使用Azure RMS加密重要文件,防止機密被直接複製竊取

RMS是一種加密檔案的服務,在加密檔案時,擁有者可以指定能夠開啟檔案的使用者,檔案被加密後,若對方無法通過Azure RMS的驗證,就無法開啟檔案,除了完全無法開啟檔案外,還可以指定特別的權限,例如只能看不能編輯,或是能夠編輯但不能列印等等。 在使用Azure RMS以前,我們要先有Azure的帳戶,如何試用Azure請參考如何綁定信用卡,開始免費試用Azure上所有服務 (附送一個月NT$6300信用額度)此篇文章。有了Azure後就可以直接開始使用裡面的Azure AD,Azure AD中有預設的目錄,但我們也可以連結Office365的目錄,可參考將 Office365 現有目錄與 Azure AD 整合,使用純雲端的驗證方式存取您的雲端資源此篇文章,本篇文章即是使用此方法將Office365中的使用者都加入了Azure AD。   試用Azure RMS 1.進入Azure AD中,點選上方的Rights Management>目錄名稱>下方的啟用,這時目錄中的使用者已經都可以使用Azure RMS了,但是沒有套用授權還是有部分功能無法使用。 2.要替使用者套用授權,需點選目錄>目錄名稱以進入該目錄中。 3.點選授權,試用Enterprise Mobility Suite,當中就包含了Azure Rights Management。 4.經過一段時間等待設定,重新整理後畫面如下,點選EMS。 5.點選指派使用者。 6.選擇顯示所有使用者,點選欲套用授權的使用者,點選下方的指派。若是需要大量套用的話則要建立群組後,指派給群組。 7.除了從Azure套用授權外,也可以從已連結的Office365中新增RMS的訂閱。 8.找到Azure Rights Management進階版,可啟動免費試用版,之後再照Office365的方式套用授權。可參考[多奇數位] Office 365 部落格中的此篇文章Office 365 管理者日誌 (22) 購買Office365後如何啟動序號並套用授權。   加入外部使用者 若是檔案是要給非內部的使用者,我們也得將對方的帳號加入Azure AD中。 1.一樣進入Azure AD中,點選目錄>目錄名稱以進入該目錄中。點選使用者,點選下方的加入使用者。 2.如果您有對方管理員的權限,請選擇第三項,系統會請您登出後,再用對方管理員的身分登入。但通常對方都是與公司完全無關的使用者,那就要選擇第四項合作夥伴公司中的使用者。這兩種方法都需要對方的帳號是Azure AD中的帳號(包括Office365的帳號),至於第二種方法雖然可以直接加入Microsoft Live ID的帳號,但經過測試後發現開啟檔案時必定會要求登入工作帳號,所以在RMS這項服務中是無法使用的。 3.要用CSV檔匯入使用者帳號,CSV檔的格式如下。 Email,DisplayNameCindy@itservice2.onmicrosoft.com,Cindy 4.該使用者帳號需要有Email,才能收到同意加入AzureAD的信件。 5.點選連結後會跳出邀請,選擇接受即可。 6.重新檢視AzureAD中的資訊,會看到新增的使用者,源自Microsoft Azure AD(其他目錄)。   建立RMS範本 在使用Azure RMS前,我們可以自訂權限原則範本,提供給使用者使用。 1.點選AD>RMS>目錄名稱。 2.點選建立您的權限原則範本,開始建立新的範本。 3.選擇語言,輸入名稱、描述。 4.若點選上方的範本,或是管理您的權限原則範本,可以檢視目前所有的範本。可以看到預設已經有兩個範本,雖然在這裡的顯示非繁體中文,但實際使用上看到的是繁體中文。另外也可以發現範本的狀態有已發行和已封存的差別,只有發行的範本使用者才能使用,因此我們要點選剛剛新建立的範本繼續編輯。 5.點選上方的權限或是第一步的開始使用。 6.在這裡選擇的是檔案能給誰使用。 7.然後選擇使用檔案的權限,點選問號可以看到詳細的解釋。 8.接下來點選範圍,這時選擇的是誰可以使用這個範本。若不想用群組指定,可以選擇使用者,要記得點選右方的勾勾,才能切換為使用者顯示。 9.最後點選設定,選擇是否要發行此範本,另外也可以增加語言顯示,分享檔案的時間是否為永久,或是否允許離線存取也都是在這裡設定。   安裝Microsoft RMS 請從Microsoft官方下載中心下載。 https://www.microsoft.com/en-us/download/details.aspx?id=40857(無法用Edge開啟)。 1.下載時只需下載setup.exe。 2.點選下一步開始安裝。 3.安裝完畢後需要重新啟動電腦。   使用RMS加密 1.安裝完Microsoft RMS後,只要對著檔案點選右鍵,就會多出一個Protect with RMS。可以選擇加密在本機,或是分享檔案前加密。 2.先示範加密在本機,並選擇用公司定義的範本。點選後便會要求您登入。 3.可以選擇剛剛建立的範本。 4.登入一次過後,下次再點選右鍵,已經變成可以直接選擇範本。 5.而如果選擇分享檔案前加密,則是要輸入欲分享對象的Email,然後選擇誰可以使用此檔案。最後可以設定分享���案的到期日,當有人嘗試開啟此檔案時是否要Email通知,是否允許使用者立即撤銷存取權。 6.最後系統便會開啟預設的Email工具讓您寄出。 7.對方收到後點選開啟附件檔,而此時會發現一個驚人功能,當對方權限僅為檢視時,除了無法對此檔案編輯外,竟然連截圖也無法。 8.因此我只好用擁有者的權限開給大家看,在上方會顯示使用者對於此檔案的權限以及目前使用的帳號。另外檔名因為被加密了,也從txt變為ptxt。   Azure RMS的權限說明 1.只有特定的檔案在使用自訂權限和分享檔案前加密時,可以有自訂的選擇,不然就會如下圖,只能選擇Generic Protection,雖然只有指定的使用者可開啟附件檔,但在檔案被開啟後就無法保證其強制性了。即使使用範本加密,也是一樣的狀況。目前確定可完整使用加密功能的特定檔案有Office檔(例如docx、xlsx等)、jpg、png、txt、pdf等,可參考官方文件的說明https://technet.microsoft.com/en-us/library/dn339003(v=ws.10).aspx。 2.而使用者可自訂的權限如下圖,分為擁有者(完整權限)、共同作者(檢視、編輯、複製、列印、回覆、全部回覆、轉寄)、檢閱(檢視、編輯、回覆、全部回覆、轉寄)、檢視(只能檢視)。 3.要最完整的自訂權限,還是要由管理者在範本中選擇自訂權限編輯,再發佈給使用者使用才行。 4.在自訂範本時我們會發現,在設定權限和範圍時,都可以加入外部使用者,但實際上外部使用者,只能開啟檔案,無法加密檔案,在登入帳號時便會跳出以下錯誤,自然也無法使用公司的範本,所以和範本的範圍設定有點矛盾了。   追蹤檔案使用情況和撤銷存取權 1.對檔案點選右鍵>Protect with RMS>Track Usage。 2.會用瀏覽器開啟一個網站,請登入。 3.剛登進去,會看到共用檔案的列表,可以點選檔案名稱看詳細的資料。 4.點選檔名下方可回到所有共用文件的列表。右上方可以登出或切換帳號。目前所在頁面為摘要,可以一覽檔案資訊、被檢視的次數、被拒絕的次數等。下方可以將資料匯出至CSV檔,以及撤銷該檔案的存取權。 5.時間表可檢視使用者在何時開啟檔案。 6.地圖可檢視使用者在何處開啟檔案,點選數字可以放大地圖,下圖已是放到最大。 7.設定可更改電子郵件通知。 8.如果點選撤銷存取權,收件者就無法再開啟檔案。 9.撤銷後在所有文件列表裡會顯示已撤銷。   參考文章 https://technet.microsoft.com/en-us/library/dn339006(v=ws.10).aspx https://azure.microsoft.com/zh-tw/documentation/articles/active-directory-b2b-collaboration-overview/   == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==

將 Office365 現有目錄與 Azure AD 整合,使用純雲端的驗證方式存取您的雲端資源

前言 Office365 與 on-premises AD 整合,有三種架構: 純雲端驗證 地面與雲端同步,各存一份密碼,兩邊密碼也可以同步 以地面為主的驗證,可以做 single-sign-on 本文適合有「純雲端驗證」需求的用戶,通常應用在以下三個情境: 企業內部尚未架設 on-premises 的 AD,要採用純雲端的驗證方式。 地面的 AD 過於複雜,想要切開雲端與地面上的驗證方式。 地面上自行架設 AD,但想要先行測試雲端 AD 驗證,後續若真的要使用純雲端驗證,將雲端與地面使用者配對即可。 本文將介紹如何將現有的 Office365 目錄整合到 Azure AD,利用純雲端的驗證方式存取 Microsoft 雲端上的任何資源。 實作 利用 Azure 訂閱管理員帳密登入 Azure Portal (您也可以先申請一個 Azure 免費試用帳戶),並選擇 Active Directory 服務,點選「加入目錄」。https://manage.windowsazure.com 選擇「使用現有的目錄」,並勾選「我現在已經可以登出」。 請利用 Office365 的全域管理員帳密再次登入。 點選「繼續」,確認將您的 Microsoft Account 加入組織的目錄內,並成為 Global Admin。 成功! 再利用此 Azure 訂閱的帳密登入,就可以看到整合進來的目錄。 點選此整合後目錄,並點開「使用者」頁面,也可看到 Office365 整合過來的 User。    《補充》若要將此組織內的 Azure AD 用戶設定為訂閱的共同管理員 (co-administrator),必須要將此目錄設定為訂閱的 Default Directory。 相關連結 Understanding Office 365 identity and Azure Active Directory Windows Azure Active Directory and Office 365 integration   == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==

利用 powershell 指令存放 Credential 交換 Azure Web App 的生產環境與預備環境

前言 當我們在 Azure Web App 上開發網站,寫好正式網站後,後續一定會有修改或者改版…等等重新佈署的情況,此時我們可以利用 Azure Web App 的功能:新增一個預備環境 (Deployment Slot),先行測試修改好的網站,而測試完成後,就會進行正式環境與預備環境的交換 (switch) 動作,但網站交換動作用 Azure 管理介面點選實在好繁瑣啊~一般利用 Azure 管理介面交換的話,步驟大致如下:登入 Azure Portal→找到 Azure Web App 服務→點入欲交換的網站→按下交換→選擇來源與目的網站→確認交換佈署,這些動作做下來可能需要 5 分鐘的時間!如果使用 powershell 指令,事先把 credential 先建立好,可以縮短交換網站的前置時間,在 30 秒內送出交換指令,直接完成網站交換!本文介紹如何利用 powershell 指令存放 credential,並交換 Azure Web App 的 Production 與 Staging 網站。 必要條件 請事先建立 Azure AD 使用者,並給予訂閱的 co-administrator 權限 利用 Get-Credential 指令存放您的 Azure 帳密 $credential = Get-Credential 將上個步驟的帳密存成 txt 檔,當然不是明文!是加密過的,接著往後就可以使用這個 Credential 跑排程 (請自行調整 txt 存放位置參數) $credential.Password | ConvertFrom-SecureString | Set-Content C:\PS\swap\password.txt 實作 我已事先建立好 testmain 及 testsub (預備網站),如下圖:   轉換前的 testmain 網站,是由 Azure Web App Gallery - Blog Engine 所建立出來的 Blog: 以下步驟可以存成ps1,利用手動開啟、或 Windows 工作排程去觸發: 讀取先前建立的密碼文字檔,並轉換成登入 OrgID 需要的格式 $password = Get-Content C:\PS\swap\password.txt | ConvertTo-SecureString 使用 Azure AD 帳號加上解密完的密碼進行登入 $mycreds = New-Object System.Management.Automation.PSCredential ("AzureAD帳號", $password)$LiveCred = Get-Credential -Credential $mycredsAdd-AzureAccount -Credential $LiveCred 選擇 Azure 訂閱,請記得修改參數 Select-AzureSubscription -subscriptionName "Azure Pass" 根據您的需求,利用下列某一行指令執行即可。 #如果只有一個 deployment slot,就使用以下指令Switch-AzureWebsiteSlot -Name <AzureWebsiteName> #如果要 slot swap slot 可以用以下指令Switch-AzureWebsiteSlot –Name <AzureWebsiteName> -Slot1 <slotName> -Slot2 <slotName> #如果要 production 跟其中一個 slot 交換可以用以下指令Switch-AzureWebsiteSlot –Name <AzureWebsiteName> -Slot1 <slotName> 可以看到 testmain 網站已經交換完成,由 Blog Engine 變成 Azure Web App Default 建立起來的畫面!    == 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==