Maak kennis met Enterprise Mobility Suite – Deel 5: Microsoft Azure Rights Management uitgelicht

In deel 5 gaan we wat dieper in op de bijzonderheden die kunnen komen kijken bij de uitrol van Microsoft Azure Rights Management.

Introductie 

In deel 1 van deze reeks hebben we besproken hoe Enterprise Mobility Suite, Microsoft’s mobile device management oplossing, organisaties een manier van zaken doen aanbiedt die zich focust op mobile-first en cloud-first.
We hebben verteld over de verschillende onderdelen van EMS: Microsoft Active Directory Premium, Microsoft Intune, Microsoft Azure Rights Management, Microsoft Advanced Threat Analytics en Microsoft Azure RemoteApp en gaven een overzicht van wat elk onderdeel inhoudt en hoe ze in de complete oplossing passen.
In deel 2 hebben we verteld over een aantal byzonderheden die komen kijken bij het uitrollen van Azure AD in je organisatie.
En in deel 3 en 4 deden we hetzelfde maar dan voor Microsoft Intune en Azure Right Management.

De uitrol van Azure RMS

De laatste keer hebben we het gehad over de voorwaardes die je nodig hebt om de Azure RMS dienst uit te rollen in je organisatie. Deze omvat onder andere een abonnement op de RMS dienst (dit kan via een Office 365 enterprise abonnement), Azure AD, client apparaten die RMS ondersteunen, applicaties die RMS ondersteunen, een goed geconfigureerde netwerk infrastructuur die zorgt voor verbinding naar de URLS en IP adressen die in gebruik zijn door RMS. Optionele componenten zijn een on-premises Exchange server en multi-factor authenticatie (MFA).

Op het moment dat je dit allemaal hebt staan is er nog steeds genoeg voorbereidingswerk te doen. De eerste stap heeft betrekking op het zorgen dat je Azure of Office 365 tenant account gereed is om te werken met RMS.

Dit betekent:

  • Maak de gebruikers accounts en groepen aan die Azure RMS kan gebruiken om users te authenticeren in het geval dat ze nog niet bestaan of synchroniseer je on-premises AD.
  • Plan de manier waarop je Azure RMS tenant key wordt behandeld (door Microsoft of BYOK).

 
Notitie:
Je kunt overschakelen van een Microsoft-managed tenant sleutel naar BYOK, maar je kunt niet terugschakelen de andere kant op. Microsoft de ‘key’ laten beheren werkt sneller en geeft je de volledige functionaliteit met Exchange Online. Je hebt geen speciale hardware nodig (Hardware Security Module). Echter geeft BYOK je meer controle en veiligheid over de ‘key’.

  • Indien je dit nog niet gedaan hebt, installeer dan de Rights Management module voor Windows PowerShell op een computer met internet toegang voor het gebruik van geavanceerde configuratie en scripting van Azure RMS. De computer moet wel draaien op Windows 7 of hoger of Server 2008 of hoger.
  • Activeer Azure RMS

 
Let wel op dat wanneer je on-premises RMS gebruikt, je de keys, templates en URLs moet migreren naar Azure RMS. Dit heeft betrekking op het synchroniseren van directories tussen de on-premises oplossing en Azure Active Directory. Om na de migratie gebruik te kunnen maken van de volledige information rights management (IRM) functionaliteit met Exchange Online moet je Microsoft toestemming geven de tenant key te beheren in plaats van BYOK.

Het activeren van Azure Rights Management

Voordat je Azure RMS kunt gebruiken om inhoud in Office, Exchange en SharePoint te kunnen beschermen moet je het activeren. Je kunt dit op 1 van 3 manieren doen: via het Office 365 admin center, via het klassieke Azure portaal of via PowerShell. Laten we alledrie bekijken.

Via het Office 365 admin center

Wanneer je een Office 365 enterprise account hebt inclusief een Azure RMS abonnement, log dan in op Office 365 met je administratieve account en doe het volgende:

  1. Klik op het app launcher icoon in de linkerbovenhoek van het Office 365 portaal.
  2. Klik op het admin tegel in het app launcher paneel (deze zal alleen in je app launcher staan wanneer je ingelogd bent met een admin account).
  3. Breidt Service Settings uit in het linkerpaneel van de admin console en selecteer Rights Management.
  4. Selecteer Beheren. Dit opent het Rights Management paneel.
  5. Klik op Activeren. U zal worden gevraagd via een dialoogscherm om Rights Management te activeren. Klik nogmaals op activeren. Je zou nu een bericht te zien moeten krijgen met de boodschap “Rights Management is geactiveerd” samen met de optie om te Deactiveren.

 
Via het klassieke Azure portaal

  1. Log in op het klassieke Azure portaal.
  2. Selecteer in het linkerpaneel Active Directory.
  3. Selecteer Rights Management op de Active Directory pagina.
  4. Selecteer de juiste directory en selecteer dan Activeer.
  5. Bevestig dat je Rights Management wilt activeren. Je zou het woord ‘Actief’ moeten zien in de Rights Management Status. Ook zou je de optie ‘Deactiveren’ moeten zien.

 
Via PowerShell

Om Azure RMS te activeren via de Powershell interface moet je de volgende cmdlet gebruiken:

Enable-Aadrm

Je kunt RMS uitschakelen via:

Disable-Aadrm

Deze cmdlets schakelen Azure RMS aan en uit voor alle diensten en applicaties waarbij rechten ingeschakeld zijn.

Notitie:
Wanneer de Right Management optie niet aanwezig is op de Service Settings sectie in het admin console is het mogelijk dat je Office 365 plan misschien niet Azure RMS heeft. Het is aanwezig in Enterprise E3, E4 en E5, Educatie A3, A4 en A5 en Overheid G3, G4 and G5 plannen.

Het zit niet bijgevoegd in Office 365 Home/Personal, Business Essentials, Business Premium, Enterprise E1, Educatie A1, Enterprise K1, SharePoint plannen of Exchange Online plannen.

Rights policy sjablonen

Het paar default rights policy sjablonen zijn misschien toereikend genoeg voor je benodgheden maar indien dit niet het geval is kun je custom templates creëren voor Azure RMS. Dit hoef je niet te doen tijdens de deployment, maar kan op een later moment gedaan worden.

De twee inbegrepen default templates/sjablonen zijn:

  • Read-only viewing voor beveiligde inhoud (View Content permission)
  • Read of modify beveiligde inhoud (View Content, Edit Content, Save File, View Assigned Rights, Allow Macros, Forward, Reply and Reply All permissions)

 
Je wilt misschien een template creëren voor een set van permissies daartussenin die bijvoorbeeld een gebruiker toestemming geven om Inhoud te bekijken of toegewezen rechten te bekijken, maar geen toestemming geven om inhoud te wijzigen of bestanden op te slaan. Of misschien wil je een gebruiker toestemming geven om alles te doen behalve macro’s toe te laten of misschien wil je alleen gebruikers niet toestaan om inhoud te kopiëren en uit te printen of een andere combinatie. In dat geval is een custom template nodig.

Notitie:

Wees behoed op de RMS sharing applicatie die door gebruikers ingezet kan worden om hun eigen permissies te definiëren. Dit is een app die werkt op Windows 7 (SP1), 8, 8.1 en 10 client operating systems. De app stelt gebruikers in staat om beveiligde info met iemand uit een andere organisatie te delen, een beveiligd document via email te sturen naar iemand die een iPhone of iPad heeft, uit te vinden wie er toegang heeft tot beveiligde documenten die je deelt en toegang in te trekken of vertrouwelijke bestanden op je laptop te beveiligen wanneer je op reis bent.
Mensen wiens organisatie niet gebruik maakt van RMS kunnen de app gebruiken om beveiligde inhoud te lezen die naar hen is verzonden.

Om een custom template voor Azure RMS te configureren is vrij gemakkelijk aangezien je dit ook kunt doen in het Azure portaal. Je kunt rechtstreeks inloggen op het Azure portaal of wanneer je naar het Office 365 admin center gaat en Geavanceerde opties selecteert. Hierdoor wordt je naar het Azure portaal gebracht waar je custom templates kunt creëren en publiceren.

Onthoudt dat je eerst Azure Rights Management moet activeren voordat je custom templates kunt creëren zoals hierboven beschreven.

Wanneer je een nieuwe template wilt creëren selecteer dan in het portaal ‘Creër een nieuwe rechtenstructuur sjabloon’ vanuit de ‘Aan de slag met Rights Management’ pagina. Hier kies je de taal en vul je een uniek naam in en een beschrijving van de template en klik daarna op de ‘Voltooien’ knop. De nieuwe template zal verschijnen in een lijst met templates/sjablonen on de Beheren van je Rechtenstructuur sjablonen’ pagina. Nu moet je hem nog configureren.

Selecteer de sjabloon vanuit de Sjablonen pagina in het portaal, klik op ‘Aan de slag’, configureer ‘Rechten voor gebruikers en Groepen’ en dan ‘Aan de slag’ of ‘Toevoegen’. Selecteer de gebruiker en groepen die je wilt toevoegen aan de sjabloon. Het is beter om rechtenstructuren te beheren voor groepen in plaats van voor individuele gebruikers. Je kunt beveiligings groepen gebruiken of distributie groepen zolang ze een email adres hebben.

Klik op ‘Volgende’ en wijs dan één van je rechten toe in de lijst aan de gebruikers/groepen die je hebt toegevoegd. Je kunt ‘Custom’ selecteren en dan op ‘Volgende’ klikken en de custom rechten selecteren. Je kunt kiezen uit elke combinatie van rechten maar soms zijn sommige rechten afhankelijk van anderen en dus zullen de benodigde rechten voor je geselecteerd worden.

Klik op ‘Voltooien’ en je sjabloon is af. Je kunt de template zichtbaar maken voor alleen een specifieke subset van gebruikers door het configureren van de ‘Scope’ optie. Wanneer je dit niet doet kunnen standaard alle gebruikers in de Azure AD alle gepubliceerde sjablonen zien en ze selecteren.

Conclusie

Azure RMS is gemakkelijker uit te rollen dan on-premises rights management servers, maar dat betekent niet dat het een one-step oplossing is. Er zijn nog steeds een aantal beslissingen die jje moet maken en opties die je moet overwegen wanneer je cloud-based rights management uitrolt voor je organisatie. In deel 5 hebben we de basics van het uitrollen en activeren van Azure RMS bekeken en het creëren van rechtenstructuur sjablonen. In deel 6 zullen we het hebben over het configureren van applicaties en gebruiksrechten alsook over het ontmantelen en deactiveren van Azure RMS.

Deel dit artikel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deel dit artikel

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *