Microsoft Information Protection
Microsoft Information Protection — это интегрированная платформа корпорации Microsoft, предназначенная для классификации, маркировки, защиты и управления доступом к конфиденциальным данным в облачных и локальных средах. Решение входит в состав пакета Microsoft 365 и позволяет организациям применять политики защиты информации на уровне файлов, электронной почты и баз данных, независимо от того, где эти данные хранятся или передаются. MIP использует единую модель управления метками и шифрованием, интегрируясь с приложениями Office 365 (Word, Excel, PowerPoint, Outlook), SharePoint Online, OneDrive для бизнеса, Microsoft Teams и сторонними системами через SDK.
История
Платформа Microsoft Information Protection была анонсирована в 2015 году как развитие технологии Azure Information Protection (AIP), которая, в свою очередь, возникла из ранее приобретённого компанией Microsoft решения Rights Management Services (RMS) и облачного сервиса Azure RMS. Первоначально основной упор делался на защиту документов с помощью шифрования и управления правами. В 2018 году Microsoft объявила о конвергенции AIP и механизмов классификации данных из Office 365 Security & Compliance Center в единую систему MIP, что позволило унифицировать политики меток и защиты для всех типов контента.
В последующие годы MIP расширил поддержку на macOS, мобильные устройства (iOS, Android) и включил автоматическое обнаружение конфиденциальных данных с использованием встроенных типов (например, номера кредитных карт, паспортные данные, номера социального страхования). В 2021 году компания представила версию MIP для Azure Purview, позволяющую классифицировать и защищать данные в больших хранилищах, таких как Azure Data Lake и SQL Server.
Архитектура и ключевые компоненты
MIP состоит из трёх основных уровней: классификация, маркировка и защита.
Классификация
Классификация данных осуществляется с помощью меток чувствительности (sensitivity labels), которые задаются администратором в центре администрирования Microsoft 365 (Security & Compliance Center). Метки могут быть применены:
- Вручную — пользователем через интерфейс Office (например, кнопка «Чувствительность» в ленте Word).
- Автоматически — на основе политик, анализирующих содержимое файла (например, поиск номера паспорта или ИНН) с помощью встроенных или пользовательских классификаторов на основе регулярных выражений и машинного обучения (Data Classification Service).
- Рекомендовано — система предлагает пользователю применить метку на основе обнаруженных шаблонов.
Метки имеют иерархию от самой низкой (например, «Общедоступный») до самой высокой («Строго конфиденциально»). Администратор может задать наследование меток, например, при создании подпапки или копировании документа.
Маркировка
Маркировка — это визуальное обозначение метки чувствительности. MIP может добавлять в файлы (документы Office, PDF, изображения) следующие элементы:
- Водяные знаки — текст или изображение на каждой странице (например, «Конфиденциально»).
- Колонтитулы и нижние колонтитулы — строки в верхней или нижней части документа.
- Метаданные — метка сохраняется в свойствах файла, что позволяет автоматически определять уровень доступа при загрузке в другие системы.
Защита
Защита основана на шифровании и управлении правами доступа. Компонент Azure RMS (закрыт в 2021 году и заменён на MIP SDK) генерирует ключи шифрования и контролирует, какие субъекты (пользователи, группы) могут выполнять те или иные действия (чтение, редактирование, печать, копирование, пересылка). Шифрование применяется к содержимому файла, а не к контейнеру (например, к тексту документа, а не к архиву). Даже если файл скопирован на USB-накопитель или отправлен по электронной почте, его нельзя расшифровать без действительного ключа от сервера Microsoft (или клиентских ключей, размещённых локально).
### Режимы ключей управления
- Microsoft-managed key — ключ шифрования автоматически создаётся и хранится в Azure, администрируется Microsoft.
- Customer-managed key — организация использует свой ключ, хранящийся в Azure Key Vault.
- Double key encryption (DKE) — для данных с особыми требованиями (например, государственные тайны) используется два ключа: один управляется организацией локально, второй — в облаке, ни один из них не позволяет расшифровать данные по отдельности.
Интеграции и применение
MIP встроен в широкий спектр продуктов Microsoft:
Microsoft 365 Apps
Пользователи Office (Word, Excel, PowerPoint, Outlook) видят кнопку «Чувствительность» на вкладке «Главная». При открытии документа, защищённого правом доступа, они могут вводить учётные данные Microsoft 365 или получать одноразовую ссылку на веб-версию.
SharePoint и OneDrive
В этих хранилищах MIP также автоматически присваивает метки на основе политик. Защищённые файлы могут быть открыты только авторизованными пользователями, при этом система поддерживает проверку доступа через браузер (в том числе на устройствах без установленного Office).
Microsoft Teams
Метки чувствительности могут быть применены к каналам и чатам. Например, метка «Конфиденциально» может автоматически запрещать создание сторонних гостей или копирование сообщений.
Exchange Online
MIP защищает электронные письма, шифруя их содержимое и вложения. Поддерживается автоматическая маркировка писем по теме или отправителю.
Power Platform и Dynamics 365
Эти платформы также поддерживают MIP для защиты данных, например, при экспорте отчётов из Power BI в файлы Excel с применением меток.
Ограничения и критика
Несмотря на широкий функционал, MIP имеет ряд ограничений:
- Совместимость файлов: шифрование и метки применимы в первую очередь к документам Office (Office Open XML) и PDF (ограниченная поддержка). Файлы других форматов (изображения, архивы, базы данных) могут быть защищены только косвенно (например, через шифрование всего контейнера).
- Сложность настройки: для крупных организаций требуется тонкая настройка классификаторов на основе машинного обучения, что может потребовать времени на обучение модели (до 48 часов для начального обучения).
- Пользовательский опыт: если пользователь не имеет лицензии Office 365 или использует старую версию (Office 2016 и ниже), он не сможет открыть защищённый документ (предупреждение: в документации рекомендуется использовать Office 365 ProPlus).
- Зависимость от облака: для расшифровки файлов требуется доступ к облачным серверам Microsoft (за исключением конфигураций с локальным RMS, которые сейчас считаются устаревшими). При отсутствии интернета защищённый файл становится недоступным.
Сравнение с аналогами
Основными конкурентами MIP на рынке DLP (Data Loss Prevention) и информационной защиты являются:
- Broadcom (Symantec) Information Centric Security — схожая концепция маркировки и шифрования, но с более гибкой поддержкой не-Microsoft сред (SAP, Oracle).
- Titus (приобретён HelpSystems) — решение для классификации с интеграцией в Microsoft Office и Lotus Notes.
- Vera Security — продукт для защиты данных с управлением правами на уровне файлов и отслеживанием доступа.
Интересные факты
- В августе 2022 года Microsoft объявила, что MIP станет обязательным для всех клиентов Microsoft 365 с подпиской E5, хотя базовая версия меток доступна и в подписках E1/E3.
- Платформа использует алгоритм шифрования AES-256 для защиты контента.
- Для просмотра защищённых сообщений электронной почты на устройствах без Office можно использовать веб-клиент Outlook в браузере.
Источники
- Microsoft Documentation: «Microsoft Information Protection (MIP) overview» — Microsoft Learn, 2023.
- Microsoft Security Blog: «Unifying data classification and protection with Microsoft Information Protection» — 2018.
- Microsoft Purview compliance portal: «Sensitivity labels» — 2024.
- Gartner Market Guide for Data Loss Prevention — 2022.
- TechRepublic: «How to set up Microsoft Information Protection sensitivity labels» — 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →