Habilitar IRM Exchange Online para utilizar Azure RMS | Office 365

Las personas a menudo comparten información sensible a través del correo electrónico, como puede ser números de tarjetas de crédito, información financiera o de negocios, información confidencial, productos que no deben ser revelados o cualquier otro tipo de información, que dentro de una organización deben ser protegidos para prevenir

Para prevenir la perdida de información, Exchange Online incluye IRM (Information Rights Management) y en esta nota aprenderemos como habilitar y configurarlo con Azure Rights Management Services, pero antes veremos los conceptos básicos para entender de qué se trata.

¿Qué es IRM para Exchange Online?

Information Rights Management, es una funcionalidad que provee protección tanto en línea (online) como en forma desconectada (offline) de correos electrónicos y sus adjuntos.
Los usuarios pueden utilizar clientes Microsoft Outlook o través de Outlook Web App (OWA), para proteger sus correos e información a compartir.
Los administradores de la plataforma de correo pueden utilizar reglas de transporte o reglas de protección de Outlook para aplicar las políticas.

IRM ayuda a las organizaciones y a sus usuarios a controlar quien pueda acceder, reenviar, imprimir o copiar información sensible dentro de los correos electrónicos.

¿Cómo funciona IRM en Exchange Online?

Exchange Online utiliza Active Directory Rights Management Services, una tecnología de protección de información disponible desde Windows Server 2008, donde IRM aplica las plantillas de políticas provistas por AD RMS para proteger correos electrónicos y su contenido.

De esta forma, la aplicación de la protección esta embebida en el correo en si, por este motivo es que está protegido tanto en forma online como offline.

IRM puede ser configurado a través de las siguientes tecnologías de RMS:

  • Azure Rights Management Services (Solución basada en la nube).
  • Active Directory Rights Management Services (Solución on-premise).

En este artículo, veremos cómo habilitarlo mediante Azure Rights Management Services.

¿Qué es Azure Rights Management?

En la actualidad, todas las organizaciones están conectadas trabajando mediante internet, los usuarios utilizan tanto los dispositivos empresariales (notebook, teléfonos, tablets, etc) como así también los personales, para acceder y compartir información de trabajo, la cual en muchos casos puede ser información sensible y debe ser protegida por algún método tanto dentro de la organización como una vez que esos datos salen de ella.

Es ahí donde se presentan las limitaciones para proteger el contenido sensible que se comparte más allá del firewall perimetral que podemos implementar.

Para poder solucionar esta problemática, llega Azure Rights Management Services la cual permite proteger la información sensible de la organización. Azure RMS Utiliza cifrado, identidad y políticas de autorización para ayudar a proteger los archivos y correos electrónicos. Es compatible y funciona a través de múltiples dispositivos de teléfonos, tablets, estaciones de trabajo y notebook. La información puede ser protegida tanto dentro de como fuera de la organización, ya que como mencionamos anteriormente la aplicación de la protección esta embebida en el correo en sí.
Es por eso que podemos extender los límites de la protección más allá de nuestra organización.

Por último, es importante destacar, que los usuarios y servicios autorizados puede consumir la información que está protegida por Azure RMS.

¿Qué dispositivos clientes son compatibles con Azure RMS?

Teniendo en cuenta que Azure, es una plataforma que se actualiza y mejora constantemente, los dispositivos clientes compatibles al día de la fecha son:

Windows

Sistema Operativo Edición
Windows 7 Professional (x86 , X64)
Windows 7 SP1 Professional (x86 , X64)
Windows 7 Enterprise (x86 , x64)
Windows 7 SP1 Enterprise (x86 , x64)
Windows 7 Ultimate (x86 , x64)
Windows 7 SP1 Ultimate (x86 , x64)
Windows 8 Pro (x86 , x64)
Windows 8 Enterprise (x86 , x64)
Windows 8.1 Pro (x86 , x64)
Windows 8.1 Enterprise (x86 , x64)

Mac OS

Sistema operativo Edición
Mac OS X Versión mínima de Mac OS X 10.8 (Mountain Lion)

Dispositivos móviles

Windows Phone Windows Phone 8.1
Tablets y dispositivos Android Versión mínima de Android 4.0.3
iPhone y iPad Versión mínima de iOS 7.0
Windows RT Tablets Windows 8 RT, Windows 8.1 RT

¿Qué capacidades tienen dichos dispositivos?

A continuación verán un listado de aplicaciones para protección, compatibles con Azure RMS por sistema operativo.

Sistema operativo Word, Excel, PowerPoint PDF Protegido Email Protección genérica
Windows Office 2013, Office 2010, Office Online GigaTrust Desktop, PDF Client for Adobe, Foxit Reader, Nitro PDF Reader, RMS sharing app Outlook 2013, Outlook 2010, Outlook Web App (OWA) RMS sharing application for Windows
iOS TITUS Docs, Office Online 1 Foxit Reader (Azure RMS only), RMS sharing app, TITUS Docs NitroDesk, OWA for iOS 2, TITUS Mail TITUS Docs, RMS sharing app
Android GigaTrust App for Android, Office Online GigaTrust App for Android, Foxit Reader (Azure RMS only), RMS sharing app 9Folders, GigaTrust App for Android, NitroDesk, OWA for Android 3, Samsung Email (S3 and later), TITUS Classification for Mobile RMS sharing app
OS X Office 2011 (AD RMS only), Office Online RMS sharing app Outlook 2011 (AD RMS only), Outlook for Mac RMS sharing app
Windows RT Office 2013 RT, Office Online Not supported Outlook 2013 RT, Mail app for Windows Not supported
Windows Phone 8.1 Microsoft Office Mobile (AD RMS only) RMS sharing app Outlook Mobile RMS sharing app
Blackberry 10 Not supported Not supported Blackberry email Not supported

¿Qué aplicaciones son compatibles con Azure RMS?

Las siguientes aplicaciones, soportan Azure RMS en forma nativa:

Microsoft Office:

  • Office 365 ProPlus.
  • Office Professional Plus 2013.
  • Office Professional 2010 (En este caso se debe tener instalado el en equipo cliente, el componente Rights Management sharing application for Windows).

Nota: Solo puede publicarse contenido protegido Office Professional 2010, pero con cualquier versión de Office 2010 se puede consumir contenido protegido. En mi caso he probado con una versión de Office 2010 Standard y la misma funciona correctamente para consumo de información protegida.

¿Qué servicios On-premises puedo proteger con Azure RMS?

Utilizando Azure RMS, podemos proteger los siguientes servicios On-premises:

Exchange Server:

  • Exchange Server 2013.
  • Exchange Server 2010.

Office SharePoint Server:

  • Office SharePoint Server 2013.
  • Office SharePoint Server 2010.

Servidores de archivos (File Server) que corran bajo Windows Server y utilicen FCI (File Classification Infrastructure):

  • Windows Server 2012 R2.
  • Windows Server 2012.

¿Cuáles son los pasos a seguir para habilitar IRM con Exchange Online?

A continuación se describen los pasos a seguir para habilitar IRM en Exchange Online utilizando Azure RMS:

Paso 1:

Ingresamos al portal de administración de nuestro tenant de Office365 (https://portal.microsoftonline.com), con las credenciales de un administrador global:

Activar_IRM_Exchange_Online_1

Paso 2:

Desplegamos el menú izquierdo de la pantalla y seleccionamos Rights Management dentro de Service Settings:

Activar_IRM_Exchange_Online_2

Paso 3:

Ingresamos a Manage y podremos observar que la URL nos redirige hacia Azure, el cual tiene el servicio de RMS.

Activar_IRM_Exchange_Online_3

Activar_IRM_Exchange_Online_4

Paso 4:

Hacemos click en Activate y listo el servicio RMS está activo para todo el tenant, es decir podemos utilizarlo tanto en Exchange Online como en SharePoint Online haciendo las configuraciones necesarias que veremos a continuación:

Activar_IRM_Exchange_Online_5

Activar_IRM_Exchange_Online_6

Activar_IRM_Exchange_Online_7

Paso 5:

Luego nos dirigimos a una ventana de Powershell, desde un equipo cliente y nos conectamos a nuestro tenant de O365, precisamente a Exchange Online.

Para hacerlo, utilizamos el script de conexión el cual les mostré en publicaciones anteriores:

Conectar a Office 365 mediante Powershell”

Activar_IRM_Exchange_Online_8

Paso 6:

Ejecutamos los siguientes comandos:

Set-IRMConfiguration -RMSOnlineKeySharingLocation “https://sp-rms.sa.aadrm.com/TenantManagement/ServicePartner.svc”

La url del web service, varia depende de nuestra ubicación, pueden guiarse por la siguiente tabla:

Activar_IRM_Exchange_Online_9

Luego ejecutamos el siguiente comando:

Import-RMSTrustedPublishingDomain -RMSOnline -name “RMS Online”

Activar_IRM_Exchange_Online_10

Paso 7:

Probamos la configuración mediante el comando:

Test-IRMConfiguration -RMSOnline

Activar_IRM_Exchange_Online_11

Paso 8:

Una vez que verificamos la configuración, ejecutamos el último paso mediante el siguiente comando:

Set-IRMConfiguration -InternalLicensingEnabled $true

Activar_IRM_Exchange_Online_12

Listo!! La funcionalidad de IRM en Exchange Online utilizando Azure Rights Management Service esta activada.

Podemos ingresar al OWA de Office 365 y verificar que si ingresamos a Set permissions cuando creamos un nuevo correo, se despliegan todas las plantillas pre-armadas de IRM para proteger nuestra información.

Activar_IRM_Exchange_Online_13

Conclusión

 

Como podemos observar, habilitar IRM en Exchange Online haciendo uso de los servicios de Azure RMS, es muy simple y nos garantizamos que la información confidencial de la organización, se encuentre protegida correctamente y controlada en forma centralizada,, evitando tener que implementar la solución on-premise de Active Directory RMS, la cual requiere bastante más hardware y configuración para hacerlo funcionar correctamente.

Espero que les sea útil la información y puedan darle un buen uso a todas las bondades que ofrece Azure RMS junto a Office 365.

Fuente:

Information Rights Management in Exchange Online: https://technet.microsoft.com/en-us/library/jj983436%28v=exchg.150%29.aspx

What is Azure Rights Management?: https://technet.microsoft.com/en-us/library/jj585026.aspx

Requriments for Azure Rights Management: https://technet.microsoft.com/en-us/library/dn655136.aspx#BKMK_SupportedSubscriptions

Advertisements

One thought on “Habilitar IRM Exchange Online para utilizar Azure RMS | Office 365

Add yours

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Create a free website or blog at WordPress.com.

Up ↑

%d bloggers like this: