Новые возможности управления правами на доступ к данным в SharePoint и SharePoint Online?

Исходная статья опубликована в воскресенье, 11 ноября 2012 г.

Авторы: Барак Кохен, главный руководитель проектов в группе служб защиты документов, Нил Янг, инженер по разработке тестового программного обеспечения в группе служб защиты документов

Защита документов в облаке

Новый Office — это первая версия, в которой защита документов реализована в облачной среде посредством служб управления правами на доступ к данным (IRM). Пользователи Office 365 могут получить план обслуживания с возможностями управления правами на доступ к данным, предоставляемыми новой службой защиты документов, также известной как Windows Azure AD Rights Management (AADRM), которая входит в состав планов 3 и 4 Office 365 корпоративный и планов 3 и 4 Office 365 академический. Такая возможность соответствует возможности назначения сервера управления правами Windows (RMS) локальной установке SharePoint. Пользователи могут настроить SharePoint Online на работу с данной службой на своей странице настройки клиента SharePoint Online.

Включение управления правами AADRM для клиента Office 365 на портале AADRM

Рис. 1. Включение службы управления правами на доступ к данным на странице настройки клиента Office 365 SharePoint Online

 

Однако следует отметить, что служба управления правами AADRM не включается по умолчанию в перечисленные выше SKU. Администраторам клиента требуется включить их для своей подписки. При нажатии кнопки Refresh IRM Settings (Обновить параметры IRM) на странице настройки клиента выполняется запрос параметров AADRM из каталога Office 365 и обновление параметров в SharePoint Online.

Чтобы разрешить AADRM для клиентов Office 365, вы можете перейти по данной ссылке для активации службы: https://activedirectory.windowsazure.com/RmsOnline/Manage.aspx?brandContextID=O365. (Как было указано выше, чтобы это сработало, требуется наличие плана Office 365 с AADRM и выполнение входа с использованием учетных данных администратора клиента Office 365.) Эту страницу Rights Management также можно открыть из меню Information Protection (Защита информации) на странице администрирования Office 365.

Включение управления правами AADRM для клиента Office 365 на портале AADRM

Рис. 2. Включение управления правами AADRM для клиента Office 365 на портале AADRM

 

Службу также можно включить вручную, используя описанную ниже процедуру.

  1. Загрузите модуль администрирования Windows Azure AD Rights Management (WindowsAzureADRightsManagementAdministration.exe) для Windows PowerShell здесь.
  2. В локальной папке, куда вы загрузили и сохранили файл установщика Rights Management, дважды щелкните WindowsAzureADRightsManagementAdministration.exe для запуска установки модуля администрирования Rights Management.
  3. Откройте Windows PowerShell и введите следующие команды.
    Import-Module AADRM
    Connect-AadrmService -Verbose
  4. При отображении запроса введите свои учетные данные Office 365 Preview. Например: user@company.onmicrosoft.com.
  5. Введите следующие команды.
    Enable-Aadrm
    Disconnect-AadrmService

Защита документов в локальной среде

В локальной среде поддержка служб управления правами на доступ к данным продолжает реализовываться посредством назначения роли сервера AD RMS (службы управления правами) ферме SharePoint, как описано в статье Пошаговое руководство по AD RMS. Это осуществляет администратор фермы на странице управления правами на доступ к данным, ссылка на которую имеется на странице администрирования фермы (распространенная конфигурация для локальных установок заключается в идентификации сервера RMS через Active Directory). В SharePoint 2013 локальные установки могут быть нацелены только на локальные серверы RMS. (Обратите внимание на то, что система SharePoint Online в Office 365 может быть нацелена только на AADRM.)

Включение управления правами на доступ к данным для сервера RMS в ферме SharePoint

Рис. 3. Включение управления правами на доступ к данным для сервера RMS в ферме SharePoint

 

Настройка управления правами на доступ к данным осуществляется на уровне фермы с помощью пользовательского интерфейса, приведенного на рисунке 3, или на уровне подписки (новая возможность в Office 2013), что позволяет реализовать ее в облаке. Чтобы выполнить локальную настройку управления правами на доступ к данным для конкретных подписок SharePoint, требуется установить флажок, приведенный на рисунке 3, а затем использовать сценарий Microsoft PowerShell для назначения конкретного URL-адреса сервера RMS каждой из подписок.

Защита документов — это просто

После настройки служб управления правами на доступ к данным в Интернете и локальной среде администраторы семейств сайтов могут включить защиту с помощью управления правами на доступ к данным для отдельных библиотек документов.

Настройка защиты с помощью управления правами на доступ к данным для библиотеки документов

Рис. 4. Настройка защиты с помощью управления правами на доступ к данным для библиотеки документов

 

Когда такая настройка выполнена, реализуется защита документов, совместимых со службами управления правами на доступ к данным Office, после их загрузки на клиентский компьютер. Дополнительные параметры позволяют осуществить более тонкую настройку прав использования.

Простое задание прав использования

Одно из улучшений Office 2013 заключается в упрощении работы с пользовательским интерфейсом, содержащим параметры управления правами на доступ к данным для библиотеки документов. Кроме указания заголовка и описания политики разрешений, администраторы библиотек могут выполнять следующее:

  • задавать права доступа, включая права на печать, выполнение сценариев для включения программ чтения с экрана или разрешение записи в копию документа (новая возможность в Office 2013);
  • устанавливать дату окончания срока действия (дата, после которой документ нельзя использовать);
  • определять возможность включения документов, не поддерживающих защиту с помощью управления правами на доступ к данным, в библиотеку;
  • определять, может ли Office Web Apps выполнять прорисовку документов из библиотеки (новая возможность в Office 2013).

Возможность прорисовки защищенных документов в браузере

Office 2013 получил еще одну новую возможность — способность Office Web Apps осуществлять прорисовку защищенных документов. Это означает, что даже при отсутствии совместимого клиента Office прошедший проверку подлинности пользователь может просмотреть документы с помощью Office Web Apps. Обратите внимание на то, что в этом случае документ отображается в режиме только для чтения. Кроме того, следует помнить, что получение снимков экрана с защищенным контентом в браузере не блокируется (как и на клиентах), однако информация о защищенных документах удаляется из кэша браузера. Администраторы библиотек могут в любой момент отключить эту возможность, установив флажок Prevent opening documents in the browser for this Document Library (Запретить открытие документов в браузере для этой библиотеки документов) на странице настройки управления правами на доступ к данным (см. на рисунке 5 ниже).

Защита документов для групп

По умолчанию при загрузке документов из библиотеки документов SharePoint с поддержкой управления правами на доступ к данным каждый поддерживаемый тип файлов шифруется, а права предоставляются только прошедшему проверку подлинности пользователю, который загрузил эти документы. Другие пользователи с правами на эту библиотеку должны получить собственную копию. Одна из поддерживаемых SharePoint 2013 новых возможностей заключается в защите библиотеки для группы. Администратор может выбрать группу Active Directory и использовать ее для пометки лицензии на использование для данного файла. После этого загружаемые документы могут использоваться всеми членами данной группы, а пользователь, загрузивший копию, может передать ее непосредственно любому другому члену группы. В Office 365 такие группы создаются в панели управления Exchange (ECP).

Защита для группы в расширенных параметрах управления правами на доступ к данным для библиотек документов

Рис. 5. Защита для группы в расширенных параметрах управления правами на доступ к данным для библиотек документов

 

Поддержка документов Office и файлов PDF компонентом управления правами на доступ к данным

Многие люди выражали интерес к более тесной интеграции файлов PDF в SharePoint и вообще в Office. Новая возможность Office 2013 заключается в том, что документы PDF лучше интегрированы в SharePoint 2013. Средства чтения файлов PDF могут зарегистрировать элемент управления, чтобы обеспечить простое открытие файлов PDF, а документы PDF можно защитить с помощью служб управления правами на доступ к данным Microsoft. Защита документов PDF с помощью управления правами на доступ к данным является расширением стандарта PDF, которое средства чтения файлов PDF могут поддерживать и реализовывать. Одним из средств, уже поддерживающих эту возможность, является Foxit PDF reader.

Возможность программирования

Новая возможность Office 2013 заключается в том, что параметры управления правами на доступ к данным на уровне фермы/подписки управляются программно. В таблице 1 приведены примеры того, как можно управлять параметрами управления правами на доступ к данным на уровне фермы или подписки из Windows PowerShell.

Табл. 1. Возможность программирования управления правами на доступ к данным с помощью PowerShell

 

Пример​ Команда Windows PowerShell​
​Включение управления правами на доступ к данным для фермы и настройка на использование сервера RMS по умолчанию, заданного в Active Directory. ​Set-SPIRMSettings -IrmEnabled -UseActiveDirectoryDiscovery
​Включение управления правами на доступ к данным для фермы и указание URL-адреса требуемого сервера RMS. ​Set-SPIRMSettings -IrmEnabled -CertificateServerUrl http://myrmsserver
​Включение управления правами на доступ к данным для указанного клиента и указание URL-адреса требуемого сервера RMS. ​Set-SPIRMSettings –IrmEnabled -SubscriptionScopeSettingsEnabled site = Get-SPSite http://myspserver $subscription = $site.SiteSubscription Set-SPSiteSubscriptionIrmConfig -Identity$subscription -IrmEnabled - CertificateServerUrl http://myrmsserver

 

​Отключение управления правами на доступ к данным для фермы. ​Set-SPIRMSettings -IrmEnabled:$false

 
Для получения дополнительных сведений перейдите по этим ссылкам, ведущим к описанию классов и API на уровне библиотеки документов.

 

Класс SPInformationRightsManagementSettings
Члены SPInformationRightsManagementSettings
Методы SPInformationRightsManagementSettings
Свойства SPInformationRightsManagementSettings

Следующий пример сценария Windows PowerShell показывает, как администратор клиента может включить и настроить политику управления правами на доступ к данным для всех библиотек документов на сайтах клиента: 

$webUrl = "https://contoso.sharepoint.com"
$username = "admin@contoso.onmicrosoft.com"
$password = ConvertTo-SecureString "password" -AsPlainText -Force

Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.dll"
Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.Runtime.dll"

$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$ctx.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $password)
$lists = $ctx.Web.Lists
$ctx.Load($lists)
$ctx.ExecuteQuery()

$lists | `
    where { $_.BaseTemplate -eq [Microsoft.SharePoint.Client.ListTemplateType]::DocumentLibrary } | `
        foreach { `
            $_.IrmEnabled = $true; `
            $_.InformationRightsManagementSettings.PolicyTitle = "С поддержкой управления правами на доступ к данным"; `
            $_.InformationRightsManagementSettings.PolicyDescription = "Этот файл защищен с помощью управления правами на доступ к данным SharePoint".; `
            $_.Update(); `
            Write-Host "Управление правами на доступ к данным включено на $($_.Title)" `
        }
$ctx.ExecuteQuery()

Поддерживаемые клиентские матрицы

На стороне служб Office 365 службы управления правами на доступ к данным поддерживаются как SharePoint 2013 Online, так и Exchange 2013 Online. (Чтобы получить доступ к этим службам, вам нужно быть подписчиком одного из планов обслуживания Office365, включающего в себя поддержку управления правами на доступ к данным, как описано в статье Веб-сайт Office 365.)

В таблице 2 приведена матрица охвата для клиентских приложений, совместимых со службами управления правами на доступ к данным в Office 2013.

Табл. 2. Матрица поддерживаемых клиентских приложений

Приложение​ SharePoint 2013 SharePoint Online 2013​ RMS Server RMS Online
​Word, PowerPoint, Excel 2013 (Windows)  Да Да Да Да
​Word, PowerPoint, Excel 2013 RT Да Да Да Да
​Word, PowerPoint, Excel 2010   Да ​Да (после установки помощника по входу в Office 365) Да Да
​Office для Mac 2010  Да ​ Нет  Да ​Нет
​Outlook на Windows Phone 7 ​Не выпущено  ​Не выпущено  Да Нет
​Word на Windows Phone 7  Да ​Нет  Да ​Нет
​Foxit PDF reader на Windows Да ​Да (после установки помощника по входу в Office 365) Да Да

Дальнейшие действия

Защита с помощью управления правами на доступ к данным позволяет вам удобнее распространять цифровые документы и управлять ими. Учитывая постоянно возрастающую популярность облачных служб и умеренную стоимость платформы Office 365, службы управления правами на доступ к данным стали еще проще в использовании и еще доступнее. Кроме того, любой человек может ознакомиться с работой новой службы совершенно бесплатно, поэтому не медлите — регистрируйтесь и забудьте о проблемах с раскрытием конфиденциальных документов Microsoft Office и PDF. Как и всегда, наша группа с нетерпением ждет ваши отзывы, способствующие дальнейшему совершенствованию данной службы.

Это локализованная запись блога. Оригинал находится на странице What's New with Information Rights Management in SharePoint and SharePoint Online?