EMS demo część 6: AIP – konfiguracja usługi oraz przygotowanie stacji roboczej

12 Sie

W kolejnej części serii wpisów o EMS skupię się na rozwiązaniu Azure Information Protection (AIP). Jeśli znacie AD RMS to generalnie można powiedzieć że AIP to AD RMS w chmurze 🙂 Dla tych co nie znają ani jednego ani drugiego już tłumaczę: za pomocą AIP czy AD RMS możemy etykietować pliki lub wiadomości e-mail, a idąc o jeden krok dalej do etykiet możemy przypisywać uprawnienia dla konkretnych osób wewnątrz organizacji lub poza nią. W tym drugim przypadku mamy do czynienia nie tylko z klasyfikacją ale też ochroną – szyfrowaniem (AES 256). Przykładowo możemy stworzyć etykietę „Ściśle tajne” która po przypisaniu do dokumentu Word, stworzy w nim znak wodny lub nagłówek lub stopkę (lub wszystko naraz) „Ściśle tajne”, sklasyfikuje go jako informacje ściśle tajne i dodatkowo nada uprawnienia do odczytu tylko osobom z grupy AD „Dyrektorzy”. Pisząc „sklasyfikuje go jako ściśle tajne” miałem na myśli to że klasyfikacja pliku jest widoczna w jego metadanych co pozwala na podjęcie z nim dalszych akcji np. z wykorzystaniem systemów DLP.

Zaszyfrowane dokumenty możemy odczytywać również na urządzeniach mobilnych za pomocą specjalnie do tego przygotowanej aplikacji, dodatkowo osoba uprawniona do otwierania dokumentu i wprowadzania w nich zmian nie musi mieć konta w naszej domenie, ba, nie musi mieć nawet licencji na AIP! Między innymi w tym AIP góruje nad AD RMS – tak apropos oba te rozwiązania można ze sobą zintegrować ale nie czas i miejsce aby się o tym rozwodzić 🙂

Co będzie potrzebne?

Do dzisiejszego wpisu potrzebna będzie nam co najmniej jedna stacja robocza najlepiej z Windows 10. W mojej konfiguracji jest ona wpięta do domeny AD którą przygotowałem wcześniej ale nie jest to warunek konieczny. Najlepiej jeśli będziemy mieli 2 lub nawet 3 takie stacje robocze tak żeby być w stanie przetestować różne scenariusze AIP. Na stacjach roboczych potrzebny będzie Office 2010 SP2 lub nowszy. Ja w swoim środowisku będę testował na Office 365 Business.

Oczywiście dodatkowo potrzebne będą licencje EMS E3 lub E5 w skład których wchodzi odpowiednio AIP P1 i AIP P2. Różnica polega na tym że w P2 możemy skonfigurować reguły autoklasyfikacji i autoochrony a w P1 nie.

Żeby móc korzystać z AIP potrzebujemy zsynchronizowanych kont użytkowników w Azure AD. Dodatkowo konta te muszą mieć przypisaną licencję AIP. Przypisywanie licencji omówiłem tutaj, natomiast synchronizację kont użytkowników tutaj. W celach testowych możemy wykorzystać konta utworzone i istniejące tylko w Azure AD.

Uruchomienie AIP w Azure Portal

Zabawę z AIP należałoby rozpocząć od włączenia usługi AIP i przynajmniej wstępnej jej konfiguracji. W tym celu przechodzę do portalu Azure i z listy usług wybieram Azure Information Protection. Dla wygody przypinam sobie do listy z lewej strony. Otwieram kartę AIP i jeśli nie zostanę automatycznie poproszony o aktywację usługi Azure RMS to przechodzę do pozycji Protection activation i klikam Activate. Po kilku chwilach powinienem otrzymać komunikat że usługa została aktywowana i jej status zmieni się na activated.

activate-azurerms

 

deactivate-azurerms

Teraz mogę sprawdzić domyślną konfigurację AIP, zmienić ją i w ogóle zacząć wykorzystywać 🙂 Zacznijmy od wprowadzenia kilku zmian.

Konfiguracja AIP

Z punktu widzenia podstawowej konfiguracji najważniejsze są dwie pozycje: Labels oraz Policies. W Labels konfigurujemy poszczególne etykiety, jak się mają zachowywać oraz czy wraz z nimi powiązane są jakieś uprawnienia. Policies można wykorzystać do konfiguracji różnym grupom użytkowników różnych etykiet np. dział HR może mieć zupełnie inny zestaw etykiet niż dział Marketing. Czyli workflow powinien być następujący:

  1. Tworzymy i konfigurujemy etykietę
  2. Dodajemy w zależności od potrzeb uprawnienia użytkownikom lub ich grupom
  3. Dopisujemy etykietę do polityki

Po włączeniu AIP mamy możliwość wygenerowania domyślnych etykiet gotowych do wykorzystania. Aby skorzystać z tej opcji należy przejść do Labels i kliknąć Generate default labels. Po kilku chwilach powinniśmy mieć gotowy następujący zestaw etykiet:

  • Personal
  • Public
  • General
  • Confidential
    • Recipients Only
    • All Employees
    • Anyone (not protected)
  • Highly Confidential
    • Recipients Only
    • All Employees
    • Anyone (not protected)

Oraz jedną politykę domyślną: Global. Jest ona tak skonfigurowana że jakiekolwiek etykiety zostaną do niej przypisane będą widoczne dla wszystkich użytkowników.

Utworzenie nowej etykiety

Stwórzmy nową etykietę na nasze potrzeby. W tym celu przechodzę do pozycji Labels i wybieram Add a new label.

Tworzenie nowej etykiety jest w miarę intuicyjne, poza tym proces jest bardzo dobrze opisany w dokumentacji. Skupię się więc tylko na najważniejszych jego aspektach.

Zaczynam od podania nazwy i opisu nowo tworzonej etykiety. Trzymając się przykładu na początku artykułu utworzę etykietę Ściśle tajne. Teraz aby dodać ochronę do etykiety klikam Protect. Powinno się otworzyć nowe okno gdzie mogę skonfigurować ustawienia związane z ochroną takie jak: uprawnienia, wygaśnięcie ochrony, dostęp offline, itd.

Zacznijmy od uprawnień. Wybieram Add permissions [wcześniej upewniam się że zaznaczone jest ustawienie ochrony Azure (cloud key)], następnie Browse directory.

AIP-protect-label

W nowo otwartym okienku można dodawać pojedynczych użytkowników jak i całe grupy. Grupa musi mieć przypisany adres e-mail żeby można było ją wykorzystać z AIP. Wybieram grupę Dyrektorzy do której należą użytkownicy Test i Test 2. Potwierdzam Select.

AIP-protect-label-group

Teraz mogę wybrać jakie uprawnienia będzie miała dodana grupa. Tutaj wybieram Co-Author i klikam OK.

AIP-protect-label-group-permissions

Powtarzam czynności dla użytkownika Test 3 ustawiając mu uprawnienia jako Viewer. Finalnie powinienem dla etykiety Ściśle Tajne mieć zdefiniowane uprawnienia Co-Author dla grupy Dyrektorzy oraz Viewer dla użytkownika Test3 jak na obrazku poniżej.

AIP-protect-label-permissions

Klikam OK, po czym znów zostanę cofnięty do ustawień ogólnych etykiety gdzie mogę jeszcze ustawić nagłówek, stopkę lub znak wodny dla dokumentów oznaczonych daną etykietą. Pod Documents with this label have a header wybieram On, wpisuję tekst nagłówka, wybieram rozmiar, czcionkę, kolor oraz umiejscowienie tekstu w nagłówku. Mogę jeszcze skonfigurować autoklasyfikację. Dzięki autoklasyfikacji mogę rozpoznawać czy dany dokument zawiera słowa kluczowe w czystym tekście lub jako wyrażenia regularne (regex). Np. mogę sprawdzać czy dokument zawiera nr NIP i jeśli tak zdecydować o automatycznym nadaniu etykiety.

Na chwilę obecną nie konfiguruję autoklasyfikacji i klikam Save. Potwierdzam komunikat OK i po kilku chwilach etykieta powinna się pojawić na liście.

AIP-protect-label-header

Jak pamiętacie to jeszcze nie koniec – teraz muszę przypisać etykietę do polityki. Klikam Policies i wybieram Global.

AIP-policies

Teraz mogę dodać nowo utworzoną etykietę klikając Add or remove labels, następnie zaznaczyć Ściśle Tajne (i ewentualnie wcześniej utworzone etykiety domyślne), kliknąć OK i Save, potwierdzam komunikat przyciskiem OK i w tym momencie etykieta powinna zostać dodana do polityki globalnej dla wszystkich użytkowników. Od teraz każdy użytkownik korzystający z klienta AIP powinien widzieć nową etykietę.

AIP-policies-add-label

Na poziomie polityki mogę ustawić opcje takie jak domyślna etykieta, czy wszystkie dokumenty muszą zawierać etykietę, albo jak oznaczać wiadomości e-mail z załącznikami zawierającymi etykiety – w moim przypadku zostawiam ustawienia domyślne.

Instalacja klienta AIP

Jest bajecznie prosta 🙂 Pobieram z tej strony i instaluję. Przy pobieraniu zaznaczam jedynie plik AzInfoProtection.exe – reszta nie jest mi potrzebna. Instalacja sprowadza się do decyzji czy chcemy instalować politykę demo i czy wyrażamy zgodę na wysyłanie statystyk do Microsoft. Polityki demo nie są mi potrzebne, co do wysyłania statystyk to pozostawiam do waszej osobistej decyzji 🙂 Klient AIP wymaga .NET w wersji minimum 4.6.2, w razie potrzeby jest instalowany w trakcie instalacji klienta. Po zakończeniu instalacji możemy zweryfikować że klient został zainstalowany uruchamiając np. Word’a i sprawdzając czy pojawił się nowy pasek z etykietami (możliwe że przy pierwszym uruchomieniu trzeba będzie się zalogować kontem użytkownika posiadającym licencję AIP, w moim przypadku nie było takiej potrzeby ponieważ moje konto było już skojarzone z pakietem Office).

AIP-bar-word

Testy!

Na stacji roboczej z zainstalowanym klientem loguję się jako użytkownik nie należący do grupy Dyrektorzy (w moim wypadku np. Test3). Sprawdźmy co się stanie jak zaklasyfikuję dokument jako ściśle tajny:

  1. Tam gdzie wcześniej widziałem dostępne etykiety pojawi się informacja że dokument jest sklasyfikowany jako ściśle tajny.
  2. Automatycznie zostanie dodany nagłówek dokumentu taki jak zdefiniowaliśmy wcześniej.

aip-protect-doc

Zapisuję dokument i wysyłam go do użytkownika należącego do grupy Dyrektorzy oraz innego użytkownika bez żadnych uprawnień AIP do pracy z dokumentem (może to być użytkownik zupełnie spoza domeny).

Sprawdźmy kilka scenariuszy współpracy z zaszyfrowanym dokumentem.

1. Użytkownik ma uprawnienia do dokumentu ale nie ma zainstalowanego klienta AIP

Użytkownik może normalnie otworzyć dokument i na nim pracować (przetestowane na Office 365 Business, wersja Word 1907). Wyświetla się również informacja o uprawnieniach oraz że dokument jest zaszyfrowany. Nie ma możliwości zmiany klasyfikacji dokumentu (zakładając że użytkownik ma takie uprawnienie).

AIP-open-doc-without-client-with-permissions

2. Użytkownik ma uprawnienia do dokumentu oraz zainstalowany klient AIP

Użytkownik może otworzyć dokument i na nim pracować. Wyświetla się informacja o uprawnieniach, szyfrowaniu, dodatkowo jeśli użytkownik ma takie uprawnienia może modyfikować klasyfikację dokumentu.

AIP-open-doc-with-client-with-permissions

3. Użytkownik nie ma uprawnień do dokumentu (bez znaczenia czy klient AIP jest zainstalowany czy nie)

Po próbie otwarcia dokumentu użytkownik zostanie poproszony o podanie poświadczeń umożliwiających otworzenie dokumentu.

AIP-open-doc-without-permissions

Test użytkownika o wąskich uprawnieniach

Korzystając z wcześniej utworzonej etykiety Ściśle Tajne, sklasyfikujmy dokument przez użytkownika z grupy Dyrektorzy i wyślijmy go do użytkownika Test3 (jak pamiętacie ma uprawnienia tylko do odczytu). Po otwarciu dokumentu może przeczytać jego zawartość ale nie ma możliwości kopiowania jego zawartości, drukowania a nawet zrobienia zrzutu ekranu (po wklejeniu obrazka zamiast podglądu dokumentu zobaczy czarny obszar). Tak to mniej więcej wygląda:

AIP-opened-doc-blackedout

Dodatkowe testy i następne kroki

Zalecam przeprowadzenie dodatkowych testów z wiadomościami e-mail, szyfrowaniem załączników dla ludzi spoza organizacji, opcji track & revoke (pozwala na odwoływanie uprawnień oraz sprawdzania kto i kiedy próbował otworzyć zaszyfrowany plik oraz z jakim rezultatem), itd. Dodatkowo istnieje możliwość integracji AIP z Exchange Server oraz SharePoint Server, AIP Scanner który szyfruje repozytoria plików (np. udziały sieciowe) – jest tego sporo ale to już pozostawiam do weryfikacji Tobie drogi czytelniku 🙂

Dodaj komentarz