The Microsoft Conference 2014 ROOM E 改善のための要件: クライアントインフラ担当 東野智子の場合 マイクロソフトのソリューションとその効果 東野智子(30 歳) SaaSアプリ 情報システム部の クライアント インフラ担当 情報システム部のクライアント 課題 ID と認証の統合 EMS : Azure AD Premium クラウド インフラ担当 クライアント管理の効率化 個人情報保護対策 情報漏えい対策 IT ガバナンス クラウドアプリのパスワード管理 改善方法 サイバー攻撃対策 マルチデバイス管理 アカウントと認証管理 フェデレーション認証 ディスクやデータの暗号化 アカウントと 認証の管理 EMS : Azure RMS 社内 ID 連携 Active Directory 情報漏えい対策 BitLocker マルチデバイス管理 EMS Windows Intune サイバー攻撃対策 最新クライアントへの移行 パッチ管理 EMS : Enterprise Mobility Suite 改善のための要件: ソリューション Azure Rights Management Service (RMS)で社内とクラウドのデータを保護 • EMS は Azure RMS を包含 • Office 2013 や Office 365 で作成したデータや メールを暗号化して、参照、編集、コピー、 印刷、転送などの操作を制限 Azure RMS Office 2013 Office 365 登録 取引先 ユーザーと 共有も可能 The Microsoft Conference 2014 Microsoft Rights Management Microsoft Office の IRM 基盤 • • Rights Management Services (RMS) Information Rights Management (IRM) – Microsoft Office の機能名 Microsoft Office のファイル / メールを保護 • Microsoft Office ファイル / メールの暗号化、利用権限の制御 • 2003 年 提供開始 基盤の歴史 • • 2003 年 ~ Windows Rights Management (Windows RMS) (Windows Server 2003/R2) 2008 年 ~ Active Directory Rights Management サービス (AD RMS) (Windows Server 2008/R2, Windows Server 2012/R2) 情報漏えい対策と安全な共有 情報の所有者が意図した範囲で情報の共有が可能 • RMS で保護されたコンテンツ (ファイル、メール) 1. 暗号化 2. ユーザー認証 (コンテンツごと) 3. 権限の制御 (閲覧、編集、保存、印刷、利用期限など) 共有相手 情報のオーナー 1. 暗号化 コンテンツは暗号化され 紛失/盗難時から保護 安全な共有 (二次、三次流出の保護) 2. ユーザー認証 データの持ち出し 紛失/盗難から保護 3. 権限の制御 意図した権限範囲 での共有 ・印刷不可 ・メール転送不可 など… 暗号化と認証 コンテンツは暗号化 利用には認証が必要 紛失 / 盗難といった リスクから保護 権限を持たない ユーザーは利用できない 認証と権限制御 – その価値 権限を持たないユーザーは利用できない コンテンツに対して保有する権限を細かく制御 保有権限 ユーザー ユーザー 他の A (社内) B (社内) ユーザー 閲覧 ○ ○ × 編集 ○ × × 保存 ○ × × コピー & ペースト ○ × × 印刷 × × × など… - - - 利用期限 10/31 - 社内ユーザー A さん 情報の 所有者 社内ユーザー 社内 社内ユーザー B さん 社外ユーザー コンテンツの保護 暗号化と認証と権限制御 保有権限 アクセスが制限 される旨の表示 ユーザー B (社内) 閲覧 ○ 編集 × 保存 × コピー & ペースト × 印刷 × など… - 利用期限 2015/1/14 • • ファイル メニュー • • 保存不可 印刷不可 編集不可 コピー & ペースト不可 保有権限 有効期限 The Microsoft Conference 2014 DEMO RMS って? The Microsoft Conference 2014 https://portal.aadrm.com Azure RMS の提供を開始 Azure Active Directory Rights Management 2013 年クラウド基盤の 提供を開始 Office 365 でも機能の 一部として提供 • • • • E3/E4 ライセンスには Azure RMS の利用権が 含まれる (機能制限あり) O365 利用ユーザーは ライセンス購入 / 割り当て を行えばすぐに利用可能 新機能 Azure RMS と AD RMS の関係 クラウドの基盤とオンプレミスの基盤 いずれか 1 つの基盤を選択して利用 • Azure RMS と AD RMS の同時利用は不可 • できることは “ほぼ” 同じ • Azure RMS の方がクライアント要件が高い • • • • • • Windows 7 / Office 2010 以降が対応 Azure RMS はすべての連携製品と連携可能 (ライセンスは別) SharePoint Online, Exchange Online, SharePoint Server, Exchange Server Windows Server 2012 以降のファイル サーバー (FCI) AD RMS は SharePoint Online との同期が不可 社外ユーザーとの共有 (B2B) は Azure RMS のみの機能 The Microsoft Conference 2014 情報漏えい対策と安全な共有 情報の所有者が意図した範囲で情報の共有が可能 • 管理者が意図した範囲で安全に情報を流通させることが可能 • 社内外を問わない、RMS による安全な共有 RMS で保護された コンテンツは 例外なく暗号化 RMS で保護された コンテンツの利用 には認証が必要 RMS で保護された コンテンツへの 権限を細かく制御 • AES + RSA の利用 • Windows 以外の 端末でも利用可能 (iOS/Android など) • Office のファイル 以外でも利用可能 • 認証ができない ユーザーは利用 できない • 外部ユーザーにも 共有可能 • ユーザーもしくは グループの単位で 権限を付与 • 利用期限の設定も 可能 RMS = 暗号化と認証と権限制御 「暗号化」されたコンテンツについて 「誰が」(認証)、「 何を」(権限)、「いつまで」利用できる 誰が 誰が 保有権限 ユーザー ユーザー ユーザー A (社内) B (社内) C (社外) 何を 何を いつまで いつまで 閲覧 ○ ○ ○ 編集 ○ × × 保存 ○ × × コピー & ペースト ○ × × 印刷 × × × など… - - - 利用期限 10/31 10/25 「誰が」展開スコープの拡張 社内で使っている仕組みを社外ユーザーとの共有でも利用可能 社外ユーザーのアカウントはケアする必要なし (ライセンスも不要) 社外ユーザーの電子メールアドレスで保護して共有するだけ 保有権限 ユーザー ユーザー A (社内) B (社内) 社内ユーザー A さん 情報の 所有者 社内 社内ユーザー B さん 社外 社外ユーザー C さん ユーザー C (社外) 閲覧 ○ ○ ○ 編集 ○ × × 保存 ○ × × コピー & ペースト ○ × × 印刷 × × × など… - - - 利用期限 10/31 10/25 RMS Sharing Application 強力な RMS ツールの提供 Microsoft 提供の無償のツール • RMS 利用インターフェースの追加 • ファイルを右クリックして保護可能 • Microsoft Office の UI 拡張 • 外部ユーザー共有のための UI 実装 • Microsoft Office のファイル以外に RMS で保護 可能なファイルフォーマットの追加 • テキスト、画像、PDF ファイル • Protected ファイル (Pxxx) として保護 • 専用のビューア (IPViewer) で保護された ファイルを展開 • マルチ プラットフォームで提供 • Windows / Mac / iOS / Android / Windows Phone など のプラットフォームで利用可能 RMS Sharing Application - IPViewer IPViewer による RMS で 保護されたファイル (PPDF) 閲覧 (iOS) IPViewer による RMS で保護されたファイル (PPDF) 閲覧 (Mac OS) 「何を」- 対応ファイルの追加 RMS によるファイルの保護 – 保護の対象と形態 アプリケーションが RMS に対応しているファイル RMS Sharing Application で対応 RMS Sharing Application で対応 • RMS が提供する機能を すべて利用可能 • 対応ファイルの例 • 拡張子を変え “P” という Prefix をつけて保護する形態 (PDF -> PPDF) • IPViewer で利用 (閲覧のみ) • 対応ファイルの例 • zip ファイルのような形で ファイルをコンテナに格納 • コンテナから出された ファイルは保護されない • 対応ファイル • • Microsoft Office ファイル PDF ファイル • • リーダーは Foxit PDF リーダーなどの利用 他対応アプリケーション • • テキストファイル 画像ファイルなど • 全てのファイル (ファイル フォーマットを 問わない) Pxxx ファイルによる保護 オリジナル の拡張子 RMS で 保護した後 .txt .ptxt .xml .pxml .jpg .pjpg .jpeg .pjpeg .pdf .ppdf .png .ppng .tiff .ptiff .bmp .pbmp .gif .pgif .jpe .pjpe .jfif .pjfif .jif .pjif RMS Sharing Application による対応 • ファイルの拡張子を変えて保護 (Protected ファイル) • 専用のビューア (IPViewer) で保護されたファイルを 利用 • Pxxx ファイルとして保護されたファイルは ファイルのアイコンが変わる テキスト txt -> ptxt PDF pdf -> ppdf PNG png -> ppng マルチ プラットフォーム対応 iOS / Android OS のサポート RMS Sharing Application の提供 • • • • 現時点で利用可能なファイルは Pxxx ファイルと PFILE のみ Mobile Office は RMS 未対応 (ネイティブで保護された Microsoft Office ファイルは取り扱えない点に注意) 基本的にコンテンツの閲覧に特化、保護の機能は限定 (画像ファイル) The Microsoft Conference 2014 DEMO RMS Sharing Application モバイル デバイスでの利用 The Microsoft Conference 2014 コンテンツの保護と利用 どう保護する? ユーザー サイド (手動) - ユーザーに設定を委ねる • • • • Microsoft Office ユーザー インターフェース – Edition により UI 有無 RMS Sharing Apps ユーザー インターフェース サーバー サイド (自動) - システムで RMS による保護を徹底 SharePoint / SharePoint Online Exchange / Exchange Online ファイル サーバー (Windows Server 2012 以降 FCI) • • • どう利用する? ファイルの保護は Windows 端末、それ以外の端末は消費専用 • Windows 端末ならフル機能を利用可能 Windows 以外の端末では保護されたコンテンツの安全な閲覧 • • • Office Web Apps / Pxxx の活用 (Office Mobile は対応していない) RMS 適用 – ユーザー手動 1. Microsoft Office の メニューから設定 (詳細設定) ユーザー、グループ単位で コンテンツに対する権利条件 を細かく設定 RMS 適用 – ユーザー手動 2. Microsoft Office の メニューから設定 (権利ポリシー テンプレート) 標準 追加 管理者があらかじめ定義した権利条件の雛形を使った ワンクリックでのコンテンツ保護 • ユーザー、グループ単位で付与する権利条件を定義 機密区分 C テンプレート 機密区分 B テンプレート Contoso ユーザー ContosoA テンプレート Contoso 機密区分 Senior Contoso グループ Managers Employees ユーザー Contoso Contoso Managers SeniorContoso グループ Managers Employees ユーザー Contoso Contoso 閲覧 ○Managers ○ ○ Senior グループ Managers Employees Managers 閲覧 ○ ○ ○ 編集 ○ ○ × 閲覧 ○ ○ ○ ○ 保存 編集 ○ ○ × 編集 ○ ○ ○ ○ 印刷 保存 ○ × × 保存 ○ ○ ○ × など… 印刷 × など… 印刷 - 30○ 利用期限 日間 など… - 30 日間 利用期限 利用期限 30 日間 × ○ × × × × - × - 権利ポリシー テンプレート 権限セットの雛形の作成と配布 機密区分 A テンプレート ユーザー グループ Contoso Senior Managers Contoso Managers Contoso Employees 閲覧 ○ ○ ○ 編集 ○ ○ × 保存 ○ ○ × 印刷 ○ × × など… - - - 利用期限 30 日間 • Azure 管理ポータルから作成 (O365 の管理ポータルでは設定不可) • 配布は自動 RMS 適用 – ユーザー手動 3. RMS Sharing Apps の利用 • RMS Sharing Application (別途インストール要) を利用する ことでエクスプローラでファイルを 右クリックして保護が可能 • 権利ポリシー テンプレートによる ワン クリックでの保護 • Pxxx ファイルで保護できるのは RMS Sharing Apps のみ • • SharePoint は対応していない 外部ユーザーへの共有を容易にする ためのインターフェースを提供 RMS 適用 – ユーザー手動 3. RMS Sharing Apps の利用 • RMS Sharing Application による 外部ユーザーへの共有設定 • 権限を付与するユーザー • • コンテンツへの権限 • • • • • • 電子メールアドレスで設定 (無償メール などは利用不可) ビューアー レビュー担当者 共同作成者 共同所有者 コンテンツの有効期限 共有相手がコンテンツを利用した際の 通知 (メール) RMS 適用 – サーバー自動適用 1. SharePoint SharePoint Online の利用 2. ファイルサーバーによる保護 (Windows Server 2012 以降) • ドキュメント ライブラリに ファイルを配置するだけで 自動的に RMS で保護 • 保護のタイミングはユーザーの ダウンロード時 • • 共有フォルダにファイルを配置するだけで 自動的に RMS で保護 保護のタイミングは共有フォルダーへの アップロード時 RMS 適用 – サーバー自動適用 3. Exchange Exchange Online の利用 • ユーザーが送ったメールについて 設定された条件に合致する場合 自動的に RMS で保護 • 添付ファイルについても RMS で 保護可能な場合、自動的に保護 • Exchange Online の設定 管理センターのメール フローに関する 設定でメールを保護する条件を定義 • Exchange Server (オンプレミス) でも 同様に利用可能 (ライセンスに注意) RMS 利用 - Windows RMS で提供される全ての機能を利用可能 • Azure RMS を利用するには Windows 7 / Office 2010 が必要 • RMS Sharing Application の配布 RMS 適用と保護されたコンテンツの利用が可能 Office ファイル Pxxx ファイル 適用 適用 ○ 利用 ○ ○ 利用 ○ Office Web Apps (O365) ファイル メール △ ※閲覧のみ ○ RMS 利用 – 非 Windows 基本的に閲覧限定 – 保護コンテンツの消費 • RMS Sharing Application の利用が前提 各ストアから無償で入手可能 • Office ファイル Pxxx ファイル 適用 適用 × 利用 × △ ※画像は 適用可能 利用 ○ Office Web Apps (O365) ファイル メール △ ※閲覧のみ ○ Office Web Apps 利用 Office Web Apps による保護されたファイルの利用 (iPad) OWA for iPAD (O365 用アプリ) による保護された メールの利用 The Microsoft Conference 2014 DEMO Contoso ドラッグ Contoso ドラッグの場合 社外 社内 東野智子(30 歳) 課題 個人情報保護対策 情報漏えい対策 改善方法 Azure RMS の利用 展開スコープ : 社内、社外 Office Pxxx メール PDF (PPDF) Windows ファイル : 社内 Office, PDF 社外 PDF 端末 : 社内 Windows 社外 何でも 権限 : 社内 フルコントロール 社外 閲覧のみ 何を保護? 何でも (社外ユーザーなの で統制不可) フル コントロール 何で使う? 閲覧のみ 何ができる? The Microsoft Conference 2014 利用するには何が必要? Office 365 を利用している場合 既に基盤は整備済み (ライセンスはプランによる) • ユーザーにライセンスを割り当てるだけで利用可能 RMS Sharing Application を利用する場合、配布を検討 オンプレミスの Exchange / SharePoint / ファイルサーバーを連携させる場合 RMS コネクターをインストールしたサーバーを配置 • • • Office 365 をまだ利用していない場合 Azure RMS は単体でも導入可能 (ライセンスを単体で購入) • Exchange SharePoint ファイルサーバー Active Directory RMS コネクター サーバー ADFS WAP (Web Application Proxy) ディレクトリ 同期サーバー Microsoft Azure Active Directory 利用するには何が必要? ライセンス • • • O365 サブスクリプション (E3/E4) – 機能制限有 Azure RMS Standalone サブスクリプション EMS (Enterprise Mobility Suite) サブスクリプション O365 E3/E4 組織 ユーザー ID を使ったコンテンツの保護と、参照 Office 365 上に保存されたコンテンツの保護 オンプレミスの Office に保存されたコンテンツの保護 (RMS Connector による Exchange Server, SharePoint Server の保護) 自己生成キーによるデータ保護 (Bring your own Key (Hybrid protection)) 非 Office ファイルの RMS による保護 (Pxxx ファイルの保護) RMS SDK の提供 オンプレミスの Windows Server ファイル共有に保存されたコンテンツの保護 (RMS FCI Connector による保護) Azure RMS © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. The Microsoft Conference 2014 Windows の場合 – 2014/10 時点 1. 2. • • Microsoft Office 2010 / 2013 Office Web Apps (SharePoint (Online)) Office 2010 の場合、RMS Sharing Application の インストールが必須 Office に含まれるアプリケーションでも RMS に対応 していないものがある点に注意 (Access 、Visio 等は非対応) RMS Sharing Application • • テキスト、画像系ファイル、PDF ファイルについて拡 張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用 • ユーザーが保持している権限に関わらず、閲覧しか できない点に注意 Foxit Reader などの対応リーダーが別途必要 • PDF ネイティブで保護している場合、IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合、 3. Pxxx ファイルの方式として保護することも可能 この場合、IPViewer で展開可能 1. 2. Microsoft Office 2010 / 2013 Outlook Web Apps (Exchange (Online)) • • Office 2010 の場合、RMS Sharing Application の インストールが必須 iOS の場合 – 2014/10 時点 1. • • Office Web Apps (SharePoint (Online)) Office Mobile は RMS (IRM) 非対応 RMS 権限に関わらず閲覧しかできない RMS Sharing Application • • テキスト、画像系ファイル、PDF ファイルについて拡 張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用 • ユーザーが保持している権限に関わらず、閲覧しか できない点に注意 Foxit Mobile PDF などの対応リーダーが必要 • PDF ネイティブで保護している場合、IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合、 3. Pxxx ファイルの方式として保護することも可能 この場合、IPViewer で展開可能 1. Outlook Web Apps (Exchange (Online)) • OWA for iPhone / iPad は RMS (IRM) 対応 (Exchange Online のみ) • Android の場合 – 2014/10 時点 1. • • Office Web Apps (SharePoint (Online)) Office Mobile は RMS (IRM) 非対応 RMS 権限に関わらず閲覧しかできない RMS Sharing Application • • テキスト、画像系ファイル、PDF ファイルについて拡 張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用 • ユーザーが保持している権限に関わらず、閲覧しか できない点に注意 Foxit Mobile PDF などの対応リーダーが必要 • PDF ネイティブで保護している場合、IRM PDF 対応リーダーが別途必要となる点に注意 IRM PDF 対応リーダーが用意できない場合、 3. Pxxx ファイルの方式として保護することも可能 この場合、IPViewer で展開可能 1. Outlook Web Apps (Exchange (Online)) • • OWA for Android は RMS (IRM) 対応 (Exchange Online のみ) Mac の場合 – 2014/10 時点 1. • • Office Web Apps (SharePoint (Online)) Mac 用 Microsoft Office は Azure RMS 非対応 (AD RMS は利用可能) RMS 権限に関わらず閲覧しかできない RMS Sharing Application • • 現時点では対応手段なし テキスト、画像系ファイル、PDF ファイルについて拡 張子を変えて保護されている形態 IPViewer では閲覧しかできない形で利用 • ユーザーが保持している権限に関わらず、閲覧しか できない点に注意 1. • • Outlook Web Apps (Exchange (Online)) Mac 用 Microsoft Office は Azure RMS 非対応 (AD RMS は利用可能) The Microsoft Conference 2014 社外ユーザーの利用 ① 無償サービスへの登録 • 初回利用時に Microsoft Rights Management ポータルへアクセス • 自身のビジネスのメール アカウントを登録 社外ユーザーの利用 ② 無償サービスへの登録 • 一度登録すれば、次回以降の利用は ID (メールアドレス) と パスワードで認証 社外ユーザーの利用 ③ 無償サービスへの登録 • アカウントのプロビジョニング完了後、必要なアプリケーション (RMS Sharing Application などをインストール) 社外ユーザーの利用 ④ 無償サービスへの登録 • 本人確認、登録が完了した旨など、一連のやり取りで登録する メール アドレスに対してメールが届く フリーのメール サービス (Hotmail など) は 利用できない点に注意 O365 ユーザーである場合には登録は 必要ない © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
© Copyright 2025 Paperzz
