Azure Rights Management
Azure Rights Management — это облачная служба управления правами на доступ к информации (Information Rights Management, IRM), входящая в состав платформы Microsoft Azure и пакета Microsoft 365 (ранее Office 365). Служба предназначена для защиты конфиденциальных данных путем шифрования файлов и контроля доступа к ним, независимо от места хранения (локальное устройство, корпоративная сеть, облачные сервисы) и каналов передачи (электронная почта, общие папки, мессенджеры). Azure Rights Management (Azure RMS) использует технологию Azure Active Directory для аутентификации пользователей и применения политик использования, что позволяет владельцам данных устанавливать, кто и при каких условиях может открывать, изменять, копировать, печатать или пересылать защищенные документы и сообщения.
История
Технология управления правами на доступ к информации (RMS) впервые была реализована Microsoft в виде серверного решения — Windows Rights Management Services (RMS) для Windows Server 2003. В 2012 году компания запустила облачный сервис Azure Rights Management, который с 2013 года стал частью пакета Microsoft 365. В 2015 году Microsoft объединила локальное решение (Active Directory Rights Management Services, AD RMS) с облачным Azure RMS, создав единую платформу управления правами, известную как Microsoft Information Protection (MIP). Azure RMS является ключевым компонентом этой платформы, обеспечивающим защиту данных на уровне файлов.
Дальнейшее развитие Azure RMS связано с интеграцией в Microsoft 365 Compliance Center, где администраторы могут централизованно создавать и применять метки конфиденциальности, использующие Azure RMS для шифрования и управления правами. В 2021 году были добавлены возможности защиты данных в реальном времени при работе с файлами в Microsoft Teams, SharePoint Online и OneDrive for Business.
Архитектура и принцип работы
Основные компоненты
- Azure RMS Client — программное обеспечение, устанавливаемое на устройства пользователей (Windows, macOS, iOS, Android), которое взаимодействует с облачной службой для шифрования и расшифровки файлов, а также для контроля доступа.
- Azure RMS Service — облачная служба в Microsoft Azure, обрабатывающая запросы на шифрование, управление ключами и применение политик. Она использует Azure Key Vault для хранения криптографических ключей.
- Azure Active Directory (Azure AD) (входит в состав Microsoft Entra ID) — служба каталогов и аутентификации, используемая для идентификации пользователей и групп, а также для выдачи токенов доступа.
- Information Protection Agent — компонент, отвечающий за интеграцию с приложениями Microsoft Office (Word, Excel, PowerPoint, Outlook) и другими приложениями.
Процесс защиты
При инициализации защиты файла пользователь указывает политику доступа (список разрешённых лиц и действий). Azure RMS Client генерирует сеансовый ключ шифрования (AES-256), который затем шифруется с помощью открытого ключа Azure RMS Service. Файл шифруется этим сеансовым ключом. Ключ доступа к сеансовому ключу хранится в облачной службе Azure RMS. При попытке открыть защищённый файл клиент обращается к Azure RMS Service, которая проверяет учетные данные пользователя через Azure AD, и если он имеет права, предоставляет сеансовый ключ для расшифровки. Все операции с файлом контролируются политиками использования, которые могут запрещать копирование, печать или пересылку.
Возможности и функции
Шифрование и контроль доступа
Azure RMS обеспечивает шифрование файлов с использованием стандарта AES (Advanced Encryption Standard) с длиной ключа 256 бит. Зашифрованные файлы невозможно прочитать без авторизации, даже если они оказались на стороннем устройстве или в открытом доступе. Политики доступа задаются в явном виде: указываются адреса электронной почты или группы Azure AD, а также разрешённые действия (чтение, изменение, полный контроль). Политики могут быть временными (срок действия истекает) или условными (доступ разрешён только с корпоративного устройства или при соблюдении других условий).
Интеграция с приложениями Microsoft
Azure RMS глубоко интегрирован с программами Microsoft Office (Word, Excel, PowerPoint, Outlook) и облачными сервисами Microsoft 365. В приложениях Office защита реализуется через вкладку «Файл» > «Сведения» > «Защитить документ» (или аналогично в Outlook при отправке письма). Защищённые файлы сохраняют возможность совместной работы (совместное редактирование не поддерживается, но доступен просмотр и рецензирование). В Microsoft Teams и SharePoint Online защита применяется автоматически при загрузке файлов с соответствующими метками конфиденциальности.
Механизмы делегирования и отслеживания
Владельцы защищенных файлов могут отслеживать, кто и когда открывал документ, используя портал Azure RMS или логи Microsoft 365 Compliance Center. Также предусмотрена возможность отзыва доступа — владелец может в любой момент аннулировать права конкретного пользователя или всей группы, после чего открытие файла станет невозможным. Для передачи прав другим пользователям владелец может временно предоставить доступ или автоматически настроить сценарии делегирования (например, через группы Azure AD).
Безопасность и управление ключами
Azure RMS использует два уровня управления ключами: по умолчанию Microsoft управляет ключами в своей облачной инфраструктуре (Bring Your Own Key, BYOK не требуется), либо организация может принести собственные ключи (Bring Your Own Key, BYOK) в Azure Key Vault. Шифрование осуществляется с помощью сеансового ключа, который шифруется сертификатом Azure RMS Service. Все запросы на расшифровку проходят через Azure AD, что обеспечивает единую точку контроля доступа.
Поддержка различных форматов
Служба поддерживает защиту файлов форматов Microsoft Office (DOCX, XLSX, PPTX, PDF), а также некоторых других (например, текстовые файлы TXT, изображения, архивы ZIP) — в последних случаях защита применяется на уровне контейнера, а не содержимого (файл полностью шифруется). Для защиты электронных писем Outlook применяется функция «Не пересылать» (Do Not Forward), которая реализует политики RMS, а также возможность задать срок действия письма.
Классификация
По способу развертывания
- Облачная модель (Azure RMS) — полное развертывание в Microsoft Azure; не требует установки локальных серверов; управление через портал Azure или Microsoft 365 Compliance Center.
- Гибридная модель — совместное использование локального AD RMS и облачного Azure RMS; позволяет защищать файлы как в облаке, так и в локальной сети; требует настройки федерации между Azure AD и локальным AD.
- Локальная модель (AD RMS) — серверное решение на базе Windows Server; не использует Azure; управление осуществляется через локальную консоль.
По типу защиты
- Файловая защита — защита отдельных файлов (документов, писем); политики применяются непосредственно к файлу, что делает его защищённым при любом перемещении.
- Контейнерная защита — защита целых папок или библиотек (например, в SharePoint Online); политики применяются к пространству хранения, а не к отдельному файлу.
- Комбинированная защита — одновременное использование файловой и контейнерной защиты (например, файл защищен как отдельно, так и папка, в которой он лежит).
По механизму управления правами
- Политики, задаваемые пользователем — пользователь вручную указывает права для каждого файла.
- Политики, задаваемые администратором — администратор создает централизованные политики (метки конфиденциальности), которые автоматически применяются к файлам на основе их содержимого (через классификацию в Microsoft Information Protection).
- Автоматические политики — политики, срабатывающие при обнаружении конфиденциальной информации (например, номера кредитных карт, паспортные данные) с помощью DLP (Data Loss Prevention).
Применение и значение
Защита конфиденциальных данных
Azure RMS используется организациями для защиты коммерческой тайны, финансовой отчетности, персональных данных сотрудников и клиентов (в том числе в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных»), интеллектуальной собственности, контрактов и других конфиденциальных документов. Особенно востребована защита при отправке документов по электронной почте или размещении в облачных хранилищах.
Соответствие требованиям регуляторов
Служба помогает организациям выполнять требования международных и национальных стандартов информационной безопасности, включая ISO/IEC 27001, GDPR, HIPAA, PCI DSS, ГОСТ Р ИСО/МЭК 27001 и Федеральный закон № 152-ФЗ. Подтверждённые возможности Azure RMS по шифрованию и аудиту доступа позволяют организациям демонстрировать соответствие нормативным требованиям.
Предотвращение утечек информации
В сочетании с Microsoft Information Protection и DLP Azure RMS позволяет предотвращать утечки данных, блокируя неавторизованный доступ, печать, копирование или пересылку защищённых документов. Автоматическая классификация и защита на основе содержимого снижают риск человеческой ошибки.
Сценарии использования в России
В российских организациях Azure RMS применяется для защиты документов в государственных учреждениях, банках, страховых компаниях, нефтегазовом секторе и других отраслях, где требуется строгий контроль доступа. Служба поддерживается на территории России через дата-центры Microsoft в Москве и Санкт-Петербурге (регионы «Центральный» и «Северо-Западный»), что позволяет выполнять требования по локализации данных.
Ограничения и критика
- Зависимость от облачной инфраструктуры — работа Azure RMS требует постоянного подключения к интернету для проверки прав доступа. В случае сбоев связи или отсутствия доступа к Azure AD защищённые файлы могут стать недоступными (функция «офлайн-доступ» реализована только для предварительно авторизованных пользователей с временными правами).
- Ограничения на совместную работу — защищённые Azure RMS файлы не могут одновременно редактироваться несколькими пользователями (совместное редактирование в реальном времени не поддерживается; доступна только последовательная правка с блокировкой).
- Совместимость с приложениями — поддержка Azure RMS ограничена в сторонних программах (например, Adobe Acrobat Reader не поддерживает защищённые PDF-файлы). Для работы с защищёнными файлами требуется установка Azure RMS Client или использование мобильных приложений Microsoft.
- Стоимость — для использования Azure RMS необходима лицензия Microsoft 365, включающая план E3 или E5 (или отдельная подписка на Azure Information Protection). Это может увеличивать затраты для небольших организаций.
- Юридические аспекты — при защите данных с помощью Azure RMS необходимо учитывать требования законодательства РФ по шифрованию (например, уведомление ФСБ о шифровальных средствах, если используется BYOK с локальным хранением ключей). Microsoft предоставляет техническую документацию для выполнения этих требований.
Примеры использования
- Защита деловых писем — сотрудник отправляет контракт с поставщиком через Outlook, активируя функцию «Не пересылать». Получатель может прочитать письмо, но не может его переслать другим адресатам, скопировать содержимое или распечатать.
- Защита документов в облачных хранилищах — финансовый отчет загружается в SharePoint Online с применением метки «Конфиденциально», которая автоматически шифрует файл. Только утверждённые сотрудники отдела финансов могут открыть его.
- Защита файлов на мобильных устройствах — через приложение Microsoft 365 на iOS или Android пользователь открывает защищённый документ. Служба проверяет права через Azure AD, и если доступ разрешён, документ расшифровывается на устройстве.
- Гибридная защита в локальной сети — организация использует AD RMS для защиты файлов внутри корпоративной сети и Azure RMS для защиты при отправке файлов внешним контрагентам или при работе сотрудников из дома.
См. также
- Управление правами на доступ к информации
- Microsoft Information Protection
- Шифрование данных
- Active Directory Rights Management Services
- Azure Key Vault
Источники
- Microsoft Docs. «What is Azure Rights Management?»
- Microsoft Docs. «Azure RMS deployment roadmap»
- Microsoft 365 Compliance Center. «Overview of sensitivity labels»
- ГОСТ Р ИСО/МЭК 27001. «Управление информационной безопасностью»
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Официальный сайт Microsoft. «Azure Rights Management features»
- Техническая документация Microsoft по локализации данных в России
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →