Implante proteção avançada em documentos e mensagens de e-mail no Office 365 com o Microsoft RMS–Parte 1: Planejamento e Implantação

Bom dia, pessoal.

Hoje estarei postando um artigo do Mauricio Casemiro, uma pessoal que admiro no mundo O365, espero que gostem, sou apaixonado por segurança da informação e com a ajuda do RMS isso tornou muito útil para a gestão de segurança em documentos corporativo entre outros.

BNNARMS

Antes de mais nada, vamos esclarecer alguns termos sobre Gerenciamento de Direitos da Informação.

Como existem alguns termos que se correlacionam com este tema, mas que dizem respeito à serviços e produtos que não são exatamente a mesma coisa, acho interessante começar a definí-los logo de início:

  • RMS – Riths Management Service (Serviço de Gestão de Direitos)
  • IRM – Information Riths Management (Gerenciamento de Direitos da Informação)
  • AD RMS – Active Directory Riths Management Service (Serviço de Gestão de Direitos do Active Directory)
  • Azure Riths Management/ Azure RMS (Gerenciamento de Direitos do Windows Azure)

É fundamental que você entenda os diferentes escopos de implantação de RMS. No meu cenário, não vou utilizar servidores locais Windows Server. Utilizarei Office 365 e, portanto, tenho que implantar o Azure Riths Management e não o AD RMS.

O Azure Rights Management (RMS do Windows Azure) permite criptografar e atribuir restrições de uso a conteúdos (e-mails e arquivos, por exemplo) para organizações que usam o Microsoft Office 365. O Rights Management (Gerenciamento de Direitos) ajuda a proteger o conteúdo criado e trocado usando o Microsoft Office, assim como outros aplicativos e serviços que foram atualizados para permitir a integração com serviço Rights Management. Ao implementar um serviço de gerenciamento de direitos baseado em nuvem, o Rights Management fornece uma alternativa para clientes que procuram recursos de proteção de informação no Microsoft Office 365.

O gerenciamento de direitos:

  • Protege informações confidenciais.   Aplicativos e serviços como o Microsoft Office 2010 e o Microsoft Office  2013 estão habilitados para ajudar a proteger informações confidenciais. Usuários e administradores podem definir quem pode abrir, modificar, imprimir, encaminhar ou tomar outras ações em relação à informação. As organizações recebem modelos de políticas de uso como o “Confidencial da Empresa – Somente Leitura”, que pode ser aplicado diretamente à informação.
  • Fornece proteção persistente.   O Rights Management fornece proteção persistente para dados de arquivo quando inativo ou em movimento. Uma vez bloqueada a informação, somente entidades confiáveis com direitos de uso concedidos sob condições específicas (se houver) podem desbloquear ou descriptografar a informação.
  • Oferece suporte ao gerenciamento mais próximo dos direitos e das condições de uso.   Organizações e indivíduos podem atribuir direitos e condições de uso por meio do gerenciamento de direitos que define como uma entidade confiável específica pode usar conteúdo protegido por direitos. Exemplos de direitos de uso são permissões para ler, copiar, imprimir, salvar, encaminhar e editar. Direitos de uso podem vir acompanhados de condições, como quando os direitos expirarem.
  • Integra o gerenciamento de direitos ao Office 365.   O Rights Management está integrado aos aplicativos do Office 2010 e Office 2013 para fornecer a funcionalidade de gerenciamento de direitos a todo o conjunto do Microsoft Office.

 Requisitos para o Azure RMS

  • Assinatura de nuvem que forneça suporte ao RMS
  • Locatário do AD do Azure para suportar a autenticação de usuário para RMS.
  • Dispositivo cliente (computador ou dispositivo móvel) que execute um sistema operacional que suporte o RMS (Windows 7 RTM ou Windows 7 SP1, Windows 8 Pro ou Enterprise, Windows 8.1 Pro ou Enterprise,  Mac OS X 10.7 Lion ou superior, Windows Phone 8, Android 4.0.3 ou superior, iPhone e iPad com iOS 6.0 ou superior, tablets com Windows 8 RT ou Windows 8.1 RT )
  • Aplicativos que suportem o RMS

Como o Office 365 suporta nativamente o Azure RMS, nenhuma configuração do computador cliente é necessária para oferecer suporte aos recursos de gerenciamento de direitos de informação (IRM) para aplicativos como o Word, Excel, PowerPoint, Outlook e o Outlook Web App. Tudo o que os usuários precisam fazer é entrar em seus aplicativos do Office com suas credenciais do Microsoft Office 365 e eles poderão proteger arquivos e emails, e usar arquivos e emails que foram protegidos por outras pessoas.  No entanto, recomendo que você complemente esses aplicativos com o aplicativo de compartilhamento do Rights Management, de modo que os usuários se beneficiem do suplemento do Office.

 

Assinaturas do Office 365 que suportam o Azure RMS

A assinatura do Azure Riths Management foi desenvolvida para organizações que desejam utilizar os serviços online do Office em conjunto com o recurso de IRM – Information Rights Management, que usa o Azure RMS unindo produtividade e proteção avançada. No entanto, nem todas as assinaturas do Office 365 suportam o Azure RMS, acompanhe a tabela a seguir:

Opção de licenciamento Small Business Small Business Premium Midsize Business E1 e A2 E3, A3 e G3 E4, A4 e G4 SharePoint Plano 2 Exchange Plano 2
IRM Não Não Não Não Sim Sim Não Não

Ainda assim, se você tiver a necessidade de habilitar IRM/RMS para usuários de um plano sem suporte (como o E1, por exemplo); há a possibilidade de adquirir apenas a licença de Gerenciamento de Direitos do Windows Azure, veja:

Licença de Direitos do Windows Azure

 

Implantando Azure RMS no Office 365

1.   Habilite o serviço de IRM/RMS ativando o Riths Management do Windows Azure em Centro de Administração do Office 365> Configurações de Serviço> Gerenciamento de Direitos:

 

image

 

2.   Clique em Gerenciar:

 

image

 

3.   Clique em Ativar:

 

image

 

4.   Com o Riths Management ativado na console, podemos partir para a execução dos CMDLET’s do PowerShaell e continuar com a implantação do recurso:

image

5.   Abra o Módulo Windows Azure Active Directory para Windows PowerShell com credenciais de Administrador e execute o comendo que conecta sua sessão ao Office 365 e te autentica nele (necessário usar credenciais de Global Admin do tenant):

$livecred = Get-Credential

 

6.   Execute os seguintes comandos em sequência:

Import-Moule MSOnline
Import-Module AADRM
Connect-MsolService –Credential $livecred
Connect-AadrmService –Credential $livecred

Acompanhe o retorno no PowerShell:

PSIRM1

 

7.   Digite o seguinte CMDLET:

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic –AllowRedirection

Acompanhe o retorno do PowerShell:

PSIRM2

 

8.   Digite o seguinte CMDLET:

Import-PSSession $Session

Acompanhe o retorno do PowerShell:

PSIRM3

 

9.   Execute a seguinte sequência de CMDLET’s:

Enable-OrganizationCustomization
Set-IRMConfiguration –RMSOnlineKeySharingLocation https://sp-rms.sa.aadrm.com/TenantManagement/ServicePartner.svc
Import-RMSTrustedPublishingDomain –RMSOnline –Name “VisionShare RMS”

Acompanhe o retorno do PowerShell:

PSIRM4

 

10.   Para testar se sua implantação está foi ativada e está funcionando corretamente, execute o seguinte CMDLET:

Test-IRMConfiguration –RMSOnline

Neste pontos, todas as etapas de verificação têm serem aprovadas para validar o sucesso da implantação. Acompanhe o retorno do PowerShell:

PSIRM5

 

11.   Por fim, executamos este último CMDLET que habilita o IRM/RMS internamente:

Set-IRMConfiguration –InternalLicensingEnabled $true

Pronto! Ambiente de IRM/RMS do Azure Riths Management implantado e configurado com sucesso! Smiley piscando

Não deixe de acompanhar o meu próximo artigo aonde mostro, em detalhes, a configuração do IRM/RMS nas estações de trabalho dos usuários, no Microsoft Office e demonstro como proteger mensagens de e-mail e criptografar documentos com proteção avançada…

Antes de mais nada, vamos esclarecer alguns termos sobre Gerenciamento de Direitos da Informação.

Como existem alguns termos que se correlacionam com este tema, mas que dizem respeito à serviços e produtos que não são exatamente a mesma coisa, acho interessante começar a definí-los logo de início:

  • RMS – Riths Management Service (Serviço de Gestão de Direitos)
  • IRM – Information Riths Management (Gerenciamento de Direitos da Informação)
  • AD RMS – Active Directory Riths Management Service (Serviço de Gestão de Direitos do Active Directory)
  • Azure Riths Management/ Azure RMS (Gerenciamento de Direitos do Windows Azure)

É fundamental que você entenda os diferentes escopos de implantação de RMS. No meu cenário, não vou utilizar servidores locais Windows Server. Utilizarei Office 365 e, portanto, tenho que implantar o Azure Riths Management e não o AD RMS.

O Azure Rights Management (RMS do Windows Azure) permite criptografar e atribuir restrições de uso a conteúdos (e-mails e arquivos, por exemplo) para organizações que usam o Microsoft Office 365. O Rights Management (Gerenciamento de Direitos) ajuda a proteger o conteúdo criado e trocado usando o Microsoft Office, assim como outros aplicativos e serviços que foram atualizados para permitir a integração com serviço Rights Management. Ao implementar um serviço de gerenciamento de direitos baseado em nuvem, o Rights Management fornece uma alternativa para clientes que procuram recursos de proteção de informação no Microsoft Office 365.

O gerenciamento de direitos:

  • Protege informações confidenciais.   Aplicativos e serviços como o Microsoft Office 2010 e o Microsoft Office  2013 estão habilitados para ajudar a proteger informações confidenciais. Usuários e administradores podem definir quem pode abrir, modificar, imprimir, encaminhar ou tomar outras ações em relação à informação. As organizações recebem modelos de políticas de uso como o “Confidencial da Empresa – Somente Leitura”, que pode ser aplicado diretamente à informação.
  • Fornece proteção persistente.   O Rights Management fornece proteção persistente para dados de arquivo quando inativo ou em movimento. Uma vez bloqueada a informação, somente entidades confiáveis com direitos de uso concedidos sob condições específicas (se houver) podem desbloquear ou descriptografar a informação.
  • Oferece suporte ao gerenciamento mais próximo dos direitos e das condições de uso.   Organizações e indivíduos podem atribuir direitos e condições de uso por meio do gerenciamento de direitos que define como uma entidade confiável específica pode usar conteúdo protegido por direitos. Exemplos de direitos de uso são permissões para ler, copiar, imprimir, salvar, encaminhar e editar. Direitos de uso podem vir acompanhados de condições, como quando os direitos expirarem.
  • Integra o gerenciamento de direitos ao Office 365.   O Rights Management está integrado aos aplicativos do Office 2010 e Office 2013 para fornecer a funcionalidade de gerenciamento de direitos a todo o conjunto do Microsoft Office.

Requisitos para o Azure RMS

  • Assinatura de nuvem que forneça suporte ao RMS
  • Locatário do AD do Azure para suportar a autenticação de usuário para RMS.
  • Dispositivo cliente (computador ou dispositivo móvel) que execute um sistema operacional que suporte o RMS (Windows 7 RTM ou Windows 7 SP1, Windows 8 Pro ou Enterprise, Windows 8.1 Pro ou Enterprise,  Mac OS X 10.7 Lion ou superior, Windows Phone 8, Android 4.0.3 ou superior, iPhone e iPad com iOS 6.0 ou superior, tablets com Windows 8 RT ou Windows 8.1 RT )
  • Aplicativos que suportem o RMS

Como o Office 365 suporta nativamente o Azure RMS, nenhuma configuração do computador cliente é necessária para oferecer suporte aos recursos de gerenciamento de direitos de informação (IRM) para aplicativos como o Word, Excel, PowerPoint, Outlook e o Outlook Web App. Tudo o que os usuários precisam fazer é entrar em seus aplicativos do Office com suas credenciais do Microsoft Office 365 e eles poderão proteger arquivos e emails, e usar arquivos e emails que foram protegidos por outras pessoas.  No entanto, recomendo que você complemente esses aplicativos com o aplicativo de compartilhamento do Rights Management, de modo que os usuários se beneficiem do suplemento do Office.

 

Assinaturas do Office 365 que suportam o Azure RMS

A assinatura do Azure Riths Management foi desenvolvida para organizações que desejam utilizar os serviços online do Office em conjunto com o recurso de IRM – Information Rights Management, que usa o Azure RMS unindo produtividade e proteção avançada. No entanto, nem todas as assinaturas do Office 365 suportam o Azure RMS, acompanhe a tabela a seguir:

Opção de licenciamento Small Business Small Business Premium Midsize Business E1 e A2 E3, A3 e G3 E4, A4 e G4 SharePoint Plano 2 Exchange Plano 2
IRM Não Não Não Não Sim Sim Não Não

Ainda assim, se você tiver a necessidade de habilitar IRM/RMS para usuários de um plano sem suporte (como o E1, por exemplo); há a possibilidade de adquirir apenas a licença de Gerenciamento de Direitos do Windows Azure, veja:

Licença de Direitos do Windows Azure

 

Implantando Azure RMS no Office 365

1.   Habilite o serviço de IRM/RMS ativando o Riths Management do Windows Azure em Centro de Administração do Office 365> Configurações de Serviço> Gerenciamento de Direitos:

 

image

 

2.   Clique em Gerenciar:

 

image

 

3.   Clique em Ativar:

 

image

 

4.   Com o Riths Management ativado na console, podemos partir para a execução dos CMDLET’s do PowerShaell e continuar com a implantação do recurso:

image

5.   Abra o Módulo Windows Azure Active Directory para Windows PowerShell com credenciais de Administrador e execute o comendo que conecta sua sessão ao Office 365 e te autentica nele (necessário usar credenciais de Global Admin do tenant):

$livecred = Get-Credential

 

6.   Execute os seguintes comandos em sequência:

Import-Moule MSOnline
Import-Module AADRM
Connect-MsolService –Credential $livecred
Connect-AadrmService –Credential $livecred

Acompanhe o retorno no PowerShell:

PSIRM1

 

7.   Digite o seguinte CMDLET:

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $LiveCred -Authentication Basic –AllowRedirection

Acompanhe o retorno do PowerShell:

PSIRM2

 

8.   Digite o seguinte CMDLET:

Import-PSSession $Session

Acompanhe o retorno do PowerShell:

PSIRM3

 

9.   Execute a seguinte sequência de CMDLET’s:

Enable-OrganizationCustomization
Set-IRMConfiguration –RMSOnlineKeySharingLocation https://sp-rms.sa.aadrm.com/TenantManagement/ServicePartner.svc
Import-RMSTrustedPublishingDomain –RMSOnline –Name “VisionShare RMS”

Acompanhe o retorno do PowerShell:

PSIRM4

 

10.   Para testar se sua implantação está foi ativada e está funcionando corretamente, execute o seguinte CMDLET:

Test-IRMConfiguration –RMSOnline

Neste pontos, todas as etapas de verificação têm serem aprovadas para validar o sucesso da implantação. Acompanhe o retorno do PowerShell:

PSIRM5

 

11.   Por fim, executamos este último CMDLET que habilita o IRM/RMS internamente:

Set-IRMConfiguration –InternalLicensingEnabled $true

Pronto! Ambiente de IRM/RMS do Azure Riths Management implantado e configurado com sucesso! Smiley piscando

Não deixe de acompanhar o meu próximo artigo aonde mostro, em detalhes, a configuração do IRM/RMS nas estações de trabalho dos usuários, no Microsoft Office e demonstro como proteger mensagens de e-mail e criptografar documentos com proteção avançada…

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s