sharepoint onlineの新しい irm 機能を確認する(office 365勉強会)
TRANSCRIPT
SharePoint Online
あたらしい「IRM」機能
Azure RMS と SharePoint 連携機能を確認
本日の内容
本日の内容
SharePoint Online に新しく追加された「IRM(Information Rights
Management)」機能ついて、基本的な内容ご説明。
1. IRM とは?アクセス権設定の基礎
2.SPOL で IRM を有効化
3. IRM 設定の個別オプション
4.リストでの IRM
5. IRM を外す
6.環境要件とライセンス
自己紹介
中村 和彦(Kazuhiko Nakamura)
• シンプレッソ・コンサルティング株式会社 代表
• 元ユーザー企業(大手製造業)IT部署所属。SharePoint 管理者とし
て SharePoint の導入、活用展開、ノーツ移行を推進。
• SharePoint を活用した情報共有、文書管理、ナレッジマネジメント、
企業内ソーシャルへの取組み。
• Microsoft MVP SharePoint(2009-10)Office 365(2012-)
Web/Blog
SharePoint Maniacshttp://sharepointmaniacs.com/
普段は Web 媒体等で SharePoint/Office 365 情報を発信。
The Simplest Esseneshttp://journal.simplesso.jp/
Facebookhttps://www.facebook.com/kazuhiko.nakamura
IRMとは?
Information Rights Management
業務で使用する文書ファイルなどを暗号化し、閲覧や編集などを管
理・制限したり、操作履歴を記録したりすること。また、そのための
ソフトウェアや、ソフトウェアの機能のこと。特に、Microsoft社が
Microsoft Office で提供しているIRM機能のことを単にIRMということ
が多い。ファイルの不正なコピーや印刷、スクリーンショット(画面の
画像保存)などによる外部への機密漏洩を防止するために使われるもの
で、文書ファイルを指定の人物だけが閲覧できるようにしたり、印刷
を制限したり、閲覧期限を設定したり、誰がどのような操作・編集を
行ったのか履歴を記録したりすることができる。IRMによる管理を設定
したファイルは内容が暗号化され、当該IRMシステムの管理下でのみ閲
覧・印刷・編集などが可能となり、外部のコンピュータに単純にコ
ピーしただけでは開くことができないようになっている。
IT用語辞典 E-WORKS http://e-words.jp/w/IRM.html
「IRM」と「RMS」
• Information Rights Management
組織的な情報管理の概念、あるいはその取組み、行為。
• Rights Management Service
MS が IRM を実現するために提供するソリューションの名称。
例文:
IRM を実現する RMS
RMS の IRM 機能
従来の「RMS」の難点
• 専用の Rights Management Server を構築し(要ライセンス)、そ
れを各システム(AD、Exchange、SharePoint 等)と統合する必要
がある。
• オンプレミス前提のため、クラウド(O365)では利用できない。
• 組織を越えるには AD 間で信頼関係を汲む必要がある。
• Office ファイルしか対象にならず、バージョン等の制約も厳しい。
• 操作が判りにくく、本質的にユーザーの利便性を削ることで情報セ
キュリティを向上させるため、嫌がられる。
Windows Azure Rights Management
• 従来のオンプレミス型「Active Directory Rights Management」に
対して、クラウド上で Rights Management Service の機能を提供す
る(通称:Azure RMS)
• あわせて Office 以外のファイル対応など、大幅な機能向上。
• Azure RMS ≠ Office 365 のいち機能
• Office 365 はネイティブで、Azure RMS と連携する。
•新しい Azure RMS の(喧伝されている)機能すべてを SharePoin
t Online で利用できるわけではない。
TechNet: Windows Azure Rights Managementhttp://technet.microsoft.com/en-us/library/jj585024.aspx
新しい AD/Azure RMS の全体像(英語)
TechEd Europe 2013: Information Protection in 2013: Hybrid RMS, Generic Protection, and iOS/Android/WinRT Support
http://channel9.msdn.com/Events/TechEd/Europe/2013/WCA-B322#fbid=
SharePoint Online でIRM を有効化
SharePoint Online での有効化
• テナントレベルで有効化する。
• SharePoint Online レベルで有効化する。
• 対象とするリスト/ライブラリで有効化する。
1. Office 365 管理センター
2. SharePoint Online 管理センター
3. リスト/ライブラリの設定
テナントレベルでの有効化
O365管理センターで[サービス設定]→[Rights Management]タ
ブから[管理]
SharePoint Online レベルでの有効化
SharePoint 管理センターで[設定]から[この構成で指定したIRM
サービスを使う][IRM設定の更新]
ライブラリでの有効化
• ライイブラリの[設定][Information Rights Management][ダ
ウンロード時にこのライブラリの権限を制御する]
• 設定にはライブラリに対するフルコントロール権限が必要。
サンプル:タイトルと説明
ポリシーのタイトルと説明はファイル上で黄色帯に表示されるため、
それを意識した記述が望ましい。
IRMの効果
• ライブラリに設定された(SharePointの)権限に応じ、ダウンロード
されたファイルが制御される。
• ファイルを開くと、SharePoint Online と連携した Azure RMS に照
会が行われ、権限が無い場合はファイルを開くことができない。
• 強い権限(フルコントロール)を持たない限り、印刷もできない(オ
プションで許可できる)
• ローカルにダウンロードしたファイルも、資格情報を一定期間保持す
ることでオフラインで利用できる。
•閲覧権限のユーザーはスクリーンショットが取れなくなる。
• ライブラリにアクセス許可された外部ユーザーも利用できる(特に制
限はない)。
サンプル:スクリーンショット制御
Win8.1 上で、閲覧権限(RMS)のユーザーが IRM 制御された Excel
ファイルを Excel 2013 で開き、手前のウィンドウにフォーカスを移
した上で、キャプチャアプリを利用して全画面のショットを取得。
IRM 有効化のデメリット
• フローティングダイアログでのファイルのプレビューができなくなる。
• Web Apps での「編集」ができなくなる(要クライアント)
• Web Apps での閲覧時はスクリーンショットがとれてしまう(Web
Apps 禁止オプションあり)
• ファイルが開くのが遅くなる。
•クライアントアプリが RMS にネイティブ対応するファイル(Word、
Excel、PowerPoint、PDF)以外は制御されない。通常のライブラ
リ同様の扱いになる(オプションで登録禁止にすることは可能)
• PDF は現在「Foxit」リーダーしかネイティブ対応してない。
PDF リーダーに要注意
現時点では RMS にネイティブ対応している PDF リーダーは、最新の
Foxit リーダー(無償)のみ。
資格情報を保持するために必要な設定
はじめてファイルを開く際に表示されるダイアログで[今後、この AD
RMS サービスへの接続時にこのメッセージを表示しない]にチェック
を入れて[OK]しないと、資格情報は保存されず、オフラインで利用
できない。
SharePoint 権限と RMS 権限の対応
SharePoint Online のライブラリに権限を設定し、実ファイルの[権
限の表示]で確認。
SP権限 閲覧 編集 コピー 印刷 保存 EXP PROG FULL
フルコントロール ● ● ● ● ● ● ● ●
デザイン ● ● ● × ● × × ×
編集 ● ● ● × ● × × ×
投稿 ● ● ● × ● × × ×
閲覧●
× × × × × × ×
閲覧のみ▲
Web APP× × × × × × ×
※「閲覧のみ」はWeb Appsでのみ閲覧可能な権限のためダウンロード不可。他人がダウンロードしたファイルを渡されても見られない。
SharePoint 権限と RMS 権限の対応
• 権限対応に関する公式なドキュメント。
• アクセス許可レベルのオプションと RMS 権限の対象。ただし実際の
テストで必ずにもその通りにならず(注:テストした範囲)
TechNet: Information Rights Management をリストまたはライブラリに適用する
http://technet.microsoft.com/ja-jp/library/cc721640.aspx
権限設定まわりの留意点
• RMS は SharePoint 上で設定されたそのファイル(ライブラリや
フォルダから継承)の権限に準じるため、文章の作成者/文書のアッ
プロード者であってもフルコントロールになる訳ではない。
• RMS を利用する場合、SharePointの「フルコントロール」アクセス
権をできるだけユーザーに与えないこと。RMS 側でもフルコント
ロールになるため、個々のファイルで IRM 制御をオフに設定して、
管理外にできてしまう。
• 検証中、SharePoint 上で権限設定の変更を繰り返していると、それ
がきちんとローカルにダウンロードされたファイルに反映しないケー
スがままあった。確証はないが、資格情報のキャッシュ(後述)が影
響しているのかもしれない。
IRM 設定の個別オプション
IRM 設定のオプション
[オプションの表示]から、より詳細な制御を指定することができる。
IRM の個別オプション
以下のオプションを指定することができる。
1. IRM をサポートしないドキュメントのアップロードをユーザーに許可しない
2. このライブラリに対するアクセス権の制限を解除する日
3. このドキュメント ライブラリではドキュメントをブラウザーで開かないようにする
4. 閲覧者に印刷を許可する
5. ダウンロードしたドキュメント上でスクリプトの実行およびスクリーン リーダーの使用を閲覧者に許可する
6. ダウンロードしたドキュメントのコピーに対する書き込みを閲覧者に許可する
7. ダウンロード後、ドキュメントのアクセス権はこの日数後に失効する
8. ユーザーはこの期間 (日数) を使用して自分の資格情報を確認する必要がある
9. グループの保護を許可します。既定のグループ:
非サポートファイルの登録禁止
• Word、Excel、PowerPoint、PDF 以外のファイルはアップロードに
失敗する。
• 既にライブラリにあるファイルについては影響しない。
IRM 制御の日付を指定した無効化
• 指定日になると、IRMによる制御が行われなくなる。
• ─筈なのだが、テストした範囲ではその挙動を確認できず。
• 過去日付は指定できない。
OWA の無効化
• OWAでファイルを開くことができなくなり、[…]メニューからも
[ブラウザで開く]がなくなる。
• OWA でスクリーンショットが抑止できない問題を回避するオプショ
ン。ただし「閲覧のみ」権限のユーザーの存在に留意。
• ファイルを開く際、必ず「読み取り専用」モードになる。
印刷の許可
• 通常は「フルコントロール」権限(SP/IRM)のユーザーしか印刷が
許可されていない。
• それ以外のユーザーでも印刷が可能になる。
ダウンロードしたファイルの制御
• 基本的に文字通りの意。
• アクセス権が失効した場合、再びライブラリから新しいファイルをダ
ウンロードする必要がある。
ダウンロードしたドキュメント上でスクリプトの実行およびスクリーン リー
ダーの使用を閲覧者に許可する
ダウンロードしたドキュメントのコピーに対する書き込みを閲覧者に許可する
ダウンロード後、ドキュメントのアクセス権はこの日数後に失効する
オフライン資格情報の制御
• 数値で日数を指定する。
• スマートフォンやタブレット、モバイル PC など、常時オンラインで
ない環境を想定し、Azure RMS と疎通できないオフラインでも資格
情報がローカルにキャッシュされ、利用できる。そのキャッシュをフ
ラッシュする期間の指定。
• 「0」を指定するとキャッシュできなくなる。
ユーザーはこの期間 (日数) を使用して自分の資格情報を確認する必要がある
グループ保護(未検証)
• セキュリティグループ、および外部ユーザーのみが選択肢(検索)に
表示される。
• ひとつの値のみ指定できる。
• セキュリティグループを指定するとエラーになる。
リストでの IRM
リストで IRM を設定する
• リストにも全く同じ IRM 設定が存在する。
• ただし、アイテムそのものは制御対象ではなく、そこに添付された
ファイルについて IRM が働く。
リストでの制限されたファイルタイプの添付
• 保存時にエラーになる(ファイル指定時ではなく)。
• 「何らかの問題」と表記される。
• 添付ファイル以外の編集内容は保存されている。
IRM 制御を外す方法
リスト/ライブラリレベルで設定をOFF
• リスト/ライブラリに対するフルコントロール権限が必要。
• すべてのファイルのコントロールが解除される。
• 一度チェックを外すと、設定がすべて失われる点に注意。
ファイル単位でクライアントから解除
• そのファイルに対するフルコントロール(IRM)権限が必要。
• ファイル側で[権限の変更…]から[このブックへのアクセス権を制
御する]チェックを外す。
•一旦ローカルに保存してから、別のライブラリにアップする。
環境要件とライセンス
環境要件
• 基本的に特別な要件は無く、SharePoint Online に準ずる。
• Office は Office 2013 Professional Plus が必要。ただし制御された
ファイルを閲覧するだけなら Office 2013 Standard でも可。
• Office 2010 にも対応するが、特殊な設定が必要。
• Office 2007 はサポートされない。
Office 365 コミュニティブログ: 新しい Office 365 で利用できる Rights Management サービスとは
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/04/06/rights-management-service-for-the-new-office-365.aspx
ライセンスの扱い
Office 365 では、プランE テナント、もしくはプラン A テナントでのみ Rights Man
agement サービスを利用可能です。(プラン M およびプラン P ではご利用になれま
せん。) 利用するには、一人以上のユーザーが、Office 365 プラン E3/E4/A3/A4
のいずれかのスイートを購入して、その中に含まれる「Windows Azure Active Direc
tory Rights」を割り当てられている必要があります。(略)この ライセンス (USL)
が必要なのは、「IRM を設定する」ユーザー であり、「IRM のかかったファイルを
閲覧/編集する」ユーザーには Windows Azure AD Rights Management USL は必要
ありません。
Office 365 コミュニティブログ: 新しい Office 365 で利用できる Rights Management サービスとは
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/04/06/rights-management-service-for-the-new-office-365.aspx
ライセンスの扱い
他ユーザーの「代理として」コンテンツを保護する場合にも、通常のコンテンツ保護
と同様に、ライセンスが必要となる点に注意してください。たとえば、SharePoint I
RM が有効化されたドキュメント ライブラリと Exchange のトランスポート ルール
を使用すると、多数のユーザーに対してファイルを保護することになります。この場
合、それぞれに RMS のライセンスが必要です。このしくみがなければ、従業員数 20
万人の大企業でも、Exchange のライセンスを 1 つ所有するだけで DLP (データ損失
保護) を実行できるようになってしまいます。このしくみが理にかなったものであるこ
とをご理解いただけますと幸いです。
Rights Management のライセンス条項 (企業および ISV 向け)
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/11/18/rights-management-licensing-terms-for-orgs-and-isvs.aspx
P/M プランでのライセンス購入
Office 365 E3/E4 および A3/A4 の各 SKU には Azure RMS の機能が含まれていて、
追加料金なしでご利用いただけます。他の Office 365 SKU (K1、E1、A1、P1、P2
など) では、アドオンとして Azure RMS を使用できます。
Azure RMS の支払い方法は、月額制および年額制から選択できます (年額制の展開は
現在のところ保留されていますが、利便性向上のため今後導入する予定で、親となる
SKU (E1 など) と同様のものとなります)。
Rights Management のライセンス条項 (企業および ISV 向け)
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/11/18/rights-management-licensing-terms-for-orgs-and-isvs.aspx
P プランでの IRM ライセンス購入
2014年1月時点では P プラン
契約のテナントでは IRM ライ
センスを単品アドオンとして購
入(または試用)できる項目は
存在しない。
M プランでの IRM ライセンス購入
2014年1月時点では M プラン契約のテナントでは IRM ライセンスを
単品アドオンとして購入(または試用)できる項目は存在しない。
Azure RMS が提供する個人用 IRM(非O365)
RMS for Information Workers
Windows Azure にメールアドレスでサインアップすると、Azure
RMS のユーザーとして登録され、Azure RMS を介して Office クライ
アントから RMS 機能を利用することが出来るようになる。
https://portal.aadrm.com/
RMS for Information Workers
登録、利用は無償。Office/PDF 以外のファイル形式にも対応する。
オンプレミスの AD RMS との連携も可能。
まとめ
O n l i n e
