Verwalten von Dateizugriffsrechten mit Microsoft Rights Management Services

Diese Artikelserie befasst sich mit der Einrichtung und Verwendung der Rechteverwaltungsdienste (Rights Management Services, RMS) von Microsoft, die eine sichere Verschlüsselung von Dateien bieten. Microsoft hat die RMS komplett überarbeitet und sie 2013 mit neuer, Cloud-basierter Topologie eingeführt. RMS bieten umfassenden Schutz von sensiblen Informationen in Dateien und Dokumenten über granulare Einstellungen von Zugriffsrechten, nun auch weitgehend unabhängig von Dateityp, Betriebssystem und Organisation. Für bestimmte Dateien festgelegte Zugriffsberechtigungen bleiben auch nach dem Kopieren oder Weiterleiten von RMS-verschlüsselten Dateien aktiv. Gleichzeitig können autorisierte Personen und Gruppen mit Hilfe der Microsoft RMS je nach zugewiesenen Zugriffsberechtigungen die Dateien weitgehend unabhängig von dem Benutzergerät (z. B. PC, Tablet oder Smartphone) oder Organisationszugehörigkeit (innerhalb oder außerhalb eines Unternehmens) verwenden. Die benutzerdefinierte Schutzfunktionalität wird in den neuen RMS größtmöglich gehalten bei gleichzeitig minimalem Einrichtungsaufwand für den Benutzer, dank der Cloud-basierten RMS-Topologie.

In diesem Teil der Artikelserie wird zunächst ein Überblick zu den Microsoft RMS gegeben. Anschließend wird die Einrichtung der RMS einschließlich der benötigten Voraussetzungen und Vorbereitungen für die Nutzung erläutert.

Folgende Möglichkeiten bieten die Microsoft RMS

• Dateien unabhängig vom Dateityp schützen (mit unterschiedlichen Schutzleveln: Verschlüsselung von Office-, PDF-, Bild- und Textdateien oder Kapselung mit Autorisierung für alle weiteren Dateitypen)
• Dateien weitgehend unabhängig vom Speicherort bzw. Gerät schützen (durch Unterstützung der wichtigsten Betriebssysteme und Benutzergeräte)
• Dateien mit wenigen Klicks bestimmten Personen geschützt über E-Mail freigeben
• Dateien unabhängig von Administrationsrechten des einzelnen Mitarbeiters schützen (bei minimalem Einrichtungsaufwand für den Einzelnen)
• Granulare personen-/ und gruppengerichtete Zugriffsrechte für Dateien benutzerdefiniert oder nach unternehmensweiten Vorlagen festlegen (z.B. das Drucken oder Kopieren des Dokumenteninhalts verhindern oder die zeitliche Gültigkeit eines Dokuments beschränken)
• Inhalte von E-Mails verschlüsseln und nur bestimmten Personen freigeben (z. B. mit alleiniger Leseberechtigung um das Drucken, Kopieren oder Weiterleiten zu verhindern)
• Bestehende Office-Anwendungen, verbreitete PDF-Reader oder kostenlose RMS-Anwendungen für das Schützen von Dateien verwenden (mit wenigen Klicks einzurichten)
• Innerhalb von SharePoint Dateien in Dokumentenbibliotheken schützen
• Die Zugriffe bzw. Zugriffsversuche auf geschützte Dateien nachverfolgen
• Unternehmensweit und unternehmensübergreifend bei der Bearbeitung und Freigabe von geschützten Dateien zusammenarbeiten

Innovation der Azure RMS im Vergleich zu den Active Directory RMS

Es ist zu beachten, dass es derzeit sowohl Azure RMS als auch Active Directory (AD) RMS von Microsoft gibt (für eine Gegenüberstellung siehe hier). Die Azure RMS sind die in 2013 neu eingeführten RMS während die AD RMS bereits länger existieren und auf älteren Strukturen basieren. Dieser Artikel bezieht sich dementsprechend ausschließlich auf die neu eingeführten Azure RMS.

Wesentliche Unterschiede zwischen den RMS-Versionen bestehen darin, dass die älteren AD RMS nicht Cloud-basiert sind sondern nur über lokale Windows Server funktionieren. Der Einrichtungsaufwand für Unternehmen ist somit deutlich höher als mit den Azure RMS. Zudem sind Benutzer von AD RMS abhängig von der RMS-Einrichtung in ihrem Unternehmen, während bei Azure RMS auch eine Einzelperson unabhängig ihres Unternehmens die Azure RMS kostenfrei verwenden kann. Ebenfalls stark eingeschränkt ist die unternehmensübergreifende Zusammenarbeit mit AD RMS, die eine explizite Definition der Vertrauensbeziehungen und eine entsprechende Einrichtung der Dienste benötigt, während mit Azure RMS jedes beliebige Unternehmen mit anderen auf Basis von RMS kollaborieren kann, solange auf beiden Seiten ein RMS-Abonnement besteht und die Zugriffsrechte entsprechend definiert wurden.

Die neuen Microsoft Azure RMS mit Cloud-basierter Topologie bieten somit im Vergleich zu der älteren AD RMS-Version eine erhöhte Flexibilität für den Dateischutz bei gleichzeitig stark verringertem Einrichtungsaufwand sowohl für das Unternehmen als auch für die Einzelperson. Weitere detaillierte Informationen zu den Funktionen und Grundlagen der neuen Microsoft RMS finden sich hi​er.

Einrichtung der Microsoft RMS

Systemvoraussetzungen für Microsoft RMS

Welches RMS-Abonnement benötige ich?

Um Microsoft Azure RMS für die Verwaltung von Zugriffsrechten auf Dokumente verwenden zu können, ist ein Cloud-Abonnement von Microsoft notwendig, welches RMS beinhaltet. Das sind die Folgenden (Stand 06/2015):

• Office 365 in den Versionen Enterprise E3/E4, Education A3/A4 oder Government G3/G4
• ein eigenständiges Azure RMS-Abonnement (kompatibel zu Office 365, Exchange Online und SharePoint Plänen)
• ein Abonnement der Enterprise Mobility Suite (kompatibel zu Office 365, Exchange Online und SharePoint Plänen)
• ein Abonnement von RMS für Einzelpersonen in einem Unternehmen, welches über kein unternehmensweites Abonnement verfügt.

Die Abonnements sind stets unternehmensbezogen, d.h. Privatpersonen können Microsoft RMS leider noch nicht nutzen. Ein Abonnement von RMS für Einzelpersonen kann individuell über die unternehmensbezogene E-Mail-Adresse kostenfrei erworben werden, falls noch kein unternehmensweites RMS-Abonnement verfügbar ist. Somit können Nutzer unabhängig vom eigenen Unternehmen Dokumente schützen und mit anderen Personen, die über ein RMS-Abonnement verfügend, teilen sowie auf geschützte und mit ihnen geteilte Dokumente zugreifen. Details zur Registrierung für RMS für Einzelpersonen finden sich hier.

Betriebssysteme und Anwendungen, die RMS unterstützen

Auf dem Computer wird RMS in Windows 7, Windows 8/8.1 sowie Mac OS X (10.8 oder höher) unterstützt. Mobile Geräte benötigen Windows Phone 8.1, Android 4.0.3. oder höher, iOS 7.0 oder höher, oder Windows 8 RT/8.1 RT.

Wenn ein RMS-Abonnement vorhanden ist, kann man unter Windows bzw. anderen Betriebssystemen die Microsoft RMS mit diversen Anwendungen verwenden, je nach Dateityp. Für den RMS-basierten Schutz von Word-, Excel- oder PowerPoint-Dateien unter Windows wird Office 2010 Professional (Plus), Office 2013 Professional Plus oder Office 365 benötigt. RMS-unterstützende PDF-Anwendungen unter Windows sind der Foxit Reader (Enterprise/PhantomPDF) oder der Nitro PDF Reader. E-Mails lassen sich unter Windows RMS-verschlüsseln bzw. RMS-entschlüsseln mit den Versionen 2010, 2013 oder Web App von Outlook.

Mit der RMS-Freigabeanwendung alle Dateitypen schützen

Für andere bzw. alle Dateitypen steht die RMS-Freigabeanwendung zur Verfügung, die man sich hier kostenlos herunterladen und installieren kann. Sie wird insbesondere von Einzelpersonen mit RMS Abonnement benötigt, ist aber grundsätzlich sehr nützlich für Unternehmen mit RMS-Abonnement, da sich damit nicht nur Office- oder PDF-Dateien verschlüsseln lassen. Bei Installation der RMS-Freigabeanwendung wird außerdem, soweit vorhanden, in Word, Excel, PowerPoint und Outlook der Versionen Office 2010 und 2013 ein Add-In integriert, das erweiterte Sicherheitsfunktionalität bei der Freigabe von Dokumenten bietet. Mehr Details zu den Funktionen der RMS-Freigabeanwendung gibt es im Abschnitt Microsoft RMS-Freigabeanwendung in einem weiterführenden Blogbeitrag. Zu den allgemeinen Voraussetzungen für die Verwendung von RMS finden sich hier weitere Informationen.

Vorbereitungen für die Nutzung von RMS

Bevor Microsoft RMS verwendet werden können, müssen sie in den relevanten Anwendungen aktiviert werden. Je nach Abonnement müssen die RMS im Office 365 Admin Center bzw. im Azure-Verwaltungsportal von einer Person mit entsprechenden Administrationsrechten aktiviert werden. Wie dazu vorzugehen ist, wird hier beschrieben. Für Einzelpersonen mit RMS Abonnement reicht es, die RMS-Freigabeanwendung herunterzuladen und zu installieren nachdem man sich für ein Einzelpersonen-RMS-Abonnement registriert hat. Soll die RMS-Freigabeanwendung für mehrere Benutzer in einem Unternehmen mit RMS-Abonnement installiert werden, ist nach dieser Anleitung vorzugehen. Die RMS-Freigabeanwendung muss außerdem installiert sein, um in Office 2010 die RMS zu verwenden. Für Office 2013 hingegen ist keine weitere Konfiguration notwendig, außer der allgemein in Office notwendigen Anmeldung mit den Anmeldedaten, die für das RMS-Abonnement registriert sind.

Zwei Möglichkeiten der Verwaltung des zentralen RMS-Mandantenschlüssels

Jedes Unternehmen, das die Microsoft RMS abonniert hat, bekommt (mindestens) einen sogenannten Mandantenschlüssel zugewiesen, der auch als SLC-Schlüssel (Server Licensor Certificate, lizenzgebendes Serverzertifikat) bekannt ist. Alle einzelnen im Unternehmen für die RMS-Ver-/ und RMS-Entschlüsselung verwendeten Schlüssel werden wiederum mit dem RMS-Mandantenschlüssel verbunden. Standardmäßig wird der Schlüsselverwaltungsprozess von Microsoft durchgeführt, es sei denn, die eigene vollständige Kontrolle über die Schlüsselverwaltung ist gewünscht. In dem Fall kann man einen eigenen Mandantenschlüssel lokal generieren und ihn über sogenannte Hardwaresicherheitsmodule an Microsoft übertragen. Dies ist allerdings nicht für Einzelpersonen mit RMS-Abonnement möglich. Wie die Verfahren der Schlüsselverwaltung in beiden Fällen funktionieren und welche Schritte jeweils nötig sind, wird hier detailliert beschrieben. Wichtig zu wissen ist, dass die verschlüsselten Daten in beiden Fällen nicht von Azure bzw. Microsoft als Teil des Informationsschutzvorgangs gesehen oder gespeichert werden. Die genaue Funktionsweise der Ver- und Entschlüsselung wird hier detailliert beschrieben.

Vorschau auf Teil 2

In Teil 2 dieses Artikels wird die Anwendung von den Microsoft RMS in der Praxis erläutert. Dabei stehen die Verschlüsselung von Dokumenten und E-Mails sowie die Wiedergabe von RMS-verschlüsselten Dokumenten mit Microsoft Office und RMS-fähigen PDF-Readern im Vordergrund.

Quellen und weiterführende Links

Nachfolgend sind einige weitere Links aufgelistet, die als Quellen für diesen Artikelteil dienten und weiterführende Informationen zum Nachlesen und Hören bieten:

• TechNet Library: Azure Rights Management
• TechNet Informationsportal für die Einrichtung und Verwendung von Microsoft RMS
• Interview zu dem Thema mit Michael Greth im SharePoint Podc​ast