Verwalten von Dateizugriffsrechten mit Microsoft Rights Management Services – Teil 1

Diese Artikelserie befasst sich mit der Einrichtung und Verwendung der Rechteverwaltungsdienste (Rights Management Services, RMS) von Microsoft, die eine sichere Verschlüsselung von Dateien bieten. Microsoft hat die RMS komplett überarbeitet und sie 2013 mit neuer, Cloud-basierter Topologie eingeführt. RMS bieten umfassenden Schutz von sensiblen Informationen in Dateien und Dokumenten über granulare Einstellungen von Zugriffsrechten, nun auch weitgehend unabhängig von Dateityp, Betriebssystem und Organisation. Für bestimmte Dateien festgelegte Zugriffsberechtigungen bleiben auch nach dem Kopieren oder Weiterleiten von RMS-verschlüsselten Dateien aktiv. Gleichzeitig können autorisierte Personen und Gruppen mit Hilfe der Microsoft RMS je nach zugewiesenen Zugriffsberechtigungen die Dateien weitgehend unabhängig von dem Benutzergerät (z. B. PC, Tablet oder Smartphone) oder Organisationszugehörigkeit (innerhalb oder außerhalb eines Unternehmens) verwenden. Die benutzerdefinierte Schutzfunktionalität wird in den neuen RMS größtmöglich gehalten bei gleichzeitig minimalem Einrichtungsaufwand für den Benutzer, dank der Cloud-basierten RMS-Topologie.

 

In diesem Teil der Artikelserie wird zunächst ein Überblick zu den Microsoft RMS gegeben. Anschließend wird die Einrichtung der RMS einschließlich der benötigten Voraussetzungen und Vorbereitungen für die Nutzung erläutert.

Folgende Möglichkeiten bieten die Microsoft RMS

  • Dateien unabhängig vom Dateityp schützen (mit unterschiedlichen Schutzleveln: Verschlüsselung von Office-, PDF-, Bild- und Textdateien oder Kapselung mit Autorisierung für alle weiteren Dateitypen)
  • Dateien weitgehend unabhängig vom Speicherort bzw. Gerät schützen (durch Unterstützung der wichtigsten Betriebssysteme und Benutzergeräte)
  • Dateien mit wenigen Klicks bestimmten Personen geschützt über E-Mail freigeben
  • Dateien unabhängig von Administrationsrechten des einzelnen Mitarbeiters schützen (bei minimalem Einrichtungsaufwand für den Einzelnen)
  • Granulare personen-/ und gruppengerichtete Zugriffsrechte für Dateien benutzerdefiniert oder nach unternehmensweiten Vorlagen festlegen (z.B. das Drucken oder Kopieren des Dokumenteninhalts verhindern oder die zeitliche Gültigkeit eines Dokuments beschränken)
  • Inhalte von E-Mails verschlüsseln und nur bestimmten Personen freigeben (z. B. mit alleiniger Leseberechtigung um das Drucken, Kopieren oder Weiterleiten zu verhindern)
  • Bestehende Office-Anwendungen, verbreitete PDF-Reader oder kostenlose RMS-Anwendungen für das Schützen von Dateien verwenden (mit wenigen Klicks einzurichten)
  • Innerhalb von SharePoint Dateien in Dokumentenbibliotheken schützen
  • Die Zugriffe bzw. Zugriffsversuche auf geschützte Dateien nachverfolgen
  • Unternehmensweit und unternehmensübergreifend bei der Bearbeitung und Freigabe von geschützten Dateien zusammenarbeiten

Innovation der Azure RMS im Vergleich zu den Active Directory RMS

Es ist zu beachten, dass es derzeit sowohl Azure RMS als auch Active Directory (AD) RMS von Microsoft gibt (für eine Gegenüberstellung siehe hier). Die Azure RMS sind die in 2013 neu eingeführten RMS während die AD RMS bereits länger existieren und auf älteren Strukturen basieren. Dieser Artikel bezieht sich dementsprechend ausschließlich auf die neu eingeführten Azure RMS.

Wesentliche Unterschiede zwischen den RMS-Versionen bestehen darin, dass die älteren AD RMS nicht Cloud-basiert sind sondern nur über lokale Windows Server funktionieren. Der Einrichtungsaufwand für Unternehmen ist somit deutlich höher als mit den Azure RMS. Zudem sind Benutzer von AD RMS abhängig von der RMS-Einrichtung in ihrem Unternehmen, während bei Azure RMS auch eine Einzelperson unabhängig ihres Unternehmens die Azure RMS kostenfrei verwenden kann. Ebenfalls stark eingeschränkt ist die unternehmensübergreifende Zusammenarbeit mit AD RMS, die eine explizite Definition der Vertrauensbeziehungen und eine entsprechende Einrichtung der Dienste benötigt, während mit Azure RMS jedes beliebige Unternehmen mit anderen auf Basis von RMS kollaborieren kann, solange auf beiden Seiten ein RMS-Abonnement besteht und die Zugriffsrechte entsprechend definiert wurden.

Die neuen Microsoft Azure RMS mit Cloud-basierter Topologie bieten somit im Vergleich zu der älteren AD RMS-Version eine erhöhte Flexibilität für den Dateischutz bei gleichzeitig stark verringertem Einrichtungsaufwand sowohl für das Unternehmen als auch für die Einzelperson. Weitere detaillierte Informationen zu den Funktionen und Grundlagen der neuen Microsoft RMS finden sich hi​er.

Einrichtung der Microsoft RMS

Systemvoraussetzungen für Microsoft RMS

Welches RMS-Abonnement benötige ich?

Um Microsoft Azure RMS für die Verwaltung von Zugriffsrechten auf Dokumente verwenden zu können, ist ein Cloud-Abonnement von Microsoft notwendig, welches RMS beinhaltet. Das sind die Folgenden (Stand 06/2015):

  • Office 365 in den Versionen Enterprise E3/E4, Education A3/A4 oder Government G3/G4
  • ein eigenständiges Azure RMS-Abonnement (kompatibel zu Office 365, Exchange Online und SharePoint Plänen)
  • ein Abonnement der Enterprise Mobility Suite (kompatibel zu Office 365, Exchange Online und SharePoint Plänen)
  • ein Abonnement von RMS für Einzelpersonen in einem Unternehmen, welches über kein unternehmensweites Abonnement verfügt.

Die Abonnements sind stets unternehmensbezogen, d.h. Privatpersonen können Microsoft RMS leider noch nicht nutzen. Ein Abonnement von RMS für Einzelpersonen kann individuell über die unternehmensbezogene E-Mail-Adresse kostenfrei erworben werden, falls noch kein unternehmensweites RMS-Abonnement verfügbar ist. Somit können Nutzer unabhängig vom eigenen Unternehmen Dokumente schützen und mit anderen Personen, die über ein RMS-Abonnement verfügend, teilen sowie auf geschützte und mit ihnen geteilte Dokumente zugreifen. Details zur Registrierung für RMS für Einzelpersonen finden sich hier.

Betriebssysteme und Anwendungen, die RMS unterstützen

Auf dem Computer wird RMS in Windows 7, Windows 8/8.1 sowie Mac OS X (10.8 oder höher) unterstützt. Mobile Geräte benötigen Windows Phone 8.1, Android 4.0.3. oder höher, iOS 7.0 oder höher, oder Windows 8 RT/8.1 RT.

Wenn ein RMS-Abonnement vorhanden ist, kann man unter Windows bzw. anderen Betriebssystemen die Microsoft RMS mit diversen Anwendungen verwenden, je nach Dateityp. Für den RMS-basierten Schutz von Word-, Excel- oder PowerPoint-Dateien unter Windows wird Office 2010 Professional (Plus), Office 2013 Professional Plus oder Office 365 benötigt. RMS-unterstützende PDF-Anwendungen unter Windows sind der Foxit Reader (Enterprise/PhantomPDF) oder der Nitro PDF Reader. E-Mails lassen sich unter Windows RMS-verschlüsseln bzw. RMS-entschlüsseln mit den Versionen 2010, 2013 oder Web App von Outlook.

Mit der RMS-Freigabeanwendung alle Dateitypen schützen

Für andere bzw. alle Dateitypen steht die RMS-Freigabeanwendung zur Verfügung, die man sich hier kostenlos herunterladen und installieren kann. Sie wird insbesondere von Einzelpersonen mit RMS Abonnement benötigt, ist aber grundsätzlich sehr nützlich für Unternehmen mit RMS-Abonnement, da sich damit nicht nur Office- oder PDF-Dateien verschlüsseln lassen. Bei Installation der RMS-Freigabeanwendung wird außerdem, soweit vorhanden, in Word, Excel, PowerPoint und Outlook der Versionen Office 2010 und 2013 ein Add-In integriert, das erweiterte Sicherheitsfunktionalität bei der Freigabe von Dokumenten bietet. Mehr Details zu den Funktionen der RMS-Freigabeanwendung gibt es im Abschnitt Microsoft RMS-Freigabeanwendung in einem weiterführenden Blogbeitrag. Zu den allgemeinen Voraussetzungen für die Verwendung von RMS finden sich hier weitere Informationen.

Vorbereitungen für die Nutzung von RMS

Bevor Microsoft RMS verwendet werden können, müssen sie in den relevanten Anwendungen aktiviert werden. Je nach Abonnement müssen die RMS im Office 365 Admin Center bzw. im Azure-Verwaltungsportal von einer Person mit entsprechenden Administrationsrechten aktiviert werden. Wie dazu vorzugehen ist, wird hier beschrieben. Für Einzelpersonen mit RMS Abonnement reicht es, die RMS-Freigabeanwendung herunterzuladen und zu installieren nachdem man sich für ein Einzelpersonen-RMS-Abonnement registriert hat. Soll die RMS-Freigabeanwendung für mehrere Benutzer in einem Unternehmen mit RMS-Abonnement installiert werden, ist nach dieser Anleitung vorzugehen. Die RMS-Freigabeanwendung muss außerdem installiert sein, um in Office 2010 die RMS zu verwenden. Für Office 2013 hingegen ist keine weitere Konfiguration notwendig, außer der allgemein in Office notwendigen Anmeldung mit den Anmeldedaten, die für das RMS-Abonnement registriert sind.

Zwei Möglichkeiten der Verwaltung des zentralen RMS-Mandantenschlüssels

Jedes Unternehmen, das die Microsoft RMS abonniert hat, bekommt (mindestens) einen sogenannten Mandantenschlüssel zugewiesen, der auch als SLC-Schlüssel (Server Licensor Certificate, lizenzgebendes Serverzertifikat) bekannt ist. Alle einzelnen im Unternehmen für die RMS-Ver-/ und RMS-Entschlüsselung verwendeten Schlüssel werden wiederum mit dem RMS-Mandantenschlüssel verbunden. Standardmäßig wird der Schlüsselverwaltungsprozess von Microsoft durchgeführt, es sei denn, die eigene vollständige Kontrolle über die Schlüsselverwaltung ist gewünscht. In dem Fall kann man einen eigenen Mandantenschlüssel lokal generieren und ihn über sogenannte Hardwaresicherheitsmodule an Microsoft übertragen. Dies ist allerdings nicht für Einzelpersonen mit RMS-Abonnement möglich. Wie die Verfahren der Schlüsselverwaltung in beiden Fällen funktionieren und welche Schritte jeweils nötig sind, wird hier detailliert beschrieben. Wichtig zu wissen ist, dass die verschlüsselten Daten in beiden Fällen nicht von Azure bzw. Microsoft als Teil des Informationsschutzvorgangs gesehen oder gespeichert werden. Die genaue Funktionsweise der Ver- und Entschlüsselung wird hier detailliert beschrieben.

Vorschau auf Teil 2

In Teil 2 dieses Artikels wird die Anwendung von den Microsoft RMS in der Praxis erläutert. Dabei stehen die Verschlüsselung von Dokumenten und E-Mails sowie die Wiedergabe von RMS-verschlüsselten Dokumenten mit Microsoft Office und RMS-fähigen PDF-Readern im Vordergrund.

Quellen und weiterführende Links

Nachfolgend sind einige weitere Links aufgelistet, die als Quellen für diesen Artikelteil dienten und weiterführende Informationen zum Nachlesen und Hören bieten:

Erfahren Sie mehr

Valo ist neuer Partner der novaCapta für Intranets
News
News

Valo ist neuer Partner der novaCapta für Intranets

Durch die Partnerschaft mit Valo, dem Ready-2-Go Intranet-Baukasten aus Finnland baut die novaCapta ihr Angebot bei der Umsetzung von schnellen und funktionalen...

novaCapta auf der Fachtagung für Interne Revision
Event
Event

novaCapta auf der Fachtagung für Interne Revision

Das Expertenteam der novaCapta präsentiert am 15. und 16. November ihre innovative Audit Management Lösung auf dem DIIR-Kongress in Dresden. Besuchen Sie unsere...

Jan
25
Webcast mit Microsoft: Fit für die digitale Arbeitswelt
Webinar
Webinar

Webcast mit Microsoft: Fit für die digitale Arbeitswelt

Die digitale Transformation und die Veränderung der Arbeitswelt ist längst in vielen Unternehmen und in den öffentlichen Einrichtungen angekommen. Dennoch stell...

Office 365 Groups als Evolution von SharePoint?
Blog
Blog

Office 365 Groups als Evolution von SharePoint?

Zusätzlich zu SharePoint erlauben die Office 365 Groups es mir als Anwender, schnell und einfach neue Gruppen anzulegen und selbständig Benutzer hinzuzufügen.

Strukturen lernen und leben – Praxis Informationsarchitektur
Blog
Blog

Strukturen lernen und leben – Praxis Informationsarchitektur

Teil 1 – Strukturen lernen – Informationsarchitektur erfolgreich vertreten

Die Micro-Info-Architektur
Blog
Blog

Die Micro-Info-Architektur

Vertiefung zum Thema Informationsarchitektur moderner Intranets mit SharePoint: Das Micro-Management.

Farben zur Optimierung des SharePoint-Kalender
Blog
Blog

Farben zur Optimierung des SharePoint-Kalender

Auch in SharePoint kann man Kategorien für Teamkalender-Einträge farblich abheben und damit die Lesbarkeit erhöhen. Wir zeigen Ihnen, wie das geht.

SharePoint Framework Client-Side Webparts mit React
Blog
Blog

SharePoint Framework Client-Side Webparts mit React

React ist ein Framework zur Erstellen von Benutzeroberflächen. In der SharePoint Online Entwicklung bietet es sich für die Entwicklung von Client-Side Webparts...

Referenz: Heidelberger Druckmaschinen AG

Referenz: Heidelberger Druckmaschinen AG

Ziel der Heidelberger Druckmaschinen AG war es eine neue innovative Arbeitsumgebung zu schaffen.

Jan
17
Webinar Azure DevOps und Docker Machine
Webinar
Webinar

Webinar Azure DevOps und Docker Machine

DevOps ist in aller Munde, doch was genau verbirgt sich eigentlich hinter dem so viel beschworenen Konzept der IT-Zusammenarbeit? Im Webinar am 17.01.2019 erfah...

Nov
07
Webcast mit Microsoft: Das Intranet zu Ende gedacht
Webinar
Webinar

Webcast mit Microsoft: Das Intranet zu Ende gedacht

Am 07. November findet erneut eines unserer Webinare gemeinsam mit Mircosoft statt. Das Thema dieses Mal: Das Intranet zu Ende gedacht – Die Informationszentral...

Digital Workplace Tour mit Valo und Office 365 in Hannover
Event
Event

Digital Workplace Tour mit Valo und Office 365 in Hannover

Nachdem die Themen Modern Intranet, Digital Workplace und die "New Ways to Work" bei unserem letzten Event so viel Anklang fanden, haben wir uns entschlossen, ...