Neuigkeiten bei der Verwaltung von Informationsrechten in SharePoint und SharePoint Online
Veröffentlichung des Originalartikels: 11.11.2012
von Barak Cohen, Lead PM Document Protection Services; Neil Wang, SDET Document Protection Services
Dokumentschutz in der Cloud
In der neuen Office-Version wird der Dokumentschutz mithilfe von IRM-Diensten (Information Rights Management, Verwaltung von Informationsrechten) erstmal in die Cloud verlegt. Office 365-Benutzer können einen Dienstplan erhalten, der IRM-Funktionen umfasst, die von einem neuen Dokumentschutzdienst unterstützt werden. Bei diesem handelt es sich um Windows Azure AD Rights Management (AADRM), das im Rahmen von Office 365 Enterprise Plan 3 und Plan 4 sowie Academic Plan 3 und Plan 4. Diese Funktion entspricht der Funktion zum Zuweisen eines Windows Right Management-Servers (RMS-Server) zu einer lokalen SharePoint-Installation. Benutzer können SharePoint Online auf der Mandanteneinstellungsseite für die Zusammenarbeit mit dem Dienst konfigurieren:
Abbildung 1. Aktivieren des IRM-Dienstes auf der Seite "Mandanteneinstellungen" von Office 365 SharePoint Online
Beachten Sie jedoch, dass der AADRM -Rechteverwaltungsdienst in den oben aufgeführten SKUs nicht automatisch aktiviert ist. Mandantenadministratoren müssen ihn für ihren Mandanten aktivieren. Durch Klicken auf die Schaltfläche IRM-Einstellungen aktualisieren auf der Seite "Mandanteneinstellungen" wird das Office 365-Verzeichnis nach den AADRM-Einstellungen abgefragt, und die Einstellungen werden in SharePoint Online aktualisiert.
Zum Aktivieren von AADRM für Office 365-Mandanten können Sie diesen Link verwenden, um den Dienst zu aktivieren: https://activedirectory.windowsazure.com/RmsOnline/Manage.aspx?brandContextID=O365. (Wie bereits erwählt muss man dafür über einen Office 365-Plan mit AADRM verfügen und sich sich mit den Administratoranmeldeinformationen für den Office 365-Mandanten anmelden.) Auf diese Rechteverwaltungsseite kann auch über das Datenschutzmenü auf der Office 365-Administratorseite zugegriffen werden.
Abbildung 2. Aktivieren der Verwaltung von AADRM-Rechten für den Office 365-Mandanten im AADRM-Portal
Sie können den Dienst auch mit folgendem manuellen Prozess aktivieren:
- Laden Sie das Verwaltungsmodul für Windows Azure AD Rights Management (WindowsAzureADRightsManagementAdministration.exe) für Windows PowerShell hierherunter.
- Doppelklicken Sie im lokalen Ordner, in den Sie die Rights Management-Installationsdatei heruntergeladen haben auf "WindowsAzureADRightsManagementAdministration.exe", um die Installation des Rechteverwaltungsmoduls zu starten.
- Öffnen Sie Windows PowerShell, und geben Sie dann folgende Befehle ein:
Import-Module AADRM
Connect-AadrmService -Verbose - Geben Sie Ihre Anmeldeinformationen für Office 365 Preview ein, wenn Sie dazu aufgefordert werden. Beispiel: user@company.onmicrosoft.com
- Geben Sie folgende Befehle ein:
Enable-Aadrm
Disconnect-AadrmService
Dokumentschutz in der lokalen Umgebung
In der lokalen Umgebung werden IRM-Dienste weiterhin durch das Zuordnen einer AD RMS-(Right Management Services)-Serverrolle zu einer SharePoint-Farm unterstützt, wie im Artikel Schrittweise Anleitung zu Active Directory-Rechteverwaltungsdiensten beschrieben. Diese Zuordnung wird vom Farmadministrator auf der Seite "Verwaltung von Informationsrechten" vorgenommen, die auf der Farmadministratorseite verlinkt ist (bei der üblichen Konfiguration für eine lokale Installation wird der RMS-Server über Active Directory identifiziert). In SharePoint 2013-Installationen können nur lokale RMS-Server als Zielserver verwendet werden. (SharePoint Online in Office 365 kann nur auf AADRM ausgerichtet sein).
Abbildung 3. Aktivieren von IRM für einen RMS-Server in einer SharePoint-Farm
Die IRM-Einrichtung wird entweder auf Farmebene auf der in Abbildung 3 gezeigten Benutzeroberfläche oder auf einer Abonnementebene (neu in Office 2013) vorgenommen; bei letzterer Methode erfolgt eine Implementierung in der Cloud. Zum lokalen Einrichten von IRM für bestimmte SharePoint-Abonnements muss das Kontrollkästchen in Abbildung 3 aktiviert sein und ein Microsoft PowerShell-Skript zum Einrichten der bestimmten RMS-Server-URL für jedes Abonnement verwendet werden.
Dokumentschutz leicht gemacht
Nachdem IRM-Dienste online oder lokal konfiguriert wurden, können Websiteadministratoren den IRM-Schutz für einzelne Dokumentbibliotheken aktivieren.
Abbildung 4. Einrichten des IRM-Schutzes für eine Dokumentbibliothek
Wenn diese Einrichtung abgeschlossen ist, sind die mit Office IRM-Diensten kompatiblen Dokumente geschützt, nachdem Sie auf den Client heruntergeladen wurden. Die zusätzlichen Optionen ermöglichen eine präzisere Anpassung der Verwendungsrechte.
Verwendungsrechte lassen sich einfach festlegen
Die Benutzeroberfläche der IRM-Einrichtung für eine Dokumentbibliothek wurde in Office 2013 verbessert und ist jetzt benutzerfreundlicher. Neben dem Angeben der Titel von Berechtigungsrichtlinien und Beschreibungen haben Administratoren nun auch folgende Möglichkeiten:
- Festlegen von Zugriffsrechten, einschließlich Rechten zum Drucken und zum Ausführen von Skripts, um die Bildschirmsprachausgabe oder das Schreiben in einer Kopie des Dokuments zu ermöglichen (neu in Office 2013)
- Festlegen eines Ablaufdatums (das Datum, nach dem das Dokument nicht mehr verwendet werden kann)
- Steuern, ob Dokumente ohne IRM-Schutz in die Bibliothek aufgenommen werden kann
- Steuern, ob Office Web Apps die Dokumente in der Bibliothek darstellen kann (neu Office 2013)
Geschützte Dokumente können im Browser dargestellt werden
Eine weitere neue Funktion in Office 2013 ist das Darstellen von geschützten Dokumenten mit Office Web Apps. Das bedeutet, dass ein authentifizierter Benutzer, der nicht über einen kompatiblen Office-Client verfügt, die Dokumente stattdessen mit Office Web Apps anzeigen kann. Beachten Sie, dass Dokumente in Web Apps nur schreibgeschützt angezeigt werden. Beachten Sie auch, dass das Erfassen von Bildschirmausschitten von geschütztem Inhalt im Browser nicht gesperrt ist (wie es auf Clientcomputern der Fall ist), die Informationen zu den geschützten Dokumenten wird jedoch aus dem Browsercache gelöscht. Bibliothekadministratoren können diese Funktion jederzeit deaktivieren, indem Sie auf der Seite zur Verwaltung von Informationsrechten das Kontrollkästchen Für diese Dokumentbibliothek verhindern, dass Dokumente im Browser geöffnet werden können aktivieren (unten in Abbildung 5 dargestellt).
Dokumente können für Gruppen geschützt werden
Wenn Dokumente von einer IRM-fähigen SharePoint-Dokumentbibliothek heruntergeladen werden, ist jeder unterstützte Dateityp standardmäßig verschlüsselt und die Rechte sind auf den authentifizierten Benutzer beschränkt, der die Dokumente heruntergeladen hat. Andere Benutzer mit Rechten für dieselbe Bibliothek müssen eigene Kopien herunterladen. Eine der neuen in SharePoint 2013 unterstützten Funktionen ist das Schützen einer Bibliothek für eine Gruppe. Ein Administrator kann eine Active Directory-Gruppe auswählen und sie zum Stempeln der Nutzungslizenz für die Datei verwenden. Anschließend können heruntergeladene Dokumente von allen Mitgliedern der Gruppe verwendet werden, und der Benutzer, der sie heruntergeladen hat, kann die Kopie direkt an alle Gruppenmitglieder weitergeben. In Office 365 werden diese Gruppen in der Exchange-Systemsteuerung (Exchange Control Panel, ECP) erstellt.
Abbildung 5. Gruppenschutz als Teil der erweiterten IRM-Einstellungen in Dokumentbibliotheken
IRM unterstützt Office-Dokumente und PDF-Dateien
Zahlreiche Benutzer bekundeten Interesse an einer engeren Integration von PDF-Dateien in SharePoint und Office allgemein. Ab Office 2013 sind PDF-Dokumente besser in SharePoint 2013 integriert. Für PDF-Reader kann ein Steuerelement zum einfachen Öffnen von PDF-Dateien registriert werden, und PDF-Dokumente können mit Microsoft IRM-Diensten geschützt werden. Der IRM-Schutz für PDF-Dokumente ist eine Erweiterung des PDF-Standards, der für PDF-Reader implementiert und unterstützt werden kann. Ein Reader, der diese Funktion bereits unterstützt ist Foxit PDF Reader.
Programmierbarkeit
Ab Office 2013 sind IRM-Einstellungen auf Farm-/Abonnementebene programmgesteuert. In Tabelle 1 wird anhand von Beispielen dargestellt, wie IRM-Einstellungen auf Farm- oder Abonnementebene in Windows PowerShell bearbeitet werden können.
Tabelle 1. IRM-Programmierbarkeit mit PowerShell
Beispiel | Windows PowerShell-Befehl |
---|---|
Aktivieren Sie IRM für die Farm und konfigurieren Sie die Farm für die Verwendung des Standard-RMS-Servers, der in Active Directory konfiguriert ist. | Set-SPIRMSettings -IrmEnabled -UseActiveDirectoryDiscovery |
Aktivieren Sie IRM für die Farm, und geben Sie die URL des zu verwendenden RMS-Servers an. | Set-SPIRMSettings -IrmEnabled -CertificateServerUrl https://myrmsserver |
Aktivieren Sie IRM für den angegebenen Mandanten, und geben Sie die URL des zu verwendenden RMS-Servers an. | Set-SPIRMSettings –IrmEnabled -SubscriptionScopeSettingsEnabled site = Get-SPSite https://myspserver $subscription = $site.SiteSubscription Set-SPSiteSubscriptionIrmConfig -Identity$subscription -IrmEnabled - CertificateServerUrl https://myrmsserver
|
Deaktivieren Sie IRM für die Farm. | Set-SPIRMSettings -IrmEnabled:$false |
Weitere Informationen finden Sie hinter diesen Links zu Beschreibungen von Klassen und APIs auf Dokumentbibliothekebene:
SPInformationRightsManagementSettings-Klasse
SPInformationRightsManagementSettings-Member
SPInformationRightsManagementSettings-Methoden
SPInformationRightsManagementSettings-Eigenschaften
Das folgende Windows PowerShell-Skriptbeispiel veranschaulicht, wie ein Mandantenadministrator die IRM-Richtlinie für alle Dokumentbibliotheken auf Mandantenwebsites aktivieren und konfigurieren kann:
$webUrl = "https://contoso.sharepoint.com"
$username = "admin@contoso.onmicrosoft.com"
$password = ConvertTo-SecureString "password" -AsPlainText -Force
Add-Type -Path "c:Program FilesCommon Filesmicrosoft sharedWeb Server Extensions15ISAPIMicrosoft.SharePoint.Client.dll"
Add-Type -Path "c:Program FilesCommon Filesmicrosoft sharedWeb Server Extensions15ISAPIMicrosoft.SharePoint.Client.Runtime.dll"
$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$ctx.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $password)
$lists = $ctx.Web.Lists
$ctx.Load($lists)
$ctx.ExecuteQuery()
$lists | `
where { $_.BaseTemplate -eq [Microsoft.SharePoint.Client.ListTemplateType]::DocumentLibrary } | `
foreach { `
$_.IrmEnabled = $true; `
$_.InformationRightsManagementSettings.PolicyTitle = "IRM enabled"; `
$_.InformationRightsManagementSettings.PolicyDescription = "This file is protected by SharePoint IRM."; `
$_.Update(); `
Write-Host "IRM enabled on $($_.Title)" `
}
$ctx.ExecuteQuery()
Matrix der Clientunterstützung
In Office 365 werden IRM-Dienste sowohl von SharePoint 2013 Online als auch von Exchange 2013 Online unterstützt. (Um die Dienste nutzen zu können, müssen Sie einen der Office 365-Dienstpläne mit IRM-Unterstützung abonniert haben; diese Pläne sind auf der Office 365-Website) beschrieben.
Tabelle 2 enthält eine Matrix für Clientanwendungen, die in Office 2013 mit IRM-Diensten kompatibel sind.
Tabelle 2. Matrix der Clientanwendungsunterstützung
App | SharePoint 2013 | SharePoint Online 2013 | RMS-Server | RMS Online |
Word, PowerPoint, Excel 2013 (Windows) | Ja | Ja | Ja | Ja |
Word, PowerPoint, Excel 2013 RT | Ja | Ja | Ja | Ja |
Word, PowerPoint, Excel 2010 | Ja | Ja (nach Installation des Office 365-Anmeldeassistenten) | Ja | Ja |
Office für Mac 2010 | Ja | Nein | Ja | Nein |
Outlook auf Windows Phone 7 | NR | NR | Ja | Nein |
Word auf Windows Phone 7 | Ja | Nein | Ja | Nein |
Foxit PDF Reader unter Windows | Ja | Ja (nach Installation des Office 365-Anmeldeassistenten) | Ja | Ja |
Nächste Schritte
Der IRM-Schutz ermöglicht Ihnen eine erweiterte Steuerung der Verteilung und Verwaltung Ihrer digitalen Dokumente. Durch die immer beliebteren Cloud-Dienste und die erschwingliche Verfügbarkeit der Office 365-Plattform sind IRM-Dienste mittlerweile so einfach zu verwenden und so leicht verfügbar wie noch nie. Außerdem steht der neue Dienst jedem kostenlos zum Test zur Verfügung. Melden Sie sich einfach an und machen Sie sich keine Gedanken mehr über den Verlust vertraulicher Microsoft Office- und PDF-Dokumente. Unser Team wünscht sich wie immer Feedback, das uns dabei hilft, den Service weiter zu verbessern, hinterlassen Sie daher gern einen Kommentar.
Es handelt sich hierbei um einen übersetzten Blogbeitrag. Sie finden den Originalartikel unter What's New with Information Rights Management in SharePoint and SharePoint Online?