Как отключить azure information protection в ворде
В Windows Server 2008 для защиты приватных документов Microsoft рекомендовала использовать Active Directory Rights Management Services (RMS), которая являлась одной из доступных ролей сервера. Сегодня 10 лет спустя Microsoft перезапускает RMS в своем облаке Azure и позиционирует его по новым названием — Azure Information Protection (AIP).
По сравнению с RMS, внедрить и настроить который в домене довольно сложно, из-за требований к окружению (домен, инфраструктура PKI/CA), защитить свои документы с помощью AIP стало гораздо проще, ведь необходимая инфраструктура RMS/ADFS/PKI развернута на базе Azure.
AIP представляет собой облачную систему защиты информации, которая позволяет предприятиям защищать документы от просмотра пользователями, как внутри организации, так и снаружи. С помощью AIP можно ограничить использование документов: например, запретить распечатывать, или автоматически защищать документы с персональными данными, паспортными данными или документы с данными кредитных карт и т.д.
Установка AIP состоит из двух частей:
- Включение и настройка службы AIP в Azure;
- Установка расширения AIP Office plugin на компьютеры, на которых нужно обеспечить защиту документов.
Установка и настройка Azure Information Protection
Итак, найдите на своем портале Azure службу Azure Information Protection, добавьте ее в список своих служб и активируйте (AIP доступна только в рамках лицензии семейства Azure Premium).
После активации AIP, нужно активировать свою первую метку документов Confidential.
В параметрах метку выберите уровень разрешений и нажмите на кнопку Azure (Cloud key).
В параметрах защите добавьте пользователей и соответствующие им уровни доступа к документу (разрешения). Сохраните изменения.
Защита документов с помощью клиента Azure Information Protection
Скачаем и установим клиент AIP для Windows 10 на компьютере в домене Azure.
После установки иконка AIP появится во всех приложения с поддержкой данной технологии (Word, Outlook, Excel и т.д.).
Чтобы защитить документ, нажмите на иконку AIP и выберите политику Confidential, которую мы настроили раньше.
Сохраните документ. Теперь, нажав на кнопку Permissions можно увидеть разрешения, которые предоставлены для такого типа документа текущему пользователю.
Если переслать данный документ за пределы организации, получатель не сможет его открыть с ошибкой “You are not signed in Office with an account that has permissions to open this document.”
Как вы видите, защитить документ с помощью Azure Information Protection очень просто!
Вы ищете Microsoft Information Protection? Клиент унифицированных меток Azure Information Protection в настоящее время находится в режиме обслуживания. Мы рекомендуем включить Microsoft Information Protection встроенные метки для Office 365 приложений. Дополнительные сведения.
В этой статье описывается, как отозвать доступ Office документов, защищенных Microsoft Office. Защищенные документы поддерживаются для отслеживания и отзыва, даже если они не помечены.
Отмена доступа к защищенному документу запрещает другим пользователям доступ к документу, даже если вы предоставили им доступ ранее. Дополнительные сведения см. в руководстве пользователя по классификации и защите с помощью клиента унифицированных меток Information Protection Azure.
Функции отслеживания и отзыва поддерживаются только для Office типов файлов.
Отмена доступа из Microsoft Office приложений
Чтобы отозвать доступ из Word, Excel или PowerPoint:
Откройте защищенный файл, доступ к которому необходимо отозвать. Это должен быть файл, в котором вы применили защиту, используя текущую учетную запись пользователя.
Если вы только что применили метку и защиту, вы не сможете отозвать доступ в том же сеансе. Повторно откройте документ, если необходимо отозвать доступ.
На вкладке " Главная" нажмите кнопку "Конфиденциальность " и выберите " Отозвать доступ".
Если этот параметр не отображается, см . список возможных сценариев.
Доступ отменяется, и другие пользователи больше не могут получить доступ к документу. Если доступ в автономном режиме разрешен, пользователи по-прежнему смогут получать доступ к документам, которые были отозваны до истечения периода автономной политики.
Не видите параметр "Отозвать доступ"?
Если вы не видите параметра отмены доступа в меню "Конфиденциальность ", возможно, имеется один из следующих сценариев:
Возможно, вы только что применили защиту в этом сеансе. Если это так, закройте и повторно откройте документ, чтобы повторить попытку.
Возможно, вы просматриваете незащищенный документ. Отзыв доступа относится только к защищенным документам.
Возможно, у вас не установлена последняя версия клиента унифицированных меток AIP или вам может потребоваться перезапустить Office или компьютер после установки.
Возможно, администратор отключил функции отслеживания в вашей организации.
Отмена доступа, в котором была изменена защита документов при копировании
Если другой пользователь изменил метку или защиту копии документа, доступ к этой копии документа не отменяется.
Это связано с тем, что отслеживание и отзыв доступа выполняются с использованием уникального значения ContentID, которое изменяется при каждом изменении защиты.
Если вы считаете, что пользователь изменил метку или уровень защиты в документе и вам нужно отозвать доступ, обратитесь к системному администратору, чтобы помочь вам отозвать доступ к этой копии документа.
Are you looking for Microsoft Information Protection? The Azure Information Protection unified labeling client is currently in maintenance mode. We recommend enabling Microsoft Information Protection's built-in labeling for your Office 365 applications. Learn more.
This article describes how to revoke access for Office documents that you've protected from Microsoft Office. Protected documents are supported for track and revoke, even if they are not labeled.
Revoking access for a protected document prevents other users from accessing the document, even if you've given them access before. For more information, see User Guide: Classify and protect with the Azure Information Protection unified labeling client.
Track and revoke features are supported for Office file types only.
Revoke access from Microsoft Office apps
To revoke access from Word, Excel, or PowerPoint:
Open the protected file whose access you want to revoke. This must be a file where you have applied the protection, using your current user account.
If you've only just applied a label and protection, you cannot revoke access in the same session. Reopen the document if you need to revoke access.
On the Home tab, click the Sensitivity button and select Revoke Access.
If you don't see this option, see a list of possible scenarios.
In the confirmation message that appears, click Yes to continue.
Access is revoked, and other users can no longer access the document. If offline access is allowed, users will continue to be able to access the documents that have been revoked until the offline policy period expires.
Don't see the Revoke Access option?
If you do not see the option to Revoke Access in the Sensitivity menu, you may have one of the following scenarios:
You might have just applied the protection in this session. If this is the case, close and re-open the document to try again.
You might be viewing an unprotected document. Revoking access is relevant only for protected documents.
You may not have the latest AIP unified labeling client version installed, or you may need to restart your Office apps or machine after installation.
Your administrator may have turned off tracking features in your organization.
Revoking access where the document protection has been changed on a copy
If another user had changed the label or the protection on a copy of the document, access is not revoked on that copy of the document.
This is because tracking and revoking access is done using a unique ContentID value, which changes each time protection is changed.
If you think that a user may have changed the label or protection level on a document and you need to revoke access, contact a system administrator to help you revoke access on that copy of the document.
Вы ищете Microsoft Information Protection? Клиент унифицированных меток Azure Information Protection в настоящее время находится в режиме обслуживания. Мы рекомендуем включить Microsoft Information Protection встроенные метки для Office 365 приложений. Дополнительные сведения.
Вы всегда контролируете, защищает ли ваша организация содержимое с помощью службы Azure Rights Management из Azure Information Protection. Если вы решите, что больше не хотите использовать эту службу защиты информации, вы можете быть убедитесь, что вы не будете заблокированы из содержимого, которое было защищено ранее.
Если вам не требуется постоянный доступ к ранее защищенному содержимому, отключите службу и разрешите срок действия подписки на Azure Information Protection истекает. Например, это подходит для завершения тестирования Azure Information Protection перед развертыванием в рабочей среде.
Если вы использовали собственное решение для ключа (BYOK), в котором вы создаете собственный ключ и управляете этим ключом в модуле HSM, у вас уже есть ключ клиента Information Protection Azure. У вас также будет подходящий TPD, если вы выполните инструкции по подготовке к будущему выходу из облака. Однако если ключ клиента управляется корпорацией Майкрософт (по умолчанию), см. инструкции по экспорту ключа клиента в operations для статьи Information Protection ключа клиента Azure.
Даже после истечения срока действия подписки клиент Azure Information Protection остается доступным для использования содержимого в течение длительного периода времени. Однако вы больше не сможете экспортировать ключ клиента.
Если у вас есть ключ клиента Information Protection Azure и TPD, вы можете развернуть Rights Management в локальной среде (AD RMS) и импортировать ключ клиента в качестве доверенного домена публикации (TPD). После этого у вас есть следующие параметры для вывода из эксплуатации azure Information Protection развертывания.
Для Office 2010 используйте раздел реестра LicenseServerRedirection для Office 2010, как описано в Office реестре Параметры.
Для Office 2010:
— Используйте раздел реестра LicenseServerRedirection, как описано в Office реестра Параметры.
— Разверните другой параметр реестра, чтобы запретить пользователям защищать новые файлы, заключив для параметра DisableCreation значение 1, как описано в Office реестра Параметры.
Дополнительные сведения о процедурах в этой таблице см. в следующих ресурсах:
Сведения об AD RMS и справочниках по развертыванию см. в службы Active Directory Rights Management обзоре.
Инструкции по импорту ключа Information Protection Azure в виде TPD-файла см. в разделе "Добавление доверенного домена публикации".
Сведения об использовании PowerShell с клиентом Azure Information Protection azure см. в статье "Использование PowerShell с клиентом Information Protection Azure".
Когда вы будете готовы отключить службу защиты из Azure Information Protection, выполните следующие инструкции.
Отключение Rights Management
Чтобы отключить службу защиты Azure Rights Management, выполните одну из следующих процедур.
Для отключения Rights Management можно также использовать командлет PowerShell Disable-AipService.
Отключение Rights Management из Центр администрирования Microsoft 365
Перейдите на страницу Rights Management для Microsoft 365 администраторов.
При появлении запроса на вход используйте учетную запись глобального администратора для Microsoft 365.
На странице управления правами нажмите кнопку "Отключить".
При появлении запроса на отключение Rights Management нажмитекнопку "Отключить".
Теперь вы увидите, что Rights Management не активирован, и параметр для активации.
Отключение Rights Management из портал Azure
Если вы еще не сделали этого, откройте новое окно браузера и войдите в портал Azure. Затем перейдите на панель Information Protection Azure.
Например, в поле поиска ресурсов, служб и документации: начните вводить сведения и выберите Azure Information Protection.
На начальной панели Information Protection Azure выберите активацию защиты.
На информационной панели отображается успешное завершение деактивации, а деактивация теперь заменена на activate.
Наряду с новыми возможностями «Защитника Windows» в Windows 10 пакеты Microsoft Office 365 тоже получили функции безопасности — облачная служба Azure Information Protection, модуль eDiscovery и встроенный DLP.
Введение
Возникает множество ситуаций, когда необходимо защитить тот или иной документ от посторонних глаз внутри и снаружи организации. Особенно это актуально для крупных предприятий. И это касается не только умышленных деяний со стороны сотрудников. Взять, к примеру, скандал, который произошел в 2015 году. Данные мировых лидеров были рассекречены по ошибке служащего.
Компания Microsoft в своем программном обеспечении Office 365 добавила несколько функций, которые помогут решить подобного рода задачи и защитить документы как от воздействия человеческого фактора, который никак нельзя исключать, так и от злоумышленников.
Сразу стоит отметить, что облачная версия для данных функций ничем не отличайся от десктопной. Вся функциональность работает и там, и там.
Средства защиты Microsoft Office 365
До выхода системы распределения прав Azure Information Protection защита документов Microsoft Office от чужих глаз сводилась в основном к тому, что на документе стоял пароль. Но, во-первых, процесс передачи пароля не всегда бывает защищен должным образом, а во-вторых, хакеры научились эти пароли восстанавливать.
Создадим документ Microsoft Excel, перейдем во вкладку «Файл» → «Защита книги» → «Зашифровать паролем». Теперь этот файл якобы защищен. С того момента, как он вышел за пределы организации, мы его не можем больше контролировать или отзывать.
Запустим программу Advanced Office Password Recovery (данная программа платная, однако есть масса подобных опенсорсных инструментов) и добавим защищенный файл. Загрузим словари для брутфорса (атака сводится к обычному перебору паролей) и очень быстро получаем пароль от файла.
Рисунок 1. Взломанный пароль от файла
Еще проблема состоит в том, что помимо инструментов существует много online-сервисов с очень большими словарями и огромным запасом вычислительных ресурсов. Длина и сложность пароля не всегда может спасти документ от «вскрытия». К примеру, пароль «123321» становится доступен в течение 2-3 секунд.
Таким образом, встроенных функций MS Office, как оказалось, недостаточно.
Azure Information Protection
Azure Information Protection — это облачная служба, которая занимается защитой данных. Она позволяет нам защитить документ таким образом, чтобы только определенные пользователи могли его открывать или выполнять только разрешенные действия.
Существует 2 версии этого сервиса: P1 и P2. Разница между ними минимальна: в P1 отсутствует автоматическая классификация (она производится по содержимому документа, об этом чуть позже) и использование one-premise-ключа (это больше специализированная функция для определенных направлений, затрагивать ее не будем). В остальном разницы между версиями нет.
Для работы Azure Information Protection требуется:
Лицензия Azure Information Protection P1 (входит в Microsoft 365 Business и E3) или P2 (входит в Microsoft 365 E5).
Рассмотрим на практике устройство и функциональность данной службы: создадим документ Microsoft Word. Для заполнения можно воспользоваться встроенной функцией — rand (254,1).
Над текстом документа есть панель «Уровень безопасности» с режимом «Не задано». В этой же панели находятся метки.
Рисунок 2. Панель безопасности Microsoft Word
Применяем метку «Внутреннее». Сразу же на тексте появится водяной знак «Не печатать» и колонтитулы, которые сообщают, что документ только для внутреннего ознакомления.
Рисунок 3. Документ после применения защиты
Если мы перейдем во вкладку «Файл», то увидим, что к документу применился шаблон защиты, который называется Do not Print. При сохранении такого документа есть возможность посмотреть разрешения, но пока файл открыт автором, то и разрешения будут полные.
Рисунок 4. Защита документа
Открываем файл не от имени автора, а от другого пользователя. Сразу в панели защиты будет показано имя шаблона защиты, который применен к данному файлу.
Рисунок 5. Разрешения пользователя к файлу
Разрешение к копированию и печати запрещено. Зато можно отредактировать текст. Парадокс заключается в том, что если пользователь дополнит текст, то свои дополнения он скопировать тоже не сможет — опция будет недоступна.
Если попробовать сделать скриншот, то, как только запускается любая программа для данных действий, документ становится «черным квадратом».
Рисунок 6. Попытка сделать скриншот защищенного документа
Такая защита работает не только при запуске «Ножниц», встроенных в Windows, но и при запуске сторонних программных продуктов для захвата экрана.
Рисунок 7. Метки в панели Azure Information Protection
Переходим в метку «Внутреннее», которую мы применяли, и видим шаблон, который был применен к документу меткой. Вот как раз из этого шаблона и «подтягиваются» все необходимые настройки безопасности.
Нажимаем «Изменить шаблон» и видим, что можно добавить пользователя AD и наделить конкретно его разрешениями на документ, защищенный таким шаблоном. Пользователи, отсутствующие в списке, открыть документ не смогут. Также в этой панели настраивается срок действия шаблона после установки, то есть через установленное время пользователи теряют свои права на файл и открыть его тоже не смогут.
Если говорить о лицензии P2, то в ней появляется еще одно меню «Условия для автоматического применения метки». В этом меню можно настроить слова, фразы или регулярные выражения (для поиска номеров банковских карт, например), при совпадении которых к документу автоматически применяется настроенная метка.
Рисунок 8. Настройка автоматического применения меток
С точки зрения политики безопасности выбран правильный подход — все запретить и что-то разрешить. Именно шаблон безопасности настраивается и дает разрешения конкретным пользователям на конкретные действия.
Стоит еще отметить, что есть локальная система с такой функциональностью — Active Directory Rights Management Services, или AD RMS. Если быть точнее, то это предшественник Azure Information Protection. Преимущество оболочного решения состоит в том, что не нужна серверная инфраструктура. Да и Office 365 поддерживается мобильными устройствами, и AIP на них работает.
Advanced eDiscovery
В Office 365 встроен модуль eDiscovery с функцией отслеживания утечек — он обнаруживает электронные данные в различных источниках. Это может быть переписка сотрудников в коммуникаторе, пересылка почты, выложенный документ на портал и т.д. Единственная проблема этого модуля заключается в том, что данных может быть обнаружено очень много.
Например, отправленное письмо с точки зрения почтовой системы попадает и в исходящие, и во входящие разных пользователей. И при использовании eDiscovery приходится вручную анализировать очень много задублированной информации.
Решается подобная проблема модулем Advanced eDiscovery. Эта система анализирует полученную информацию через искусственный интеллект, находит одинаковые вложения, задублированные данные, цепочки писем и выдает в более понятном виде.
Рисунок 9. Панель eDiscovery
Следующим шагом открываем задачу и переходим во вкладку «Операции поиска». Создаем новый поиск. Вот в этом разделе и настраивается сам поиск данных. Указываются местоположения поиска, что искать, можно даже добавить условия (отправитель, участник, время и т.д.).
После создания и настройки задачи необходимо ее открыть и запустить поиск. Этот процесс займет некоторое время. По окончанию нажимаем Switch to Advenced eDiscovery и переходим в Express analysis. Программа выдаст дашборд в виде диаграммы.
Рисунок 10. Дашборд поиска eDiscovery
Для теста было взято популярное слово и запущен поиск по одному слову. Результат показывает, что заданные параметры встречаются чаще всего во вложениях и менее часто в письмах. 100% документов, которые были найдены, являются уникальными.
Рисунок 11. Дашборд E-mails
Если говорить конкретно о письмах, то большинство из них является эксклюзивными, но тем не менее они включают в себя некоторые данные, которые встречались в предыдущих переписках. Зато вложения практически все являются дубликатами.
Для того чтобы скачать все письма, оригиналы вложений и всю информацию, которая была проанализирована, необходимо нажать Download last session.
При использовании обычного eDiscovery вся информация представилась бы нам в сыром, неотсортированном виде, но Advenced eDiscovery значительно сократил результат для дальнейшего анализа.
Microsoft Office 365 DLP
Как уже было сказано, люди могут ошибаться и отправлять документы не тем людям. Мы можем попробовать снизить эти риски с помощью DLP (Data Loss Prevention — система защиты от утечки данных), который встроен в облачный Microsoft Office 365.
Microsoft Office DLP 365 работает и для почты, и для портала, и для личного хранилища OneDrive for Business.
Работа этой функциональности основана на шаблонах. Довольно большое количество шаблонов уже создано, но, так как они имеют международный характер, то к примеру, в Office DLP 365 имеется шаблон проверки контента на номера американских паспортов, но нет российских.
Шаблоны можно разрабатывать свои, что является нетривиальным занятием, поэтому специалисты Microsoft рекомендуют сначала протестировать данную функцию.
Рисунок 12. Создание политики DLP
Выбираем подходящий нам шаблон и следующим шагом вводим имя и описание новой политики.
В пункте Choose locations необходимо выбрать сервисы, для которых политика будет работать. Предоставляется выбор из трех пунктов: сайты, электронная почта и аккаунт OneDrive.
Рисунок 13. Выбор среды распространения новой DLP-политики
Переходим к настройкам политики. Есть 2 варианта: либо по шаблонам, которые уже предложены, либо настроить вручную. При выборе настройки вручную необходимо создать правило, в настройках которого надо задать имя правила и условие.
Рисунок 14. Выбор условия срабатывания DLP-системы
После выбора подходящего условия появятся его настройки: как раз и есть встроенные шаблоны.
Следующим шагом необходимо указать действие, которое будет применено при обнаружении запрещенного контента. В основном это «Ограничить доступ». Также на этой странице можно настроить уведомление администратора.
После создания политики она начинает работать сразу, включать ее не надо.
Также существует отдельная DLP-система специально для почты, но лучше пользоваться одной расширенной версией.
Выводы
В статье были кратко представлены система защиты документов, DLP-система, а также модули анализа данных при утечке. Все эти функции встроены в Microsoft Office 365. Каждая из этих функций имеет очень гибкую настройку, которая позволяет настроить функциональность под определенные задачи. Вдобавок к этому все подкреплено интуитивно понятным интерфейсом и описанием каждого пункта настройки. Сложность может вызвать только написание своих шаблонов для DLP-системы.
Тем не менее стоит отметить риск использования облачной архитектуры. Взлом такого аккаунта грозит взломом панелей всех облачных серверов, со всеми вытекающими документами и их содержанием, так как скорее всего аккаунтом будет владеть либо системный администратор, либо специалист информационной безопасности. Поэтому неплохо было бы укрепить аккаунт двухфакторной аутентификацией.
Читайте также: