RMS信息权限管理解决方案

-文档访问更安全、灵活、高效RMS信息权限管理解决方案-文档访问更安全、灵活、高效RMS信息权限管理解决方案场景一场景：内部文档已经限制用户拷贝到U盘或其他移动存储设备上了。问题：如何限制文档不被内部用户打印出来或者限制文档不被内部人员随意编辑修改？场景一场景：内部文档已经限制用户拷贝到U盘或其他移动存储设备场景二场景：领导或者财务部门发送给内部员工一封邮件问题：如何来限制内部员工由于不小心或者故意转发此邮件给外部用户？邮件有过滤机制，这固然很好可如果内部人员不小心转发了邮件呢？场景二场景：领导或者财务部门发送给内部员工一封邮件邮件有过滤场景三场景：A部门团队协作完成一个报告，此报告只能团队内完成并最终给老板审阅。问题：如何确保此文档不被内部其他部门同事看到？场景三场景：A部门团队协作完成一个报告，此报告只能团队内完成行业趋势传统的界限正在变得越来越模糊IT需要持续的数据保护以应对跨越经典“边界”的工作场景IT消费化用户需要从任何类型的设备上接入企业IT外部化应用程序不仅放在企业内部，还会部署到云端数据更多，存储位置更多样分散的企业数据需要保护机制社交型企业数据在用户和程序之间共享行业趋势传统的界限正在变得越来越模糊IT消费化IT外部化数据信息泄露的现状 企业通常会在文件服务器上设置用户访问权限，只允许公司内部特定员工访问公司授权用户从企业内部接入防火墙保护区域非授权用户从企业内部接入公司授权用户从企业外部接入非授权用户从企业外部接入YES信息泄露信息泄露的现状 企业通常会在文件服务器上设置用户访问权限，只信息泄露如何发生的？谁泄露的？前雇员，合作伙伴，客户超过1/3的泄露是粗心大意导致接近30%的泄露源于移动存储设备随着社交化和企业间合作的发展，信息泄露愈演愈烈PercentagecauseofdatabreachCostofDataBreachreport

PonemonInstitute2010EstimatedsourcesofdatabreachGlobalStateofInformationSecuritySurveyPriceWaterhouseCoopers2010信息泄露如何发生的？谁泄露的？前雇员，合作伙伴，客户Perc正在演进的IT办公蓝图AD客户端服务器SaaS合作伙伴供应链企业外部或分支机构数据中心

PaaS

其他的消费者个人文档存储方案

其他的PaaS服务提供商

正在演进的IT办公蓝图AD客户端服务器SaaS合作伙伴供应链加密权限访问控制强制策略Policy加密权限访问控制强制策略PolicyRMS是如何工作的?GalacticEmpireConfidential–Youcannotcopy,printorexportthisinformationinunprotectedformtodroidsofanyclass.用户证书用户许可GalacticEmpireConfidential–Youcannotcopy,printorexportthisinformationinunprotectedformtodroidsofanyclass.发布许可和秘钥RMS是如何工作的?GalacticEmpireConfRMS工作流程信息创建者信息接收者ADRMSServer数据库服务器AD域控2345文档创建者定义谁对这个文档有什么样的权限；RMS客户端程序创建一个发布授权（PL）并加密文档；文档创建者将文档分享给文档接收者；文档接收者点击打开文档，RMS客户端发起到服务器端的通信，验证自己的身份并获取使用授权（UL）；RMS客户端解密文档并强制用户使用权限到文档上。文档创建者第一次加密文档时，会从RMS服务器上获取客户端授权证书（CLC）；1RMS工作流程信息创建者信息接收者ADRMSServer使用ADRMS实现全面的信息权限保护持续的保护企业文档和信息:限制非授权的用户访问限制内部用户不小心或者故意的泄露信息给非授权用户文件服务器、邮件服务器或企业文档门户网站授权用户企业网络非授权用户非授权用户授权的文档下载不可转发使用授权非授权用户没有授权ADRMSServer授权的邮件使用ADRMS实现全面的信息权限保护持续的保护企业文档和信RMS发展路线图On-premises企业部署Cloud云端服务RMS发展路线图On-premisesCloud支持云端和本地两种部署方式–现状ADADRMSExchangeSharePointWindowsServerFCIInternalusersOffice2007Office2010Office2013AzureRMSAzureADIdentityandCollaborationOffice2007Office2010Office2013EXOSPOExchangeSharePointWindowsServerFCIRMSConnctor支持云端和本地两种部署方式–现状ADADRMSExch支持云端和本地两种部署方式–即将到来AzureADExternalCollaborationADADRMSExchangeSharePointWindowsServerFCIInternalusersOffice2007Office2010Office2013NewmobileRESTendpointsAzureRMSAzureADIdentityandCollaborationOffice2007Office2010Office2013EXOSPOAzureKMSExchangeSharePointWindowsServerFCIRMSConnectorKMSP(HSM)支持云端和本地两种部署方式–即将到来AzureADEx在企业部署RMS服务器--使用场景介绍在企业部署RMS服务器RMS服务器管理界面RMS服务器管理界面受保护的Word文档举例受保护的Word文档举例Office与RMS集成要点从Office2003开始，我们就已经内置了对信息权限保护（IRM）的支持；OfficePro/Ent版本可以对文档进行加密授权，所有版本的Office都可以读取加密文档；从Office2013开始，调用RMSClient2.0；RMSClient2.0可以有效防止Windows系统截屏功能以及第三方截屏捕获程序；Outlook加密邮件时，工作方式与Word、Excel、PowerPoint相同，都是直接与RMS服务器通信；可以对文档设定过期时间，过期后，即使有权限也无法打开文档。Office与RMS集成要点从Office2003开始，我们受保护的邮件举例受保护的邮件举例企业Exchange与RMS集成要点防止受IRM保护的内容的授权收件人转发、修改、打印、传真、保存或剪切和粘贴该内容；用与邮件相同的保护级别保护所支持的附件文件格式；支持受IRM保护的邮件和附件的过期，使其在指定时间段之后，无法再进行查看；防止使用Windows中的截图工具复制受IRM保护的内容；在Exchange上启用IRM，Pre-Licensing是前提；参考：

/wiki/contents/articles/1902.roadmap-for-implementing-irm-features-in-microsoft-exchange.aspx企业Exchange与RMS集成要点防止受IRM保护的内受保护的SharePoint文档举例受保护的SharePoint文档举例企业SharePoint与RMS集成要点基于文档库级别选择启用IRM或不启用；只有在用户下载文档时出发IRM加密，SharePoint后台数据库保存明文的副本，保证后台检索的正常使用；可设置许可证的有效天数。在指定天数过后，许可证将过期，用户必须重新从文档库下载文件；控制用户是否可以打印文档等权限；可设定禁止用户上传不支持IRM的文档类型；目前支持的类型包括Word、Excel、PowerPoint、PDF和XPS。企业SharePoint与RMS集成要点基于文档库级别选择启ADRMS批量加密工具ADRMS批量加密工具保护包含敏感信息的文档位置自动保护存储在敏感位置上的文档内容

存储在SharePoint和SharePointOnline上的文档库文件共享服务器（使用FCI文档归类+RMS自动加密保护）客户端电脑(使用WorkFolders)文件接收者RMSSharePoint保护包含敏感信息的文档位置自动保护存储在敏感位置上的文档内容敏感邮件的自动保护自动保护包含敏感信息的邮件和附件文档Hi,thenewhire’sSS#is435-90-0909敏感邮件的自动保护自动保护包含敏感信息的邮件和附件文档Hi,RMSSharingApp保护任何文档类型Windows7/8的PC或平板上，已内置了对RMS的支持；安装RMSSharpingAppforWindows后，可加密任何类型的文档。RMSSharingApp保护任何文档类型Windows使用微软云端的RMS服务--使用场景介绍使用微软云端的RMS服务AzureRMS和

Office365AzureRMS和Office365RMSSharingApp使用举例RMSSharingApp使用举例ConsumeonanydeviceConsumeonanydeviceRMSSharingApp使用要点目前，在Windows平板和PC(Win7及以上)，可以使用RMSSharingApp保护任何文档类型，并且共享给企业内部用户；目前，RMSSharingApp在手机上必须使用AADRM账号；如果还没有使用微软的AuzureADRM云服务，商业用户可以免费注册试用AADRM服务：注册地址：https:///APP下载地址：

/home/download/或对应的应用商店将来（2014年下半年），手机上的RMSSharingAPP也将支持企业ADRMS账号加密文档。RMSSharingApp使用要点目前，在Windows企业部署和云端的RMS服务--企业间协作企业部署和云端的RMS服务企业部署RMS如何协作？peter@contoso发送加密保护的邮件给john@fabrikam如果公司Fabrikam已经部署了RMS服务，并且Contoso公司将Fabrikam公司RMS服务器的TUD导入到了自己的RMS服务器上，

并且john网络上可以访问到Contoso公司的licensingURL或者如果Fabrikam公司通过ADFS的方式与Contoso公司做好了集成，并且Contoso公司的RMS服务器允许颁发RAC给john当John尝试从Contoso获取打开授权时，Contoso验证John的RAC证书（Fabrikam签发）Contoso发现John’sRAC证书是被一个受信任的服务器签发的，John的邮件地址在被允许打开此文档的用户列表之中，Contoso将颁发打开授权给用户以打开此文档。企业部署RMS如何协作？peter@contoso发送加密云端RMS如何协作？peter@contoso发送了一封加密邮件给john@fabrikamJohn尝试打开此文档，并建立网络连接到Contoso的服务点Contoso通过AAD对用户做身份认证，认证通过后颁发Contoso的RAC给John（John之前从Fabrikam获取到一张RAC证书了）john@

的RAC证书是被Contoso这个租户签发的；整个过程不需要Contoso签发CLC证书，John任然使用Fabrikam签发的CLC证书保护文档John之后发送获取的RAC（Contoso签发）给Contoso，并最终获取打开授权以打开加密邮件集成过程不再需要TUD!当John尝试从Contoso获取打开授权时，Contoso将验证John从Contoso获取的RAC证书；因为John的RAC证书是Contoso自己签发的，John的邮件地址在允许打开的用户列表之中，Contoso将办法使用授权给John云端RMS如何协作？peter@contoso发送了一封加企业RMS与云端AD如何协作？ADRMS配置与AzureAD集成当企业ADRMS用户发送加密内容给外部用户；外部用户将尝试向企业ADRMS做身份认证（这个过程将失败，因为企业AD不存在该用户），之后认证请求将重定向到AzureAD表单认证页面

外部用户在AzureAD做好身份认证以后，后续请求重定向回ADRMS服务器；ADRMS颁发使用授权给外部集成用户注意:这个场景中，AzureRMS并没有参与进来!外部用户如果想要加密文档，AzureRMS仍是需要的企业RMS与云端AD如何协作？ADRMS配置与AzureRMS即将发布更多实用功能RMS即将发布更多实用功能文档查看记录追踪和远程终结文档时效What’scoming?文档查看记录追踪和远程终结文档时效W