Microsoft, insbesondere das Rights Management Team rund um Dan Plastina, hatte letztes Jahres (2013) die Verfügbarkeit rund um Azure Rights Management (Azure RMS) angekündigt.

Inzwischen habe ich hierzu einige Beiträge mit Schwerpunkt SharePoint geschrieben. Dadurch, dass auch in anderen Beiträgen die Aktivierung “einfach mal so” über die Oberfläche getätigt wird, könnte man denken, dieses sei auch in Exchange Online so einfach. Leider ist dem nicht so.

Um in Exchange Online ebenfalls eMails zu verschlüsseln, muss hierzu mit Powershell gearbeitet werden. Ich habe hier nun mal die verschiedenen Schritte an einem Demo Tenant nachgestellt. Das komplette Script ist weiter unten zum Kopieren vorhanden.

Doch worum geht es dabei eigentlich?

In den letzten Jahren wurden Rights Management oft immer in Verbindung mit Musiktiteln oder DVDs genannt, dies heisst auch DRM (Digital Rights Management). Gegenwärtige Diskussionen rund um den HTML5 Standard beschäftigen sich auch mit Rights Management. Doch geht es bei HTML5 eben auch darum, dass ich nicht nur (berechtigt) meine digitalen Erzeugnisse vor unbefugter Nutzung schützen möchte, sondern auch darum, unbefugten Empfängern von Informationen bzw. Informationsinhalten, am Lesen oder auswerten zu hindern! Denn hätte der “Verein” in den Staaten seine Dokumente mit Rights Management vor unbefugten Zugriff oder nicht erlaubter Weitergabe geschützt, dann wüssten wir zwar nicht so viel über die Tätigkeiten, aber der Inhalt wäre so nicht verbreitet worden. Doch vielleicht ist das auch eine bewusste Irreführung und die Informationen stimmen gar nicht? 😉 Wie dem auch sei. In der heutigen Welt der Digitalisierung und Verarbeitung von Informationen gibt es immer den Bedarf, das Wissen um den Inhalt einzuschränken. Teilweise werden uns durch nationale Gesetze oder internationale Normen diese Maßnahmen auch vorgeschrieben.

Microsoft hat nun schon sehr lange ein eigenständiges Produkt und die Lizenzierung in Form von “Active Directory Rights Management” für die on-premises Welt. Doch die Implementierung scheiterte häufig an hohen Kosten und manchmal auch an dem fehlenden Know-How.

In dieser Kerbe kann nun ein Cloud Dienst, wie der Azure RMS unterstützen. Bei unter 2,- EURO pro User und Monat als Anwender (Endbenutzer, also Empfänger, sind kostenfrei) ist auch das Thema nun für jeden erschwinglich und umsetzbar. Es gibt keine Ausrede mehr J

Doch bevor wieder das typische Schreien anfängt, das ist ja ein Cloud Dienst und meine Daten sind weg, möchte ich gleich beruhigen. Der einzige Zweck des Cloud Dienstes ist zum einen eine zentrale Verwaltung der Verschlüsselungszertifikate bereit Zustellen und den Empfänger einer verschlüsselten Datei oder eMail über einen zentralen Dienst zu authentifizieren. Microsoft als Azure RMS Betreiber erhält zu keinem Zeitpunkt (ungewollt) Einblick in die verschlüsselten Informationen. Es ist durchaus möglich, alle Daten nur lokal zu speichern und bearbeiten, ohne dass diese jemals das lokale Netzwerk verlassen hat. Und selbst in so einem Szenario scheitert eine einfache Umsetzung schon oft an fehlendem Wissen um eine PKI Infrastruktur geschweige die technischen Möglichkeiten, dies professionell zu betreiben.

Daher meine persönliche Bitte. Solltest Du als Leser(in) eine einfache Implementierung von RMS suchen, um zukünftig Deine Dateien, eMails oder SharePoint Inhalte zu verschlüsseln und vielleicht auch keine eigene AD Infrastruktur etc. besitzen, dann lese diesen Artikel zu Ende und teste die Umsetzung einfach mal.

Nun wollen wir anfangen.

Als Administrator bzw. Organisations Administrator Deines Office 365 oder Exchange Online Accounts, musst Du Deinen Arbeits PC zu weiteren Bearbeitung vorbereiten.
Dazu gehören die folgenden Tools:

Und dann kann es auch schon losgehen…

Bevor die ersten Befehle ausgeführt werden, hilft folgender Befehl bei der weiteren Nutzung (die PowerShell Console immer als Administrator öffnen)

set-executionpolicy remotesigned

 

Die weitere Beschreibung ist jetzt unter dem Bild zu finden:

Import-Module AADRM

Connect-AadrmService -Verbose

Diese Befehle importieren die PowerShell Kommandos in die laufende PowerShell Sitzung. Anschließend wird eine Verbindung zum Dienst aufgebaut.

 

$cred = Get-Credential

Diese Variable fragt nach dem aktuellen Benutzer des Online Dienstes.

Connect-MsolService -Credential $cred

Mit den eingegeben Daten wird zum Online Dienst die Verbindung aufgebaut und im Hintergrund die Tenant / Kundenumgebung direkt angesprochen.

 

$s=New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell -Credential $cred -Authentication Basic -AllowRedirection

Anschließend wird eine neue PowerShell Session zum Exchange Webdienst eingerichtet, damit die in den Anmeldeaten enthaltene Exchange Konfiguration genutzt werden kann.

 

$importresults = Import-PSSession $s -Verbose

Aktuelle Einstellungen oder Änderungen in den PowerShell Modulen werden nun geladen.

 

Und bei Bedarf auch ein Hinweis auf neuen Module oder Änderungen in den Modulen beschrieben.

 

Import-Module AADRM

Nun importieren wir zur Sicherheit nochmals die Azure RMS PowerShell Module

Connect-AadrmService -Verbose -Credential $cred

 Get-Aadrm

Wir verbinden uns in dieser PS Session nun wieder mit dem Dienst und fragen nach dem aktuellen Status. Dieser wird als “deaktiviert” gekennzeichnet.

Set-IRMConfiguration -RMSOnlineKeySharingLocation
https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc

# For regions outside North America, substitute .NA. with .EU. for the European Union, and .AP. for Asia

# e.g.: https://sp-rms.eu.aadrm.com/TenantManagement/ServicePartner.svc

# e.g.: https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc

Nun fragen wir nach der Konfiguration und setzen zugleich die URL für den Webservice zur weiteren Bearbeitung.

 

Get-IRMConfiguration

Hier erhalten wir nun die aktuelle Konfiguration dargestellt

 

Import-RMSTrustedPublishingDomain -RMSOnline -name “RMS Online”

Derzeit sind nur zwei vorkonfigurierte Regeln implementiert, welche in der Sammlung “RMS Online” enthalten sind. Eigene Regeln werden wohl im Laufe des Jahres möglich sein.

 

Test-IRMConfiguration -RMSOnline

Und nun testen die Einstellungen…

Set-IRMConfiguration –InternalLicensingEnabled $true

In der Regel ist allerdings die Lizenz deaktiviert. Mit dem obigen Befehl wird die Lizenz aktiviert.

Die Beschreibung des “Superusers” habe ich bewusst weggelassen, da hier noch einige Planungen notwendig sind. Die Gruppe Superuser hat nämlich dann tatsächlich das Recht, alle verschlüsselten Inhalte auch wieder zu entschlüsseln. Derzeit ist leider nicht möglich, den Einsatz weiter einzuschränken. Doch aus Compliance Sicht, ist die Gruppe durchaus notwendig. Mehr Informationen gibt es hier: http://technet.microsoft.com/de-de/library/jj585014.aspx

Und dann gibt es noch das Überwachungsprotokoll zum Herunterladen. Hier bitte das Ziel genau beachten, da unter Umständen einiges an Datenvolumen entstehen kann. http://technet.microsoft.com/de-de/library/jj585007.aspx

Sicher sind hier noch weitere Einstellungen möglich. Da sich aber immer wieder etwas ändern kann, möchte ich auf die TechNet Seite verweisen, wo alle Optionen aktuell aufgelistet sind.

Configuring Windows Azure Rights Management

Englisch: http://technet.microsoft.com/en-us/library/jj585002.aspx

Deutsch: http://technet.microsoft.com/de-de/library/jj585002.aspx

 

AZURE RMS PowerShell Script

 

The short URL of the present article is: http://wp.me/p1MQAv-Qb

Tagged with:

Filed under: AzureOffice 365 GridOffice365Security