Azure Information Protection (AIP)

Nachdem ich auf der Seite Rights Management Server schon über den internen Einsatz von Rights Management mit einem eigenen Server geschrieben habe, behandelt diese Seite nun den gleichen Service, der aber von Office 365 bereit gestellt wird. Jeder Office 365 Tenant hat mit den entsprechenden Lizenzen auch einen "Cloud based" RMS-Server. Allerdings muss dieser natürlich noch konfiguriert werden.

RMS in Office 365

Zuerst sollten sie sicherstellen, dass Sie überhaupt korrekt lizenziert sind. Nicht alle Office 365 Pläne enthalten Azure RMS.

Für Firmen muss es also schon Office 365 E3 oder E4 sein oder die selektiven SharePoint Plan1/Plan2 oder Exchange Online Plan1/Plan2. Gehen wir im Weiteren davon aus, dass Sie entsprechend lizenziert sind. Dann muss ein Administrator zu allererst sich die "TenantID" holen. Jeder Office 365 Tentant hat einen eigenen virtuellen RMS-Service. Über die Azure Powershell bekommen Sie die Daten:

Azure Rights Management Administration Tool
http://www.microsoft.com/en-us/download/details.aspx?id=30339

Nach der Installation der Tools geht es in einer Powershell weiter:

# AADRM Modul importieren und Verbindung herstellen
Import-Module aadrm
Connect-AadrmService

# Aktuellen Status ermitteln. Hier muss ein "enabled" zurueck kommen. 
Get-Aadrm
# enabled-aadrm

#Anzeige der Konfiguration
Get-AadrmConfiguration

Die Office 365 Anwendungen in der Cloud "lernen" diese Tenant-Konfiguration alleine. Allerdings muss RMS/IRM in Exchange Online und SharePoint natürlich noch aktiviert werden. Aber für die Aktivierung von Desktops mit Office 365 sind weitere Schritt erforderlich. Dazu sollten Sie sich schon mal folgenden Wert notieren

(Get-AadrmConfiguration).LicensingExtranetDistributionPointUrl

# Ergebnis könnte sein
https://xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.rms.eu.aadrm.com/_wmcs/licensing

Die hier als "xxx" angegebene GUID ist von Tenant zu Tenant unterschiedlich. Sie benötigen diese Url später noch bei der Konfiguration. Damit sich ihr TEMP-Verzeichnis nicht füllt, sollten Sie eine PSSession am Ende immer sauber abbauen:

Disconnect-AadrmService

RMS für Desktops konfigurieren

Der nächste Schritt ist natürlich die Konfiguration der Desktop-Applikationen (Word, Excel, Outlook etc.) für RMS. Der normale RMS-Client ist mittlerweile als Bestandteil des Betriebssystems aber für Office 365 gibt es dennoch noch einen aktualisierten Client, der erst mal zu installieren ist

Microsoft Rights Management sharing application für Windows - Deutsch
http://www.microsoft.com/de-de/download/details.aspx?id=40857

Wer lokal von früher aber noch einen "On-Prem-RMS" hat, muss diese Einstellungen erst wieder zurückschrauben. Microsoft hat dazu neben einem Leitfaden auch zwei Skripte publiziert 

Azure RMS Migration Guidance
http://www.microsoft.com/en-us/download/details.aspx?id=45505

Zudem Download gehören die beiden Skripte

  • CleanUpRMS.CMD
    Entfernt alle Einstellungen von RMS in der lokalen Registrierung
  • Redirect_OnPrem.CMD
    Addiert die Verweise auf Azure RMS

Beide Skripte sind aber in den meisten Fällen nicht direkt einsetzbar. Beide Skripte versuchen etwas nach "HKEY_Local_Machine" zu schreiben und prüfen vorher per WHOAMI nach, ob sie als Administrator laufen. Dazu nutzen Sie aber einen "FIND" auf den englischen String, was auf einem deutschen Client nicht passt. Das müssen Sie anpassen und da ein normaler Anwender sowieso kein Administrator ist, per Softwareverteilung ausrollen.

Unschöner ist aber, dass das Skript "Redirect_OnPrem.CMD" eine URL auf den RMS-Service erwartet und sie hier auf jeden Fall die richtige URL eintragen müssen ( Siehe aus "(Get-AadrmConfiguration).LicensingExtranetDistributionPointUrl"). Erst dann funktioniert auch das zweite Skript

Nur wer vorher noch nie einen RMS-Service konfiguriert hatte sollte mit folgender Eintragung auskommen.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_User\Software\Microsoft\Office\15.0\Common\DRM]
"UserMSOnline"=dword:00000001

RMS auf Desktops nutzen

Nach Abschluss der Konfiguration haben Sie nun an mehreren Stellen entsprechende Kontextmenüs. Direkt fällt es z.B. in Word auf:

Der Schwerpunkt ist hier aber das "Freigeben" per Mail. Word startet das Add-on, welches dann die Mailadresse und den Schutzlevel abfragt:

Eine Auswahl der Adresse aus einem Outlook-Adressbuch o.ä., ist hier nicht vorgesehen. Sie können hier auch keine Verteilergruppen o.ä. nutzen. RMS basiert auf den Mailadressen von individuellen Benutzern. Nachdem die Daten eingegeben wurden, öffnet er dann bei mir ein Outlook Fenster mit zwei Anlagen:

Die Mail selbst ist hier nicht geschützt aber als Anlage scheint hier ein "Protected PDF" für allgemeine Betrachtung und das DOCX angehängt zu sein, die aber geschützt ist. Microsoft verteilt auch einen "Protected File Viewer", mit dem also dann auch Personen ohne Word die Datei zumindest anzeigen könnten. Sie müssen sich natürlich auch mit ihrer Mailadresse gegen den RMS-Service legitimieren.

RMS im Dateisystem

Der Button in Word ist nett, aber generiert letztlich eine Mail mit geschützten Anlagen. Ich habe in Word selbst noch keinen Weg gefunden, ein Dokument beim Speichern auf ein Netzwerklaufwerk zu schützen. Wohl aber können Sie ein Dokument im Windows Explorer nachträglich umwandeln und schützen:

Die geschützten Dateien sind auch im Explorer entsprechend mit einer eigenen Erweiterung sichtbar:

Die Word-Datei behält allerdings die Erweiterung. Man sieht ihr nicht sofort an, ob sie geschützt ist.

Protected Files PPDF, PTXT und andere

Natürlich habe ich mit Notepad auch in die PPDF-Datei geschaut. Vor dem "Protected Content" war quasi als Text der Hinweise, wie Sie die Inhalte richtig betrachten.

Interessanter wird dies, wenn eine TXT-Datei geschützt wird. Hier kommt hinter den allgemeinen Informationen zum Download eines passenden Viewers der eigentliche Payload als XML-Struktur. Neben dem verschlüsselten Inhalt erschienen hier auch alle Mailadressen der "legitimen Personen"

 

Das ist aus meiner Sicht gar keine "gute Idee" aber irgendwo muss PFILE ja hinterlegen, wer berechtigt ist. Eine Änderung dieser Einträge quittiert der Viewer sofort mit einem "Datei nicht lesbar" Fehler. Dennoch ist dies natürlich eine Information, die ich in einem geschützten File nicht erwartet hätte.

Was es sonst noch gibt

Diese Seite beschränkt sich auf die grundlegende Einrichtung, die Nutzung gewürzt mit einen eigenen Erfahrungen. Azure RMS hat aber ein paar neue Funktionen, die ich damals bei meiner On-Premises-Installation (Siehe Rights Management Server) noch nicht gesehen habe.

Die neue RMS-Funktion scheint mit dem Schutz auch die Information über die Datei und den Schützer in der Cloud zu hinterlegen. Mit einer entsprechenden Einstellung kann der RMS-Service nun eine Mail an den Auto senden, wenn jemand anderes die Datei öffnet und sich per RMS einen Key besorgt. Interessanter ist die Funktion, dass man auch informiert wird, wenn jemand ohne Zugangsberechtigungen versucht den Decryption-Key zu erhalten. Das ist insbesondere dahingehend interessant, dass derjenige sich durchaus gegenüber RMS mit einer validierten Mailadresse ausweisen muss. Zugegeben wird ein Angreifer vielleicht auch dies verschleiern aber ein Weckruf ist es dennoch.

Weiterhin haben ich gesehen, dass es auch die Möglichkeit gibt, eine Statistik über eine Datei und deren Abruf des Decryption-Key zu erhalten. Ich bin gespannt, wie sich dies in den nächsten Wochen und Monaten weiter entwickelt.

Weitere Links