什麼是 Azure 版權管理?
Azure Rights Management (Azure RMS) 是 Azure 資訊保護 所使用的雲端式保護技術。
Azure RMS 可 協助保護 多個裝置上的檔案和電子郵件,包括手機、平板電腦和計算機,方法是使用加密、身分識別和授權原則。
例如,當員工將檔傳送電子郵件給合作夥伴公司,或將檔儲存至其雲端磁碟驅動器時,Azure RMS 的持續保護有助於保護數據的安全。
即使數據離開組織界限,保護設定仍會與您的數據保持一起,讓您的內容在組織內外都受到保護。
對於合規性、法律探索需求,或資訊管理的最佳作法,Azure RMS 在法律上可能是必要的 。
使用 Azure RMS 搭配 Microsoft 365 個訂用帳戶或 Azure 資訊保護 的訂用帳戶。 如需詳細資訊,請參閱 安全性與合規性 Microsoft 365 授權指引頁面。
Azure RMS 可確保已授權的人員和服務,例如搜尋和編製索引,可以繼續讀取及檢查受保護的數據。
確保授權人員和服務持續存取,也稱為「對數據進行推理」,是維護組織數據控制的關鍵元素。 使用對等加密的其他資訊保護解決方案,可能無法輕易完成這項功能。
保護功能
功能 | 描述 |
---|---|
保護多個文件類型 | 在 Rights Management 的早期實作中,只有 Office 檔案可以使用內建 Rights Management 保護來保護。 Azure 資訊保護 提供其他文件類型的支援。 如需詳細資訊,請參閱 支援的文件類型。 |
隨時隨地保護檔案 | 當檔案受到 保護時,即使檔案已儲存或複製到未受 IT 控制的記憶體,例如雲端記憶體服務,保護仍會與檔案一起保留。 |
共同作業功能
功能 | 描述 |
---|---|
安全地共享資訊 | 受保護的檔案 可以安全地與其他人共用,例如電子郵件附件或 SharePoint 網站的連結。 如果敏感性資訊位於電子郵件訊息內,請保護電子郵件,或使用 Outlook 中的 [不要轉寄 ] 選項。 |
支援企業對企業共同作業 | 因為 Azure Rights Management 是雲端服務,因此您不需要明確設定與其他組織的信任,才能與他們共享受保護的內容。 系統會自動支援與其他已擁有 Microsoft 365 或 Microsoft Entra 目錄的組織共同作業。 對於沒有 Microsoft 365 或 Microsoft Entra 目錄的組織,用戶可以註冊個人版的免費 RMS 訂用帳戶,或使用Microsoft帳戶作為支援的應用程式。 |
提示
附加受保護的檔案,而不是保護整個電子郵件訊息,可讓您保持電子郵件文字未加密。
例如,如果電子郵件在組織外部傳送,您可能想要包含第一次使用的指示。 如果您附加受保護的檔案,則任何人都可以讀取基本指示,但只有授權的使用者才能開啟檔,即使電子郵件或文件轉寄給其他人也一樣。
平台支援功能
Azure RMS 支援廣泛的平台和應用程式,包括:
功能 | 描述 |
---|---|
常用的裝置 不只是 Windows 電腦 |
用戶端裝置包括: - Windows 計算機和手機 - Mac 電腦 - iOS 平板電腦和手機 - Android 平板電腦和手機 |
內部部署服務 | 除了順暢地使用 Office 365 之外,當您部署 RMS 連接器時,請使用 Azure Rights Management 搭配下列內部部署服務: - Exchange Server - SharePoint Server - 執行檔案分類基礎結構的 Windows Server |
應用程式擴充性 | Azure Rights Management 與 Microsoft Office 應用程式 lications 和服務緊密整合,並使用 Azure 資訊保護 客戶端擴充對其他應用程式的支援。 Microsoft 資訊保護 SDK 為您的內部開發人員和軟體廠商提供 API,以撰寫支援 Azure 資訊保護 的自定義應用程式。 如需詳細資訊,請參閱 支援 Rights Management API 的其他應用程式。 |
基礎結構功能
Azure RMS 提供下列功能來支援 IT 部門和基礎結構組織:
注意
組織一律可以選擇停止使用 Azure Rights Management 服務,而不會失去先前受 Azure Rights Management 保護的內容存取權。
如需詳細資訊,請參閱 解除委任和停用 Azure Rights Management。
建立簡單且彈性的原則
自定義保護範本提供快速且簡單的解決方案,讓系統管理員套用原則,並讓使用者為每個檔套用正確的保護層級,並限制對組織內部人員的存取。
例如,若要讓全公司策略檔與所有員工共用,請將只讀原則套用至所有內部員工。 對於更敏感的檔,例如財務報告,請只限制主管的存取權。
在 Microsoft Purview 合規性入口網站 中設定標籤原則。 如需詳細資訊,請參閱 Microsoft 365 的敏感度標籤檔。
輕鬆啟用
對於新的訂用帳戶,啟用是自動的。 針對現有的訂用帳戶, 啟用 Rights Management 服務 只需要在管理入口網站中按幾下,或兩個 PowerShell 命令。
稽核和監視服務
稽核及監視受保護檔案的使用 狀況,即使這些檔案離開組織的界限也一般。
例如,如果 Contoso, Ltd 員工在與 Fabrikam, Inc 的三個人共同專案上工作,他們可能會將受保護的檔傳送給 Fabrikam 合作夥伴,並限制為 唯讀的檔。
Azure RMS 稽核可以提供下列資訊:
Fabrikam 合作夥伴是否開啟檔,以及何時開啟。
未指定、未嘗試且無法開啟檔的其他人員。 如果電子郵件已轉寄或儲存至共用位置,就可能發生此情況。
AIP 系統管理員可以 追蹤檔使用量,並撤銷 Office 檔案的存取權 。 用戶可以視需要撤銷其受保護檔的存取權。
跨組織調整的能力
因為 Azure Rights Management 是以雲端服務的形式執行,具有 Azure 彈性以相應增加和相應放大,因此您不需要布建或部署額外的內部部署伺服器。
維護對數據的IT控制
組織可以從IT控制功能中獲益,例如:
功能 | 描述 |
---|---|
租使用者金鑰管理 | 使用租使用者金鑰管理解決方案,例如攜帶您自己的金鑰 (BYOK) 或雙金鑰加密 (DKE)。 如需詳細資訊,請參閱: - 規劃和實作您的 AIP 租使用者金鑰 - Microsoft 365 檔中的 DKE。 |
稽核和使用方式記錄 | 使用稽核和使用 記錄 功能來分析商業見解、監視濫用狀況,以及執行資訊外泄的鑑識分析。 |
存取委派 | 使用 進階使用者功能委派存取權,確保IT一律可以存取受保護的內容,即使檔受到隨後離開組織的員工的保護也一樣。 相較之下,點對點加密解決方案可能會失去公司數據的存取權。 |
Active Directory 同步處理 | 使用混合式身分識別解決方案,例如 Microsoft Entra Connect,只同步處理 Azure RMS 需要為您的 內部部署的 Active Directory 帳戶提供通用身分識別的目錄屬性。 |
單一登錄 | 使用AD FS啟用單一登錄,而不復寫密碼至雲端。 |
從 AD RMS 移轉 | 如果您已部署 Active Directory Rights Management Services (AD RMS), 請移轉至 Azure Rights Management 服務 ,而不會失去先前受 AD RMS 保護的數據存取權。 |
安全性、合規性和法規需求
Azure Rights Management 支援下列安全性、合規性和法規需求:
使用業界標準密碼編譯並支援 FIPS 140-2。 如需詳細資訊,請參閱 Azure RMS 所使用的密碼編譯控件:演算法和密鑰長度 資訊。
支援 nCipher nShield 硬體安全性模組 (HSM) 將租使用者密鑰儲存在 Azure 資料中心Microsoft。
Azure Rights Management 會針對位於 北美洲、EMEA(歐洲、中東和非洲)和亞洲的數據中心使用個別的安全性世界,因此您的密鑰只能在您的區域中使用。
下列標準的認證:
- ISO/IEC 27001:2013 (./包括 ISO/IEC 27018)
- SOC 2 SSAE 16/ISAE 3402 證明
- HIPAA BAA
- 歐盟模型條款
- FedRAMP 作為 Office 365 認證中Microsoft Entra ID 的一部分,頒發了由 HHS 運作的 FedRAMP 機構授權單位
- PCI DSS Level 1
如需這些外部認證的詳細資訊,請參閱 Azure 信任中心。
下一步
如需 Azure Rights Management 服務運作方式的詳細資訊,請參閱 Azure RMS 的運作方式?
如果您熟悉 Rights Management 的內部部署版本 Active Directory Rights Management Services (AD RMS),您可能會對比較 Azure Rights Management 和 AD RMS 中的比較數據表感興趣。