Jetzt haben wir im letzten Beitrag die IRM Funktionen in SharePoint Online in unserem Office 365 Preview Account aktiviert. Weiter geht es mit der Nutzung und dem Erstellen unserer ersten Dokumente.

Sobald Benutzer Dateien aus einer mit IRM verschlüsselten SharePoint Liste oder Bibliothek herunterladen, werden diese so verschlüsselt, dass nur berechtigte Personen die Dokumente lesen können.

Die Übersicht der Kapitel

  • Was ist Windows AZURE Active Directory (Link zum Beitrag)
  • Einrichten von Windows AZURE Active Directory (Link zum Beitrag)
  • Bestellen eines IRM fähigen Office 365 Plans (Link zum Beitrag)
  • Aktivieren der IRM Funktion (Link zum Beitrag)
  • Einrichten von SharePoint 2013 für Windows AZURE Active Directory IRM (Link zum Beitrag)
  • Konfigurieren und Nutzen von SharePoint 2013 für Windows AZURE Active Directory IRM (dieser Beitrag)
  • Einrichten von Exchange 2013 für Windows AZURE Active Directory IRM
  • Konfigurieren und Nutzen von Exchange 2013 für Windows AZURE Active Directory IRM
  • tbd

Konfigurieren und Nutzen von SharePoint 2013 für Windows AZURE Active Directory IRM

Wenn Benutzer Dateien in einer IRM-fähigen Liste oder Bibliothek herunterladen, werden die Dateien verschlüsselt, sodass sie nur von autorisierten Personen angezeigt werden können. Außerdem enthält jede Datei, deren Rechte verwaltet werden, eine Veröffentlichungslizenz, mit der für die Personen, die die Datei anzeigen, Einschränkungen auferlegt werden. Typische Einschränkungen sind das Aktivieren des Schreibschutzes für eine Datei, das Deaktivieren des Kopierens von Text, das Verhindern des Speicherns einer lokalen Kopie und das Verhindern des Druckens einer Datei. Clientprogramme, die Dateitypen mit IRM-Unterstützung lesen können, erzwingen diese Einschränkungen mithilfe der Veröffentlichungslizenz in der Datei, deren Rechte verwaltet werden. Auf diese Weise behält eine Datei, deren Rechte verwaltet werden, den Schutz auch nach dem Herunterladen vom Server bei. Informationen zum Aktivieren von IRM für eine Liste oder Bibliothek finden Sie unter Anwenden der Verwaltung von Informationsrechten auf eine Liste oder Bibliothek” (Quelle *1)

SharePoint Online unterstützt die Verschlüsselung folgender Dateitypen:

  • PDF
  • Die 97-2003-Dateiformate für die folgenden Microsoft Office-Programme: Word, Excel und PowerPoint
  • Die Office Open XML-Formate für die folgenden Microsoft Office-Programme: Word, Excel und PowerPoint
  • Das Format XML Paper Specification (XPS)

Konfigurieren eines neuen geschützten Speichers

Zur besseren Demonstration werden wir eine neue SharePoint Site unterhalb der Teamsite anlegen. Dies entspricht auch der gängigen Praxis in Projekten. Das heißt, wir stellen uns vor, dass wir in unserem Team nun ein Projekt bearbeiten und während der Projektlaufzeit zu schützende Dokumente erstellt werden sollen oder müssen. Aus meiner Praxis als IT-Infrastruktur Architekt und Projektleiter wären die zum Beispiel folgenden Klassifizierungen:

  • Due Dilligence – Dokumente, welche während einer Angebotsphase mit dem Kunden ausgetauscht werden. Häufig haben Kunden sogenannte Anforderungsspezifikationen. Je nach Größe oder Firmierung müssen durch den Kunden zusätzliche Regularien eingehalten werden, wie zum Beispiel die Ausschreibung von Dienstleistungen und Lieferungen. Dadurch sendet der Kunde seine Fragen an mehrere Anbieter. Um als Anbieter sicher zu gehen, dass nur der Kunde die jeweiligen Antworten und Umsetzungsvorschläge lesen kann, macht es Sinn, diese Dokumente zu schützen und somit ein versehentliches Weiterleiten an Mitbewerber zu verhindern.
  • Angebots- und Preisunterlagen – Selbstverständlich sollten generelle für den Kunden bestimmte Unterlagen auch nur durch den Kunden lesbar sein.
  • Projektarbeitszeiten – Zur Steuerung eines Projekts und zur eventuellen Abrechnung von Arbeitsleistungen durch Projektmitarbeiter, müssen projektspezifische Stundenzettel durch die Mitarbeiter erstellt werden. Diese “personenbezogenen Dokumente” werden im deutschen Datenschutzrecht als “vertraulich” eingestuft. Das bedeutet, dass ausschließlich zu diesem Zweck diese Daten (mit Zustimmung des Betriebsrats) diese Informationen ausgewertet werden dürfen. Zudem kann es vorkommen, das der Anbieter Unterstützung durch weitere Zulieferer erhält, was aber der Kunde nicht erfahren soll oder darf (“Fremddienstleister” im Namen des Auftraggebers).
  • IT-Infrastruktur Dokumente – In einem IT-Infrastruktur Projekt werden unter Umständen sensible Daten und Informationen über die IT des Kunden und / oder des Anbieters erstellt oder ausgetauscht. Seitens des Auftraggebers muss sichergestellt sein, dass nur im Projekt involvierte Mitarbeiter Zugriff auf diese Dokumente haben.

Es gibt also auf Anhieb einige Szenarien, die sehr schnell den Bedarf einer Verschlüsselung von Dokumenten begründen. Hierbei ist es unerheblich, wo und auf welchem Speicherplatz diese Dokumente ausgetauscht werden. Die hier genannten Sicherheitsanforderungen bestehen sowohl in einer lokalen Umgebung wie auch in einer Online bereitgestelltem SharePoint bzw. Office 365 Umgebung.

Wie beschrieben, erstellen wir eine neue Projektseite, um die Dokumente zu strukturieren und gezielt nach den Anforderungen zu verschlüsseln.

Auf der Startseite der Teamwebseite http://Domain.sharepoint.com klicken wir auf den Menüpunkt “Websiteinhalte

Und klicken anschließend unten auf den Punkt “Neue Website” zu klicken

In der nun folgenden Auswahl nutzen wir die Vorlage “Projektwebseite” und geben dem ganzen einen Titel etc. ein. Aus alter Gewohnheit gebe ich in der URL nie einen Namen ohne “_” (Underscore) ein, damit keine hässlichen Sonderzeichen in den Links später erscheinen.

 

Nach dem Erstellen unserer Projektarbeitsseite werden auch schon die ersten Aufgaben angeboten. Wir wollen uns aber um Listen und Bibliotheken kümmern und klicken daher auf die App-Verwaltung, wo wir dann auch die “Dokumentenbibliothek App” auswählen.

Ich habe nun zwei verschiedene Bibliotheken hinzugefügt. Eine mit dem Namen “Due_Dilligence” um wie oben erwähnt den Sonderzeichen aus dem Weg zu gehen. Dies sieht natürlich nicht so “schön” aus, daher werden wir den sichtbaren Titel gleich in den Einstellungen ändern.

In den Einstellungen habe ich den Teil der URL markiert. Sicher, SharePoint 2013 zeigt keine Sonderzeichen an, aber ist das W3W Konform? Ich muss doch leider noch immer davon ausgehen, das andere Browser oder andere Applikationen das Leerzeichen als Fehler interpretieren.

Schnell den Titel angepasst und schon sieht wieder alles “schön” aus, aber dafür ohne eventuelle Fehler in der Navigation.

 

Nun wollen wir aber die ersten IRM (Informations Rights Management) Rechte einstellen.
Dazu gehen wir in das Menü “Verwaltung von Informationsrechten

 

Anschließend aktivieren wir die Option, Geben einen Namen (Titel) und eine Beschreibung ein und klicken zusätzlich auf “Optionen anzeigen

Je nach Anforderung können einige Einstellungen die Einschränkungen herabstufen oder heraufstufen. In diesem Beispiel möchte ich:

  • Es dürfen nur Dokumente gespeichert werden, die IRM unterstützen
  • Der Zugriff auf heruntergeladene Dokumente endet nach (als Beispiel) 7 Tagen
  • Die Anmeldeinformationen müssen überprüft werden
  • Ich benutze keine Gruppe zur Steuerung mehrere Benutzer gelichzeitig, sondern weise die Berechtigung explizit den einzelnen Benutzern zu, die Zugriff auf diese Bibliothek erhalten. Ich gehe derzeit auch nicht davon aus, das Benutzer mit unterschiedlichen Zugriffsanforderungen diesem Projekt beitreten werden.

Wollen wir nun mal testen, wie das nach der Aktivierung aussieht….. Dazu werden einige Testdokumente in die Bibliothek hochgeladen.

Diese Dokumente sollen dann im Webbrowser geöffnet werden, welches im Übrigen die Standardeinstellung einer Bibliothek bei SharePoint 2013 Online ist. Das hat immerhin den Vorteil, das gerade in diesem Szenario zum Lesen der geschützten Dokumente kein kompatibler Client (außer bei PDF à siehe *3) installiert sein muss.

Doch leider scheint sich nun bei mir ein Fehler eingeschlichen zu haben….

Hier sind einige Fehlermeldungen zum Versuch sowohl in der Bibliothek wie auch in der Liste.

Zumindest wird endlich ein Hinweis auf ein generelles IRM Problem angezeigt.

 

Erst das Erstellen eines Worddokumentes direkt in der WordApp und das darauf folgende Speichern scheint im Moment teilweise zu funktionieren. Zumindest, wenn man direkt auf den Dokumentennamen klickt, öffnet sich das WordApp Fenster mit dem Text des Dokumentes und man kann durch aus die Einschränkungen sehen. Kein Drucken möglich und der Export funktioniert auch nicht.

 

Nachdem ich nun heute Nacht doch keine Augen für die Fehlersuche offen lassen konnte, habe ich mich gerade wieder an das Problem drangesetzt und einen neuen Fehler erhalten.

Wir konnten ja oben schon sehen, das zumindest bei der englischsprachigen Website das Öffnen im Word Viewer der Office Web Apps möglich war. Nun scheint der gesamte Server nicht erreichbar zu sein.

Daher nutze ich diese Gelegenheit, um die Anleitung hier erst einmal zu beenden und den Nachweis schuldig zu sein. Immerhin sprechen wir hier von einer “Preview” Version, was eine BETA Version ist, auch wenn es einen neuen Namen hat. Da ich aber schon einige Screen gesehen habe, wo dies erfolgreich dargestellt wurde, sehe ich die Anleitung nicht als gescheitert an J

Zu guter Letzt, die Konfiguration von SharePoint Online mit WAAD und RM Integration befähigt jeden verantwortungsbewussten Dateninhaber (im Sinne des BDSG), seine Informationen zu schützen und seinen pflichten nachzukommen. Es ist zwar Schade, dass dies erst ab dem Applikationsplan 2 oder E3 möglich ist, aber bei dem Preis ist immerhin auch ein funktionsfähiger Office Client enthalten, der eine volle IRM Unterstützung gewährleistet.

Zum Abschluss noch ein paar Kompatibilitätslisten aus der TechNet (Quelle
*2), damit dieser Beitrag inhaltlich komplett ist.

 

Optionen der IRM Richtlinie:

Zweck Aktion
Drucken von Dokumenten aus dieser Liste oder Bibliothek zulassen. Aktivieren Sie das Kontrollkästchen Benutzer dürfen Dokumente drucken.
Zulassen, dass Benutzer, die zumindest über die Berechtigung Elemente anzeigen verfügen, eingebetteten Code oder Makros in einem Dokument ausführen können. Aktivieren Sie das Kontrollkästchen Benutzern programmgesteuert Zugriff gewähren.
Hinweis Wenn Sie diese Option auswählen, können Benutzer Code ausführen, um die Inhalte eines Dokuments zu extrahieren.
Erzwingen, dass die Benutzer ihre Anmeldeinformationen in bestimmten Intervallen überprüfen.
Wählen Sie diese Option aus, wenn Sie den Zugriff auf Inhalt auf einen bestimmten Zeitraum beschränken möchten. Wenn Sie diese Option auswählen, laufen die Veröffentlichungslizenzen der Benutzer für den Zugriff auf Inhalt nach der angegebenen Anzahl von Tagen ab und sie müssen auf dem Server ihre Anmeldeinformationen überprüfen und eine neue Version herunterladen.
Aktivieren Sie das Kontrollkästchen Benutzer müssen ihre Anmeldeinformationen überprüfen nach jeweils, und geben Sie an, wie viele Tag das Dokument angezeigt werden kann.
Hindern der Benutzer am Hochladen von Dokumenten, die IRM für diese Liste oder Bibliothek nicht unterstützen.
Wenn Sie diese Option auswählen, können Benutzer die folgenden Dateitypen nicht hochladen:

  • Dateitypen, für die nicht der entsprechende IRM-Schutz auf allen Front-End-Webservern installiert ist.
  • Dateitypen, die von SharePoint Server 2010 nicht entschlüsselt werden können.
  • Dateitypen, die in einem anderen Programm mit IRM geschützt werden.
Aktivieren Sie das Kontrollkästchen Benutzer dürfen keine Dokumente hochladen, die IRM nicht unterstützen.
Aufheben eingeschränkter Berechtigungen in dieser Liste oder Bibliothek an einem bestimmten Datum. Aktivieren Sie das Kontrollkästchen Berechtigungen für Dokumente in dieser Bibliothek aufheben am, und wählen Sie dann das gewünschte Datum aus.

 

Mit IRM zu schützender Inhalt

Mit IRM wird eingeschränkter Inhalt wie folgt geschützt:

  • Hindert einen autorisierten Benutzer am Kopieren, Ändern, Drucken, Faxen oder Kopieren und Einfügen von Inhalt für die unerlaubte Verwendung
  • Hindert einen autorisierten Benutzer am Kopieren von Inhalt mithilfe des Features Druck in Microsoft Windows
  • Hindert einen nicht autorisierten Benutzer am Anzeigen des Inhalts einer E-Mail, nachdem sie vom Server heruntergeladen wurde
  • Beschränkt den Zugriff auf Inhalte auf einen bestimmten Zeitraum, nach dessen Ablauf die Benutzer ihre Anmeldeinformationen bestätigen und den Inhalt erneut herunterladen müssen
  • Erzwingt Unternehmensrichtlinien zur Verwendung und Verteilung von Inhalt innerhalb der Organisation

 

Mit IRM nicht zu schützender Inhalt

Mit IRM kann eingeschränkter Inhalt vor Folgendem nicht geschützt werden:

  • Löschen, Diebstahl, Erfassen oder Übertragen durch bösartige Programme wie trojanische Pferde, Programme zur Aufzeichnung der Tastatureingabe und bestimmte Spywaretypen
  • Verlust oder Beschädigung aufgrund von Computerviren
  • Manuelles Kopieren oder erneutes Eingeben von auf dem Bildschirm angezeigtem Inhalt
  • Digitale oder konventionelle Fotos von auf dem Bildschirm angezeigtem Inhalt
  • Kopieren durch die Verwendung von Bildschirmaufnahmeprogrammen von Drittanbietern
  • Kopieren von Inhaltsmetadaten (Spaltenwerte) durch die Verwendung von Bildschirmaufnahmeprogrammen von Drittanbietern oder durch Kopieren und Einfügen

 

Berechtigungen und Berechtigungstypen

Die Beschränkungstypen, die auf eine Datei angewendet werden, wenn sie aus einer Liste oder Bibliothek heruntergeladen wird, basieren auf den Berechtigungen des einzelnen Benutzers auf der Website, die die Datei enthält. In der folgenden Tabelle wird erklärt, wie die Berechtigungen für Websites den IRM-Berechtigungen entsprechen.

Berechtigungen IRM-Berechtigungen
Berechtigungen verwalten, Website verwalten Vollzugriff (gemäß Definition durch das Clientprogramm): Mit dieser Berechtigung kann ein Benutzer im Allgemeinen Berechtigungen von Inhalt, dessen Rechte verwaltet werden, lesen, bearbeiten, kopieren, speichern und ändern.
Elemente bearbeiten, Listen verwalten, Seiten hinzufügen und anpassen Bearbeiten, Kopieren und Speichern: Ein Benutzer kann eine Datei nur drucken, wenn das Kontrollkästchen Benutzer dürfen Dokumente drucken auf der Seite Einstellungen für die Verwaltung von Informationsrechten für die Liste oder Bibliothek aktiviert ist.
Elemente anzeigen Lesen: Ein Benutzer kann das Dokument drucken, aber dessen Inhalt nicht kopieren oder ändern. Ein Benutzer kann nur drucken, wenn das Kontrollkästchen Benutzer dürfen Dokumente drucken auf der Seite Einstellungen für die Verwaltung von Informationsrechten für die Liste oder Bibliothek aktiviert ist.
Andere Keine anderen Berechtigungen entsprechen direkt IRM-Berechtigungen.

 

SharePoint-kompatible PDF Reader, die IRM-Dienste von Microsoft unterstützen (Quelle
*3)

Microsoft SharePoint 2013 unterstützt den IRM-Schutz (Information Rights Management, Verwaltung von Informationsrechten) von PDF-Dokumenten. Dadurch können Benutzer PDF-Dokumente in IRM-geschützte Bibliotheken hochladen, und die Dateien werden beim Herunterladen mithilfe von Microsoft Office IRM geschützt.

Damit PDF-Dateien in Bibliotheken, die der Besitzer mit IRM geschützt hat, verwendet werden können, benötigt der Benutzer einen der folgenden PDF-kompatiblen Reader:

Betriebssystem Kompatible Reader Link für den Download
Windows Vista Foxit Reader Download von Foxit Reader
Windows 7 Foxit Reader Download von Foxit Reader
Windows 8 (klassischer Modus) Foxit Reader Download von Foxit Reader
Windows Phone N/V N/V
MacOS N/V N/V
iOS N/V N/V

.

Weitere Infos: FOXIT® READER DELIVERS MICROSOFT® AD RMS CLIENT 2.0 COMPLIANCE: http://www.foxitsoftware.com/company/press.php?action=view&page=201211121804.html

Quellen:

*1 Einrichten der Verwaltung von Informationsrechten (IRM) in SharePoint Online: http://office.microsoft.com/de-de/sharepoint-online-enterprise-help/einrichten-der-verwaltung-von-informationsrechten-irm-in-sharepoint-online-HA102895193.aspx

*2 Anwenden der Verwaltung von Informationsrechten auf eine Liste oder Bibliothek: http://office.microsoft.com/de-de/sharepoint-help/anwenden-der-verwaltung-von-informationsrechten-auf-eine-liste-oder-bibliothek-HA102891460.aspx?CTT=3

*3 SharePoint-kompatible PDF Reader, die IRM-Dienste von Microsoft unterstützen: http://office.microsoft.com/de-de/sharepoint-help/sharepoint-kompatible-pdf-reader-die-irm-dienste-von-microsoft-unterstutzen-HA102925502.aspx?CTT=3

 

Tagged with:

Filed under: AzureOffice 365 GridOffice 365 PreviewSharePoint 2013

Like this post? Subscribe to my RSS feed and get loads more!