Die größte Herausforderung bei einer AD RMS-Implementierung besteht nicht darin, die Infrastruktur zum Laufen zu bringen oder die Client-Einstellungen, Dateien und Anwendungen für alle Benutzer bereitzustellen. Es geht nicht darum, RMS über die Firewall verfügbar zu machen oder es mit dem SharePoint-Server zusammenzubringen. Nein, die größte Herausforderung besteht darin, Ihre Benutzer dazu zu bringen, RMS tatsächlich zum Schutz von E-Mail-Nachrichten und Dokumenten zu verwenden. Für Ihre Benutzer ist es sehr einfach, den RMS-Schutz auf eine E-Mail oder ein Dokument anzuwenden - es sind nur ein paar Klicks -, aber es ist schwierig, sie daran zu erinnern, diesen zusätzlichen Schritt zu tun. Glücklicherweise gibt es Lösungen, die Ihnen bei der Automatisierung von Schutzmaßnahmen helfen, so dass Sie sich nicht vollständig darauf verlassen müssen, dass Ihre Benutzer diesen zusätzlichen Schritt tun.
Austausch 2010
Mit Microsoft Exchange 2010 wurden zwei Funktionen eingeführt, die Ihnen helfen, Schutzmaßnahmen auf Inhalte anzuwenden - RMS-Schutzmaßnahmen in Exchange-Hub-Transportregeln und Outlook-Schutzregeln. Die Hub-Transportregeln sind dabei die vielseitigsten. Stellen Sie sich vor, Sie könnten alles mit einer Exchange-Hub-Transportregel machen - eine E-Mail-Nachricht auf der Grundlage von Wörtern oder Textübereinstimmungen in der Betreffzeile oder im Textkörper, auf der Grundlage des Absenders oder des Empfängers/der Empfänger, auf der Grundlage von Anhängen usw. auswählen - und diese mit RMS versehen. Sie können z. B. eine Regel erstellen, die den Textkörper jeder in Ihrem Unternehmen gesendeten E-Mail-Nachricht nach etwas durchsucht, das wie eine Sozialversicherungsnummer aussieht, und wenn eine E-Mail gefunden wird, die eine Sozialversicherungsnummer zu enthalten scheint, wendet die Regel eine Richtlinienvorlage zum Schutz dieses potenziell sensiblen Inhalts auf sie an.
Bei den Hub-Transportregeln ist jedoch zu beachten, dass sie erst angewendet werden, wenn eine E-Mail-Nachricht den Exchange-Server zur Verarbeitung erreicht. Ihr Benutzer verfasst also eine E-Mail-Nachricht mit vertraulichem Inhalt wie einer Sozialversicherungsnummer und drückt auf die Schaltfläche "Senden", ohne daran zu denken, RMS auf die E-Mail-Nachricht anzuwenden. Diese E-Mail-Nachricht wird unverschlüsselt vom Desktop des Benutzers zum Exchange-Server übertragen. Auf dem Exchange-Server wird die Hub-Transportregel auf die Nachricht angewendet, und dann wird die E-Mail-Nachricht zwischen dem Exchange-Server und dem Postfach des Empfängers verschlüsselt und geschützt.
Outlook-Schutzregeln hingegen schützen den Inhalt von Anfang bis Ende. Outlook-Schutzregeln werden auf dem Client-Computer definiert, und wenn ein Benutzer eine E-Mail-Nachricht verfasst, die einer Schutzregel entspricht, wird der RMS-Schutz automatisch auf diese E-Mail-Nachricht angewendet, bevor der Benutzer die Schaltfläche "Senden" drückt, wodurch die E-Mail-Nachricht auf ihrem gesamten Weg zum Empfänger geschützt und verschlüsselt wird. Der Nachteil der Outlook-Schutzregeln ist, dass sie nicht annähernd so viele Optionen für den Abgleich von E-Mail-Nachrichten bieten wie Hub-Transportregeln. Die wichtigsten Optionen für den Abgleich sind der Empfänger und die Abteilung, zu der der Absender gehört. Outlook-Schutzregeln werden über die command -Zeile mit PowerShell-Befehlen und nicht über eine benutzerfreundliche GUI konfiguriert. Outlook-Schutzregeln werden nur in Outlook 2010 unterstützt, das mit Exchange 2010 arbeitet.
Für weitere Informationen siehe:
SharePoint 2007 und 2010
Sowohl Microsoft Office SharePoint Server (MOSS) 2007 als auch Microsoft SharePoint 2010 beinhalten eine Integration mit AD RMS, um den Schutz von in einer SharePoint-Dokumentenbibliothek gespeicherten Dokumenten zu automatisieren. Die AD RMS-Integration mit SharePoint ist so konzipiert, dass Dokumente in SharePoint in einem unverschlüsselten Zustand gespeichert werden können, um die Indizierung und einfache Sicherung und Wiederherstellung zu unterstützen. Der RMS-Schutz wird automatisch auf ein in einer geschützten Dokumentenbibliothek gespeichertes Dokument angewendet, wenn das Dokument geöffnet oder aus der Dokumentenbibliothek heruntergeladen wird.
AD RMS in SharePoint funktioniert in Verbindung mit der regulären SharePoint-Berechtigungsstruktur, so dass ein Benutzer, dem Beitragsberechtigungen für eine Dokumentenbibliothek gewährt werden, über Bearbeitungsberechtigungen für ein RMS-geschütztes Dokument verfügt, das aus dieser Bibliothek extrahiert wurde, und ein Benutzer, dem Leseberechtigungen für eine Dokumentenbibliothek gewährt werden, über Nur-Leseberechtigungen für ein RMS-geschütztes Dokument verfügt, das aus dieser Bibliothek extrahiert wurde. Ein Benutzer, dem volle Kontrollrechte für eine Dokumentenbibliothek gewährt wurden, hat die volle Kontrolle über ein RMS-geschütztes Dokument, das aus dieser Bibliothek extrahiert wurde, einschließlich der Berechtigung, den RMS-Schutz aus der Datei zu entfernen.
SharePoint verwendet keine AD RMS-Vorlagen für Rechtestrategien. Stattdessen werden die Richtlinien für die Rechtevergabe individuell für jede einzelne Dokumentbibliothek angewendet.
In SharePoint 2007 konnten Sie ein Dokument, das bereits rechtegeschützt war, in eine RMS-aktivierte Dokumentbibliothek hochladen. In diesem Fall würde das Dokument in dieser Dokumentenbibliothek in einem verschlüsselten Zustand leben und die ursprünglichen Schutzmaßnahmen für das Dokument beibehalten. Es würde die der Dokumentbibliothek zugewiesenen Berechtigungen nicht übernehmen. In SharePoint 2010 wurde die Option hinzugefügt, das Hochladen von Dokumenten zu verweigern, die bereits mit Rechten geschützt sind, so dass Sie steuern können, ob Dokumente in SharePoint in einem verschlüsselten Zustand gespeichert werden dürfen. Wenn Sie die Funktion deaktivieren, die das Hochladen von zuvor mit Rechten geschützten Inhalten in SharePoint 2010 verbietet, werden Dokumente, die bereits mit RMS geschützt sind, bevor sie in diese Version von SharePoint hochgeladen werden, auch nicht die der Dokumentenbibliothek zugewiesenen Berechtigungen übernehmen.
RMS-Massenschutz-Tool und Infrastruktur zur Dateiklassifizierung
Das RMS Bulk Protection Tool ist ein command Zeilenwerkzeug, mit dem Sie RMS-Schutz auf mehrere Dokumente in einem Dateisystem anwenden können. Außerdem können Sie damit RMS-Schutzmaßnahmen in großen Mengen aufheben. Das Tool kann in einem Skript verwendet werden, um z. B. regelmäßig RMS-Schutzmaßnahmen auf alle Word-Dokumente in einem bestimmten Verzeichnis auf einem Dateiserver anzuwenden.
Die Funktion Dateiklassifizierungsinfrastruktur wurde in Windows Server 2008 R2 hinzugefügt. Mit dieser Funktion können Sie die Klassifizierung von Dokumenten, die sich auf einem Dateiserver befinden, automatisieren, beispielsweise anhand von Schlüsselwörtern in den Dokumenten. In Verbindung mit dem RMS-Bulk Protection Tool kann die Anwendung von RMS-Schutzmaßnahmen auf Dokumente, die der/den Klassifizierungsregel(n) entsprechen, automatisiert werden.
Produkte von Drittanbietern
Es gibt auch Produkte von Drittanbietern auf dem Markt, die Ihnen helfen, die Anwendung von RMS-Schutzmaßnahmen zu automatisieren. TITUS bietet beispielsweise eine Klassifizierungssuite an, die unter anderem einen Benutzer beim Senden einer E-Mail oder beim Speichern eines Dokuments auffordern kann, eine Klassifizierung auf den Inhalt anzuwenden, und einige oder alle Klassifizierungsstufen können mit Vorlagen für RMS-Rechtsrichtlinien verknüpft werden.