Novità di Information Rights Management in SharePoint e SharePoint Online

Articolo originale pubblicato domenica 11 novembre 2012

di Barak Cohen, Lead PM Document Protection Services; Neil Wang, SDET Document Protection Services

Protezione dei documenti nel cloud

La nuova versione di Office porta per la prima volta la protezione dei documenti nel cloud usando i servizi di Information Rights Management (IRM). Gli utenti di Office 365 possono ottenere un piano che include le funzionalità di IRM dotate di un nuovo servizio di protezione dei documenti anche noto come Windows Azure AD Rights Management (AADRM) , parte del Piano 3 e Piano 4 di Office 365 Enterprise, e dei Piani "Academic" 3 e 4. Questa funzionalità è simmetrica alla possibilità di assegnare un server di Windows Right Management alle installazioni locali di SharePoint. Gli utenti possono configurare SharePoint Online affinché funzioni con il servizio nella pagina delle impostazioni tenant di SharePoint Online:

Attivazione della gestione dei diritti AADRM per il tenant di Office 365 nel portale AADRM

Figura 1. Attivazione del servizio IRM in Office 365, nella pagina delle impostazioni tenant di SharePoint Online

Negli SKU elencati in precedenza, il servizio di gestione dei diritti AADRM non è attivo per impostazione predefinita. Gli amministratori devono abilitarlo per la propria tenancy. Facendo clic sul pulsante Aggiorna impostazioni IRM nella pagina delle impostazioni tenant si esegue una query sulla directory di Office 365 per le impostazioni AADRM, e si aggiornano le impostazioni in SharePoint Online.

Per abilitare AADRM per i tenant di Office 365 potete accedere a questo indirizzo: https://activedirectory.windowsazure.com/RmsOnline/Manage.aspx?brandContextID=O365. Come già detto, è necessario disporre di un piano di Office 365 con AADRM, nonché di accedere con le credenziali tenant di Office 365. Si può accedere alla pagina di Rights Management attraverso il menu Information Protection (Protezione informazioni) della pagina di amministrazione di Office 365.

Attivazione della gestione dei diritti AADRM per il tenant di Office 365 nel portale AADRM

Figura 2. Attivazione della gestione dei diritti AADRM per il tenant di Office 365 nel portale AADRM

Per attivare il servizio, è possibile seguire anche il processo manuale seguente:

  1. Scaricare il modulo di amministrazione Windows Azure AD Rights Management (WindowsAzureADRightsManagementAdministration.exe) per Windows PowerShell qui.

  2. Nella cartella locale in cui è stato scaricato e salvato il file di installazione di Rights Management, fare doppio clic su WindowsAzureADRightsManagementAdministration.exe per avviare il modulo di amministrazione di Rights Management.

  3. Aprire Windows PowerShell e digitare i comandi seguenti:

    • Import-Module AADRM
    • Connect-AadrmService -Verbose
  4. Quando richiesto, inserire le credenziali di Office 365 Preview. Ad esempio: user@company.onmicrosoft.com

  5. Digitare i comandi seguenti:

    • Enable-Aadrm
    • Disconnect-AadrmService

Protezione dei documenti in locale

In locale, i servizi di IRM sono supportati mediante associazione del ruolo server AD RMS (Right Management Services) alla farm di SharePoint, come descritto nell'articolo Guida dettagliata ad Active Directory Rights Management Services di Windows Server. Ciò viene eseguito dall'amministratore della farm nella pagina di Information Rights Management collegata dalla pagina di amministrazione della farm (la configurazione comune per le installazioni in locale è l'identificazione del server RMS attraverso Active Directory). In SharePoint 2013, le installazioni in locale possono essere indirizzate soltanto verso server RMS locali. SharePoint Online in Office 365 può essere indirizzato solo verso AADRM.

Attivazione di IRM su un server RMS in una farm di SharePoint

Figura 3. Attivazione di IRM su un server RMS in una farm di SharePoint

L'impostazione di IRM avviene a livello di farm attraverso l'interfaccia utente mostrata nella Figura 3, oppure a livello di sottoscrizione (novità in Office 2013), ovvero il modo in cui è implementato nel cloud. L'impostazione di IRM su sottoscrizioni specifiche di SharePoint in locale richiede che sia selezionata la casella di controllo nella Figura 3. Uno script di Microsoft PowerShell è quindi utilizzato per impostare l'URL del server RMS specifico per ciascuna sottoscrizione.

La protezione dei documenti è semplice

Dopo che i servizi IRM sono configurati online o in locale, gli amministratori delle raccolte siti possono abilitare la protezione IRM sulle raccolte documenti individuali.

Impostazione della protezione IRM su una raccolta documenti

Figura 4. Impostazione della protezione IRM su una raccolta documenti

Una volta configurate le impostazioni, i documenti compatibili con i servizi IRM di Office sono protetti dopo il download nel client. Le opzioni aggiuntive consentono di impostare i diritti di utilizzo in maniera più granulare.

I diritti di utilizzo sono facilmente impostabili

In Office 2013 l'interfaccia delle impostazioni IRM per le raccolte documenti è stata migliorata, ed è più semplice da utilizzare. Oltre a scrivere i titoli e la descrizione dei criteri di autorizzazione, gli amministratori delle raccolte possono:

  • Impostare i diritti di accesso, inclusi i diritti di stampare, eseguire script per abilitare screen reader, oppure abilitare la scrittura in una copia del documento (novità in Office 2013)
  • Impostare la data di scadenza (data dopo la quale il documento non può più essere utilizzato
  • Decidere se i documenti che non supportano la protezione IRM possono essere inclusi nella raccolta
  • Decidere se Office Web Apps può eseguire il rendering dei documenti nella raccolta (novità in Office 2013)

Il rendering dei documenti protetti può essere eseguito nel browser

Un'altra novità in Office 2013 consiste nel fatto che Office Web Apps può eseguire il rendering dei documenti protetti. Perciò, se un utente autenticato non dispone di un client di Office compatibile, può comunque visualizzare i documenti usando Office Web Apps. Nel caso delle applicazioni Web, il documento è presentato in modalità di sola lettura. Inoltre, la schermata del contenuto protetto nel browser non è bloccata (come lo è nei client), ma le informazioni sui documenti protetti sono eliminate dalla cache del browser. Gli amministratori delle raccolte possono impedire questa funzionalità selezionando la casella di controllo Impedisci l'apertura di documenti nel browser per questa raccolta documenti nella pagina delle impostazioni di Information Right Management (mostrata nella Figura 5).

È possibile proteggere i documenti per i gruppi

Quando si scaricano documenti da una raccolta di SharePoint abilitata per IRM, per impostazione predefinita ciascun tipo di file è crittografato, e le autorizzazioni sono limitate all'utente autenticato che ha scaricato i documenti. Gli altri utenti che dispongono di autorizzazioni per la stessa raccolta devono ottenere la propria copia. Una delle nuove caratteristiche supportate da SharePoint 2013 è la protezione di una raccolta per un gruppo. Un amministratore può scegliere un gruppo di Active Directory e usarlo per timbrare la licenza di utilizzo del file. I documenti scaricati possono quindi essere usati da tutti i membri del gruppo, e l'utente che ha scaricato la copia può trasferirla a un altro membro del gruppo direttamente. In Office 365 questi gruppi vengono creati nel Pannello di controllo di Exchange.

Protezione del gruppo come parte delle impostazioni IRM avanzate nelle raccolte documenti

Figura 5. Protezione del gruppo come parte delle impostazioni IRM avanzate nelle raccolte documenti

IRM supporta i documenti di Office e i file PDF

Molti utenti si sono mostrati interessati a una maggiore integrazione dei file PDF in SharePoint e, più in generale, in Office. Una delle novità di Office 2013 consiste nel fatto che i documenti PDF sono meglio integrati in SharePoint 2013. I lettori PDF possono memorizzare un controllo che consente l'apertura agevole di file PDF, e i documenti PDF possono essere protetti attraverso i servizi IRM di Microsoft. La protezione IRM è una estensione dello standard PDF, che i lettori PDF sono in grado di implementare e supportare. Un lettore che già supporta questa caratteristica è Foxit PDF.

Programmabilità

Una novità di Office 2013 consiste nel fatto che le impostazioni IRM a livello di farm/sottoscrizione sono controllate programmaticamente. Nella Tabella 1 sono mostrati esempi del modo in cui le impostazioni IRM a livello di farm/sottoscrizione possono essere manipolate da Windows PowerShell.

Tabella 1. Programmabilità IRM con PowerShell

Esempio Comando di Windows PowerShell​
​Abilitare IRM per la farm e configurarlo affinché usi il server RMS predefinito configurato in Active Directory. ​Set-SPIRMSettings -IrmEnabled -UseActiveDirectoryDiscovery
​Abilitare IRM per la farm e specificare l'URL del server RMS da usare. ​Set-SPIRMSettings -IrmEnabled -CertificateServerUrl https://myrmsserver
​Abilitare IRM per il tenant specificato e specificare l'URL del server RMS da usare. ​Set-SPIRMSettings –IrmEnabled -SubscriptionScopeSettingsEnabled site = Get-SPSite https://myspserver $subscription = $site.SiteSubscription Set-SPSiteSubscriptionIrmConfig -Identity$subscription -IrmEnabled - CertificateServerUrl https://myrmsserver
​Disattivare IRM per la farm. ​Set-SPIRMSettings -IrmEnabled:$false

Per ulteriori informazioni è possibile visitare i collegamenti seguenti, in cui sono presenti descrizioni delle classi e delle API a livello di raccolta documenti:

L'esempio seguente di script di Windows PowerShell mostra in che modo un amministratore tenant può attivare e configurare criteri IRM per tutte le raccolte documenti nei siti tenant:

$webUrl = "https://contoso.sharepoint.com"
$username = "admin@contoso.onmicrosoft.com"
$password = ConvertTo-SecureString "password" -AsPlainText -Force

Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.dll"
Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.Runtime.dll"

$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$ctx.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $password)
$lists = $ctx.Web.Lists
$ctx.Load($lists)
$ctx.ExecuteQuery()

$lists | `
where { $_.BaseTemplate -eq [Microsoft.SharePoint.Client.ListTemplateType]::DocumentLibrary } | `
foreach { `
$_.IrmEnabled = $true; `
$_.InformationRightsManagementSettings.PolicyTitle = "IRM enabled"; `
$_.InformationRightsManagementSettings.PolicyDescription = "This file is protected by SharePoint IRM."; `
$_.Update(); `
Write-Host "IRM enabled on $($_.Title)" `
}
$ctx.ExecuteQuery()

Matrice client supportati

Per quanto riguarda i servizi di Office 365, sia SharePoint 2013 Online che Exchange 2013 Online supportano i servizi IRM. Per ottenere i servizi, bisogna sottoscrivere uno dei piani di Office365 che comprendono il supporto IRM, come illustrato nel Sito Web di Office 365.

Nella tabella 2 è illustrata una matrice di copertura per le applicazioni client compatibili con i servizi IRM in Office 2013.

Tabella 2. Matrice di supporto per le applicazioni client

App​ SharePoint 2013 SharePoint Online 2013​ RMS Server RMS Online
​Word, PowerPoint, Excel 2013 (windows) ​Sì ​Sì ​Sì ​Sì
​Word, PowerPoint, Excel 2013 RT ​Sì ​Sì ​Sì ​Sì
​Word, PowerPoint, Excel 2010 ​Sì ​Sì (dopo l'installazione di Assistente per l'accesso a Office 365.) ​Sì ​Sì
​Office per Mac 2010 ​Sì ​ No ​Sì ​No
​Outlook su Windows Phone 7 ​NR ​NR ​Sì ​No
​Word su Windows Phone 7 ​Sì ​No ​Sì ​No
​Foxit PDF reader su Windows ​Sì Sì (dopo l'installazione di Assistente per l'accesso a Office 365.)

Passaggi successivi

La protezione IRM offre maggiore controllo sul modo in cui si distribuiscono e gestiscono i documenti digitali. L'aumento della popolarità dei servizi cloud e della disponibilità e convenienza della piattaforma Office 365 rende i servizi IRM più semplici da usare e più disponibili di prima. Inoltre, il nuovo servizio può essere provato da tutti, senza nessun costo. Allora, cosa aspettate? Iscrivetevi e non avrete più preoccupazioni relative a fughe di informazioni da documenti di Microsoft Office e PDF. Come sempre, siamo interessati alle vostre opinioni per migliorare i nostri servizi, perciò sentitevi liberi di commentare!

Questo è un post di blog localizzato. L'articolo originale è disponibile in What's New with Information Rights Management in SharePoint and SharePoint Online?