Por Dan Plastina

Las organizaciones comparten información. La oferta de Servicios de Administración de Derechos (RMS) de Microsoft (RMS) ayuda a las organizaciones a mantener su información segura, tanto dentro como fuera de la organización, al proteger los documentos tanto en reposo como en movimiento.  La protección de la información es crítica y, en este momento, Microsoft está redoblando su inversión en RMS. Este documento resume nuestro nuevo conjunto de características, con un fuerte énfasis en los entregables de la vista previa de julio. Los siguientes enlaces complementan este documento con más información:

http://channel9.msdn.com/Events/TechEd/Europe/2013/WCA-B322 y WCA-B321
http://microsoft.com/rms y http://blogs.technet.com/b/rms

Microsoft RMS permite el flujo de datos protegidos en todos los dispositivos importantes, de todos los tipos de archivos importantes, y permite que estos archivos sean utilizados por todas las personas importantes en el círculo de colaboración de un usuario. Sí, RMS ahora protegerá cualquier tipo de archivo (no sólo los documentos de Microsoft Office), le permitirá acceder a ellos en muchos dispositivos (no sólo en los PCs con Windows), y le permitirá compartir con otras organizaciones (no sólo dentro de su organización). Además, los Profesionales de TI podrán realizar implementaciones fáciles y planificadas de RMS o, si no es implementado por el Profesional de TI, los Trabajadores de la Información (IWs) pueden adoptar RMS por su cuenta (denominado ‘RMS para personas’) de forma gratuita.

La suite de Administración de Derechos de Microsoft se implementa como un servicio de Windows Azure. Por razones de brevedad, internamente nos referimos a ésta como Azure RMS para que no se confunda con los Servicios de Administración de Derechos de Windows Server AD (también conocido como ADRMS). Se compone de un conjunto de aplicaciones de RMS que funciona en todos sus dispositivos comunes, un conjunto de kits de desarrollo de software, y las herramientas relacionadas. Al aprovechar Windows Azure Active Directory, el servicio Azure RMS actúa como un centro de confianza para colaboración segura donde una organización puede compartir información de manera fácil y segura con otras organizaciones sin instalaciones o configuraciones adicionales. Las otras organizaciones pueden ser clientes existentes de Azure RMS, pero si no, pueden utilizar una capacidad ‘RMS para personas’ gratis de Azure.

Esta oferta está en la vista previa a partir del 29 de julio seguida por su disponibilidad general en octubre. Siga nuestro blog en blogs.technet.com/b/rms para detalles. Visite también el sitio www.microsoft.com/rms actualizado.

El elefante en la habitación

No hay manera de escapar a las recientes noticias. Si todavía no ha visto el blog de Microsoft sobre este tema Microsoft’s blog on this matter, por favor tómese unos momentos para leerlo. En esta sección le vamos a pedir que tome en cuenta este complejo problema en capas y no idiomáticamente; por favor no tire esto por la borda ‘throw the baby out with the bathwater’. Específicamente, la capacidad de proteger y limitar el acceso a los archivos confidenciales a partir de:

A)     Una amplia base de sus propios empleados internos

B)     Un conjunto de organizaciones con las cuales decide colaborar

C)     Varios riesgos de exposición a los que está sujeto cuando los almacena en la nube

Cada una de estas capacidades plantea diferentes retos, y es más claro que nunca que ninguna solución puede abordar todos los posibles aspectos de la protección de datos en todas las situaciones posibles. Afortunadamente, usted puede resolver algunos de sus retos de protección de datos ahora.

Comencemos con algunos hechos acerca del servicio de Administración de datos alojado en Azure de Microsoft:

  • ·        Azure RMS está en el núcleo de la suite de Administración de Derechos y se basa en los servicios de Windows Azure.
  • ·        Un documento está protegido por RMS sin que el documento tenga que ser enviado al servicio de Azure.
  • ·        Ver o compartir los documentos protegidos se habilita sin que los documentos mismos sean enviados al servicio de Azure.
  • ·        Compartir un documento ocurre sin que el documento sea transmitido a través del servicio Azure RMS.

Compartido entre todas las declaraciones anteriores: El servicio Azure RMS nunca ve sus datos. Este es un malentendido común acerca de la pila de la tecnología RMS, y queremos dejar las cosas claras: el contenido real del cliente nunca es accesible a los servicios de protección de datos de RMS, ni para cualquier persona que obligue al servicio a hacer algo en su nombre.

Vamos a detallarlo con un diagrama de la empresa norteamericana ficticia Contoso, que comparte datos. Es una empresa muy servicial que comparte datos a través de cuatro modelos modernos de almacenamiento de datos:

1)      El documento se guarda en las instalaciones. Una suposición aquí es que la empresa tiene control total sobre su perímetro de seguridad, algo que no siempre es cierto. Con la salvedad de que el documento se considera como el más privado (nota: no dijimos ‘más seguro’).

2)      El documento se comparte con una segunda empresa denominada Fabrikam, una empresa ficticia. El documento se comparte, en privado, a través de lo que ambas partes consideran un medio seguro (por ejemplo: correo electrónico, Almacenamiento USB).

3)      El documento reside en cualquier aplicación SaaS de un proveedor de la nube. A partir de ahí, se comparte con otros.

4)      El documento reside en el almacenamiento de cualquier proveedor de la nube. A partir de ahí, se comparte con otros.

 

En estos cuatro casos (1/2/3/4 anteriores) el Profesional de TI en Contoso, no Microsoft, era el encargado de tomar las decisiones de la ubicación de almacenamiento y de la política de transporte de transferencia (aunque todos sabemos que los usuarios suelen tomar sus propias decisiones). Si bien esas opciones de ubicación y política tienen consecuencias relacionadas con la exposición, ninguna de ellas resulta en que el servicio Azure RMS tenga acceso a los datos. Microsoft RMS es independiente del transporte de archivos y del almacenamiento de archivos. Opera en los archivos sólo cuando están ‘activados’ (protegidos, abiertos/consumidos).

Al atar esto de nuevo con los retos A/B/C anteriores, la oferta de RMS es muy capaz para manejar las necesidades de protección en reposo del escenario A (protección dentro de la organización) y del escenario B (protección de una comunicación privada entre organizaciones).

Para el escenario C (datos almacenados en la nube; modelos de almacenamiento 3 y 4 anteriores) las consideraciones son más complejas debido a que los datos han salido del perímetro de confianza de Contoso, y del perímetro de confianza parcial de Fabrikam. Ahora hay un nuevo actor que debe proporcionar un perímetro de almacenamiento de confianza al Director de Seguridad. El frenesí de los medios de comunicación sobre la protección de datos ha convertido esto en un estado de desconfianza hacia la nube, sin embargo, los lectores inteligentes saben perfectamente que el problema  es mucho más sutil que este punto de vista estrecho. Nosotros, el equipo de RMS, a menudo hablamos con clientes cuyo propio perímetro ha sido desafiado por ‘huéspedes no deseados’. En este contexto, un Profesional de TI nos dijo recientemente: “Ustedes tienen mucho más que perder (su reputación; sus muchos clientes de Saas/IaaS) que yo, debo reconocer el esfuerzo que invierten para establecer la seguridad y confianza de la nube”. Este Profesional de TI tiene razón, estamos invirtiendo un gran esfuerzo.

Los componentes de Microsoft RMS son examinados de cerca ya que juegan un papel fundamental en el marco general de la protección segura de documentos. Específicamente, ellos habilitan lo siguiente:

A)     Los SDKs cliente protegen los datos dentro del entorno de tiempo de ejecución que están ejecutando. Este es normalmente un PC (Windows o Mac) o un Dispositivo móvil (Windows RT, Teléfono Windows, iOS, o Android). El dispositivo también puede ser un servicio de servidor Windows (por ejemplo: Exchange), o una oferta de valor agregado de un proveedor de soluciones (por ejemplo: Prevención de Fuga de Datos). Esos tiempos de ejecución utilizan el SDK de RMS para interactuar con el servicio Azure RMS.

B)     El servidor Azure RMS, cuando responde a las solicitudes del SDK cliente, es responsable del intercambio seguro de claves de cifrado con el SDK para poder proteger los datos sin tener que ir al servicio Azure RMS.

C)     Una vez protegido, el servicio Azure RMS juega un papel clave en el consumo de documentos:

  1. a.      El usuario debe ser autenticado – Azure RMS solicita un token de autorización del proveedor de identidad correspondiente. Generalmente este es AD federado en las instalaciones o AD de Windows Azure, pero pronto buscaremos ofrecer soporte para la Cuenta de Microsoft (también conocido como LiveID) y los IDs de Google.
  2. b.      El usuario debe ser autorizado – Azure RMS sirve como un punto de decisión unificado de la política y un punto de aplicación de la política para seguir las políticas establecidas por su organización. Esto se logra haciendo que el software RMS procese la política del documento asociada con un documento protegido, y luego decida si user@Fabrikam.com debe tener permiso para ver el documento.
  3. c.      Todo uso debe estar registrado – Toda actividad del usuario, exitosa o no, se registra en los registros de Azure RMS permitiendo a su personal de TI auditar el acceso. Ahora estamos trabajando con terceros para presentar informes destilados y/o tableros de estos registros.

Esperamos que esta sección le haya proporcionado una idea de las garantías que ofrecemos y del poder que tiene para tomar decisiones clave. Ahora pasemos a describir RMS.

Promesas de los nuevos servicios de Administración de Derechos de Microsoft

Usuarios:

  • ·        Puedo proteger cualquier tipo de archivo
  • ·        Puedo consumir los archivos protegidos en los dispositivos importantes para mí
  • ·        Puedo compartir con cualquiera
    • o   Inicialmente, puedo compartir con cualquier usuario de negocios
    • o   Con el tiempo, puedo compartir con cualquier persona (por ejemplo:  Cuenta de MS, IDs de Google en CY14)
    • ·        Puedo inscribirme para una capacidad de RMS gratuita  si mi empresa aún tiene que implementar RMS

Profesional de TI:

  • ·        Puedo guardar mis datos en las instalaciones si todavía no quiero moverme a la nube
  • ·        Estoy consciente de cómo son tratados mis datos protegidos
  • ·        Puedo controlar mis ‘claves de inquilino’ de RMS desde en las instalaciones
  • ·        Puedo confiar en Microsoft, en colaboración con los Socios, para soluciones completas

Estas promesas se combinan para crear dos escenarios muy poderosos:

1)      Los usuarios pueden proteger cualquier tipo de archivo. Después pueden compartir el archivo con alguien en su organización, en otra organización, o con usuarios externos. Pueden estar seguros de que el destinatario podrá utilizarlo.

2)      Los Profesionales de TI tienen la flexibilidad en su elección de ubicación de almacenamiento para sus datos y los Directores de Seguridad tienen la flexibilidad de mantener políticas a través de estas diversas clases de almacenamiento. Se pueden guardar en las instalaciones, colocar en un almacén de datos empresarial de la nube como SharePoint, o se pueden colocar prácticamente en cualquier lugar, y permanecer a salvo (por ejemplo: unidad de memoria, unidad de nube personal).

 

Las siguientes secciones describen las distintas capacidades y experiencias.

Los usuarios y su experiencia en la protección de documentos

Las siguientes instantáneas son de las solicitudes que se han puesto a disposición de aquellos que han sido aceptados en la vista previa. Si desea aprender más sobre Azure RMS, por favor solicite participar en la vista previa request participation in the preview.

Los documentos están bien soportados por RMS. Hay varios aspectos importantes:

  • ·        Los usuarios pueden proteger cualquier tipo de documento. La API de RMS utilizada por la Aplicación RMS o las aplicaciones iluminadas para RMS harán todo lo posible para proteger el archivo en el formato más adecuado.
    • o   Aplicaciones iluminadas para RMS nativas: DOC, DOCX, XLS, XLSX, PPT, PPTX, PDF
    • o   La ‘RMS App’ gratuita, una aplicación iluminada en sí: TXT, XML, JPG, JPEG, TIFF, GIF, BMP
    • o   Los archivos genéricamente protegidos son ‘envueltos’ y lanzados en la aplicación registrada.
      Por ejemplo: Un archivo de Photoshop™ se convierte en MyDrawing.PSD.PFILE. Esta protección ofrece control de acceso sin restricciones de uso adicionales. A pesar de la falta de restricciones de uso, no debe subestimar el valor de la autorización, la educación, y la capacidad para expirar el contenido.
  • ·        El usuario puede publicar o consumir documentos protegidos en Windows para PCs, Windows para tabletas, Windows para teléfonos, iOS, Android, y Apple OSX. Los sitios Web y otros sistemas operativos pueden participar en el ecosistema de RMS a través de las APIs del servicio RESTful.
  • ·        Los usuarios pueden compartir estos documentos protegidos con usuarios en su organización, otras organizaciones (B2B), usuarios que actúan como personas (B2I; el soporte para la Cuenta de Microsoft e IDs de Google IDs estará disponible más adelante).
  • ·        El consumo de contenido con derechos protegidos es gratis. (Más información a continuación en la parte de precios).

La protección de un documento se experimenta de mejor manera dentro de una aplicación iluminada para RMS. A medida que los desarrolladores de aplicaciones utilizan nuestro nuevo SDK, proporcionarán una experiencia de usuario (UX) consistente ya que la UX está integrada en el propio SDK. Fuera de una aplicación iluminada para RMS, el usuario puede proteger un documento utilizando la integración de RMS App en Windows y Apple OSX, así como a través de las extensiones de la barra de herramientas de Office. En términos generales, la capacidad está Protegida en el lugar o Compartir Protegida, con una funcionalidad especial para capturar fotos protegidas desde los dispositivos móviles que tienen cámaras.

  • ·        Protección (en el lugar): Este flujo protegerá el archivo en el lugar. El usuario puede posteriormente tomar otras acciones para compartir el archivo, de ser necesario. Este flujo es más adecuado para flujos de protección de archivos personales o impulsados por la nube. El usuario tendrá la opción de proteger con una plantilla organizacional, una plantilla de usuario anteriormente guardada, o crear una nueva plantilla ad-hoc.

  • ·        Compartir Protegido: Este flujo protegerá una copia del archivo seleccionado que deja el archivo original en su estado anterior (que también puede ser protegido). Este flujo incluye al usuario que direcciona el documento a las personas (direcciones de correo electrónico), y selecciona los permisos correspondientes. Tras el envío, un correo electrónico sin protección será enviado con un documento protegido. El usuario puede personalizar el correo electrónico antes de enviarlo.

  • ·        Compartir Protegido (Cámara): Este flujo pronto estará disponible en los dispositivos móviles. Se le permitirá al usuario tomar una foto y aceptarla o tomarla de nuevo. Una vez seleccionada, se aplicará el flujo ‘Compartir Protegido’ anterior y se adjuntará una imagen JPG protegida.

Aquí presentamos un ejemplo visual de compartir un archivo confidencial:

Cuando esté en Word, puede guardar un documento e invocar COMPARTIR PROTEGIDO (agregado por la aplicación RMS)



Nota: Un lector astuto se dará cuenta de que agregamos un botón aquí en lugar de reutilizar lo que ya está presente en Office. Dicho claramente, necesitábamos alterar los comportamientos fundamentales como la interfaz, el soporte del SDK de RMS subyacente, y la autenticación. Este nuevo punto de entrada refleja la interfaz que verá en las vistas del SO base, así como en las aplicaciones de los ISVs.

A continuación le aparecerá la pantalla de protección. Esta pantalla será proporcionada por el SDK y por lo tanto será la misma en todas las aplicaciones iluminadas para RMS:

 

Cuando haya terminado de direccionar y seleccionar los permisos, debe invocar ENVIAR. Se creará un correo electrónico que está listo para ser enviado, pero lo puede editar primero:

 

Los usuarios y su experiencia de consumo de documentos

A su debido tiempo, el destinatario del correo electrónico anterior simplemente abre el archivo adjunto para verlo. Este archivo adjunto, dependiendo del tipo de archivo, invocará la aplicación correcta. Dependiendo de la vista previa de RMS, su sistema lanzará una de Word, Excel o PowerPoint para esos archivos respectivos, el Lector Foxit PDF para PDFs protegidos, o la RMS App para texto, imágenes, o archivos protegidos genéricamente (PFILEs).

Si el usuario tiene una identidad compatible con RMS, podrá iniciar sesión. Aquí puede ver un correo electrónico con un PJPG (JPG protegido). Al abrirlo, se le pide al usuario iniciar sesión y luego aparece la imagen.

 

Nota: En la Vista Previa de Julio, las aplicaciones móviles no están disponibles al público. Se nos impide ponerlas en sus manos hasta el momento en que hayan sido aceptadas por las tiendas de aplicaciones respectivas. Les pedimos que confíen en nosotros, ya que las hemos utilizado para producir las capturas de pantalla anteriores. El proceso de aceptación de distribución en las tiendas está en marcha y será liberado en/antes de nuestra fecha de disponibilidad general en octubre.

Por último, en términos de permitir un amplio alcance, los destinatarios que no están en una organización con soporte para RMS se pueden registrar para (Administración de Derechos de Microsoft para personas) Microsoft Rights Management for individuals. Esta oferta de auto-servicio permite la adopción temprana a nivel de departamento de los servicios RMS con necesidad limitada para soporte de TI. Es una oferta gratuita. Esta oferta permite al usuario consumir y producir contenido protegido por RMS. El proceso de registro es muy sencillo:

1)      Al usuario se le solicita el nombre de correo electrónico de su organización: joe@contoso.com. En este momento se hacen varias verificaciones antes de crear una cuenta de RMS ad-hoc. En particular, comprobamos si la organización matriz ya tiene un inquilino de Windows Azure Active Directory, si el usuario ya tenía una cuenta, etc. De no ser así, al usuario se le proporciona una cuenta ad-hoc de forma gratuita. La siguiente sección del Profesional de TI ofrece más información, así como asesoría adicional orientada a TI.

2)      A fin de validar la propiedad del usuario del ID citado, se le envía un correo electrónico (No se muestra a continuación).

3)      Una vez que se demuestre la propiedad, se le solicita al usuario proporcionar un nombre, una contraseña, y un país para que se le proporcione la cuenta. Estos RMSs de auto-servicio para las cuentas individuales serán revalidados sobre una base mensual para los usuarios.

4)      Al finalizar, se solicita al usuario que instale la aplicación RMS. La aplicación RMS requiere permisos administrativos para ser instalada y se deben instalar para poder consumir contenido protegido en versiones anteriores de Microsoft Office.

En forma visual: (Hecha a la medida)

 

Pruébela en vivo en https://portal.aadrm.com. Regístrese de verdad, o use el flujo de demo (<name>@contoso.com)

Los usuarios y su experiencia de correo electrónico

Una clase importante de información es el correo electrónico. Los usuarios pueden tanto consumir como proteger el correo electrónico dentro de clientes y servidores iluminados de correo electrónico. Microsoft Outlook 2013, cuando está respaldado por Exchange 2013, funciona con las ofertas de Azure RMS directamente de la caja y ofrece nuevas y fantásticas innovaciones fantastic new innovations que habilitan la protección automática de RMS. El conector RMS (que se cubre más adelante) también habilita las ofertas en las instalaciones de Microsoft Exchange para funcionar con Azure RMS. Exchange Online, como parte de la suite de Office 365, funciona directamente con RMS alojado en Azure.  Esta suite de ofertas permite medios muy útiles para proteger el correo electrónico dentro de su empresa.

Estas ofertas de correo electrónico no están sujetas a RMS para las ofertas Individuales – son capacidades de la aplicación iluminada para RMS. RMS por sí mismo no ofrece ninguna capacidad de protección para el correo electrónico.

Profesionales de TI y sus experiencias

En unas cuantas páginas esta sección no puede empezar a hacer justicia para todas las partes en movimiento dentro de ésta. Hemos grabado dos videos de 75 minutos que creemos que hacen un trabajo mucho mejor: WCA-B322 y WCA-B321. En cambio, aquí nos vamos a centrar en ofrecer una descripción general rápida. El sitio www.microsoft.com/rms también incluye una gran cantidad de información relacionada.

Topologías de implementación

En general, los videos arriba mencionados expresan tres clases de organizaciones, y luego describen las capacidades de RMS asociadas, y las relaciones con otras cargas de trabajo. En forma abstracta, la siguiente diapositiva muestra las ofertas ejemplares de infraestructura (Correo electrónico, Portales, Almacenamiento), y su relación con los tipos de implementación de RMS.

 

 

Listo para la Nube

Las organizaciones listas para la nube encontrarán a Office 365 muy atractivo. La oferta combinada ha simplificado todos los aspectos de la configuración. Dentro de ese entorno, RMS es muy fácil de habilitar – un botón e integración profunda con Exchange, SharePoint, y toda la suite de Office 2013 se puede habilitar. A través de la aplicación(es) RMS, los usuarios de Office 365 también se benefician de la protección genérica de cualquier tipo de archivo y de la capacidad para colaborar con organizaciones o personas que no tienen Office 365. Esta es, por mucho, la manera más fácil para empezar a trabajar con RMS y está disponible para su compra ahora.

 

Dudoso de la Nube
Las organizaciones que están dudosas de la nube por lo general tienen menos impulso para moverse a la nube en este momento. Reutilizando el diagrama de arriba, una organización que duda de la nube es una que vive dentro de un área cuadriculada. Por las razones arriba mencionadas, esperamos el uso de Azure RMS, pero excluimos el uso de las ofertas IaaS/SaaS de la nube. En otras palabras, un cliente que duda de la nube en este momento optará por las opciones 1) y 2) sólo como se muestra en la siguiente ilustración. Con el tiempo, esperamos que se reduzca la duda y así más clientes comenzarán a salir del área cuadriculada para clases selectivas de servicios.

 

Aceptación de la Nube

Este tipo de organización simplemente equilibra entre estar Listo para la Nube y Dudoso de la Nube.

Características, y cómo se relacionan

En el centro tenemos el servicio de Administración de Derechos de Microsoft Microsoft Rights Management service. Este servicio es alojado en Azure y maneja todos los deberes secundarios de la oferta global. Este servicio Azure RMS se basa en Windows Azure Active Directory y en los servicios asociados (Sincronización del Directorio y Federación).

El servicio Azure RMS requiere almacenamiento para las claves de alto valor del inquilino high value tenant keys en el núcleo de RMS. Nuestro servicio de administración de claves (KMS) almacena estas claves RMS del inquilino con extrema seguridad gracias a su dependencia en los HSMs compatibles con FIPS probados de la industria de nuestro socio Thales (aprenda más: módulos de seguridad de hardware (HSM)) hardware security modules). El KMS también ofrece servicios relacionados como la capacidad Traiga-Su-Propia-Clave que permite a los clientes traer su propia clave. Por último, tanto el servicio Azure RMS como el servicio KMS requieren registro y eso se implementa utilizando nuestro servicio de Registro casi en tiempo real.  Próximamente tendremos disponible un documento estratégico complementario sobre esta oferta.

En el núcleo de nuestra historia híbrida está el Conector de Administración de Derechos. El ‘conector’ pretende ser un servidor de AD RMS para las cargas de trabajo de Exchange y SharePoint en las instalaciones. Posteriormente envía todas las solicitudes al servicio RMS alojado de Azure. El conector es más fácil de implementar que la oferta actual de AD RMS ya que sólo se requiere un par de ellos (para alta disponibilidad) para una organización, y estos se pueden implementar en las VMs/máquinas existentes. No se requieren servidores SQL tolerantes a fallas.

Configuraciones comunes

La configuración base para todas las demás permite que usted pueda crear un inquilino de Azure Active Directory para su organización (o que reclame uno que haya sido creado en su nombre por sus usuarios de RMS para personas). Las licencias compradas para el servicio RMS pueden ser posteriormente habilitadas para los usuarios en su inquilino. ¡Ahora tiene RMS!

Como parte de esta base, si usted representa a una organización más grande, usted integrará capas en otros servicios integrados tales como: Sincronización del directorio de Azure AD, federación de confianza de ADFS, HSM con nuestro traiga su propia clave, registro casi en tiempo real, y otras capacidades futuras ajustadas para las empresas.

Antes de detallar estos servicios en capas, revisaremos primero algunas implementaciones comunes:

Correo electrónico en las instalaciones, dentro de su empresa

En el lado del servidor, la mayoría de ustedes tendrá una implementación de Exchange sin ningún tipo de protección de la información. Nosotros le permitimos agregar rápidamente el conector de Administración de Derechos de Microsoft a sus implementaciones de Exchange y configurarlo para interactuar con el servicio RMS. El resultado de esta topología es que su servidor de Exchange ahora es completamente capaz de RMS al transmitir tráfico de protección al servicio RMS. De acuerdo con la sección inicial, sus datos NUNCA van a la nube. Esto es tan sencillo que no hay excusa para no hacerlo.

En el lado del cliente, la mayoría de ustedes tendrá una versión reciente de Office: 2010 ó 2013. El cliente 2013 reconocerá automáticamente el servicio RMS y en el cliente 2010 se creará automáticamente para trabajar con el servicio RMS una vez que la aplicación RMS haya sido instalada en su PC. Si está ejecutando Office 2007 y no se puede cambiar a una versión más reciente, háganoslo saber let us know. Microsoft Office para Mac no soporta la oferta de servicio RMS basado en Azure en este momento. Sin embargo, la aplicación RMS para Mac le permitirá enviar por correo electrónico documentos protegidos desde el Buscador Apple.

En el lado del dispositivo móvil, hay dos tipos de ofertas. La primera está en el mercado y se basa en los dispositivos para Exchange Active Sync (EAS). Algunos de ellos (Teléfono Windows y Samsung sí, pero no Apple) soportan las capacidades de administración de derechos de EAS, y permiten leer y responder a correos electrónicos protegidos por RMS. Le pedimos a esos clientes que necesitan soporte para RMS en iPhones/iPads que ofrezcan retroalimentación (quejas) a su gerente de cuenta móvil / Apple. La segunda oferta se centra en clientes nativos de correo iluminados para RMS con protección total en reposo y en movimiento. Esta oferta sólo puede comenzar una vez que liberemos nuestros SDKs para desarrolladores.

Uso compartido de archivos en las instalaciones, dentro de su empresa

En el lado del servidor, muchos de ustedes tendrán SharePoint. La configuración de conector Exchange + RMS anterior también funciona con SharePoint por lo que seguirá el mismo modelo.

También en el lado del servidor, la mayoría de ustedes tendrá servidores de archivo Windows. La oferta  Microsoft FCI/DAC offering también es consciente de RMS RMS aware. También existen scripts de PowerShell que conectarán FCI/DAC al servicio RMS basado en Azure.

En el lado del cliente, tanto el soporte IRM nativo en Microsoft Office como nuestra aplicación RMS habilitan RMS. Cabe destacar que la aplicación RMS ofrece protección para tipos de archivos distintos a Word, Excel, y PowerPoint. Las extensiones de la barra de botones de Office para la aplicación RMS colocan esta capacidad al alcance de todos los usuarios.

Colaboración externa

La aplicación RMS habilita un uso compartido de punto a punto muy sencillo con la aplicación RMS como se describe arriba. El beneficio de punto a punto es que el transporte no importa – usted puede utilizar SkyDrive™, DropBox™, almacenamiento USB portátil, correo electrónico, FTP, o torrentes de eventos P2P. Este patrón de uso sólo requiere implementar la aplicación RMS en su escritorio y teléfonos móviles. Desde allí puede utilizar los botones en la aplicación o el shell de su sistema operativo (por ejemplo: Explorador de Archivos de Windows o Buscador Mac). En los siguientes detalles también sugerimos cómo se puede preparar para recibir contenido protegido incluso si decide no licenciar a sus usuarios para enviar contenido protegido. Esto es importante e inteligente de tener en cuenta.

En el lado del dispositivo móvil, nuestra aplicación RMS soporta los comportamientos básicos (y agregará más pronto).

Además de lo anterior, las aplicaciones iluminadas para RMS pueden ofrecer de igual manera capacidades integradas de uso compartido de archivos. Estas se pueden basar en el cliente, en el servidor, o incluso en el web.

Office 365

Microsoft Office 365 permite a sus empleados acceso prácticamente en cualquier lugar a las aplicaciones más recientes de Office, ofrece servicios avanzados de TI basados en la nube, y lo hace a un costo predecible. Esta suite en línea está iluminada para RMS, y habilitar RMS es insignificante. Aquí presentamos un video de 3 minutos 3 minute video que muestra cómo habilitar RMS en Office 365, cómo activar la funcionalidad DLP consciente de RMS de Exchange, y cómo habilitar una biblioteca Segura de SharePoint que ha comprobado que los documentos están protegidos por RMS a su salida.  

Uso del servicio de Administración de Derechos de Microsoft

Aquí presentamos una breve introducción sobre los detalles de cómo comenzar con cada una de las diferentes partes móviles antes mencionadas.

Habilite el servicio de Administración de Derechos alojado por  Azure

Los clientes existentes de Office 365 están listos para empezar. Ellos pueden habilitar RMS enable RMS con un sencillo cuadro de verificación en su portal de administración. Aquellos que actualmente no utilizan Office 365 no pueden todavía[1] comprar el SKU independiente de Azure RMS, pero son bienvenidos a inscribirse para una prueba de Office 365 E3 Office 365 E3 trial gratuita y usar las características de RMS.

Cuentas de Windows Azure AD

Con un inquilino Windows Azure AD a la mano, usted puede habilitar la sincronización del inquilino a través de la Sincronización del Directorio Directory Sync y la federación a través de la capacidad de federación (o sincronización de contraseñas) (o password sync). Hay varias razones para habilitar proactivamente estas capacidades incluso si sólo es para recibir contenido. Obtiene valor al activar Windows Azure AD y al habilitar DirSync sin ser el titular de la licencia de RMS. Estas son:

1)      Utilizar DirSync permite a sus usuarios recibir contenido protegido de empresas externas sin que cada una de ellas deba crear una cuenta ‘RMS para personas’ ad-hoc.

2)      La federación permite a sus usuarios iniciar sesión contra tener que crear una cuenta ad-hoc. Esto es importante ya que elimina la necesidad de una cuenta ad-hoc temporal con vigencia de un mes, y al mismo tiempo le permite aplicar políticas de contraseñas en la organización.

3)      Independientes de Azure RMS, los servicios de Windows Azure AD y la autenticación federada son soportados por una gran cantidad de otras aplicaciones slew of other applications que probablemente están en uso dentro de su organización (y éstas también podrían beneficiarse del inicio de sesión único).

4)      Windows Azure AD ofrece marcas del inquilino (logotipos) al administrador del inquilino.

A falta de poder configurar proactivamente lo anterior, la oferta de Azure RMS para personas permitirá a las personas utilizar los servicios de Microsoft RMS. Una cuenta ad-hoc ‘RMS para personas’ es simplemente un inquilino Azure AD que se crea para la organización específica (no se comparte entre organizaciones), y se agrega la cuenta de usuario. No hay un administrador para estos inquilinos. Si otros usuarios de la misma organización crean cuentas ad-hoc, éstas se colocan en el mismo inquilino ‘sin cabeza’. Como se mencionó anteriormente, estas cuentas de usuario son re-validadas mensualmente. Por ejemplo:

Joe@Contoso.com se inscribe    à          Se crea el inquilino CONTOSO.COM
                                                                          La cuenta de usuario de Joe se agrega al inquilino CONTOSO.COM
                                                                          A la cuenta de Joe se le da un SKU de RMS para personas.

Jane@Contoso.com se inscribe  à          Existe el inquilino CONTOSO.COM y se utiliza de nuevo
                                                                          La cuenta de usuario de Jane se agrega al inquilino CONTOSO.COM
                                                                          A la cuenta de Jane se le da un SKU de RMS para personas.

Para el momento en que salgamos de la vista previa, un Profesional de TI podrá ‘convertir’ a estos usuarios a usuarios con licencia sin ningún impacto para el usuario o el inquilino. Una vez hecho esto, el Profesional de TI tendrá capacidades completas de administración para estos usuarios. Esté al pendiente de la actualización de este documento a medida que estas capacidades son liberadas.

Habilitar Traiga-Su-Propia-Clave

RMS tiene una clave muy importante, la clave de inquilino. Los Directores de Seguridad de la Información (CISOs) a menudo necesitan utilizar una clave de su propia procedencia – a veces por razones de cumplimiento, a veces porque están migrando de su AD RMS en las instalaciones. Con la característica Traiga-Su-Propia-Clave (BYOK), los CISOs generarían una clave en sus instalaciones, utilizando las herramientas de su elección, en cumplimiento con sus propias políticas. Esta clave sería posteriormente importada de manera segura al HSM de Thales™ que usamos en nuestro centro de datos. El cliente tiene la certeza de que los operadores de Microsoft no pueden ver o filtrar la clave durante la importación, ni durante el estado constante de funcionamiento.

Opcionalmente, el cliente puede optar por empujar su clave al HSM del servicio Azure RMS con un tiempo de vida de 4 horas. Su infraestructura en las instalaciones realizará este empuje automatizado cada dos horas. A esta capacidad la llamamos ‘Rejuvenecimiento de claves’ y estará disponible casi a la terminación de la vista previa de RMS en septiembre. Si el CISO o Profesional de TI interrumpe el ingreso de las claves, el servicio Azure RMS deja de funcionar, y al CISO se le garantiza que Microsoft no tiene acceso a su clave en la memoria caché una vez que ésta expira. De nuevo, los Servicios de Administración de Derechos de Microsoft nunca ven sus datos [Nota del Editor: perdón por ser tan repetitivo en este punto].

Habilitar el Registro del Cliente en Tiempo real

Los Directores de Seguridad pueden obtener registros del servicio Azure RMS. Lo hacen al comprar almacenamiento de Windows Azure, y configurar (a través de PowerShell) el servicio Azure RMS para escribir las entradas del registro en ese almacenamiento. De esta manera, el Profesional de TI está en control de cuántos datos mantiene en los registros y quién (por ejemplo: servicios de informes de terceros; auditores; etc.) puede acceder a estos registros.

Implementar la Aplicación RMS para PCs y dispositivos móviles

Las aplicaciones RMS estarán disponibles a través de todas las tiendas adecuadas, así como en el flujo de inscripción de RMS para personas, y posteriormente recibirán una confirmación por correo electrónico. Los Profesionales de TI también pueden descargar el paquete MSI del centro de descargas de Microsoft RMS y hacer uso de las opciones de instalación silenciosa, y de las políticas de grupo de AD dirigidas a los Profesionales de TI.

Implementar el Conector híbrido; Configurar Exchange y SharePoint

La implementación de un conector RMS de alta disponibilidad requiere dos o más VMs/servidores. Estos roles funcionan entre bosques. La instalación consta de unas cuantas pantallas sencillas. Una vez configurado y conectado al servicio Azure RMS, el Profesional de TI para el conector RMS trabajará con los administradores de Exchange y SharePoint para comprender cuáles máquinas deben recibir acceso a los servicios de transmisión del Conector. Esto es simplemente una tarea para dar permiso a los servidores de usar el conector; todo lo demás es automático.

Habilitar el Control de Acceso Dinámico

El rol de Control de Acceso Dinámico Dynamic Access Control (DAC/FCI) del servidor Windows es capaz de funcionar tanto con AD RMS como con Azure RMS. Para éste último, está disponible un script de PowerShell PowerShell script is available para conectar los dos.

Habilitar Office 365 Exchange Online

Exchange Online está consciente de la existencia de Azure RMS cuando se habilita. Una vez que se suministra la clave de inquilino RMS a Exchange Online, el Profesional de TI puede hacer uso de la oferta avanzada de Exchange Online DLP Exchange Online DLP offer dentro de la suite de productos de Office 365 en general.

Nota: El uso de la característica BYOK no está actualmente soportado con Exchange Online. El Profesional de TI tendrá dos opciones al momento de utilizar los dos servicios juntos. La opción preferida será utilizar la característica de clave de inquilino RMS generada por el software que está integrada en Azure RMS. Esta oferta suministra automáticamente a Exchange Online la clave RMS para su uso. La opción alternativa es que el Profesional de TI instale un servidor AD RMS con una clave de software, y después siga los pasos the steps para importar su TPD a Exchange Online.

Habilitar Office 365 SharePoint Online

Habilitar bibliotecas Seguras de SharePoint Online SharePoint Online Secure libraries es simplemente una tarea que incluye crear una biblioteca, configurarla para que sea una Biblioteca Segura, y ajustar algunas opciones sencillas para satisfacer sus necesidades. Por ejemplo: El dueño de la biblioteca puede elegir cancelar las políticas de protección para usar un grupo de seguridad para protección (contra protección individual). Esto permite a un usuario descargar un archivo y compartirlo con otras personas dentro del grupo de seguridad especificado sin forzar una viaje de regreso a SharePoint.

Resumen de las ofertas y actividades relacionadas con el Profesional de TI

En este punto hemos introducido las partes clave de una implementación completa de Administración de Derechos de Microsoft. Se proporcionarán más detalles a las organizaciones TAP seleccionadas, y más adelante a toda la comunidad. Si desea aprender más sobre RMS, por favor solicite participar en la vista previa request participation in the preview.


Cronología para los servicios Azure RMS

La vista previa tendrá lugar de finales de Julio a finales de septiembre con organizaciones seleccionadas. La liberación del servicio actualizado de Administración de Derechos de Microsoft está programada para principios de octubre. 

La oferta inicial de Azure RMS se centra en organizaciones que no tienen AD RMS implementado. Dicho esto, Azure RMS soportará la coexistencia de la implementación existente de AD RMS del cliente, pero durante el primer o segundo trimestre del envío debemos eliminar la capa adicional de complejidad que surgirá con la coexistencia de dos entornos RMS. ¡Pedimos disculpas de antemano por lo que podría parecer que ignoramos a nuestros clientes leales de AD RMS!

Por varias razones, favorecemos encarecidamente el uso de la oferta de Administración de Derechos alojados por Azure sobre la oferta de AD RMS existente. Estas son: colaboración B2B sin fricciones, ofertas ricas de dispositivos móviles, agilidad mucho más rápida al agregar nuevas capacidades, soporte para cuentas de usuario RMS ad-hoc, cuentas de usuario para los destinatarios de sus documentos confidenciales, y facilidad de implementación.

Comprar el servicio de Administración de Derechos de Microsoft

RMS se puede comprar directamente a través del portal web de Office 365 Office 365 web portal o a través de su gerente de cuenta de Microsoft.

Disponible ahora

  • ·        RMS se puede comprar directamente a través del portal de Office 365 como una licencia de suscripción de usuario.
  • ·        La suscripción cubre el uso por parte de toda la aplicación iluminada para RMS (por ejemplo: Office, Office 365, Foxit PDF). Es un modelo “Pague una vez, úselo con todas las aplicaciones iluminadas para RMS”.
  • ·        El costo es de  $2/usuario/mes.
  • ·        El consumo de contenido protegido por derechos es gratis. Se requiere una licencia para proteger el contenido, el usuario la puede adquirir manualmente o a través de un servicio en nombre del usuario.
  • ·        Azure RMS se puede comprar como parte de las ofertas de la suite de Office 365
    • o   Se incluye en los SKUs de E3/E4 y A3/A4
    • o   Está disponible como un add-on para muchos otros SKUs de Office 365.
    • ·        Azure RMS se puede comprar de manera independiente para su uso con el Conector Azure RMS o con aplicaciones iluminadas para RMS de terceros.
    • ·        Azure RMS estará disponible a través de los programas de Licenciamiento por Volumen de Microsoft Enterprise (EA/EAS/EES)
    • ·        La suscripción de Azure RMS incluirá los derechos para usar AD RMS en las instalaciones
    • ·        Los clientes de Enterprise CAL (ECAL) pueden agregar el servicio Azure RMS

Disponible en Otoño de 2013

 

Si tiene alguna pregunta, por favor póngase en contacto con su contacto de ventas de Microsoft.

Desarrolladores

Los ISVs de aplicaciones pueden iluminar sus aplicaciones y soluciones con RMS de manera fácil y rápida utilizando la plataforma de desarrollador de Administración de Derechos de Microsoft en todos los dispositivos y sistemas operativos importantes.

Hay algunos conceptos importantes que vale la pena mencionar en esta breve introducción:

Codifíquelo una vez, úselo en todas partes

Los desarrolladores de aplicaciones iluminadas para RMS escriben código una vez para proteger los documentos. El RMS SDK se encarga de todos los detalles subyacentes sobre el entorno y las topologías del cliente, expiración del documento, renovaciones de certificados, actualizaciones de políticas, y más.  Nuestro código muestra y la guía para comenzar hacen que sea extremadamente fácil para usted habilitar RMS.

Las aplicaciones iluminadas para RMS son más deseadas debido a que hacen cumplir los derechos de protección

Las aplicaciones iluminadas para RMS permiten a las personas proteger y consumir contenido. El contenido es protegido al utilizar el cifrado y se debe descifrar antes de que pueda ser consumido. Cuando el archivo es protegido, la persona aplica permisos al archivo, tales como la capacidad para imprimir o editar. Su aplicación deberá cumplir con estos derechos. El SDK facilitará la mayor parte de los flujos de protección y toda la inicialización, pero su aplicación debe cumplir la con solicitud de aplicación de permisos correspondiente. Nuestros SDKs facilitan el cumplimiento de los derechos al proporcionar APIs para controlar los permisos permissions tales como imprimir, guardar, re-enviar, etc. Para más detalles, consulte aquí here.

¡Los nuevos SDKs hacen todo el trabajo de la interfaz específica de RMS por usted!

Las aplicaciones de dispositivos móviles utilizarán los nuevos SDKs v3 new v3 SDKs y se beneficiarán de las interfaces proporcionadas por Microsoft para los comportamientos de consumo y protección. Esto no sólo ahorra tiempo a los ISVs para desarrollar soporte de protección, sino que también proporciona compatibilidad avanzada para las nuevas características de protección UX. La Aplicación RMS, desarrollada por Microsoft, es un buen ejemplo de la UX que proporciona/proporcionará el SDK.

Las aplicaciones RMS basadas en el escritorio Windows utilizan nuestro poderoso SDK v2.1 powerful v2.1 SDK que todavía no ofrece flujos de consumo y protección integrados. Lo hará en poco tiempo.

Ahora es fácil agregar protección RMS a sus soluciones

Hay una clase de aplicaciones que es bastante fácil de iluminar con RMS. Estas aplicaciones son creadas por ‘proveedores de soluciones’ o Profesionales de TI, y habilitan las aplicaciones que necesitan ya sea proteger o desproteger archivos. Estas son: agentes de Prevención de Fuga de Datos (DLP), indexadores de búsqueda, software anti-virus, sistemas de Administración de Dispositivos Móviles (MDM), y sistemas de Administración de Documentos. Estos utilizarán la nueva API de Archivo File API disponible como parte del SDK v2.1 SDK y/o PowerShell para proteger y desproteger documentos de manera fácil y silenciosa en la plataforma Windows (cliente o servidor).

Un archivo protegido es un archivo diferente cuando persiste

La manera más fácil para implementar la protección de su formato de archivo es simplemente utilizar la capacidad de nuestro SDK para crear un contenedor de Archivo Protegido (PFILE). Éste adjunta su archivo, de manera tal que su archivo XYZ está protegido como un archivo pXYZ, todo desde una API que se basa en el flujo. Nuestro formato PFile permite a su aplicación participar inmediatamente en el ecosistema RMS existente.

Personalizar su propio formato de archivo iluminado para RMS es más complejo. También evita que todo el ecosistema de socios de soluciones pueda proteger sus formatos de archivo en sus soluciones debido a que todos ellos utilizarán la API DE ARCHIVO que se describe arriba (que puede proteger cualquier archivo en formato PFILE mientras respeta sus extensiones de archivo).  Sin embargo, si sus necesidades requieren que actualice su formato de archivo existente con información de RMS, nuestros SDKs soportan su caso de uso.

Acceso a RESTful API

El SDK de RMS no ofrece SDKs para plataformas como Linux, RIM BlackBerry o las plataformas de sitios web que son demasiado numerosas para que nosotros podamos implementar bibliotecas enriquecidas. Para estas plataformas, proporcionamos soporte para REST API, documentación de protocolo y un conjunto de ejemplos de código (incluyendo código de fuente abierta) para facilitar el desarrollo de aplicaciones. Si una plataforma crece lo suficientemente importante para usted, vamos a considerar la adición de soporte.

 

Para cerrar

Este documento se creó para:

1)      Expresar el trabajo nuevo que hemos hecho en RMS; ¡Esperamos que esté de acuerdo en que hicimos mucho!

2)      Explicar el valor de esta oferta en un momento en el que proteger la información es cada vez más importante

3)      Ofrecer un punto de vista subjetivo sobre las acciones que puede tomar ahora, en lugar de esperar por la solución que cura todo

4)      Ofrecer una visión general de los elementos móviles que intervienen en nuestra oferta.

Esperamos haber alcanzado su objetivo, o por lo menos acercarnos a él. Si desea averiguar más sobre RMS, por favor solicite participar en la vista previa request participation in the preview. Si tiene ideas sobre cómo se podría mejorar este documento, por favor tómese un momento para compartirlas con nuestro equipo our team.

 

¡Gracias por leer este documento!

Atentamente,
   Dan Plastina en nombre de nuestro equipo de RMS



[1] Póngase en contacto con  AskIPTeam@microsoft.com si necesita comprarlo en este momento.


Administración de Derechos (RMS) de Microsoft (RMS) ayuda a las organizaciones
a mantener su información segura, tanto dentro como fuera de la organización,
al proteger los documentos tanto en reposo como en movimiento.  La protección de la información es crítica y,
en este momento, Microsoft está redoblando su inversión en RMS. Este documento
resume nuestro nuevo conjunto de características, con un fuerte énfasis en los
entregables de la vista previa de julio. Los siguientes enlaces complementan
este documento con más información:

 

 

http://channel9.msdn.com/Events/TechEd/Europe/2013/WCA-B322 y WCA-B321
http://microsoft.com/rms y http://blogs.technet.com/b/rms

Microsoft RMS permite el flujo de datos protegidos en todos los dispositivos importantes, de todos los tipos de archivos importantes, y permite que estos archivos sean utilizados por todas las personas importantes en el círculo de colaboración de un usuario. Sí, RMS ahora protegerá cualquier tipo de archivo (no sólo los documentos de Microsoft Office), le permitirá acceder a ellos en muchos dispositivos (no sólo en los PCs con Windows), y le permitirá compartir con otras organizaciones (no sólo dentro de su organización). Además, los Profesionales de TI podrán realizar implementaciones fáciles y planificadas de RMS o, si no es implementado por el Profesional de TI, los Trabajadores de la Información (IWs) pueden adoptar RMS por su cuenta (denominado ‘RMS para personas’) de forma gratuita.

La suite de Administración de Derechos de Microsoft se implementa como un servicio de Windows Azure. Por razones de brevedad, internamente nos referimos a ésta como Azure RMS para que no se confunda con los Servicios de Administración de Derechos de Windows Server AD (también conocido como ADRMS). Se compone de un conjunto de aplicaciones de RMS que funciona en todos sus dispositivos comunes, un conjunto de kits de desarrollo de software, y las herramientas relacionadas. Al aprovechar Windows Azure Active Directory, el servicio Azure RMS actúa como un centro de confianza para colaboración segura donde una organización puede compartir información de manera fácil y segura con otras organizaciones sin instalaciones o configuraciones adicionales. Las otras organizaciones pueden ser clientes existentes de Azure RMS, pero si no, pueden utilizar una capacidad ‘RMS para personas’ gratis de Azure.

Esta oferta está en la vista previa a partir del 29 de julio seguida por su disponibilidad general en octubre. Siga nuestro blog en blogs.technet.com/b/rms para detalles. Visite también el sitio www.microsoft.com/rms actualizado.

El elefante en la habitación

No hay manera de escapar a las recientes noticias. Si todavía no ha visto el blog de Microsoft sobre este tema Microsoft’s blog on this matter, por favor tómese unos momentos para leerlo. En esta sección le vamos a pedir que tome en cuenta este complejo problema en capas y no idiomáticamente; por favor no tire esto por la borda ‘throw the baby out with the bathwater’. Específicamente, la capacidad de proteger y limitar el acceso a los archivos confidenciales a partir de:

A)     Una amplia base de sus propios empleados internos

B)     Un conjunto de organizaciones con las cuales decide colaborar

C)     Varios riesgos de exposición a los que está sujeto cuando los almacena en la nube

Cada una de estas capacidades plantea diferentes retos, y es más claro que nunca que ninguna solución puede abordar todos los posibles aspectos de la protección de datos en todas las situaciones posibles. Afortunadamente, usted puede resolver algunos de sus retos de protección de datos ahora.

Comencemos con algunos hechos acerca del servicio de Administración de datos alojado en Azure de Microsoft:

  • ·        Azure RMS está en el núcleo de la suite de Administración de Derechos y se basa en los servicios de Windows Azure.
  • ·        Un documento está protegido por RMS sin que el documento tenga que ser enviado al servicio de Azure.
  • ·        Ver o compartir los documentos protegidos se habilita sin que los documentos mismos sean enviados al servicio de Azure.
  • ·        Compartir un documento ocurre sin que el documento sea transmitido a través del servicio Azure RMS.

Compartido entre todas las declaraciones anteriores: El servicio Azure RMS nunca ve sus datos. Este es un malentendido común acerca de la pila de la tecnología RMS, y queremos dejar las cosas claras: el contenido real del cliente nunca es accesible a los servicios de protección de datos de RMS, ni para cualquier persona que obligue al servicio a hacer algo en su nombre.

Vamos a detallarlo con un diagrama de la empresa norteamericana ficticia Contoso, que comparte datos. Es una empresa muy servicial que comparte datos a través de cuatro modelos modernos de almacenamiento de datos:

1)      El documento se guarda en las instalaciones. Una suposición aquí es que la empresa tiene control total sobre su perímetro de seguridad, algo que no siempre es cierto. Con la salvedad de que el documento se considera como el más privado (nota: no dijimos ‘más seguro’).

2)      El documento se comparte con una segunda empresa denominada Fabrikam, una empresa ficticia. El documento se comparte, en privado, a través de lo que ambas partes consideran un medio seguro (por ejemplo: correo electrónico, Almacenamiento USB).

3)      El documento reside en cualquier aplicación SaaS de un proveedor de la nube. A partir de ahí, se comparte con otros.

4)      El documento reside en el almacenamiento de cualquier proveedor de la nube. A partir de ahí, se comparte con otros.

 

En estos cuatro casos (1/2/3/4 anteriores) el Profesional de TI en Contoso, no Microsoft, era el encargado de tomar las decisiones de la ubicación de almacenamiento y de la política de transporte de transferencia (aunque todos sabemos que los usuarios suelen tomar sus propias decisiones). Si bien esas opciones de ubicación y política tienen consecuencias relacionadas con la exposición, ninguna de ellas resulta en que el servicio Azure RMS tenga acceso a los datos. Microsoft RMS es independiente del transporte de archivos y del almacenamiento de archivos. Opera en los archivos sólo cuando están ‘activados’ (protegidos, abiertos/consumidos).

Al atar esto de nuevo con los retos A/B/C anteriores, la oferta de RMS es muy capaz para manejar las necesidades de protección en reposo del escenario A (protección dentro de la organización) y del escenario B (protección de una comunicación privada entre organizaciones).

Para el escenario C (datos almacenados en la nube; modelos de almacenamiento 3 y 4 anteriores) las consideraciones son más complejas debido a que los datos han salido del perímetro de confianza de Contoso, y del perímetro de confianza parcial de Fabrikam. Ahora hay un nuevo actor que debe proporcionar un perímetro de almacenamiento de confianza al Director de Seguridad. El frenesí de los medios de comunicación sobre la protección de datos ha convertido esto en un estado de desconfianza hacia la nube, sin embargo, los lectores inteligentes saben perfectamente que el problema  es mucho más sutil que este punto de vista estrecho. Nosotros, el equipo de RMS, a menudo hablamos con clientes cuyo propio perímetro ha sido desafiado por ‘huéspedes no deseados’. En este contexto, un Profesional de TI nos dijo recientemente: “Ustedes tienen mucho más que perder (su reputación; sus muchos clientes de Saas/IaaS) que yo, debo reconocer el esfuerzo que invierten para establecer la seguridad y confianza de la nube”. Este Profesional de TI tiene razón, estamos invirtiendo un gran esfuerzo.

Los componentes de Microsoft RMS son examinados de cerca ya que juegan un papel fundamental en el marco general de la protección segura de documentos. Específicamente, ellos habilitan lo siguiente:

A)     Los SDKs cliente protegen los datos dentro del entorno de tiempo de ejecución que están ejecutando. Este es normalmente un PC (Windows o Mac) o un Dispositivo móvil (Windows RT, Teléfono Windows, iOS, o Android). El dispositivo también puede ser un servicio de servidor Windows (por ejemplo: Exchange), o una oferta de valor agregado de un proveedor de soluciones (por ejemplo: Prevención de Fuga de Datos). Esos tiempos de ejecución utilizan el SDK de RMS para interactuar con el servicio Azure RMS.

B)     El servidor Azure RMS, cuando responde a las solicitudes del SDK cliente, es responsable del intercambio seguro de claves de cifrado con el SDK para poder proteger los datos sin tener que ir al servicio Azure RMS.

C)     Una vez protegido, el servicio Azure RMS juega un papel clave en el consumo de documentos:

  1. a.      El usuario debe ser autenticado – Azure RMS solicita un token de autorización del proveedor de identidad correspondiente. Generalmente este es AD federado en las instalaciones o AD de Windows Azure, pero pronto buscaremos ofrecer soporte para la Cuenta de Microsoft (también conocido como LiveID) y los IDs de Google.
  2. b.      El usuario debe ser autorizado – Azure RMS sirve como un punto de decisión unificado de la política y un punto de aplicación de la política para seguir las políticas establecidas por su organización. Esto se logra haciendo que el software RMS procese la política del documento asociada con un documento protegido, y luego decida si user@Fabrikam.com debe tener permiso para ver el documento.
  3. c.      Todo uso debe estar registrado – Toda actividad del usuario, exitosa o no, se registra en los registros de Azure RMS permitiendo a su personal de TI auditar el acceso. Ahora estamos trabajando con terceros para presentar informes destilados y/o tableros de estos registros.

Esperamos que esta sección le haya proporcionado una idea de las garantías que ofrecemos y del poder que tiene para tomar decisiones clave. Ahora pasemos a describir RMS.

Promesas de los nuevos servicios de Administración de Derechos de Microsoft

Usuarios:

  • ·        Puedo proteger cualquier tipo de archivo
  • ·        Puedo consumir los archivos protegidos en los dispositivos importantes para mí
  • ·        Puedo compartir con cualquiera
    • o   Inicialmente, puedo compartir con cualquier usuario de negocios
    • o   Con el tiempo, puedo compartir con cualquier persona (por ejemplo:  Cuenta de MS, IDs de Google en CY14)
    • ·        Puedo inscribirme para una capacidad de RMS gratuita  si mi empresa aún tiene que implementar RMS

Profesional de TI:

  • ·        Puedo guardar mis datos en las instalaciones si todavía no quiero moverme a la nube
  • ·        Estoy consciente de cómo son tratados mis datos protegidos
  • ·        Puedo controlar mis ‘claves de inquilino’ de RMS desde en las instalaciones
  • ·        Puedo confiar en Microsoft, en colaboración con los Socios, para soluciones completas

Estas promesas se combinan para crear dos escenarios muy poderosos:

1)      Los usuarios pueden proteger cualquier tipo de archivo. Después pueden compartir el archivo con alguien en su organización, en otra organización, o con usuarios externos. Pueden estar seguros de que el destinatario podrá utilizarlo.

2)      Los Profesionales de TI tienen la flexibilidad en su elección de ubicación de almacenamiento para sus datos y los Directores de Seguridad tienen la flexibilidad de mantener políticas a través de estas diversas clases de almacenamiento. Se pueden guardar en las instalaciones, colocar en un almacén de datos empresarial de la nube como SharePoint, o se pueden colocar prácticamente en cualquier lugar, y permanecer a salvo (por ejemplo: unidad de memoria, unidad de nube personal).

 

Las siguientes secciones describen las distintas capacidades y experiencias.

Los usuarios y su experiencia en la protección de documentos

Las siguientes instantáneas son de las solicitudes que se han puesto a disposición de aquellos que han sido aceptados en la vista previa. Si desea aprender más sobre Azure RMS, por favor solicite participar en la vista previa request participation in the preview.

Los documentos están bien soportados por RMS. Hay varios aspectos importantes:

  • ·        Los usuarios pueden proteger cualquier tipo de documento. La API de RMS utilizada por la Aplicación RMS o las aplicaciones iluminadas para RMS harán todo lo posible para proteger el archivo en el formato más adecuado.
    • o   Aplicaciones iluminadas para RMS nativas: DOC, DOCX, XLS, XLSX, PPT, PPTX, PDF
    • o   La ‘RMS App’ gratuita, una aplicación iluminada en sí: TXT, XML, JPG, JPEG, TIFF, GIF, BMP
    • o   Los archivos genéricamente protegidos son ‘envueltos’ y lanzados en la aplicación registrada.
      Por ejemplo: Un archivo de Photoshop™ se convierte en MyDrawing.PSD.PFILE. Esta protección ofrece control de acceso sin restricciones de uso adicionales. A pesar de la falta de restricciones de uso, no debe subestimar el valor de la autorización, la educación, y la capacidad para expirar el contenido.
  • ·        El usuario puede publicar o consumir documentos protegidos en Windows para PCs, Windows para tabletas, Windows para teléfonos, iOS, Android, y Apple OSX. Los sitios Web y otros sistemas operativos pueden participar en el ecosistema de RMS a través de las APIs del servicio RESTful.
  • ·        Los usuarios pueden compartir estos documentos protegidos con usuarios en su organización, otras organizaciones (B2B), usuarios que actúan como personas (B2I; el soporte para la Cuenta de Microsoft e IDs de Google IDs estará disponible más adelante).
  • ·        El consumo de contenido con derechos protegidos es gratis. (Más información a continuación en la parte de precios).

La protección de un documento se experimenta de mejor manera dentro de una aplicación iluminada para RMS. A medida que los desarrolladores de aplicaciones utilizan nuestro nuevo SDK, proporcionarán una experiencia de usuario (UX) consistente ya que la UX está integrada en el propio SDK. Fuera de una aplicación iluminada para RMS, el usuario puede proteger un documento utilizando la integración de RMS App en Windows y Apple OSX, así como a través de las extensiones de la barra de herramientas de Office. En términos generales, la capacidad está Protegida en el lugar o Compartir Protegida, con una funcionalidad especial para capturar fotos protegidas desde los dispositivos móviles que tienen cámaras.

  • ·        Protección (en el lugar): Este flujo protegerá el archivo en el lugar. El usuario puede posteriormente tomar otras acciones para compartir el archivo, de ser necesario. Este flujo es más adecuado para flujos de protección de archivos personales o impulsados por la nube. El usuario tendrá la opción de proteger con una plantilla organizacional, una plantilla de usuario anteriormente guardada, o crear una nueva plantilla ad-hoc.

  • ·        Compartir Protegido: Este flujo protegerá una copia del archivo seleccionado que deja el archivo original en su estado anterior (que también puede ser protegido). Este flujo incluye al usuario que direcciona el documento a las personas (direcciones de correo electrónico), y selecciona los permisos correspondientes. Tras el envío, un correo electrónico sin protección será enviado con un documento protegido. El usuario puede personalizar el correo electrónico antes de enviarlo.

  • ·        Compartir Protegido (Cámara): Este flujo pronto estará disponible en los dispositivos móviles. Se le permitirá al usuario tomar una foto y aceptarla o tomarla de nuevo. Una vez seleccionada, se aplicará el flujo ‘Compartir Protegido’ anterior y se adjuntará una imagen JPG protegida.

Aquí presentamos un ejemplo visual de compartir un archivo confidencial:

Cuando esté en Word, puede guardar un documento e invocar COMPARTIR PROTEGIDO (agregado por la aplicación RMS)



Nota: Un lector astuto se dará cuenta de que agregamos un botón aquí en lugar de reutilizar lo que ya está presente en Office. Dicho claramente, necesitábamos alterar los comportamientos fundamentales como la interfaz, el soporte del SDK de RMS subyacente, y la autenticación. Este nuevo punto de entrada refleja la interfaz que verá en las vistas del SO base, así como en las aplicaciones de los ISVs.

A continuación le aparecerá la pantalla de protección. Esta pantalla será proporcionada por el SDK y por lo tanto será la misma en todas las aplicaciones iluminadas para RMS:

 

Cuando haya terminado de direccionar y seleccionar los permisos, debe invocar ENVIAR. Se creará un correo electrónico que está listo para ser enviado, pero lo puede editar primero:

 

Los usuarios y su experiencia de consumo de documentos

A su debido tiempo, el destinatario del correo electrónico anterior simplemente abre el archivo adjunto para verlo. Este archivo adjunto, dependiendo del tipo de archivo, invocará la aplicación correcta. Dependiendo de la vista previa de RMS, su sistema lanzará una de Word, Excel o PowerPoint para esos archivos respectivos, el Lector Foxit PDF para PDFs protegidos, o la RMS App para texto, imágenes, o archivos protegidos genéricamente (PFILEs).

Si el usuario tiene una identidad compatible con RMS, podrá iniciar sesión. Aquí puede ver un correo electrónico con un PJPG (JPG protegido). Al abrirlo, se le pide al usuario iniciar sesión y luego aparece la imagen.

 

Nota: En la Vista Previa de Julio, las aplicaciones móviles no están disponibles al público. Se nos impide ponerlas en sus manos hasta el momento en que hayan sido aceptadas por las tiendas de aplicaciones respectivas. Les pedimos que confíen en nosotros, ya que las hemos utilizado para producir las capturas de pantalla anteriores. El proceso de aceptación de distribución en las tiendas está en marcha y será liberado en/antes de nuestra fecha de disponibilidad general en octubre.

Por último, en términos de permitir un amplio alcance, los destinatarios que no están en una organización con soporte para RMS se pueden registrar para (Administración de Derechos de Microsoft para personas) Microsoft Rights Management for individuals. Esta oferta de auto-servicio permite la adopción temprana a nivel de departamento de los servicios RMS con necesidad limitada para soporte de TI. Es una oferta gratuita. Esta oferta permite al usuario consumir y producir contenido protegido por RMS. El proceso de registro es muy sencillo:

1)      Al usuario se le solicita el nombre de correo electrónico de su organización: joe@contoso.com. En este momento se hacen varias verificaciones antes de crear una cuenta de RMS ad-hoc. En particular, comprobamos si la organización matriz ya tiene un inquilino de Windows Azure Active Directory, si el usuario ya tenía una cuenta, etc. De no ser así, al usuario se le proporciona una cuenta ad-hoc de forma gratuita. La siguiente sección del Profesional de TI ofrece más información, así como asesoría adicional orientada a TI.

2)      A fin de validar la propiedad del usuario del ID citado, se le envía un correo electrónico (No se muestra a continuación).

3)      Una vez que se demuestre la propiedad, se le solicita al usuario proporcionar un nombre, una contraseña, y un país para que se le proporcione la cuenta. Estos RMSs de auto-servicio para las cuentas individuales serán revalidados sobre una base mensual para los usuarios.

4)      Al finalizar, se solicita al usuario que instale la aplicación RMS. La aplicación RMS requiere permisos administrativos para ser instalada y se deben instalar para poder consumir contenido protegido en versiones anteriores de Microsoft Office.

En forma visual: (Hecha a la medida)

 

Pruébela en vivo en https://portal.aadrm.com. Regístrese de verdad, o use el flujo de demo (<name>@contoso.com)

Los usuarios y su experiencia de correo electrónico

Una clase importante de información es el correo electrónico. Los usuarios pueden tanto consumir como proteger el correo electrónico dentro de clientes y servidores iluminados de correo electrónico. Microsoft Outlook 2013, cuando está respaldado por Exchange 2013, funciona con las ofertas de Azure RMS directamente de la caja y ofrece nuevas y fantásticas innovaciones fantastic new innovations que habilitan la protección automática de RMS. El conector RMS (que se cubre más adelante) también habilita las ofertas en las instalaciones de Microsoft Exchange para funcionar con Azure RMS. Exchange Online, como parte de la suite de Office 365, funciona directamente con RMS alojado en Azure.  Esta suite de ofertas permite medios muy útiles para proteger el correo electrónico dentro de su empresa.

Estas ofertas de correo electrónico no están sujetas a RMS para las ofertas Individuales – son capacidades de la aplicación iluminada para RMS. RMS por sí mismo no ofrece ninguna capacidad de protección para el correo electrónico.

Profesionales de TI y sus experiencias

En unas cuantas páginas esta sección no puede empezar a hacer justicia para todas las partes en movimiento dentro de ésta. Hemos grabado dos videos de 75 minutos que creemos que hacen un trabajo mucho mejor: WCA-B322 y WCA-B321. En cambio, aquí nos vamos a centrar en ofrecer una descripción general rápida. El sitio www.microsoft.com/rms también incluye una gran cantidad de información relacionada.

Topologías de implementación

En general, los videos arriba mencionados expresan tres clases de organizaciones, y luego describen las capacidades de RMS asociadas, y las relaciones con otras cargas de trabajo. En forma abstracta, la siguiente diapositiva muestra las ofertas ejemplares de infraestructura (Correo electrónico, Portales, Almacenamiento), y su relación con los tipos de implementación de RMS.

 

 

Listo para la Nube

Las organizaciones listas para la nube encontrarán a Office 365 muy atractivo. La oferta combinada ha simplificado todos los aspectos de la configuración. Dentro de ese entorno, RMS es muy fácil de habilitar – un botón e integración profunda con Exchange, SharePoint, y toda la suite de Office 2013 se puede habilitar. A través de la aplicación(es) RMS, los usuarios de Office 365 también se benefician de la protección genérica de cualquier tipo de archivo y de la capacidad para colaborar con organizaciones o personas que no tienen Office 365. Esta es, por mucho, la manera más fácil para empezar a trabajar con RMS y está disponible para su compra ahora.

 

Dudoso de la Nube
Las organizaciones que están dudosas de la nube por lo general tienen menos impulso para moverse a la nube en este momento. Reutilizando el diagrama de arriba, una organización que duda de la nube es una que vive dentro de un área cuadriculada. Por las razones arriba mencionadas, esperamos el uso de Azure RMS, pero excluimos el uso de las ofertas IaaS/SaaS de la nube. En otras palabras, un cliente que duda de la nube en este momento optará por las opciones 1) y 2) sólo como se muestra en la siguiente ilustración. Con el tiempo, esperamos que se reduzca la duda y así más clientes comenzarán a salir del área cuadriculada para clases selectivas de servicios.

 

Aceptación de la Nube

Este tipo de organización simplemente equilibra entre estar Listo para la Nube y Dudoso de la Nube.

Características, y cómo se relacionan

En el centro tenemos el servicio de Administración de Derechos de Microsoft Microsoft Rights Management service. Este servicio es alojado en Azure y maneja todos los deberes secundarios de la oferta global. Este servicio Azure RMS se basa en Windows Azure Active Directory y en los servicios asociados (Sincronización del Directorio y Federación).

El servicio Azure RMS requiere almacenamiento para las claves de alto valor del inquilino high value tenant keys en el núcleo de RMS. Nuestro servicio de administración de claves (KMS) almacena estas claves RMS del inquilino con extrema seguridad gracias a su dependencia en los HSMs compatibles con FIPS probados de la industria de nuestro socio Thales (aprenda más: módulos de seguridad de hardware (HSM)) hardware security modules). El KMS también ofrece servicios relacionados como la capacidad Traiga-Su-Propia-Clave que permite a los clientes traer su propia clave. Por último, tanto el servicio Azure RMS como el servicio KMS requieren registro y eso se implementa utilizando nuestro servicio de Registro casi en tiempo real.  Próximamente tendremos disponible un documento estratégico complementario sobre esta oferta.

En el núcleo de nuestra historia híbrida está el Conector de Administración de Derechos. El ‘conector’ pretende ser un servidor de AD RMS para las cargas de trabajo de Exchange y SharePoint en las instalaciones. Posteriormente envía todas las solicitudes al servicio RMS alojado de Azure. El conector es más fácil de implementar que la oferta actual de AD RMS ya que sólo se requiere un par de ellos (para alta disponibilidad) para una organización, y estos se pueden implementar en las VMs/máquinas existentes. No se requieren servidores SQL tolerantes a fallas.

Configuraciones comunes

La configuración base para todas las demás permite que usted pueda crear un inquilino de Azure Active Directory para su organización (o que reclame uno que haya sido creado en su nombre por sus usuarios de RMS para personas). Las licencias compradas para el servicio RMS pueden ser posteriormente habilitadas para los usuarios en su inquilino. ¡Ahora tiene RMS!

Como parte de esta base, si usted representa a una organización más grande, usted integrará capas en otros servicios integrados tales como: Sincronización del directorio de Azure AD, federación de confianza de ADFS, HSM con nuestro traiga su propia clave, registro casi en tiempo real, y otras capacidades futuras ajustadas para las empresas.

Antes de detallar estos servicios en capas, revisaremos primero algunas implementaciones comunes:

Correo electrónico en las instalaciones, dentro de su empresa

En el lado del servidor, la mayoría de ustedes tendrá una implementación de Exchange sin ningún tipo de protección de la información. Nosotros le permitimos agregar rápidamente el conector de Administración de Derechos de Microsoft a sus implementaciones de Exchange y configurarlo para interactuar con el servicio RMS. El resultado de esta topología es que su servidor de Exchange ahora es completamente capaz de RMS al transmitir tráfico de protección al servicio RMS. De acuerdo con la sección inicial, sus datos NUNCA van a la nube. Esto es tan sencillo que no hay excusa para no hacerlo.

En el lado del cliente, la mayoría de ustedes tendrá una versión reciente de Office: 2010 ó 2013. El cliente 2013 reconocerá automáticamente el servicio RMS y en el cliente 2010 se creará automáticamente para trabajar con el servicio RMS una vez que la aplicación RMS haya sido instalada en su PC. Si está ejecutando Office 2007 y no se puede cambiar a una versión más reciente, háganoslo saber let us know. Microsoft Office para Mac no soporta la oferta de servicio RMS basado en Azure en este momento. Sin embargo, la aplicación RMS para Mac le permitirá enviar por correo electrónico documentos protegidos desde el Buscador Apple.

En el lado del dispositivo móvil, hay dos tipos de ofertas. La primera está en el mercado y se basa en los dispositivos para Exchange Active Sync (EAS). Algunos de ellos (Teléfono Windows y Samsung sí, pero no Apple) soportan las capacidades de administración de derechos de EAS, y permiten leer y responder a correos electrónicos protegidos por RMS. Le pedimos a esos clientes que necesitan soporte para RMS en iPhones/iPads que ofrezcan retroalimentación (quejas) a su gerente de cuenta móvil / Apple. La segunda oferta se centra en clientes nativos de correo iluminados para RMS con protección total en reposo y en movimiento. Esta oferta sólo puede comenzar una vez que liberemos nuestros SDKs para desarrolladores.

Uso compartido de archivos en las instalaciones, dentro de su empresa

En el lado del servidor, muchos de ustedes tendrán SharePoint. La configuración de conector Exchange + RMS anterior también funciona con SharePoint por lo que seguirá el mismo modelo.

También en el lado del servidor, la mayoría de ustedes tendrá servidores de archivo Windows. La oferta  Microsoft FCI/DAC offering también es consciente de RMS RMS aware. También existen scripts de PowerShell que conectarán FCI/DAC al servicio RMS basado en Azure.

En el lado del cliente, tanto el soporte IRM nativo en Microsoft Office como nuestra aplicación RMS habilitan RMS. Cabe destacar que la aplicación RMS ofrece protección para tipos de archivos distintos a Word, Excel, y PowerPoint. Las extensiones de la barra de botones de Office para la aplicación RMS colocan esta capacidad al alcance de todos los usuarios.

Colaboración externa

La aplicación RMS habilita un uso compartido de punto a punto muy sencillo con la aplicación RMS como se describe arriba. El beneficio de punto a punto es que el transporte no importa – usted puede utilizar SkyDrive™, DropBox™, almacenamiento USB portátil, correo electrónico, FTP, o torrentes de eventos P2P. Este patrón de uso sólo requiere implementar la aplicación RMS en su escritorio y teléfonos móviles. Desde allí puede utilizar los botones en la aplicación o el shell de su sistema operativo (por ejemplo: Explorador de Archivos de Windows o Buscador Mac). En los siguientes detalles también sugerimos cómo se puede preparar para recibir contenido protegido incluso si decide no licenciar a sus usuarios para enviar contenido protegido. Esto es importante e inteligente de tener en cuenta.

En el lado del dispositivo móvil, nuestra aplicación RMS soporta los comportamientos básicos (y agregará más pronto).

Además de lo anterior, las aplicaciones iluminadas para RMS pueden ofrecer de igual manera capacidades integradas de uso compartido de archivos. Estas se pueden basar en el cliente, en el servidor, o incluso en el web.

Office 365

Microsoft Office 365 permite a sus empleados acceso prácticamente en cualquier lugar a las aplicaciones más recientes de Office, ofrece servicios avanzados de TI basados en la nube, y lo hace a un costo predecible. Esta suite en línea está iluminada para RMS, y habilitar RMS es insignificante. Aquí presentamos un video de 3 minutos 3 minute video que muestra cómo habilitar RMS en Office 365, cómo activar la funcionalidad DLP consciente de RMS de Exchange, y cómo habilitar una biblioteca Segura de SharePoint que ha comprobado que los documentos están protegidos por RMS a su salida.  

Uso del servicio de Administración de Derechos de Microsoft

Aquí presentamos una breve introducción sobre los detalles de cómo comenzar con cada una de las diferentes partes móviles antes mencionadas.

Habilite el servicio de Administración de Derechos alojado por  Azure

Los clientes existentes de Office 365 están listos para empezar. Ellos pueden habilitar RMS enable RMS con un sencillo cuadro de verificación en su portal de administración. Aquellos que actualmente no utilizan Office 365 no pueden todavía[1] comprar el SKU independiente de Azure RMS, pero son bienvenidos a inscribirse para una prueba de Office 365 E3 Office 365 E3 trial gratuita y usar las características de RMS.

Cuentas de Windows Azure AD

Con un inquilino Windows Azure AD a la mano, usted puede habilitar la sincronización del inquilino a través de la Sincronización del Directorio Directory Sync y la federación a través de la capacidad de federación (o sincronización de contraseñas) (o password sync). Hay varias razones para habilitar proactivamente estas capacidades incluso si sólo es para recibir contenido. Obtiene valor al activar Windows Azure AD y al habilitar DirSync sin ser el titular de la licencia de RMS. Estas son:

1)      Utilizar DirSync permite a sus usuarios recibir contenido protegido de empresas externas sin que cada una de ellas deba crear una cuenta ‘RMS para personas’ ad-hoc.

2)      La federación permite a sus usuarios iniciar sesión contra tener que crear una cuenta ad-hoc. Esto es importante ya que elimina la necesidad de una cuenta ad-hoc temporal con vigencia de un mes, y al mismo tiempo le permite aplicar políticas de contraseñas en la organización.

3)      Independientes de Azure RMS, los servicios de Windows Azure AD y la autenticación federada son soportados por una gran cantidad de otras aplicaciones slew of other applications que probablemente están en uso dentro de su organización (y éstas también podrían beneficiarse del inicio de sesión único).

4)      Windows Azure AD ofrece marcas del inquilino (logotipos) al administrador del inquilino.

A falta de poder configurar proactivamente lo anterior, la oferta de Azure RMS para personas permitirá a las personas utilizar los servicios de Microsoft RMS. Una cuenta ad-hoc ‘RMS para personas’ es simplemente un inquilino Azure AD que se crea para la organización específica (no se comparte entre organizaciones), y se agrega la cuenta de usuario. No hay un administrador para estos inquilinos. Si otros usuarios de la misma organización crean cuentas ad-hoc, éstas se colocan en el mismo inquilino ‘sin cabeza’. Como se mencionó anteriormente, estas cuentas de usuario son re-validadas mensualmente. Por ejemplo:

Joe@Contoso.com se inscribe    à          Se crea el inquilino CONTOSO.COM
                                                                          La cuenta de usuario de Joe se agrega al inquilino CONTOSO.COM
                                                                          A la cuenta de Joe se le da un SKU de RMS para personas.

Jane@Contoso.com se inscribe  à          Existe el inquilino CONTOSO.COM y se utiliza de nuevo
                                                                          La cuenta de usuario de Jane se agrega al inquilino CONTOSO.COM
                                                                          A la cuenta de Jane se le da un SKU de RMS para personas.

Para el momento en que salgamos de la vista previa, un Profesional de TI podrá ‘convertir’ a estos usuarios a usuarios con licencia sin ningún impacto para el usuario o el inquilino. Una vez hecho esto, el Profesional de TI tendrá capacidades completas de administración para estos usuarios. Esté al pendiente de la actualización de este documento a medida que estas capacidades son liberadas.

Habilitar Traiga-Su-Propia-Clave

RMS tiene una clave muy importante, la clave de inquilino. Los Directores de Seguridad de la Información (CISOs) a menudo necesitan utilizar una clave de su propia procedencia – a veces por razones de cumplimiento, a veces porque están migrando de su AD RMS en las instalaciones. Con la característica Traiga-Su-Propia-Clave (BYOK), los CISOs generarían una clave en sus instalaciones, utilizando las herramientas de su elección, en cumplimiento con sus propias políticas. Esta clave sería posteriormente importada de manera segura al HSM de Thales™ que usamos en nuestro centro de datos. El cliente tiene la certeza de que los operadores de Microsoft no pueden ver o filtrar la clave durante la importación, ni durante el estado constante de funcionamiento.

Opcionalmente, el cliente puede optar por empujar su clave al HSM del servicio Azure RMS con un tiempo de vida de 4 horas. Su infraestructura en las instalaciones realizará este empuje automatizado cada dos horas. A esta capacidad la llamamos ‘Rejuvenecimiento de claves’ y estará disponible casi a la terminación de la vista previa de RMS en septiembre. Si el CISO o Profesional de TI interrumpe el ingreso de las claves, el servicio Azure RMS deja de funcionar, y al CISO se le garantiza que Microsoft no tiene acceso a su clave en la memoria caché una vez que ésta expira. De nuevo, los Servicios de Administración de Derechos de Microsoft nunca ven sus datos [Nota del Editor: perdón por ser tan repetitivo en este punto].

Habilitar el Registro del Cliente en Tiempo real

Los Directores de Seguridad pueden obtener registros del servicio Azure RMS. Lo hacen al comprar almacenamiento de Windows Azure, y configurar (a través de PowerShell) el servicio Azure RMS para escribir las entradas del registro en ese almacenamiento. De esta manera, el Profesional de TI está en control de cuántos datos mantiene en los registros y quién (por ejemplo: servicios de informes de terceros; auditores; etc.) puede acceder a estos registros.

Implementar la Aplicación RMS para PCs y dispositivos móviles

Las aplicaciones RMS estarán disponibles a través de todas las tiendas adecuadas, así como en el flujo de inscripción de RMS para personas, y posteriormente recibirán una confirmación por correo electrónico. Los Profesionales de TI también pueden descargar el paquete MSI del centro de descargas de Microsoft RMS y hacer uso de las opciones de instalación silenciosa, y de las políticas de grupo de AD dirigidas a los Profesionales de TI.

Implementar el Conector híbrido; Configurar Exchange y SharePoint

La implementación de un conector RMS de alta disponibilidad requiere dos o más VMs/servidores. Estos roles funcionan entre bosques. La instalación consta de unas cuantas pantallas sencillas. Una vez configurado y conectado al servicio Azure RMS, el Profesional de TI para el conector RMS trabajará con los administradores de Exchange y SharePoint para comprender cuáles máquinas deben recibir acceso a los servicios de transmisión del Conector. Esto es simplemente una tarea para dar permiso a los servidores de usar el conector; todo lo demás es automático.

Habilitar el Control de Acceso Dinámico

El rol de Control de Acceso Dinámico Dynamic Access Control (DAC/FCI) del servidor Windows es capaz de funcionar tanto con AD RMS como con Azure RMS. Para éste último, está disponible un script de PowerShell PowerShell script is available para conectar los dos.

Habilitar Office 365 Exchange Online

Exchange Online está consciente de la existencia de Azure RMS cuando se habilita. Una vez que se suministra la clave de inquilino RMS a Exchange Online, el Profesional de TI puede hacer uso de la oferta avanzada de Exchange Online DLP Exchange Online DLP offer dentro de la suite de productos de Office 365 en general.

Nota: El uso de la característica BYOK no está actualmente soportado con Exchange Online. El Profesional de TI tendrá dos opciones al momento de utilizar los dos servicios juntos. La opción preferida será utilizar la característica de clave de inquilino RMS generada por el software que está integrada en Azure RMS. Esta oferta suministra automáticamente a Exchange Online la clave RMS para su uso. La opción alternativa es que el Profesional de TI instale un servidor AD RMS con una clave de software, y después siga los pasos the steps para importar su TPD a Exchange Online.

Habilitar Office 365 SharePoint Online

Habilitar bibliotecas Seguras de SharePoint Online SharePoint Online Secure libraries es simplemente una tarea que incluye crear una biblioteca, configurarla para que sea una Biblioteca Segura, y ajustar algunas opciones sencillas para satisfacer sus necesidades. Por ejemplo: El dueño de la biblioteca puede elegir cancelar las políticas de protección para usar un grupo de seguridad para protección (contra protección individual). Esto permite a un usuario descargar un archivo y compartirlo con otras personas dentro del grupo de seguridad especificado sin forzar una viaje de regreso a SharePoint.

Resumen de las ofertas y actividades relacionadas con el Profesional de TI

En este punto hemos introducido las partes clave de una implementación completa de Administración de Derechos de Microsoft. Se proporcionarán más detalles a las organizaciones TAP seleccionadas, y más adelante a toda la comunidad. Si desea aprender más sobre RMS, por favor solicite participar en la vista previa request participation in the preview.


Cronología para los servicios Azure RMS

La vista previa tendrá lugar de finales de Julio a finales de septiembre con organizaciones seleccionadas. La liberación del servicio actualizado de Administración de Derechos de Microsoft está programada para principios de octubre. 

La oferta inicial de Azure RMS se centra en organizaciones que no tienen AD RMS implementado. Dicho esto, Azure RMS soportará la coexistencia de la implementación existente de AD RMS del cliente, pero durante el primer o segundo trimestre del envío debemos eliminar la capa adicional de complejidad que surgirá con la coexistencia de dos entornos RMS. ¡Pedimos disculpas de antemano por lo que podría parecer que ignoramos a nuestros clientes leales de AD RMS!

Por varias razones, favorecemos encarecidamente el uso de la oferta de Administración de Derechos alojados por Azure sobre la oferta de AD RMS existente. Estas son: colaboración B2B sin fricciones, ofertas ricas de dispositivos móviles, agilidad mucho más rápida al agregar nuevas capacidades, soporte para cuentas de usuario RMS ad-hoc, cuentas de usuario para los destinatarios de sus documentos confidenciales, y facilidad de implementación.

Comprar el servicio de Administración de Derechos de Microsoft

RMS se puede comprar directamente a través del portal web de Office 365 Office 365 web portal o a través de su gerente de cuenta de Microsoft.

Disponible ahora

  • ·        RMS se puede comprar directamente a través del portal de Office 365 como una licencia de suscripción de usuario.
  • ·        La suscripción cubre el uso por parte de toda la aplicación iluminada para RMS (por ejemplo: Office, Office 365, Foxit PDF). Es un modelo “Pague una vez, úselo con todas las aplicaciones iluminadas para RMS”.
  • ·        El costo es de  $2/usuario/mes.
  • ·        El consumo de contenido protegido por derechos es gratis. Se requiere una licencia para proteger el contenido, el usuario la puede adquirir manualmente o a través de un servicio en nombre del usuario.
  • ·        Azure RMS se puede comprar como parte de las ofertas de la suite de Office 365
    • o   Se incluye en los SKUs de E3/E4 y A3/A4
    • o   Está disponible como un add-on para muchos otros SKUs de Office 365.
    • ·        Azure RMS se puede comprar de manera independiente para su uso con el Conector Azure RMS o con aplicaciones iluminadas para RMS de terceros.
    • ·        Azure RMS estará disponible a través de los programas de Licenciamiento por Volumen de Microsoft Enterprise (EA/EAS/EES)
    • ·        La suscripción de Azure RMS incluirá los derechos para usar AD RMS en las instalaciones
    • ·        Los clientes de Enterprise CAL (ECAL) pueden agregar el servicio Azure RMS

Disponible en Otoño de 2013

 

Si tiene alguna pregunta, por favor póngase en contacto con su contacto de ventas de Microsoft.

Desarrolladores

Los ISVs de aplicaciones pueden iluminar sus aplicaciones y soluciones con RMS de manera fácil y rápida utilizando la plataforma de desarrollador de Administración de Derechos de Microsoft en todos los dispositivos y sistemas operativos importantes.

Hay algunos conceptos importantes que vale la pena mencionar en esta breve introducción:

Codifíquelo una vez, úselo en todas partes

Los desarrolladores de aplicaciones iluminadas para RMS escriben código una vez para proteger los documentos. El RMS SDK se encarga de todos los detalles subyacentes sobre el entorno y las topologías del cliente, expiración del documento, renovaciones de certificados, actualizaciones de políticas, y más.  Nuestro código muestra y la guía para comenzar hacen que sea extremadamente fácil para usted habilitar RMS.

Las aplicaciones iluminadas para RMS son más deseadas debido a que hacen cumplir los derechos de protección

Las aplicaciones iluminadas para RMS permiten a las personas proteger y consumir contenido. El contenido es protegido al utilizar el cifrado y se debe descifrar antes de que pueda ser consumido. Cuando el archivo es protegido, la persona aplica permisos al archivo, tales como la capacidad para imprimir o editar. Su aplicación deberá cumplir con estos derechos. El SDK facilitará la mayor parte de los flujos de protección y toda la inicialización, pero su aplicación debe cumplir la con solicitud de aplicación de permisos correspondiente. Nuestros SDKs facilitan el cumplimiento de los derechos al proporcionar APIs para controlar los permisos permissions tales como imprimir, guardar, re-enviar, etc. Para más detalles, consulte aquí here.

¡Los nuevos SDKs hacen todo el trabajo de la interfaz específica de RMS por usted!

Las aplicaciones de dispositivos móviles utilizarán los nuevos SDKs v3 new v3 SDKs y se beneficiarán de las interfaces proporcionadas por Microsoft para los comportamientos de consumo y protección. Esto no sólo ahorra tiempo a los ISVs para desarrollar soporte de protección, sino que también proporciona compatibilidad avanzada para las nuevas características de protección UX. La Aplicación RMS, desarrollada por Microsoft, es un buen ejemplo de la UX que proporciona/proporcionará el SDK.

Las aplicaciones RMS basadas en el escritorio Windows utilizan nuestro poderoso SDK v2.1 powerful v2.1 SDK que todavía no ofrece flujos de consumo y protección integrados. Lo hará en poco tiempo.

Ahora es fácil agregar protección RMS a sus soluciones

Hay una clase de aplicaciones que es bastante fácil de iluminar con RMS. Estas aplicaciones son creadas por ‘proveedores de soluciones’ o Profesionales de TI, y habilitan las aplicaciones que necesitan ya sea proteger o desproteger archivos. Estas son: agentes de Prevención de Fuga de Datos (DLP), indexadores de búsqueda, software anti-virus, sistemas de Administración de Dispositivos Móviles (MDM), y sistemas de Administración de Documentos. Estos utilizarán la nueva API de Archivo File API disponible como parte del SDK v2.1 SDK y/o PowerShell para proteger y desproteger documentos de manera fácil y silenciosa en la plataforma Windows (cliente o servidor).

Un archivo protegido es un archivo diferente cuando persiste

La manera más fácil para implementar la protección de su formato de archivo es simplemente utilizar la capacidad de nuestro SDK para crear un contenedor de Archivo Protegido (PFILE). Éste adjunta su archivo, de manera tal que su archivo XYZ está protegido como un archivo pXYZ, todo desde una API que se basa en el flujo. Nuestro formato PFile permite a su aplicación participar inmediatamente en el ecosistema RMS existente.

Personalizar su propio formato de archivo iluminado para RMS es más complejo. También evita que todo el ecosistema de socios de soluciones pueda proteger sus formatos de archivo en sus soluciones debido a que todos ellos utilizarán la API DE ARCHIVO que se describe arriba (que puede proteger cualquier archivo en formato PFILE mientras respeta sus extensiones de archivo).  Sin embargo, si sus necesidades requieren que actualice su formato de archivo existente con información de RMS, nuestros SDKs soportan su caso de uso.

Acceso a RESTful API

El SDK de RMS no ofrece SDKs para plataformas como Linux, RIM BlackBerry o las plataformas de sitios web que son demasiado numerosas para que nosotros podamos implementar bibliotecas enriquecidas. Para estas plataformas, proporcionamos soporte para REST API, documentación de protocolo y un conjunto de ejemplos de código (incluyendo código de fuente abierta) para facilitar el desarrollo de aplicaciones. Si una plataforma crece lo suficientemente importante para usted, vamos a considerar la adición de soporte.

 

Para cerrar

Este documento se creó para:

1)      Expresar el trabajo nuevo que hemos hecho en RMS; ¡Esperamos que esté de acuerdo en que hicimos mucho!

2)      Explicar el valor de esta oferta en un momento en el que proteger la información es cada vez más importante

3)      Ofrecer un punto de vista subjetivo sobre las acciones que puede tomar ahora, en lugar de esperar por la solución que cura todo

4)      Ofrecer una visión general de los elementos móviles que intervienen en nuestra oferta.

Esperamos haber alcanzado su objetivo, o por lo menos acercarnos a él. Si desea averiguar más sobre RMS, por favor solicite participar en la vista previa request participation in the preview. Si tiene ideas sobre cómo se podría mejorar este documento, por favor tómese un momento para compartirlas con nuestro equipo our team.

 

¡Gracias por leer este documento!

Atentamente,
   Dan Plastina en nombre de nuestro equipo de RMS



[1] Póngase en contacto con  AskIPTeam@microsoft.com si necesita comprarlo en este momento.