SharePoint Onlineの新しい IRM 機能を確認する(Office 365勉強会)5. 中村 和彦(Kazuhiko Nakamura)
• シンプレッソ・コンサルティング株式会社 代表
• 元ユーザー企業(大手製造業)IT部署所属。SharePoint 管理者とし
て SharePoint の導入、活用展開、ノーツ移行を推進。
• SharePoint を活用した情報共有、文書管理、ナレッジマネジメント、
企業内ソーシャルへの取組み。
• Microsoft MVP SharePoint(2009-10)Office 365(2012-)
6. Web/Blog
普段は Web 媒体等で SharePoint/Office 365 情報を発信。
SharePoint Maniacs
http://sharepointmaniacs.com/
The Simplest Essenes
http://journal.simplesso.jp/
Facebook
https://www.facebook.com/kazuhiko.nakamura
11. 従来の「RMS」の難点
• 専用の Rights Management Server を構築し(要ライセンス)、そ
れを各システム(AD、Exchange、SharePoint 等)と統合する必要
がある。
• オンプレミス前提のため、クラウド(O365)では利用できない。
• 組織を越えるには AD 間で信頼関係を汲む必要がある。
• Office ファイルしか対象にならず、バージョン等の制約も厳しい。
• 操作が判りにくく、本質的にユーザーの利便性を削ることで情報セ
キュリティを向上させるため、嫌がられる。
12. Windows Azure Rights Management
• 従来のオンプレミス型「Active Directory Rights Management」に
対して、クラウド上で Rights Management Service の機能を提供す
る(通称:Azure RMS)
• あわせて Office 以外のファイル対応など、大幅な機能向上。
• Azure RMS ≠ Office 365 のいち機能
• Office 365 はネイティブで、Azure RMS と連携する。
• 新しい Azure RMS の(喧伝されている)機能すべてを SharePoin
t Online で利用できるわけではない。
TechNet: Windows Azure Rights Management
http://technet.microsoft.com/en-us/library/jj585024.aspx
13. 新しい AD/Azure RMS の全体像(英語)
TechEd Europe 2013: Information Protection in 2013: Hybri
d RMS, Generic Protection, and iOS/Android/WinRT Support
http://channel9.msdn.com/Events/TechEd/Europe/2013/WCA-B322#fbid=
15. SharePoint Online での有効化
• テナントレベルで有効化する。
• SharePoint Online レベルで有効化する。
• 対象とするリスト/ライブラリで有効化する。
1. Office 365 管理センター
2. SharePoint Online 管理センター
3. リスト/ライブラリの設定
22. IRM 有効化のデメリット
• フローティングダイアログでのファイルのプレビューができなくなる。
• Web Apps での「編集」ができなくなる(要クライアント)
• Web Apps での閲覧時はスクリーンショットがとれてしまう(Web
Apps 禁止オプションあり)
• ファイルが開くのが遅くなる。
• クライアントアプリが RMS にネイティブ対応するファイル(Word、
Excel、PowerPoint、PDF)以外は制御されない。通常のライブラ
リ同様の扱いになる(オプションで登録禁止にすることは可能)
• PDF は現在「Foxit」リーダーしかネイティブ対応してない。
25. SharePoint 権限と RMS 権限の対応
SharePoint Online のライブラリに権限を設定し、実ファイルの[権
限の表示]で確認。
SP権限
閲覧
編集
コピー
印刷
保存
EXP
PROG
FULL
フルコントロール
●
●
●
●
●
●
●
●
デザイン
●
●
●
×
●
×
×
×
編集
●
●
●
×
●
×
×
×
投稿
●
●
●
×
●
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
×
閲覧
閲覧のみ
●
▲
Web APP
※「閲覧のみ」はWeb Appsでのみ閲覧可能な権限のためダウンロード不可。
他人がダウンロードしたファイルを渡されても見られない。
26. SharePoint 権限と RMS 権限の対応
• 権限対応に関する公式なドキュメント。
• アクセス許可レベルのオプションと RMS 権限の対象。ただし実際の
テストで必ずにもその通りにならず(注:テストした範囲)
TechNet: Information Rights Management をリスト
またはライブラリに適用する
http://technet.microsoft.com/ja-jp/library/cc721640.aspx
27. 権限設定まわりの留意点
• RMS は SharePoint 上で設定されたそのファイル(ライブラリや
フォルダから継承)の権限に準じるため、文章の作成者/文書のアッ
プロード者であってもフルコントロールになる訳ではない。
• RMS を利用する場合、SharePointの「フルコントロール」アクセス
権をできるだけユーザーに与えないこと。RMS 側でもフルコント
ロールになるため、個々のファイルで IRM 制御をオフに設定して、
管理外にできてしまう。
• 検証中、SharePoint 上で権限設定の変更を繰り返していると、それ
がきちんとローカルにダウンロードされたファイルに反映しないケー
スがままあった。確証はないが、資格情報のキャッシュ(後述)が影
響しているのかもしれない。
30. IRM の個別オプション
以下のオプションを指定することができる。
1. IRM をサポートしないドキュメントのアップロードをユーザーに許可しない
2. このライブラリに対するアクセス権の制限を解除する日
3. このドキュメント ライブラリではドキュメントをブラウザーで開かないよう
にする
4. 閲覧者に印刷を許可する
5. ダウンロードしたドキュメント上でスクリプトの実行およびスクリーン リー
ダーの使用を閲覧者に許可する
6. ダウンロードしたドキュメントのコピーに対する書き込みを閲覧者に許可す
る
7. ダウンロード後、ドキュメントのアクセス権はこの日数後に失効する
8. ユーザーはこの期間 (日数) を使用して自分の資格情報を確認する必要があ
る
9. グループの保護を許可します。既定のグループ:
39. リストで IRM を設定する
• リストにも全く同じ IRM 設定が存在する。
• ただし、アイテムそのものは制御対象ではなく、そこに添付された
ファイルについて IRM が働く。
45. 環境要件
• 基本的に特別な要件は無く、SharePoint Online に準ずる。
• Office は Office 2013 Professional Plus が必要。ただし制御された
ファイルを閲覧するだけなら Office 2013 Standard でも可。
• Office 2010 にも対応するが、特殊な設定が必要。
• Office 2007 はサポートされない。
Office 365 コミュニティブログ: 新しい Office 365 で利用
できる Rights Management サービスとは
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/04/0
6/rights-management-service-for-the-new-office-365.aspx
46. ライセンスの扱い
Office 365 では、プランE テナント、もしくはプラン A テナントでのみ Rights Man
agement サービスを利用可能です。(プラン M およびプラン P ではご利用になれま
せん。) 利用するには、一人以上のユーザーが、Office 365 プラン E3/E4/A3/A4
のいずれかのスイートを購入して、その中に含まれる「Windows Azure Active Direc
tory Rights」を割り当てられている必要があります。(略)この ライセンス (USL)
が必要なのは、「IRM を設定する」ユーザー であり、「IRM のかかったファイルを
閲覧/編集する」ユーザーには Windows Azure AD Rights Management USL は必要
ありません。
Office 365 コミュニティブログ: 新しい Office 365 で利用
できる Rights Management サービスとは
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/04/0
6/rights-management-service-for-the-new-office-365.aspx
48. P/M プランでのライセンス購入
Office 365 E3/E4 および A3/A4 の各 SKU には Azure RMS の機能が含まれていて、
追加料金なしでご利用いただけます。他の Office 365 SKU (K1、E1、A1、P1、P2
など) では、アドオンとして Azure RMS を使用できます。
Azure RMS の支払い方法は、月額制および年額制から選択できます (年額制の展開は
現在のところ保留されていますが、利便性向上のため今後導入する予定で、親となる
SKU (E1 など) と同様のものとなります)。
Rights Management のライセンス条項 (企業および ISV 向け)
http://community.office365.com/ja-jp/blogs/office_365_community_blog/archive/2013/11/18/rightsmanagement-licensing-terms-for-orgs-and-isvs.aspx
49. P プランでの IRM ライセンス購入
2014年1月時点では P プラン
契約のテナントでは IRM ライ
センスを単品アドオンとして購
入(または試用)できる項目は
存在しない。
50. M プランでの IRM ライセンス購入
2014年1月時点では M プラン契約のテナントでは IRM ライセンスを
単品アドオンとして購入(または試用)できる項目は存在しない。
52. RMS for Information Workers
Windows Azure にメールアドレスでサインアップすると、Azure
RMS のユーザーとして登録され、Azure RMS を介して Office クライ
アントから RMS 機能を利用することが出来るようになる。
https://portal.aadrm.com/