SharePoint Foundation における Information Rights Management
最終更新日: 2015年3月9日
適用対象: SharePoint Foundation 2010
この記事の内容
SharePoint Foundation のファイル記憶域
保護されたドキュメントへのユーザー アクセス
SharePoint Foundation で IRM を有効にする
従来、機密情報を制御する方法は、その情報が保存されているネットワークまたはコンピューターへのアクセスを制限することだけでした。しかし、ユーザーにアクセス権が与えられると、コンテンツに対して何を行うか、またはそのコンテンツをだれに送信するかについての制限はありません。Microsoft Information Rights Management (IRM) を使用すると、特定のネットワークの場所ではなく、コンテンツと共に有効な持続性のある一連のアクセス制御を作成できます。このアクセス制御によって、コンテンツを直接制御しなくなった後も、ファイルへのアクセスを制御することができます。
Microsoft SharePoint Foundation 2010 では、ドキュメント ライブラリ内のファイルと、リスト アイテムの添付ファイルとして格納されたファイルに対して IRM を利用できます。サイト管理者は、IRM を使用してドキュメント ライブラリからのダウンロードを保護することを選択できます。ユーザーがライブラリからファイルをダウンロードしようとすると、SharePoint Foundation はユーザーがファイルに対するアクセス許可を持っているかどうかを確認し、適切なアクセス許可レベルでそのファイルにアクセスできるライセンスをそのユーザーに対して発行します。次に、SharePoint Foundation はそのファイルをユーザーのコンピューターにダウンロードします。形式は、暗号化され、アクセス許可が管理されています。
IRM は管理者によってドキュメント ライブラリ レベルで有効にされます。IRM には以下の設定が含まれます。
情報権限ポリシーの名前と説明
権限管理対象ドキュメントのユーザーによる印刷の可否
注意
ユーザーが権限管理対象ドキュメントを印刷するには、表示以上のレベルのアクセス許可を持っている必要があります。
ファイル内の Microsoft Visual Basic for Applications (VBA) およびその他のユーザー設定コードのユーザーによる実行の可否。
ライセンスの有効日数。指定の日数が過ぎるとライセンスは期限切れになり、ユーザーはドキュメント ライブラリからファイルを再度ダウンロードする必要があります。
IRM をサポートしないファイルの種類のアップロードの可否。
このオプションが有効である場合、SharePoint Foundation では、権限を管理できないファイルのアップロードを禁止します。このため、ユーザーは以下のファイルをアップロードできません。
このドキュメント ライブラリに対する特定のファイルの種類のドキュメント (そのファイルの種類に対する IRM プロテクタが SharePoint Foundation に登録されていない場合)。
SharePoint Foundation 以外のアプリケーションによって権限が管理されているドキュメント。たとえば、SharePoint Foundation では、クライアント アプリケーションによって保護されているファイルのアップロードを禁止できます。
オプションで、ドキュメント ライブラリに対するアクセス許可制限を停止する日付。指定日以降、SharePoint Foundation はライブラリ内のドキュメントからすべての権限管理制限を削除します。
指定日以前にダウンロードされた権限管理対象ドキュメントは、指定日以降もクライアント アプリケーションで引き続き権限が管理されます。ドキュメント自体にはこの設定が含まれないためです。ただし、指定日以降にユーザーがドキュメントを再びチェックインした後、ドキュメントの保護は解除されます。
たとえば、ある金融機関は四半期ごとに一定の情報を開示する必要があるとします。ただし、期日前には開示されないように、その情報を含むファイルへのアクセスを制限することが必要になります。
SharePoint Foundation のファイル記憶域
企業の制限により、ファイルを暗号化しない形式で保存する必要がある場合も多いため、SharePoint Foundation では、暗号化した権限管理ファイル形式ではファイルを保存しません。ただし、SharePoint Foundation では、保存されたファイルをユーザーがダウンロードするたびに IRM プロテクタを呼び出して、ファイルを暗号化形式に変換します。同様に、権限管理対象のファイル コピーをユーザーがアップロードすると、SharePoint Foundation では適切な IRM プロテクタを呼び出して、保存前に暗号化しない形式にコピーを変換します。
その結果、IRM が有効になっているドキュメント ライブラリの検索やアーカイブを行うために、カスタム ソリューションを作成する必要はありません。暗号化しない形式でファイルを保存することで、現在の検索インデックス サービスが、サーバーに保存されたコンテンツをクロールできます。検索結果の範囲はあらかじめユーザーのアクセス許可に設定されるので、各自のアクセス レベルを超えたコンテンツを含む検索結果がユーザーの目に触れることはありません。
保護されたドキュメントへのユーザー アクセス
SharePoint Foundation では、ユーザーのアクセス制御リスト (ACL) エントリに基づいて、ユーザーに付与するアクセス権を決定します。表 1 は、ACL 内のユーザーのアクセス許可レベルと、それに対応する IRM 保護ファイルのアクセス許可です。
注意
示されるアクセス許可は追加式です。つまり、各アクセス許可レベルには、それ以下のアクセス許可レベルのアクセス権が含まれます。
表 1. ユーザーの ACL アクセス許可と対応する IRM アクセス許可
ACL の権限 |
IRM のアクセス許可 |
|---|---|
権限の管理 Web の管理 |
クライアント アプリケーションによって定義された、ドキュメントのフル コントロール。通常、これによりユーザーはドキュメントの読み取り、編集、コピー、および変更のアクセス許可が付与されます。 |
リスト アイテムの編集 リストの管理 ページの追加とカスタマイズ |
編集、コピー、および保存のアクセス許可。ドキュメント ライブラリの IRM 設定でドキュメントの印刷が許可される場合のみ、ユーザーはドキュメントを印刷できます。 |
リスト アイテムの表示 |
読み取りアクセス許可。ユーザーはドキュメントを読み取ることができますが、コンテンツのコピーまたは編集はできません。ドキュメント ライブラリの IRM 設定でドキュメントの印刷が許可される場合のみ、ユーザーはドキュメントを印刷できます。 |
他のすべての ACL 権限設定 (ユーザー情報の編集など) |
該当なし (対応する IRM アクセス許可はありません)。 |
権限管理対象ドキュメントをユーザーが要求すると、SharePoint Foundation では、ユーザーのアクセス許可に基づいて、保護されたファイルをユーザーにダウンロードします。この時点で、SharePoint Foundation は保護されたコンテンツの主要所有者になります。とりわけ、SharePoint Foundation が権限管理対象ドキュメントの所有者になったプロセスの所有者です。ドキュメントを要求したユーザーは、ドキュメントの使用者として追加されます。このユーザーは、適切なアクセス許可が付与されたエンドユーザー ライセンス (EUL) を取得できます。SharePoint Foundation とこのユーザーのみが、ダウンロードされたファイルに対する権限を持ちます。たとえば、このユーザーは権限管理対象ファイルを別のユーザーに送信することはできません。そのユーザーも SharePoint Foundation ドキュメント ライブラリ内のファイルへのアクセス許可を持っているとしても同様です。代わりに、そのユーザーはドキュメント ライブラリにアクセスして、ドキュメントを直接ダウンロードする必要があります。
SharePoint Foundation で IRM を有効にする
IRM はドキュメント ライブラリ レベルで有効化されます。ただし、ドキュメント ライブラリ レベルのオプションであるためには、SharePoint Foundation 全体に対して IRM を構成する必要があります。SharePoint Foundation で IRM を有効にするには、通常、各フロントエンド Web サーバーに権限管理プラットフォームをインストールし、SharePoint Foundation および任意の関連サービス アカウントがそのプラットフォーム上で必要なアクセス許可を持つようにする必要があります。
これらの手順を実行した後、サイト管理者とドキュメント ライブラリ管理者は、適切なアクセス許可を持つドキュメント ライブラリで IRM を有効にすることができます。
これらの手順を実行する方法の詳細については、SharePoint Foundation IT Pro のドキュメントを参照してください。
統合および自律プロテクタの詳細については、「カスタム IRM プロテクタ」を参照してください。