Microsoft AIP (Azure Information Protection) suojaa PDF-tiedostoissa arkaluonteisen sisällön salauksen ja käyttöoikeuksien hallinnan avulla niin, että vain valtuutetut henkilöt pääsevät tiedostoon käsiksi. Suojaus seuraa tiedostoa sen koko elinkaaren ajan riippumatta siitä, mihin se tallennetaan tai lähetetään. Alla käymme läpi keskeisimmät kysymykset AIP-suojauksen toiminnasta PDF-työnkuluissa käytännön tasolla.
Mitä tietoja Microsoft AIP suojaa PDF-tiedostoissa?
Microsoft AIP suojaa PDF-tiedostoissa kaiken sisällön, johon organisaatio on määrittänyt luokittelun ja suojauskäytännön. Käytännössä tämä tarkoittaa asiakirjoja, jotka sisältävät luottamuksellisia tietoja, kuten henkilötietoja, sopimustietoja, taloudellisia raportteja tai muuta arkaluonteista liiketoimintasisältöä.
AIP-suojaus perustuu tiedostoon kiinnitettyyn sensitiivisyysleimaan (sensitivity label), joka määrittää, mitä toimintoja tiedostolla voidaan tehdä ja kuka saa sen avata. Suojaus ei rajoitu pelkkään tiedoston avaamiseen, vaan se voi kattaa myös seuraavat toiminnot:
- Tiedoston tulostamisen estäminen tai salliminen tietyille käyttäjille
- Sisällön kopioinnin rajoittaminen
- Muokkausoikeuksien rajaaminen nimetyille henkilöille tai ryhmille
- Tiedoston edelleenlähetyksen estäminen
- Käyttöoikeuden voimassaoloajan määrittäminen
AIP-suojaus on erityisen hyödyllinen tilanteissa, joissa PDF-tiedosto sisältää tietoja, joiden tulee pysyä organisaation hallinnassa myös sen jälkeen, kun tiedosto on jaettu ulkopuoliselle osapuolelle. Suojaus toimii pilvipalvelun kautta, joten käyttöoikeuksia voidaan tarvittaessa muuttaa tai peruuttaa jälkikäteen.
Miten Microsoft AIP:n suojaus toimii PDF-tiedostossa?
Microsoft AIP:n suojaus toimii PDF-tiedostossa siten, että tiedostoon kiinnitetään sensitiivisyysleima, joka aktivoi Azure Rights Management -palvelun (Azure RMS) mukaisen salauksen ja käyttöoikeushallinnan. Kun suojattu tiedosto avataan, palvelu tarkistaa käyttäjän henkilöllisyyden ja käyttöoikeudet reaaliaikaisesti ennen pääsyn myöntämistä.
Teknisellä tasolla prosessi etenee seuraavasti:
- Käyttäjä tai järjestelmä kiinnittää PDF-tiedostoon sensitiivisyysleimat joko manuaalisesti tai automaattisesti organisaation käytäntöjen mukaan.
- Azure RMS salaa tiedoston ja sitoo käyttöoikeudet organisaation Azure Active Directory -identiteetteihin.
- Kun vastaanottaja yrittää avata tiedoston, sovellus ottaa yhteyden Azure RMS -palveluun ja tarkistaa, onko kyseisellä käyttäjällä oikeus avata tiedosto.
- Jos oikeus on voimassa, tiedosto avataan käyttöoikeuksien mukaisilla rajoituksilla. Jos oikeutta ei ole, tiedostoa ei voi avata.
Koska salausavain hallitaan pilvipalvelussa, organisaatio voi peruuttaa pääsyn tiedostoon milloin tahansa, vaikka tiedosto olisi jo toimitettu vastaanottajalle. Tämä tekee AIP-suojauksesta huomattavasti dynaamisemman tietoturvaratkaisun kuin perinteinen tiedostotason salaus.
Mikä on ero AIP-suojauksen ja salasanasuojauksen välillä?
AIP-suojauksen ja salasanasuojauksen keskeinen ero on se, että salasanasuojaus on staattinen mekanismi, jonka hallinta päättyy siihen hetkeen, kun salasana luovutetaan toiselle henkilölle. AIP-suojaus sen sijaan on dynaaminen ja identiteettipohjainen, jolloin organisaatio säilyttää hallinnan tiedostoon koko sen elinkaaren ajan.
Salasanasuojauksen rajoitukset
Perinteinen PDF-salasanasuojaus estää tiedoston avaamisen ilman oikeaa salasanaa. Kun salasana on jaettu, organisaatiolla ei ole enää keinoa rajoittaa tiedoston käyttöä. Salasana voidaan välittää eteenpäin, ja sen peruuttaminen on käytännössä mahdotonta ilman tiedoston uudelleenluomista ja uudelleenjakelua. Salasanasuojaus sopii hyvin yksittäisten tiedostojen suojaamiseen, mutta ei organisaatiotason tiedonhallinnan tarpeisiin.
AIP-suojauksen edut organisaatioille
AIP-suojaus sidotaan käyttäjän identiteettiin, ei staattiseen salasanaan. Organisaatio voi määrittää tarkat käyttöoikeudet eri käyttäjäryhmille, muuttaa niitä tarvittaessa ja peruuttaa pääsyn välittömästi. Lisäksi AIP-suojaus tuottaa lokitietoja tiedoston käytöstä, mikä tukee tietoturvan auditointia ja tietosuoja-asetuksen (GDPR) mukaista dokumentointia. PDF-XChange Editor Plus tukee molempia suojausmenetelmiä, joten käyttäjä voi valita tilanteen mukaan sopivimman lähestymistavan.
Miten PDF-XChange Editor Plus tukee Microsoft AIP:ta käytännössä?
PDF-XChange Editor Plus tukee Microsoft AIP:ta versiosta 9.1.356.0 eteenpäin, mikä tarkoittaa, että käyttäjät voivat avata, tarkastella ja käsitellä AIP-suojattuja PDF-tiedostoja suoraan ohjelmistossa ilman erillisiä lisäosia tai kiertoteitä. Tuki on integroitu suoraan ohjelmiston toiminnallisuuteen.
Käytännössä tämä tarkoittaa, että PDF-XChange Editor Plus tunnistaa AIP-suojatun tiedoston sensitiivisyysleimat ja noudattaa niihin liittyviä käyttöoikeusrajoituksia automaattisesti. Jos käyttäjällä on vain lukuoikeus, muokkaustoiminnot eivät ole käytettävissä. Jos tulostus on estetty, tulostuskomento ei toimi. Ohjelmisto toimii siis yhteensopivasti organisaation AIP-käytäntöjen kanssa ilman, että käyttäjän tarvitsee huolehtia asetusten manuaalisesta hallinnasta.
PDF-XChange Editor Plussan muita tietoturvaan liittyviä ominaisuuksia ovat muun muassa digitaalinen allekirjoitus, DocuSign-integraatio sekä mahdollisuus poistaa luottamuksellinen sisältö dokumentista lopullisesti. Nämä ominaisuudet täydentävät AIP-suojausta kattavaksi tietoturvaksi koko PDF-työnkulussa. Voit kokeilla ohjelmistoa maksutta lataamalla PDF-XChange testiversio ja tutustumalla AIP-tukeen käytännössä.
Milloin organisaation kannattaa ottaa AIP-suojaus käyttöön PDF-työnkuluissa?
Organisaation kannattaa ottaa AIP-suojaus käyttöön PDF-työnkuluissa silloin, kun tiedostot sisältävät arkaluonteista tietoa, joka liikkuu organisaation rajojen ulkopuolelle tai useiden käyttäjäryhmien välillä, ja kun staattinen salasanasuojaus ei enää riitä hallinnoimaan käyttöoikeuksia riittävän tarkasti.
Erityisesti AIP-suojaus on perusteltu seuraavissa tilanteissa:
- Sopimus- ja tarjousasiakirjat: Kun PDF-tiedostoja lähetetään ulkoisille kumppaneille tai asiakkaille ja halutaan varmistaa, ettei sisältöä voi kopioida tai edelleenjakaa ilman lupaa.
- Henkilötietoja sisältävät dokumentit: GDPR edellyttää asianmukaista tietosuojaa, ja AIP-suojaus tarjoaa teknisen mekanismin henkilötietojen hallintaan koko tiedoston elinkaaren ajan.
- Sisäiset luottamukselliset raportit: Talous-, strategia- tai HR-asiakirjat, joihin pääsyn tulee olla rajattu tietyille henkilöille myös organisaation sisällä.
- Tiedostot, joiden käyttöoikeuksia voidaan joutua muuttamaan jälkikäteen: AIP mahdollistaa pääsyn peruuttamisen tai muuttamisen ilman tiedoston uudelleenjakelua.
Vuonna 2026 tietosuojavaatimukset ja kyberturvallisuuden regulaatio ovat tiukentuneet entisestään, mikä tekee identiteettipohjaisesta tiedostojen suojauksesta yhä ajankohtaisemman investoinnin erityisesti julkishallinnolle, terveydenhuollolle ja finanssialalle.
Voiko AIP-suojattua PDF-tiedostoa muokata tai jakaa turvallisesti?
AIP-suojattua PDF-tiedostoa voi muokata ja jakaa turvallisesti, mutta ainoastaan silloin, kun käyttäjällä on siihen organisaation myöntämät käyttöoikeudet. Suojaus ei estä yhteistyötä, vaan se hallinnoi sitä niin, että vain valtuutetut henkilöt voivat tehdä kulloinkin sallittuja toimintoja.
Muokkausoikeudet määräytyvät kokonaan sen mukaan, mitä oikeuksia tiedostoon on kiinnitetty AIP-käytäntöjen kautta. Käyttäjä, jolla on muokkausoikeus, voi avata tiedoston PDF-XChange Editor Plussan kaltaisessa yhteensopivassa ohjelmistossa ja tehdä sallitut muutokset. Muutokset tallentuvat suojatusti, ja tiedosto säilyttää AIP-suojauksen myös muokkauksen jälkeen.
Jakaminen on turvallista, koska suojaus kulkee tiedoston mukana riippumatta siitä, jaetaanko tiedosto sähköpostilla, pilvipalvelun kautta vai fyysisellä tallennusvälineellä. Vastaanottaja tarvitsee aina voimassa olevan käyttöoikeuden tiedoston avaamiseksi, eikä tiedostoa voi avata ilman yhteyttä Azure RMS -palveluun. Tämä tekee AIP-suojauksesta erityisen luotettavan mekanismin silloin, kun arkaluonteisia PDF-tiedostoja jaetaan organisaation ulkopuolelle tai kansainvälisille yhteistyökumppaneille.