Azure Right Management Services pour sécuriser des contenus dans le cloud

Azure AD RMS est la transposition de AD RMS Server (Active Directory Right Management Services) pour le cloud. Cette nouvelle mouture sortie récemment en RTM, va vous permettre de bénéficier de la puissance et de la disponibilité du cloud pour la sécurisation de votre contenu tout en apposant une touche de gestion de droits d’une facilité déconcertante.

Architecture

La première chose que l’on évoque lorsque nous parlons d’AAD RMS, c’est la simplicité avec laquelle le système peut nous offrir des mécanismes de sécurisation de contenu reposant sur plusieurs supports en fournissant le moindre effort. En ce sens, AAD RMS permet aux utilisateurs de partager des documents dont la donnée est hautement critique puisque cette technologie crypte le contenu tout en prenant en compte les « politiques de sécurisation » associées. Cela permet, en outre, d’avoir une persistance de la donnée constante, de prévenir des envois accidentels du type « ne pas autoriser le transfert ou impression impossible » et de mettre en place une réelle expérience de partage aisée, sans pour autant craindre une mauvaise manipulation.

D’un point de vue plus concret, AAD RMS se décline pour deux utilisations :

• SharePoint Online
• SharePoint Server

Pour le cloud, nous parlons maintenant d’offre de Services. En ce sens, pour toutes les versions antérieures de SharePoint 2013 et Office 2013, RMS était exclusivement utilisée avec une installation d’un serveur RMS et fonctionnement de pair avec un outil client nommé « MSDRM ». Cet utilitaire exécuté en fond de tâche, écoute et est à la recherche de différentes politiques de sécurisation de vos documents. Celui-ci a évolué et se nomme désormais « MSIPC » pour les versions 2013 de SharePoint et Office, mais fonctionne dans un environnement de service. Ainsi, il permet de bénéficier de capacités de multi-tenant et de fournir de la qualité de service dans votre architecture WAC via WOPI (Web Application Open Interface).

Notons toutefois, que nous pouvons utiliser et consommer les différents services relatifs à la protection de l’information soit dans une architecture On-Premises, Fédérée et Online. Dans le cadre d’une utilisation purement On Premises, utiliser Azure RMS est possible il vous faudra cependant avoir recours à l’utilisation de RMS Connector. Exchange est aussi de la partie puisqu’il est supporté via ce connecteur aussi. Ajoutons de plus qu’en fonction de vos architectures existantes, les scénarios hybrides ne manquent pas.

Que puis-je faire avec ?

Sur les versions de types Serveur, vous pouvez utiliser le service avec les versions Standard et Entreprise. Sur Office 365, tous les plans E3/E4/A3/A4 incluent Azure RMS. Il vous est bien évidemment possible d’y souscrire si vous ne possédez pas la fonctionnalité. Son coût est de 1,50 € par licence utilisateur et par mois. Un point intéressant avec AAD RMS c’est sa facilité de mise en place dans un environnement Online. En effet, celui-ci s’active au moyen d’une fonctionnalité (payante) à déclencher sur votre tenant. Il vous restera par la suite à l’activer et à configurer les différents niveaux de « politique de sécurisation » que vous souhaitez.

AAD RMS est supporté sur les plateformes suivantes (crossplatform) : Windows, Android, IOS. Ce qui amène énormément de flexibilité et est pris en charge par Word, Excel, Powerpoint, Outlook et Foxit PDF mais vous pouvez aussi étendre cela grâce au SDK fourni.

De plus, pléthore de formats sont supportés. A cela, s’ajoute la capacité de chiffrer directement un fichier physiquement dans un format « .PFILE » rendant ainsi son utilisation plus souple (des outils téléchargeables gratuitement permettent de faire ces manipulations). L’outil IPViewer permet de lire ses données.

Plus concrètement pour un utilisateur, il vous est possible de :

• Protéger n’importe quel type de fichiers.
• Ouvrir et exécuter des fichiers protégés sur différents appareils.
• Partager des documents avec n’importe qui et ceux-ci peuvent s’enregistrer et profiter du service gratuitement.
• Partager des documents pour des personnes ayant un compte Microsoft ou Google.
• Profiter des capacités de RMS gratuitement si l’entreprise a déjà déployé le service.
Pour un utilisateur plus ITPRO, il vous est possible de :
• Garder mes données côté On-Prem si je ne souhaite pas bénéficier du cloud.
• Connaître comment mes données sont utilisées.
• Contrôler la clé de tenant RMS depuis On-Prem.

Politique de Restriction

Sa mise en place est très simple et se fait en quelques clics dans les environnements Online et Server. Voici dans l’écran en figure 2, les différentes possibilités de configuration des « politiques de sécurisation » des documents. Cette capture d’écran concerne une bibliothèque de documents.

SDK

Un autre point très important concerne la capacité à rendre compatibles les applications que vous développez pour AD RMS. Dans ce cadre, nous parlerons de version dit « Enlightened applications ». Celles-ci embarquent directement les mécanismes de lecture et d’écriture de RMS. De façon plus simpliste, l’utilisation du SDK se fait via des Service REST.

D’un point de vue plus détaillé, nous retrouvons les éléments suivants dans le tableau :

Conclusion

Résumer AAD RMS et AD RMS en quelques pages n’est pas chose aisée, d’autant plus que la technologie couvre plusieurs sujets (Server, Online, Exchange, Security, Cloud acceptance…) et plusieurs scénarios. Notons en plus que Microsoft permet de faire du BYOK et ainsi d’utiliser votre propre clé, logs au sein des DataCenter, stockée sur un module Thales HSM (Hardware Security Modules).

Avant d’aller un peu plus loin dans les démarches, je vous conseille fortement de visiter le blog Technet RMS où vous trouverez pléthore d’informations pour commencer votre approche.