更改Microsoft RMS application與雲端同步時間

在使用Azure RMS加密重要文件,防止機密被直接複製竊取此篇文章中,介紹過了Azure RMS的服務和如何使用Microsoft RMS application。有實際操作過後,應該會發現一個嚴重的問題,那就是Microsoft RMS application與雲端同步的時間非常慢,例如在Azure Management中新增了RMS的原則範本,Client端卻等了好幾天還不見新的範本可用。這是因為預設更新的時間是7天,如果要更改的話需要在登錄編輯程式編輯登錄值。 1.在執行中輸入regedit,開啟登錄編輯程式。 2.進入HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC的資料夾,新增一個DWORD。 3.數值名稱為TemplateUpdateFrequencyInSeconds,數值資料以秒為單位。   立即強制更新Microsoft RMS application 1.進入HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\MSIPC\<MicrosoftRMS_FQDN>\Template的資料夾。 2.刪除LastUpdatedTime的數值資料。 3.進入%localappdata%\Microsoft\MSIPC\Templates,將裡面的檔案都刪除。   參考資料 https://technet.microsoft.com/en-us/library/dn642472.aspx#BKMK_RefreshingTemplates   == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==

使用Azure RMS加密重要文件,防止機密被直接複製竊取

RMS是一種加密檔案的服務,在加密檔案時,擁有者可以指定能夠開啟檔案的使用者,檔案被加密後,若對方無法通過Azure RMS的驗證,就無法開啟檔案,除了完全無法開啟檔案外,還可以指定特別的權限,例如只能看不能編輯,或是能夠編輯但不能列印等等。 在使用Azure RMS以前,我們要先有Azure的帳戶,如何試用Azure請參考如何綁定信用卡,開始免費試用Azure上所有服務 (附送一個月NT$6300信用額度)此篇文章。有了Azure後就可以直接開始使用裡面的Azure AD,Azure AD中有預設的目錄,但我們也可以連結Office365的目錄,可參考將 Office365 現有目錄與 Azure AD 整合,使用純雲端的驗證方式存取您的雲端資源此篇文章,本篇文章即是使用此方法將Office365中的使用者都加入了Azure AD。   試用Azure RMS 1.進入Azure AD中,點選上方的Rights Management>目錄名稱>下方的啟用,這時目錄中的使用者已經都可以使用Azure RMS了,但是沒有套用授權還是有部分功能無法使用。 2.要替使用者套用授權,需點選目錄>目錄名稱以進入該目錄中。 3.點選授權,試用Enterprise Mobility Suite,當中就包含了Azure Rights Management。 4.經過一段時間等待設定,重新整理後畫面如下,點選EMS。 5.點選指派使用者。 6.選擇顯示所有使用者,點選欲套用授權的使用者,點選下方的指派。若是需要大量套用的話則要建立群組後,指派給群組。 7.除了從Azure套用授權外,也可以從已連結的Office365中新增RMS的訂閱。 8.找到Azure Rights Management進階版,可啟動免費試用版,之後再照Office365的方式套用授權。可參考[多奇數位] Office 365 部落格中的此篇文章Office 365 管理者日誌 (22) 購買Office365後如何啟動序號並套用授權。   加入外部使用者 若是檔案是要給非內部的使用者,我們也得將對方的帳號加入Azure AD中。 1.一樣進入Azure AD中,點選目錄>目錄名稱以進入該目錄中。點選使用者,點選下方的加入使用者。 2.如果您有對方管理員的權限,請選擇第三項,系統會請您登出後,再用對方管理員的身分登入。但通常對方都是與公司完全無關的使用者,那就要選擇第四項合作夥伴公司中的使用者。這兩種方法都需要對方的帳號是Azure AD中的帳號(包括Office365的帳號),至於第二種方法雖然可以直接加入Microsoft Live ID的帳號,但經過測試後發現開啟檔案時必定會要求登入工作帳號,所以在RMS這項服務中是無法使用的。 3.要用CSV檔匯入使用者帳號,CSV檔的格式如下。 Email,DisplayNameCindy@itservice2.onmicrosoft.com,Cindy 4.該使用者帳號需要有Email,才能收到同意加入AzureAD的信件。 5.點選連結後會跳出邀請,選擇接受即可。 6.重新檢視AzureAD中的資訊,會看到新增的使用者,源自Microsoft Azure AD(其他目錄)。   建立RMS範本 在使用Azure RMS前,我們可以自訂權限原則範本,提供給使用者使用。 1.點選AD>RMS>目錄名稱。 2.點選建立您的權限原則範本,開始建立新的範本。 3.選擇語言,輸入名稱、描述。 4.若點選上方的範本,或是管理您的權限原則範本,可以檢視目前所有的範本。可以看到預設已經有兩個範本,雖然在這裡的顯示非繁體中文,但實際使用上看到的是繁體中文。另外也可以發現範本的狀態有已發行和已封存的差別,只有發行的範本使用者才能使用,因此我們要點選剛剛新建立的範本繼續編輯。 5.點選上方的權限或是第一步的開始使用。 6.在這裡選擇的是檔案能給誰使用。 7.然後選擇使用檔案的權限,點選問號可以看到詳細的解釋。 8.接下來點選範圍,這時選擇的是誰可以使用這個範本。若不想用群組指定,可以選擇使用者,要記得點選右方的勾��,才能切換為使用者顯示。 9.最後點選設定,選擇是否要發行此範本,另外也可以增加語言顯示,分享檔案的時間是否為永久,或是否允許離線存取也都是在這裡設定。   安裝Microsoft RMS 請從Microsoft官方下載中心下載。 https://www.microsoft.com/en-us/download/details.aspx?id=40857(無法用Edge開啟)。 1.下載時只需下載setup.exe。 2.點選下一步開始安裝。 3.安裝完畢後需要重新啟動電腦。   使用RMS加密 1.安裝完Microsoft RMS後,只要對著檔案點選右鍵,就會多出一個Protect with RMS。可以選擇加密在本機,或是分享檔案前加密。 2.先示範加密在本機,並選擇用公司定義的範本。點選後便會要求您登入。 3.可以選擇剛剛建立的範本。 4.登入一次過後,下次再點選右鍵,已經變成可以直接選擇範本。 5.而如果選擇分享檔案前加密,則是要輸入欲分享對象的Email,然後選擇誰可以使用此檔案。最後可以設定分享檔案的到期日,當有人嘗試開啟此檔案時是否要Email通知,是否允許使用者立即撤銷存取權。 6.最後系統便會開啟預設的Email工具讓您寄出。 7.對方收到後點選開啟附件檔,而此時會發現一個驚人功能,當對方權限僅為檢視時,除了無法對此檔案編輯外,竟然連截圖也無法。 8.因此我只好用擁有者的權限開給大家看,在上方會顯示使用者對於此檔案的權限以及目前使用的帳號。另外檔名因為被加密了,也從txt變為ptxt。   Azure RMS的權限說明 1.只有特定的檔案在使用自訂權限和分享檔案前加密時,可以有自訂的選擇,不然就會如下圖,只能選擇Generic Protection,雖然只有指定的使用者可開啟附件檔,但在檔案被開啟後就無法保證其強制性了。即使使用範本加密,也是一樣的狀況。目前確定可完整使用加密功能的特定檔案有Office檔(例如docx、xlsx等)、jpg、png、txt、pdf等,可參考官方文件的說明https://technet.microsoft.com/en-us/library/dn339003(v=ws.10).aspx。 2.而使用者可自訂的權限如下圖,分為擁有者(完整權限)、共同作者(檢視、編輯、複製、列印、回覆、全部回覆、轉寄)、檢閱(檢視、編輯、回覆、全部回覆、轉寄)、檢視(只能檢視)。 3.要最完整的自訂權限,還是要由管理者在範本中選擇自訂權限編輯,再發佈給使用者使用才行。 4.在自訂範本時我們會發現,在設定權限和範圍時,都可以加入外部使用者,但實際上外部使用者,只能開啟檔案,無法加密檔案,在登入帳號時便會跳出以下錯誤,自然也無法使用公司的範本,所以和範本的範圍設定有點矛盾了。   追蹤檔案使用情況和撤銷存取權 1.對檔案點選右鍵>Protect with RMS>Track Usage。 2.會用瀏覽器開啟一個網站,請登入。 3.剛登進去,會看到共用檔案的列表,可以點選檔案名稱看詳細的資料。 4.點選檔名下方可回到所有共用文件的列表。右上方可以登出或切換帳號。目前所在頁面為摘要,可以一覽檔案資訊、被檢視的次數、被拒絕的次數等。下方可以將資料匯出至CSV檔,以及撤銷該檔案的存取權。 5.時間表可檢視使用者在何時開啟檔案。 6.地圖可檢視使用者在何處開啟檔案,點選數字可以放大地圖,下圖已是放到最大。 7.設定可更改電子郵件通知。 8.如果點選撤銷存取權,收件者就無法再開啟檔案。 9.撤銷後在所有文件列表裡會顯示已撤銷。   參考文章 https://technet.microsoft.com/en-us/library/dn339006(v=ws.10).aspx https://azure.microsoft.com/zh-tw/documentation/articles/active-directory-b2b-collaboration-overview/   == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==

想上雲端? 請先思考貴公司上雲端的目的

在我們輔導許多客戶時,討論的過程中客戶常會問的問題是: 「我們想要評估上雲端的可行性!」、「我們的舊系統可以上雲嗎?」、「上雲是未來趨勢,我們正打算將服務擺上雲端!」 有時候是為了「雲而上雲」,總覺得 [More]