Artykuł pochodzi z wydania: Październik 2020
Firmowe dokumenty to podstawowe zasoby każdego przedsiębiorstwa. Dlatego niezmiernie ważne jest zapewnienie im należytego zabezpieczenia. Możliwości znacznie się zwiększają, jeśli w ramach swojej infrastruktury wykorzystujemy sprawdzoną platformę do zarządzania ich ochroną.
Azure Information Protection to uniwersalny mechanizm, oparty na usłudze chmurowej Azure Rights Management, zwanej również Azure RMS. Dzięki niej możliwe jest przypisywanie dokumentom czy wiadomościom e-mail odpowiednich etykiet i na tej podstawie narzucanie należytych środków ochrony. Może to być klasyfikowanie, zabezpieczanie lub obydwie metody jednocześnie. Dodatkowo zasoby są odpowiednio oznaczane oraz szyfrowane. Wszystko po to, by mieć pewność, dla jakich tożsamości i na jakim poziomie nadawany jest dostęp. Klasyfikowanie dokumentów pozwala głównie na wizualne oznaczanie plików poprzez automatyczne narzucanie dodatkowego nagłówka, stopki lub znaku wodnego do dokumentu. Przypisywane metadane pozwalają innym usługom na podejmowanie dodatkowych działań.
> Klasyfikacja poufności
Pierwotnie usługa Rights Management opierała się głównie na ochronie dokumentów pakietu Office. Jednak dzięki zastosowaniu uniwersalnego klienta Azure Information Protection część składników ochrony została rozszerzona o obsługę dodatkowych popularnych typów plików, na przykład pliki pdf, txt, xml, jpg i wiele innych. Należy pamiętać, że zabezpieczony dokument jest chroniony niezależnie od tego, gdzie się znajduje – może być on zapisany w usłudze chmurowej, lokalnie na dysku komputera czy nawet przesłany poza infrastrukturę organizacji. Ochrona podąża wraz z danym zasobem, tak więc jego zawartość zawsze jest zabezpieczona na tym samym poziomie. Jak już wspomniano, aby usługa Azure Information Protection mogła chronić poszczególne dokumenty, muszą być dla nich przypisane odpowiednie etykiety. Może się to odbywać w dwojaki sposób. Mianowicie użytkownicy końcowi ręcznie przypisują etykiety do dokumentów, na których pracują. Dzięki temu każdy z użytkowników może indywidualnie sterować poziomem ochrony dla poszczególnych zasobów. Jednakże często bywa tak, iż w niektórych przypadkach musimy mieć pewność, że ochrona na konkretnym poziomie zostanie zawsze zastosowana. Aby rozwiązać ów problem, należy zastosować automatyczne etykietowanie dokumentów na podstawie zdefiniowanych warunków. Jednym z wielu przykładów jest automatyczne etykietowanie po wykryciu w zawartości dokumentu konkretnego typu danych – np. numer PESEL bądź numery kart kredytowych. Gdy wspomniany typ zawartości zostanie wykryty wśród zasobów platformy Office 365, usługa Azure Information Protection automatycznie przypisze stosowną etykietę do dokumentu i rozpocznie jego ochronę.
Aby możliwe było pełne wykorzystanie usługi Azure Information Protection, konieczne jest posiadanie odpowiedniej licencji na usługę w chmurze. Do wyboru są cztery poziomy uprawnień. Pierwszy – samoobsługowy dostęp bezpłatny dotyczy tylko i wyłącznie możliwości odczytywania chronionych zasobów przez osoby, którym wysłano chronione pliki. Pierwszy realny poziom zabezpieczeń możemy uzyskać wraz z licencją Azure Information Protection dla usługi Office 365 dostępną w planie Office 365 Enterprise E3 lub wyższym. Dzięki niej stosujemy ochronę zawartości usług Exchange Online, SharePoint Online czy OneDrive dla Firm. Jeżeli zamierzamy umożliwić użytkownikom ręczne etykietowanie dokumentów lub chronić nie tylko dokumenty pakietu Office, konieczne jest skorzystanie z wyższej licencji. Wymagane będą wtedy licencje typu Premium – jak na przykład Azure Information Protection Premium P1. Ostatnim poziomem uprawnień jest Azure Information Protection Premium P2, który rozszerza pewne funkcjonalności, m.in. możliwość wykorzystywania automatycznego klasyfikowania zawartości czy na przykład skanowania usługi AIP do ochrony plików w środowisku lokalnym.
> Aktywacja usługi
Aby rozpocząć przygodę z Azure Information Protection, konieczna jest weryfikacja stanu usługi Azure Rights Management. Aby korzystać z ochrony, musimy upewnić się, czy opcja ta została aktywowana w ramach naszej dzierżawy. W zależności od tego, kiedy subskrypcja Azure RMS została uzyskana, usługa może być aktywowana automatycznie. Dokonujemy tego na wiele sposobów, za pośrednictwem portalu administracyjnego platformą Azure, z poziomu konsoli Windows PowerShell (wykorzystując moduł AIPService) lub za pomocą portalu administracyjnego usługą Office 365. Ponieważ omawiamy ochronę usługi Office 365 skorzystamy z ostatniej opcji. W ramach wspomnianego portalu zarządzania platformą Office 365 wystarczy przejść do sekcji Ustawienia organizacji (Settings – Org settings), odszukać żądaną usługę Microsoft Azure Information Protection i przejść do strony zarządzania ustawieniami usługi.
[…]
Michał Gajda
Autor ma wieloletnie doświadczenie w administracji oraz implementowaniu nowych technologii w infrastrukturze serwerowej. Pasjonat technologii Microsoft. Posiada tytuł MVP Cloud and Datacenter Management. Autor webcastów, książek oraz publikacji w czasopismach i serwisach branżowych.