RMS是一種加密檔案的服務,在加密檔案時,擁有者可以指定能夠開啟檔案的使用者,檔案被加密後,若對方無法通過Azure RMS的驗證,就無法開啟檔案,除了完全無法開啟檔案外,還可以指定特別的權限,例如只能看不能編輯,或是能夠編輯但不能列印等等。
在使用Azure RMS以前,我們要先有Azure的帳戶,如何試用Azure請參考如何綁定信用卡,開始免費試用Azure上所有服務 (附送一個月NT$6300信用額度)此篇文章。有了Azure後就可以直接開始使用裡面的Azure AD,Azure AD中有預設的目錄,但我們也可以連結Office365的目錄,可參考將 Office365 現有目錄與 Azure AD 整合,使用純雲端的驗證方式存取您的雲端資源此篇文章,本篇文章即是使用此方法將Office365中的使用者都加入了Azure AD。
試用Azure RMS
1.進入Azure AD中,點選上方的Rights Management>目錄名稱>下方的啟用,這時目錄中的使用者已經都可以使用Azure RMS了,但是沒有套用授權還是有部分功能無法使用。
2.要替使用者套用授權,需點選目錄>目錄名稱以進入該目錄中。
3.點選授權,試用Enterprise Mobility Suite,當中就包含了Azure Rights Management。
4.經過一段時間等待設定,重新整理後畫面如下,點選EMS。
5.點選指派使用者。
6.選擇顯示所有使用者,點選欲套用授權的使用者,點選下方的指派。若是需要大量套用的話則要建立群組後,指派給群組。
7.除了從Azure套用授權外,也可以從已連結的Office365中新增RMS的訂閱。
8.找到Azure Rights Management進階版,可啟動免費試用版,之後再照Office365的方式套用授權。可參考[多奇數位] Office 365 部落格中的此篇文章Office 365 管理者日誌 (22) 購買Office365後如何啟動序號並套用授權。
加入外部使用者
若是檔案是要給非內部的使用者,我們也得將對方的帳號加入Azure AD中。
1.一樣進入Azure AD中,點選目錄>目錄名稱以進入該目錄中。點選使用者,點選下方的加入使用者。
2.如果您有對方管理員的權限,請選擇第三項,系統會請您登出後,再用對方管理員的身分登入。但通常對方都是與公司完全無關的使用者,那就要選擇第四項合作夥伴公司中的使用者。這兩種方法都需要對方的帳號是Azure AD中的帳號(包括Office365的帳號),至於第二種方法雖然可以直接加入Microsoft Live ID的帳號,但經過測試後發現開啟檔案時必定會要求登入工作帳號,所以在RMS這項服務中是無法使用的。
3.要用CSV檔匯入使用者帳號,CSV檔的格式如下。
Email,DisplayName
[email protected],Cindy
4.該使用者帳號需要有Email,才能收到同意加入AzureAD的信件。
5.點選連結後會跳出邀請,選擇接受即可。
6.重新檢視AzureAD中的資訊,會看到新增的使用者,源自Microsoft Azure AD(其他目錄)。
建立RMS範本
在使用Azure RMS前,我們可以自訂權限原則範本,提供給使用者使用。
1.點選AD>RMS>目錄名稱。
2.點選建立您的權限原則範本,開始建立新的範本。
3.選擇語言,輸入名稱、描述。
4.若點選上方的範本,或是管理您的權限原則範本,可以檢視目前所有的範本。可以看到預設已經有兩個範本,雖然在這裡的顯示非繁體中文,但實際使用上看到的是繁體中文。另外也可以發現範本的狀態有已發行和已封存的差別,只有發行的範本使用者才能使用,因此我們要點選剛剛新建立的範本繼續編輯。
5.點選上方的權限或是第一步的開始使用。
6.在這裡選擇的是檔案能給誰使用。
7.然後選擇使用檔案的權限,點選問號可以看到詳細的解釋。
8.接下來點選範圍,這時選擇的是誰可以使用這個範本。若不想用群組指定,可以選擇使用者,要記得點選右方的勾勾,才能切換為使用者顯示。
9.最後點選設定,選擇是否要發行此範本,另外也可以增加語言顯示,分享檔案的時間是否為永久,或是否允許離線存取也都是在這裡設定。
安裝Microsoft RMS
請從Microsoft官方下載中心下載。
https://www.microsoft.com/en-us/download/details.aspx?id=40857(無法用Edge開啟)。
1.下載時只需下載setup.exe。
2.點選下一步開始安裝。
3.安裝完畢後需要重新啟動電腦。
使用RMS加密
1.安裝完Microsoft RMS後,只要對著檔案點選右鍵,就會多出一個Protect with RMS。可以選擇加密在本機,或是分享檔案前加密。
2.先示範加密在本機,並選擇用公司定義的範本。點選後便會要求您登入。
3.可以選擇剛剛建立的範本。
4.登入一次過後,下次再點選右鍵,已經變成可以直接選擇範本。
5.而如果選擇分享檔案前加密,則是要輸入欲分享對象的Email,然後選擇誰可以使用此檔案。最後可以設定分享檔案的到期日,當有人嘗試開啟此檔案時是否要Email通知,是否允許使用者立即撤銷存取權。
6.最後系統便會開啟預設的Email工具讓您寄出。
7.對方收到後點選開啟附件檔,而此時會發現一個驚人功能,當對方權限僅為檢視時,除了無法對此檔案編輯外,竟然連截圖也無法。
8.因此我只好用擁有者的權限開給大家看,在上方會顯示使用者對於此檔案的權限以及目前使用的帳號。另外檔名因為被加密了,也從txt變為ptxt。
Azure RMS的權限說明
1.只有特定的檔案在使用自訂權限和分享檔案前加密時,可以有自訂的選擇,不然就會如下圖,只能選擇Generic Protection,雖然只有指定的使用者可開啟附件檔,但在檔案被開啟後就無法保證其強制性了。即使使用範本加密,也是一樣的狀況。目前確定可完整使用加密功能的特定檔案有Office檔(例如docx、xlsx等)、jpg、png、txt、pdf等,可參考官方文件的說明https://technet.microsoft.com/en-us/library/dn339003(v=ws.10).aspx。
2.而使用者可自訂的權限如下圖,分為擁有者(完整權限)、共同作者(檢視、編輯、複製、列印、回覆、全部回覆、轉寄)、檢閱(檢視、編輯、回覆、全部回覆、轉寄)、檢視(只能檢視)。
3.要最完整的自訂權限,還是要由管理者在範本中選擇自訂權限編輯,再發佈給使用者使用才行。
4.在自訂範本時我們會發現,在設定權限和範圍時,都可以加入外部使用者,但實際上外部使用者,只能開啟檔案,無法加密檔案,在登入帳號時便會跳出以下錯誤,自然也無法使用公司的範本,所以和範本的範圍設定有點矛盾了。
追蹤檔案使用情況和撤銷存取權
1.對檔案點選右鍵>Protect with RMS>Track Usage。
2.會用瀏覽器開啟一個網站,請登入。
3.剛登進去,會看到共用檔案的列表,可以點選檔案名稱看詳細的資料。
4.點選檔名下方可回到所有共用文件的列表。右上方可以登出或切換帳號。目前所在頁面為摘要,可以一覽檔案資訊、被檢視的次數、被拒絕的次數等。下方可以將資料匯出至CSV檔,以及撤銷該檔案的存取權。
5.時間表可檢視使用者在何時開啟檔案。
6.地圖可檢視使用者在何處開啟檔案,點選數字可以放大地圖,下圖已是放到最大。
7.設定可更改電子郵件通知。
8.如果點選撤銷存取權,收件者就無法再開啟檔案。
9.撤銷後在所有文件列表裡會顯示已撤銷。
參考文章
https://technet.microsoft.com/en-us/library/dn339006(v=ws.10).aspx
https://azure.microsoft.com/zh-tw/documentation/articles/active-directory-b2b-collaboration-overview/
== 要試用 Azure的朋友 ,請點選 Azure Free Trial – 試用 30 天期 進行試用申請。 ==