Открыть сервис

Azure Rights Management

Azure Rights Management — это облачная служба управления правами на доступ к информации (Information Rights Management, IRM), входящая в состав платформы Microsoft Azure и пакета Microsoft 365 (ранее Office 365). Служба предназначена для защиты конфиденциальных данных путем шифрования файлов и контроля доступа к ним, независимо от места хранения (локальное устройство, корпоративная сеть, облачные сервисы) и каналов передачи (электронная почта, общие папки, мессенджеры). Azure Rights Management (Azure RMS) использует технологию Azure Active Directory для аутентификации пользователей и применения политик использования, что позволяет владельцам данных устанавливать, кто и при каких условиях может открывать, изменять, копировать, печатать или пересылать защищенные документы и сообщения.

История

Технология управления правами на доступ к информации (RMS) впервые была реализована Microsoft в виде серверного решения — Windows Rights Management Services (RMS) для Windows Server 2003. В 2012 году компания запустила облачный сервис Azure Rights Management, который с 2013 года стал частью пакета Microsoft 365. В 2015 году Microsoft объединила локальное решение (Active Directory Rights Management Services, AD RMS) с облачным Azure RMS, создав единую платформу управления правами, известную как Microsoft Information Protection (MIP). Azure RMS является ключевым компонентом этой платформы, обеспечивающим защиту данных на уровне файлов.

Дальнейшее развитие Azure RMS связано с интеграцией в Microsoft 365 Compliance Center, где администраторы могут централизованно создавать и применять метки конфиденциальности, использующие Azure RMS для шифрования и управления правами. В 2021 году были добавлены возможности защиты данных в реальном времени при работе с файлами в Microsoft Teams, SharePoint Online и OneDrive for Business.

Архитектура и принцип работы

Основные компоненты

Процесс защиты

При инициализации защиты файла пользователь указывает политику доступа (список разрешённых лиц и действий). Azure RMS Client генерирует сеансовый ключ шифрования (AES-256), который затем шифруется с помощью открытого ключа Azure RMS Service. Файл шифруется этим сеансовым ключом. Ключ доступа к сеансовому ключу хранится в облачной службе Azure RMS. При попытке открыть защищённый файл клиент обращается к Azure RMS Service, которая проверяет учетные данные пользователя через Azure AD, и если он имеет права, предоставляет сеансовый ключ для расшифровки. Все операции с файлом контролируются политиками использования, которые могут запрещать копирование, печать или пересылку.

Возможности и функции

Шифрование и контроль доступа

Azure RMS обеспечивает шифрование файлов с использованием стандарта AES (Advanced Encryption Standard) с длиной ключа 256 бит. Зашифрованные файлы невозможно прочитать без авторизации, даже если они оказались на стороннем устройстве или в открытом доступе. Политики доступа задаются в явном виде: указываются адреса электронной почты или группы Azure AD, а также разрешённые действия (чтение, изменение, полный контроль). Политики могут быть временными (срок действия истекает) или условными (доступ разрешён только с корпоративного устройства или при соблюдении других условий).

Интеграция с приложениями Microsoft

Azure RMS глубоко интегрирован с программами Microsoft Office (Word, Excel, PowerPoint, Outlook) и облачными сервисами Microsoft 365. В приложениях Office защита реализуется через вкладку «Файл» > «Сведения» > «Защитить документ» (или аналогично в Outlook при отправке письма). Защищённые файлы сохраняют возможность совместной работы (совместное редактирование не поддерживается, но доступен просмотр и рецензирование). В Microsoft Teams и SharePoint Online защита применяется автоматически при загрузке файлов с соответствующими метками конфиденциальности.

Механизмы делегирования и отслеживания

Владельцы защищенных файлов могут отслеживать, кто и когда открывал документ, используя портал Azure RMS или логи Microsoft 365 Compliance Center. Также предусмотрена возможность отзыва доступа — владелец может в любой момент аннулировать права конкретного пользователя или всей группы, после чего открытие файла станет невозможным. Для передачи прав другим пользователям владелец может временно предоставить доступ или автоматически настроить сценарии делегирования (например, через группы Azure AD).

Безопасность и управление ключами

Azure RMS использует два уровня управления ключами: по умолчанию Microsoft управляет ключами в своей облачной инфраструктуре (Bring Your Own Key, BYOK не требуется), либо организация может принести собственные ключи (Bring Your Own Key, BYOK) в Azure Key Vault. Шифрование осуществляется с помощью сеансового ключа, который шифруется сертификатом Azure RMS Service. Все запросы на расшифровку проходят через Azure AD, что обеспечивает единую точку контроля доступа.

Поддержка различных форматов

Служба поддерживает защиту файлов форматов Microsoft Office (DOCX, XLSX, PPTX, PDF), а также некоторых других (например, текстовые файлы TXT, изображения, архивы ZIP) — в последних случаях защита применяется на уровне контейнера, а не содержимого (файл полностью шифруется). Для защиты электронных писем Outlook применяется функция «Не пересылать» (Do Not Forward), которая реализует политики RMS, а также возможность задать срок действия письма.

Классификация

По способу развертывания

По типу защиты

По механизму управления правами

Применение и значение

Защита конфиденциальных данных

Azure RMS используется организациями для защиты коммерческой тайны, финансовой отчетности, персональных данных сотрудников и клиентов (в том числе в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных»), интеллектуальной собственности, контрактов и других конфиденциальных документов. Особенно востребована защита при отправке документов по электронной почте или размещении в облачных хранилищах.

Соответствие требованиям регуляторов

Служба помогает организациям выполнять требования международных и национальных стандартов информационной безопасности, включая ISO/IEC 27001, GDPR, HIPAA, PCI DSS, ГОСТ Р ИСО/МЭК 27001 и Федеральный закон № 152-ФЗ. Подтверждённые возможности Azure RMS по шифрованию и аудиту доступа позволяют организациям демонстрировать соответствие нормативным требованиям.

Предотвращение утечек информации

В сочетании с Microsoft Information Protection и DLP Azure RMS позволяет предотвращать утечки данных, блокируя неавторизованный доступ, печать, копирование или пересылку защищённых документов. Автоматическая классификация и защита на основе содержимого снижают риск человеческой ошибки.

Сценарии использования в России

В российских организациях Azure RMS применяется для защиты документов в государственных учреждениях, банках, страховых компаниях, нефтегазовом секторе и других отраслях, где требуется строгий контроль доступа. Служба поддерживается на территории России через дата-центры Microsoft в Москве и Санкт-Петербурге (регионы «Центральный» и «Северо-Западный»), что позволяет выполнять требования по локализации данных.

Ограничения и критика

Примеры использования

См. также

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →