So, in den letzten drei Beiträgen haben wir gesehen, was eigentlich Windows AZURE Active Directory (WAAD) ist, wie die Einrichtung und Aktivierung funktioniert und wie ein funktionsfähiger Office 365 Preview Account zur Nutzung der vollen Informations Right Management (IRM) Funktionen eingerichtet wird.

Hier noch einmal eine Übersicht der Kapitel:

  • Was ist Windows AZURE Active Directory (Link zum Beitrag)
  • Einrichten von Windows AZURE Active Directory (Link zum Beitrag)
  • Bestellen eines IRM fähigen Office 365 Plans (Link zum Beitrag)
  • Aktivieren der IRM Funktion (dieser Beitrag)
  • Einrichten von SharePoint 2013 für Windows AZURE Active Directory IRM
  • Konfigurieren und Nutzen von SharePoint 2013 für Windows AZURE Active Directory IRM
  • Einrichten von Exchange 2013 für Windows AZURE Active Directory IRM
  • Konfigurieren und Nutzen von Exchange 2013 für Windows AZURE Active Directory IRM
  • tbd

Was ist Active Directory Rights Management?

Mit Windows Azure AD-Rechteverwaltung haben Organisationen mit Microsoft Online Services-Abonnement die Möglichkeit, Inhalt zu verschlüsseln und ihm Nutzungseinschränkungen zuzuweisen. Mit Rechteverwaltung kann Inhalt geschützt werden, der mithilfe von Microsoft Office bzw. anderen Anwendungen oder Diensten, die nach einem Update in den Rechteverwaltung-Dienst integriert wurden, erstellt und ausgetauscht wurde. Durch das Implementieren eines cloudbasierten Rights Management-Diensts ist mit Rechteverwaltung eine Alternative für Kunden verfügbar, welche Datenschutzfunktionen innerhalb von Microsoft Office 365 wünschen.

In Rights Management sind folgende Funktionen enthalten:

Vertrauliche Informationen werden geschützt.
Anwendungen und Dienste wie Microsoft Office 2010 und Microsoft Office Professional Plus 2013-Vorschau, Microsoft SharePoint Online-Vorschau und Microsoft Exchange Online-Vorschau werden für den Schutz vertraulicher Informationen aktiviert. Benutzer und Administratoren können festlegen, wer die Informationen öffnen, modifizieren, drucken, weiterleiten bzw. weitere Aktionen damit ausführen darf. Organisationen erhalten Vorlagen für Nutzungsrichtlinien wie “Unternehmensintern vertraulich – nur Lesezugriff”, die direkt auf die Informationen angewendet werden können.

Dauerhafter Schutz ist verfügbar.

Mit Rechteverwaltung werden Dateien dauerhaft geschützt, auch, wenn sie bewegt werden. Sobald Informationen gesperrt sind, können sie nur von vertrauenswürdigen Entitäten, welchen (ggf. unter den angegebenen Bedingungen) Nutzungsrechte eingeräumt wurden, diese Informationen entsperren oder entschlüsseln.

Nutzungsrechte und -bedingungen können besser verwaltet werden.

Organisationen und Personen können mithilfe von Rights Management Nutzungsrechte und -bedingungen zuweisen und so definieren, wie eine bestimmte vertrauenswürdige Entität rechtegeschützten Inhalt verwenden kann. Beispiele für Nutzungsrechte sind die Berechtigungen zum Lesen, Kopieren, Drucken, Speichern, Weiterleiten und Bearbeiten. Nutzungsrechte können mit Bedingungen kombiniert werden, beispielsweise wann diese Rechte ablaufen.

Integration von Rights Management mit Office 365

Rechteverwaltung ist in SharePoint Online-Vorschau, Exchange Online-Vorschau und weiteren Office 2010- bzw. Office Professional Plus 2013-Vorschau-Anwendungen integriert, um die Rights Management-Funktionen in der gesamten Microsoft Office-Suite verfügbar zu machen. (Beschreibung aus *9)”

 

Aktivieren der IRM Funktion

Sicher wird der eine oder andere nun schon mit dem Account ein wenig “gespielt” haben. Doch gehen wir zurück zu unserem WAAD Management Portal, wo die eigentliche Aktivierung stattfinden wird.

Das Windows AZURE Active Directory Management Portal ist unter dem https:/activedirectory.windowsazure.com/Admin/Default.aspx Link zu erreichen. Dort muss sich der Benutzer mit der Benutzerrolle “Globaler Administrator” anmelden und kommt auf die Start- / Übersichtsseite

Laut der TechNet Informationsseite
*1 haben wir folgenden Nutzen beim Einsatz von IRM in Office 365:

Mit Windows Azure AD-Rechteverwaltung besteht die Möglichkeit zum Schutz vertraulicher Informationen, die mithilfe von Office-Anwendungen und -Diensten wie E-Mail erstellt wurden, sowie anderer Memos und Korrespondenzen, die vertraulich gehandhabt werden müssen. Bei der Veröffentlichung werden dem Inhalt Rechte zugewiesen, und der Inhalt wird in verschlüsselter Form verteilt, sodass er ortsunabhängig beständig geschützt ist. Es können Rechte zugewiesen werden, mit deren Hilfe das Anzeigen, Drucken und Kopieren von Nachrichten bzw. Dokumenten gestattet oder verweigert werden kann. Hierbei wird (eine) vorlagenbasierte Zuweisung verwendet.

Das hört sich so weit ganz gut an… War das schon alles?

Nein.

Microsoft hat so ganz nebenbei nicht nur innerhalb von Office 365 und Office 2013 das Active Directory Right Management System (AD RMS) aktualisiert, sondern vor allem auch noch tiefer in das Windows Server Betriebssystem der Version 2012 integriert. Viele wissen vielleicht gar nicht, das es schon seit längerem im sogenannten “File and Storage Service” (Datei und Speicherdienst) auch ein sogenanntes Feature mit dem Namen “File Server Right Management” (FSRM) verbirgt und sogar eine Infrastruktur Komponente mit dem Namen “Windows Server File classification Infrastructure” (FCI) enthalten ist.

Das FCI Feature kann vereinfacht gesagt, durch Suchoperatoren gesteuert, beliebige Office Dokumente in NTFS Laufwerken nach selbstdefinierten Vorlagen Klassifizieren und kennzeichnen. Ganz neu sind derartige Schnittstellen, diese Funktion nun auch auf PDF oder CAD Dokumente auszuweiten. Als Beispiel soll folgende beispielhafte Bilddarstellung von der Seite “Protect everything: using FCI to protect files of any type with Windows Server 2012*2 dienen:

So rundet sich das Paket nun langsam ab und wir wollen zurück zu unserer Online Version kommen…

Wir müssen nun unsere AD RM Lizenz aktivieren

Und werden noch einmal gefragt, ob wir das wirklich möchten

Und das war es dann auch schon….

Nun können wir es einsetzen.

Das sind die folgenden Schritte, die unbedingt erledigt sein sollten oder sogar erledigt werden müssen:

  1. Schritt 1: Office 365 Konto einrichten
    1. Erledigt
  2. Schritt 2: Konto für die Verwendung von Rights Management vorbereiten
    1. Gruppe / Rollen für die Rechteverwaltung konfigurieren (delegierte Tätigkeiten sind übe PowerShell zu konfigurieren, der “Globale Administrator” hat alle Rechte)
    2. Windows PowerShell Modul für die Rechteverwaltung installieren (nur notwendig, wenn definierte Benutzer oder Sicherheitsgruppen delegierte Aufgaben übernehmen sollen)
  3. Schritt 3: Anwendungen konfigurieren
    1. SharePoint konfigurieren
    2. Exchange konfigurieren
    3. Lokale Applikationen konfigurieren
  4. Schritt 4: Right Management nutzen

 

Konfigurieren von Gruppen bzw. Rollen für die Rechteverwaltung

Nach Aktivierung ist nun auch eine zusätzliche Lizenzinformation in unserem Account hinzugefügt worden

Zu Beginn habe ich mal zwei Benutzer hinzugefügt. Einen SuperUser und einen “normalen” AdminUser für die Rechteverwaltung. Die generelle oder alternative Verwaltung über PowerShell wird später noch einmal aufgeführt. Nicht alle Befehle müssen über PowerShell ausgeführt werden, dies ist nur in bestimmten Anwendungsszenarien notwendig.

Der Benutzer “SuperUser RMS” symbolisiert das zukünftige Mitglied der Gruppe “Superuser”.

Die Gruppe “Superuser” ist eine spezielle Gruppe, der Vollzugriff auf alle mithilfe des Rechteverwaltung-Diensts für Ihre Organisation verwalteten rechtegeschützten Inhalte gewährt werden. Die Mitglieder dieser Gruppe erhalten uneingeschränkten Zugriff für sämtliche Verwendungslizenzen, die von dem Konto herausgegeben werden, von dem der Rechteverwaltung-Dienst verwendet wird, für den die Superusergruppe konfiguriert ist. Superuser können somit sämtliche rechtegeschützten Inhaltsdateien entschlüsseln und den Rechteschutz entfernen.*3

Es ist also nicht nur eine sehr schützenswerte Rolle, sondern vor allem in dem Szenario, das ein Benutzer sein Zertifikat verliert oder das Unternehmen verlässt, ein “Rettungsanker”, um an verschlüsselte Informationen wieder berechtigten Zugriff zu erhalten.

Der Benutzer “AdminUser RMS” symbolisiert hier wiederum einen delegierten Rechteverwaltungsadministrator, der für die administrativen Aufgaben definiert wurde. Nach Aktivierung der RM Funktionen sind zuerst alle Administratoren berechtigt, per PowerShell Rechteverwaltungsaufgaben durchzuführen. Zum Beispiel könnte es vorkommen, dass nur Mitglieder einer bestimmten Sicherheitsgruppe wie die “Personalabteilung” Zugriff auf die Rechteverwaltung haben sollen. Oder aber, Sie wollen die Speicherung der fortlaufenden Protokollierung aller Aktivitäten der Nutzung der RM Funktionen nutzen. Hierbei ist zu beachten, dass aus datenschutzrechtlichen Gründen, die Speicherung der Protokolle geplant sein muss. Das heißt, Sie müssen den Zugriff auf dieses Protokoll schützen. Zusätzlich haben Sie aber auch Ihre Verantwortung im Rahmen des BDSG §9 erfüllt, nämlich die Überwachung des Zugriffs der zu schützenden Daten. *4

Sollten Sie irgendwann mal den Online Dienst kündigen wollen, ist es möglich, eine Migration zu einem lokalen AD RMS durchzuführen. Eine Kündigung des WAAD Dienstes könnte zum Beispiel zum Tragen kommen, wenn Sie die Nutzung des Dienstes weiter um Funktionen ausweiten wollen, welche Online nicht möglich sind. Eine Anleitung zur Migration erhalten Sie in dem unteren Link im Punkt *8

Weitere Informationen zur Delegation von Aufgaben und Rechten sind in den unten genannten Links zu finden.

Im nächsten Beitrag werden wir uns dann um die Konfiguration in SharePoint Online kümmern.

 

Weiterführende Linkliste:

*1 IRM Technet Informationsseite: http://technet.microsoft.com/library/de-de/jj585024

*2 Protect everything: using FCI to protect files of any type with Windows Server 2012: http://blogs.technet.com/b/rms/archive/2012/11/09/protect-everything-using-fci-to-protect-files-of-any-type-with-windows-server-2012.aspx

*3 Superuser für Inhalt mit verwalteten Rechten festlegen: http://technet.microsoft.com/de-de/library/jj585014.aspx

*4 Überwachungsprotokoll für Windows Azure AD Rights Management herunterladen: http://technet.microsoft.com/de-de/library/jj585007

*5 Windows PowerShell für Rights Management installieren: http://technet.microsoft.com/de-de/library/jj585012

*6 Rollenbasierte Administratoren für Rights Management hinzufügen, auflisten und entfernen: http://technet.microsoft.com/de-de/library/jj585030

*7 Verwalten von Rights Management mit Windows PowerShell: http://technet.microsoft.com/library/de-de/jj585027

*8 URL zur Verwendung bei der Migration von Inhalt mit verwalteten Rechten auflisten oder auf AD RMS festlegen: http://technet.microsoft.com/de-de/library/jj584998.aspx

*9 Was ist Active Directory Rights Management in Windows Azure?: http://technet.microsoft.com/de-de/library/jj585026.aspx

 

Tagged with:

Filed under: AzureOffice 2013Office 365 GridOffice 365 PreviewSharePoint 2013

Like this post? Subscribe to my RSS feed and get loads more!