Microsoft Rights Management (julho de 2013)

Microsoft Rights Management   - A ofertaPor Dan Plastina

Organizações compartilham informações. O Rights Management Services Microsoft (RMS) oferece ajuda às organizações a manter suas informações seguras, tanto dentro como fora da organização, protegendo os documentos estáticos e dinâmicos. Proteção de informações é fundamental e, neste momento, a Microsoft está redobrando seus investimentos no RMS. Este documento descreve o nosso mais novo conjunto de recursos, com uma forte ênfase nas entregas de pré-visualização (preview) de Julho. Os links a seguir complementam este documento com mais informações:

http://channel9.msdn.com/Events/TechEd/Europe/2013/WCA-B322 e WCA-B321 http://microsoft.com/rms http://blogs.technet.com/b/rms

Microsoft RMS permite o fluxo de dados protegidos em todos os dispositivos importantes, de todos os tipos de arquivos importantes, e permite que esses arquivos sejam utilizados por todas as pessoas importantes no círculo de colaboração do usuário. Sim, RMS agora vai proteger qualquer tipo de arquivo (e não apenas documentos do Microsoft Office), permitem a você acessá-los em muitos dispositivos (não apenas PCs com Windows) e habilita o compartilhamento com outras organizações (e não apenas dentro de sua organização). Além disso, profissionais de TI podem realizar implementações simples e planejadas de RMS ou, se não for implantado pelo ITPro, os trabalhadores de informação (IWs) pode adotar RMS por conta própria (também chamado de "RMS para indivíduos ') de forma gratuita.

A Suite Microsoft Rights Management (RMS) é implementada como um serviço do Windows Azure. Para resumir, vamos referenciá-lo como Azure RMS de modo a não ser confundido com o servidor AD Rights Management Services do Windows (também conhecido como ADRMS). É composto por um conjunto de aplicações RMS que trabalham em todos os seus dispositivos comuns, um conjunto de kits de desenvolvimento de software e ferramentas relacionadas. Ao alavancar Windows Azure Active Directory, o serviço Azure RMS atua como um hub de confiança para colaboração segura, onde uma organização pode facilmente compartilhar informações de forma segura com outras organizações sem instalação ou configuração adicional. A outra organização pode ser um cliente Azure RMS, mas se não for, eles podem usar um livre Azure 'RMS para indivíduos".

Esta oferta é na pré-visualização (preview) de 29 de julho, seguido pela disponibilidade geral em outubro. Siga nosso blog em http://blogs.technet.com/b/rms para mais detalhes. Visite também o site atualizado http://www.microsoft.com/rms.

O elefante na sala Não há como escapar da notícia recente. Se você ainda não viu o blog do Microsoft sobre este assunto , por favor, tome um momento para lê-lo agora. Nesta seção, nós vamos pedir que você considere este

complexo problema em camadas e não idiomática, para não "deixar ninguém de fora ". Especificamente, a capacidade de proteger e de limitar o acesso a arquivos sensíveis a partir de:

A. A ampla base de seus próprios funcionários internos B. Um conjunto de organizações com quem você escolhe para colaborar C. Vários riscos de exposição a que você está sujeito quando armazenados na nuvem. Cada uma dessas capacidades coloca desafios diferentes e é mais clara do que nunca de que nenhuma solução pode resolver todos os aspectos possíveis de proteção de dados em todas as situações possíveis. Felizmente agora, você pode resolver alguns dos seus desafios de proteção de dados.

Vamos começar com alguns fatos sobre o serviço de Gestão de Direitos Azure (RMS) hospedada da Microsoft:

Azure RMS está no centro da suite Rights Management e conta com os serviços do Windows Azure. Um documento é protegido por RMS sem que o documento esteja sendo enviado para o serviço Azure. Ver ou compartilhar documentos são protegidos mesmo sem que os próprios documentos sejam enviados para o serviço Azure. Compartilhar um arquivo ocorre sem que o documento que está sendo retransmitido seja enviado ao serviço Azure RMS.

Compartilhando entre todas as afirmações acima: O serviço RMS Azure nunca vê seus dados. Este é um equívoco comum sobre a tecnologia RMS, e queremos definir isso corretamente: Conteúdo do cliente real nunca é acessível aos serviços de proteção de dados RMS, nem a ninguém pode fazer algo em seu nome.

Vamos mergulhar mais profundamente com um diagrama do ficcional da empresa Contoso, que tem compartilhamento de dados. É uma empresa muito flexível que compartilha os dados através dos quatro modelos de armazenamento de dados modernos:

1. O documento é mantido nas premissas. Uma presunção aqui é que a empresa tem total controle sobre o seu perímetro de segurança, algo que pode não ser sempre verdade. Esta ressalva de lado, o documento é geralmente considerado como sendo o mais privado (nota: nós não estamos dizendo 'mais seguro'). 2. O documento é compartilhado com uma segunda organização chamada Fabrikam, uma empresa fictícia. O documento é compartilhada com privacidade por meio que ambas as partes consideram ser um meio seguro (por exemplo, e-mail, armazenamento USB). 3. O documento reside em qualquer provedor de nuvem com o Aplicativo de SaaS. De lá, ele é compartilhado com outras pessoas. 4. O documento reside no armazenamento de qualquer provedor de nuvem. A partir daí, é compartilhado com outras pessoas.

Em todos esses quatro casos (1/2/3/4 acima), o departamento de TI da Contoso, não a Microsoft, foi encarregado de fazer o local de armazenamento e opções de política de transportes de transferência (embora todos nós sabemos que os usuários costumam fazer suas próprias escolhas). Embora essas escolhas, localização e política têm exposição e consequências relacionadas, nenhum deles resulta no serviço RMS Azure ter acesso aos dados. Microsoft RMS é o transporte de arquivos e agnóstico a armazenamento de arquivos. Ela opera somente em arquivos quando são "ativados" (protegido, aberto / consumido).

Colocando juntos os cenários A/B/C acima, a oferta RMS é altamente hábil em lidar com a proteção para as necessidades do cenário A (proteção dentro da organização) e cenário B (proteção de uma comunicação privada entre organizações).

Para o cenário C (dados armazenados na nuvem, modelos de armazenamento de 3 e 4) as considerações são mais complexas, uma vez que os dados deixou o perímetro de confiança do Contoso e o perímetro da Fabrikam é parcialmente confiável, existe agora um novo intérprete que deve fornecer um perímetro de armazenamento confiável aos olhos do Diretor de Segurança. O frenesi da mídia sobre a proteção de dados transformou isso em uma declaração de desconfiança para a nuvem, mas os leitores experientes sabem muito bem que o problema é muito mais sutil do que esta visão estreita. Nós, a equipe do RMS, muitas vezes falamos com os clientes cujo perímetro próprio foi contestada pelos "visitantes indesejados". Neste contexto uma equipe de TI nos disse recentemente, "Você tem muito mais a perder (sua reputação, seus muitos clientes SaaS / IaaS), e para isso você deve saber do esforço que você deve investir em estabelecimento de segurança e confiança na nuvem ". Este time de TI estava correto, estamos investindo um esforço enorme.

Os componentes do Microsoft RMS são analisados de perto como eles desempenham um papel fundamental na estrutura de proteção segura de documentos em geral. Especificamente, eles permitem o seguinte:

A. O cliente SDKs protege os dados dentro do ambiente durante o tempo de execução. Este é normalmente para um PC (Windows ou Mac) ou um dispositivo móvel (Windows RT, Windows Phone, iOS ou Android). O dispositivo também pode ser um serviço de servidor do Windows (por exemplo, Exchange) ou oferta de um provedor de solução (por exemplo, prevenção de vazamento de dados). Estas durações usam o RMS SDK para interagir com o serviço Azure RMS.

B. O servidor RMS Azure, ao responder às solicitações do SDK do cliente, é responsável pela troca de chave de criptografia segura com o SDK, a fim de proteger os dados, sem que os dados irem para o serviço RMS Azure. C. Uma vez protegido, o serviço Azure RMS desempenha um papel-chave no consumo de documento: a. O usuário deve ser autenticado - pedidos de Azure RMS pede um token do provedor de identidade apropriada para autorização. Geralmente este é AD federado nas premissas ou Windows Azure AD, e vamos buscar logo oferecer suporte para a Conta Microsoft (também conhecido como LiveID) e Google IDs. b. O usuário deve ser autorizado - Azure RMS serve como um ponto de decisão política unificada e um ponto de aplicativo da política a seguir as políticas estabelecidas pela sua organização. Isso é feito com o processo de software RMS e a política de documento associado a um documento protegido e então decide se ao usuário user@Fabrikam.com deve ser concedida a permissão para visualizar o documento. c. Cada utilização deve ser registrada - Todas atividade do usuário, bem sucedidas ou não, é registrada no Azure RMS, permitindo que sua equipe de TI auditar o acesso. Estamos agora trabalhando com terceiros para apresentar melhores relatórios e / ou painéis desses logs. Esperamos que esta seção ofereça insights sobre as garantias que prestamos e o poder que você tem a fazer escolhas importantes. Vamos agora descrever RMS.

Promessas dos novos serviços Microsoft Service Rights Management

Usuários:

Eu posso proteger qualquer tipo de arquivo Posso consumir arquivos protegidos em dispositivos importantes para mim Eu posso compartilhar com qualquer umo Inicialmente, eu posso compartilhar com qualquer usuário da empresa o Posso eventualmente compartilhar com qualquer pessoa (por exemplo, conta MS, Google IDs em CY14) Posso me inscrever para uma capacidade RMS livre se minha empresa ainda tem de implantar RMS

ITPro:

Eu posso manter meus dados nas premissas, se eu ainda não quero ir para a nuvem Eu estou ciente de como os meus dados protegidos é tratado Eu posso controlar a minha “chave de RMS do tenant’ das premissas Eu posso contar com a Microsoft em colaboração com os parceiros para soluções completas Essas promessas se combinam para criar dois cenários muito poderosos:

1. Os usuários podem proteger qualquer tipo de arquivo. Em seguida, compartilhar o arquivo com alguém em sua organização, em outra organização, ou com usuários externos. Eles podem sentir-se confiante de que o destinatário será capaz de usá-lo. 2. Os profissionais de TI têm a flexibilidade na escolha do local de armazenamento para os seus dados e agentes de segurança têm a flexibilidade de manter políticas entre esses diferentes classes de armazenamento. Pode ser mantido em premissa, colocado em um negócio de armazenamento de dados em nuvem, como SharePoint, ou pode ser colocada praticamente em qualquer lugar e manter-se seguro (por exemplo, pen drive, unidade de nuvem pessoal).

As próximas seções descrevem as diversas capacidades e experiências.

Usuários e sua experiência da Proteção de Documentos As telas abaixo são de aplicativos disponibilizados para aqueles que são aceitos na pré-visualização (preview). Se você quiser começar a olhar para Azure RMS, por favor, utilize o pedido na pré-visualização .

Os documentos são agora muito bem apoiado por RMS. Há várias dimensões importantes:

Os usuários podem proteger qualquer tipo de documento. A API RMS usado pelo RMS ou aplicativos RMS-enlightened fará o seu melhor para proteger o arquivo no formato mais adequado. o Aplicações Nativas RMS enlightened: DOC, DOCX, XLS, XLSX, PPT, PPTX, PDF o O 'RMS App " sem custo, um aplicativo enlightened: TXT, XML, JPG, JPEG, TIFF, GIF, BMP o Arquivos protegidos genericamente estão "envolvidos" e lançado no aplicativo registrado. Por exemplo, um arquivo de Photoshop ™ se torna MyDrawing.PSD.PFILE. Esta proteção oferece controle de acesso sem restrições à utilização. Apesar da falta de restrições de uso, não se deve subestimar o valor da autorização, a educação, e a capacidade de expirar conteúdo. O usuário pode publicar ou consumir documentos protegidos no Windows para computadores, o Windows para tablets, Windows para celulares, iOS, Android, e a Apple OSX. Web sites e outros sistemas operacionais podem participar do ecossistema RMS via APIs de serviços RESTful. Os usuários podem compartilhar esses documentos protegidos com usuários em suas organizações, outras organizações (B2B), os usuários que agem como indivíduos (B2; suporte para Microsoft e Google Conta IDs vem depois) Consumo de direitos de conteúdo protegido é gratuito. (Leia mais abaixo sobre os preços)

Proteger um documento tem uma melhor experiência dentro de um aplicativo RMS enlightened. Como desenvolvedores de aplicativos utilizam nosso novo SDK, que estará fornecendo uma experiência de usuário consistente (UX) como o UX está integrado no próprio SDK. Fora de um aplicativo RMS enlightened, o usuário pode proteger um documento usando a integração do RMS App no Windows e Apple OSX, bem como através de extensões da barra de ferramentas do Office. Como geralmente dito, a capacidade é em Proteger no local ou Compartilhamento protegido, com um capacidade especial para capturar fotos protegidas a partir de dispositivos móveis que têm câmeras.

1. Proteger (no lugar): Este fluxo irá proteger o arquivo no local. O usuário pode então tomar outras ações para compartilhar o arquivo, se necessário. Este fluxo é mais adequado para fluxos de proteção de dados pessoais ou cloud-drive. O usuário terá a opção de proteger com um modelo organizacional, um modelo salvo anteriormente pelo usuário, ou criar um novo modelo ad-hoc. 2. Compartilhamento Protegido: Este fluxo irá proteger uma cópia do arquivo selecionado deixando o arquivo original em seu estado anterior (que também poderia ser protegido). Este fluxo tem o usuário de endereçamento do documento para as pessoas (os endereços de e-mail) e selecionando permissões relacionadas. Após o envio, um e-mail desprotegido será enviado com o documento protegido. O usuário pode personalizar o e-mail antes de ser enviado. 3. Compartilhamento Protegido (Câmara): Este fluxo estará disponível em breve em dispositivos móveis. O usuário terá permissão para tirar uma foto e aceitar ou retomá-la. Uma vez selecionado, o fluxo de "Compartilhamento Protegido” será aplicado e uma imagem JPG protegida será anexado.

Aqui está um exemplo visual de compartilhamento de um arquivo confidencial:

No Word, você pode salvar um documento e chamar o compartilhamento protegido (acrescentado pelo aplicativo RMS)

Nota: Um leitor astuto vai notar que nós adicionamos um botão aqui em vez de reutilizar o que já está presente no Office. Precisamos alterar comportamentos fundamentais, tais como interface do usuário, suporte SDK RMS subjacente e autenticação. Este novo ponto de entrada reproduz a interface de usuário que você vai ver no OS de núcleo, bem como aplicações ISV.

Então , a tela de proteção aparece. Esta tela será fornecido pelo SDK e, portanto, será o mesmo em todas as aplicações RMS enlightened:

Quando você terminar com o endereçamento e seleção de permissões, você escolhe ENVIAR. Um e-mail será criado, que está pronto para ser enviado, mas você pode editá-lo primeiro:

Usuários e sua Experiência de Consumo do Documento

No devido tempo, o destinatário do e-mail acima simplesmente abre o anexo para visualizá-lo. Este acessório, dependendo do tipo de arquivo, irá chamar o aplicativo correto. A partir da pré-visualização (preview) RMS, o sistema irá lançar o Word, Excel ou PowerPoint para os respectivos arquivos, o Foxit PDF Reader para PDFs protegidos, ou a App RMS de texto, imagens ou arquivos protegidos genericamente (Pfiles).

Se o usuário tem uma identidade RMS-aware (ciente), eles serão capazes de fazer o log in. Aqui você vê um email com um PJPG (JPG protegido). Após a abertura, o usuário é solicitado a fazer login e, em seguida, a imagem é processada.

Nota: No Preview de Julho, os aplicativos móveis não estão disponíveis publicamente. Estamos impedidos de fazê-los em suas mãos, até que eles sejam aceitos pelas respectivas lojas de aplicativos. Nós pedimos que vocês confiem em nós e como nós o usamos para produzir as capturas de tela acima. O processo de aceitação de distribuição da loja está em curso e tudo será lançado até a nossa data de disponibilidade geral de outubro.

Finalmente, em termos de permitir amplo alcance, os destinatários que não têm uma organização RMS suportada pode se inscrever para Gerenciamento Microsoft Direitos para os indivíduos . Esta oferta de auto-atendimento permite a adoção de nível para início dos serviços RMS com pouca necessidade de suporte de TI. É uma oferta gratuita. Esta oferta permite que o usuário consumir e produzir conteúdo protegido RMS. O processo de inscrição é simples:

1. O usuário é solicitado por seu nome e-mail organizacional: joe@contoso.com . Neste momento várias verificações são feitas antes de uma conta ad-hoc RMS ser criada. Em particular, verifique se a organização-mãe já tem um inquilino Azure de Active Directory do Windows, se o usuário já tinha uma conta, etc . Se falhar todas estas verificações importantes, o usuário recebe uma conta ad-hoc de graça. A seção abaixo ITPro oferece mais detalhes, bem como outros conselhos orientados por TI. 2. Para validar a propriedade do ID mencionado, o usuário, um email é enviado (Não mostrado abaixo). 3. Uma vez que a propriedade é comprovada, o usuário é solicitado a fornecer um nome de exibição, uma senha e o país para que sua conta seja provisionada. Estes RMS de auto-atendimento para contas de pessoas vão ser re-validados mensalmente para os usuários. 4. O usuário é solicitado a instalar o aplicativo RMS após a conclusão. O aplicativo RMS requer permissões administrativas, a fim de ser instalado e é necessário para ser instalado, a fim de consumir conteúdo protegido nas versões mais antigas do Microsoft Office.

De forma visual: (recortada para caber)

Tente isto ao vivo no https://portal.aadrm.com . Se inscreva para uma para ver isso de perto ou utilize o fluxo da demonstraçao (<name> @ contoso.com) .

Usuários e suas experiências em Email Uma importante classe de informação é por correio eletrónico. Os usuários podem tanto consumir e proteger-mail para clientes de correio enlightened e servidores. Microsoft Outlook 2013, quando apoiado pelo Exchange 2013, trabalha com o Azure RMS que é oferecido out-of-the-box e oferece fantásticas inovações que permitem a proteção automática de RMS. O conector RMS (coberto abaixo) também permite que o Microsoft Exchange em ofertas nas premissa trabalhe com Azure RMS. Exchange Online, como parte do Office 365 suite, trabalha diretamente com Azure RMS hospedado. Este conjunto de ofertas permite um meio muito útil para proteger e-mail da sua empresa.

Estas ofertas de e-mail não estão sujeitos às ofertas de RMS para indivíduos - são capacidades do aplicativo RMS enlightened. O róprio RMS não oferece qualquer capacidade de proteção de e-mail.

ITPro e as suas experiências Em poucas páginas desta secção não se pode começar a fazer justiça a todas as partes. Nós gravamos dois vídeos 75min que acreditamos que vá fazer um trabalho muito melhor: WCA-B322 e B321-WCA . Em seu lugar, vamos nos concentrar aqui em oferecer uma rápida visão geral. O www.microsoft.com / rms site também hospeda muita informação relacionada.

Topologias de implantação Os vídeos acima mencionadas geralmente expressam três classes de organizações e, em seguida, descreve as capacidades RMS associadas e as relações com outras cargas de trabalho. Em forma de resumo, slide a seguir demonstra oferece infra-estrutura exemplar (e-mail, portais, Storage) e sua relação com os tipos de implantação do RMS.

Pronto para a Nuvem

As organizações prontas para a nuvem encontrarão Office 365 muito atraente. A oferta combinada simplificou todos os aspectos da configuração. Dentro desse ambiente, RMS é muito simples para permitir - um botão e profunda integração com o Exchange, o SharePoint e o Office todo em 2013 suíte pode ser ativado. Através do aplicativo RMS, os usuários do Office 365 também podem se beneficiar de uma proteção genérica de qualquer tipo de arquivo e a capacidade de colaborar com organizações não-

Office 365 ou indivíduos. Este é, de longe, a maneira mais simples de começar a trabalhar com RMS e está disponível para compra agora.

Hesitante à nuvemOrganizações hesitantes à nuvem, têm geralmente, menos de uma unidade para mover para a nuvem neste momento. Reutilizar o diagrama acima, uma organização hesitante à nuvem é aquele que vive dentro do cross-hatch. Com o raciocínio oferecido acima, esperamos o uso de Azure RMS, mas exclui o uso de nuvem da ofertas IaaS / SaaS. Em outras palavras, um cliente hesitante à nuvem por agora vai ter as opções 1) e 2) somente conforme ilustrado na figura abaixo. Com o tempo, esperamos que a hesitação possa reduzir e mais clientes vão começar a deixar a área cross-hatch para as classes seletivas de serviços.

Aceitando a NuvemEste tipo de organização simplesmente equilibra entre o ser Pronto para a Nuvem e Hesitante à Nuvem.

Recursos e como eles se relacionam No centro temos o serviço Microsoft Rights Management . Este serviço está hospedado no Azure e lida com todas as tarefas deo lado para a oferta de serviços em geral. Este serviço RMS Azure se baseia em Windows Azure Active Directory e serviços associados (Directory Sync e Federation).

O serviço Azure RMS requer armazenamento para os valores chaves do inquilino no núcleo da RMS. Nosso serviço de gerenciamento de chaves (KMS) armazena essas chaves do inquilino RMS com segurança extrema, graças à sua dependência da indústria comprovada, FIPS HSMs compatíveis de nossos parceiros Thales (saiba mais: módulos de segurança de hardware ). A KMS também oferece serviços relacionados, tais como a capacidade Bring-Your-Own-Key, que permite que os clientes tragam sua própria chave. Por fim, tanto o serviço RMS Azure e serviço KMS requerem registro e que é implementado utilizando o nosso serviço de registro de quase em tempo real. Um whitepaper complementar sobre esta oferta está próxima.

No centro da nossa história híbrida está o Conector Rights Management. O 'conector' finge ser um servidor AD RMS para a troca nas premissas e cargas de trabalho do SharePoint. Em seguida, ele retransmite todos os pedidos para o serviço RMS Azure hospedado. O conector é mais simples de implementar do que o atual AD RMS oferecendo como apenas um par deles (para alta disponibilidade) são necessários para uma organização e que pode ser implantado em VMs / máquinas existentes. Não são necessários servidores SQL tolerantes a falhas.

Configurações comuns A configuração básica para todos os items abaixo se você criar um inquilino Azure Active Directory para a sua organização (ou recuperação de um que foi criado em seu nome dos seus usuários por seu RMS para indivíduos). As licenças de serviço RMS compradas podem ser habilitadas para os usuários em seu inquilino. Você tem agora RMS!

Como parte dessa base, se você representa uma organização maior, você se sobrepõe sobre outros serviços integrados, tais como: Azure AD diretório sincronização, ADFS confiança de federação, HSMs com Traga sua Própria Chave, o registro quase em tempo real, e outras capacidades futuras sintonizados para empresas.

Antes de detalhar estes serviços em camadas, primeiro vamos rever algumas implementações comuns:

Email nas premissas dentro da sua empresa No lado do servidor, a maioria de vocês terá uma implantação do Exchange com nenhuma forma de proteção das informações. Nós permitimos que você adicione rapidamente o conector de Rights Management Microsoft para suas implantações do Exchange e configurá-lo para interagir com o serviço RMS. O resultado desta topologia é que o servidor Exchange está agora totalmente capaz de tráfego RMS para proteção que veicula e para o serviço RMS. De acordo com a seção de abertura, nunca seus dados irão para a nuvem. Isto é tão simples que não há desculpa para não fazê-lo.

No lado do cliente, a maioria de vocês vai ter uma versão atual do Office: 2010 ou 2013. O cliente 2013 irá reconhecer automaticamente o serviço RMS e o cliente 2010 será automaticamente feito para funcionar com o serviço RMS quando o aplicativo RMS é instalado em seu PC. Se você estiver executando o Office 2007 e não pode mover-se para uma versão mais recente, deixe-nos saber. Microsoft Office para Mac não suporta a oferta de serviços RMS baseado em Azure neste momento. O aplicativo Mac RMS vai, porém, permitir e-mail documentos protegidos a partir do Finder Apple.

No lado do dispositivo móvel, há duas ondas de ofertas. O primeiro é no mercado e conta com Exchange Active Sync (EAS) com reconhecimento de dispositivos. Alguns deles (Windows Phone e Samsung sim, mas não Apple) apoiam as capacidades de gerenciamento de direitos EAS e permitir a leitura e responder a e-mail RMS protegido. Nós pedimos que os clientes que necessitam de apoio RM em iPhones / iPads oferecer feedback ao seu gerente de conta mobile / Apple. A segunda onda do centro de clientes de correio RMS-enlightened nativas com proteção total estática ou em movimento. Essa onda só pode começar depois que liberarmos nossos SDKs para desenvolvedores.

O compartilhamento de arquivos premissa, dentro da sua empresa No lado do servidor, muitos de vocês terão SharePoint. A configuração acima de câmbio + RMS conector também funciona com o SharePoint para que você siga o mesmo modelo. Também no lado do servidor, a maioria de vocês vai ter servidores de arquivos do Windows. A Microsoft FCI / oferta DAC também é RMS consciente. Há também scripts do PowerShell que vai ligar FCI / DAC para o serviço RMS baseado em Azure.

No lado do cliente, tanto apoio IRM nativo no Microsoft Office e nosso aplicativo habilita RMS. De notar que o aplicativo RMS oferece proteção para quem não tenham Word, Excel, PowerPoint e tipos de

arquivo. As extensões de barra de botões de aplicativos RMS do Office coloca essa capacidade ao alcance de todos os usuários.

Colaboração externa O aplicativo RMS permite um ponto muito simples de compartilhamento com o aplicativo RMS como descrito acima. A vantagem de um ponto a outro é que o transporte não importa - você pode usar o SkyDrive ™, DropBox ™, armazenamento USB portátil, e-mail, FTP ou evento de torrentes P2P. Este padrão de uso requer simplesmente implantar o aplicativo RMS para o seu desktop e telefones celulares. De lá, você pode usar os botões no aplicativo ou o Powershell do seu sistema operacional (ou seja, o Windows File Explorer ou Mac Finder). Nos detalhes abaixo sugerimos também como você pode se preparar para receber o conteúdo protegido, mesmo se você optar por não licenciar seus usuários a enviar conteúdo protegido. Isso é importante e prudente ser considerado.

No lado do dispositivo móvel, o nosso aplicativo RMS suporta os comportamentos básicos (e irá adicionar mais em breve).

Além do acima, as aplicações RMS-enlightened pode igualmente oferecer recursos de compartilhamento de arquivos embutidos. Estes podem ser clientes baseados em servidor de base, ou mesmo com base na web.

Office 365 O Microsoft Office 365 permite aos seus funcionários praticamente qualquer lugar de acesso às aplicações mais recentes do Office, ofertas baseadas em nuvem avançadas serviços de TI, e com custos previsíveis. Esta suite online está RMS-enlightened e permitir RMS é trivial. Aqui está um vídeo de 3 minutos que mostra permitir RMS no Office 365, ligando a funcionalidade de Exchange DLP RMS-aware (ciente), e permite uma biblioteca segura do SharePoint que fez check-out de documentos RMS sendo protegido na saída.

Usando o serviço Microsoft Rights Management Aqui está uma breve introdução sobre as especificações de como começar com cada uma das várias partes móveis descritos acima.

Ative o serviço de Gestão de Direitos Azure hospedado Os clientes de Office 365 existentes estão prontos para começar. Eles podem permitir RMS com uma caixa simples em seu portal de administração. Aqueles que não usam Office 365 ainda não podem prontamente um comprar, o Azure RMS autônomo SKU, mas você está convidado a se inscrever para uma livre avaliação do E3 do Office 365 e, em seguida, usar apenas os recursos RMS.

As contas do Windows Azure AD Com o Windows Azure AD na mão, você pode ativar a sincronização do inquilino através da sincronização do diretório e da federação através da capacidade de federação (ou sincronização de senha ). Há várias razões para permitir esses recursos de forma proativa, mesmo que apenas para receber conteúdo. Há um valor está girando no Windows Azure AD e permitindo DirSync sem ser um titular de licença RMS. São eles:

1. Usando DirSync permite que seus usuários recebam conteúdo protegido de empresas externas, sem tê-los cada um, criando uma "RMS para indivíduos 'conta ad-hoc. 2. A federação permite que seus usuários assinem em vez de ter que criar uma conta ad-hoc. Isso é importante, pois elimina a necessidade de conta ad-hoc temporária,bem como lhe permite aplicar políticas de senha organizacionais. 3. Independente do Azure RMS, o Windows Azure AD e serviços de autenticação federados são suportados por uma série de outros aplicativos que provavelmente em uso dentro de sua organização (e eles também poderiam se beneficiar de Single SIgn On). 4. Windows Azure AD oferece a marca (logos) para o administrador do inquilino.

Na ausência de forma pró-ativa a criação do exposto, a oferta Azure RMS para indivíduos permitirá que os indivíduos utilizem os serviços do Microsoft RMS. Um 'RMS para indivíduos' conta ad-hoc é simplesmente um inquilino AD Azure que é criado para a organização específica (não compartilhado entre organizações) e a conta de usuário é adicionada. Não há administrador para estes inquilinos. Se outros usuários da mesma organização criar contas ad-hoc, eles são colocados no mesmo inquilino 'sem header'. Como dito acima, essas contas de usuário são revalidadas mensalmente. A título de exemplo,

Joe@Contoso.com se inscreve Tenant CONTOSO.COM é criadoA conta do usuário Joe’s é adicionada ao inquilino CONTOSO.COM A conta de Joe é fornecida com o SKU de RMS para indivíduos.

Jane@Contoso.com se inscreve Tenant CONTOSO.COM já existe e é reusadoA conta do usuário Jane é adicionada ao inquilino CONTOSO.COM A conta de Jane é fornecida com o SKU de RMS para indivíduos.

No momento em que sair de pré-visualização (preview), um ITPro será capaz de "converter" esses usuários para usuários licenciados sem impacto para o usuário ou o inquilino. Uma vez feito isso, o ITPro terá plena capacidade de gerenciamento para esses usuários. Fique atento quando uma atualização deste documento como esses recursos for liberads.

Ativar Bring-Your-Own-Key RMS tem uma chave muito importante, a chave inquilino. Chief Information Security Officers (CISOs) muitas vezes precisam usar uma chave de sua própria origem - às vezes por motivos de conformidade, às vezes, porque eles estão migrando de seus “on premisses AD RMS”. Com o recurso Bring-Your-Own-chave (BYOK), CISOs geraria uma chave em sua premissa, o uso de ferramentas de sua escolha, de acordo com suas próprias políticas. Esta chave, então, será seguramente importada nos ™ HSMs Thales que usamos no nosso centro de dados. O cliente tem a garantia de que os operadores da Microsoft não podem ver ou vazar a chave durante a importação, bem como durante o estado estacionário em execução. Opcionalmente, o cliente pode optar por empurrar sua chave para HSMs do serviço RMS Azure com um tempo de 4 horas de vida (TTL Time to Live). Sua infraestrutura no local faria este impulso automático a cada 2 horas. Nós chamamos de 'rejuvenescimento da chave' essa capacidade e vai estar disponível em fase de conclusão após a preview RMS em setembro. Se o CISO ou ITPro interrompe o carregamento de chaves, o serviço RMS Azure deixa de funcionar e o CISO é garantido que a Microsoft não tem acesso a sua chave em cache, uma vez que expirar. Mais uma vez, os serviços de Gerenciamento de Direitos do Microsoft nunca vê seus dados [Nota do editor: desculpe por ser tão repetitivo quanto a este ponto].

Ativar Realtime Logging voltadas para o cliente Oficiais de segurança podem obter registros do serviço Azure RMS. Eles fazem isso através da compra de armazenamento do Windows Azure, e configuração (via PowerShell) o serviço RMS Azure para escrever as entradas de log no armazenamento. Desta forma, o ITPro está no controle da quantidade de registro de dados que mantêm e que (por exemplo, 3 ª serviços de informação do partido, auditores, etc) pode acessar esses logs.

Implantar o RMS App para computadores e dispositivos móveis As aplicações RMS estarão disponíveis em todas as lojas apropriadas, bem como o fluxo de inscrição de RMS para indivíduos, e posteriormente por e-mail de confirmação. Os profissionais de TI também

podem baixar o pacote MSI do RMS no centro de download da Microsoft e fazer uso das opções de configuração silenciosas ITPro orientadas e políticas de grupo de anúncios.

Implantar o Connector híbrido; configurar o Exchange e SharePoint A Implantação de um conector de RMS de alta disponibilidade requer duas ou mais VMs / ou servidores. Esses papéis funcionam entre florestas. A instalação é apenas algumas simples telas. Uma vez configurado e conectado ao serviço RMS Azure, o ITPro para o conector RMS irá trabalhar com o Exchange e os administradores do SharePoint para entender que as máquinas devem ter acesso a serviços de retransmissão do conector. Esta é apenas uma tarefa de conceder servidores a permissão para usar o conector, todo o resto é automático.

Ativar controle de acesso dinâmico O papel do Windows Server Controle de Acesso Dinâmico (DAC / FCI) é capaz de trabalhar com ambos AD RMS e Azure RMS. Para este último, um roteiro PowerShell está disponível para ligar os dois.

Ativar Office 365 Exchange Online Exchange Online está ciente da existência de Azure RMS quando ativado. Uma vez que o Exchange Online é provisionado com a chave RMS do inquilino, o ITPro pode fazer uso do avançado da oferta Exchange Online DLP dentro do pacote mais amplo do produto do Office 365.

Nota: O uso do recurso de BYOK não é suportado com o Exchange Online. O ITPro terá duas opções ao usar os dois serviços juntos. A opção preferida é usar o software RMS, característica fundamental do inquilino construído em Azure RMS. A opção alternativa tem o ITPro instalar um servidor AD RMS com uma chave de software e siga os passos para importar o TPD para o Exchange Online.

Ativar Office 365 SharePoint Online Ativando as bibliotecas do SharePoint Secure Online é simplesmente uma tarefa de criar uma biblioteca, definindo-a para ser uma biblioteca segura, e ajustar algumas opções simples para atender às suas necessidades. Por exemplo: O proprietário da biblioteca pode optar por substituir as políticas de proteção ao usar um grupo de segurança para proteção vs a proteção individual. Isso permite que um usuário baixe um arquivo e o compartilhe com os outros dentro do grupo de segurança especificado sem forçar uma ida e volta para o SharePoint.

Resumo de ITpro ofertas e atividades correlatas. Neste ponto, nós introduzimos as partes fundamentais de uma implantação completa Microsoft Rights Management- RMS. Mais detalhes serão fornecidos às organizações TAP selecionadas e, eventualmente, para a comunidade em geral. Se você quiser começar a olhar para RMS, por favor faça o pedido através da participação na pré-visualização .

Prazos para os serviços Azure RMS A preview será realizada de fim de Julho a fim de setembro, com seleção das organizações. O lançamento do serviço atualizado Microsoft Rights Management está programado para o início de outubro.

A oferta inicial do Azure RMS é focada em organizações que não tem o AD RMS implantado. Dito isto, Azure RMS vai apoiar a coexistência de AD RMS e implantação do cliente existente, mas durante o primeiro trimestre precisamos eliminar a camada adicional de complexidade que viria com a coexistência de dois ambientes de RMS. Pedimos desculpas antecipadamente pelo que pode parecer que estamos ignorando nossos leais clientes de AD RMS!

Por uma variedade de razões, favorecem fortemente o uso da oferta Rights Management Azure hospedado sobre a oferta existente do AD RMS. São eles: colaboração B2B, ofertas de dispositivos

móveis, agilidade na adição de novos recursos, suporte para contas de usuário Ad-hoc do RMS e para os destinatários de seus documentos sensíveis e de fácil implantação.

Comprando o serviço Microsoft Rights Management RMS podem ser comprados diretamente através do portal web do Office 365 ou através do seu gerente de conta Microsoft.

Disponível Agora

RMS podem ser comprados diretamente através do portal do Office 365 como uma licença de assinatura de usuário. Assinatura cobre o uso por todos os aplicativos RMS enlightened (por exemplo, Office, Office 365, Foxit PDF). É um modelo "Pague uma vez, use com todos os aplicativos RMS-enlighteneds". Custo é de U$ 2 por usuário ao mês. Consumo de direitos de conteúdo protegido é gratuito. A licença é necessária para proteger o conteúdo, seja ele feito manualmente pelo usuário ou feito por um serviço em nome do usuário. Azure RMS pode ser comprado como parte das ofertas do Office 365:o Ele está incluído nos SKUs E3/E4 e A3/A4o Ele está disponível como um add-on para muitos outros SKUs do Office 365

Disponível no Outono 2013 (USA)

Azure RMS pode ser comprado com autônomo para uso com o Azure RMS Connector ou aplicativos RMS enlighteneds de terceiros. Azure RMS estará disponível através dos programas de Licenciamento de Volume (Microsoft Enterprise EA / EAS / EEE) A assinatura do Azure RMS inclui os direitos para usar o AD RMS nas premissas CAL (ECAL) Os clientes corporativos podem adicionar o serviço RMS Azure

Se você tiver alguma dúvida, por favor entrar em contato com seu contato de vendas da Microsoft.

Desenvolvedores Desenvolvedores ISVs podem esclarecer suas aplicações e soluções com RMS com facilidade e rapidez, utilizando a plataforma de desenvolvimento Microsoft Rights Management em todos os dispositivos importantes e sistemas operacionais.

Existem alguns conceitos importantes que merecem destaque neste breve introdução:

Desenvolva o código uma vez só e use sempre em todos os lugares Desenvolvedores de aplicativos enlighteneds RMS escrevem o código uma vez para proteger os documentos. RMS SDK cuida de todos os detalhes fundamentais sobre o ambiente do cliente e topologias de validade do documento, renovação de certificados, as atualizações de política e muito mais. Nosso código de exemplo dá orientação para permitir o uso extremamente fácil do RMS.

Aplicativos RMS-enlightened são mais desejados para fazer valer os direitos de proteção Aplicativos RMS enlightened capacitam os indivíduos a proteger e consumir conteúdo. O conteúdo é protegido usando criptografia e deve ser descodificada antes de ser consumido. Quando o arquivo é protegido, o indivíduo aplica as permissões para o arquivo, como a capacidade de imprimir ou editar. Seu aplicativo terá de honrar esses direitos. O SDK irá facilitar maior parte dos fluxos de proteção e tudo de inicialização , mas a seu aplicativo deve honrar o cumprimento de permissão. Nossos SDKs fazem

cumprir os direitos mais fácilmente fornecendo APIs para controlar permissões, tais como impressão, economia, encaminhamento, etc. Para mais detalhes, veja aqui .

Os novos SDKs fazem todo o trabalho de interface com o usuário de RMS para você! Aplicativos para dispositivos móveis vai usar os novos SDKs v3 e beneficia as interfaces de usuário fornecidos pela Microsoft para o consumo e os comportamentos de proteção. Isso não só economiza tempo dos ISVs para construir um suporte de proteção, ele também proporciona compatibilidade com novos recursos de proteção de UX. O aplicativo RMS, criado pela Microsoft, é um bom exemplo do que o UX SDK fornece / proverá.

Aplicativos do Windows desktop baseados em RMS utilizam nosso poderoso SDK v2.1 que ainda não oferece built-in de consumo e fluxos de proteção..

Agora é fácil adicionar proteção RMS para suas soluções Há uma classe de aplicativos que são bastante simples com RMS. Esses aplicativos são criados por "provedores de soluções" ou profissionais de TI, e permite aos aplicativos proteger ou desproteger arquivos. Estes são: prevenção (DLP) agentes de vazamento de dados, indexadores de busca, o software anti-vírus, gestão (MDM) de sistemas de dispositivos móveis e sistemas de gerenciamento de documentos. Eles vão utilizar a nova API do arquivo disponível como parte do SDK v2.1 e / ou PowerShell para proteger e desproteger documentos facilmente na plataforma Windows (cliente ou servidor).

Um arquivo protegido é um arquivo diferente quando mantidoA maneira mais fácil de implementar a proteção de seu formato de arquivo é simplesmente usar a capacidade do nosso SDK para criar um arquivo protegido (PFILE). Ele encerra seu arquivo, de modo que o arquivo XYZ é protegido como um arquivo pXYZ, tudo a partir de um fluxo baseado no API. Nosso formato pFile permite que o aplicativo participe imediatamente no ecossistema RMS existente.

Personalizando o seu próprio formato de arquivo o RMS é mais complexo. Ele também impede que todo um ecossistema de parceiros de soluções de ser capaz de proteger os seus formatos de arquivo em suas soluções dadas todos eles vão usar a API de arquivo descrito acima (que pode proteger qualquer arquivo de formato pFile honrando suas extensões de arquivo). No entanto, se as suas necessidades exigem que você atualize o seu formato de arquivo existente com informações RMS, nossos SDKs apoia o seu caso de uso.

Acesso API RESTful O RMS SDK não fornece SDKs para plataformas como Linux, RIM BlackBerry ou as plataformas de web site que são muito numerosas para implementarmos bibliotecas. Para essas plataformas, que apoiam API REST, documentação do protocolo e um conjunto de exemplos de código (incluindo o código-fonte aberto), para facilitar o desenvolvimento de aplicações. Se a plataforma passa a ser suficientemente importante para você, vamos considerar a adição de suporte.

Em conclusão:Este documento serve para que você:

1. Explore o novo trabalho que fizemos na RMS2. Explique o valor desta oferta em um momento em que proteger as informações é de suma importância 3. Ofereça uma visão subjetiva sobre as ações que você pode tomar agora, antes de esperar a cura para toda a solução 4. Ofereça uma visão geral das partes móveis envolvidas na nossa oferta.

Esperamos ter atingido seu objetivo. Se você quiser começar a olhar o RMS, por favor use o pedido de participação na pré-visualização (preview). Se você tem idéias sobre como esse documento poderia ser melhorado, por favor, tome um momento para compartilhar com nossa equipe .

Obrigado pela leitura!

Dan Plastina

Em nome da nossa equipe RMS 1 Contato AskIPTeam@microsoft.com

Original: http://blogs.technet.com/cfs-filesystemfile.ashx/__key/communityserver-components-postattachments/00-03-58-79-43/Microsoft-Rights-Management-_2D00_-English-_2800_July-2013_2900_.docx