The Microsoft Conference 2014 ROOM E
改善のための要件: クライアントインフラ担当 東野智子の場合 マイクロソフトのソリューションとその効果 東野智子(30 歳) SaaSアプリ 情報システム部の クライアント インフラ担当 情報システム部のクライアント 課題 ID と認証の統合 EMS : Azure AD Premium クラウド インフラ担当 クライアント管理の効率化 個人情報保護対策 情報漏えい対策 IT ガバナンス クラウドアプリのパスワード管理 改善方法 サイバー攻撃対策 マルチデバイス管理 アカウントと認証管理 フェデレーション認証 ディスクやデータの暗号化 アカウントと 認証の管理 EMS : Azure RMS 社内 ID 連携 Active Directory 情報漏えい対策 BitLocker マルチデバイス管理 EMS Windows Intune サイバー攻撃対策 最新クライアントへの移行 パッチ管理 EMS : Enterprise Mobility Suite
改善のための要件 : ソリューション Azure Rights Management Service (RMS) で社内とクラウドのデータを保護 EMS は Azure RMS を包含 Office 2013 や Office 365 で作成したデータやメールを暗号化して 参照 編集 コピー 印刷 転送などの操作を制限 Office 2013 Azure RMS Office 365 取引先ユーザーと共有も可能 登録
The Microsoft Conference 2014
Microsoft Rights Management Microsoft Office の IRM 基盤 Rights Management Services (RMS) Information Rights Management (IRM) Microsoft Office の機能名 Microsoft Office のファイル / メールを保護 Microsoft Office ファイル / メールの暗号化 利用権限の制御基盤の歴史 2003 年提供開始 2003 年 ~ Windows Rights Management (Windows RMS) (Windows Server 2003/R2) 2008 年 ~ Active Directory Rights Management サービス (AD RMS) (Windows Server 2008/R2, Windows Server 2012/R2)
情報漏えい対策と安全な共有 情報の所有者が意図した範囲で情報の共有が可能 RMS で保護されたコンテンツ ( ファイル メール ) 1. 暗号化 2. ユーザー認証 ( コンテンツごと ) 3. 権限の制御 ( 閲覧 編集 保存 印刷 利用期限など ) 情報のオーナー 共有相手 1. 暗号化コンテンツは暗号化され紛失 / 盗難時から保護 安全な共有 ( 二次 三次流出の保護 ) 2. ユーザー認証データの持ち出し紛失 / 盗難から保護 3. 権限の制御意図した権限範囲での共有 印刷不可 メール転送不可など
暗号化と認証 コンテンツは暗号化 利用には認証が必要 紛失 / 盗難といった リスクから保護 権限を持たない ユーザーは利用できない
認証と権限制御 その価値 権限を持たないユーザーは利用できない コンテンツに対して保有する権限を細かく制御 保有権限 ユーザー A ( 社内 ) ユーザー B ( 社内 ) 他のユーザー 閲覧 編集 保存 コピー & ペースト 印刷 など - - - 利用期限 10/31 - 情報の所有者 社内ユーザー 社内ユーザー A さん 社内ユーザー B さん 社内 社外ユーザー
コンテンツの保護 暗号化と認証と権限制御 アクセスが制限される旨の表示 保有権限 ユーザー B ( 社内 ) 閲覧 編集不可 編集 保存 ファイルメニュー コピー & ペースト不可 保有権限 コピー & ペースト 印刷 など - 保存不可 利用期限 2015/1/14 印刷不可 有効期限
The Microsoft Conference 2014 DEMO RMS って?
The Microsoft Conference 2014
https://portal.aadrm.com
Azure RMS の提供を開始 Azure Active Directory Rights Management 2013 年クラウド基盤の提供を開始 Office 365 でも機能の一部として提供 E3/E4 ライセンスには Azure RMS の利用権が含まれる ( 機能制限あり ) O365 利用ユーザーはライセンス購入 / 割り当てを行えばすぐに利用可能 新機能
Azure RMS と AD RMS の関係 クラウドの基盤とオンプレミスの基盤 いずれか 1 つの基盤を選択して利用 Azure RMS と AD RMS の同時利用は不可 できることは ほぼ 同じ Azure RMS の方がクライアント要件が高い Windows 7 / Office 2010 以降が対応 Azure RMS はすべての連携製品と連携可能 ( ライセンスは別 ) SharePoint Online, Exchange Online, SharePoint Server, Exchange Server Windows Server 2012 以降のファイルサーバー (FCI) AD RMS は SharePoint Online との同期が不可 社外ユーザーとの共有 (B2B) は Azure RMS のみの機能
The Microsoft Conference 2014
情報漏えい対策と安全な共有 情報の所有者が意図した範囲で情報の共有が可能 管理者が意図した範囲で安全に情報を流通させることが可能 社内外を問わない RMS による安全な共有 RMS で保護されたコンテンツは例外なく暗号化 AES + RSA の利用 Windows 以外の端末でも利用可能 (ios/android など ) Office のファイル以外でも利用可能 RMS で保護されたコンテンツの利用には認証が必要 認証ができないユーザーは利用できない 外部ユーザーにも共有可能 RMS で保護されたコンテンツへの権限を細かく制御 ユーザーもしくはグループの単位で権限を付与 利用期限の設定も可能
RMS = 暗号化と認証と権限制御 暗号化 されたコンテンツについて 誰が ( 認証 ) 何を ( 権限 ) いつまで 利用できる 誰が 誰が 何を いつまで 何を いつまで 保有権限 ユーザー A ( 社内 ) ユーザー B ( 社内 ) ユーザー C ( 社外 ) 閲覧 編集 保存 コピー & ペースト 印刷 など - - - 利用期限 10/31 10/25
誰が 展開スコープの拡張 社内で使っている仕組みを社外ユーザーとの共有でも利用可能社外ユーザーのアカウントはケアする必要なし ( ライセンスも不要 ) 社外ユーザーの電子メールアドレスで保護して共有するだけ 保有権限 ユーザー A ( 社内 ) ユーザー B ( 社内 ) ユーザー C ( 社外 ) 社内ユーザー A さん 閲覧 編集 情報の所有者 社内ユーザー B さん 社外 社内 社外ユーザー C さん 保存 コピー & ペースト 印刷 など - - 利用期限 10/31-10/25
RMS Sharing Application 強力な RMS ツールの提供 Microsoft 提供の無償のツール RMS 利用インターフェースの追加 ファイルを右クリックして保護可能 Microsoft Office の UI 拡張 外部ユーザー共有のための UI 実装 Microsoft Office のファイル以外に RMS で保護可能なファイルフォーマットの追加 テキスト 画像 PDF ファイル Protected ファイル (Pxxx) として保護 専用のビューア (IPViewer) で保護されたファイルを展開 マルチプラットフォームで提供 Windows / Mac / ios / Android / Windows Phone などのプラットフォームで利用可能
IPViewer による RMS で保護されたファイル (PPDF) 閲覧 (ios) IPViewer による RMS で保護されたファイル (PPDF) 閲覧 (Mac OS) RMS Sharing Application - IPViewer
何を - 対応ファイルの追加 RMS によるファイルの保護 保護の対象と形態 アプリケーションが RMS に対応しているファイル RMS が提供する機能をすべて利用可能 対応ファイルの例 Microsoft Office ファイル PDF ファイル リーダーは Foxit PDF リーダーなどの利用 他対応アプリケーション RMS Sharing Application で対応 拡張子を変え P という Prefix をつけて保護する形態 (PDF -> PPDF) IPViewer で利用 ( 閲覧のみ ) 対応ファイルの例 テキストファイル 画像ファイルなど RMS Sharing Application で対応 zip ファイルのような形でファイルをコンテナに格納 コンテナから出されたファイルは保護されない 対応ファイル 全てのファイル ( ファイルフォーマットを問わない )
Pxxx ファイルによる保護 オリジナルの拡張子.txt.xml.jpg.jpeg.pdf.png.tiff.bmp.gif.jpe.jfif.jif RMS で保護した後.ptxt.pxml.pjpg.pjpeg.ppdf.ppng.ptiff.pbmp.pgif.pjpe.pjfif.pjif RMS Sharing Application による対応 ファイルの拡張子を変えて保護 (Protected ファイル ) 専用のビューア (IPViewer) で保護されたファイルを利用 Pxxx ファイルとして保護されたファイルはファイルのアイコンが変わる テキスト txt -> ptxt PDF pdf -> ppdf PNG png -> ppng
マルチプラットフォーム対応 ios / Android OS のサポート RMS Sharing Application の提供 現時点で利用可能なファイルは Pxxx ファイルと PFILE のみ Mobile Office は RMS 未対応 ( ネイティブで保護された Microsoft Office ファイルは取り扱えない点に注意 ) 基本的にコンテンツの閲覧に特化 保護の機能は限定 ( 画像ファイル )
The Microsoft Conference 2014 DEMO RMS Sharing Application モバイルデバイスでの利用
The Microsoft Conference 2014
コンテンツの保護と利用 どう保護する? ユーザーサイド ( 手動 ) - ユーザーに設定を委ねる Microsoft Office ユーザーインターフェース Edition により UI 有無 RMS Sharing Apps ユーザーインターフェース サーバーサイド ( 自動 ) - システムで RMS による保護を徹底 SharePoint / SharePoint Online Exchange / Exchange Online ファイルサーバー (Windows Server 2012 以降 FCI) どう利用する? ファイルの保護は Windows 端末 それ以外の端末は消費専用 Windows 端末ならフル機能を利用可能 Windows 以外の端末では保護されたコンテンツの安全な閲覧 Office Web Apps / Pxxx の活用 (Office Mobile は対応していない )
RMS 適用 ユーザー手動 1. Microsoft Office のメニューから設定 ( 詳細設定 ) ユーザー グループ単位でコンテンツに対する権利条件を細かく設定
RMS 適用 ユーザー手動 2. Microsoft Office のメニューから設定 ( 権利ポリシーテンプレート ) 標準 追加 管理者があらかじめ定義した権利条件の雛形を使ったワンクリックでのコンテンツ保護 ユーザー グループ単位で付与する権利条件を定義 機密区分 C テンプレート Contoso 機密区分 B テンプレートユーザー Contoso Contoso Senior グループ Contoso 機密区分 A テンプレートユーザー Managers Employees Managers Contoso Contoso Senior グループ Contoso ユーザー Managers 閲覧 Managers Contoso Employees Contoso Senior グループ Managers Employees 編集閲覧 Managers 保存 編集 閲覧 印刷 保存 編集 など 印刷 保存 - - - 利用期限など 印刷 - 30 日間 - - 利用期限など - 30 日間 - - 利用期限 30 日間
権利ポリシーテンプレート 権限セットの雛形の作成と配布 ユーザーグループ 機密区分 A テンプレート Contoso Senior Managers Contoso Managers Contoso Employees 閲覧 編集 保存 印刷 など - - - 利用期限 30 日間 Azure 管理ポータルから作成 (O365 の管理ポータルでは設定不可 ) 配布は自動
RMS 適用 ユーザー手動 3. RMS Sharing Apps の利用 RMS Sharing Application ( 別途インストール要 ) を利用することでエクスプローラでファイルを右クリックして保護が可能 権利ポリシーテンプレートによるワンクリックでの保護 Pxxx ファイルで保護できるのは RMS Sharing Apps のみ SharePoint は対応していない 外部ユーザーへの共有を容易にするためのインターフェースを提供
RMS 適用 ユーザー手動 3. RMS Sharing Apps の利用 RMS Sharing Application による外部ユーザーへの共有設定 権限を付与するユーザー 電子メールアドレスで設定 ( 無償メールなどは利用不可 ) コンテンツへの権限 ビューアー レビュー担当者 共同作成者 共同所有者 コンテンツの有効期限 共有相手がコンテンツを利用した際の通知 ( メール )
RMS 適用 サーバー自動適用 1. SharePoint SharePoint Online の利用 2. ファイルサーバーによる保護 (Windows Server 2012 以降 ) ドキュメントライブラリにファイルを配置するだけで自動的に RMS で保護 保護のタイミングはユーザーのダウンロード時 共有フォルダにファイルを配置するだけで自動的に RMS で保護 保護のタイミングは共有フォルダーへのアップロード時
RMS 適用 サーバー自動適用 3. Exchange Exchange Online の利用 ユーザーが送ったメールについて設定された条件に合致する場合自動的に RMS で保護 添付ファイルについても RMS で保護可能な場合 自動的に保護 Exchange Online の設定管理センターのメールフローに関する設定でメールを保護する条件を定義 Exchange Server ( オンプレミス ) でも同様に利用可能 ( ライセンスに注意 )
RMS 利用 - Windows RMS で提供される全ての機能を利用可能 Azure RMS を利用するには Windows 7 / Office 2010 が必要 RMS Sharing Application の配布 RMS 適用と保護されたコンテンツの利用が可能 Office ファイル Pxxx ファイル Office Web Apps (O365) 適用利用適用利用ファイルメール 閲覧のみ
RMS 利用 非 Windows 基本的に閲覧限定 保護コンテンツの消費 RMS Sharing Application の利用が前提 各ストアから無償で入手可能 Office ファイル Pxxx ファイル Office Web Apps (O365) 適用利用適用利用ファイルメール 画像は 適用可能 閲覧のみ
Office Web Apps 利用 Office Web Apps による保護されたファイルの利用 (ipad) OWA for ipad (O365 用アプリ ) による保護されたメールの利用
The Microsoft Conference 2014 DEMO Contoso ドラッグ
Contoso ドラッグの場合 社内社外何を保護? 東野智子 (30 歳 ) Office 課題 個人情報保護対策 情報漏えい対策 Pxxx メール PDF (PPDF) 何で使う? 改善方法 Azure RMS の利用 展開スコープ : 社内 社外 ファイル : 社内 Office, PDF 社外 PDF 端末 : 社内 Windows 社外何でも 権限 : 社内フルコントロール社外閲覧のみ Windows フルコントロール 何でも ( 社外ユーザーなので統制不可 ) 閲覧のみ 何ができる?
The Microsoft Conference 2014
利用するには何が必要? Office 365 を利用している場合 既に基盤は整備済み ( ライセンスはプランによる ) ユーザーにライセンスを割り当てるだけで利用可能 RMS Sharing Application を利用する場合 配布を検討 オンプレミスの Exchange / SharePoint / ファイルサーバーを連携させる場合 RMS コネクターをインストールしたサーバーを配置 Office 365 をまだ利用していない場合 Azure RMS は単体でも導入可能 ( ライセンスを単体で購入 ) Exchange ファイルサーバー SharePoint Active Directory RMS コネクターサーバー ADFS WAP (Web Application Proxy) ディレクトリ同期サーバー Microsoft Azure Active Directory
利用するには何が必要? ライセンス O365 サブスクリプション (E3/E4) 機能制限有 Azure RMS Standalone サブスクリプション EMS (Enterprise Mobility Suite) サブスクリプション 組織ユーザー ID を使ったコンテンツの保護と 参照 Office 365 上に保存されたコンテンツの保護 オンプレミスの Office に保存されたコンテンツの保護 (RMS Connector による Exchange Server, SharePoint Server の保護 ) 自己生成キーによるデータ保護 (Bring your own Key (Hybrid protection)) 非 Office ファイルの RMS による保護 (Pxxx ファイルの保護 ) RMS SDK の提供 オンプレミスの Windows Server ファイル共有に保存されたコンテンツの保護 (RMS FCI Connector による保護 ) O365 E3/E4 Azure RMS
2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
The Microsoft Conference 2014
Windows の場合 2014/10 時点 1. Microsoft Office 2010 / 2013 2. Office Web Apps (SharePoint (Online)) Office 2010 の場合 RMS Sharing Application のインストールが必須 Office に含まれるアプリケーションでも RMS に対応していないものがある点に注意 (Access Visio 等は非対応 ) Foxit Reader などの対応リーダーが別途必要 PDF ネイティブで保護している場合 IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合 3. Pxxx ファイルの方式として保護することも可能この場合 IPViewer で展開可能 RMS Sharing Application テキスト 画像系ファイル PDF ファイルについて拡張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用 ユーザーが保持している権限に関わらず 閲覧しかできない点に注意 1. Microsoft Office 2010 / 2013 2. Outlook Web Apps (Exchange (Online)) Office 2010 の場合 RMS Sharing Application のインストールが必須
ios の場合 2014/10 時点 1. Office Web Apps (SharePoint (Online)) Office Mobile は RMS (IRM) 非対応 RMS 権限に関わらず閲覧しかできない Foxit Mobile PDF などの対応リーダーが必要 PDF ネイティブで保護している場合 IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合 3. Pxxx ファイルの方式として保護することも可能この場合 IPViewer で展開可能 RMS Sharing Application テキスト 画像系ファイル PDF ファイルについて拡張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用 ユーザーが保持している権限に関わらず 閲覧しかできない点に注意 1. Outlook Web Apps (Exchange (Online)) OWA for iphone / ipad は RMS (IRM) 対応 (Exchange Online のみ )
Android の場合 2014/10 時点 1. Office Web Apps (SharePoint (Online)) Office Mobile は RMS (IRM) 非対応 RMS 権限に関わらず閲覧しかできない Foxit Mobile PDF などの対応リーダーが必要 PDF ネイティブで保護している場合 IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合 3. Pxxx ファイルの方式として保護することも可能この場合 IPViewer で展開可能 RMS Sharing Application テキスト 画像系ファイル PDF ファイルについて拡張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用 ユーザーが保持している権限に関わらず 閲覧しかできない点に注意 1. Outlook Web Apps (Exchange (Online)) OWA for Android は RMS (IRM) 対応 (Exchange Online のみ )
Mac の場合 2014/10 時点 1. Office Web Apps (SharePoint (Online)) 現時点では対応手段なし Mac 用 Microsoft Office は Azure RMS 非対応 (AD RMS は利用可能 ) RMS 権限に関わらず閲覧しかできない RMS Sharing Application テキスト 画像系ファイル PDF ファイルについて拡張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用 ユーザーが保持している権限に関わらず 閲覧しかできない点に注意 1. Outlook Web Apps (Exchange (Online)) Mac 用 Microsoft Office は Azure RMS 非対応 (AD RMS は利用可能 )
The Microsoft Conference 2014
社外ユーザーの利用 1 無償サービスへの登録 初回利用時に Microsoft Rights Management ポータルへアクセス 自身のビジネスのメールアカウントを登録
社外ユーザーの利用 2 無償サービスへの登録 一度登録すれば 次回以降の利用は ID ( メールアドレス ) とパスワードで認証
社外ユーザーの利用 3 無償サービスへの登録 アカウントのプロビジョニング完了後 必要なアプリケーション (RMS Sharing Application などをインストール )
社外ユーザーの利用 4 無償サービスへの登録 本人確認 登録が完了した旨など 一連のやり取りで登録するメールアドレスに対してメールが届く フリーのメールサービス (Hotmail など ) は利用できない点に注意 O365 ユーザーである場合には登録は必要ない
2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.