Azure Rights Management 有時縮寫為 Azure RMS,是 Microsoft Purview 資訊保護的主要雲端式加密服務。
Azure Rights Management 可協助使用加密、身分識別和授權原則,跨多個裝置 (包括手機、平板電腦和電腦) 保護檔案和電子郵件等專案。
例如,當員工透過電子郵件將檔傳送給合作夥伴公司,或將檔儲存至其雲端磁碟機時,Azure Rights Management 的持續性加密有助於保護資料。
加密設定會保留在您的資料中,即使資料離開組織的界限,也能保護您的內容在組織內外。
法律上可能需要加密 ,以確保合規性、法律發現要求或資訊管理的最佳實務。
搭配 Microsoft 365 訂用帳戶或 Microsoft Purview 資訊保護訂用帳戶使用 Azure Rights Management。 如需詳細資訊,請參閱 Microsoft 365 安全性 & 合規性授權指引 頁面。
Azure Rights Management 可確保授權人員和服務 (例如搜尋和索引) 可以繼續讀取和檢查加密資料。
確保授權人員和服務的持續存取(也稱為「資料推理」)是維持對組織資料控制的關鍵要素。 使用對等加密的其他資訊保護解決方案可能不容易完成這項功能。
保護功能
| 功能 | 描述 |
|---|---|
| 加密多種檔案類型 | 在 Rights Management 的早期實作中,只能使用內建的 Rights Management 保護來加密 Office 檔案。
Azure Rights Management 提供其他檔案類型的支援。 如需詳細資訊,請參閱 支援的檔案類型。 |
| 隨時隨地保護檔案 | 當檔案加密時,此保護會保留在檔案中,即使檔案已儲存或複製到不受 IT 控制的儲存體,例如雲端儲存體服務。 |
共同作業功能
| 功能 | 描述 |
|---|---|
| 安全地共享信息 | 加密的檔案可以安全地與他人共用,例如電子郵件的附件或 SharePoint 網站的連結。
如果敏感資訊位於電子郵件訊息中,請加密電子郵件,或使用 Outlook 中的 「請勿轉寄」 選項。 |
| 支援企業對企業協作 | 由於 Azure Rights Management 是雲端服務,因此通常不需要先明確設定與其他組織的信任,才能與其他組織共用加密內容。
根據預設,會自動支援與已有 Microsoft 365 或 Microsoft Entra 目錄的其他組織共同作業。 進階組態或特殊案例可能需要一些 額外的組態 。 對於沒有 Microsoft 365 或 Microsoft Entra 目錄的組織,使用者可以註冊免費的個人 RMS 訂閱,或使用 Microsoft 帳戶來取得支援的應用程式。 |
提示
附加加密檔案,而不是加密整個電子郵件訊息,可讓您保持電子郵件文字未加密。
例如,如果電子郵件是傳送到組織外部,您可能想要包含首次使用的指示。 如果您附加加密文件,任何人都可以閱讀基本說明,但只有授權使用者才能開啟文件,即使電子郵件或文件已轉發給其他人也是如此。
平台支援功能
Azure Rights Management 服務支援廣泛的平台和應用程式,包括:
| 功能 | 描述 |
|---|---|
|
常用設備 不僅僅是 Windows 電腦 |
用戶端裝置包括: - Windows 電腦和手機 - Mac 電腦 - iOS 平板電腦和手機 - Android 平板電腦和手機 |
| 內部部署服務 | 除了順暢地使用 Microsoft 365 之外,當您部署 Microsoft Rights Management 連接器時,您還可以將 Azure Rights Management 與下列內部部署服務搭配使用: - Exchange Server - SharePoint Server - Windows Server執行檔案分類基礎結構 |
| 應用程式擴充性 | Azure Rights Management 與 Microsoft 365 應用程式和服務緊密整合,並使用 Microsoft Purview 資訊保護用戶端來擴充其他應用程式的支援。
Microsoft 資訊保護 SDK 為您的內部開發人員和軟體廠商提供 API,以撰寫支援 Azure Rights Management 服務的自訂應用程式。 |
基礎設施功能
Azure Rights Management 服務提供下列功能來支援 IT 部門和基礎結構組織:
注意事項
組織一律可以選擇停止使用 Azure Rights Management 服務,而不會失去先前受 Azure Rights Management 保護之內容的存取權。
如需詳細資訊,請參閱解除 委任和停用 Azure Rights Management 服務。
建立簡單且靈活的政策
與 敏感度標籤 一起套用的加密設定可讓系統管理員快速輕鬆地套用資訊保護原則,並讓使用者視需要為每個專案套用正確的保護層級。
例如,若要與所有員工共用全公司策略文件,請將唯讀原則套用至所有內部員工。 對於較敏感的文件,例如財務報告,請限制僅高階主管的存取權。
如需詳細資訊,請參閱 使用敏感度標籤來套用加密來限制內容的存取。
輕鬆啟動
對於新訂閱,啟動是自動的。 針對現有的訂用帳戶, 啟用 Rights Management 服務 只需要兩個 PowerShell 命令。
審核和監控服務
稽核和監控 加密檔案的使用情況,即使這些檔案離開組織的界限也一樣。
例如,如果 Contoso, Ltd 員工與 Fabrikam, Inc 的三個人進行聯合專案,他們可能會傳送加密且限制為 唯讀的檔給 Fabrikam 合作夥伴。
Azure Rights Management 稽核可以提供下列資訊:
Fabrikam 合作夥伴是否開啟檔,以及何時開啟檔。
是否其他未指定、嘗試開啟文件且失敗的人。 如果電子郵件已轉寄或儲存到共用位置,則可能會發生這種情況。
系統管理員可以 追蹤文件使用情況,並撤銷 Office 檔案的存取權。 用戶可以根據需要撤銷其標記和加密文檔的 訪問權限 。
能夠在整個組織中擴展
由於 Azure Rights Management 會以雲端服務的形式執行,並具有 Azure 彈性來相應增加和相應放大,因此您不需要佈建或部署其他內部部署伺服器。
維持 IT 對資料的控制
組織可以從 IT 控制功能中受益,例如:
| 功能 | 描述 |
|---|---|
| 租用戶金鑰管理 | 使用租戶金鑰管理解決方案,例如自帶金鑰 (BYOK) 或雙金鑰加密 (DKE) 。 如需詳細資訊,請參閱: - 規劃和實作您的 Azure Rights Management 租用戶金鑰 - 什麼是 DKE) (雙密鑰加密? |
| 稽核和使用情況記錄 | 使用稽核和 使用情況記錄 來分析業務見解、監控濫用情況,以及針對資訊外洩執行取證分析。 |
| 存取委派 | 使用 超級使用者功能委派存取權限,確保 IT 始終可以存取加密內容,即使文件是由員工加密的,然後離開組織也是如此。
相較之下,點對點加密解決方案可能會失去對公司資料的存取權限。 |
| Active Directory 同步處理 | 使用混合式身分識別解決方案 (例如 Microsoft Entra Connect),只同步處理 Azure RMS 支援內部部署 內部部署的 Active Directory 帳戶通用身分識別所需的目錄屬性。 |
| 單一登入 | 使用 AD FS 啟用單一登入,而不將密碼複寫至雲端。 |
| 從 AD RMS 移轉 | 如果您已將 Active Directory Rights Management Services 部署 (AD RMS) ,請 移轉至 Azure Rights Management 服務 ,而不會失去先前由 AD RMS 加密之資料的存取權。 |
安全性、合規性和法規要求
Azure Rights Management 支援下列安全性、合規性和法規需求:
使用業界標準密碼編譯,並支援 FIPS 140-2。 如需詳細資訊,請參閱 密碼編譯控制項:演算法和金鑰長度 資訊。
支援 nCipher nShield 硬體安全性模組 (HSM) ,以將您的租用戶金鑰儲存在 Microsoft Azure 資料中心。
Azure Rights Management 會針對其位於 北美洲、歐洲、中東和非洲 (、中東和非洲) ,以及亞洲的資料中心使用個別的安全性世界,因此您的金鑰只能在您的區域中使用。
以下標準的認證:
- ISO/IEC 27001:2013 (/包括 ISO/IEC 27018)
- SOC 2 SSAE 16/ISAE 3402 證明
- HIPAA BAA
- 歐盟示範條款
- FedRAMP 作為 Office 365 認證中的 Microsoft Entra ID 的一部分,已頒發 HHS 的 FedRAMP 機構營運授權
- PCI DSS 1 級
如需這些外部認證的詳細資訊,請參閱 Microsoft 信任中心。
常見問題集
我們針對 Microsoft Purview 資訊保護 的 Azure Rights Management 加密服務的一些更常見問題:
檔案是否必須位於雲端中,才能由 Azure Rights Management 服務加密?
不,這是一個常見的誤解。 Azure Rights Management 服務 (和Microsoft) 不會在加密程式中看到或儲存您的資料。 您加密的資訊絕不會傳送至 Azure 或儲存在 Azure 中,除非您明確將資訊儲存在 Azure 中,或使用其他雲端服務將其儲存在 Azure 中。
如需詳細資訊,請參閱 Azure Rights Management 服務的運作方式:技術詳細資料 ,以瞭解 Azure Rights Management 服務如何加密內部部署建立和儲存的秘密公式,但仍保留在內部部署。
Azure Rights Management 加密與其他 Microsoft 雲端服務中的加密有何差異?
Microsoft 提供多種加密技術,可讓您針對不同且通常是互補的案例保護資料。 例如,雖然 Microsoft 365 為儲存在 Microsoft 365 中的資料提供待用加密,但來自 Microsoft Purview 資訊保護 的 Azure Rights Management 服務會獨立加密您的資料,以便無論資料位於何處或如何傳輸,都會受到保護。
這些加密技術是互補的,使用它們需要獨立啟用和配置它們。 當您這樣做時,您可以選擇攜帶自己的金鑰進行加密,這種情況也稱為「BYOK」。為其中一項技術啟用 BYOK 不會影響其他技術。 例如,您可以將 BYOK 用於 Azure Rights Management 服務,而不將 BYOK 用於其他加密技術,反之亦然。 這些不同技術使用的金鑰可能相同或不同,視您配置每個服務的加密選項的方式而定。
我看到 Microsoft Rights Management Services 被列為條件式存取的可用雲端應用程式,這如何運作?
是,您可以設定 Azure Rights Management 服務的 Microsoft Entra 條件式存取。
當使用者開啟由 Azure Rights Management 服務加密的文件時,系統管理員可以根據標準條件式存取控制,封鎖或授與租使用者中的使用者存取權。 要求多重要素驗證 (MFA) 是最常要求的條件之一。 另一個是裝置必須 符合您的 Intune 原則 ,例如行動裝置符合您的密碼需求和最低作業系統版本,而且電腦必須加入網域。
如需詳細資訊,請參閱 條件式存取原則和加密檔。
其他資訊:
| 主題 | 詳細資料 |
|---|---|
| 評估頻率 | 針對 Windows 電腦,會在 初始化使用者環境 時評估 Azure Rights Management 服務的條件式存取原則, (此程式也稱為啟動帶) ,然後每 30 天評估一次。 若要微調條件式存取原則的評估頻率,請 設定權杖存留期。 |
| 系統管理員帳戶 | 建議您不要將系統管理員帳戶新增至條件式存取原則,因為當您在 Microsoft Purview 入口網站中設定敏感度標籤的加密設定時,這些帳戶將無法存取 Azure Rights Management 服務。 |
| MFA 和 B2B 協作 | 如果您在條件式存取原則中使用 MFA 來與其他組織 (B2B) 共同作業,則必須使用Microsoft Entra B2B 共同作業,並為您想要在其他組織中共用的使用者建立來賓帳戶。 |
| 使用條款提示 | 您可以在使用者第一次開啟加密文件之前,提示 使用者接受使用條款 。 |
| 雲端應用程式 | 如果您使用許多雲端應用程式進行條件式存取,您可能不會在清單中看到 Microsoft 資訊保護同步處理服務和 Microsoft Rights Management 服務以供選取。 在此情況下,請使用清單頂端的搜尋方塊。 開始輸入「Microsoft 資訊保護同步服務」和「Microsoft Rights Management 服務」以篩選可用的應用程式。 前提是您有受支援的訂閱;然後您將看到這些選項並能夠選擇它們。 |
我已加密文件,現在想要變更使用權限或新增使用者,是否需要重新加密文件?
如果檔是使用敏感度標籤或權限管理範本加密,則不需要重新加密檔。 藉由變更使用許可權或新增群組 (或使用者) ,修改敏感度標籤或權限管理範本,然後儲存這些變更:
如果使用者在您進行變更之前尚未存取文件,則變更會在使用者開啟文件後立即生效。
當使用者已存取文件時,這些變更會在其 使用授權 到期時生效。 只有在您無法等待使用授權到期時,才重新加密文件。 例如,移除套用加密的敏感度標籤、儲存,然後再次套用標籤。 重新加密可有效地建立文件的新版本,因此會為使用者建立新的使用授權。
或者,如果您已針對必要的許可權設定群組,您可以變更群組成員資格以包含或排除使用者,而且不需要變更敏感度標籤或權限管理範本。 在變更生效之前可能會有少量延遲,因為群組成員資格是由 Azure Rights Management 服務 快取 。
如果文件是使用使用者定義的許可權加密,例如讓 使用者指派敏感 度標籤的許可權加密設定,則您無法變更現有文件的許可權。 您必須重新加密文件,並指定此新版本文件所需的所有使用者及所有使用權限。 若要重新加密加密文件,您必須具有 「完全控制」使用權限。
如果我將此加密解決方案用於我的生產環境,我的公司是否會鎖定在解決方案中?
否,您一律仍能控制您的資料,並可以繼續存取資料,即使您決定不再使用 Azure Rights Management 服務也一樣。 如需詳細資訊,請參閱解除 委任和停用 Azure Rights Management 服務。
我可以控制哪些使用者可以使用 Azure Rights Management 服務來加密內容嗎?
是,當您使用 敏感度標籤來加密內容時,標籤發佈原則會定義哪些使用者在其應用程式中看到標籤。 如果您不希望某些使用者加密內容,請為他們建立個別的標籤發佈原則,並在原則中只包含未套用加密的標籤。 如需詳細資訊,請參閱建立及設定敏感度標籤及其原則。
當我與公司外部的人員共用加密文件時,該使用者如何進行驗證?
根據預設,Azure Rights Management 服務會使用 Microsoft Entra 帳戶和相關聯的電子郵件地址進行使用者驗證,這可讓系統管理員順暢地進行企業對企業共同作業。 如果其他組織使用 Azure 服務,則使用者已經在 Microsoft Entra ID 中擁有帳戶,即使這些帳戶是在內部部署建立和管理,然後同步處理至 Azure。 如果組織有 Microsoft 365,此服務也會針對使用者帳戶使用 Microsoft Entra ID。 如果使用者的組織在 Azure 中沒有受控帳戶,則可以使用來賓帳戶進行驗證。 如需詳細資訊,請參閱 與外部使用者共用加密文件。
這些帳戶的驗證方法可能會有所不同,視其他組織中的系統管理員設定 Microsoft Entra 帳戶的方式而定。 例如,他們可以使用針對這些帳戶建立的密碼、同盟,或是在 Active Directory 網域服務中建立的密碼,然後同步處理至 Microsoft Entra ID。
其他認證方式:
如果您將帶有 Office 檔附件的電子郵件加密給沒有 Microsoft Entra ID 帳戶的使用者,驗證方法會變更。 Azure Rights Management 服務會與一些熱門的社交身分識別提供者同盟,例如 Gmail。 如果支援使用者的電子郵件提供者,使用者可以登入該服務,而其電子郵件提供者負責驗證他們。 如果使用者的電子郵件提供者不受支援,或作為偏好設定,使用者可以申請一次性密碼,以驗證他們,並在網頁瀏覽器中顯示包含加密文件的電子郵件。
Azure Rights Management 服務可以針對支援的應用程式使用 Microsoft 帳戶。 不過,當使用 Microsoft 帳戶進行驗證時,並非所有應用程式都可以開啟加密內容。
我可以搭配 Azure Rights Management 服務使用哪些類型的群組?
在大部分的案例中,您可以使用 Microsoft Entra ID 中具有電子郵件地址的任何群組類型。 當您指派使用權限時,此經驗法則一律適用,但管理 Azure Rights Management 服務有一些例外狀況。 如需詳細資訊,請參閱 群組帳戶的 Azure Rights Management 服務需求。
如何?將加密電子郵件發送到 Gmail 或 Hotmail 帳戶?
當您使用 Exchange Online 和 Azure Rights Management 服務時,只要將電子郵件以加密訊息的形式傳送給使用者。 例如,您可以選取敏感度標籤,以自動為您套用 [請勿轉寄]。
收件者會看到登入其 Gmail、Yahoo 或 Microsoft 帳戶的選項,然後他們可以讀取加密的電子郵件。 或者,他們可以選擇一次性密碼選項以在瀏覽器中閱讀電子郵件。
若要支援此案例,必須針對 Azure Rights Management 服務和 Microsoft Purview 郵件加密啟用 Exchange Online。
如需包含支援所有裝置上所有電子郵件帳戶的功能的詳細資訊,請參閱下列部落格文章:宣佈 Office 365 郵件加密中可用的新功能。
Azure Rights Management 服務支援哪些檔案類型?
Azure Rights Management 服務可以支援所有檔案類型。 針對文字、影像Microsoft Office (Word、Excel、PowerPoint) 檔案、PDF 檔案和一些其他應用程式檔案類型,Azure Rights Management 服務支援原生加密,包括強制執行使用權限 (權限) 。 對於所有其他應用程式和檔案類型,一般加密提供檔案封裝和驗證,以驗證使用者是否有權開啟檔案。
如需 Office 應用程式和服務支援的檔案類型清單,請參閱敏感度標籤檔中 支援的 Office 檔案類型 。
如需 Microsoft Purview 資訊保護用戶端支援的其他檔案類型清單,請參閱資訊保護用戶端檔中支援的檔案類型。
當我開啟由 Azure Rights Management 服務加密的 Office 文件時,相關聯的暫存檔案是否也會由此服務加密?
不能。 在此案例中,相關聯的暫存檔案不包含原始文件中的資料,而只會包含使用者在檔案開啟時輸入的資料。 與原始檔案不同,暫存檔案顯然不是為共用而設計的,而且會保留在裝置上,並受到本機安全性控制 (例如 BitLocker 和 EFS) 的保護。
我們如何重新獲得對現已離開組織的員工加密的文件的訪問權限?
使用 超級使用者功能,該功能會將租用戶加密之所有項目的「完全控制」使用權限授與授權使用者。 超級使用者隨時可以讀取此加密內容,如有必要,可以移除加密或為不同使用者重新加密項目。 此功能可讓授權服務視需要索引和檢查項目。
如果您的內容儲存在 SharePoint 或 OneDrive 中,系統管理員可以執行 Unlock-SensitivityLabelEncryptedFile Cmdlet ,以移除敏感度標籤和加密。 如需詳細資訊,請參閱 移除已標記文件的加密。
Rights Management 可以防止螢幕擷取嗎?
透過不授予 複製使用權限,Rights Management 可以防止來自 Windows 平台上許多常用螢幕擷取工具的螢幕擷取。 在 Mac 版 Office 中,類似地可以在 Mac 版 Office、Word、Excel 和 PowerPoint 中阻止螢幕擷取,但不能在 Outlook 中阻止螢幕擷取。
但是,對於 iOS 和 Android 上的其他應用程序,這些操作系統不允許應用程序阻止屏幕捕獲。 此外,Edge 以外的瀏覽器無法阻止螢幕擷取。 瀏覽器使用包括 Outlook 網頁版和 Office 網頁版。
防止螢幕擷取有助於避免意外或疏忽地洩露機密或敏感資訊。 但是用戶可以通過多種方式共享屏幕上顯示的數據,而截取屏幕截圖只是一種方法。 例如,想要分享顯示資訊的使用者可以使用照相手機拍照、重新輸入資料,或只是口頭轉發給某人。
如這些範例所示,即使所有平臺和所有軟體都支援 Rights Management API 來封鎖螢幕擷取,僅靠技術仍無法一律防止使用者共用不應該的資料。 Rights Management 可以使用授權和使用原則來協助保護您的重要資料,但此企業權限管理解決方案應該與其他控制項搭配使用。 例如,實作實體安全性、仔細篩選和監控有權存取組織資料的人員,以及投資於使用者教育,讓使用者瞭解哪些資料不應共用。
使用「請勿轉寄」加密電子郵件的使用者與不包含「轉寄」權限的使用權限之間有何差異?
儘管它的名字如此,但 Do Not Forward 並不是 Forward 使用權或模板的對立面。 它實際上是一組權限,除了限制郵件的轉發外,還包括限制郵件的複製、列印和保存在郵箱之外。 這些許可權會透過所選收件者動態套用至使用者,而不是由管理員靜態指派。 如需詳細資訊,請參閱設定 Azure Rights Management 服務的使用權限中的電子郵件的 [請勿轉寄] 選項一節。
後續步驟
如需 Azure Rights Management 服務運作方式的更多技術資訊,請參閱 Azure Rights Management 服務的運作方式:技術詳細資料。
如果您已準備好讓 Azure Rights Management 加密成為資訊保護解決方案的整合部分,請參閱 使用 Microsoft Purview 部署資訊保護解決方案。