Archives de catégorie : Azure RMS

Découverte d’Azure Rights Management Services

Right Management Services. Voilà un sujet que j’avais touché du doigt voilà longtemps. C’est au travers d’un besoin interne que je reviens à lui. Entre temps le Cloud est passé par là, on va donc travailler non pas avec une infrastructure Right Management Services hébergée On-Premises mais le service Cloud Azure RMS. Ça change pas mal de choses :

  • Plus d’infrastructure : Un point d’économie majeur et de la complexité en moins
  • Authentification Cloud : On va s’appuyer sur Azure Active Directory et non plus sur le couple Active Directory & ADFS, plus de trust de Federation à maintenir
  • Support des terminaux mobiles : On ne se limite pas à l’environnement Microsoft mais aussi IOS, Android, MacOS
  • Suivi d’accès, révocation d’accès aux documents

 

 

Il a bien changé le RMS. Là où cela se complique, c’est que RMS est disponible dans plusieurs packages et en plusieurs éditions :

  • RMS for Office 365 (à partir du plan E3)
  • Azure RMS Premium
  • Enterprise Mobility Suite (incluant Azure RMS)
  • RMS for invidual users

 

Là, ça s’est un peu compliqué. Heureusement, j’ai une licence Office 365 E3, donc moi j’ai une licence. A noter que la licence est nécessaire uniquement pour les producteurs de contenus protégés, pas pour ceux qui le consomment. Pour les consommateurs, c’est là que cela se complique avec trois cas :

  • Partenaires disposant d’une souscription de type Office 365 (tel que E3 ou supérieur)
  • Partenaires ne disposant pas d’une souscription de type Office 365
  • Particuliers

Le premier scénario est effectivement le plus simple. Mon partenaire dispose déjà d’une identité Windows Azure Active Directory. Par contre pour les deux autres, cela se complique. Il faut déjà prouver son identité, lié à une instance Windows Azure Active Directory. C’est pour cela que Microsoft propose l’offre RMS for individual users. Cela créé l’instance Windows Azure Active Directory nécessaire. Deux limites identifiées à ce jour pour cette offre :

  • Pas encore de support de GMAIL
  • Pas encore de support des comptes Hotmail/Live

 

Un point à se souvenir : Un utilisateur associé à une licence Office 365 Plan E3 ou supérieur ne peut utiliser la fonctionnalité Azure RMS que si l’administrateur de la souscription a autorisé l’utilisation du service.

 

Mon besoin

Mon besoin est de pouvoir partager du contenu avec des personnes externes à mon entreprise en étant assuré que :

  • Je puisse m’assurer que seuls les destinataires autorisés pourront le consulter
  • Que le contenu mis à disposition ne soit pas récupérable, modifiable, ni imprimable par quelque moyen

 

Dans mon scénario, mon partenaire dispose d’une souscription Office 365 ou est en mesure de souscrire à l’offre RMS for individual users, c’est le même mode de fonctionnement. On va dérouler par étapes, dans l’ordre :

  • Première étape : Activer le service dans notre souscription Office 365
  • Seconde étape : Obtenir une licence RMS
  • Troisième étape : Installer l’application de partage
  • Quatrième étape : Partager du contenu
  • Expérience du destinataire externe
  • Conclusion

 

Première étape Activer le service dans notre souscription Office 365

Notre souscription Office 365 est liée à un Tenant Windows Azure Active Directory. C’est à ce niveau qu’il faut activer la prise en charge de Rights Management Services dans le portail d’administration Office 365 :

clip_image001

 

Cela nous amène au portail de gestion du tenant Windows Azure Active Directory associé à notre souscription Office 365. La question est simple et la réponse est évidente.

clip_image002

 

Seconde étape : Obtenir une licence RMS

Individuellement, chaque utilisateur devant produire du contenu à protéger doit obtenir une licence Azure RMS depuis le site . Le processus est assez simple. Il nous demande notre adresse de messagerie pour vérifier que nous sommes bien en mesure de souscrire au service et de nous authentifier.

clip_image003

 

Ne tentez pas d’utiliser une adresse de type GMAIL, Hotmail ou Live, cela ne fonctionne pas (encore).

clip_image004

 

Si le domaine est effectivement bien reconnu comme éligible, on doit encore prouver notre identité :

clip_image005

 

Si notre administrateur a bien autorisé l’utilisation d’Azure RMS au sein du Tenant Office 365, on aura notre licence.

clip_image006

 

Ainsi qu’un mail dans notre boîte aux lettres nous expliquant la suite des opérations.

clip_image007

 

Troisième étape : Installer l’application de partage

A ce stade, nous avons une licence nous permettant de consommer mais aussi de produire du contenu protégé. A ce jour, cette application est disponible sur les plateformes suivantes :

  • Windows 7 (x86, x64)
  • Windows 8 (x86, x64)
  • Windows 8.1 (x86, x64)
  • Windows 10 (x86, x64)
  • Mac OS X: Minimum version of Mac OS X 10.8 (Mountain Lion)
    Windows Phone: Windows Phone 8.1
  • Android phones and tablets: Minimum version of Android 4.0.3
  • iPhone and iPad: Minimum version of iOS 7.0
  • Windows tablets: Windows 10 Mobile and Windows 8.1 RT

 

C’est un service Cloud, donc censé être le plus agnostique possible. Pour le end-user, ça devrait aller. Pour la suite de ce billet, j’ai retenu le Windows classique sur socle Windows 7 X86 et Office 2016. Le Setup nous informe que cela va se dérouler en plusieurs étapes :

clip_image008

 

Avec le téléchargement de quelques binaires.

clip_image009

 

Globalement, ça va vite.

clip_image010

 

On est maintenant prêt à partager du contenu.

 

Quatrième étape : Partager du contenu

La première application à laquelle on pense lorsqu’on partage du contenu, c’est Outlook. Lorsque je compose un message, je note la présence d’une nouvelle icône. Le mécanisme est aussi disponible depuis l’explorateur Windows.

clip_image011

 

C’est d’une simplicité déconcertante. On va simplement affecter des permissions à nos destinataires. Ici ce sont des templates Built-in mais on peut aussi créer les nôtres.

clip_image012

 

Quelques points intéressants :

  • La possibilité de révoquer l’accès aux documents passé une date butoir
  • Savoir si nos destinataires tentent d’accéder au document (un soumissionnaire qui ne répond pas à un appel d’offre, …)
  • Révoquer les permissions pour les documents déjà partagés (un soumissionnaire ne respectant pas les règles des appels d’offre publics)

 

Y a plus qu’à envoyer.

 

Expérience du destinataire externe

Première chose, c’est la réception d’un mail tel qu’illustré ci-dessous

clip_image013

 

Un document partagé mais deux reçus. C’est normal, c’est pour pouvoir partager ce contenu avec des destinataires qui n’ont pas la suite bureautique Microsoft. Avant de pouvoir consommer, il nous faut une licence Azure RMS. On va donc suivre les instructions.

clip_image014

 

Le processus de configuration va être identique pour nos partenaires externes. S’ils disposent déjà d’Office 365 (Plan E3 minimum), ils devront avoir préalablement activé la prise en charge de Rights Management Services comme nous. Ils ne sont pas éligibles à la licence « RMS for individuals Users ».

clip_image015

 

Azure RMS a identifié un utilisateur dépendant d’une souscription Office 365, il va donc lui demander de s’authentifier pour vérifier s’il dispose bien d’une licence, voire de lui en assigner une si ce n’est pas déjà fait.

clip_image016

 

Si l’utilisation d’Azure RMS était bien autorisé au niveau de la souscription Office 365, y a plus qu’à consommer.

clip_image006[1]

 

La pièce jointe est un document Word. Y a qu’a double cliquer dessus. On va vite constater que notre Word est limité, quelques exemples :

  • Copier/Coller : Impossible
  • Sauvegarde du document : Grisé, impossible
  • Sauvegarde du document sous un autre nom : Grisé, impossible
  • Export (conversion dans Powerpoint) : Grisé, impossible
  • Impression : Grisé, impossible

 

OK, on tente le mode Geek avec la capture d’écran. Non, ce n’est pas une erreur :

clip_image017

 

Dans Word, on peut demander quelles sont mes autorisations, c’est visiblement le niveau le plus stricte

clip_image018

 

Si par hasard, je n’avais pas la suite bureautique (ou si l’application à utiliser ne supporte pas RMS), je peux quand même consulter le contenu. C’est la seconde pièce jointe du mail. Notre document a été encapsulé dans un autre qui lui supporte RMS. Pour cela, je dois installer l’application de partage correspondant à ma plateforme. Une fois installé, on peut consulter le contenu. Après, les mêmes restrictions s’appliquent :

clip_image019

 

De mon côté, je viens de recevoir un mail m’informant que mon destinataire a accédé à mon contenu protégé. On me propose de suivre l’accès à notre document mais pour l’utiliser, il faut une licence Premium !

clip_image020

 

Conclusion

Presque six ans entre ma première expérience de Rights Management Service et Azure RMS. Son successeur dans le cloud présente beaucoup d’avantages. Il reste quelques contraintes mais elles sont bien moindres que celles que nous avons connues avec son ancêtre.

 

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)