KT-IT Solutions - IT-Dienstleistungen und Prozessberatung aus Paderborn. Microsoft Azure, SharePoint, Office 365, Mobile Apps, Softwareentwicklung. Tel: 05251 / 8775174, Technologiepark 24, 33100 Paderborn

Verschlüsselung und Rechteverwaltung mit Azure Information Protection

Verschlüsselung und Rechteverwaltung mit Azure Information Protection

Die Nutzung von Cloud-Technologien ermöglicht mobiles Arbeiten und Zusammenarbeit mit Kunden und Partnern, indem Dateien ortsunabhängig verfügbar gemacht und bei Bedarf von verschiedenen Personen bearbeitet werden können. Dabei ist es wichtig, Dokumente zu schützen und vor unbefugten Zugriffen zu bewahren.

Neben Neuerungen in Abwehrdiensten wie ‚Advanced Threat Protection‘ (verfügbar Ende 2016) sowie ‚Threat Intelligence‘ und ‚Advanced Data Governance‘ (beide ab Anfang 2017) zur Abwehr potenzieller Gefahren soll mit Azure Information Protection der sichere Umgang und die Bearbeitung von Dokumenten innerhalb wie außerhalb des Unternehmens gehandhabt werden können. Mithilfe von Verschlüsselungstechnologien sowie dem Azure Rights Management werden benutzerfreundliche Zugriffsverwaltung und Kontrolle über die Verfügbarkeit von Dokumenten ermöglicht.

Von serverseitiger zu cloudbasierter Infrastruktur

Während die bisherige Lösung zum Schutz von Dokumenten, Active Directory Rights Management Services (AD RMS) zum Schutz von Office-Dokumenten lokal arbeitete, handelt es sich beim Microsoft Azure Rights Management um eine cloudbasierte Lösung. Da keine lokale Serverinfrastruktur mehr benötigt wird, erfolgt die Implementierung schnell und kann umso leichter verwaltet werden. Im Vergleich zu einer serverbasierten Lösung kann Azure Rights Management so schneller Updates und neue Features umsetzen. Um auch mobiles Arbeiten zu gewährleisten, funktioniert das Azure Rights Management auf allen gängigen Endgeräten und Betriebssystemen.

Das Speichern der Dateien in der Cloud ist aber kein Muss, denn Azure Information Protection schützt auch lokal gespeicherte Dateien. Des Weiteren sind auch hybride Lösungen möglich, die Daten in der Cloud als auch on-premise speichern. So bleibt der Dokumentenschutz gewährleistet, egal ob Dokumente online angezeigt oder lokal auf dem Rechner angezeigt werden. „Bring your own key“ – Optionen ermöglichen ein unternehmensinternes Managen von Keys zur Verschlüsselung.

Verfügbar ist das Azure Rights Management nicht nur für Office 365, sondern kann auch mit anderen Sicherheitsanwendungen und Lösungen zum Schutz von Informationen verwendet werden, unabhängig davon, ob diese cloudbasiert oder lokal arbeiten.

Welche Position Azure Rights Management als Lösung zur Rechteverwaltung einnimmt verdeutlicht die folgende Abbildung:

 

Azure Information Protection: Darstellung der Rolle von Azure Rights Management in Bezug zu verschiedenen Diensten

Quelle: https://docs.microsoft.com/en-us/information-protection/understand-explore/what-is-azure-rms

Sicheres Teilen mit Kunden und Partnern

Über das Teilen von Dokumenten hinaus kann auch mit Unternehmensexternen gemeinsam an Dateien gearbeitet werden. Über die Festlegung von Zugriffsrechten und Bearbeitungsmöglichkeiten lässt sich einstellen, welche Personen auf ein Dokument zugreifen können und wie diese damit verfahren dürfen. Zum Beispiel kann das Weiterleiten oder Ausdrucken von Mails aber auch die Bearbeitung von Dokumenten untersagt werden.

Für Mitarbeiter, die sich aufgrund von Außenterminen oder Geschäftsreisen außerhalb des Unternehmensnetzwerks befinden, ist eine bequeme, cloudbasierte Authentifizierung per Azure AD möglich.

Durch die Integration von Schutzmöglichkeiten direkt in Office Produkte können Nutzer schnell und einfach die geeigneten Sicherheitsoptionen ersehen und umsetzen. So kann Schutz umgesetzt werden, ohne dass die Arbeitslast der Nutzer sich dadurch erhöht.

Die Office 365 Nachrichtenverschlüsselung lässt Anwender Mails einfach ver- und entschlüsseln, unabhängig davon ob Empfänger einen entsprechenden Dienst dafür in Anspruch nehmen.

Verwaltung von Berechtigungseinstellungen

Möchte man, beispielsweise aufgrund von sensiblen Daten, bei Dokumenten oder E-Mails eine bestimmte Art von Schutz umsetzen, müssen diese vorerst bezeichnet und klassifiziert werden.

Dazu gibt es verschiedene Möglichkeiten: entweder findet die Klassifikation und Bezeichnung automatisch statt (nach zuvor durch Administratoren festgelegte Regeln und Bedingungen) oder durch Benutzer, die diese manuell einstellen. Außerdem kann auch aus einer Reihe an Empfehlungen der passende Vorschlag ausgewählt werden.

Dies erleichtert das Management empfindlicher Dokumente für den Nutzer enorm, denn im Vergleich dazu mussten bei der vorherigen, weitaus aufwendigeren Lösung für solche Probleme die Services ‚Data Loss Prevention‘ und ‚Azure Rights Management Services‘ kombiniert werden. Mit dem neuen Azure Rights Management ist der angewandte Schutz zudem an die Dokumente geknüpft, unabhängig vom Netzwerk oder bestimmten Anwendungen.

Das folgende Beispiel veranschaulicht die Umsetzung des Schutzes eines Dokumentes mit sensiblen Daten in Form von Kreditkarteninformationen anhand vorgeschlagener Klassifikationen, die dem Nutzer in der QuickInfo angezeigt werden:

Azure Information Protection Beispielvorschlag für Bezeichner in der QuickInfo

Quelle: https://docs.microsoft.com/de-de/information-protection/understand-explore/what-is-information-protection

Neben Einstellung des Schutzes durch permanente Bezeichnungen können auch Wasserzeichen oder Metadaten in der Kopf- oder Fußzeile hinzugefügt werden. Beispielsweise kann in Dateien oder E-Mails ein Header als Klartext hinzugefügt werden, anhand dessen andere Dienste die Klassifizierung feststellen und passende Maßnahmen umsetzen können.

Das folgende Beispiel zeigt eine E-Mail, bei der durch die Klassifikation ‚Internal‘ darauf hingewiesen wird, dass diese nicht an Unternehmensexterne gesendet werden darf.

Azure Information Protection Beispiel E-Mail Klassifikation Internal

Quelle: https://docs.microsoft.com/de-de/information-protection/understand-explore/what-is-information-protection

Die Klassifikation wird dabei sowohl in der Fußzeile der Nachricht platziert als auch im E-Mail-Header. Letztere ermöglicht eine Überprüfung seitens des E-Mail-Dienstes, sodass ein Überwachungseintrag umgesetzt werden kann oder das Verschicken an Unternehmensexterne untersagt wird.

Kontrolle über den Dokumentenzugriff

Mit der Möglichkeit zur Nachverfolgung des Dokumentenzugriffs haben Autoren von Dokumenten die Verwendung dieser stets im Blick. Des Weiteren behält der Eigentümer die Kontrolle über seine Dokumente, da Zugriffsrechte auch nachträglich eingestellt oder wieder entzogen werden können.

Dies kann nicht nur in Office-Dokumenten oder E-Mails umgesetzt werden, sondern auch bei Dateien in SharePoint oder Exchange.

Vorlagen zur schnellen Umsetzung von Schutzoptionen

In Ergänzung zu schon bei Azure RMS vorhandenen Vorlagen stellt Azure Rights Management weitere Vorlagen zur Verfügung, um bestimmte individuelle Anforderungen von Nutzern in nur wenigen Schritten umsetzbar zu machen.

Es gibt zwei voreingestellte Standardvorlagen zur Beschränkung des Dokumentenzugriffs auf Unternehmensinterne. Ergänzend können eigene Vorlagen erstellt werden. Anhand dieser Vorlagen können bestimmte Bezeichner auf ein Dokument angewandt und diese automatisch klassifiziert und geschützt werden.

Wie Vorlagen für Bezeichner durch Konfiguration einer Azure Protection Richtlinie im Azure Portal eingestellt werden zeigt das folgende Beispiel:

Azure Information Protection Beispiel: Vorlage in AIP konfigurieren

Quelle: https://docs.microsoft.com/de-de/information-protection/understand-explore/what-is-information-protection

Das Festlegen von Regeln für den E-Mail Versand per Exchange Online kann auch über das Exchange Admin Center erfolgen.

Azure Information Protection Templates exchange online callouts

Quelle: https://docs.microsoft.com/de-de/information-protection/understand-explore/what-is-information-protection

Integration in Office Anwendungen

Mit der Installation des Azure Information Protection Clients lässt sich die Information Protection Leiste auch in anderen Office Anwendungen wie Excel oder PowerPoint platzieren. So können Anwender schnell und bequem Bezeichnungen für die passenden Klassifizierungen direkt aus der Leiste auswählen. Je nach Einstellung werden mit der Auswahl einer Klassifizierung auch direkt Schutzmaßnahmen umgesetzt.

Beispiel Azure Information Protection Leiste in Excel

(Quelle: https://docs.microsoft.com/de-de/information-protection/understand-explore/what-is-information-protection)

Mehr zum Thema Azure Information Protection und Azure Rights Management in folgendem Video:

 

Quelle: https://www.youtube.com/embed/n-FMMb1p1jg

 
Kommentare

Bisher keine Kommentare.

Hinterlasse einen Kommentar.