Открыть сервис

Azure Information Protection

Azure Information Protection (AIP) — это облачная служба управления правами на доступ к данным (Information Rights Management, IRM) и классификации информации, входящая в состав платформы Microsoft 365. Предназначена для защиты конфиденциальных документов и электронных писем путём применения политик классификации, маркировки и шифрования, независимо от места их хранения или передачи.

История

Разработка AIP началась как эволюция технологии Active Directory Rights Management Services (AD RMS), которая была частью Windows Server. В 2013 году Microsoft представила облачную версию — Azure Rights Management (Azure RMS), которая стала основой для будущей службы. В 2016 году было объявлено о создании единого продукта Azure Information Protection, объединившего классификацию данных и управление правами. В 2018 году Microsoft интегрировала AIP в Microsoft 365 Compliance Center, а в 2022 году объявила о постепенном сворачивании клиентской части AIP в пользу встроенных средств защиты в Microsoft 365 Apps (в частности, встроенной метки конфиденциальности). Однако сама технология шифрования и управления правами (Azure RMS) продолжает использоваться как базовая инфраструктура.

Архитектура и принцип работы

AIP состоит из двух ключевых компонентов:

  • Azure Rights Management (Azure RMS) — облачная служба управления правами, обеспечивающая шифрование данных, управление ключами и применение политик доступа. Использует криптографию на основе асимметричных ключей (RSA) и симметричных ключей (AES). Каждый документ шифруется уникальным симметричным ключом, который, в свою очередь, защищается асимметричным ключом организации.
  • Клиент классификации и маркировки — локальное приложение (до 2022 года — классический клиент AIP), которое устанавливается на компьютеры пользователей и интегрируется с Microsoft Office, Проводником Windows и другими приложениями. Позволяет вручную или автоматически назначать метки конфиденциальности (например, «Общедоступно», «Конфиденциально», «Секретно») и применять соответствующие политики защиты.

Современная версия AIP (после 2022 года) в основном реализована через встроенные механизмы Microsoft 365: метки конфиденциальности (Sensitivity labels) настраиваются в центре администрирования Microsoft Purview, а клиент AIP используется только для поддержки устаревших сценариев.

Классификация и маркировка

AIP позволяет классифицировать данные по уровню конфиденциальности. Классификация может быть:

  • Ручной — пользователь самостоятельно выбирает метку из предложенного списка.
  • Автоматической — система анализирует содержимое документа (например, наличие ключевых слов, номеров кредитных карт, паспортных данных) и автоматически присваивает метку.
  • Рекомендуемой — система предлагает пользователю применить метку, но окончательное решение остаётся за ним.

Метки могут быть визуальными (водяные знаки, колонтитулы, заголовки) и невизуальными (внедряются в метаданные файла). Применение метки не всегда включает шифрование — оно может быть настроено как опциональное или обязательное для определённых уровней.

Управление правами (IRM)

Основная функция AIP — защита данных с помощью шифрования и политик доступа. Политики определяют, кто и при каких условиях может:

  • Просматривать документ.
  • Редактировать его.
  • Копировать содержимое.
  • Печатать.
  • Пересылать по электронной почте.
  • Устанавливать срок действия доступа.
  • Требовать двухфакторную аутентификацию.

Важной особенностью является то, что защита остаётся с документом даже после его отправки за пределы организации — файл остаётся зашифрованным, и доступ к нему возможен только через службу Azure RMS, которая проверяет права пользователя. Это отличает AIP от традиционных методов защиты, таких как пароли на файлы.

Применение

AIP используется в различных отраслях и сценариях:

  • Корпоративная безопасность — защита коммерческой тайны, финансовой отчётности, стратегических планов.
  • Государственный секторзащита персональных данных граждан, документов ограниченного доступа.
  • Здравоохранение — защита медицинских карт и результатов анализов (соответствие требованиям HIPAA в США, 152-ФЗ в РФ).
  • Юридические и финансовые услуги — защита конфиденциальных договоров, аудиторских отчётов, клиентской информации.

Интеграция с другими продуктами

AIP тесно интегрирован с экосистемой Microsoft:

  • Microsoft 365 Apps — Word, Excel, PowerPoint, Outlook.
  • Microsoft 365 Compliance Center — централизованное управление политиками.
  • Microsoft Defender for Cloud Apps — обнаружение и защита данных в облачных сервисах (SaaS).
  • Microsoft Information Protection (MIP) — общая платформа, объединяющая AIP, DLP (Data Loss Prevention) и другие механизмы защиты.
  • Azure Information Protection Scanner — инструмент для обнаружения и классификации конфиденциальных данных в локальных файловых хранилищах (файловые серверы, SharePoint Server).

Критика и ограничения

  • Сложность настройки — первоначальная конфигурация политик и шаблонов требует глубоких знаний в области управления правами и инфраструктуры Azure.
  • Зависимость от облака — для проверки прав доступа к защищённому документу требуется подключение к службе Azure RMS. В случае отсутствия интернета доступ может быть ограничен (хотя есть механизмы офлайн-доступа с кэшированием лицензий).
  • Совместимость — защищённые AIP документы могут быть нечитаемы на устройствах, не имеющих соответствующего клиента или учётной записи Microsoft 365.
  • Переход на новые технологии — с 2022 года Microsoft рекомендует использовать встроенные метки конфиденциальности, а не классический клиент AIP, что вызывает необходимость миграции для существующих пользователей.

Законодательные аспекты в России

Использование AIP в России регулируется Федеральным законом № 152-ФЗ «О персональных данных». При защите персональных данных с помощью AIP необходимо обеспечить соответствие требованиям о локализации баз данных (хранение персональных данных граждан РФ на серверах, расположенных на территории РФ). Microsoft предоставляет возможность размещения ключей шифрования в Azure Key Vault, в том числе в регионе «Россия» (Москва), что позволяет частично соблюсти требования законодательства. Однако полное соответствие может потребовать дополнительных организационных и технических мер.

Источники

  1. Документация Microsoft по Azure Information Protection (Microsoft Learn).
  2. Технические спецификации Azure Rights Management (Microsoft Docs).
  3. Федеральный закон «О персональных данных» № 152-ФЗ.
  4. Статьи на портале Microsoft Security и Microsoft 365 Compliance.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →