SharePoint 和 SharePoint Online 中的信息权限管理的新增功能

  • Article

原文发布于 2012 年 11 月 11 日(星期日)

作者:Barak Cohen,文档保护服务团队主管项目经理;Neil Wang,文档保护服务团队软件开发测试工程师

云中的文档保护

新版 Office 是首次将使用信息权限管理 (IRM) 服务的文档保护引入云中的版本。Office 365 用户可以获得一个服务计划,该计划包含由新的文档保护服务(也称为 Windows Azure AD 权限管理 (AADRM))提供支持的 IRM 功能,并且是 Office 365 Enterprise 计划 3 和计划 4 以及 Office 365 Academic 计划 3 和计划 4 的一部分。此功能与将 Windows 权限管理服务器(RMS 服务器)分配给本地 SharePoint 安装的功能是对称的。用户可以将 SharePoint Online 配置为在其“SharePoint Online 租户设置”(SharePoint Online Tenant Setting) 页中使用该服务:

在 AADRM 门户上为 Office 365 租户启用 AADRM 权限管理

图 1. 在“Office 365 SharePoint Online 租户设置”(Office 365 SharePoint Online Tenant Settings ) 页上启用 IRM 服务

 

但请注意,默认情况下,上面列出的 SKU 中不会启用 AADRM 权限管理服务。租户管理员必须为其租赁启用该服务。单击“租户设置”(Tenant Setting) 页上的“刷新 IRM 设置”(Refresh IRM Settings) 按钮可在 Office 365 目录中查询 AADRM 设置并可在 SharePoint Online 中刷新这些设置。

若要为 Office 365 租户启用 AADRM,您可以转到以下链接来激活该服务:https://activedirectory.windowsazure.com/RmsOnline/Manage.aspx?brandContextID=O365。(如上所述,用户必须具有带 AADRM 的 Office 365 计划(用于让该服务正常运行),并且必须使用其 Office 365 租户管理凭据进行登录)。此外,也可以通过 Office 365 管理页上的“信息保护”(Information Protection) 菜单访问此“权限管理”(Rights Management) 页。

在 AADRM 门户上为 Office 365 租户启用 AADRM 权限管理

图 2. 在 AADRM 门户上为 Office 365 租户启用 AADRM 权限管理

 

您还可以使用以下手动过程来启用该服务:

  1. 此处下载 Windows PowerShell 的 Windows Azure AD 权限管理管理模块。
  2. 从已将信息管理安装程序文件下载并保存到的本地文件夹中,双击 WindowsAzureADRightsManagementAdministration.exe 以启动“权限管理”管理模块的安装。
  3. 打开 Windows PowerShell,然后键入以下命令:
    Import-Module AADRM
    Connect-AadrmService -Verbose
  4. 当出现系统提示时,输入您的 Office 365 Preview 凭据。例如:user@company.onmicrosoft.com
  5. 键入下列命令:
    Enable-Aadrm
    Disconnect-AadrmService

本地文档保护

在本地,仍通过将 AD RMS(权限管理服务)服务器角色与 SharePoint 场关联来支持 IRM 服务,如 AD RMS 分步指南一文中所述。此操作是由从服务器场管理页链接的“信息权限管理”(Information Rights Management) 页上的服务器场管理员执行的(本地安装的常见配置适用于要通过 Active Directory 标识的 RMS 服务器)。在 SharePoint 2013 中,本地安装可以仅面向本地 RMS 服务器。(请注意,Office 365 中的 SharePoint Online 仅面向 AADRM)。

对 SharePoint 场中的 RMS 服务器启用 IRM

图 3. 对 SharePoint 场中的 RMS 服务器启用 IRM

 

可以通过图 3 中所示的 UI 在服务器场级别设置 IRM,也可以在订阅级别(Office 2013 中的新增功能)设置 IRM,后者是在云实现该设置的方式。若要在本地将 IRM 设置为特定 SharePoint 订阅,则需要选中图 3 所示的复选框,然后,将使用 Microsoft PowerShell 脚本为每个订阅设置特定的 RMS 服务器 URL。

保护文档十分轻松

在网上或本地配置 IRM 服务之后,网站集管理员可以对单独的文档库启用 IRM 保护。

对文档库设置 IRM 保护

图 4. 对文档库设置 IRM 保护

 

完成这些设置后,与 Office IRM 服务兼容的文档会在其下载到客户端后受到保护。用户可使用附加选项来更具体地设置使用权限。

您可以轻松设置使用权限

针对文档库的 IRM 设置 UI 在 Office 2013 中经过改进,更易于使用。除了编写权限策略标题和说明之外,库管理员还能执行以下操作:

  • 设置访问权限(包括打印权限)、运行用于启用屏幕阅读器的脚本或启用在文档副本上的写入(Office 2013 的新增功能)
  • 设置到期日期(超过后便无法使用文档的日期)
  • 控制是否可将不支持 IRM 保护的文档包含在库中
  • 控制 Office Web Apps 是否能呈现库中的文档(Office 2013 中的新增功能)

可在浏览器中呈现受保护的文档

Office Web Apps 也是 Office 2013 的一项新增功能,可以呈现受保护的文档。这意味着,如果经过身份验证的用户没有兼容的 Office 客户端,他们仍可使用 Office Web Apps 来查看文档。请注意,对于 Web Apps,文档将在只读模式下呈现。另请注意,虽然浏览器中的受保护内容的屏幕捕获不会受阻(因为它位于客户端上),但有关受保护文档的信息将从浏览器缓存中清除。库管理员始终可通过选中“信息权限管理”(Information Right Management) 设置页上的“阻止在浏览器中打开此文档库的文档”(Prevent opening documents in the browser for this Document Library) 复选框来禁用此功能。

您可以为组保护文档

默认情况下,从支持 IRM 的 SharePoint 文档库下载文档时,受支持的每个文件类型都会加密,并且相关权利仅提供给下载这些文档的经过身份验证的用户。对同一个库具有权限的其他用户必须获得其自己的副本。SharePoint 2013 支持的一项新功能是为组保护库。管理员可以选择一个 Active Directory 组,然后使用该组为文件标记出使用许可。之后,该组的所有成员都可以使用已下载的文档,而下载了副本的用户可以将副本直接传送给该组的任何成员。在 Office 365 中,这些组是在 Exchange 控制面板 (ECP) 中创建的。

作为文档库上的高级 IRM 设置的一部分的组保护

图 5. 作为文档库上的高级 IRM 设置的一部分的组保护

 

IRM 支持 Office 文档和 PDF 文件

通常,许多用户都表示对将 SharePoint 和 Office 中的 PDF 文件更紧密地集成很感兴趣。将 PDF 文档更好地集成到 SharePoint 2013 中是 Office 2013 的一项新增功能。PDF 阅读器可以注册一个用于轻松打开 PDF 文件的控件,并且可以使用 Microsoft IRM 服务来保护 PDF 文档。PDF 文档的 IRM 保护是 PDF 阅读器可以实现和支持的 PDF 标准的扩展。已支持此功能的一种阅读器为 Foxit PDF 阅读器

可编程性

服务器场/订阅级别的 IRM 设置是 Office 2013 中的新增功能,可通过编程方法对其进行控制。表 1 显示了说明如何从 Windows PowerShell 操作服务器场级别或订阅级别的 IRM 设置的示例。

表 1. 使用 PowerShell 实现的 IRM 可编程性

 

示例​ Windows PowerShell 命令​
为服务器场启用 IRM,并将其配置为使用在 Active Directory 中配置的默认 RMS 服务器。 ​Set-SPIRMSettings -IrmEnabled -UseActiveDirectoryDiscovery
​为服务器场启用 IRM,并指定要使用的 RMS 服务器的 URL。 ​Set-SPIRMSettings -IrmEnabled -CertificateServerUrl https://myrmsserver
​为指定的租户启用 IRM,并指定要使用的 RMS 服务器的 URL。 ​Set-SPIRMSettings –IrmEnabled -SubscriptionScopeSettingsEnabled site = Get-SPSite https://myspserver $subscription = $site.SiteSubscription Set-SPSiteSubscriptionIrmConfig -Identity$subscription -IrmEnabled - CertificateServerUrl https://myrmsserver

 
​为服务器场禁用 IRM。 ​Set-SPIRMSettings -IrmEnabled:$false

 
有关详细信息,请参阅以下指向文档库级别的类和 API 的说明的链接:

 

SPInformationRightsManagementSettings 类
SPInformationRightsManagementSettings 成员
SPInformationRightsManagementSettings 方法
SPInformationRightsManagementSettings 属性

以下 Windows PowerShell 脚本示例演示租户管理员如何在租户的网站上为所有文档库启用和配置 IRM 策略:

$webUrl = "https://contoso.sharepoint.com"
$username = "admin@contoso.onmicrosoft.com"
$password = ConvertTo-SecureString "password" -AsPlainText -Force

Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.dll"
Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.Runtime.dll"

$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$ctx.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $password)
$lists = $ctx.Web.Lists
$ctx.Load($lists)
$ctx.ExecuteQuery()

$lists | `
    where { $_.BaseTemplate -eq [Microsoft.SharePoint.Client.ListTemplateType]::DocumentLibrary } | `
        foreach { `
            $_.IrmEnabled = $true; `
            $_.InformationRightsManagementSettings.PolicyTitle = "IRM enabled"; `
            $_.InformationRightsManagementSettings.PolicyDescription = "This file is protected by SharePoint IRM."; `
            $_.Update(); `
            Write-Host "IRM enabled on $($_.Title)" `
        }
$ctx.ExecuteQuery()

受支持的客户端矩阵

在 Office 365 服务端,SharePoint 2013 Online 和 Exchange 2013 Online 都支持 IRM 服务。(若要获取这些服务,您必须是包括 Office 365 网站中所述的 IRM 支持的 Office 365 服务计划之一的订户)。

表 2 提供了与 Office 2013 中的 IRM 服务兼容的客户端应用程序的覆盖率矩阵。

表 2. 客户端应用程序支持矩阵

应用程序​ SharePoint 2013 SharePoint Online 2013​ RMS 服务器 RMS Online
​Word、PowerPoint、Excel 2013 (Windows) ​是 ​是 ​是 ​是
​Word、PowerPoint、Excel 2013 RT ​是 ​是 ​是 ​是
​Word、PowerPoint、Excel 2010 ​是 ​是(在安装 Office 365 登录助手后。) ​是 ​是
​Office for Mac 2010 ​是 ​否 ​是 ​否
​Windows Phone 7 上的 Outlook ​NR   ​NR  ​是 ​否
​Windows Phone 7 上的 Word ​是 ​否 ​是 ​否
​Windows 上的 Foxit PDF 阅读器 ​是 ​是(在安装 Office 365 登录助手后。) ​是 ​是

后续步骤

IRM 保护使您能够更好地控制分发和管理数字文档的方式。随着云服务的日益普及以及 Office 365 平台的获得成本越发合理,IRM 服务比以往任何时候都更容易使用和获得。此外,任何人都可以免费试用新服务。那么请开始行动吧。注册后,您永远不必担心敏感的 Microsoft Office 和 PDF 文档泄露。我们的团队一如既往地对帮助我们进一步改进服务的反馈兴趣十足,请尽情发表评论吧!

这是一篇本地化的博客文章。请访问 What's New with Information Rights Management in SharePoint and SharePoint Online? 以查看原文