В предыдущих статьях цикла мы разбирали основные принципы шифрования, BitLocker, TLS, шифрование сообщений Office 365 и управление правами на доступ к данным (IRM). В этой части речь тоже пойдет об управлении правами на доступ к данным.
Имея три основных действующих шаблона, вернемся к кнопке Advanced features («Дополнительные возможности»). В портале Office 365 перейдите к Admin, Service Settings, Rights Management («Администратор»), «Параметры службы», «Управление правами» и выберите Manage («Управление») в центральной панели мониторинга. Вы будете перенаправлены на веб-сайт Azure (повторную процедуру регистрации выполнять не нужно), где обнаружите панель мониторинга, представленную на экране 1.
Экран 1. Панель мониторинга |
До изменений, внесенных сравнительно недавно, единственными шаблонами IRM, доступными в Office 365 или Exchange Online, были три стандартных шаблона, если только вы не проделали дополнительную работу, чтобы подключить клиента Office 365 к службам AD RMS, функционирующим в локальной среде Active Directory. После того, как эта работа будет выполнена, можно локально подготовить и импортировать шаблоны IRM в клиент Office 365 для использования с Exchange Online. С появлением кнопки Advanced features на экране Rights Management («Управление правами») можно дополнить клиент Office 365 пользовательскими шаблонами.
Данная функция несомненно будет совершенствоваться, как и большинство новых возможностей, добавленных в Office 365 (это компонент Azure AD, а не Office 365). Пока схема не совсем идеальна, и варианты создания собственных шаблонов ограничены. Со временем я ожидаю улучшений в обеих категориях, но пока рассмотрим процесс создания пользовательского шаблона.
Строить собственные шаблоны выгодно, и на то есть несколько причин.
- Чтобы определить шаблон с правами пользователя, отсутствующими в шаблонах по умолчанию, таких как View («Просмотр») и Edit («Правка»), но не Copy («Копировать») и Print («Печатать»).
- Чтобы назначать дополнительные права в шаблоне, например установить срок действия для защищенных элементов или возможность доступа к сообщению вне сети.
- Чтобы ограничить действие шаблона некоторым подмножеством пользователей внутри компании через определение области шаблона (на момент подготовки данной статьи эта функция была представлена в предварительной версии, доступной всем для ознакомления).
Администратор не может изменить шаблоны по умолчанию, поэтому для всех изменений необходимо создать новый пользовательский шаблон. Пройдем по этапам данного процесса.
Когда вы перенаправлены на портал https://manage.windowsazure.com. На центральной панели представлен экземпляр Azure AD, связанный с клиентом Office 365 (см. экран 2).
Экран 2. Панель управления Azure AD, связанная с?клиентом Office 365 |
Выбор варианта Rights Management («Управление правами») переносит вас в окно мастера начала процедуры управления правами (см. экран 3).
Экран 3. Мастер управления правами |
Можно пройти по шагам мастера, создав новый шаблон политики, но я начну с копирования существующих шаблонов и добавления режима ограничения срока действия сообщения (два дня).
Выберите шаблон CompanyName — Confidential View Only и Copy («Копировать») в нижней части экрана. В результате будет запущен мастер Copy an existing template («Копировать существующий шаблон»), см. экран 4.
Экран 4. Мастер копирования шаблона |
Я изменил имя, чтобы показать, что в шаблоне есть параметр для ограничения срока действия сообщений двумя днями, и изменил описание, отразив в нем эту информацию. После сохранения ваш список шаблонов будет обновлен и в нем появится новый шаблон (см. экран 5).
Экран 5. Добавление шаблона |
Новый шаблон имеет статус Archived («Архивировано»). Это означает, что контент, созданный с помощью этого шаблона, по-прежнему будет работать, но вы не сможете защитить новый контент с его помощью.
Теперь выберите новый шаблон и щелкните стрелку в поле имени, чтобы изменить его. Перейдите на вкладку Configure («Настройка»). В верхней части окна измените состояние с архивирования на публикацию. Прокрутите вниз. Измените шаблон, указав, что срок действия контента завершится через два дня и контент доступен только через интернет-соединение (см. экран 6).
Экран 6. Изменение шаблона |
Нажмите кнопку Save («Сохранить») в нижней части страницы.
Новый шаблон можно создать и полностью заново. Процесс почти такой же, как при копировании шаблона, и мастер поможет настроить все необходимые параметры.
В Azure появился новый доступный шаблон, но пока к нему нельзя обратиться из почтового ящика Exchange Online. Необходимо импортировать новый шаблон в Exchange Online, а затем загрузить его в Outlook. В конечном итоге Outlook 2013 загрузит новые шаблоны автоматически, но мне не хочется ждать, так что сделаем это вручную.
Выполните удаленное подключение клиента Exchange Online к PowerShell. В первую очередь нужно получить имя TPD (доверенный домен публикации). Выполните команду
Get-RMSTrustedPublishingDomain | FL Name
Для большинства клиентов результат будет «RMS Online – 1». Выяснив имя TPD, выполните команду
Import-RMSTrustedPublishingDomain -Name «RMS Online — 1» -RefreshTemplates -RMSOnline
После того, как команда будет выполнена, подождите несколько минут, а затем выполните следующую команду, чтобы убедиться в успешности импорта новых шаблонов.
Get-RMSTemplate
После того, как Get-RMSTemplate выдаст сообщение о новых шаблонах, остается последний шаг — сделать шаблоны распространенными.
Set-RMSTemplate -Identity "" -Type Distributed
На данном этапе новые шаблоны должны быть доступны в OWA (в силу обновления доступных шаблонов при подключении OWA к Exchange Online). По умолчанию приложения Office (в том числе Outlook) будут загружать новые шаблоны через каждые 7 дней. Чтобы поменять этот интервал, необходимо внести изменения в раздел реестра, указанный на экране 7.
Экран 7. Параметр реестра для изменения интервала загрузки шаблонов |
Кроме того, может потребоваться удалить ранее загруженные шаблоны. Для этого удалите следующую папку.
%localappdata%\Microsoft\MSIPC\Templates
Как отмечалось выше, возможность добавлять новые шаблоны — новшество Azure AD, и можно с большой долей уверенности предположить, что компания Microsoft еще не устранила всех недочетов этой функции. Мне потребовалось несколько попыток, чтобы наконец заставить работать новый шаблон. Кроме того, невозможно создать шаблоны, которые можно было бы отправить пользователям вне вашего собственного клиента Office 365, кроме стандартного шаблона Do Not Forward («Не пересылать»).
Шаблоны IRM можно применить вручную через Outlook или OWA, но это можно сделать и автоматически через правило транспорта и правила защиты Outlook. В следующей статье я расскажу о различных способах применения алгоритмов шифрования и о том, когда лучше использовать каждый из них.
Сейчас Azure поддерживает метод «принеси свой ключ», Bring Your Own Key (BYOK), или возможность импортировать собственный ключ в Azure RMS. После недавнего обновления процесса BYOK в Azure больше не требуется завершать его загрузкой собственного ключа в центр обработки данных Microsoft в Редмонде. На сегодня эти ключи нельзя использовать для Exchange Online IRM, но я уверен, что такая возможность обязательно появится.
В следующей статье мы рассмотрим использование системы S/MIME для Exchange Online.