OfficeGrip_logo

Maak kennis met Enterprise Mobility Suite – Deel 4: Het uitrollen van Microsoft Azure Rights Management

In deel 3 bekijken we hoe je Microsoft Azure Rights Management kunt uitrollen.

Introductie 

In deel 1 van deze reeks hebben we besproken hoe Enterprise Mobility Suite, Microsoft’s mobile device management oplossing, organisaties een manier van zaken doen aanbiedt die zich focust op mobile-first en cloud-first.
We hebben verteld over de verschillende onderdelen van EMS: Microsoft Active Directory Premium, Microsoft Intune, Microsoft Azure Rights Management, Microsoft Advanced Threat Analytics en Microsoft Azure RemoteApp en gaven een overzicht van wat elk onderdeel inhoudt en hoe ze in de complete oplossing passen.
In deel 2 hebben we verteld over een aantal byzonderheden die komen kijken bij het uitrollen van Azure AD in je organisatie.
En in deel 3 deden we hetzelfde maar dan voor Microsoft Intune. In dit vierde deel zetten we de serie voort door een overzicht te geven van hoe je Azure Rights Management service uitrolt en beheert.

De evolutie van Microsoft Rights Management Services

In het kort kunnen we zeggen dat RMS begon als een geweldig idee dat moeilijk was te implementeren. Het grote obstakel was de noodzaak om een rights management server op te zetten en configureren op je netwerk waarvoor het eerst nodig was IIS uit te rollen aangezien RMS hierop draaide. Het werd een stukje makkelijker in Windows Server 2008 toen RMS werd toegevoegd als een server rol, maar je had nog steeds een aantal andere diensten waar het afhankelijk van was die moesten worden geïnstalleerd en geconfigureerd. Er werd weer progressie geboekt in Server 2012 met support voor meerdere versies van SQL Server en support voor AD RMS in server core installaties. Evengoed bleef het uitrollen van RMS een uitdagende vooruitzicht waardoor menig admin ervoor koos om sowieso niet aan de taak te beginnen.

Eén van de voordelen van cloud computing is uiteraard dat het onderwerpen zoals deze gemakkelijker maakt. In plaats van diensten uit te rollen op servers in je eigen datacenter, abonneer je op en gebruik je die diensten die al geïnstalleerd staan, correct zijn geconfigureerd en draaien op een cloud provider’s datacenter. Uiteraard zijn er nog steeds vele dingen waarvan je afhankelijk bent, maar het verschil is dat de cloud service provider veel van het zware werk voor je doet.

Het plannen van Azure RMS deployment

De eerste en meest logische vereiste voor het uitrollen en gebruiken van Azure RMS is een Azure abonnement, alleen niet alle Azure abonnementen omvat en ondersteunt RMS. Degene die dat wel doen zijn o.a. de Enterprise Mobility Suite als ook Office 365, een Azure Right Management Premium abonnement of een RMS voor individuen abonnement.

Voordat je enthousiast wordt over het gebruiken van RMS met Office 365 is het belangrijk om te weten dat het niet inbegrepen is bij de meeste O365 plannen. Het is wel inbegrepen bij Enterprise E3 en E4 en Government G3 en G4 abonnementen; in andere woorden je hebt één van de beste, duurste versies van Office 365 nodig om Azure RMS erbij te krijgen.

Het goede nieuws is dat je niet een abonnement nodig hebt waar Azure RMS bij inbegrepen is, je kunt jezelf abonneren als een ‘standalone’ dienst. Dit heet Azure RMS Premium en je kunt het gebruiken met versies van Office 365 zonder RMS. Het werkt met alle versies van O365, alhoewel er een aantal beperkingen zijn aan de Business Premium editie van Office 365.

LET OP:
Er is een proef abonnement van deze dienst verkrijgbaar, maar het is belangrijk om te weten dat als je de trial versie gebruikt en deze verloopt je geen toegang meer hebt tot de inhoud die beschermt was via RMS totdat je de betaalde versie van Azure RMS of één van de Office 365 edities waarbij RMS inbegrepen zit koopt of jezelf abonneert op EMS. Let ook op dat wanneer je een betaald abonnement hebt waarbij RMS inbegrepen zit en je deze later ontmantelt en deactiveert je nog steeds toegang hebt tot de inhoud die je hebt beschermd met Azure RMS.

En als laatste is er voor individuele gebruikers wiens organisatie geen AD RMS of Azure RMS heeft en wel hun gegevens willen beschermen of toegang willen tot RMS-protected inhoud een abonnement voor RMS for Individuals. Dit is een goede oplossing voor individuen in andere organisaties met wie je beveiligde content wilt delen wanneer hun organisatie geen Azure AD accounts heeft. AD RMS voor individuen creëert een onbeheerde Azure tenant en direcotry voor de organisatie die een account voor de individuele gebruiker bevat.

Het betreft een gratis dienst dus je kunt je afvragen waarom iedereen niet gewoon gebruik maakt van een individueel abonnement in plaats van als bedrijf betalen voor een abonnement. Het antwoord hierop is dat RMS voor individuen is ontworpen voor het consumeren van RMS-protected content. Alhoewel je er ook inhoud mee kan beveiligen is deze optie bedoeld voor de proef periode. De Terms of Service voor dit gratis abonnement maken het duidelijk dat Microsoft het aantal gebruikers kan limiteren binnen een organisatie die gebruik maken van de gratis dienst om zo beveiligde inhoud te maken en beveiligen. Deze ToS kun je hier vinden.

Buiten het abonnement dat de RMS dienst bevat heb je het volgende nodig om RMS uit te rollen in je organisatie:

  • Azure Active Directory. Dit is het middel waarmee gebruikers worden goedgekeurd voor RMS doeleinden, dus je hebt een Azure abonnement met Azure AD nodig. Je kunt directory integratie opzetten wanneer je gebruik wilt maken van de gebruiker-accounts van je on-premises Active Directory services.
  • Multi-factor authenticatie. MFA wordt ondersteund door RMS maar is niet verplicht. MFA heeft Office 2103 of hoger, de Rights Management sharing app voor Windows of deze app voor je mobiele device nodig. MFA wordt geconfigureerd in de Azure Portal op de Active Directory pagina.
  • Client OS support. Client apparaten die worden gebruikt voor het maken, delen en toegang verkrijgen tot RMS-beveiligde inhoud zijn verplicht om operating systems te draaien die RMS ondersteunen. Dit betekent Windows 7, 8, 8.1 of 10; Windows 8 of 8.1 RT; Windows Phone 8.1, Mac OS X 10.8 of later; Android 4.0.3 of later; iPhone/iPad die iOS 7.0 of later draaien. Sommige operating systems zullen meer RMS functie en mogelijkheden ondersteunen dan anderen en sommige hebben de AD Mobile Device Extension nodig.
  • Applicatie ondersteuning. RMS-beveiligde inhoud kan alleen gemaakt, gedeeld en bekeken worden door applicaties die Azure RMS ondersteunen. Dit bevat Microsoft Office Pro 2010, 2013 en 2016; Office 365 edities die Azure RMS bevatten; de Rights Management Sharing app for Windows, Mac, Windows Phone, iOS en Android.
  • Infrastructuur. Je netwerk infrastructuur en firewalls moeten zo geconfigureerd worden dat ze specifieke URL’s en IP adressen toelaten die gebruikt worden door Azure RMS.
  • On-premises servers. Je kunt Azure RMS gebruiken met je on-premises Exchange 2010 of 2013; SharePoint 2010 of 2013; of Windows Server 2012 file server met File Classification
  • Infrastructure (FCI) om Office bestanden te beveiligen. Hybrid Exchange deployments waarin sommige gebruikers Echange Online gebruiken en andere een account hebben op een on-premises server worden ondersteund door Azure RMS door middel van de RMS connector voor Exchange server.

 
Wat nu als je een on-premises AD RMS hebt en je wilt hem naast Azure RMS laten draaien? Microsoft zegt dat dit niet kan of beter gezegd ze ondersteunen dit type deployment niet, behalve gedurende een migratie. Je kunt migreren van AD RMS naar Azure RMS of ke kunt gebruik blijven maken van AD RMS en Azure RMS deactiveren. Ook bestaat er zoiets als een ‘backwards’ migratiepad van Azure RMS naar AD RMS zodat je verschillende opties hebt.

Conclusie

In dit vierde deel van onze serie over EMS hebben we de verschillende benodigdheden en overwegingen waarover je moet nadenken bij het plannen van je uitrol van het Azure Rights Management Services (RMS) component van EMS. In het volgdende, vijfde deel eindigen we deze serie met een diepere blik op de how-to van dit onderwerp.

Deel dit artikel

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Inschrijven voor de nieuwsbrief

Het laatste Microsoft 365 nieuws in jouw mailbox? Schrijf je dan nu in voor onze nieuwsbrief!