Azure Rights Management (Azure RMS) 是
Azure 信息保护
使用的基于云的保护技术。
Azure RMS 通过使用加密、标识和授权策略来帮助跨多个设备(包括手机、平板电脑和 PC)
保护
文件和电子邮件。
例如,当员工将文档通过电子邮件发送给合作伙伴公司,或者将文档保存到云驱动器时,Azure RMS 的永久性保护有助于保护数据。
保护设置会始终作用于你的数据,即使数据越过组织的边界,这些设置也会使你的内容在组织内外都受到保护。
Azure RMS 可能是实现合规性、法律发现要求或信息管理最佳做法所需执行的合法措施。
将 Azure RMS 用于 Microsoft 365 订阅或 Azure 信息保护订阅。 有关详细信息,请参阅
Microsoft 365 安全性与合规性许可指南
页。
Azure RMS 确保经过授权的人员和服务(例如搜索和索引)可以继续读取和检查受保护的数据。
确保维护经过授权的人员和服务的持续访问权限,这也称为“数据推理”,是保持对组织数据进行控制的关键因素。 无法通过其他使用对等加密的信息保护解决方案轻松实现此功能。
保护多个文件类型
在 Rights Management 的早期实现中,只有 Office 文件才能使用内置 Rights Management 保护功能获得保护。
Azure 信息保护为其他文件类型提供支持。 有关详细信息,请参阅
支持的文件类型
。
随时随地保护文件
文件一旦
受保护
,便会始终受到保护,即使它被保存或复制到不受 IT 部门控制的存储(如云存储服务),也是如此。
安全共享信息
可以与他人安全共享
受保护的文件
,例如电子邮件的附件或指向 SharePoint 站点的链接。
如果电子邮件中有敏感信息,则请保护该电子邮件,或使用 Outlook 中的“不要转发”选项。
支持企业与企业之间的协作
由于 Azure Rights Management 是云服务,因此在与其他组织共享受保护内容前,不需要显式配置与这些组织的信任关系。
自动支持与已有 Microsoft 365 或 Microsoft Entra 目录的其他组织协作。
对于没有 Microsoft 365 或 Microsoft Entra 目录的组织,用户可以注册免费的
个人 RMS
订阅,也可以将 Microsoft 帐户用于
支持的应用程序
。
附加受保护的文件,而不是保护整个电子邮件,使你能够将电子邮件文本保持未加密状态。
例如,如果要将电子邮件发送到组织外部,可能需要包含首次使用说明。 如果你附加受保护的文件,任何人都可以读取基本说明,但只有授权用户才能打开文档,即使将该电子邮件或文档转发给其他用户也是如此。
Azure RMS 支持广泛的平台和应用程序,包括:
除了
与 Office 365 无缝协作
外,还请在部署
RMS 连接器
时将 Azure Rights Management 与以下本地服务配合使用:
- Exchange Server
- SharePoint Server
- 运行文件分类基础结构的 Windows Server
应用程序扩展性
Azure Rights Management 可与 Microsoft Office 应用程序和服务紧密集成,并使用
Azure 信息保护客户端
扩展对其他应用程序的支持。
为内部开发人员和软件供应商提供 API,用于编写支持 Azure 信息保护的自定义应用程序。
有关详细信息,请参阅
。
基础结构功能
Azure RMS 提供了以下功能来支持 IT 部门和基础结构组织:
创建简单灵活的策略
审核和监视服务
能够在整个组织内扩展
保持对数据的 IT 控制
组织始终可以选择停止使用 Azure Rights Management 服务,而不会失去对以前受 Azure Rights Management 保护的内容的访问权限。
有关详细信息,请参阅
解除 Azure Rights Management 授权和停用 Azure Rights Management
。
创建简单灵活的策略
自定义保护模板提供了一款便捷的解决方案。通过该解决方案,管理员可以应用策略,用户可以对每个文档应用适当级别的保护,并将访问权限限制给组织内部人员。
例如,为了与所有员工共享公司范围内的策略文档,可对所有内部员工应用只读策略。 对于更敏感的文档,如财务报表,可将访问权限仅限制为高级管理人员。
在 Microsoft Purview 合规门户配置标记策略。 有关详细信息,请参阅
Microsoft 365 敏感度标记文档
。
对于新订阅,激活是自动进行的。 对于现有订阅,只需在管理门户中单击几下鼠标,或单击两条 PowerShell 命令即可
激活 Rights Management 服务
。
审核和监视服务
审核和监视受保护文件的使用情况
,即使这些文件已经越过了组织的边界也是如此。
例如,如果 Contoso, Ltd 的员工与来自 Fabrikam, Inc 的三个人在合作一个项目,他们可能会向 Fabrikam 合作伙伴发送一份受保护且限制为只读的文档。
Azure RMS 审核功能可以提供以下信息:
Fabrikam 合作伙伴是否打开了该文档,以及何时打开了。
其他未指定的人员是否尝试打开文档并且失败。 如果电子邮件转发或保存到共享位置,则可能会发生这种情况。
AIP 管理员可以
跟踪文档使用情况,并撤消
对 Office 文件的访问权限。 用户可以根据需要
撤消对其受保护文档的访问权限
。
能够在整个组织内扩展
由于 Azure Rights Management 可作为云服务运行并借助 Azure 灵活地向上和向外扩展,因此,不需要设置或部署其他本地服务器。
保持对数据的 IT 控制
组织可通过 IT 控制功能受益,例如:
使用
超级用户功能
委托访问,确保 IT 部门始终可以访问受保护的内容,即使文档是由后来从组织离职的员工实施保护的也是如此。
相比之下,使用对等加密解决方案会面临丧失公司数据访问权限的风险。
Active Directory 同步
使用
混合标识解决方案
(如 Microsoft Entra Connect)同步
仅 Azure RMS 需要的目录属性
,支持本地 Active Directory 帐户的通用标识。
使用 AD FS 来启用单一登录,而无需将密码复制到云中。
从 AD RMS 迁移
如果已部署了 Active Directory Rights Management Services (AD RMS),则可
迁移到 Azure Rights Management 服务
,并且不会失去对以前受 AD RMS 保护的数据的访问权限。
安全、合规性和法规要求
Azure Rights Management 支持以下安全性、合规性和法规要求:
使用符合业界标准的加密功能,并支持 FIPS 140-2。
有关详细信息,请参阅
Azure RMS 使用的加密控制:算法和密钥长度
信息。
支持 nCipher nShield 硬件安全模块 (HSM)
,以将租户密钥存储在 Microsoft Azure 数据中心内。
Azure 权限管理对北美、EMEA(欧洲、中东和非洲)和亚洲的数据中心使用单独的安全体系,因此,你的密钥只能在你所在的地区使用。
以下标准的认证:
ISO/IEC 27001:2013(./包括 ISO/IEC 27018)
SOC 2 SSAE 16/ISAE 3402 证明
HIPAA BAA
欧盟示范条款
FedRAMP 作为 Office 365 认证中 Microsoft Entra ID 的一部分,获得了 HHS 颁发的 FedRAMP 机构运营授权
PCI DSS 1 级
有关这些外部认证的详细信息,请参阅
Azure 信任中心
。
有关更多 Azure 权限管理服务工作原理的技术信息,请参阅
Azure RMS 的工作原理
如果你熟悉本地版的权限管理和 Active Directory Rights Management 服务 (AD RMS),则可能会对
比较 Azure Rights Management 和 AD RMS
中的比较表感兴趣。
