Verwalten von Dateizugriffsrechten mit Microsoft RMS – Teil 4

Dieser letzte Teil der Artikelserie befasst sich mit dem Schutz von Dokumenten innerhalb von SharePoint. Mit Hilfe der Integration der RMS in SharePoint lassen sich Dokumentenbibliotheken mit wenigen Klicks RMS-verschlüsseln. Dies bietet einen zusätzlichen Schutz zu den SharePoint-eigenen Zugriffsberechtigungen, da die in RMS-geschützten Dokumentenbibliotheken hochgeladenen Dokumente auch außerhalb von SharePoint verschlüsselt bleiben.

Die Anwendung von RMS in der Unternehmenspraxis

RMS bei Dokumentenbibliotheken und Listen in SharePoint

RMS in SharePoint bieten optimale Schutzfunktionen für Dokumente, die über SharePoint miteinander geteilt werden bzw. die gemeinsam bearbeitet werden. Dokumente, die in geschützte SharePoint-Bibliotheken hochgeladen werden, müssen nicht extra in Office oder der jeweiligen Anwendung vorher explizit RMS-verschlüsselt werden; dies wird innerhalb einer geschützten SharePoint-Bibliothek durchgeführt. Das ist insbesondere nützlich, wenn mehrere Dokumente zugleich geschützt und geteilt werden sollen, wie z. B. bei zusammengehörenden Vertragsdokumenten oder Projektanforderungsdokumenten eines Kunden. Mit wenigen Klicks lässt sich eine ganze vertrauliche Dokumentenbibliothek mit RMS schützen.

Bevor man RMS in SharePoint anwenden kann, muss die Informationsrechteverwaltung (Information Rights Management, IRM) zunächst in der SharePoint Administration aktiviert werden. Ein Benutzer mit Administrationsrechten kann hier einsehen, wie vorzugehen ist. Wenn das IRM aktiviert ist, können Bibliotheken und Listen in SharePoint mit Hilfe von granularen Zugriffsberechtigungen RMS-geschützt werden. Dabei werden die Zugriffsberechtigungen immer auf eine ganze Bibliothek bzw. Liste angewendet und nicht auf einzelne Dokumente. Im Folgenden wird beschrieben, wie die Zugriffsrechte auf eine Dokumentenbibliothek in SharePoint eingeschränkt werden und wie man mit zugriffsbeschränkten Bibliotheken arbeitet. Für IRM-Einstellungen in Listen ist ähnlich vorzugehen.​

Zugriffsrechte auf eine Bibliothek mit Hilfe von RMS beschränken

Nachdem man eine Bibliothek oder Liste angelegt hat, gelangt man unter Bibliothek (bzw. Liste) zu den Bibliothekseinstellungen (bzw. Listeneinstellungen; siehe Abbildung 1).

In den Einstellungen findet man unter dem Punkt Berechtigungen und Verwaltung die Verwaltung von Informationsrechten (siehe Abbildung 2).

Neben einem Titel und einer Beschreibung der Berechtigungsrichtlinie für die Bibliothek kann man zusätzliche Optionen festlegen (siehe Abbildung 3). Grundsätzlich gibt es in SharePoint verschiedene voreingestellte Benutzergruppen (z.B. Besitzer, Besucher und Mitglieder) die jeweils bestimmte Zugriffsrechte auf Webseiten in SharePoint haben (z.B. Vollzugriff, Leseberechtigung und Änderungsberechtigung). Wie man die Benutzergruppeneinstellungen anpasst, wird im Folgenden noch erklärt. Die Berechtigungsvergabe über Benutzergruppen bietet jedoch nur den Schutz von Dateien innerhalb von SharePoint. Sobald ein berechtigter Benutzer eine Datei z. B. herunterlädt oder ein Dokument ausdruckt, besteht der Schutz durch die Berechtigungsbeschränkungen nicht mehr und der Inhalt einer Datei kann potenziell von unbefugten Personen eingesehen werden (z. B. wenn der berechtigte Benutzer die Datei weitergibt oder das Dokument sonst irgendwie zugänglich für andere macht). Die Microsoft RMS bzw. das IRM in SharePoint schützen hiervor: Dateien, die aus IRM-geschützten SharePoint-Bibliotheken angezeigt oder heruntergeladen werden, bleiben verschlüsselt, so dass die Inhalte für unbefugte Personen nicht zugänglich sind.

In der Verwaltung von Informationsrechten aus Abbildung 3 lassen sich Einstellungen über die Benutzergruppeneinstellungen hinaus vornehmen. Die IRM-Einstellungen für eine Bibliothek beinhalten, dass die Benutzer bei Bedarf nur Dokumente in die Bibliothek hochladen können, die IRM in SharePoint unterstützen (hauptsächlich Word-, Excel-, PowerPoint- und PDF-Dateien). Der grundsätzliche Zugriff (aller Benutzergruppen) auf die Bibliothek lässt sich zeitlich bestimmt beenden. Es lässt sich außerdem verhindern, dass Dokumente im Browser geöffnet werden, wobei auch hier die Einschränkung für Word-, Excel-, PowerPoint- und PDF-Dateien gilt. Andere Dateitypen wie z.B. Bild-Dateien lassen sich zwar grundsätzlich nicht im Browser öffnen; dafür wird allerdings unabhängig von den IRM-Einstellungen eine Vorschau der Datei durch Klick auf die drei Punkte hinter der Datei angezeigt (siehe Abbildung 4).

Die Vorschau von Office- oder PDF-Dateien wird beim Klick auf die drei Punkte hinter einer Datei in einer IRM-geschützten SharePoint-Bibliothek grundsätzlich unterdrückt (siehe Abbildung 5). Office- und PDF-Dokumente lassen sich normalerweise im Browser anzeigen durch Klick auf „Öffnen” bei einer PDF-Datei bzw. auf „Im Browser anzeigen” bei Office-Dateien, was sich wiederum durch Aktivieren der entsprechenden Option in der Informationsrechteverwaltung für eine SharePoint-Bibliothek verhindern lässt.

In den IRM-Einstellungen einer SharePoint-Bibliothek lassen sich ferner die Zugriffsrechte auf die Dokumente in der Bibliothek über die Benutzergruppeneinstellungen hinaus granular festlegen. Das Drucken von Dokumenten, was z. B. Benutzern mit alleiniger Leseberechtigung normalerweise nicht möglich ist, kann ausdrücklich erlaubt werden. Allen Benutzern mit mindestens einer Leseberechtigung kann außerdem die Ausführung von Skripten und die Verwendung der Bildschirmsprachausgabe sowie das Schreiben in einer heruntergeladenen Kopie eines Dokuments erlaubt werden. Auch lässt sich der Zugriff auf ein Dokument nach dem Download zeitlich beschränken. Außerdem lässt sich ferner anfordern, dass Benutzer nach bestimmten Zeiträumen ihre Authentifizierung erneuern müssen, oder dass Benutzer Dokumente nur für Mitglieder einer bestimmten Active-Directory-Gruppe bzw. eines Exchange-Onlineverteilers freigeben können. Weitere Informationen zu der Verwaltung von Informationsrechten einer Bibliothek oder Liste in SharePoint finden sich hier.

RMS-unabhängige Zugriffsberechtigungen in SharePoint

Wie zuvor bereits erwähnt, bietet SharePoint grundsätzliche Einstellungen von Zugriffsberechtigungen für Bibliotheken und Listen an, die nicht an ein Abonnement von Microsoft RMS gebunden sind und die durch die zuvor beschriebenen IRM-Einstellungen erweitert werden. Diese Einstellungen, „Berechtigungen für Dokumentenbibliothek” (oder „Berechtigungen für Liste” entsprechend), lassen sich ebenfalls in den Bibliothekseinstellungen unter Berechtigungen und Verwaltung finden (siehe Abbildung 6).

Dort findet sich eine Übersicht der vorhandenen Benutzergruppen mit deren Berechtigungsstufen. Diese Einstellungen werden von der übergeordneten Websitesammlung übernommen und sind vordefiniert. Um neue Benutzergruppen mit eigenen Rechten zu erstellen, muss man das übergeordnete Element verwalten, also meist die Websitesammlung, für die man entsprechende Administrationsrechte benötigt. Um wiederum die Benutzergruppen der Bibliothek selbst bzw. ihre Berechtigungsstufen nach eigenem Bedarf anzupassen, muss zunächst die Berechtigungsvererbung beendet werden (siehe Abbildung 7).

Dann lassen sich die Benutzerberechtigungen für ausgewählte Benutzergruppen bearbeiten (siehe Abbildung 8) oder unter „Berechtigungen erteilen” einzelnen Benutzern bestimmte Rechte für die Bibliothek geben.