Autore: Nicola Ferrini
La protezione dei dati aziendali, soprattutto quelli più importanti per il business, è uno degli obiettivi più importanti per un’azienda. Ogni giorno infatti i nostri utenti condividono dati tramite posta elettronica, siti di condivisione di file e servizi cloud. Perciò non basta proteggere gli accessi alle cartelle condivise ed ai file se poi gli stessi vengono salvati su un pendrive, oppure vengono inviati ad aziende partner tramite email, e diventa facile smarrirli oppure farli arrivare nelle mani di persone non autorizzate.
Per venire incontro alla necessità di proteggere le informazioni riservate dell’azienda possiamo usare Azure RMS (Rights Management Services).
Azure RMS protegge i dati crittografandoli e dà la possibilità di utilizzarli solo a chi abbiamo autorizzato. Inoltre ha il vantaggio di poter essere usato su più dispositivi, inclusi telefoni, tablet e PC, sia all’interno che all’esterno dell’azienda, nel caso volessimo condividerli con i nostri partner.
È ad esempio possibile configurare un file in modo che possano accedervi solo i dipendenti oppure decidere se il file può essere modificato o impedire che venga stampato. È possibile configurare i messaggi e-mail in modo analogo e, inoltre, impedire che i messaggi vengano inoltrati. Queste attività di protezione possono essere semplificate per gli utenti finali mediante l’uso di modelli di criteri.
La figura 1 mostra il modo in cui Azure RMS funziona come soluzione Rights Management per Office 365. Azure RMS supporta dispositivi che eseguono Windows, Mac OS, iOS, Android e Windows Phone.
Figura 1 – Principio di funzionamento di Azure RMS per Office 365
Funzionamento di Azure RMS
Azure RMS rende i dati di un documento semplicemente illeggibili a chiunque, eccetto gli utenti e i servizi autorizzati:
- I dati vengono crittografati a livello di applicazione e includono un criterio che definisce l’uso autorizzato del documento.
- Quando un documento protetto viene usato da un utente legittimo, i dati contenuti nel documento vengono decrittografati e vengono applicati i diritti definiti nei criteri.
Il documento contenente dati riservati viene protetto da una chiave che è univoca per ogni documento e viene inserita nell’intestazione del file, dove è protetta dalla chiave radice del tenant. Durante il processo di protezione, mentre Azure RMS crittografa e decrittografa, autorizza e applica restrizioni, i dati contenuti nel documento non vengono mai inviati ad Azure.
Figura 2 – Protezione del documento con le chiavi di crittografia
Attivazione del Servizio Azure RMS
Per attivare Azure RMS è possibile usare l’interfaccia di amministrazione di Office 365 o il portale di gestione di Azure.
Figura 3 – Attivazione di Azure RMS
Dopo l’attivazione sono automaticamente disponibili due modelli (Rights Policy Templates) che si possono applicare per gestire le autorizzazioni. Un modello (denominato Informazioni riservate – In sola visione) è di sola lettura, mentre l’altro (Riservato) consente l’accesso in lettura e modifica. I modelli sono una soluzione rapida e semplice per applicare i criteri e permettono agli utenti di usare il livello di protezione corretto per ciascun documento.
Figura 4 – Modelli Disponibili dei Rights Policy Templates
Creazione di Modelli Personalizzati
È possibile creare modelli personalizzati per definire dei criteri di accesso al documento. Ad esempio possiamo permettere l’accesso al documento anche quando il pc è offline oppure possiamo impostarne una data di scadenza dopo la quale il documento non si aprirà. Dopo aver fatto clic su Aggiungi ci apparirà la finestra Aggiungi un nuovo modello di criteri di diritti nella quale potremo scegliere la lingua del Template, il Nome e la Descrizione
Figura 5 – Creazione di un Nuovo Modello per i Diritti di Accesso al File
Una volta creato il modello è possibile modificarlo, permettendo a quali utenti e gruppi sarà concesso l’accesso al documento a cui verrà applicato il Rights Policy Template.
Figura 6: Selezione degli Utenti e dei Gruppi
Nella schermata Assegna i diritti agli utenti e ai gruppi selezionati potremo scegliere quali diritti assegnare agli utenti ed ai gruppi selezionati precedentemente, come mostrato in figura:
Figura 7 – Assegnazione Diritti Utente
Se scegliamo Personalizzato abbiamo la possibilità nella schermata successiva di creare noi una combinazione di diritti, come mostrato in figura
Figura 8 – Assegna Diritti Personalizzati
Il risultato è quello presentato in figura 9.
Figura 9 – Assegnazione dei Diritti Completata
Dopo aver completato la parte relativa ai diritti, possiamo modificare l’Ambito (lo Scope), cioè specificare gli utenti o i gruppi che saranno in grado di utilizzare ed applicare il modello. Per impostazione predefinita, tutti gli utenti e i gruppi dell’organizzazione possono applicare il modello.
Cliccando su Configura abbiamo la possibilità di pubblicare il Template, cioè renderlo visibile al client di Azure RMS e quindi agli utenti, di creare nomi e descrizioni per il Template in altre lingue, di applicare una scadenza al contenuto e permettere l’accesso offline, come mostrato in figura:
Figura 10 – Configurazione del Template
Installazione del client di condivisione Rights Management
Il secondo passaggio per poter utilizzare Azure RMS consiste nello scaricare l’applicazione di condivisione Rights Management. L’applicazione di condivisione RMS si integra con le applicazioni Office installando un add-in per Office in modo che gli utenti possono facilmente proteggere i file direttamente dal ribbon. Questa applicazione consente inoltre di proteggere tutti i tipi di file, anche se non sono nativamente supportati da Azure Rights Management, e si integra con il sistema operativo.
Colleghiamoci al sito https://portal.aadrm.com/home/download e scarichiamo il client per Azure RMS. Il client è disponibile sia per Computer che per Dispositivi mobili.
Non tutti i dispositivi client supportano attualmente tutte le funzionalità RMS. Nella tabella seguente vengono indicate le applicazioni che supportano le funzionalità RMS e le eccezioni.
| Sistema operativo dispositivo | Word, Excel, PowerPoint | PDF protetto | Posta elettronica | Protezione generica |
| Windows | Office 2013Office 2010Office Online | GigaTrust Desktop PDF Client for AdobeFoxit ReaderNitro PDF ReaderApp RMS sharing | Outlook 2013Outlook 2010Outlook Web App (OWA) | Applicazione RMS sharing per Windows |
| iOS | TITUS DocsOffice Online | Foxit ReaderApp RMS sharingTITUS Docs | NitroDeskOWA per iOSTITUS Mail | TITUS DocsApp RMS sharing |
| Android | GigaTrust App for AndroidOffice Online | GigaTrust App for AndroidFoxit ReaderApp RMS sharing | 9FoldersGigaTrust App for AndroidNitroDeskOWA per Android Samsung Email (S3 e versioni successive) Classificazione TITUS per dispositivi mobili | App RMS sharing |
| OS X | Office 2011 (solo AD RMS)Office Online | App RMS sharing | Outlook 2011 (solo AD RMS)Outlook per Mac | App RMS sharing |
| Windows RT | Office 2013 RTOffice Online | Non supportato | Outlook 2013 RTApp Mail per Windows | Non supportato |
| Windows Phone 8.1 | Microsoft Office Mobile (solo AD RMS) | App RMS sharing | Outlook Mobile | App RMS sharing |
| Blackberry 10 | Non supportato | Non supportato | Blackberry Email | Non supportato |
Una volta scaricato il client lo installiamo seguendo la procedura indicata nel Setup.
Figura 11 – Setup Microsoft RMS
Dopo aver riavviato la macchina potete aprire uno dei programmi del pacchetto Office e verificare la presenza dell’icona Share Protected nel ribbon
Figura 12 – Pulsante Aggiunto al Ribbon di Office
Se l’utente vuole condividere un file in maniera protetta fa clic su Condividi file protetto sulla barra multifunzione. Viene visualizzata la finestra di dialogo Aggiungi protezione dall’applicazione RMS sharing.
La prima volta che vorrete condividere un file e lancerete l’applicazione vi verrà chiesto di autenticarvi alla vostra directory su Azure o alla directory Office 365. Inserite le vostre credenziali e proseguite.
Dalla finestra di dialogo Aggiungi protezione potrete scegliere quale template utilizzare, come mostrato in figura:
Figura 13 – Scelta del Template
Gli utenti con cui vorrete condividere il documento dovranno essere indicati utilizzando il loro indirizzo di posta elettronica (associato ad un utente Azure RMS). Poiché Azure RMS è un servizio cloud, non è necessario configurare trust con altre organizzazioni per poter condividere contenuto protetto. Se le altre organizzazioni dispongono già di una directory di Office 365 o di Azure AD, la collaborazione tra organizzazioni è supportata automaticamente. In caso contrario, gli utenti possono eseguire gratuitamente la sottoscrizione a RMS per utenti singoli.
Per altre informazioni, date un’occhiata agli articoli protezione di un file condiviso tramite posta elettronica e a visualizzazione e uso dei file protetti nella guida dell’utente dell’applicazione di condivisione Rights Management.
Il Client di Azure RMS si integra perfettamente con il file system di Windows e permette di condividere anche file che non sono stati creati con Office, semplicemente utilizzando il menu contestuale (cliccando col tasto destro sul file) e scegliendo Protect with RMS, come mostrato in figura 14.
Figura 14 – Integrazione del Client RMS con la Shell di Windows
Da Microsoft Office è anche possibile proteggere i documenti cliccando sul menù File e scegliendo Informazioni. Dal pulsante Proteggi Documento basta scegliere Limita accesso e dopo essersi loggati apparirà la lista dei Template RMS disponibili, come mostrato in figura
Figura 15 – Protezione del file da Proteggi Documento in Office
Aggiornamento dei modelli per gli utenti
I modelli vengono scaricati automaticamente nei computer client, in modo che gli utenti possano selezionarli dalle rispettive applicazioni. Potrebbe tuttavia essere necessario effettuare alcuni passaggi aggiuntivi se si apportano modifiche ai modelli:
Exchange Online
È necessaria la configurazione manuale per aggiornare i modelli. Usare il cmdlet Import-RMSTrustedPublishingDomain -Name “Nome del template” -RefreshTemplates –RMSOnline
Office 365
I modelli vengono aggiornati automaticamente e non sono necessari altri passaggi.
Office 2013
I modelli vengono aggiornati automaticamente in base a una pianificazione, ogni 7 giorni.Per forzare l’esecuzione di un aggiornamento prima di quanto previsto dalla pianificazione dovete modificare la chiave di registro HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\ <MicrosoftRMS_FQDN>\Template ed in particolare il valore TemplateUpdateFrequency. Per i computer Windows che usano l’applicazione RMS sharing, i modelli vengono scaricati automaticamente (e aggiornati se necessario) senza che siano richieste attività di configurazione aggiuntive. Lo stesso avviene per i dispositivi mobili che usano l’app RMS sharing o altre app che supportano RMS.
Office 2010
I modelli vengono aggiornati quando gli utenti eseguono l’accesso.Per forzare l’esecuzione di un aggiornamento, chiedere o imporre agli utenti di disconnettersi e rieseguire l’accesso.
Per maggiori informazioni vi rimando all’articolo Configurazione di modelli personalizzati per Rights Management di Azure
Conclusioni
Azure Rights Management consente di proteggere da accessi non autorizzati le informazioni riservate dell’organizzazione e di controllare le modalità d’uso di tali informazioni. La protezione applicata tramite Rights Management resta associata ai file e ai messaggi e-mail indipendentemente dalla posizione, che sia all’interno o all’esterno dell’organizzazione, su una rete, nei file server o nelle applicazioni. Maggiori informazioni le potete trovare visualizzando l’articolo Quick Start Tutorial for Azure Rights Management e l’articolo Descrizione di Rights Management di Azure