Novidades do Gerenciamento de Direitos de Informação no SharePoint e SharePoint Online

Artigo original publicado no domingo, 11 de novembro de 2012

por Barak Cohen, gerente de projetos líder de serviços de proteção de documentos; Neil Wang, engenheiro de design de softwares em teste de serviços de proteção de documentos

Proteção de documentos na nuvem

O novo Office é a versão que proporciona proteção de documentos usando serviços IRM (Gerenciamento de Direitos de Informação) na nuvem pela primeira vez. Os usuários do Office 365 podem obter um plano de serviços que inclua recursos de IRM de uma nova plataforma de serviço de proteção de documentos chamada Windows AADRM (Azure AD Rights Management) , que faz parte do Office 365 Enterprise (planos 3 e 4) e Academic (planos 3 e 4). Esse recurso é proporcional à capacidade de atribuir um servidor RMS (Gerenciamento de Direitos) do Windows a uma instalação local do SharePoint. Os usuários podem configurar o SharePoint Online para que funcione com o serviço na página Configurações do Locatário do SharePoint Online:

Habilitando o gerenciamento de direitos do AADRM para o locatário do Office 365 no portal do AADRM

Figura 1. Habilitando o serviço IRM na página Configurações do Locatário do SharePoint Online no Office 365

Porém, observe que, por padrão, o serviço de gerenciamento de direitos do AADRM está desativado nas SKUs listadas acima. Os administradores de locatários devem habilitá-lo na locação. Clique no botão Atualizar Configurações de IRM na página Configurações do Locatário para consultar as configurações de AADRM no diretório do Office 365 e atualizar as configurações no SharePoint Online.

Para habilitar o AADRM em locatários do Office 365, acesse este link para ativar o serviço: https://activedirectory.windowsazure.com/RmsOnline/Manage.aspx?brandContextID=O365 (conforme mencionado acima, será necessário ter um plano do Office 365 com AADRM para que isso funcione. Também é preciso fazer logon usando as credenciais de administrador de locatários do Office 365). A página Gerenciamento de Direitos também pode ser acessada pelo menu Proteção de Informações na página de administração do Office 365.

Habilitando o gerenciamento de direitos do AADRM para o locatário do Office 365 no portal do AADRM

Figura 2. Habilitando o gerenciamento de direitos do AADRM para o locatário do Office 365 no portal do AADRM

Você também pode usar o seguinte processo manual para habilitar o serviço:

  1. Baixe o módulo de administração do Windows Azure AD Rights Management (WindowsAzureADRightsManagementAdministration.exe) para Windows PowerShell aqui.

  2. Na pasta local onde o arquivo de instalação do Rights Management está salvo, clique duas vezes em WindowsAzureADRightsManagementAdministration.exe para iniciar a instalação do módulo de administração do Rights Management.

  3. Abra o Windows PowerShell e digite os seguintes comandos:

    • Import-Module AADRM
    • Connect-AadrmService -Verbose
  4. Informe as credenciais do Office 365 Preview quando solicitado. Por exemplo: user@company.onmicrosoft.com

  5. Digite os seguintes comandos:

    • Enable-Aadrm
    • Disconnect-AadrmService

Proteção local de documentos

Localmente, os serviços de IRM ainda têm suporte por meio da associação da função de servidor do AD RMS (Right Management Services) a um farm do SharePoint, conforme descrito no artigo Guia passo a passo do AD RMS. Isso é feito pelo administrador do farm, na página Gerenciamento de Direitos vinculada à página de administração do farm (a configuração comum de uma instalação local é a identificação do Servidor RMS por meio do Active Directory). No SharePoint 2013, as instalações locais podem direcionar apenas servidores RMS locais (observe que o SharePoint Online no Office 365 pode direcionar apenas o AADRM).

Habilitando IRM em um Servidor RMS de um farm do SharePoint

Figura 3. Habilitando IRM em um Servidor RMS de um farm do SharePoint

A configuração de IRM é realizada no nível de farm, por meio da interface do usuário mostrada na Figura 3, ou no nível de assinatura (novo no Office 2013), que é o modo de implementação na nuvem. A configuração do IRM para assinaturas locais do SharePoint específicas exige a marcação da caixa de seleção na Figura 3. Em seguida, um script do Microsoft PowerShell é usado para definir a URL do servido RMS específico a cada assinatura.

Proteger documentos é fácil

Após a configuração online ou local dos serviços de IRM, os administradores do conjunto de sites podem habilitar a proteção IRM em bibliotecas de documentos individuais.

Configurando a proteção IRM em uma biblioteca de documentos

Figura 4. Configurando a proteção IRM em uma biblioteca de documentos

Após a realização dessas configurações, os documentos compatíveis com serviços de IRM do Office serão protegidos após serem baixados para o cliente. As opções adicionais permitem que as pessoas definem direitos de uso mais detalhadamente.

Os direitos de uso são facilmente definidos

A interface do usuário de configurações de IRM de uma biblioteca de documentos foi melhorada no Office 2013, facilitando seu uso. Além de digitar o título e a descrição da política de permissão, os administradores de bibliotecas também podem:

  • Definir direitos de acesso, inclusive direitos de impressão, executar scripts para habilitar leitores de tela ou habilitar gravação em uma cópia do documento (novo no Office 2013)
  • Definir a data de expiração (data após a qual o documento não poderá ser usado)
  • Controlar a inclusão na biblioteca de documentos sem suporte à proteção IRM
  • Controlar a renderização de documentos na biblioteca pelo Office Web Apps (novo no Office 2013)

Os documentos protegidos podem ser renderizados no navegador

Outra novidade do Office 2013 é a renderização, pelo Office Web Apps, de documentos protegidos. Isso significa que, caso um usuário autenticado não tenha um cliente do Office compatível, ele ainda poderá visualizar os documentos usando o Office Web Apps. Observe que, no caso do Web Apps, o documento é apresentado em modo somente leitura. Observe também que a captura de tela de conteúdos protegidos no navegador não é bloqueada (como ocorre nos clientes), mas as informações sobre os documentos protegidos são removidas do cache do navegador. Os administradores de bibliotecas podem bloquear esse recurso marcando a caixa de seleção Impedir a abertura de documentos no navegador para esta Biblioteca de Documentos na página de configuração de direitos de gerenciamento (mostrada na figura 5).

Você pode proteger documentos de grupos

Quando os documentos são baixados de uma biblioteca de documentos do SharePoint habilitada por IRM, todos os tipos de arquivo com suporte são criptografados por padrão, e os direitos ficam restritos ao usuário autenticado que baixou os documentos. Os outros usuários com direito de acesso à mesma biblioteca deverão obter suas próprias cópias. Um dos novos recursos do SharePoint 2013 é a proteção de uma biblioteca para um grupo. Um administrador pode selecionar um grupo do Active Directory e usá-lo para determinar a licença de uso do arquivo. Desse modo, os documentos baixados poderão ser usados por todos os membros do grupo, e o usuário que baixou a cópia poderá transferi-la diretamente para qualquer membro do grupo. No Office 365, esses grupos são criados no ECP (Painel de Controle do Exchange).

Proteção de grupo como parte das configurações avançadas de IRM nas bibliotecas de documentos

Figura 5. Proteção de grupo como parte das configurações avançadas de IRM nas bibliotecas de documentos

Suporte do IRM a documentos do Office e arquivos PDF

Muitas pessoas mostraram interesse em uma maior integração com arquivos PDF no SharePoint e no Office em geral. Outra novidade do Office 2013 é integração mais estreita entre documentos PDF e o SharePoint 2013. Os leitores de PDF podem registrar um controle que permita a abertura simples de arquivos PDF, e esses documentos podem ser protegidos com os serviços de IRM da Microsoft. A proteção IRM de documentos PDF é uma extensão do padrão PDF, que os leitores de PDF podem implementar e à qual podem oferecer suporte. Um leitor que já oferece suporte a esse recurso é o Foxit PDF Reader.

Programação

Agora as configurações de IRM do Office 2013 no nível de farm/assinatura são controladas por programação. A tabela 1 mostra exemplos de como as configurações de IRM no nível de farm e assinatura podem ser manipuladas com o Windows PowerShell.

Tabela 1. Programação de IRM com PowerShell

Exemplo​ Comando do Windows PowerShell​
​Habilitar IRM para o farm e configurá-lo para utilização do servidor RMS padrão configurado no Active Directory. ​Set-SPIRMSettings -IrmEnabled -UseActiveDirectoryDiscovery
​Habilitar IRM par o farm e especificar a URL do servidor RMS que será usado. ​Set-SPIRMSettings -IrmEnabled -CertificateServerUrl https://myrmsserver
​Habilitar IRM para o locatário especificado e especificar a URL do servidor RMS que será usado. ​Set-SPIRMSettings –IrmEnabled -SubscriptionScopeSettingsEnabled site = Get-SPSite https://myspserver $subscription = $site.SiteSubscription Set-SPSiteSubscriptionIrmConfig -Identity$subscription -IrmEnabled - CertificateServerUrl https://myrmsserver
​Desabilitar IRM para o farm. ​Set-SPIRMSettings -IrmEnabled:$false

Para obter mais informações, consulte os links e as descrições de classes e APIs no nível da biblioteca de documentos:

O exemplo de script do Windows PowerShell a seguir mostra como um administrador de locatários pode ativar e configurar a política de IRM para todas as bibliotecas de documentos nos sites do locatário:

$webUrl = "https://contoso.sharepoint.com"
$username = "admin@contoso.onmicrosoft.com"
$password = ConvertTo-SecureString "password" -AsPlainText -Force

Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.dll"
Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.Runtime.dll"

$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$ctx.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $password)
$lists = $ctx.Web.Lists
$ctx.Load($lists)
$ctx.ExecuteQuery()

$lists | `
where { $_.BaseTemplate -eq [Microsoft.SharePoint.Client.ListTemplateType]::DocumentLibrary } | `
foreach { `
$_.IrmEnabled = $true; `
$_.InformationRightsManagementSettings.PolicyTitle = "IRM habilitado"; `
$_.InformationRightsManagementSettings.PolicyDescription = "Este arquivo é protegido pelo SharePoint IRM."; `
$_.Update(); `
Write-Host "IRM habilitado em $($_.Title)" `
}
$ctx.ExecuteQuery()

Matriz de clientes com suporte

Na parte de serviços do Office 365, tanto o SharePoint 2013 Online quanto o Exchange 2013 Online oferecem suporte a serviços IRM (para obter os serviços, você deve ser assinante de um dos planos de serviços do Office 365 que incluem suporte a IRM, conforme descrito no site do Office 365).

A tabela 2 mostra a matriz de cobertura de aplicativos clientes compatíveis com o serviços IRM no Office 2013.

Tabela 2. Matriz de suporte a aplicativos clientes

Aplicativos​ SharePoint 2013 SharePoint Online 2013​ Servidor RMS RMS Online
​Word, PowerPoint, Excel 2013 (Windows) ​Sim ​Sim ​Sim ​Sim
​Word, PowerPoint, Excel 2013 RT ​Sim ​Sim ​Sim ​Sim
​Word, PowerPoint, Excel 2010 ​Sim Sim (após a instalação do assistente de logon do Office 365). ​Sim ​Sim
​Office para Mac 2010 ​Sim ​ Não ​Sim ​Não
​Outlook no Windows Phone 7 ​NR ​NR ​Sim ​Não
​Word no Windows Phone 7 ​Sim ​Não ​Sim ​Não
​Foxit PDF Reader no Windows ​Sim Sim (após a instalação do assistente de logon do Office 365). ​Sim ​Sim

Próximas etapas

A proteção IRM proporciona maior controle sobre a distribuição e o gerenciamento de documentos digitais. Com a popularidade cada vez maior dos serviços na nuvem, juntamente com a disponibilidade e o fácil acesso à plataforma Office 365, os serviços IRM são fáceis de usar e estão mais disponíveis do que nunca. Além disso, o teste do novo serviço pode ser feito gratuitamente. Por isso, vá em frente: inscreva-se e nunca mais se preocupe com vazamento de documentos confidenciais do Microsoft Office e PDFs. Como sempre, nossa equipe está interessada em sua opinião, pois ela nos ajuda a melhorar ainda mais o serviço. Então, sinta-se à vontade para comentar.

Esta é uma postagem de blog traduzida. Consulte o artigo original em What's New with Information Rights Management in SharePoint and SharePoint Online?