Skydda dokument i OneDrive/SharePoint med IRM

Publicerat den 28 maj, 2017 av Anders

SharePoint (OneDrive for Business) IRM säkerhetsställer att informationen är skyddad när den lämnar SharePoint.

Jag får många frågor runt Information Rights Management (IRM) i SharePoint och om hur det hänger ihop med Rights Management Services (RMS). Fullt förståeligt att detta blir rörigt så vi börjar med att reda ut begreppen.

RMS är krypteringslösningen som används både av IRM och Azure Information Protection (AIP) för att skydda och behörighetskontrollera data.

IRM är ett koncept för SharePoint och OneDrive for Business som ser till att skydda vår information så fort den på något sätt lämnar SharePoint. Antingen vid nedladdning av filer, synk av ett bibliotek eller vid delning. Krypteringen som används är RMS.

De filer som krypteras är Office-dokument i form av Word, Excel, PowerPoint, XML-filer samt PDF.Övriga filformat berörs inte av IRM och kommer inte krypteras varken vid nedladdning eller delning. Det går dock att begränsa så enbart filtyper som stöds får laddas upp till OneDrive och på så sätt se till att all information är krypterad i alla lägen.

Trots att dokumenten är krypterade av IRM stöds fortfarande online versionerna av Word, Excel, PowerPoint och möjliggör visning och editering via webbläsaren. Vid begränsad behörighet förhindras exempelvis utskrift och kopiering av data.
Notera här att det är tack vare IRM som skyddade Office-filer kan visas med exempelvis Word Online, då IRM hanterar både kryptering och dekryptering med RMS. En fil som är RMS skyddad innan uppladdning är inte läsbar av IRM och kan därav inte visas med online-tjänsterna. Där emot kan en fil som RMS-krypterats av IRM flyttas mellan olika bibliotek i SharePoint/OneDrive och på så sätt se till att rätt personer har tillgång till dokumentet. Det är användarnas rättigheter till det aktuella biblioteket eller filen i sig som definierar RMS-behörigheten.

image

Delning på ett säkert sätt

Den stora fördelen med SharePoint/OneDrive är att kunna samarbeta och dela ett dokument där flera parter är inne och tittar/editerar dokumentet samtidigt. IRM begränsar dock möjligheten till samtidig editering (co-authoring). Men vid delning är arbetssättet detsamma och tillför högre säkerhet vid både delning och nyttjande av onlinetjänsterna. Om ett IRM-skyddat dokument redan är öppnat av en användare blir dokumentet utcheckat och kan då enbart visas för övriga användare tills det att dokumentet stängs igen.
Office-filer kan delas både från Office applikationen eller från webgränssnittet med den stora fördelen att slutanvändaren märker ingen skillnad utan jobbar precis som vanligt.

RMS krypterar och definierar behörighet i form av enbart visning eller editeringsmöjlighet utefter de två alternativ som finns vid delning, view eller edit.

image image

Det som inte fungerar är att skicka en direktlänk till dokumentet om det inte finns definierat att just den användaren även har RMS-mässigt behörighet till dokumentet.

Automatisk kryptering från utforskaren och Office

När en användare sparar eller flyttar ett Office-dokument till OneDrive kommer dokumentet bli krypterat så fort filen stängs och synkas till OneDrive.

image image

OBS den senaste versionen av OneDrive klienten (OneDrive.exe) stödjer än så länge inte IRM. Stödet finns idag med OneDrive for Business klienten (groove.exe)

Användaren kan själva ändra behörighet men inte ta bort skyddet

Användaren har alltid full kontroll över sina egna filer i exempelvis OneDrive och kan även förändra rättigheterna på filen. Antingen RMS -mässigt genom att klicka ”Change Permission” eller genom att klassificera dokumentet med Azure Information Protection och en informationsklass som också krypterar och ändrar behörighet till dokumentet. Skulle skyddet plockas bort av användaren kommer nästa synk att påtvinga ett skydd igen. IRM säkerhetställer att alla dokument kommer vara skyddade.

image

Viktigt att tänka på om RMS-skyddet förändras av användaren är att krypteringen då genomförs med användarens nycklar och ger fördelen användaren kan spåra och återkalla behörighet till filen. IRM kommer dock inte längre kunna läsa filen och därmed begränsas nyttjande av Word Online.

image

PDF

Skyddade PDF-filer öppnas med Azure Information Protection Viewer, eller annan PDF applikation med stöd för RMS.

Då användaren alltid har fulla rättigheter är det möjligt att skapa en oskyddad PDF genom att välja ”Save As” i AIP Viewer och spara den på en annan plats än just OneDrive.

image image

Om PDF-filer försöker öppnas med en läsare som inte supporterar RMS får användaren följande:
image

Alla filer är krypterade i SharePoint Online och OneDrive for Business

Tack vare IRM är våra Office-dokument och PDF:er alltid krypterade med ett skydd som följer med själva filen, oavsett om de flyttas eller delas. IRM krypterar inte filerna när de lagras. Skyddet appliceras av IRM när filen konsumeras eller lämnar SharePoint/OneDrive.

Men hur krypteras då filerna i SharePoint Online och OneDrive for Business?
Alla filer oavsett filtyp som lagras i online tjänsterna krypteras. För detaljer om krypteringen och dess nyckelhantering se nedanstående beskrivning

 

Det finns flera designmässiga lösningar runt AIP/RMS/IRM som bör anpassas utefter verksamhetens behov. Återkom om stöttning behövs i dessa frågeställningar.

Detta inlägg publicerades i Informationssäkerhet, RMS och märktes , , . Bokmärk permalänken.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

Gravatar
WordPress.com-logga

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

Avbryt

Ansluter till %s