Verwalten von Dateizugriffsrechten mit Microsoft RMS – Teil 2

Dieser Teil der Artikelserie befasst sich mit der Anwendung von den Microsoft RMS in der Praxis. Die Verwendung der RMS in Microsoft Office (Word, Excel, PowerPoint und Outlook) und in RMS-fähigen PDF-Readern wird Schritt für Schritt erklärt. Dazu zählen die Verschlüsselung von Word-, Excel-, PowerPoint- und PDF-Dokumenten sowie von E-Mails und die Wiedergabe verschlüsselter Dokumente.

Die Anwendung von RMS, den Microsoft Right Management Services, in der Unternehmenspraxis

 

Dokumente mit Microsoft Office schützen

Die Zugriffsbeschränkung bei Microsoft Office Dokumenten, bestehend aus einer Verschlüsselung und Rechteerzwingung, ist nativ und wandert mit dem Dokument: Ob ein Dokument kopiert, in einem anderen Ort gespeichert oder per E-Mail weitergeleitet wird, die Verschlüsselung bleibt aktiv und die zugeordneten Berechtigungen werden beim Öffnen erzwungen und angezeigt. Eine Authentifizierung des Nutzers mit seinem RMS-verbundenen Konto ist zum Öffnen erforderlich. Das heißt, dass vertrauliche Dokumente wie z. B. Verträge an den Vertragspartner mit RMS-Abonnement weitergegeben werden können. Zudem bedeutet das, dass dieser Vertragspartner die Verträge zwar ansehen und ggf. bearbeiten kann (je nach Rechtevergabe), dass er aber die Verträge nicht durch Kopieren oder Weiterleiten an (unbefugte) Dritte weitergeben kann, da diese (unabhängig davon, ob sie über ein RMS-Abonnement verfügen oder nicht) nicht die entsprechenden Rechte für die Verträge besitzen und dadurch auch die Verträge oder deren Kopien nicht öffnen können. Auch das Drucken eines Dokuments, einschließlich Screenshots davon, können in den Zugriffseinstellungen in Microsoft Office verhindert werden. So können sensible Informationen aus einem Dokument weder durch Kopieren und Weiterleiten noch durch Drucken an unbefugte Dritte gelangen. Welcher Vertragspartner oder Mitarbeiter welche Rechte (Lesen, Bearbeiten, Kopieren, Drucken, etc.) bekommt, kann individuell festgelegt werden. S ist es zum Beispiel möglich, dass ein Mitarbeiter im eigenen Projektteam ein vertrauliches Dokument bearbeiten kann, während der Vertragspartner bzw. dessen Mitarbeiter ggf. nur eine Leseberechtigung bekommen.

Die Zugriffsrechte auf Word-, Excel- und PowerPoint-Dokumente lassen sich auf zwei Arten verwalten: In der jeweiligen Office-Anwendung oder über die (optionale) Microsoft RMS-Freigabeanwendung. In diesem Abschnitt wird die erste der beiden Arten beschrieben. Die zweite Art wird in dem Abschnitt Microsoft RMS-Freigabeanwendung in Teil 3 dieser Blogserie erklärt. Die Zugriffsbeschränkung von E-Mails und E-Mail-Anhängen mit Outlook wird ebenfalls in diesem Abschnitt beschrieben.

RMS in Word, Excel und PowerPoint

Die Zugriffsrechte eines Word-Dokuments lassen sich beschränken über Datei > Informationen > Dokument schützen > Zugriff einschränken (siehe Abbildung 1). Bei Excel und PowerPoint findet sich die Zugriffsbeschränkung ähnlich: Datei > Informationen > Arbeitsmappe schützen > Zugriff einschränken, bzw. Datei > Informationen > Präsentation schützen > Zugriff einschränken.

Abbildung 1: Die Option in Word den​ Dokumentzugriff zu beschränken
Abbildung 1: Die Option in Word den​ Dokumentzugriff zu beschränken

Dort hat man die Möglichkeit, zwischen (vom Unternehmen) vordefinierten und benutzerdefinierten Einstellungen („Eingeschränkter Zugriff”) zu wählen. Schreibgeschütztes Anzeigen geschützter Inhalte („Vertraulich – Nur Ansicht”) sowie Schreib- oder Änderungsberechtigungen für geschützten Inhalt („Vertraulich”) sind die zwei in Office 365 vordefinierten Rechtevorlagen.  Unter „Eingeschränkter Zugriff” lassen sich eigene Einstellungen für einzelne Benutzer vornehmen, d. h. eine reine Leseberechtigung (kein Ändern, Drucken oder Kopieren des Inhalts) bzw. eine Änderungsberechtigung (inkl. Bearbeiten, Kopieren und Speichern aber ohne Drucken; siehe Abbildung 2).

Abbildung 2: Lese- und Änderungsberechtigungen für ein Word-Dokument
Abbildung 2: Lese- und Änderungsberechtigungen für ein Word-Dokument

Unter „Weitere Optionen” lassen sich die Zugriffsrechte noch detaillierter für einzelne Personen bestimmen (siehe Abbildung 3). Dort lässt sich auch ein Ablaufdatum einrichten, ab dem der Zugriff auf das Dokument vollständig blockiert wird. Ob das Drucken (einschließlich Screenshots), das Kopieren des Inhalts für Leseberechtigte oder der programmatische Zugriff auf das Dokument erlaubt sein soll, lässt sich ebenfalls festlegen. Bei Bedarf kann man einem Nutzer ermöglichen, zusätzliche Berechtigungen anzufordern oder die Berechtigungsprüfung bei jedem Aufruf des Nutzers anfordern.

Abbildung 3: Weitere Optionen bei der Berechtigungsvergabe für Word-Dokumente
Abbildung 3: Weitere Optionen bei der Berechtigungsvergabe für Word-Dokumente

Als Administrator des Office 365 Kontos kann man weitere Rechtevorlagen definieren, die den Benutzern dann neben den Vorlagen „Vertraulich – Nur Ansicht” und „Vertraulich” beim Schützen eines Dokuments zur Auswahl stehen. Hi​er wird beschrieben, wie man entsprechend vorgeht.

Wenn man die Microsoft-RMS-Freigabeanwendung neben Microsoft Office auf dem PC installiert hat, ist in Word, Excel und PowerPoint eine zusätzliche Option des Dokumentschutzes integriert: Das geschützte Freigeben von Dokumenten per E-Mail, wobei das Office-Dokument als verschlüsselter Anhang einer E-Mail beigefügt wird. Die Option kann aufgerufen werden unter Start > Schutz > Geschütztes Freigeben (siehe Abbildung 4). Näheres dazu, wie man mit Hilfe der RMS-Freigabeanwendung diese Option verwendet und die einzelnen Zugriffsbeschränkungen für bestimmte Personen verwaltet, gibt es im Abschnitt Microsoft RMS-Freigabeanwendung im folgenden Teil der Artikelserie.

​Abbildung 4: Option “Geschütztes Freigeben” in Word
​Abbildung 4: Option “Geschütztes Freigeben” in Word

Beim Öffnen von geschützten Word-, Excel- oder PowerPoint-Dateien in der jeweiligen Microsoft Office Anwendung werden die festgelegten Zugriffsrechte automatisch erzwungen. Sie werden dem zugriffsberechtigten Benutzer in einem Hinweis über dem Dokument mit der Möglichkeit angezeigt, die einzelnen Zugriffsrechte darstellen zu lassen oder diese ggf. als Autor des Dokuments zu ändern (siehe Abbildung 5).

Abbildung 5: Geschütztes Word-Dokument in Word geöffnet
Abbildung 5: Geschütztes Word-Dokument in Word geöffnet

RMS in Outlook

In Microsoft Outlook lassen sich Inhalte einer E-Mail sowie Anhänge verschlüsseln und der Zugriff darauf schützen. Auf diese Weise kann man sensible Informationen, wie z. B. Kontodetails, verschlüsselt an andere Personen verschicken, wobei gleichzeitig verhindert werden kann, dass der Empfänger die Details an unbefugte Dritte weitergeben kann. Die Zugriffsrechte auf den Inhalt einer E-Mail können im E-Mail-Fenster unter Optionen > Berechtigung angepasst werden (siehe Abbildung 6). Voreingestellte Optionen und die Option „Nicht weiterleiten” (beinhaltet eine Leseberechtigung, aber keine Berechtigung zum Drucken, Kopieren oder Weiterleiten der E-Mail) stehen zur Verfügung, um dem Empfänger der E-Mail nur beschränkte Zugriffsrechte auf den Inhalt der E-Mail zu geben.

​Abbildung 6: Berechtigungseinstellungen bei einer E-Mail in Outlook
​Abbildung 6: Berechtigungseinstellungen bei einer E-Mail in Outlook

Um die Anhänge einer E-Mail zu schützen, ohne vorher die entsprechenden Dateien auf dem PC mit Microsoft Office oder einem RMS-fähigen PDF-Reader geschützt zu haben, kann man in Outlook die zusätzliche Option „Geschütztes Freigeben” im E-Mail-Fenster unter Nachricht > Schutz > Geschütztes Freigeben verwenden, sofern man die RMS-Freigabeanwendung installiert hat (siehe Abbildung 7). Die angehängten Dateien werden dann mit Hilfe der RMS-Freigabeanwendung verschlüsselt. Näheres dazu gibt es im Abschnitt Microsoft RMS-Freigabeanwendung im folgenden Teil der Artikelserie.

Abbildung 7: Geschütztes Freigeben von E-Mail-Anhängen in Outlook
Abbildung 7: Geschütztes Freigeben von E-Mail-Anhängen in Outlook

RMS in PDF-Readern

Auch vertrauliche Dokumente abseits von Microsoft Office lassen sich mit den RMS schützen, wenn ein RMS-Abonnement im Unternehmen bzw. für die Einzelperson besteht. Für die Ver-/ und Entschlüsselung von PDF-Dateien, wird ein Microsoft RMS kompatibler PDF-Reader oder die Microsoft RMS-Freigabeanwendung benötigt. Der Foxit PhantomPDF Business Reader und der Foxit Enterprise Reader unterstützen beide die RMS-basierte Ver- und Entschlüsselung von PDF-Dateien während der Foxit PhantomPDF Standard Reader nur die Entschlüsselung, also das Anzeigen von RMS-geschützten PDF-Dateien, unterstützt. Die Verschlüsselung von PDF-Dokumenten ist, ähnlich wie bei Office-Dokumenten, nativ. Das heißt, dass die festgelegten Zugriffsrechte immer erzwungen werden und auch nach dem Kopieren, Speichern oder Weiterleiten bestehen bleiben. Das heißt, dass auch vertrauliche Dokumente in PDF-Form an entsprechende Vertragspartner oder Teammitglieder zum Lesen oder Bearbeiten weitergegeben werden, ohne dass die Dokumente unverschlüsselt an unbefugte Dritte weitergegeben werden können.

 

Dokumentenrechte im Foxit Reader verwalten

PDF’s verschlüsseln

Ähnlich wie in Microsoft Office lässt sich der Zugriff auf ein geöffnetes PDF-Dokument im Foxit PhantomPDF Business oder Foxit Enterprise Reader mit vordefinierten Rechtevorlagen (z.B. „View Only”, eine alleinige Leseberechtigung) oder mit benutzerdefinierten Einstellungen („Restricted Access”) verwalten. Die Optionen sind unter Protect > AD RMS Protect > Restricted Access zu finden (siehe Abbildung 8).

Abbildung 8: Die Option „Beschränkter Zugriff” im Foxit Reader
Abbildung 8: Die Option „Beschränkter Zugriff” im Foxit Reader

Beim ersten Zugriff auf ein RMS-geschütztes Dokument per Foxit Reader wird man zur Eingabe des Kontonamens und des Passworts des Unternehmenskontos, das über ein Microsoft RMS Abonnement verfügt, für die Authentifizierung aufgefordert. Anschließend stehen wie bei Microsoft Office die Einstellungen zur Verfügung, bestimmten Personen eine Leseberechtigung (ohne Ändern, Drucken oder Kopieren des Dokumenteninhalts) oder eine Änderungsberechtigung (inkl. Berechtigungen zum Lesen, Ändern, Kopieren und Speichern aber ohne Druckberechtigung) zu geben sowie weitere Optionen unter „More Options” in Anspruch zu nehmen, ähnlich wie in Word.

Die weiteren Optionen sind ebenfalls ähnlich derer in Microsoft Office: Man kann für bestimmte Personen detaillierte Zugriffslevel einstellen und zusätzliche Optionen wie Zugriffsablaufdatum, Druckerlaubnis, Kopiererlaubnis, programmatischer Zugriff, Erlaubnisanforderung und Authentifizierungsaufforderungen beim Dokumentenaufruf anwenden (siehe Abbildung 9). Darüber hinaus hat man die Möglichkeit, spezielle Beschränkungen in Bezug auf die Anzahl und Art der Dokumentenzugriffe unter „Extended policy…” festzulegen sowie Wasserzeichen hinzuzufügen. Mit einem Klick auf „Save as template” kann man die vorgenommenen Einstellungen als Vorlage für die Wiederverwendung speichern.

Abbildung 9: Weitere Optionen der Zugriffsberechtigungen im Foxit Reader
Abbildung 9: Weitere Optionen der Zugriffsberechtigungen im Foxit Reader

Verschlüsselte PDF’s öffnen

PDF-Dokumente, die mit einen RMS-unterstützenden PDF-Reader zugriffsbeschränkt wurden, lassen sich mit einer der RMS-unterstützenden Versionen vom Foxit Reader (PhantomPDF Business oder Standard, Enterprise, oder die kostenlose Version zusammen mit dem Foxit RMS Plug-In) öffnen, wobei die zuvor im Dokument festgelegten Zugriffsbeschränkungen erzwungen werden und man sich entsprechend beim Öffnen der Datei mit dem RMS-verbundenen Konto authentifizieren muss. Beim Öffnen des geschützten Dokuments mit dem kostenlosen Reader mit RMS Plug-In wird ein Wasserzeichen im Dokument angezeigt (siehe Abbildung 10). Es werden außerdem in jedem der Reader die Bezeichnung und Beschreibung der festgelegten Zugriffsbeschränkungen angezeigt (wie hier im Beispiel „Standard – Nur lesen”).

Abbildung 10: Geschütztes PDF-Dokument geöffnet mit dem kostenlosen Foxit Reader mit RMS Plug-In
Abbildung 10: Geschütztes PDF-Dokument geöffnet mit dem kostenlosen Foxit Reader mit RMS Plug-In

Die Zugriffsbeschränkungen eines Dokuments lassen sich im Foxit Reader einsehen unter File > Properties > Security. Hier lassen sich durch Klick auf „Request additional permissions…” (siehe Abbildung 11)​ auch weitere Zugriffsrechte beim Autor des Dokuments anfordern. In diesem Beispiel lässt sich der Autor des Dokuments die Zugriffsrechte anzeigen, die daher alle auf „Allowed” stehen.

Abbildung 11: Die Zugriffsrechte eines geschützten PDF-Dokuments im Foxit Reader
Abbildung 11: Die Zugriffsrechte eines geschützten PDF-Dokuments im Foxit Reader

Weitere RMS-fähige PDF-Reader

Neben dem Foxit Reader unterstützt auch der Nitro Pro Reader das Anzeigen von geschützten PDF-Dokumenten. Allerdings muss dafür die Microsoft RMS-Freigabeanwendung installiert sein, um diese Funktion zu aktivieren. Beim Anzeigen eines geschützten PDF-Dokuments wird im Nitro Pro Reader ein Hinweis auf den eingeschränkten Zugriff angezeigt (siehe Abbildung 12).

Abbildung 12: Geschütztes PDF-Dokument geöffnet mit dem Nitro Pro Reader
Abbildung 12: Geschütztes PDF-Dokument geöffnet mit dem Nitro Pro Reader

Mit einem Klick auf „Bitte hier für weitere Optionen klicken…” kann man sich die einzelnen Zugriffsrechte ansehen (siehe Abbildung 13).

Abbildung 13: Anzeigen der Zugriffsrechte im Nitro Pro Reader
Abbildung 13: Anzeigen der Zugriffsrechte im Nitro Pro Reader

Um PDF-Dokumente RMS-basiert zu verschlüsseln, bietet sich neben dem Foxit Reader die RMS-Freigabeanwendung von Microsoft an, mit der sich Dokumente jeden Dateityps verschlüsseln lassen. PDF-Dokumente, die mit der RMS-Freigabeanwendung verschlüsselt wurden, lassen sich auch wieder damit öffnen mit dem in der Anwendung integrierten Viewer. Genaueres dazu gibt es im Abschnitt Microsoft RMS-Freigabeanwendung in Teil 3 der Blogserie.

Vorschau auf Teil 3

Teil 3 dieser Blogserie befasst sich mit der RMS-Freigabeanwendung, welche Dateien jeglichen Dateityps verschlüsseln kann. Die RMS-Freigabeanwendung kann über die in Office und RMS-fähigen PDF-Readern integrierbaren Funktionen oder über den Dateiexplorer verwendet werden, so dass sich sämtliche Dateien mit wenigen Klicks verschlüsseln und auch verschlüsselt per E-Mail versenden lassen. Mit der RMS-Freigabeanwendung lassen sich außerdem verschlüsselte Dateien entschlüsseln bzw. wiedergeben. Dabei ist die RMS-Freigabeanwendung nicht nur für Windows, sondern auch für weitere Betriebssysteme einschließlich mobilen Geräten verfügbar.

Quellen und weiterführende Links

Nachfolgend sind einige weitere Links aufgelistet, die als Quellen für diesen Artikelteil dienten und weiterführende Informationen zum Nachlesen sowie beispielhafte Demonstrationen von Funktionen bieten:

Erfahren Sie mehr

Office 365 Groups als Evolution von SharePoint?
Blog
Blog

Office 365 Groups als Evolution von SharePoint?

Zusätzlich zu SharePoint erlauben die Office 365 Groups es mir als Anwender, schnell und einfach neue Gruppen anzulegen und selbständig Benutzer hinzuzufügen.

Das neuste Mitglied der Office 365 Familie: Delve
Blog
Blog

Das neuste Mitglied der Office 365 Familie: Delve

Microsoft legt nach: Mit Delve startet eine neue Form des Suchens und des Auffinden von Dokumenten und Informationen.

Nov
07
Webcast mit Microsoft: Das Intranet zu Ende gedacht
Webinar
Webinar

Webcast mit Microsoft: Das Intranet zu Ende gedacht

Am 07. November findet erneut eines unserer Webinare gemeinsam mit Mircosoft statt. Das Thema dieses Mal: Das Intranet zu Ende gedacht – Die Informationszentral...

Sprechen Sie LUIS? – Der intelligente Chat-Bot im Praxistest
Blog
Blog

Sprechen Sie LUIS? – Der intelligente Chat-Bot im Praxistest

Mit LUIS, der Sprach- und Texterkennungssoftware von Microsoft, und dem Bot Framework von Azure haben wir eine Lösung für den IT-Support entwickelt.

Auf Goldkurs in der Cloud
News
News

Auf Goldkurs in der Cloud

Die novaCapta hat ihren Partnerstatus bei Microsoft zusätzlich vergoldet: Auch in der Sparte Cloud Productivity haben wir jetzt den Goldstatus.

Valo ist neuer Partner der novaCapta für Intranets
News
News

Valo ist neuer Partner der novaCapta für Intranets

Durch die Partnerschaft mit Valo, dem Ready-2-Go Intranet-Baukasten aus Finnland baut die novaCapta ihr Angebot bei der Umsetzung von schnellen und funktionalen...

novaCapta auf der Fachtagung für Interne Revision
Event
Event

novaCapta auf der Fachtagung für Interne Revision

Das Expertenteam der novaCapta präsentiert am 15. und 16. November ihre innovative Audit Management Lösung auf dem DIIR-Kongress in Dresden. Besuchen Sie unsere...

Ich bin im Flow! – Eine Übersicht zu Microsoft Flow
Blog
Blog

Ich bin im Flow! – Eine Übersicht zu Microsoft Flow

Die Power Platform wird aktuell von Microsoft sehr stark gepusht. Zeit, sich mit dem Potenzial der einzelnen Komponenten zu beschäftigen. Heute: Flow.

Mit der HoloLens ein Stück Berlin nach Köln holen
News
News

Mit der HoloLens ein Stück Berlin nach Köln holen

Im Rahmen eines zweitägigen Hackathons haben sich einige Mitarbeiter der novaCapta der Microsoft HoloLens und dem Thema Mixed Reality gewidmet. Dabei haben wir...

Azure Functions: Der Webservice ohne Webserver
Blog
Blog

Azure Functions: Der Webservice ohne Webserver

Azure Functions als Authentifizierungs-Helfer für clientseitige Lösungen mit 3rd Party APIs

Paket Dependency Manager für .NET
Blog
Blog

Paket Dependency Manager für .NET

Paket ist ein Dependency Manager für .NET, welcher es sich zum Ziel gesetzt hat einige Probleme von NuGet zu beheben.

Oct
12
PCDE #3 Event am 12.10. in Stuttgart
Event
Event

PCDE #3 Event am 12.10. in Stuttgart

Developer und IT-Professionals aufgepasst! Das novaCapta-Team nimmt am 12. Oktober am Pitch Club Developer Edition (PCDE) in Stuttgart teil. Dort stellen wir Ih...