Azure RMS: Implementazione Prodotto

Microsoft Azure

Autore: Nicola Ferrini

 

La protezione dei dati aziendali, soprattutto quelli più importanti per il business, è uno degli obiettivi più importanti per un’azienda. Ogni giorno infatti i nostri utenti condividono dati tramite posta elettronica, siti di condivisione di file e servizi cloud. Perciò non basta proteggere gli accessi alle cartelle condivise ed ai file se poi gli stessi vengono salvati su un pendrive, oppure vengono inviati ad aziende partner tramite email, e diventa facile smarrirli oppure farli arrivare nelle mani di persone non autorizzate.

 

Per venire incontro alla necessità di proteggere le informazioni riservate dell’azienda possiamo usare Azure RMS (Rights Management Services).

 

Azure RMS protegge i dati crittografandoli e dà la possibilità di utilizzarli solo a chi abbiamo autorizzato. Inoltre ha il vantaggio di poter essere usato su più dispositivi, inclusi telefoni, tablet e PC, sia all’interno che all’esterno dell’azienda, nel caso volessimo condividerli con i nostri partner.

 

È ad esempio possibile configurare un file in modo che possano accedervi solo i dipendenti oppure decidere se il file può essere modificato o impedire che venga stampato. È possibile configurare i messaggi e-mail in modo analogo e, inoltre, impedire che i messaggi vengano inoltrati. Queste attività di protezione possono essere semplificate per gli utenti finali mediante l’uso di modelli di criteri.

 

La figura 1 mostra il modo in cui Azure RMS funziona come soluzione Rights Management per Office 365. Azure RMS supporta dispositivi che eseguono Windows, Mac OS, iOS, Android e Windows Phone.

 

2015_07_27_RMS_01
Figura 1 – Principio di funzionamento di Azure RMS per Office 365

 

Funzionamento di Azure RMS

Azure RMS rende i dati di un documento semplicemente illeggibili a chiunque, eccetto gli utenti e i servizi autorizzati:

 

  • I dati vengono crittografati a livello di applicazione e includono un criterio che definisce l’uso autorizzato del documento.
  • Quando un documento protetto viene usato da un utente legittimo, i dati contenuti nel documento vengono decrittografati e vengono applicati i diritti definiti nei criteri.

 

Il documento contenente dati riservati viene protetto da una chiave che è univoca per ogni documento e viene inserita nell’intestazione del file, dove è protetta dalla chiave radice del tenant. Durante il processo di protezione, mentre Azure RMS crittografa e decrittografa, autorizza e applica restrizioni, i dati contenuti nel documento non vengono mai inviati ad Azure.

 

2015_07_27_RMS_02
Figura 2 – Protezione del documento con le chiavi di crittografia

 

Attivazione del Servizio Azure RMS

Per attivare Azure RMS è possibile usare l’interfaccia di amministrazione di Office 365 o il portale di gestione di Azure.

 

2015_07_27_RMS_03
Figura 3 – Attivazione di Azure RMS

 

Dopo l’attivazione sono automaticamente disponibili due modelli (Rights Policy Templates) che si possono applicare per gestire le autorizzazioni. Un modello (denominato Informazioni riservate – In sola visione) è di sola lettura, mentre l’altro (Riservato) consente l’accesso in lettura e modifica. I modelli sono una soluzione rapida e semplice per applicare i criteri e permettono agli utenti di usare il livello di protezione corretto per ciascun documento.

 

2015_07_27_RMS_04
Figura 4 – Modelli Disponibili dei Rights Policy Templates

 

Creazione di Modelli Personalizzati

È possibile creare modelli personalizzati per definire dei criteri di accesso al documento. Ad esempio possiamo permettere l’accesso al documento anche quando il pc è offline oppure possiamo impostarne una data di scadenza dopo la quale il documento non si aprirà. Dopo aver fatto clic su Aggiungi ci apparirà la finestra Aggiungi un nuovo modello di criteri di diritti nella quale potremo scegliere la lingua del Template, il Nome e la Descrizione

 

2015_07_27_RMS_05
Figura 5 – Creazione di un Nuovo Modello per i Diritti di Accesso al File

 

Una volta creato il modello è possibile modificarlo, permettendo a quali utenti e gruppi sarà concesso l’accesso al documento a cui verrà applicato il Rights Policy Template.

 

2015_07_27_RMS_06
Figura 6: Selezione degli Utenti e dei Gruppi

 

Nella schermata Assegna i diritti agli utenti e ai gruppi selezionati potremo scegliere quali diritti assegnare agli utenti ed ai gruppi selezionati precedentemente, come mostrato in figura:

 

2015_07_27_RMS_07
Figura 7 – Assegnazione Diritti Utente

 

Se scegliamo Personalizzato abbiamo la possibilità nella schermata successiva di creare noi una combinazione di diritti, come mostrato in figura

 

2015_07_27_RMS_08
Figura 8 – Assegna Diritti Personalizzati

 

Il risultato è quello presentato in figura 9.

 

2015_07_27_RMS_09
Figura 9 – Assegnazione dei Diritti Completata

 

Dopo aver completato la parte relativa ai diritti, possiamo modificare l’Ambito (lo Scope), cioè specificare gli utenti o i gruppi che saranno in grado di utilizzare ed applicare il modello. Per impostazione predefinita, tutti gli utenti e i gruppi dell’organizzazione possono applicare il modello.

 

Cliccando su Configura abbiamo la possibilità di pubblicare il Template, cioè renderlo visibile al client di Azure RMS e quindi agli utenti, di creare nomi e descrizioni per il Template in altre lingue, di applicare una scadenza al contenuto e permettere l’accesso offline, come mostrato in figura:

 

2015_07_27_RMS_10
Figura 10 – Configurazione del Template

 

Installazione del client di condivisione Rights Management

Il secondo passaggio per poter utilizzare Azure RMS consiste nello scaricare l’applicazione di condivisione Rights Management. L’applicazione di condivisione RMS si integra con le applicazioni Office installando un add-in per Office in modo che gli utenti possono facilmente proteggere i file direttamente dal ribbon. Questa applicazione consente inoltre di proteggere tutti i tipi di file, anche se non sono nativamente supportati da Azure Rights Management, e si integra con il sistema operativo.

 

Colleghiamoci al sito https://portal.aadrm.com/home/download e scarichiamo il client per Azure RMS. Il client è disponibile sia per Computer che per Dispositivi mobili.

 

Non tutti i dispositivi client supportano attualmente tutte le funzionalità RMS. Nella tabella seguente vengono indicate le applicazioni che supportano le funzionalità RMS e le eccezioni.

 

Sistema operativo dispositivoWord, Excel, PowerPointPDF protettoPosta elettronicaProtezione generica
WindowsOffice 2013Office 2010Office OnlineGigaTrust Desktop PDF Client for AdobeFoxit ReaderNitro PDF ReaderApp RMS sharingOutlook 2013Outlook 2010Outlook Web App (OWA)Applicazione RMS sharing per Windows
iOSTITUS DocsOffice OnlineFoxit ReaderApp RMS sharingTITUS DocsNitroDeskOWA per iOSTITUS MailTITUS DocsApp RMS sharing
AndroidGigaTrust App for AndroidOffice OnlineGigaTrust App for AndroidFoxit ReaderApp RMS sharing9FoldersGigaTrust App for AndroidNitroDeskOWA per Android

Samsung Email (S3 e versioni successive)

Classificazione TITUS per dispositivi mobili

App RMS sharing
OS XOffice 2011 (solo AD RMS)Office OnlineApp RMS sharingOutlook 2011 (solo AD RMS)Outlook per MacApp RMS sharing
Windows RTOffice 2013 RTOffice OnlineNon supportatoOutlook 2013 RTApp Mail per WindowsNon supportato
Windows Phone 8.1Microsoft Office Mobile (solo AD RMS)App RMS sharingOutlook MobileApp RMS sharing
Blackberry 10Non supportatoNon supportatoBlackberry EmailNon supportato

 

Una volta scaricato il client lo installiamo seguendo la procedura indicata nel Setup.

 

2015_07_27_RMS_11
Figura 11 – Setup Microsoft RMS

 

Dopo aver riavviato la macchina potete aprire uno dei programmi del pacchetto Office e verificare la presenza dell’icona Share Protected nel ribbon

 

2015_07_27_RMS_12
Figura 12 – Pulsante Aggiunto al Ribbon di Office

 

Se l’utente vuole condividere un file in maniera protetta fa clic su Condividi file protetto sulla barra multifunzione. Viene visualizzata la finestra di dialogo Aggiungi protezione dall’applicazione RMS sharing.

 

La prima volta che vorrete condividere un file e lancerete l’applicazione vi verrà chiesto di autenticarvi alla vostra directory su Azure o alla directory Office 365. Inserite le vostre credenziali e proseguite.

 

Dalla finestra di dialogo Aggiungi protezione potrete scegliere quale template utilizzare, come mostrato in figura:

 

2015_07_27_RMS_13
Figura 13 – Scelta del Template

 

Gli utenti con cui vorrete condividere il documento dovranno essere indicati utilizzando il loro indirizzo di posta elettronica (associato ad un utente Azure RMS). Poiché Azure RMS è un servizio cloud, non è necessario configurare trust con altre organizzazioni per poter condividere contenuto protetto. Se le altre organizzazioni dispongono già di una directory di Office 365 o di Azure AD, la collaborazione tra organizzazioni è supportata automaticamente. In caso contrario, gli utenti possono eseguire gratuitamente la sottoscrizione a RMS per utenti singoli.

 

Per altre informazioni, date un’occhiata agli articoli protezione di un file condiviso tramite posta elettronica e a visualizzazione e uso dei file protetti nella guida dell’utente dell’applicazione di condivisione Rights Management.

 

Il Client di Azure RMS si integra perfettamente con il file system di Windows e permette di condividere anche file che non sono stati creati con Office, semplicemente utilizzando il menu contestuale (cliccando col tasto destro sul file) e scegliendo Protect with RMS, come mostrato in figura 14.

 

2015_07_27_RMS_14
Figura 14 – Integrazione del Client RMS con la Shell di Windows

 

Da Microsoft Office è anche possibile proteggere i documenti cliccando sul menù File e scegliendo Informazioni. Dal pulsante Proteggi Documento basta scegliere Limita accesso e dopo essersi loggati apparirà la lista dei Template RMS disponibili, come mostrato in figura

 

2015_07_27_RMS_15
Figura 15 – Protezione del file da Proteggi Documento in Office

 

Aggiornamento dei modelli per gli utenti

I modelli vengono scaricati automaticamente nei computer client, in modo che gli utenti possano selezionarli dalle rispettive applicazioni. Potrebbe tuttavia essere necessario effettuare alcuni passaggi aggiuntivi se si apportano modifiche ai modelli:

 

Exchange Online
È necessaria la configurazione manuale per aggiornare i modelli. Usare il cmdlet Import-RMSTrustedPublishingDomain -Name “Nome del template” -RefreshTemplates –RMSOnline

 

Office 365
I modelli vengono aggiornati automaticamente e non sono necessari altri passaggi.

 

Office 2013
I modelli vengono aggiornati automaticamente in base a una pianificazione, ogni 7 giorni.Per forzare l’esecuzione di un aggiornamento prima di quanto previsto dalla pianificazione dovete modificare la chiave di registro HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\ <MicrosoftRMS_FQDN>\Template ed in particolare il valore TemplateUpdateFrequency. Per i computer Windows che usano l’applicazione RMS sharing, i modelli vengono scaricati automaticamente (e aggiornati se necessario) senza che siano richieste attività di configurazione aggiuntive. Lo stesso avviene per i dispositivi mobili che usano l’app RMS sharing o altre app che supportano RMS.

 

Office 2010
I modelli vengono aggiornati quando gli utenti eseguono l’accesso.Per forzare l’esecuzione di un aggiornamento, chiedere o imporre agli utenti di disconnettersi e rieseguire l’accesso.

 

Per maggiori informazioni vi rimando all’articolo Configurazione di modelli personalizzati per Rights Management di Azure

 

Conclusioni

Azure Rights Management consente di proteggere da accessi non autorizzati le informazioni riservate dell’organizzazione e di controllare le modalità d’uso di tali informazioni. La protezione applicata tramite Rights Management resta associata ai file e ai messaggi e-mail indipendentemente dalla posizione, che sia all’interno o all’esterno dell’organizzazione, su una rete, nei file server o nelle applicazioni. Maggiori informazioni le potete trovare visualizzando l’articolo Quick Start Tutorial for Azure Rights Management e l’articolo Descrizione di Rights Management di Azure