the microsoft conference 2014download.microsoft.com/download/0/4/a/04af9f4f-54f2-4eaa...利用期限...

The Microsoft Conference 2014

ROOM E

課題クライアント管理の効率化

個人情報保護対策

情報漏えい対策

IT ガバナンス

クラウドアプリのパスワード管理

マイクロソフトのソリューションとその効果

サイバー攻撃対策最新クライアントへの移行パッチ管理

クラウド

改善のための要件: クライアントインフラ担当東野智子の場合

情報システム部のクライアントインフラ担当

改善方法サイバー攻撃対策

マルチデバイス管理

アカウントと認証管理

フェデレーション認証

ディスクやデータの暗号化

アカウントと認証の管理

EMS :

Azure RMS

マルチデバイス管理

EMS

Windows Intune

ID と認証の統合

EMS :

Azure AD Premium

EMS : Enterprise Mobility Suite


BitLocker

SaaSアプリ

社内 ID 連携

Active Directory

東野智子(30 歳)

情報システム部のクライアントインフラ担当

Azure Rights Management Service (RMS)で社内とクラウドのデータを保護

• EMS は Azure RMS を包含

• Office 2013 や Office 365 で作成したデータやメールを暗号化して、参照、編集、コピー、印刷、転送などの操作を制限

改善のための要件: ソリューション

Azure RMS

Office 365Office 2013

取引先ユーザーと共有も可能

登録

Microsoft Rights ManagementMicrosoft Office の IRM 基盤• Rights Management Services (RMS)

• Information Rights Management (IRM) – Microsoft Office の機能名

Microsoft Office のファイル / メールを保護• Microsoft Office ファイル / メールの暗号化、利用権限の制御

基盤の歴史• 2003 年提供開始

• 2003 年～ Windows Rights Management (Windows RMS)

(Windows Server 2003/R2)• 2008 年～ Active Directory Rights Management サービス (AD RMS)

(Windows Server 2008/R2, Windows Server 2012/R2)

情報漏えい対策と安全な共有情報の所有者が意図した範囲で情報の共有が可能• RMS で保護されたコンテンツ (ファイル、メール)

1. 暗号化2. ユーザー認証 (コンテンツごと)

3. 権限の制御 (閲覧、編集、保存、印刷、利用期限など)

1. 暗号化コンテンツは暗号化され紛失/盗難時から保護

3. 権限の制御意図した権限範囲での共有・印刷不可・メール転送不可など…

安全な共有(二次、三次流出の保護)

情報のオーナー共有相手

2. ユーザー認証データの持ち出し紛失/盗難から保護

利用には認証が必要

権限を持たないユーザーは利用できない

コンテンツは暗号化

紛失 / 盗難といったリスクから保護

暗号化と認証

権限を持たないユーザーは利用できないコンテンツに対して保有する権限を細かく制御

認証と権限制御 – その価値

情報の所有者

社内ユーザーA さん

社外ユーザー

社内ユーザーB さん

保有権限ユーザーA (社内)

ユーザーB (社内)

他のユーザー

閲覧 ○ ○ ×

編集 ○ × ×

保存 ○ × ×

コピー &

ペースト○ × ×

印刷 × × ×

など… - - -

利用期限 10/31 -

社内

社内ユーザー

暗号化と認証と権限制御

コンテンツの保護

保有権限ユーザーB (社内)

閲覧 ○

編集 ×

保存 ×

コピー &

ペースト×

印刷 ×

など… -

利用期限 2015/1/14

アクセスが制限される旨の表示

• 編集不可

• コピー & ペースト不可保有権限

有効期限

• 保存不可

• 印刷不可

ファイルメニュー


DEMORMS って？

https://portal.aadrm.com

Azure RMS の提供を開始Azure Active Directory

Rights Management • 2013 年クラウド基盤の

提供を開始• Office 365 でも機能の

一部として提供• E3/E4 ライセンスには

Azure RMS の利用権が含まれる (機能制限あり)

• O365 利用ユーザーはライセンス購入 / 割り当てを行えばすぐに利用可能

新機能

Azure RMS と AD RMS の関係クラウドの基盤とオンプレミスの基盤

• いずれか 1 つの基盤を選択して利用• Azure RMS と AD RMS の同時利用は不可

• できることは “ほぼ” 同じ• Azure RMS の方がクライアント要件が高い

• Windows 7 / Office 2010 以降が対応

• Azure RMS はすべての連携製品と連携可能 (ライセンスは別)• SharePoint Online, Exchange Online, SharePoint Server, Exchange Server

Windows Server 2012 以降のファイルサーバー (FCI)

• AD RMS は SharePoint Online との同期が不可

• 社外ユーザーとの共有 (B2B) は Azure RMS のみの機能

情報漏えい対策と安全な共有情報の所有者が意図した範囲で情報の共有が可能• 管理者が意図した範囲で安全に情報を流通させることが可能• 社内外を問わない、RMS による安全な共有

RMS で保護されたコンテンツは例外なく暗号化

• AES + RSA の利用• Windows 以外の

端末でも利用可能(iOS/Android など)

• Office のファイル以外でも利用可能

RMS で保護されたコンテンツの利用には認証が必要

• 認証ができないユーザーは利用できない

• 外部ユーザーにも共有可能

RMS で保護されたコンテンツへの権限を細かく制御

• ユーザーもしくはグループの単位で権限を付与

• 利用期限の設定も可能

「暗号化」されたコンテンツについて「誰が」(認証)、「何を」(権限)、「いつまで」利用できる

誰が

何を

いつまで

RMS = 暗号化と認証と権限制御



ユーザーC (社外)

閲覧 ○ ○ ○

編集 ○ × ×

保存 ○ × ×

コピー &

ペースト○ × ×

印刷 × × ×

など… - - -

利用期限 10/31 10/25

誰が

何を

いつまで

社内で使っている仕組みを社外ユーザーとの共有でも利用可能社外ユーザーのアカウントはケアする必要なし (ライセンスも不要)

社外ユーザーの電子メールアドレスで保護して共有するだけ

「誰が」展開スコープの拡張

情報の所有者

社内ユーザーA さん

社内



閲覧 ○ ○

編集 ○ ×

保存 ○ ×

コピー &

ペースト○ ×

印刷 × ×

など… - -

利用期限 10/31

ユーザーC (社外)

○

×

×

×

×

-

10/25

社外

社外ユーザーC さん

社内ユーザーB さん

RMS Sharing Application強力な RMS ツールの提供

Microsoft 提供の無償のツール• RMS 利用インターフェースの追加

• ファイルを右クリックして保護可能• Microsoft Office の UI 拡張• 外部ユーザー共有のための UI 実装

• Microsoft Office のファイル以外に RMS で保護可能なファイルフォーマットの追加• テキスト、画像、PDF ファイル

• Protected ファイル (Pxxx) として保護

• 専用のビューア (IPViewer) で保護されたファイルを展開

• マルチプラットフォームで提供• Windows / Mac / iOS / Android / Windows Phone など

のプラットフォームで利用可能

RMS Sharing Application - IPViewer

IPViewer による RMS で保護されたファイル (PPDF) 閲覧 (iOS)

IPViewer による RMS で保護されたファイル (PPDF) 閲覧 (Mac OS)

「何を」- 対応ファイルの追加

アプリケーションが RMS

に対応しているファイル

• RMS が提供する機能をすべて利用可能

• 対応ファイルの例• Microsoft Office ファイル• PDF ファイル

• リーダーは Foxit PDF

リーダーなどの利用

• 他対応アプリケーション

RMS Sharing Application で対応

• 拡張子を変え “P” というPrefix をつけて保護する形態

(PDF -> PPDF)• IPViewer で利用 (閲覧のみ)

• 対応ファイルの例• テキストファイル• 画像ファイルなど

RMS Sharing Application で対応

• zip ファイルのような形でファイルをコンテナに格納

• コンテナから出されたファイルは保護されない

• 対応ファイル• 全てのファイル

(ファイルフォーマットを問わない)

RMS によるファイルの保護 – 保護の対象と形態

Pxxx ファイルによる保護オリジナルの拡張子

RMS で保護した後

.txt .ptxt

.xml .pxml

.jpg .pjpg

.jpeg .pjpeg

.pdf .ppdf

.png .ppng

.tiff .ptiff

.bmp .pbmp

.gif .pgif

.jpe .pjpe

.jfif .pjfif

.jif .pjif

RMS Sharing Application による対応• ファイルの拡張子を変えて保護 (Protected ファイル)

• 専用のビューア (IPViewer) で保護されたファイルを利用

• Pxxx ファイルとして保護されたファイルはファイルのアイコンが変わる

テキスト

txt -> ptxt

PDF

pdf -> ppdf

PNG

png -> ppng

マルチプラットフォーム対応iOS / Android OS のサポート• RMS Sharing Application の提供

• 現時点で利用可能なファイルは Pxxx ファイルと PFILE のみ• Mobile Office は RMS 未対応 (ネイティブで保護された

Microsoft Office ファイルは取り扱えない点に注意)

• 基本的にコンテンツの閲覧に特化、保護の機能は限定 (画像ファイル)


DEMORMS Sharing Application モバイルデバイスでの利用

コンテンツの保護と利用どう保護する？• ユーザーサイド (手動) - ユーザーに設定を委ねる

• Microsoft Office ユーザーインターフェース – Edition により UI 有無• RMS Sharing Apps ユーザーインターフェース

• サーバーサイド (自動) - システムで RMS による保護を徹底• SharePoint / SharePoint Online

• Exchange / Exchange Online• ファイルサーバー (Windows Server 2012 以降 FCI)

どう利用する？• ファイルの保護は Windows 端末、それ以外の端末は消費専用

• Windows 端末ならフル機能を利用可能• Windows 以外の端末では保護されたコンテンツの安全な閲覧

• Office Web Apps / Pxxx の活用 (Office Mobile は対応していない)

RMS 適用 – ユーザー手動1. Microsoft Office の

メニューから設定(詳細設定)

ユーザー、グループ単位でコンテンツに対する権利条件を細かく設定

RMS 適用 – ユーザー手動2. Microsoft Office の

メニューから設定(権利ポリシーテンプレート)

管理者があらかじめ定義した権利条件の雛形を使ったワンクリックでのコンテンツ保護• ユーザー、グループ単位で付与する権利条件を定義

機密区分 C テンプレート

ユーザーグループ

Contoso

Senior

Managers

Contoso

Managers

Contoso

Employees

閲覧 ○ ○ ○

編集 ○ ○ ×

保存 ○ ○ ×

印刷 ○ × ×

など… - - -

利用期限 30 日間

機密区分 B テンプレート


Contoso

Senior

Managers

Contoso

Managers

Contoso

Employees

閲覧 ○ ○ ○

編集 ○ ○ ×

保存 ○ ○ ×

印刷 ○ × ×

など… - - -


機密区分 A テンプレート


Contoso

Senior

Managers

Contoso

Managers

Contoso

Employees

閲覧 ○ ○ ○

編集 ○ ○ ×

保存 ○ ○ ×

印刷 ○ × ×

など… - - -


標準

追加

権利ポリシーテンプレート権限セットの雛形の作成と配布

• Azure 管理ポータルから作成 (O365 の管理ポータルでは設定不可)

• 配布は自動

機密区分 A テンプレート


Contoso

Senior

Managers

Contoso

Managers

Contoso

Employees

閲覧 ○ ○ ○

編集 ○ ○ ×

保存 ○ ○ ×

印刷 ○ × ×

など… - - -


RMS 適用 – ユーザー手動3. RMS Sharing Apps の利用 • RMS Sharing Application

(別途インストール要) を利用することでエクスプローラでファイルを右クリックして保護が可能

• 権利ポリシーテンプレートによるワンクリックでの保護

• Pxxx ファイルで保護できるのはRMS Sharing Apps のみ• SharePoint は対応していない

• 外部ユーザーへの共有を容易にするためのインターフェースを提供

RMS 適用 – ユーザー手動3. RMS Sharing Apps の利用 • RMS Sharing Application による

外部ユーザーへの共有設定• 権限を付与するユーザー

• 電子メールアドレスで設定 (無償メールなどは利用不可)

• コンテンツへの権限• ビューアー• レビュー担当者• 共同作成者• 共同所有者

• コンテンツの有効期限• 共有相手がコンテンツを利用した際の

通知 (メール)

1. SharePointSharePoint Online の利用

• ドキュメントライブラリにファイルを配置するだけで自動的に RMS で保護

• 保護のタイミングはユーザーのダウンロード時

RMS 適用 – サーバー自動適用2. ファイルサーバーによる保護

(Windows Server 2012 以降)

• 共有フォルダにファイルを配置するだけで自動的に RMS で保護

• 保護のタイミングは共有フォルダーへのアップロード時

3. ExchangeExchange Online の利用

• ユーザーが送ったメールについて設定された条件に合致する場合自動的に RMS で保護

• 添付ファイルについても RMS で保護可能な場合、自動的に保護

RMS 適用 – サーバー自動適用

• Exchange Online の設定管理センターのメールフローに関する設定でメールを保護する条件を定義

• Exchange Server (オンプレミス) でも同様に利用可能 (ライセンスに注意)

RMS 利用 - WindowsRMS で提供される全ての機能を利用可能• Azure RMS を利用するには Windows 7 / Office 2010 が必要• RMS Sharing Application の配布

RMS 適用と保護されたコンテンツの利用が可能

Office ファイル Pxxx ファイル Office Web Apps

(O365)

適用利用適用利用ファイルメール

○ ○ ○ ○ △※閲覧のみ

○

RMS 利用 – 非 Windows基本的に閲覧限定 – 保護コンテンツの消費• RMS Sharing Application の利用が前提

• 各ストアから無償で入手可能

Office ファイル Pxxx ファイル Office Web Apps

(O365)

適用利用適用利用ファイルメール

× × △※画像は適用可能

○ △※閲覧のみ

○

Office Web Apps 利用

Office Web Apps による保護されたファイルの利用(iPad)

OWA for iPAD (O365 用アプリ) による保護されたメールの利用


DEMOContoso ドラッグ

Contoso ドラッグの場合

課題個人情報保護対策


東野智子(30 歳)

改善方法 Azure RMS の利用

展開スコープ : 社内、社外

ファイル : 社内 Office, PDF

社外 PDF

端末 : 社内 Windows

社外何でも

権限 : 社内フルコントロール社外閲覧のみ

Office

Pxxx

メール

PDF (PPDF)

Windows 何でも(社外ユーザーなの

で統制不可)

フルコントロール

閲覧のみ

社内社外何を保護？

何で使う？

何ができる？

利用するには何が必要？Office 365 を利用している場合• 既に基盤は整備済み (ライセンスはプランによる)

• ユーザーにライセンスを割り当てるだけで利用可能• RMS Sharing Application を利用する場合、配布を検討• オンプレミスの Exchange / SharePoint / ファイルサーバーを連携させる場合

RMS コネクターをインストールしたサーバーを配置

Office 365 をまだ利用していない場合• Azure RMS は単体でも導入可能 (ライセンスを単体で購入)

Microsoft AzureActive Directory

Active Directory

Exchange

SharePoint

ファイルサーバーディレクトリ同期サーバー

RMS コネクターサーバー

ADFSWAP

(Web Application Proxy)

利用するには何が必要？ライセンス• O365 サブスクリプション (E3/E4) – 機能制限有• Azure RMS Standalone サブスクリプション• EMS (Enterprise Mobility Suite) サブスクリプション

O365

E3/E4

Azure

RMS

組織ユーザー ID を使ったコンテンツの保護と、参照

Office 365 上に保存されたコンテンツの保護

オンプレミスの Office に保存されたコンテンツの保護(RMS Connector による Exchange Server, SharePoint Server の保護)

自己生成キーによるデータ保護 (Bring your own Key (Hybrid protection))

非 Office ファイルの RMS による保護 (Pxxx ファイルの保護)

RMS SDK の提供

オンプレミスの Windows Server ファイル共有に保存されたコンテンツの保護(RMS FCI Connector による保護)

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on

the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Windows の場合 – 2014/10 時点

1. Microsoft Office 2010 / 2013

2. Office Web Apps (SharePoint (Online))

• Office 2010 の場合、RMS Sharing Application のインストールが必須

• Office に含まれるアプリケーションでも RMS に対応していないものがある点に注意 (Access 、Visio 等は非対応)

Foxit Reader などの対応リーダーが別途必要

• PDF ネイティブで保護している場合、IRM PDF

対応リーダーが別途必要となる点に注意• IRM PDF 対応リーダーが用意できない場合、

3. Pxxx ファイルの方式として保護することも可能この場合、IPViewer で展開可能

RMS Sharing Application

• テキスト、画像系ファイル、PDF ファイルについて拡張子を変えて保護されている形態

• IPViewer では閲覧しかできない形で利用• ユーザーが保持している権限に関わらず、閲覧しか

できない点に注意

1. Microsoft Office 2010 / 2013

2. Outlook Web Apps (Exchange (Online))

• Office 2010 の場合、RMS Sharing Application のインストールが必須

iOS の場合 – 2014/10 時点


• Office Mobile は RMS (IRM) 非対応• RMS 権限に関わらず閲覧しかできない

Foxit Mobile PDF などの対応リーダーが必要









• OWA for iPhone / iPad は RMS (IRM) 対応 (Exchange

Online のみ)

Android の場合 – 2014/10 時点


• Office Mobile は RMS (IRM) 非対応• RMS 権限に関わらず閲覧しかできない

Foxit Mobile PDF などの対応リーダーが必要









• OWA for Android は RMS (IRM) 対応 (Exchange Online

のみ）

Mac の場合 – 2014/10 時点


• Mac 用 Microsoft Office は Azure RMS 非対応(AD RMS は利用可能)

• RMS 権限に関わらず閲覧しかできない

現時点では対応手段なし






• Mac 用 Microsoft Office は Azure RMS 非対応(AD RMS は利用可能)

•

社外ユーザーの利用①無償サービスへの登録• 初回利用時に Microsoft Rights Management ポータルへアクセス

• 自身のビジネスのメールアカウントを登録

社外ユーザーの利用②無償サービスへの登録• 一度登録すれば、次回以降の利用は ID (メールアドレス) と

パスワードで認証

社外ユーザーの利用③無償サービスへの登録• アカウントのプロビジョニング完了後、必要なアプリケーション

(RMS Sharing Application などをインストール)

社外ユーザーの利用④無償サービスへの登録• 本人確認、登録が完了した旨など、一連のやり取りで登録する

メールアドレスに対してメールが届く

フリーのメールサービス (Hotmail など) は利用できない点に注意

O365 ユーザーである場合には登録は必要ない

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on

the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

the microsoft conference 2014download.microsoft.com/download/0/4/a/04af9f4f-54f2-4eaa...利用期限...

Documents