View
3
Download
0
Category
Preview:
Citation preview
2016
Ching-Yi Lin 林敬沂Technology Solutions Professional 專案技術副理chinli@microsoft.com
商業資料保險箱,檔案加密一指通Azure RMS 企業資源防護機制
Microsoft IntuneMicrosoft Azure Active Directory
Premium
Microsoft Azure Rights Management
Premium
行動裝置與應用程式管理
身分稽核管理 資料防護 攻擊偵測與分析
Advanced Threat Analytics
連接內部AD與雲端集中身分管理
多因素驗證不限次數吃到飽
單一登入、自助式服務平台
機器學習帳號安全監控報表
跨平台、跨裝置
利用 MDM 保護裝置安全
利用 MAM 保護公司應用程式與資料
跨平台、系統、格式
加解密檔案
授權保護企業資源
機器學習即時偵測AD內部可疑活動與威脅
零時差攻擊立刻通知
2016
您是否有以下需求?高價值的重要檔案資產
避免外洩、竊取、權限濫用,強化存取權限管控
透過郵件寄送重要檔案給外部人員 報(詢)價單、上下游商業機密檔案、追蹤檔案在外部的流向與存取狀況
高階管理人郵件保護 重要內部公告避免員工意外轉寄、全部回覆、加入其他人員等
協作網站上的檔案共享同時保護 文件不落地、落地及加密避免離線濫用分享
保護 LoB 應用程式所產生的報表 SAP, custom LoB apps, etc.
商業資料保險箱:結合檔案庫,從源頭實施檔案保護 SharePoint, OD4B, File Servers
2016
您是否有以下需求?
調查對象包括:
313 個組織/企業
17,000,000 位使用者
平均每組織 54,000 位使用者
降低與他人共用時的資料外洩風險 (B2B 協同合作)
區隔機密資訊以防止未經授權的使用者取得
防止心懷不軌的員工洩露機密
符合法規遵循
96%
94%
89%
87%
2016
妥善的管理機制檔案隨業務需求流通到外部檔案保護與法規遵循便益發困難
• B2B/B2C 的檔案交換需求• 現有系統整合• 文件與檔案支援• 行動裝置瀏覽• 身分認證整合
2016
Frost and Sullivan 研究報告
2016
KuppingerCole 研究報告
2016
aEZQAR]ibr{qU@M]BXNoHp9nMDAtnBfrfC;jx+Tg@XL2,Jzu()&(*7812(*:
使用權 +
Azure RMS 101
可樂成分秘方
水糖
棕色 16 號食用色素
保護 解除保護
使用權和對稱金鑰儲存於檔案中,視為「授權」
每個檔案會由獨特的AES 對稱金鑰保護
授權會由使用者擁有的 RSA 金鑰加以保護
水糖
棕色 16 號食用色素
2016
Feature AD RMS Azure RMS
可作跨網域機敏資料 RMS 檔案版權管理加密,不須網域信任,不須 Windows Live ID ●
提供使用者(加密人)RMS 加密檔案追蹤平台,掌握檔案的流向與開啟狀況 ●
系統自動寄發郵件通知給使用者(加密人),通知檔案的開啟狀況 ●
使用者(加密人)可隨時遠端註銷權限,收回存取權 ●
身分驗證時可串接多因素驗證 ●
可原生整合 Windows 10 Enterprise Data Protection 企業機敏資料防護 ●
行動裝置、PC、Mac 可開啟 RMS 加密檔案●
行動裝置需加裝Mobile Extension
●
可整合 Exchange, SharePoint, File Server (Windows Server FCI 架構) ● ●
可整合 Exchange Online, SharePoint Online ●
AD RMS 與 Azure RMS 比較
https://technet.microsoft.com/en-us/library/jj739831.aspx
2016
使用 Azure AD 做為信任架構
Azure Active Directory
ADFS
內部部署組織進行完整同步處理
內部部署組織進行部分同步處理
組織完全位於雲端
所有組織都能彼此互動信任、授權、驗證
透過節點註冊建立組織
Microsoft AzureActive Directory
Microsoft AzureActive Directory 微軟雲端服務
IntuneAzure
Office 365Azure Rights Management
微軟雲端服務
IntuneAzure
Office 365Azure Rights Management
2016
Azure RMS 的最低需求同步設定檔
Cn (通用名稱) jdoe
displayName John Doe
Mail john.doe@contoso.com
proxyAddresses SMTP:john.doe@contoso.com
userPrincipalName john.doe@contoso.com
accountEnabled True
objectSID (同步 ID) 01 05 00 05 15 00 00 E2 DB … CF A1 29 71 04 00 00
pwdLastSet 20141013171110.0Z
sourceAnchor (用於授權) NyWoidInKk2S4xtxK+GsbQ==
usageLocation (用於授權) DE
需要的 PII 資料僅包括名字、姓氏和電子郵件地址
2016
情境:透過郵件寄送重要檔案給外部人員
2016
2016
1. 透過 email即可跨網域分享機敏文件
2. 設定檔案生命週期3. 可郵件通知檔案開啟狀況4. 可遠端註銷檔案權限
2016
2016
有授權使用者
2016
Email 通知:成功開啟
2016
無授權使用者
2016
Email 通知:拒絕存取
22
23
24
25
2016
情境:高階管理人郵件保護
2016
高階管理人/研發人員郵件保護
• 防止高機敏性郵件任意散布禁止收件人轉寄、複製等權限
• 防止員工不小心「全部回覆」禁止全部回覆,但允許其他操作
• 針對特定關鍵字、寄件人自動加密設定郵件傳輸規則
2016
整合 Exchange郵件傳輸規則
2016
2016
協作網站上作檔案共享同時保護
33
拖拉即可上傳檔案
個人文件庫分享與權限管理
技術社群入口
產品相關文件庫
2016
SharePoint 文件版權管理
2016
於Browser中亦可看到文件被設定的資訊版權限制
2016
PowerPoint Client可看到文件被設定的資訊版權限制
2016
SharePoint 文件版權管理範本權限
SharePoint文件庫權限設定 IRM權限
設計、編輯、參與 檢視、編輯、複製、儲存
讀取 檢視
僅檢視 僅能線上瀏覽,不能下載(文件不落地)
建立新的子網站、檢視清單、僅能檢視網頁與項目清單
沒有對應IRM權限
Active Directory
File Server
Exchange Server
Active Directory Federation
Services (AD FS)
Azure Active Directory
Directory Synchronization Tool
Azure Active Directory/
Office 365 tenant
Azure Rights Management service
Activated by tenant
administrator
Rights Management
connector
SharePoint Server
2016
接下來還有什麼精彩的?
Windows 10 企業資料防護 Enterprise Data Protection 裝置註冊納管才能存取企業檔案
企業
裝置註冊在家辦公
裝置註冊行動辦公
加密金鑰原則派送憑證派送企業軟體管理
加密金鑰原則派送憑證派送
企業軟體管理
區隔企業與個人資料企業納管的應用程式儲存檔案可自動加密從企業網路進入到裝置的資料可自動加密
2016
關注我們:https://twitter.com/TheRMSGuy
深入了解:http://www.Microsoft.com/rms
深入探索:http://curah.microsoft.com/56313
如有問題,請寄電子郵件至 AskIPteam@Microsoft.com
IT 專業人員部落格:http://blogs.technet.com/b/rms
馬上參與:https://www.yammer.com/AskIPteam
註冊:http://portal.aadrm.com
下載:http://portal.aadrm.com/home/download
瞭解更多
2016
LinksAzure RMS
• News: https://aka.ms/rmsnews
• Blogs: https://aka.ms/rmsblog
• Slide: https://aka.ms/rmsdeck
• Demos: https://aka.ms/rmsdemodeck
• Video Presentation: https://aka.ms/rmsvideo
• WWW: https://aka.ms/rmshome
• Overview: https://aka.ms/rmsgetstarted
• Security: https://aka.ms/rmssec
• Connect: https://www.linkedin.com/in/danpl
• Forum: https://www.yammer.com/AskIPteam
Azure Key Vault
• News: https://aka.ms/rmsnews
• Blogs: https://aka.ms/kvblog
• Documentation: https://aka.ms/kvdocs
• WWW: https://aka.ms/kv
• Overview: https://aka.ms/kvblog
Recommended