Office 365 と Azure RMS (IRM、共有アプリケーション)
1/30 (土) の Japan SharePoint Group 勉強会でお話しさせていただいた内容およびふれられなかったことも含めて Office 365 での IRM 機能と共有アプリケーションについてまとめました。長いです。。
1.Office 365 と Azure RMS 概要
クラウド サービスの普及により、外出先や自宅からインターネット経由で社内データにアクセスでき、機密を含む情報を扱うことが多くなってきている今、情報セキュリティの強化を求められることがより当たり前になってきています。クラウドサービスを利用している場合には特に、ファイアウォールによる制御やアクセス権による制御、メールの暗号化やログ監査等を行うだけでは十分ではないことが多くなり、「情報が外にでてから」 にもカバーが必要といえます。
IRM (Information Rignts Management) 機能は、Office ファイルやメールに対して使用制限をかけられるコンテンツ保護機能です。IRM で保護された Office ファイルは暗号化され、ファイルに対する権限を持つユーザーしか開けないのは当然ですし、それに加えて印刷やコピー等の操作に関して制御が可能です。また IRM保護が適用されたメールは、受信者の転送や保存、印刷等の操作に制御がかけられます。
オンプレ環境で利用するためには Rights Managenet Server を構築し、それを Active Directory や Exchange Server、SharePoint Server と統合するためのセットアップが必要です。Office 365 では Azure RMS がクラウド側で Exchage Online、SharePoint Online と統合されているため、Office 365 ユーザーであれば簡単な設定のみで IRM 機能を使い始められます。
※ サポートされる Office は Office 365 (Azure RMS) では 2010 以降です。
オンプレの場合 2007 以降、また一部 Rights Management Server の場合と Azure RMS の場合で機能差があります。
参考 https://technet.microsoft.com/ja-jp/library/jj739831.aspx
さて Office 365 と統合されている Azure AD や Azure RMS について少しふれておきたいと思いますが、Office 365 とからんで目にする機会が多くなってきたこれらについて、「なにができるのか」 「またライセンス的な部分がいまいちよくわからない」 という方も多いのではないでしょうか? まずはそのあたりを簡単にだけふれておきます。
■ Office 365 と Azure AD
Azure Active Directory (Azure AD) は Microsoft のクラウド製品のひとつである Enterprise Mobility Suite とよばれるラインナップに含まれるユーザー ID 管理機能です。
Office 365 は認証プロバイダーとして Azure AD を利用しています。Azure AD は Free、Basic、Premium と3つラインナップがあり、Office 365 を利用している場合、Azure AD の Free を自動的に使っていることになります。また Azure AD Free には本来含まれていない多要素認証やパスワード リセット機能、ログオン画面のブランディング機能は Office 365 では利用可能です。 Premium に含まれている機能を利用したい場合、別途ライセンスを購入することでアップグレードも可能です。
■ Office 365 と Azure RMS
Azure RMS (Azure Rights Management Service) はクラウド上での IRM 機能を提供するもので、Office 365 は既定で Azure RMS と連携しています。Office 365 の E3 と E5 では標準でライセンスが含まれています。(その他のエディションでは別途 Azure Rights Management を追加して IRM 機能を利用することも可能です)
※ 参考 https://technet.microsoft.com/ja-jp/library/dn655136.aspx#BKMK_SupportedSubscriptions
※ Office 365 には、Azure AD や Azure RMS、あとここではふれてませんが Microsoft Intune 機能をベースで利用しており、Office 365 のエディションによって差はありますが、Office 365 ライセンスに含まれています。
Azure AD (Premium) と Microsoft Intune、Azure Rights Management の3つのメイン機能とその他機能を合わせて Enterprise Mobility Suite とされています。ご興味ある方はこちらを参考にください。
https://www.microsoft.com/ja-jp/server-cloud/products-Enterprise-Mobility-Suite.aspx
■ Office 365 での IRM 機能
Office 365 では SharePoint Online や Exchange Online と連携した IRM 機能が利用できます。
SharePoint Online では、ライブラリ内ファイルやリストの添付ファイルに対して、ダウンロード後に制御を行ってくれる機能として利用できます。ファイルが開けるプログラムが制限されるとともに、閲覧ユーザーに対する操作制御が可能です。例えば、ファイルのコピーや印刷、スクリーンショットによる画面コピー等を制限があげられ、そもそもそのファイルが開けるかどうかは、もちろんアクセス権で制御がされていますが、ファイルがダウンロードされた後の持ち出しリスクやファイルを閲覧する適切な権限レベルを持たないユーザーへ転送しまうことなどを防げます。SharePoint ではコンテンツ格納の単位であるリストやライブラリに対し IRM のルール設定を行えます。個々のファイルごとに IRM 設定を行うことなく、そこに保存したファイルたちに対して一貫した IRM 設定を適用できます。
Exchange Online では、メール メッセージや添付ファイルに対して転送や印刷、コピーに対する制御が行えます。利用ユーザーがメールに対してポリシーテンプレートを適用することで、IRM 制御をかけられます。また管理者がトランスポート保護ルールを利用し、自動的に適用させる設定も行えます。
2.Office 365 で IRM を利用するための事前設定
① テナントで Rights Management の有効化
1.Office 365 管理センターで、[サービス設定] – [アクセス権管理]をクリックします。
2.[管理を行う] をクリックします。
3.[アクティブ化] をクリックします。
4.再度確認画面が表示されるので、[アクティブ化] をクリックします。
5.少し待ちます。
6.アクティブ化完了
② SharePoint Online での有効化
1.SharePoint Online 管理センターを開きます。[設定] をクリックします。
2.[Information Rights Management (IRM)] で、[構成で指定した IRM サービスを使う] を選択し、
[IRM 設定の更新] をクリックします。
③ Exchange Online での有効化
PowerShell での有効化作業が必要です。Windows PowerShell を管理者として起動し、次のコマンドを実行します。
<資格情報が実行後求められるため、Office 365 管理者のユーザー名、パスワードを入れてください>
$Cred = Get-Credential
<Exchange Online に接続>
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $Cred -Authentication Basic –AllowRedirection
Import-PSSession $Session
<アジア地域の場合、Azure RMS テナントキーの場所を指定 (日本もこれ)>
Set-IRMConfiguration –RMSOnlineKeySharingLocation https://sp-rms.ap.aadrm.com/TenantManagement/ServicePartner.svc
Import-RMSTrustedPublishingDomain -RMSOnline -name “RMS Online”
<Exchange Online で IRM 機能を有効に設定>
Set-IRMConfiguration -InternalLicensingEnabled $true
<オプション: 行った構成に対するテスト>
Test-IRMConfiguration –RMSOnline
<切断>
Remove-PSSession $Session
Test-IRMConfiguration –RMSOnline 実行後、こんな内容が確認できれば OK です。
3.ライブラリでの IRM 機能
■ ライブラリでの IRM 設定
1.設定対象のライブラリを開きます。
2.[ライブラリ] タブ – [ライブラリの設定] を開きます。
3.ライブラリ設定画面で [Information Rights Management] をクリックします。
4.設定画面で、必要な設定を行います。
● [ダウンロード時にこのライブラリの権限を制限する] : オンに
● [アクセス許可のポリシー タイトル]、[アクセス許可ポリシーの説明]
ファイルを開いた際に表示される内容です。わかりやすい内容がよいかと。
■ IRM 設定を行った際の基本の挙動
※ オプション設定を行っていない場合
フル コントロール 権限 | 投稿 権限 | 閲覧 権限 |
・ Office Online で編集できない※ アクセス権変更可能 | ・ Office Online で編集できない ・ 印刷できない ※ コピーしたファイルに対しても同様の IRM 制御がかかる |
・ Office Online で編集できない ・ 印刷できない ・ 名前付けて保存できない ・ PrintScreen 使えない ・ コピーできない |
● ファイルのプレビューはできなくなる (Office Online を利用したやつ)
● Office Online での編集ができなくなる
● Office ファイル (Excel、PowerPoint、Word、Visio のみ、InfoPath)、PDF が対象であり、それ以外のファイルには適用されない。IRM に対応していないファイルをライブラリに保存できないようにするオプション設定は可能
<IRM に対応していないファイルを保存できないように設定した場合のアップロード操作後>
● IRM 保護がかかったファイルを開くことができるアプリケーション
・ Office 2010 以降 (Excel、Word、PowerPoint)
・ Visio 2016
・ PDF (最新の FoxIt が必要)
<FoxIt がない環境で IRM 保護された PDF ファイルを開いた場合>
■ ライブラリでの IRM その他オプション設定
● [IRM をサポートしないドキュメントのアップロードをユーザーに許可しない]
IRM に対応していないファイルをアップロードできなくなる
(設定前に保存されていたファイルはそのままライブラリに保存された状態。IRM 制御がかならないだけ)
● [このライブラリに対するアクセス許可の制限を解除する日]
● [このドキュメント ライブラリではドキュメントをブラウザーで開かないようにする]
Office Online が利用できなくなる
● [ドキュメントのアクセス権を構成]
閲覧ユーザーに対する制御をゆるめることが可能
4.メールでの IRM 機能
■ ユーザーによる IRM テンプレートの設定
Exchange Online で IRM が利用できるよう設定されていると、ユーザーがメールを送信する際に IRM テンプレートを利用できるようになります。 Outlook でメール作成時に [ファイル] メニューより [アクセス権の設定] をクリックし IRM テンプレートを選択して適用可能です。
■ トランスポート ルールによる適用
Exchange Online でトランスポート保護ルールにより、特定の条件の場合に自動的に IRM 保護をメールにかけるよう設定も行えます。
1.Exchange Online 管理センターで [メール フロー] をクリックします。
2.[+] – [メッセージに権利保護を適用する] をクリックします。
3.ルールに名前を付け、適用条件を指定、実行する処理で RMS テンプレートを選択し、[保存] します。
■ IRM テンプレートのカスタム作成
Azure ポータルより IRM テンプレートのカスタム作成も可能です。
1.Office 365 管理センターで、[サービス設定] – [アクセス権管理]をクリックします。
2.[管理を行う] をクリックします。
3.[高度な機能] をクリックします。
4.Azure Portal が開きます。(サインインが必要な場合は、Office 365 管理者アカウントでサインイン)
5.組織名をクリックします。
6.いったんもどります。
7.[Rights Management] をクリックし、さらに組織名をクリックします。
8.[新しい権利ポリシー テンプレートを作成する] をクリックします。
9. 言語、名前、説明を入力し、保存します。
10. [権限ポリシー テンプレートの管理] をクリックします。
11. 先ほど作成したポリシー テンプレートをクリックして開き、ユーザーやグループ権限に対する設定を行います。
設定後、[発行] を選択し [保存] します。
12. Exchange Online のポリシー テンプレートを更新するには PowerShell を実行します。
Windows PowerShell を管理者として起動し、次のコマンドを実行します
<資格情報が実行後求められるため、Office 365 管理者のユーザー名、パスワードを入れてください>
$Cred = Get-Credential
<Exchange Online に接続>
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $Cred -Authentication Basic –AllowRedirection
Import-PSSession $Session
<テンプレートの再インポート>
Import-RMSTrustedPublishingDomain -Name “RMS Online – 1” -RefreshTemplates -RMSOnline
<切断>
Remove-PSSession $Session
5.RMS 共有アプリケーション
Azure RMS により提供される 「RMS 共有アプリケーション」 を利用することで、さらにこんなことも可能です。
● 組織外のユーザーにメールでファイルを送信し、メールの受信者のみがファイルを表示可能としたい
保存や編集、印刷、転送を不可能にしたい
● スマホでメールを確認することが多い人に、保護されたファイルを送信したい
● IRM でサポートされていない Office や PDF 以外のファイルを保護したい
● どこで誰がファイルを開いたか追跡したい
● 必要に応じてあとからアクセス権を取り消したい
■ RMS 共有アプリケーションを利用するためには?
① Rights Management サブスクリプションがある
② RMS 共有アプリケーションを利用する PC やモバイルデバイスにインストールされている
・ 下記よりダウンロード可能 (Windows 用、MacOS 用、Windows Phone 用、iOS 用、Android 用があり)
https://portal.aadrm.com/home/download
・ 共有アプリケーションは無償。スクリプトによる展開も可能
参考 https://technet.microsoft.com/ja-jp/library/dn339003(v=ws.10).aspx
■ 利用例① メールで外部のユーザーにファイル添付
> メール送信者
1.Outlook でメールを作成し、ファイルを添付します。
● 共有アプリケーションはファイルに対する保護を行うものなので、添付ファイルは必要です。
また複数添付ファイルはサポートしていないようです
● 宛先ユーザーが別組織 (Azure Rights Management を利用していない) でもかまいません
● 宛先に Gmail、Hotmail といったインターネットメールは利用できないようです。
2.[保護ファイルの共有] – [保護ファイルの共有] をクリックします。
※ RMS アプリケーションをインストールすることで、Outlook のリボン内にメニューが追加されています。
3.Microsoft Rights Management Services よりサインイン画面が表示された場合、サインインを行ってください。
4.[閲覧者-表示のみ] を選択し、[今すぐ送信] をクリックします。
5.メールが送信されます。
> メール受信者
1.受信したメールを開きます。添付ファイルや本文に対して、自動的に変更がされています。
2.添付ファイル (ここでは Excel ファイル) を開きます。 サインインを求められた場合、サインインします。
3.アクセス制御がされています。
[ファイル] メニュー内の [名前を付けて保存] や [印刷]、[共有] 等のメニューは利用できません。
■ 利用例② 画像ファイルや PDF ファイルに保護
画像ファイルなど IRM の対象外のファイルにもアクセス制御が可能です。画像ファイルおよび PDF ファイルに対して保護をかけて共有してみます。 ※ PDF ファイルは IRM の対象ですが、専用のリーダーが必要。
> 保護を設定するユーザー
1.保護をかけたいファイルを右クリックし [RMS による保護] – [その場で保護] – [*- 社外秘(閲覧のみ)] をクリックします。
● 組織で定義されているテンプレートを選択しています。
● 自分でアクセス許可を設定したい場合 [カスタム アクセス許可] より可能です。
2.保護がかかり拡張子やアイコンが変更されたことが確認できます。
3.保護をかけたファイルを共有します。ここではライブラリに保存してみます。
> 共有されたファイルを閲覧するユーザー
共有されたファイルを開きます。
[保護されたファイル] ダイアログが表示された後、共有アプリケーションを利用して画像ファイルや PDF ファイル等の保護がかけられたファイルが開きます。(Office ファイルの場合は Office クライアントで開きます)
■ 利用例③ スマホや iPad から開いてみる
> メール送信者
1.Outlook でメールを作成し、ファイルを添付します。
2.[保護ファイルの共有] – [保護ファイルの共有] をクリックします。
3.[閲覧者 – 表示のみ] を選択し、[今すぐ送信] をクリックし、メールを送信します。
> メール受信者
ここでは、iPad で開いてみます。App Store よりあらかじめ RMS Sharing アプリをインストールしておきます。
1.保護されたファイルが添付されたメールを受信しました。
2.添付ファイルを OneDrive に保存します。(操作はブラウザー版 Outlook で行っています)
3.添付ファイルを保存した OneDrive からファイルを開きます。
4.RMS 共有アプリで開きます。
5.サインインします。
6.保護されたファイルが RMS Sharing アプリによって閲覧できます。
■ 利用例④ 保護されたファイルを Skype で共有してみる
RMS 共有アプリケーションで保護がかけられたファイルを開いた状態で、Skype でデスクトップ共有を行ってみます。
■ 利用例⑤ 追跡してみる
保護がかけられたファイルを追跡してみます。
> ファイルに保護設定
1.保護をかけたいファイルを右クリックし [RMS による保護] – [その場で保護] – [カスタム アクセス許可] をクリックします。
2.ユーザーを指定し、[閲覧者 – 表示のみ] を選択します。
さらに [他のユーザーがこれらのドキュメントを開こうとしたときにメールで通知する] [これらのドキュメントへのアクセスをすぐに取り消せるようにする] をオンにし [適用] します。
3.ファイルを共有します。(メールで送信しても OK)
> 追跡
1.ファイルが開かれたら表示される通知メールはこんな感じです。
2.追跡したいファイルを右クリック – [RMS による保護] – [使用の追跡] をクリックします。
3.追跡画面が開きます。ファイル名をクリックします。
4.ファイルの詳細画面が開き、誰がいつ開いたか、誰がいつアクセスを拒否されたかが一覧表示されます。
また [アクセスの取り消し] を利用することで、ファイルの権限を取り消すことも可能です。
どこでファイルが開かれたかを地図でみることも。
奥田