Artículo original publicado el domingo 11 de noviembre de 2012

Por Barak Cohen, administrador de programas jefe de Servicios de protección de documentos, y Neil Wang, ingeniero de desarrollo de software de pruebas de Servicios de protección de documentos

Protección de documentos en la nube

La nueva versión de Office es la primera que permite proteger los documentos que están en la nube con servicios de Information Rights Management (IRM). Los usuarios de Office 365 pueden obtener un plan de servicio que incluya funcionalidades de IRM basadas en un nuevo servicio de protección de documentos denominado Windows Azure AD Rights Management (AADRM), que forma parte de los planes empresariales 3 y 4 y los planes académicos 3 y 4 de Office 365. Esta funcionalidad se asemeja a la capacidad de asignar un servidor de Windows Right Management (servidor RMS) a una instalación local de SharePoint. Los usuarios pueden configurar SharePoint Online para que funcione con este servicio en sus páginas de configuración de inquilino de SharePoint Online:
Habilitar la administración de derechos AADRM para un inquilino de Office 365 en el portal de AADRM
Figura 1. Habilitar el servicio IRM en la página de configuración de inquilino de SharePoint Online de Office 365


Observe, no obstante, que el servicio de administración de derechos AADRM no está activado de forma predeterminado en las SKU que se enumeran arriba, sino que los administradores de inquilinos tendrán que habilitarlo para el arrendamiento. Cuando se hace clic en el botón Actualizar configuración de IRM en la página de configuración de inquilino, se realiza una consulta al directorio de Office 365 relativa a la configuración de AADRM y la configuración se actualiza en SharePoint Online.

Para habilitar AADRM para los inquilinos de Office 365, puede usar el siguiente vínculo y activar el servicio: https://activedirectory.windowsazure.com/RmsOnline/Manage.aspx?brandContextID=O365. Tal y como se ha indicado antes, es necesario disponer de un plan de Office 365 con AADRM para que esto funcione, por lo que habrá que iniciar sesión con las credenciales de administración de inquilinos de Office 365. Esta página de Rights Management también es accesible a través del menú Protección de la información de la página de administración de Office 365.

Habilitar la administración de derechos AADRM para un inquilino de Office 365 en el portal de AADRM
Figura 2. Habilitar la administración de derechos AADRM para un inquilino de Office 365 en el portal de AADRM


También se puede recurrir al siguiente proceso manual para habilitar el servicio:

  1. Descargue el módulo de administración de Windows Azure AD Rights Management (WindowsAzureADRightsManagementAdministration.exe) para Windows PowerShell aquí.
  2. En la carpeta local donde se haya descargado y guardado el archivo de instalación de Rights Management, haga doble clic en WindowsAzureADRightsManagementAdministration.exe para iniciar la instalación del módulo.
  3. Abra Windows PowerShell y escriba los siguientes comandos:
      Import-Module AADRM
      Connect-AadrmService -Verbose

  4. Introduzca sus credenciales de Office 365 Preview cuando se le pidan (por ejemplo, user@company.onmicrosoft.com).
  5. Escriba los siguientes comandos:
      Enable-Aadrm
      Disconnect-AadrmService

Protección de documentos locales

Las instalaciones locales siguen admitiendo los servicios IRM, para lo cual hay que asociar un rol de servidor de AD RMS (Right Management Services) con una granja de servidores de SharePoint, tal y como se describe en el artículo Guía paso a paso de Windows Server Active Directory Rights Management Services. De ello se encarga el administrador de la granja de servidores en la página de Information Rights Management vinculada desde la página de administración de la granja de servidores (la configuración habitual de las instalaciones locales es que el servidor RMS se identifique a través de Active Directory). En SharePoint 2013, las instalaciones locales pueden tener como destino únicamente servidores RMS locales (mientras que SharePoint Online en Office 365 solo puede tener como destino AADRM).

Habilitar IRM con un servidor RMS en una granja de servidores de SharePoint
Figura 3. Habilitar IRM con un servidor RMS en una granja de servidores de SharePoint


La configuración de IRM se realiza en el nivel de la granja de servidores mediante la interfaz de usuario que muestra la figura 3, o bien en un nivel de suscripción (novedad en Office 2013), que es como se implementa en la nube. Para configurar IRM para suscripciones de SharePoint específicas de forma local, es necesario activar la casilla de la figura 3 y usar a continuación un script de Microsoft PowerShell para indicar la dirección URL de servidor RMS específica de cada suscripción.

Proteger los documentos es sencillo

Una vez que los servicios IRM están configurados en línea o localmente, los administradores de la colección de sitios pueden habilitar la protección de IRM en bibliotecas de documentos individuales.

Establecer la protección de IRM en una biblioteca de documentos
Figura 4. Establecer la protección de IRM en una biblioteca de documentos


Cuando esta configuración se haya definido, los documentos compatibles con los servicios IRM de Office estarán protegidos después de que se hayan descargado en el cliente. El resto de opciones sirve para definir los derechos de uso de forma más detallada.

Los derechos de uso se definen fácilmente

La interfaz de usuario de configuración de IRM se ha mejorado en Office 2013 para conseguir que el uso de las bibliotecas de documentos sea más sencillo. Así, aparte de escribir el título y la descripción de la directiva de permisos, los administradores de biblioteca también pueden realizar lo siguiente:

  • Definir derechos de acceso (incluidos los derechos de impresión), ejecutar scripts para habilitar lectores de pantalla o permitir la escritura en una copia del documento (novedad en Office 2013)
  • Establecer una fecha de expiración (fecha transcurrida la cual el documento no puede usarse)
  • Controlar si los documentos que no admiten la protección de IRM se pueden incluir en la biblioteca
  • Controlar si Office Web Apps puede representar los documentos de la biblioteca (novedad en Office 2013)

Los documentos protegidos se pueden representar en el explorador

Otra novedad en Office 2013 es que Office Web Apps puede representar documentos protegidos. Esto significa que, si un usuario autenticado no tiene un cliente de Office compatible, no tendrá problema en ver los documentos usando Office Web Apps. Tenga presente que, en lo que respecta a Web Apps, el documento aparece en modo de solo lectura. De igual modo, apreciará que las capturas de pantalla de contenido protegido en el explorador no están bloqueadas (como ocurre en los clientes), si bien la información relativa a los documentos protegidos se borra de la memoria caché del explorador. Los administradores de biblioteca pueden deshabilitar esta funcionalidad en todo momento con tan solo activar la casilla Impedir que se abran documentos de esta biblioteca de documentos en el explorador en la página de configuración de Rights Management (ilustrada en la figura 5).

Se pueden proteger los documentos para un grupo

Cuando se descargan documentos de una biblioteca de documentos de SharePoint habilitada para IRM, cada tipo de archivo compatible se cifra de forma predeterminada, al tiempo que los derechos quedan restringidos al usuario autenticado que haya descargado los documentos. Los otros usuarios que tengan derechos en la misma biblioteca deben obtener su propia copia. Una de las nuevas características que SharePoint 2013 admite consiste en proteger una biblioteca para un grupo. Un administrador puede seleccionar un grupo de Active Directory y usarlo para marcar la licencia de uso del archivo. De este modo, cualquier miembro del grupo podrá usar los documentos descargados, mientras que el usuario que descargó la copia puede transferirla a cualquiera de ellos directamente. En Office 365, estos grupos se crean en el Panel de control de Exchange (ECP).

Protección de grupo como parte de la configuración avanzada de IRM en las bibliotecas de documentos
Figura 5. Protección de grupo como parte de la configuración avanzada de IRM en las bibliotecas de documentos


IRM admite documentos de Office y archivos PDF

Numerosos usuarios han mostrado su interés en una mayor integración de los archivos PDF en SharePoint y Office en general. Ahora, en Office 2013 los documentos PDF se integran de mejor forma en SharePoint 2013. Los lectores de PDF pueden registrar un control para que puedan abrirse archivos PDF fácilmente y, además, los documentos PDF se pueden proteger mediante los servicios Microsoft IRM. La protección de IRM de documentos PDF es una ampliación del estándar PDF que los lectores de PDF pueden admitir e implementar. Uno de los lectores que ya admiten esta característica es el lector de PDF Foxit.

Programación

La configuración de IRM en el nivel de granja de servidores/suscripción se controla mediante programación, lo que constituye otra novedad en Office 2013. En la tabla 1 se recogen ejemplos del modo en que la configuración de IRM en el nivel de granja de servidores o suscripción se puede manipular desde Windows PowerShell.

Tabla 1. Programación de IRM con PowerShell

Ejemplo Comando de Windows PowerShell
Habilitar IRM para la granja de servidores y configurarlo para que use el servidor RMS predeterminado configurado en Active Directory. Set-SPIRMSettings -IrmEnabled -
UseActiveDirectoryDiscovery
Habilitar IRM para la granja de servidores y especificar la dirección URL del servidor RMS que se va a usar. Set-SPIRMSettings -IrmEnabled -
CertificateServerUrl http://myrmsserver
?Habilitar IRM para el inquilino especificado e indicar la dirección URL del servidor RMS que se va a usar. Set-SPIRMSettings –IrmEnabled -
SubscriptionScopeSettingsEnabled

site = Get-SPSite http://myspserver
$subscription = $site.SiteSubscription
 Set-SPSiteSubscriptionIrmConfig -Identity
$subscription -IrmEnabled -
CertificateServerUrl http://myrmsserver

Deshabilitar IRM para la granja de servidores. Set-SPIRMSettings -IrmEnabled:$false
 
Para más información, use los siguientes vínculos, que llevan a descripciones de clases y API en el nivel de la biblioteca de documentos:

El siguiente script de Windows PowerShell de ejemplo refleja cómo un administrador de inquilino puede activar y configurar la directiva de IRM para todas las bibliotecas de documentos en los sitios del inquilino:


$webUrl = "https://contoso.sharepoint.com"
$username = "admin@contoso.onmicrosoft.com"
$password = ConvertTo-SecureString "password" -AsPlainText -Force

Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.dll"
Add-Type -Path "c:\Program Files\Common Files\microsoft shared\Web Server Extensions\15\ISAPI\Microsoft.SharePoint.Client.Runtime.dll"

$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($webUrl)
$ctx.Credentials = New-Object Microsoft.SharePoint.Client.SharePointOnlineCredentials($username, $password)
$lists = $ctx.Web.Lists
$ctx.Load($lists)
$ctx.ExecuteQuery()

$lists | `
    where { $_.BaseTemplate -eq [Microsoft.SharePoint.Client.ListTemplateType]::DocumentLibrary } | `
        foreach { `
            $_.IrmEnabled = $true; `
            $_.InformationRightsManagementSettings.PolicyTitle = "IRM enabled"; `
            $_.InformationRightsManagementSettings.PolicyDescription = "This file is protected by SharePoint IRM."; `
            $_.Update(); `
            Write-Host "IRM enabled on $($_.Title)" `
        }
$ctx.ExecuteQuery()

Matriz de clientes compatibles

En lo que respecta a los servicios de Office 365, tanto SharePoint 2013 Online como Exchange 2013 Online admiten los servicios IRM. Para obtener los servicios, hay que estar suscrito a uno de los planes de servicio de Office365 que incluyan compatibilidad con IRM, tal y como se indica en el sitio web de Office 365.

En la tabla 2 encontrará una matriz de las aplicaciones cliente que son compatibles con los servicios IRM en Office 2013.

Tabla 2. Matriz de compatibilidad de aplicaciones cliente

Aplicación SharePoint 2013 SharePoint Online 2013 Servidor RMS RMS en línea
Word, PowerPoint, Excel 2013 (Windows) 
Word, PowerPoint, Excel 2013 RT
Word, PowerPoint, Excel 2010   Sí (después de instalar el ayudante para el inicio de sesión de Office 365)
Office para Mac 2010   No   No
Outlook en Windows Phone 7 No es relevante No es relevante No
Word en Windows Phone 7   No  No
Lector de PDF Foxit en Windows Sí (después de instalar el ayudante para el inicio de sesión de Office 365)

Próximos pasos

La protección de IRM confiere un mayor control del modo en que los documentos digitales se distribuyen y administran. Con unos servicios en la nube cada vez más populares y la disponibilidad al alcance de todos de la plataforma de Office 365, ahora los servicios IRM son más fáciles de usar y más accesibles que nunca. De hecho, el nuevo servicio se puede probar sin coste alguno, así que anímese: inicie sesión y no vuelva a preocuparse por la pérdida de documentos confidenciales de Microsoft Office y PDF. Como siempre, nuestro equipo espera con interés comentarios que nos permitan ir mejorando el servicio, no dude en hacernos llegar los suyos.

Esta entrada de blog es una traducción. Puede encontrar el artículo original en What's New with Information Rights Management in SharePoint and SharePoint Online?