrikam, Inc 的三个人在合作一个项目,他们可能会向 Fabrikam 合作伙伴发送一份受保护且限制为只读的文档。
Azure RMS 审核功能可以提供以下信息:
Fabrikam 合作伙伴是否打开了该文档,以及何时打开了。
其他未指定的人员是否尝试打开文档并且失败。 如果电子邮件转发或保存到共享位置,则可能会发生这种情况。
AIP 管理员可以跟踪文档使用情况,并撤消对 Office 文件的访问权限。 用户可以根据需要撤消对其受保护文档的访问权限。
能够在整个组织内扩展
由于 Azure Rights Management 可作为云服务运行并借助 Azure 灵活地向上和向外扩展,因此,不需要设置或部署其他本地服务器。
保持对数据的 IT 控制
组织可通过 IT 控制功能受益,例如:
| 功能 | 说明 |
|---|---|
| 租户密钥管理 | 使用租户密钥管理解决方案,如创建自己的密钥 (BYOK) 或双重密钥加密 (DKE)。 有关详细信息,请参阅: - 规划和实现 AIP 租户密钥 - - 。 |
| 审核和使用情况日志记录 | 使用审核和使用情况日志记录功能进行分析以获得业务见解,通过监视信息来了解滥用情况,并针对信息泄露执行取证分析。 |
| 访问委托 | 使用超级用户功能委托访问,确保 IT 部门始终可以访问受保护的内容,即使文档是由后来从组织离职的员工实施保护的也是如此。 相比之下,使用对等加密解决方案会面临丧失公司数据访问权限的风险。 |
| Active Directory 同步 | 使用混合标识解决方案(如 Microsoft Entra Connect)同步仅 Azure RMS 需要的目录属性,支持本地 Active Directory 帐户的通用标识。 |
| 单一登录 | 使用 AD FS 来启用单一登录,而无需将密码复制到云中。 |
安全、合规性和法规要求
Azure Rights Management 支持以下安全性、合规性和法规要求:
使用符合业界标准的加密功能,并支持 FIPS 140-2。 有关详细信息,请参阅 Azure RMS 使用的加密控制:算法和密钥长度 信息。
支持 nCipher nShield 硬件安全模块 (HSM) 将租户密钥存储在 Azure 数据中心内。
Azure 权限管理对北美、EMEA(欧洲、中东和非洲)和亚洲的数据中心使用单独的安全体系,因此,你的密钥只能在你所在的地区使用。
以下标准的认证:
- ISO/IEC 27001:2013(./包括 ISO/IEC 27018)
- SOC 2 SSAE 16/ISAE 3402 证明
- HIPAA BAA
- 欧盟示范条款
- FedRAMP 作为 Office 365 认证中 Microsoft Entra ID 的一部分,获得了 HHS 颁发的 FedRAMP 机构运营授权
- PCI DSS 1 级
有关这些外部认证的详细信息,请参阅 Azure 信任中心。
后续步骤
有关更多 Azure 权限管理服务工作原理的技术信息,请参阅 Azure RMS 的工作原理
如果你熟悉本地版的权限管理和 Active Directory Rights Management 服务 (AD RMS),则可能会对 比较 Azure Rights Management 和 AD RMS 中的比较表感兴趣。