SharePoint Onlineの新しい IRM 機能を確認する(Office 365勉強会)

12,479 views
12,107 views

Published on

Office 365勉強会(2014年1月09日)でのセッションスライドです。今年から SharePoint Online で利用できるようになった「IRM」機能について、実際の動作や制限などを確認しています。情報が少ない段階での検証結果が中心のため、情報に不完全あるいは間違いがある可能性にご留意ください。

Published in: Technology
0 Comments
12 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
12,479
On SlideShare
0
From Embeds
0
Number of Embeds
1,289
Actions
Shares
0
Downloads
166
Comments
0
Likes
12
Embeds 0
No embeds

No notes for slide

SharePoint Onlineの新しい IRM 機能を確認する(Office 365勉強会)

  1. 1. SharePoint Online あたらしい「IRM」機能 Azure RMS と SharePoint 連携機能を確認
  2. 2. 本日の内容
  3. 3. 本日の内容 SharePoint Online に新しく追加された「IRM(Information Rights Management)」機能ついて、基本的な内容ご説明。 1. IRM とは?アクセス権設定の基礎 2. SPOL で IRM を有効化 3. IRM 設定の個別オプション 4. リストでの IRM 5. IRM を外す 6. 環境要件とライセンス
  4. 4. 自己紹介
  5. 5. 中村 和彦(Kazuhiko Nakamura) • シンプレッソ・コンサルティング株式会社 代表 • 元ユーザー企業(大手製造業)IT部署所属。SharePoint 管理者とし て SharePoint の導入、活用展開、ノーツ移行を推進。 • SharePoint を活用した情報共有、文書管理、ナレッジマネジメント、 企業内ソーシャルへの取組み。 • Microsoft MVP SharePoint(2009-10)Office 365(2012-)
  6. 6. Web/Blog 普段は Web 媒体等で SharePoint/Office 365 情報を発信。 SharePoint Maniacs http://sharepointmaniacs.com/ The Simplest Essenes http://journal.simplesso.jp/ Facebook https://www.facebook.com/kazuhiko.nakamura
  7. 7. IRMとは?
  8. 8. Information Rights Management 業務で使用する文書ファイルなどを暗号化し、閲覧や編集などを管 理・制限したり、操作履歴を記録したりすること。また、そのための ソフトウェアや、ソフトウェアの機能のこと。特に、Microsoft社が Microsoft Office で提供しているIRM機能のことを単にIRMということ が多い。ファイルの不正なコピーや印刷、スクリーンショット(画面の 画像保存)などによる外部への機密漏洩を防止するために使われるもの で、文書ファイルを指定の人物だけが閲覧できるようにしたり、印刷 を制限したり、閲覧期限を設定したり、誰がどのような操作・編集を 行ったのか履歴を記録したりすることができる。IRMによる管理を設定 したファイルは内容が暗号化され、当該IRMシステムの管理下でのみ閲 覧・印刷・編集などが可能となり、外部のコンピュータに単純にコ ピーしただけでは開くことができないようになっている。 IT用語辞典 E-WORKS http://e-words.jp/w/IRM.html
  9. 9. 「IRM」と「RMS」 • Information Rights Management 組織的な情報管理の概念、あるいはその取組み、行為。 • Rights Management Service MS が IRM を実現するために提供するソリューションの名称。
  10. 10. 例文: IRM を実現する RMS RMS の IRM 機能
  11. 11. 従来の「RMS」の難点 • 専用の Rights Management Server を構築し(要ライセンス)、そ れを各システム(AD、Exchange、SharePoint 等)と統合する必要 がある。 • オンプレミス前提のため、クラウド(O365)では利用できない。 • 組織を越えるには AD 間で信頼関係を汲む必要がある。 • Office ファイルしか対象にならず、バージョン等の制約も厳しい。 • 操作が判りにくく、本質的にユーザーの利便性を削ることで情報セ キュリティを向上させるため、嫌がられる。
  12. 12. Windows Azure Rights Management • 従来のオンプレミス型「Active Directory Rights Management」に 対して、クラウド上で Rights Management Service の機能を提供す る(通称:Azure RMS) • あわせて Office 以外のファイル対応など、大幅な機能向上。 • Azure RMS ≠ Office 365 のいち機能 • Office 365 はネイティブで、Azure RMS と連携する。 • 新しい Azure RMS の(喧伝されている)機能すべてを SharePoin t Online で利用できるわけではない。 TechNet: Windows Azure Rights Management http://technet.microsoft.com/en-us/library/jj585024.aspx
  13. 13. 新しい AD/Azure RMS の全体像(英語) TechEd Europe 2013: Information Protection in 2013: Hybri d RMS, Generic Protection, and iOS/Android/WinRT Support http://channel9.msdn.com/Events/TechEd/Europe/2013/WCA-B322#fbid=
  14. 14. SharePoint Online で IRM を有効化
  15. 15. SharePoint Online での有効化 • テナントレベルで有効化する。 • SharePoint Online レベルで有効化する。 • 対象とするリスト/ライブラリで有効化する。 1. Office 365 管理センター 2. SharePoint Online 管理センター 3. リスト/ライブラリの設定
  16. 16. テナントレベルでの有効化 O365管理センターで[サービス設定]→[Rights Management]タ ブから[管理]
  17. 17. SharePoint Online レベルでの有効化 SharePoint 管理センターで[設定]から[この構成で指定したIRM サービスを使う][IRM設定の更新]
  18. 18. ライブラリでの有効化 • ライイブラリの[設定][Information Rights Management][ダ ウンロード時にこのライブラリの権限を制御する] • 設定にはライブラリに対するフルコントロール権限が必要。
  19. 19. サンプル:タイトルと説明 ポリシーのタイトルと説明はファイル上で黄色帯に表示されるため、 それを意識した記述が望ましい。
  20. 20. IRMの効果 • ライブラリに設定された(SharePointの)権限に応じ、ダウンロード されたファイルが制御される。 • ファイルを開くと、SharePoint Online と連携した Azure RMS に照 会が行われ、権限が無い場合はファイルを開くことができない。 • 強い権限(フルコントロール)を持たない限り、印刷もできない(オ プションで許可できる) • ローカルにダウンロードしたファイルも、資格情報を一定期間保持す ることでオフラインで利用できる。 • 閲覧権限のユーザーはスクリーンショットが取れなくなる。 • ライブラリにアクセス許可された外部ユーザーも利用できる(特に制 限はない)。
  21. 21. サンプル:スクリーンショット制御 Win8.1 上で、閲覧権限(RMS)のユーザーが IRM 制御された Excel ファイルを Excel 2013 で開き、手前のウィンドウにフォーカスを移 した上で、キャプチャアプリを利用して全画面のショットを取得。
  22. 22. IRM 有効化のデメリット • フローティングダイアログでのファイルのプレビューができなくなる。 • Web Apps での「編集」ができなくなる(要クライアント) • Web Apps での閲覧時はスクリーンショットがとれてしまう(Web Apps 禁止オプションあり) • ファイルが開くのが遅くなる。 • クライアントアプリが RMS にネイティブ対応するファイル(Word、 Excel、PowerPoint、PDF)以外は制御されない。通常のライブラ リ同様の扱いになる(オプションで登録禁止にすることは可能) • PDF は現在「Foxit」リーダーしかネイティブ対応してない。
  23. 23. PDF リーダーに要注意 現時点では RMS にネイティブ対応している PDF リーダーは、最新の Foxit リーダー(無償)のみ。
  24. 24. 資格情報を保持するために必要な設定 はじめてファイルを開く際に表示されるダイアログで[今後、この AD RMS サービスへの接続時にこのメッセージを表示しない]にチェック を入れて[OK]しないと、資格情報は保存されず、オフラインで利用 できない。
  25. 25. SharePoint 権限と RMS 権限の対応 SharePoint Online のライブラリに権限を設定し、実ファイルの[権 限の表示]で確認。 SP権限 閲覧 編集 コピー 印刷 保存 EXP PROG FULL フルコントロール ● ● ● ● ● ● ● ● デザイン ● ● ● × ● × × × 編集 ● ● ● × ● × × × 投稿 ● ● ● × ● × × × × × × × × × × × × × × × × × 閲覧 閲覧のみ ● ▲ Web APP ※「閲覧のみ」はWeb Appsでのみ閲覧可能な権限のためダウンロード不可。 他人がダウンロードしたファイルを渡されても見られない。
  26. 26. SharePoint 権限と RMS 権限の対応 • 権限対応に関する公式なドキュメント。 • アクセス許可レベルのオプションと RMS 権限の対象。ただし実際の テストで必ずにもその通りにならず(注:テストした範囲) TechNet: Information Rights Management をリスト またはライブラリに適用する http://technet.microsoft.com/ja-jp/library/cc721640.aspx
  27. 27. 権限設定まわりの留意点 • RMS は SharePoint 上で設定されたそのファイル(ライブラリや フォルダから継承)の権限に準じるため、文章の作成者/文書のアッ プロード者であってもフルコントロールになる訳ではない。 • RMS を利用する場合、SharePointの「フルコントロール」アクセス 権をできるだけユーザーに与えないこと。RMS 側でもフルコント ロールになるため、個々のファイルで IRM 制御をオフに設定して、 管理外にできてしまう。 • 検証中、SharePoint 上で権限設定の変更を繰り返していると、それ がきちんとローカルにダウンロードされたファイルに反映しないケー スがままあった。確証はないが、資格情報のキャッシュ(後述)が影 響しているのかもしれない。
  28. 28. IRM 設定の個別オプション
  29. 29. IRM 設定のオプション [オプションの表示]から、より詳細な制御を指定することができる。
  30. 30. IRM の個別オプション 以下のオプションを指定することができる。 1. IRM をサポートしないドキュメントのアップロードをユーザーに許可しない 2. このライブラリに対するアクセス権の制限を解除する日 3. このドキュメント ライブラリではドキュメントをブラウザーで開かないよう にする 4. 閲覧者に印刷を許可する 5. ダウンロードしたドキュメント上でスクリプトの実行およびスクリーン リー ダーの使用を閲覧者に許可する 6. ダウンロードしたドキュメントのコピーに対する書き込みを閲覧者に許可す る 7. ダウンロード後、ドキュメントのアクセス権はこの日数後に失効する 8. ユーザーはこの期間 (日数) を使用して自分の資格情報を確認する必要があ る 9. グループの保護を許可します。既定のグループ:
  31. 31. 非サポートファイルの登録禁止 • Word、Excel、PowerPoint、PDF 以外のファイルはアップロードに 失敗する。 • 既にライブラリにあるファイルについては影響しない。
  32. 32. IRM 制御の日付を指定した無効化 • 指定日になると、IRMによる制御が行われなくなる。 • ─筈なのだが、テストした範囲ではその挙動を確認できず。 • 過去日付は指定できない。
  33. 33. OWA の無効化 • OWAでファイルを開くことができなくなり、[…]メニューからも [ブラウザで開く]がなくなる。 • OWA でスクリーンショットが抑止できない問題を回避するオプショ ン。ただし「閲覧のみ」権限のユーザーの存在に留意。 • ファイルを開く際、必ず「読み取り専用」モードになる。
  34. 34. 印刷の許可 • 通常は「フルコントロール」権限(SP/IRM)のユーザーしか印刷が 許可されていない。 • それ以外のユーザーでも印刷が可能になる。
  35. 35. ダウンロードしたファイルの制御    ダウンロードしたドキュメント上でスクリプトの実行およびスクリーン リー ダーの使用を閲覧者に許可する ダウンロードしたドキュメントのコピーに対する書き込みを閲覧者に許可する ダウンロード後、ドキュメントのアクセス権はこの日数後に失効する • 基本的に文字通りの意。 • アクセス権が失効した場合、再びライブラリから新しいファイルをダ ウンロードする必要がある。
  36. 36. オフライン資格情報の制御  ユーザーはこの期間 (日数) を使用して自分の資格情報を確認する必要がある • 数値で日数を指定する。 • スマートフォンやタブレット、モバイル PC など、常時オンラインで ない環境を想定し、Azure RMS と疎通できないオフラインでも資格 情報がローカルにキャッシュされ、利用できる。そのキャッシュをフ ラッシュする期間の指定。 • 「0」を指定するとキャッシュできなくなる。
  37. 37. グループ保護(未検証) • セキュリティグループ、および外部ユーザーのみが選択肢(検索)に 表示される。 • ひとつの値のみ指定できる。 • セキュリティグループを指定するとエラーになる。
  38. 38. リストでの IRM
  39. 39. リストで IRM を設定する • リストにも全く同じ IRM 設定が存在する。 • ただし、アイテムそのものは制御対象ではなく、そこに添付された ファイルについて IRM が働く。
  40. 40. リストでの制限されたファイルタイプの添付 • 保存時にエラーになる(ファイル指定時ではなく)。 • 「何らかの問題」と表記される。 • 添付ファイル以外の編集内容は保存されている。
  41. 41. IRM 制御を外す方法
  42. 42. リスト/ライブラリレベルで設定をOFF • リスト/ライブラリに対するフルコントロール権限が必要。 • すべてのファイルのコントロールが解除される。 • 一度チェックを外すと、設定がすべて失われる点に注意。
  43. 43. ファイル単位でクライアントから解除 • そのファイルに対するフルコントロール(IRM)権限が必要。 • ファイル側で[権限の変更…]から[このブックへのアクセス権を制 御する]チェックを外す。 • 一旦ローカルに保存してから、別のライブラリにアップする。
  44. 44. 環境要件とライセンス
  45. 45. 環境要件 • 基本的に特別な要件は無く、SharePoint Online に準ずる。 • Office は Office 2013 Professional Plus が必要。ただし制御された ファイルを閲覧するだけなら Office 2013 Standard でも可。 • Office 2010 にも対応するが、特殊な設定が必要。 • Office 2007 はサポートされない。 Office 365 コミュニティブログ: 新しい Office 365 で利用 できる Rights Management サービスとは http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/04/0 6/rights-management-service-for-the-new-office-365.aspx
  46. 46. ライセンスの扱い Office 365 では、プランE テナント、もしくはプラン A テナントでのみ Rights Man agement サービスを利用可能です。(プラン M およびプラン P ではご利用になれま せん。) 利用するには、一人以上のユーザーが、Office 365 プラン E3/E4/A3/A4 のいずれかのスイートを購入して、その中に含まれる「Windows Azure Active Direc tory Rights」を割り当てられている必要があります。(略)この ライセンス (USL) が必要なのは、「IRM を設定する」ユーザー であり、「IRM のかかったファイルを 閲覧/編集する」ユーザーには Windows Azure AD Rights Management USL は必要 ありません。 Office 365 コミュニティブログ: 新しい Office 365 で利用 できる Rights Management サービスとは http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/04/0 6/rights-management-service-for-the-new-office-365.aspx
  47. 47. ライセンスの扱い 他ユーザーの「代理として」コンテンツを保護する場合にも、通常のコンテンツ保護 と同様に、ライセンスが必要となる点に注意してください。たとえば、SharePoint I RM が有効化されたドキュメント ライブラリと Exchange のトランスポート ルール を使用すると、多数のユーザーに対してファイルを保護することになります。この場 合、それぞれに RMS のライセンスが必要です。このしくみがなければ、従業員数 20 万人の大企業でも、Exchange のライセンスを 1 つ所有するだけで DLP (データ損失 保護) を実行できるようになってしまいます。このしくみが理にかなったものであるこ とをご理解いただけますと幸いです。 Rights Management のライセンス条項 (企業および ISV 向け) http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/11/18/rightsmanagement-licensing-terms-for-orgs-and-isvs.aspx
  48. 48. P/M プランでのライセンス購入 Office 365 E3/E4 および A3/A4 の各 SKU には Azure RMS の機能が含まれていて、 追加料金なしでご利用いただけます。他の Office 365 SKU (K1、E1、A1、P1、P2 など) では、アドオンとして Azure RMS を使用できます。 Azure RMS の支払い方法は、月額制および年額制から選択できます (年額制の展開は 現在のところ保留されていますが、利便性向上のため今後導入する予定で、親となる SKU (E1 など) と同様のものとなります)。 Rights Management のライセンス条項 (企業および ISV 向け) http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/11/18/rightsmanagement-licensing-terms-for-orgs-and-isvs.aspx
  49. 49. P プランでの IRM ライセンス購入 2014年1月時点では P プラン 契約のテナントでは IRM ライ センスを単品アドオンとして購 入(または試用)できる項目は 存在しない。
  50. 50. M プランでの IRM ライセンス購入 2014年1月時点では M プラン契約のテナントでは IRM ライセンスを 単品アドオンとして購入(または試用)できる項目は存在しない。
  51. 51. Azure RMS が提供する 個人用 IRM(非O365)
  52. 52. RMS for Information Workers Windows Azure にメールアドレスでサインアップすると、Azure RMS のユーザーとして登録され、Azure RMS を介して Office クライ アントから RMS 機能を利用することが出来るようになる。 https://portal.aadrm.com/
  53. 53. RMS for Information Workers 登録、利用は無償。Office/PDF 以外のファイル形式にも対応する。 オンプレミスの AD RMS との連携も可能。
  54. 54. まとめ Online
  55. 55. Simplesso Consulting http://simplesso.jp kaz@simplesso.biz

×