SharePoint と SharePoint Online の Information Rights Management に関する新機能
原文の記事の投稿日: 2012 年 11 月 11 日 (日曜日)
投稿者: Barak Cohen (ドキュメント保護サービス、リード PM)、Neil Wang (ドキュメント保護サービス、SDET)
クラウドでのドキュメント保護
新しい Office は、Information Rights Management (IRM) サービスを使用したドキュメント保護をクラウドで初めて実現したバージョンです。Office 365 ユーザーは、Windows Azure AD Rights Management (AADRM) とも呼ばれる新しいドキュメント保護サービスを活用した IRM 機能を含むサービス プランをご利用いただけます。この機能は、Office 365 のエンタープライズ向けのプラン 3 およびプラン 4、教育機関向けのプラン 3 およびプラン 4 に含まれています。この機能は、Windows Rights Management サーバー (RMS サーバー) を社内にインストールした SharePoint に割り当てる機能と対称を成しています。ユーザーは、SharePoint Online の [テナントの設定] ページで、そのサービスと連携して動作するように SharePoint Online を構成できます。
図 1. Office 365 SharePoint Online の [テナントの設定] ページで IRM サービスを有効にする
ただし、AADRM アクセス権管理サービスは、上記の SKU では既定で有効になっていません。テナント管理者が、テナントでそのサービスを有効にする必要があります。[テナントの設定] ページで [IRM 設定の更新] ボタンをクリックすると、Office 365 ディレクトリに対して AADRM 設定のクエリが実行され、SharePoint Online で設定が更新されます。
Office 365 テナントで AADRM を有効にするには、リンク https://activedirectory.windowsazure.com/RmsOnline/Manage.aspx?brandContextID=O365 にアクセスしてサービスをアクティブにできます (前述のように、これを機能させるには AADRM を含む Office 365 のプランが必要で、Office 365 テナント管理者の資格情報を使用してログインする必要があります)。この [アクセス権管理] ページには、Office 365 管理ページの [Information Protection] (情報保護) メニューからもアクセスできます。
図 2. AADRM ポータルで Office 365 テナントの AADRM アクセス権管理を有効にする
また、以下の手動プロセスを使用してサービスを有効にすることもできます。
- Windows PowerShell 用の Windows Azure AD Rights Management 管理モジュール (WindowsAzureADRightsManagementAdministration.exe) をここからダウンロードします。
- Rights Management インストーラー ファイルをダウンロードして保存したローカル フォルダーで、WindowsAzureADRightsManagementAdministration.exe をダブルクリックして Rights Management 管理モジュールのインストールを開始します。
- Windows PowerShell を開き、次のコマンドを入力します。
Import-Module AADRM
Connect-AadrmService -Verbose - プロンプトが表示されたら、Office 365 Preview の資格情報 (user@company.onmicrosoft.comなど) を入力します。
- 次のコマンドを入力します。
Enable-Aadrm
Disconnect-AadrmService
社内でのドキュメント保護
社内でも、AD RMS (Rights Management サービス) サーバー ロールを SharePoint ファームに関連付けることで IRM サービスはサポートされます (「AD RMS ステップ バイ ステップ ガイド」を参照)。これは、ファーム管理者が、ファーム管理ページからリンクされている [Information Rights Management] ページで実行します (社内インストールの一般的な構成は、Active Directory で RMS サーバーを特定する構成です)。SharePoint 2013 では、社内インストールは社内の RMS サーバーのみを対象にできます (Office 365 の SharePoint Online は AADRM のみを対象にできます)。
図 3. SharePoint ファームで RMS サーバーに対して IRM を有効にする
IRM の設定は、図 3 に示された UI を使用してファーム レベルで実行するか、クラウドで実装するためのサブスクリプション レベルで実行します (Office 2013 の新機能)。社内で特定の SharePoint サブスクリプションに対して IRM を設定するには、図 3 のチェック ボックスをオンにする必要があります。次に、Microsoft PowerShell スクリプトを使用して、サブスクリプションごとに固有の RMS サーバーの URL を設定します。
ドキュメントの保護が簡単
IRM サービスをオンラインまたは社内で構成したら、サイト コレクション管理者が個々のドキュメント ライブラリで IRM 保護を有効にできるようになります。
図 4. ドキュメント ライブラリで IRM 保護を設定する
これらの設定が完了すると、Office IRM サービスに対応しているドキュメントは、クライアントにダウンロードされた後に保護されるようになります。その他のオプションを使用すると、使用権をより詳細に設定できます。
使用権を簡単に設定できる
ドキュメント ライブラリ用の IRM 設定 UI は、Office 2013 で強化されて使いやすくなっています。ライブラリ管理者は、アクセス許可ポリシーのタイトルおよび説明を入力できるほか、以下も実行できます。
- 印刷権限、スクリーン リーダーを有効にするスクリプトの実行権限、ドキュメントのコピーに対する書き込みを有効にする権限などのアクセス権の設定 (Office 2013 の新機能)
- 有効期限の設定 (この日付を過ぎるとドキュメントを使用できなくなります)
- IRM 保護をサポートしていないドキュメントをライブラリに含めることができるかどうかの制御
- Office Web Apps でライブラリ内のドキュメントをレンダリングできるかどうかの制御 (Office 2013 の新機能)
保護されたドキュメントをブラウザーでレンダリングできる
これも Office 2013 の新機能で、保護されたドキュメントを Office Web Apps でレンダリングできるようになりました。つまり、認証済みユーザーは、互換性のある Office クライアントを持っていない場合でも、Office Web Apps を使用してドキュメントを表示できます。Web Apps の場合、ドキュメントは読み取り専用モードで表示されます。また、ブラウザーでの保護されたコンテンツの画面キャプチャはブロックされませんが (クライアント上で行うため)、保護されたドキュメントに関する情報はブラウザー キャッシュから消去されます。ライブラリ管理者は、[Information Rights Management 設定] ページ (下の図 5) で [このドキュメント ライブラリではドキュメントをブラウザーで開かないようにする] チェック ボックスをオンにして、この機能をいつでも禁止することができます。
グループに対してドキュメントを保護できる
IRM が有効な SharePoint ドキュメント ライブラリからドキュメントをダウンロードしたとき、既定では、サポートされている各ファイル形式が暗号化され、アクセス権はドキュメントをダウンロードした認証済みユーザーに制限されます。同じライブラリに対するアクセス権を持っている他のユーザーは、各自でコピーを取得する必要があります。SharePoint 2013 でサポートされる新機能の 1 つに、グループに対するライブラリの保護があります。管理者は Active Directory グループを選択し、そのグループを使用してファイルの使用ライセンスにスタンプを設定することができます。そうすると、ダウンロードしたドキュメントはそのグループのすべてのメンバーが使用でき、コピーをダウンロードしたユーザーはそのコピーをグループのメンバーに直接転送できます。Office 365 では、このようなグループは Exchange コントロール パネル (ECP) で作成します。
図 5. ドキュメント ライブラリの IRM 詳細設定に含まれるグループの保護
IRM では Office ドキュメントと PDF ファイルがサポートされる
SharePoint や Office 全般で PDF ファイルの統合を強化することには多くの関心が寄せられています。Office 2013 の新機能として、SharePoint 2013 への PDF ドキュメントの統合が強化されています。PDF ファイルを開くことができるコントロールを PDF リーダーで登録でき、PDF ドキュメントを Microsoft IRM サービスで保護できます。PDF ドキュメントの IRM 保護は、PDF リーダーで実装してサポートすることができる PDF 標準の拡張機能 (英語) です。この機能を既にサポートしているリーダーに、Foxit PDF リーダー (英語) があります。
プログラミング
Office 2013 の新機能として、ファーム レベルまたはサブスクリプション レベルの IRM 設定がプログラムによって制御されます。表 1 に、ファーム レベルまたはサブスクリプション レベルの IRM 設定を Windows PowerShell から操作する方法の例を示します。
表 1. PowerShell による IRM のプログラミング
| 例 | Windows PowerShell コマンド |
|---|---|
| ファームで IRM を有効にし、Active Directory で構成されている既定の RMS サーバーを使用するように構成する。 | Set-SPIRMSettings -IrmEnabled -UseActiveDirectoryDiscovery |
| ファームで IRM を有効にし、使用する RMS サーバーの URL を指定する。 | Set-SPIRMSettings -IrmEnabled -CertificateServerUrl https://myrmsserver |
| 指定したテナントで IRM を有効にし、使用する RMS サーバーの URL を指定する。 | Set-SPIRMSettings –IrmEnabled -SubscriptionScopeSettingsEnabled site = Get-SPSite https://myspserver $subscription = $site.SiteSubscription Set-SPSiteSubscriptionIrmConfig -Identity$subscription -IrmEnabled - CertificateServerUrl https://myrmsserver
|
| ファームで IRM を無効にする。 | Set-SPIRMSettings -IrmEnabled:$false |
詳細については、ドキュメント ライブラリ レベルのクラスおよび API の説明を示す以下のリンクを参照してください。
SPInformationRightsManagementSettings クラス (英語)
SPInformationRightsManagementSettings メンバー (英語)
SPInformationRightsManagementSettings メソッド (英語)
SPInformationRightsManagementSettings プロパティ (英語)
以下の Windows PowerShell スクリプト サンプルは、テナント管理者がテナントのサイトにあるすべてのドキュメント ライブラリで IRM ポリシーを有効にして構成する方法を示しています。
$webUrl = "https://contoso.sharepoint.com"
$username = "admin@contoso.onmicrosoft.com"
$password = ConvertTo-SecureString "password" -AsPlainText -Force
Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.dll"
Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.Runtime.dll"
$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$ctx.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $password)
$lists = $ctx.Web.Lists
$ctx.Load($lists)
$ctx.ExecuteQuery()
$lists | `
where { $_.BaseTemplate -eq [Microsoft.SharePoint.Client.ListTemplateType]::DocumentLibrary } | `
foreach { `
$_.IrmEnabled = $true; `
$_.InformationRightsManagementSettings.PolicyTitle = "IRM enabled"; `
$_.InformationRightsManagementSettings.PolicyDescription = "This file is protected by SharePoint IRM."; `
$_.Update(); `
Write-Host "IRM enabled on $($_.Title)" `
}
$ctx.ExecuteQuery()
サポートされるクライアントの表
Office 365 サービス側では、IRM サービスは SharePoint 2013 Online と Exchange 2013 Online の両方でサポートされます (サービスを利用するには、IRM のサポートを含む Office 365 サービス プランのいずれかを購入する必要があります。Office 365 の Web サイトを参照してください)。
表 2 に、Office 2013 の IRM サービスと互換性のあるクライアント アプリケーションのサポート範囲表を示します。
表 2. クライアント アプリケーションのサポート表
| アプリ | SharePoint 2013 | SharePoint Online 2013 | RMS サーバー | RMS オンライン |
| Word、PowerPoint、Excel 2013 (Windows) | ○ | ○ | ○ | ○ |
| Word、PowerPoint、Excel 2013 RT | ○ | ○ | ○ | ○ |
| Word、PowerPoint、Excel 2010 | ○ | ○ (Office 365 サインオン アシスタントのインストール後) | ○ | ○ |
| Office for Mac 2010 | ○ | × | ○ | × |
| Outlook (Windows Phone 7) | 未報告 | 未報告 | ○ | × |
| Word (Windows Phone 7) | ○ | × | ○ | × |
| Foxit PDF リーダー (Windows) | ○ | ○ (Office 365 サインオン アシスタントのインストール後) | ○ | ○ |
次のステップ
IRM 保護を使用すると、デジタル ドキュメントの配布方法および管理方法の制御が向上します。クラウド サービスがますます普及していることに加え、Office 365 プラットフォームを手頃に利用できるようになったため、IRM サービスはかつてないほど使いやすく、すぐに活用できるようになりました。さらに、新しいサービスをだれでも無料で試すことができるため、ぜひサインアップしてください。機密性の高い Microsoft Office ドキュメントや PDF ドキュメントのリークを心配する必要がなくなります。いつものように、サービスをさらに向上させるためのフィードバックをお待ちしています。お気軽にコメントをお寄せください。
これはローカライズされたブログ投稿です。原文の記事は、「What's New with Information Rights Management in SharePoint and SharePoint Online?」をご覧ください。