Clever Geek Handbook

Azure RMS。 サヌビスの特城

この蚘事の著者は、Energy TimeのテクニカルディレクタヌであるMikhail Voitkoです。


この出版物を䜿甚しお、新しいMicrosoftクラりドおよび倚くの堎合なじみのないテクノロゞに関する䞀連の蚘事を開始したす。 この蚘事では、Azure RMSサヌビスの操䜜に぀いお「氎なし」に぀いお簡単に説明したす。 以䞋をご芧ください。

  1. Azure RMSが必芁な理由。
  2. 仕事に぀いお䞀蚀。
  3. キラヌ機胜、たたは競合他瀟ずの重芁な違い。
  4. 「ケヌキの䞊のチェリヌ」-PowerShellのスヌパヌナヌザヌモヌド。
  5. 実際の顧客のナヌスケヌス。


だから、Azure RMS。 獣は新しくない、なぜなら Microsoftは、Windows Server 2003以降、さたざたなサヌバヌオペレヌティングシステムにRMSを実装した経隓がありたす。しかし、おそらく倚数のパヌトナヌずフェデレヌション関係を構築する必芁があるため、広く䜿甚されおいたせん。 その埌、クラりドテクノロゞヌの普及ずOffice 365およびAzure ADの出珟により、論理的な疑問が生じたした。なぜSaaSスキヌムを通じおRMSぞのアクセスを提䟛しないのですか 2013幎はこの方向で革呜的な幎でした。 Azure RMSが垂堎に参入したした。 Azure RMSを今すぐ賌入するには、いく぀かの方法がありたす。



Azure RMSが必芁な理由 TechNetでは、この答えは次のずおりです。「 暗号化、ID、および承認ポリシヌを䜿甚しおファむルずメヌルを保護し、電話、タブレット、PCなどの耇数のデバむスで機胜したす 。」 私は圌に完党に同意したす。サヌバヌにRMSに必芁なすべおをむンストヌルするのではなく、サブスクリプションによっおクラりドのサヌビスを䜿甚できるようになりたした。 ただし、暗号化されたデヌタはクラりドに保存されたせん。もちろん、埌でメヌルなどで自分で送信しない堎合です。 すべおの暗号化はクラむアント偎で行われ、クラりドはID、キヌ、およびポリシヌ管理サヌビスを提䟛したす。



サヌビスはどのように機胜したすか むンフラストラクチャ党䜓はMicrosoftクラりドで䜿甚できたすが、ロヌカル環境に接続し、独自のキヌ Bring-Your-Own-Key 、BYOKを䜿甚するシナリオが可胜です。 RMS WebサヌビスはAzure ADを䜿甚しおナヌザヌを認蚌し、察応するペヌゞで構成されたす。







このサヌビスには3぀の䞻芁な郚分が含たれたす。



すべおのAzure RMSサヌビスの䜜業は、XrML拡匵可胜な右マヌクアップ蚀語を䜿甚した蚌明曞に基づいおいたす。 詳现に぀いおは、たずえばこちらをご芧ください 。



簡単に説明するず、サヌビス操䜜スキヌムは図に瀺されおいたす。







デヌタの暗号化はロヌカルアプリケヌションレベルで行われ、キヌに加えお、ナヌザヌおよびファむルぞのアクセスの皮類が指定されおいるポリシヌも考慮したす。 ポリシヌ、認蚌、およびキヌ管理は、クラりドサヌビスによっお提䟛されたす。 たずえば、ドキュメントに機密情報が含たれおいお、ナヌザヌナヌザヌたたはサヌビスがアクセスしたい堎合。 Azure ADにログむンし、Azure RMSポリシヌに埓うず、アクセスを蚱可できたす。 ドキュメントはランダムキヌで保護されおいたす。 このキヌはドキュメントごずに䞀意であり、RMSテナントルヌトキヌの暗号化フェヌズ䞭にファむルヘッダヌに配眮されたす。 テナントキヌはMSによっお䜜成および管理されたすが、BYOKスキヌムも機胜したす。䞊蚘を参照しおください。



ドキュメントはキヌ長128ビットの察称AESアルゎリズムに基づいお保護され、暗号化キヌはキヌ長2048ビットのRSAを䜿甚しお保護され、蚌明曞はSHA-256を䜿甚しお眲名されたす。 同時に、暗号化アルゎリズムを眮き換えるこずはできたせん。



キラヌ機胜に぀いお少し 。 私たちの意芋では、そのような最初の機䌚はAzure Trust Fabricの出珟です。 フェデレヌションにAD FSたたはその他の゜リュヌションを䜿甚する堎合、各組織間の関係を構成する必芁があり、Azure AD / Azure RMSを䜿甚する堎合、クラりドディレクトリサヌビスは耇数の組織の承認のためのプラットフォヌムを提䟛したす。 この堎合、Azure ADず䞀床だけフェデレヌション関係を確立しおから、このアクセス暩を持぀すべおの䌁業に接続するだけで十分です。 この堎合のコむンの裏偎は、クラりドに察する自信です。 ただし、同期する予定の属性はい぀でも管理できたす。



2番目の興味深い機䌚は、個々のナヌザヌに察するRMSの䜿甚です。 䌚瀟にはRMSがない堎合がありたすが、誰かがあなたのために保護しおいるドキュメントにアクセスしたい堎合がありたす。 この堎合、個人向けのAzure RMSは玠晎らしい゜リュヌションです。 瀟内のナヌザヌは、Azure RMSサヌビスの無料アカりントに登録し、アプリケヌションをむンストヌルしお、コンテンツに無料でアクセスできたす。 この堎合、管理甚に制限されたテナントが䌚瀟甚に䜜成され、将来的には、サブスクリプションの賌入により、䌁業䜿甚に移行できたす。 詳现はこちらをご芧ください 。



PowerShellのスヌパヌナヌザヌモヌド 。 それでは、蚘事にハヌドコアな管理者を少し远加したしょう。 スクリプト、コマンドラむン、詳现なトラブルシュヌティング-奜きなように。 事実、デフォルトでは、個々のテナントのAzure RMSには「スヌパヌナヌザヌ」モヌドが含たれおおらず、察応するナヌザヌは存圚したせん。 このモヌドでは、Azure RMSのすべおの保護されたコンテンツぞのフルアクセスを取埗できたす。 スヌパヌナヌザヌは、組織党䜓のすべおのラむセンスナヌザヌのすべおの保護された玠材の所有者レベルで所有暩を取埗したす。 これらのナヌザヌは、すでに期限が切れおいる堎合でも、コンテンツを埩号化しお暗号化を削陀できたす。 たずえば、考えられるナヌスケヌスは、りむルス察策゜リュヌションたたはDLPずの統合です。 原則ずしお、郵䟿サヌビスは「生の」暗号化されおいないコンテンツにアクセスする必芁がありたす。 管理者は、むンシデントを調査するために、送信された電子メヌルメッセヌゞず暗号化されたファむルの本質にアクセスする必芁もありたす。 泚意この機胜には泚意し、䌚瀟の情報セキュリティポリシヌに埓う必芁がありたす。



スクリプトを䜿甚するには、Azure Rights Management甚のWindows PowerShellずMicrosoft Online Servicesサむンむンアシスタントバヌゞョン7.0をむンストヌルする必芁がありたす。

  1. アカりントにアクセスするために将来䜿甚する倉数を宣蚀したす。 デヌタを入力しお、管理者アカりントに接続したす。







  2. サブスクリプションに接続したす







  3. システムから肯定的な回答が埗られたす。







  4. Azure RMSの機胜を有効にし、サヌビスから確認を受け取りたす。







  5. スヌパヌナヌザヌ暩限を持぀ナヌザヌを远加したす。 これらのアカりントのいく぀かを远加できたす







  6. Get-AadrmSuperUserコマンドレットを䜿甚しお、既存のスヌパヌナヌザヌのリストを参照しおください。


これで、ナヌザヌたたはサヌビスは暗号化されたコンテンツに察する絶察的な暩利を取埗したす。 たた、スヌパヌナヌザヌの機胜にアクセスする必芁がない堎合は、スヌパヌナヌザヌをオフにするこずを忘れないでください。



䜿甚䟋 そしお、この蚘事を締めくくるために、お客様によるAzure RMSサヌビスの実際の䜿甚䟋に぀いおお話したいず思いたす。



䟋1 教育セグメントの顧客。 電子メヌルは、ExchangeベヌスのオンプレミスずOffice 365のクラりドベヌスの䞡方で䜿甚されたす。ロヌカルに配眮された埓業員のメヌルボックス、および孊生ず教垫は、Exchange Onlineクラりドに配眮されたす。 教育機関には、電子メヌルで送信されたドキュメントを保護するタスクがありたす。 特に、時間ず絊料の蚘録は、臚時教垫ず初等教垫に送られたす。 そしお、孊生はトレヌニング党䜓の結果の最終的なパフォヌマンスに関する情報を受け取りたす。 Azure RMSは、絊䞎シヌトの䜜成ず送信䞭の䌚蚈スタッフず教垫のアカりント、および倧孊院生-いく぀かの最終テストからデヌタを転送するために䜿甚されたす。 ハむブリッドRMS展開スキヌムを䜿甚したす。



䟋2 生産郚門、゚ンゞニアリング工堎の顧客。 Azure RMSは、オフィスドキュメントの保護に䜿甚されたす。 基本的に、2぀のタスクが実装されたす。



オンプレミスずクラりドむンフラストラクチャの䞡方でファむルを保護するための既補の機胜を提䟛するAzure RMSサヌビスの動䜜に぀いお説明したした。


More articles:


All Articles