• Articolo

All'interno di SharePoint Protezione e compatibilità con RMS di Active Directory

Pav Cherny

Download codice disponibile in: ChernySharePoint2009_04.exe(846 KB)

Contenuto

Protezione di informazioni rispetto a criteri di gestione
Integrazione di SharePoint con RMS di Active Directory
Modifica delle impostazioni dei criteri RMS di Active Directory
Protezione RMS di Active Directory e protezione RMS di Active Directory
Protezione di documento esterno dell'ambiente di SharePoint
Applicazione delle autorizzazioni di sola lettura
Conclusione

Le organizzazioni gestiscono oggi enormi quantità di informazioni riservate e riservate in SharePoint, inclusi tutti i tipi di dati finanziari e le informazioni che consentono l'identificazione personale dell'utente e protezione che le informazioni possono essere una sfida. Con sanzioni fino a 15 milioni per offesa, il costo di noncompliance archiviazione del contenuto e ai regolamenti protezione, ad esempio SOX HIPAA, GLBA e ISO 27000+, è elevato. È pertanto essenziale per esaminare e utilizzare funzionalità di conformità di SharePoint in modo appropriato, nonché per applicare i criteri di utilizzo all'esterno dell'ambiente di SharePoint e fornire documentazione di conformità.

La buona notizia è che Windows SharePoint Services (WSS) 3.0 consente di ottenere la conformità tramite un'infrastruttura di Information Rights Management (IRM). Microsoft Office SharePoint Server (MOSS) 2007 va ulteriormente, includendo le protezioni con documenti di Microsoft Office che sfruttano il framework IRM e relativa integrazione con Active Directory Rights Management Services (RMS di Active Directory).

Tuttavia, è facile stumble tramite i dettagli di implementazione del framework IRM. Microsoft non anche Ottiene a destra tutte l'ora: il webcast intitolato " Procedure consigliate per gestione e protezione di SharePoint 2007"dichiara che è possibile automatizzare e Imponi crittografia RMS di Active Directory spostando il file in una libreria di documenti; che la protezione del contenuto in una raccolta di documenti attivate RMS di Active Directory è identico quando si utilizza Microsoft Office Word, e tale criterio RMS di Active Directory segue un documento ogni volta che va in questo documento.

Ma la realtà è più complessa. Misunderstanding il IRM framework può causare soluzioni di protezione inefficace e noncompliance in organizzazioni di cliente, è importante ottenere la retta.

In questo articolo, è possibile esaminare l'integrazione di SharePoint con RMS di Active Directory, con un'enfasi su problemi che è necessario considerare durante la progettazione e implementazione di soluzioni di protezione e conformità basato su SharePoint. In primo luogo, illustrare la differenza tra RMS di Active Directory stesso e integrazione di SharePoint con RMS di Active Directory ed è possibile visualizzare è prima mano in un ambiente di prova che SharePoint integrazione con RMS di Active Directory richiede per iniziare con un ambiente protetto di SharePoint.

Dopo questa clarified, è possibile illustrare alcuni problemi di utilizzo è possibile che si desideri indirizzo nella documentazione e soluzioni di protezione e conformità. Sono presuppone che è già stata distribuita RMS di Active Directory e MOSS. Distribuzione in ambienti di produzione è coperta molto bene nel " Distribuzione RMS di Active Directory con Guida dettagliata di Microsoft Office SharePoint Server 2007." Non c'è niente per aggiungere, oltre a alcuni fogli di lavoro per questo ambiente di test.

Nella colonna successiva, verrà descritta la distribuzione di Microsoft Office 2007 MOSS 2007 in una gerarchia di preproduzione RMS di Active Directory poiché questo non trattato NELL'SDK di WSS o l'SDK di RMS di Active Directory. Si tratta di un esercizio interessante e un'opportunità ottima per una completa drill-down nell'architettura di framework IRM.

Per ora, tuttavia, si concentrarsi sul aspetti protezione, conformità e usabilità generali che non sono così bene incluse nella documentazione di SharePoint. Il materiale di accompagnamento per il problema aprile di TechNet Magazine include i fogli di lavoro, strumenti compilati e codice sorgente. Come sempre, il materiale di accompagnamento per figura e test esclusivamente e non deve essere utilizzato in un ambiente di produzione.

Protezione di informazioni rispetto a criteri di gestione

Nessuna presentazione di RMS di Active Directory introduttivo mai completata senza una dimostrazione di fantastica documento protezione funzionalità la tecnologia, inclusi copia disattivato e stampare le opzioni, scadenza del documento e così via. Si raramente verifica per utenti, tuttavia, questi non sono le funzionalità di protezione effettivo.

Quando viene visualizzato un comando stampa disattivato, non i logico concludere che l'utente non può eseguire una stampa per la concorrenza? Quando è presente che un utente non può inoltrare un documento e che persone non autorizzate anche Impossibile aprire il documento, non seguire che le informazioni contenute in tale documento sono protetto dalla divulgazione non autorizzati?

No, purtroppo, non. Sarà necessario outlaw virtualizzazione tutti e tecnologia di desktop remota, soluzioni di acquisizione schermo di terze parti, telefono cella fotocamere e altri tali strumenti che consentono all'utente di assumere un'immagine del documento per scopi di stampa, inoltro e la visualizzazione oltre la data di scadenza del documento. Solo richiedere immediatamente direttamente nella Figura 2 , che include una schermata di un documento protetto. Ad esempio si deve inoltre outlaw tutti i computer portatili di basate su Windows e dispositivi Windows Mobile che consentono all'utente di aprire i documenti protetti e di visualizzarli a utenti non autorizzati in qualsiasi posizione.

Ovviamente, queste funzionalità di protezione del documento non consentono per applicare la protezione delle informazioni, anche se sono possibile consentono di implementare criteri di utilizzo, ad esempio per attenuare il rischio che i dipendenti condurre business in base alle obsolete informazioni da documenti scaduti. È possibile che digitale Rights Management (DRM) non siano state inizialmente sulle impedire agli utenti di creare copie non valida in modo che il proprietario rightful possibile monetize proprietà intellettuale, ma oggi stesso questa tecnologia chiaramente viene spostata verso l'imposizione di conformità normativa.

Naturalmente, RMS di Active Directory vanno oltre semplicemente imporre criteri di utilizzo mediante la crittografia il contenuto utilizzando cifre AES (Advanced Encryption Standard) ed Electronic Codebook (ECB). Per crittografare il contenuto, RMS di Active Directory genera una simmetrica 128 bit AES contenuta chiave, che quindi crittografia mediante una chiave pubblica ottenuta dal server Licensor certificato (SLC) del server RMS di Active Directory.

È generare il SLC e le chiavi di crittografia del server quando si installa RMS di Active Directory nell'insieme di strutture di Active Directory. RMS di Active Directory incorpora quindi contenuta chiave crittografata insieme con le impostazioni di protezione documento specificato di una licenza di pubblicazione (detto anche una licenza di rilascio), che RMS di Active Directory quindi firma con chiave privata del proprietario dal proprio client Licensor certificato (CLC). Il CLC, create come parte del processo di attivazione utente quando si crea prima un documento protetto da RMS di Active Directory, definisce l'autorizzazione per pubblicare il contenuto. L'applicazione attivata RMS di Active Directory quindi associa la licenza di pubblicazione al contenuto crittografato e quindi il contenuto è protetto. La disposizione degli elementi contenuti nel file protetto da RMS di Active Directory dipende dall'applicazione. Nella figura 1 il formato di contenitore per il componente aggiuntivo RMS di Active Directory per Internet Explorer, viene illustrato come documentato in SDK di RMS di Active Directory.

fig01.gif

Figura 1 la struttura di un documento protetto da RMS in binario file composto Active Directory formato (CFBF)

Qualsiasi utente che desidera accedere al contenuto necessario aprire il file protetto, estrarre la licenza di pubblicazione con segno e caricare la licenza unitamente dell'utente diritti account certificato (RAC) al server RMS di Active Directory in per scaricare un contratto di licenza (UL) per il documento, denominato anche una licenza con l'utente finale (EUL). Il RAC identifica l'utente dall'identificatore di indirizzo o protezione posta elettronica che include la chiave di crittografia dell'utente, crittografia mediante chiave di computer del computer locale come specificato nella protezione processo certificato (SPC). UL restituito dal server RMS di Active Directory contiene la chiave contenuta, quale il server di crittografia mediante chiave pubblica dell'utente ottenuto dal RAC dell'utente. L'utente può ora decrittografare la chiave contenuta con la propria chiave privata di RAC e infine decrittografare il contenuto del file protetto.

Come si può vedere, vi sono numerose chiavi, licenze e certificati partecipano a questo processo. L'applicazione può inoltre aggiungere il UL il file protetto in modo che non è necessario recuperare nuovamente il UL dal server RMS di Active Directory, ma è possibile modificare questo comportamento nelle impostazioni dei criteri RMS di Active Directory. È possibile specificare che l'utente deve ottenere un nuovo UL ogni volta che si apre il documento oppure se è possibile definire un periodo di validità per la UL in modo che l'utente deve acquisire una nuova UL scadere di quella corrente. Per tutti i dettagli, consultare la SDK DI RMS DI ACTIVE DIRECTORY. Si tratta di un'origine di informazioni eccellente anche se non si è uno sviluppatore.

Per SharePoint Architetti della protezione e gli amministratori, esistono almeno tre fattori importanti per rendere opposta i dettagli di implementazione RMS di Active Directory. In primo luogo, RMS di Active Directory protezione end-to-end, di protezione di significato rimangono associate al documento ogni volta che il documento passa (si noti che è possibile sto parlando RMS di Active Directory, non sull'integrazione di SharePoint con RMS di Active Directory. In che modo è possibile inserire un file protetto di RMS di Active Directory su un'unità BitLocker di Windows o su un'unità non crittografata, è possibile posizionare in una condivisione di file con tutti gli utenti accesso lettura, è possibile caricare in una raccolta documenti di SharePoint, è possibile inviarlo a un destinatario autorizzato all'esterno dell'organizzazione, ma il contenuto rimane protetto end-to-end, dal proprietario sul lato uno per l'utente su altra estremità notevole quantità di documento.

In secondo luogo, decrittografia di un documento protetto da RMS di Active Directory richiede che l'utente finale ottiene un UL dal server RMS di Active Directory almeno una volta. Registrando tutte le attività Gestione licenze sul server RMS di Active Directory, è possibile tenere in modo affidabile traccia che ha aperto il documento e, cosa forse ancora più importante, che ha tentato l'accesso con esito negativo.

Registrazione è una nuova funzionalità di RMS di Active Directory in Windows Server 2008 ed è davvero interessante poiché è possibile creare strumenti per gli analisti di protezione basati su .NET e SQL Server reporting tecnologia per l'elaborazione automatica di queste informazioni per scopi forensic. Naturalmente, è inoltre possibile visualizzare tutte le richieste e informazioni sul certificato direttamente nella console di gestione di RMS di Active Directory.

Infine e questo può sembrare ovvio ma è tuttavia molto importante, protezione del documento base RMS di Active Directory si basa su crittografia. Se non crittografare il documento, non è possibile applicare protezione delle informazioni. Se si crea uno strumento che consente di decrittografare un documento protetto e la archivia in formato non crittografato, è necessario interrompere protezione end-to per-end RMS di Active Directory.

A chi è per indicare che un utente autorizzato non accedere una copia non crittografata? Microsoft riduce in questo richiedendo agli sviluppatori di firmare un contratto di licenza di produzione con Microsoft per ottenere un certificato di produzione. Un certificato di produzione firma un'applicazione RMS di Active Directory nella gerarchia di certificati di produzione RMS di Active Directory. Specifica ad esempio i moduli che il sistema può caricare in spazio del processo dell'applicazione per proteggere i dati non crittografati in memoria. Funziona. Microsoft si segnala che protezione RMS di Active Directory non è stata compromessa.

Integrazione di SharePoint con RMS di Active Directory

Con tenere presenti questi aspetti, approccio seguito SharePoint integrazione con RMS di Active Directory. Per prima e di tutto, Microsoft segnalare in tutti i pezzi di documentazione rilevanti su prodotti che raccolte di documenti attivata RMS di Active Directory memorizzare elementi contenuti non crittografati. Pertanto, non risulta Nessuna crittografia di massa è spostare elementi in una raccolta di documenti attivata RMS di Active Directory. Cosa ancora più importante, poiché gli articoli sono non crittografati, non vi è la protezione Nessun RMS di Active Directory e non profitti protezione nell'ambiente SharePoint.

Gli amministratori di SharePoint e gli utenti potrebbero ritenere RMS di Active Directory--protezione end-to end esiste, ma SharePoint integrazione con Active Directory RMS completamente dipende protezione SharePoint. In base a" Il servizio Information Rights Management in Windows SharePoint Services Overview"In WSS 3.0 SDK, Microsoft scelto non per archiviare le voci in formati crittografati, diritti sono gestiti da IRM a causa di richiesta del cliente.

Dare un'occhiata alla Figura 2 . Viene illustrato l'architettura di framework IRM in un ambiente SharePoint non protetta, che consente agli utenti non autorizzati accesso diretto ai database del contenuto. Il punto chiave è che le protezioni con documento integrato applicare RMS di Active Directory protezione in modo dinamico quando si scarica un documento tramite SharePoint. Ciò significa che percepire un elemento di contenuto non protetto come un documento protetto da RMS di Active Directory. Quando caricare le modifiche, tuttavia, SharePoint Rimuove nuovamente la protezione RMS di Active Directory.

fig02.gif

Figura 2 un protetto RMS di Active Directory documenti, infatti, non Active Directory elemento di contenuto protetto da RMS

È importante assicurarsi che questo comportamento decrittografia sia coerente con i requisiti di protezione e conformità. Sufficiente immaginare uno scenario in cui si host documenti HR riservati in una raccolta di documenti attivata RMS di Active Directory e non riuscita per informare il reparto risorse UMANE che tutti i server SQL e SharePoint farm gli amministratori, nonché qualsiasi sviluppatori SharePoint all'esterno del reparto risorse UMANE hanno un accesso agli elementi contenuti in formato non crittografato illimitato. Non non questo problema nella progettazione della soluzione e nella documentazione di conformità. Ad esempio, potrebbe essere necessario distribuire istanze separate di SQL Server e farm di SharePoint vengono gestite dagli amministratori di interno personale.

Quando si progetta soluzioni di protezione e conformità, tenere presente che integrazione di SharePoint con RMS di Active Directory non evitano di dover di proteggere l'ambiente SharePoint come descritto nel Guida di Office SharePoint Server Security e Foglio di lavoro Requisiti dell'account protezione di Windows SharePoint Services. Se si non protegge l'account di protezione e la password, se distribuire il codice non verificato da origini ambigua o anche attivare script sul lato server sul server di SharePoint, quindi un'infrastruttura di IRM e integrazione RMS di Active Directory non salvare è quando un utente non autorizzato ottiene accesso agli elementi contenuti, come illustrato nella colonna gennaio intitolata "SharePoint account di protezione".

Consultare il materiale complementare aprile, che include due Web part e un foglio di lavoro che illustra come una Web part ambigua può eseguire il rendering tutte le soluzioni di protezione e conformità inefficaci. Una Web part Scarica documenti il metodo corretto utilizzando il modello a oggetti di SharePoint e a altra Web part richiede un collegamento mediante l'accesso database del contenuto di SharePoint direttamente all'interno del contesto di protezione dell'account del pool di applicazioni.

Come è possibile verificare la seconda Web part consente all'utente con accesso completo a tutte le raccolte documenti nella raccolta siti indipendentemente dalle autorizzazioni di SharePoint e impostazioni RMS di Active Directory. Verificare pertanto, gli sviluppatori di SharePoint non interrompere le regole ed eseguire scelte rapide; non viene direttamente sui database di contenuto e mantenere i componenti ambigua scopo fuori dai server di produzione.

Modifica delle impostazioni dei criteri RMS di Active Directory

Un altro importante problema che deve soddisfare nelle soluzioni di conformità e documentazione è che la protezione del contenuto in una raccolta di documenti attivate RMS di Active Directory non è lo stesso quando si utilizza Microsoft Word all'esterno delle raccolte documenti. Consente di estrarre figura 3 del foglio di lavoro denominato "specifica AD RMS autorizzazioni in Microsoft Office Word all'interno e all'esterno di raccolte documenti" nel materiale di accompagnamento.

fig03.gif

Nella figura 3 criterio ’s raccolta documenti esegue l'override del criterio ’s proprietario.

Il foglio di lavoro viene illustrato che raccolte di documenti attivata RMS di Active Directory non mantenere le impostazioni di criteri RMS di Active Directory e le autorizzazioni utente specificate da proprietari del documento. Questo è un risultato del fatto che SharePoint decrittografa il documento nel caricamento, in modo che definizione del criterio il proprietario non è conforme il documento nell'ambiente SharePoint. La volta successiva che un utente scarica il documento, SharePoint applica le impostazioni di criteri di RMS di Active Directory definite per la raccolta documenti e autorizzazioni dell'utente in SharePoint, come indicato nella Figura 3 .

Interesserà il problema principalmente gli amministratori del sito poiché SharePoint concede solo gli utenti con privilegi di gestione autorizzazioni il diritto di modificare le autorizzazioni RMS di Active Directory del documento. I membri del sito non rientrano in questa categoria. Tuttavia, può generare confusione per gli amministratori del sito e può causare divulgazione involontaria di informazioni riservate agli utenti di SharePoint non validi. Quando si utilizza raccolte di documenti attivata RMS di Active Directory, assicurarsi che gli amministratori del sito e i manager comprendere che le impostazioni di documento del RMS di Active Directory che cambiano le applicazioni di Office non vengono conservate. Per ulteriori dettagli come il framework IRM converte autorizzazioni di SharePoint in autorizzazioni documento RMS di Active Directory, vedere l'argomento" Il servizio Information Rights Management in Windows SharePoint Services Overview"in SDK WSS.

Protezione RMS di Active Directory e protezione RMS di Active Directory

Il problema di override dei criteri è difficile illustrare gli amministratori del sito e i manager perché la causa principale è una differenza miniscule tra Active Directory protetti RMS documenti creati di fuori dell'ambiente di SharePoint e quelli creati nell'ambiente SharePoint. Il primo mantengono i criteri anche quando caricarli in una raccolta di documenti attivata RMS di Active Directory, ma quest'ultimo non. Protezione end-to per-end RMS di Active Directory impedisce SharePoint di decrittografia i documenti creati di fuori dell'ambiente SharePoint.

fig04.gif

Nella figura 4 verifica che l'account pool di applicazioni disponga di controllo completo

Per la decrittografia di collaborare caricamento, account del pool di applicazioni del sito deve essere autorizzazioni Full Control proprietario di un documento. SharePoint aggiunge questo account del pool di applicazioni il modello di documento che scaricare quando si fa clic sul nuovo pulsante in una raccolta di documenti RMS-enabled Active Directory. Il proprietario di un documento è possibile verificare che l'account del pool di applicazioni disponga di controllo completo. Visualizzare solo le opzioni avanzate di RMS di Active Directory facendo clic sul pulsante altre opzioni nella finestra di dialogo autorizzazioni del documento di Word 2007, come illustrato nella Figura 4 .

Inoltre, non dimenticare di citare nella documentazione di conformità all'elenco degli utenti con autorizzazioni al documento non riflette l'elenco degli utenti con autorizzazioni all'elemento contenuto nella finestra di SharePoint. SharePoint concede solo l'utente corrente e pool di applicazioni del sito autorizzazioni documento account RMS di Active Directory di download.

Il vantaggio è che l'utente di SharePoint non possibile condividere il documento con anybody di fuori dell'ambiente SharePoint. Lo svantaggio è che i proprietari dei documenti può presupporre in modo non corretto che protezione RMS di Active Directory sia più restrittivo piuttosto che effettivamente. Nell'esempio di figura 4 , SPAdmin e ITUser abbia accesso al documento, ma le autorizzazioni del documento non rivelano questo fatto. Fortunatamente, sito solo gli amministratori e i manager possono visualizzare autorizzazioni del documento. I membri del sito non e non consente di visualizzare l'elenco di utenti con autorizzazioni al documento.

Protezione di documento esterno dell'ambiente di SharePoint

Potrebbe occorrere del tempo ottenere utilizzare per la modalità di che SharePoint associa autorizzazioni del sito a autorizzazioni documento RMS di Active Directory, ma un aspetto che potrebbe risolto immediatamente è che è impossibile aprire un documento scaricato da una libreria attivata RMS di Active Directory con l'identità dell'account del pool di applicazioni. È piuttosto fantastica.

Nella Figura 4 , questo è il conto WssDefaultSite. L'account disponga di autorizzazioni Full Control e comunque Impossibile aprire il documento. Pertanto, una persona non autorizzata potrebbe immaginare il nome di accesso e la password di account del pool di applicazioni, ma purché impedire connettività diretta al database del contenuto e forzare tutte accesso ai documenti tramite SharePoint in modo che SharePoint possibile applicare la protezione RMS di Active Directory, il contenuto rimane non accessibile, come illustrato nella Figura 5 .

fig05.gif

Nella figura 5 l'account pool di applicazioni Impossibile aprire il il documento protetto da RMS di Active Directory.

Estrarre il foglio di lavoro complementare "Examining contenuto elemento protezione nella raccolta di documenti Active Directory RMS Enabled". Viene spiegato come utilizzare lo strumento GetDocument, che è inclusa anche nel materiale di accompagnamento. GetDocument.exe utilizza FrontPage RPC tramite Author.dll per scaricare i documenti sul desktop dell'utente in modo che è simile a Microsoft Office Word. Lo strumento viene illustrato che SharePoint Applica protezione RMS di Active Directory indipendentemente dal modo in cui è possibile scaricare il documento (e è più facile specificare informazioni di account diverso per ogni download di documenti).

L'account del pool di applicazioni non può aprire il documento, anche se l'account ha autorizzazioni Full Control, poiché l'account del pool di applicazione non dispone di un indirizzo di posta elettronica. Se si utilizza Microsoft Exchange Server, gli account utente probabilmente hanno indirizzi di posta elettronica validi e se non si utilizza Exchange Server, è necessario impostare l'attributo mail degli utenti manualmente o utilizzando strumenti, ad esempio Ldifde.exe, l'account del pool di applicazioni non desidera essere abilitate posta elettronica, tuttavia.

SharePoint utilizza identificatore di protezione dell'account del pool di applicazioni quando si applica protezione RMS di Active Directory sul server. Applicazioni client RMS di Active Directory, invece, ad esempio Word 2007, utilizzare l'attributo della posta per associare utenti con autorizzazioni RMS di Active Directory. Se non sono nessun attributo di posta elettronica, non si verifica alcuna corrispondenza che si concedono autorizzazioni RMS di Active Directory e l'account non può aprire il documento.

Applicazione delle autorizzazioni di sola lettura

L'impossibilità di condividere documenti di fuori dell'ambiente SharePoint fornisce finestre di progettazione del flusso di lavoro con maggiore controllo sul processo di collaborazione. Ancora più eccezionale, tuttavia, è la possibilità di applicare autorizzazioni documento read-only outside of ambiente SharePoint.

Di SharePoint impedisce ai visitatori del sito e altri utenti con autorizzazioni di View List Item solo dal caricamento di documenti, ma tali utenti non impedire di modificare documenti scaricati e sulla distribuzione con altri mezzi, ad esempio i messaggi di posta elettronica. Integrazione di SharePoint con RMS di Active Directory consente di chiudere questa distanza. A questo punto, gli utenti con autorizzazioni di View List Item solo ottenere RMS di Active Directory autorizzazioni di lettura, ma questo non include la copia o modifica autorizzazioni per il contenuto documento, come illustrato nella Figure 6 . Che cosa è destinate a essere rimane sola lettura, sola lettura, all'interno e all'esterno di SharePoint.

fig06.gif

Nella figura 6 il documento protetto da RMS di Active Directory rimane di sola lettura dopo download.

Questo sembra essere uno dei maggiori vantaggi di integrazione di SharePoint con RMS di Active Directory poiché consente di implementare archivi gestiti per i documenti standard. Parlare di ridurre i rischi di business. Concedere che le autorizzazioni di Edit List Items reparto legale e il resto delle autorizzazioni di View List Item società SharePoint e si possibile posizionare la certezza che non boilerplates manipulated, falso o obsoleti entrata attorno all'azienda. Solo non dimenticare di consentire la stampa documento nelle impostazioni relative RMS raccolta Active Directory in modo che i dipendenti possano stampare da documenti di contratto.

Conclusione

Integrazione di SharePoint con RMS di Active Directory è una funzionalità utile che consente di estendere la portata di protezione e conformità normativa soluzioni molto oltre il perimetro dell'ambienti di SharePoint. Utilizzando questa tecnologia, è possibile applicare protezione dei criteri e le informazioni di utilizzo di documenti dopo download. Tuttavia, essere necessario tenere presente che il framework IRM e integrazione RMS di Active Directory non aumentare la protezione all'interno dell'ambiente SharePoint. Rimarrà imperativa per applicare controlli di accesso corretti SharePoint; proteggere gli account di protezione; correttamente configurare pool di applicazioni, i database del contenuto, le istanze di SQL Server e server di SharePoint e mantenere componenti ambigua e codice non verificato fuori dai server di produzione.

È opportuno valutare il framework IRM. Senza dubbio un, si noterà bordi approssimativo e alcune limitazioni dell'implementazione corrente, ma i problemi non parla con la tecnologia, invece sottolineare che questa tecnologia indirizzi un campo di grandi dimensioni di requisiti e le opportunità. Microsoft indica che le versioni future di RMS di Active Directory verranno offrire maggiore granularità e controllo e certamente ciò influirà Integrazione con SharePoint nonché.

Sarebbe grande maggiore controllo sul mapping di autorizzazione. Sarebbe utile le date di scadenza relativo alla data di download. Sarebbe utile la possibilità di configurare le protezioni con documento per ogni raccolta di documenti singoli separatamente. Potrebbe essere utile combinare le protezioni con documento con parser del documento in modo che è possibile disattivare la decrittografia dei documenti mantenendo le funzionalità di promozione di indicizzazione e proprietà. L'elenco desideri è particolarmente lungo, ma l'implementazione corrente in modo definito è un passaggio nella direzione giusta ed eccezionale per le organizzazioni che utilizzano SharePoint e deve essere conforme con normative relativi all'archiviazione del contenuto e la protezione.

Il solo problema è che le organizzazioni non traggono vantaggio dal integrazione RMS di Active Directory all'esterno della casella in quanto le protezioni con documenti di Microsoft Office sono inclusi solo nel MOSS 2007 di WSS 3.0. Ma non disperare! Nella colonna successiva, illustrano come estendere WSS 3.0 per ottenere la protezione dei documenti Office base al framework IRM e RMS di Active Directory e non richiede competenze di sviluppo. Mostra l'bulloni e dadi di questa tecnologia distribuendo un ambiente di preproduzione, che risulta utile se si desidera sviluppare soluzioni Office e SharePoint basato RMS di Active Directory o semplicemente soluzioni di compilazione che altri sviluppatori forniscono che informazioni di addebito allo scopo di soddisfare i requisiti di protezione e conformità oltre le capacità standard incorporate in WSS 3.0 e MOSS 2007 personalizzati. Rimanere sempre ottimizzato.

Cherny Pav è un esperto IT e l'autore specializzato nelle tecnologie Microsoft per la collaborazione e comunicazione unificata. Sua pubblicazioni includono white paper, manuali del prodotto e libri con particolare attenzione su operazioni e amministrazione del sistema. Pav è presidente di Biblioso Corporation, una società specializzata in servizi di documentazione e la localizzazione gestiti.