Introducción a Information Rights Management en Windows SharePoint Services
Tradicionalmente, la información confidencial sólo se podía controlar si se limitaba el acceso a las redes o los equipos donde se almacena la información. Después de haber proporcionado acceso a los usuarios, sin embargo, no existen restricciones sobre las acciones que pueden llevarse a cabo con el contenido o a quién se le puede enviar. Microsoft Information Rights Management (IRM) permite crear un conjunto de controles de acceso permanente que se encuentre en el contenido, en lugar de una ubicación de red específica, que le ayudará a controlar el acceso a los archivos, incluso cuando no sigan bajo su control directo.
Con Windows SharePoint Services, IRM está disponible para los archivos que se encuentran en las bibliotecas de documentos y se almacenan como datos adjuntos en elementos de lista. Los administradores de sitio pueden optar por proteger las descargas de una biblioteca de documentos con IRM. Cuando un usuario intenta descargar un archivo de la biblioteca, Windows SharePoint Services comprueba que el usuario tiene permisos para el archivo en cuestión y emite una licencia para el usuario que permite el acceso al archivo en el nivel de permisos adecuados. A continuación, Windows SharePoint Services descarga el archivo en el equipo del usuario en un formato de archivo cifrado y administrado con derechos.
Un administrador habilita IRM en el nivel de la biblioteca de documentos e incluye las siguientes opciones:
Nombre y descripción de la directiva de derechos de información.
Especificación de si los usuarios pueden imprimir documentos que se administran con derechos.
Nota
Un usuario debe tener permisos de vista o de nivel superior para poder imprimir documentos administrados con derechos.
Especificación de si el usuario puede ejecutar Microsoft Visual Basic (VBA) para aplicaciones y otro código personalizado en el archivo.
El número de días de validez de la licencia. Una vez que haya transcurrido el número de días especificado, la licencia expirará y el usuario deberá volver a descargar el archivo desde la biblioteca de documentos.
Especificación de si se va a permitir a los usuarios cargar tipos de archivo que no son compatibles con IRM.
Si está habilitada esta opción, Windows SharePoint Services no permitirá a los usuarios cargar archivos que no pueda administrar con derechos. Por este motivo, los usuarios no pueden cargar lo siguiente:
Documentos de un tipo de archivo determinado en esta biblioteca de documentos, a menos que un protector IRM para ese tipo de archivo se haya registrado con Windows SharePoint Services.
Documentos que una aplicación diferente de Windows SharePoint Services ha administrado con derechos. Por ejemplo, Windows SharePoint Services no permitiría a un usuario cargar archivos protegidos por una aplicación de cliente.
Opcionalmente, la fecha en que se va a dejar de restringir permisos a la biblioteca de documentos. Una vez pasada la fecha especificada, Windows SharePoint Services quita todas las restricciones administradas por derechos de los documentos de la biblioteca.
Documentos administrados con derechos que se pueden descargar antes de que la fecha de detención especificada se administre mediante derechos en la aplicación de cliente, incluso después de la fecha especificada, ya que el propio documento no incluye esta configuración. Sin embargo, una vez que el usuario haya vuelto a proteger el documento después de la fecha especificada, la protección de documentos se quitará.
Por ejemplo, es posible que se precise de una institución financiera para que publique determinada información cada trimestre. Sin embargo, antes de dicha fecha, es conveniente que la institución restrinja el acceso a los archivos que contienen dicha información para evitar la revelación prematura de la misma.
Almacenamiento de archivos en Windows SharePoint Services
Dado que las compañías a menudo tienen restricciones que requieren que sus archivos se almacenen en formatos no cifrados, Windows SharePoint Services no almacena los archivos en formatos de archivo cifrado administrados con derechos. Sin embargo, Windows SharePoint Services llama a un protector IRM para convertir el archivo almacenado a un formato cifrado cada vez que un usuario descarga el archivo. De forma similar, cuando un usuario carga una copia de un archivo administrada con derechos, Windows SharePoint Services llama al protector IRM adecuado para convertir dicha copia a un formato no cifrado antes de almacenarse.
Como resultado, no es necesario crear soluciones personalizadas para habilitar la búsqueda o el archivo de las bibliotecas de documentos donde IRM está habilitado. El almacenamiento de los archivos en formato no cifrado garantiza que el servicio de indización de búsqueda actual pueda rastrear el contenido almacenado en los servidores. Los resultados de la búsqueda ya están en el ámbito de los permisos de usuario, por lo que el usuario nunca verá los resultados de búsqueda que incluyan contenido para el cual no disponen de algún nivel de acceso.
Acceso de los usuarios a documentos protegidos
Windows SharePoint Services determina los privilegios de acceso que deben concederse a un usuario en función de la entrada de la lista de control de acceso (ACL) de dicho usuario. En la tabla siguiente, se enumera el nivel de permiso de usuario en la ACL, así como los permisos correspondientes para archivos protegidos por IRM.
Nota
Los permisos enumerados son aditivos; cada nivel de permisos incluye los derechos de acceso del nivel de permiso inmediatamente posterior.
| Derechos de la lista de control de acceso | Permisos de IRM |
|---|---|
Administrar permisos Administrar la web |
Control total sobre los documentos, tal como se define en la aplicación cliente. Esto generalmente permite al usuario leer, modificar, copiar, guardar y modificar los permisos del documento. |
Editar elementos de la lista Administrar listas Agregar y personalizar páginas |
Modifique, copie y guarde los permisos. El usuario sólo puede imprimir el documento si la configuración de IRM de la biblioteca de documentos se ha configurado para permitir la impresión de documentos. |
Ver elemento de lista |
Permisos de lectura. El usuario puede leer el documento, pero no copiar ni editar su contenido. El usuario sólo puede imprimir el documento si la configuración de IRM de la biblioteca de documentos se ha configurado para permitir la impresión de documentos. |
El resto de la configuración de derechos de ACL, como por ejemplo la edición de la información de usuario. |
No aplicable; no hay permisos de IRM correspondientes. |
Cuando un usuario solicita un documento administrado con derechos, Windows SharePoint Services descarga el archivo protegido en el usuario, basándose en su permisos de acceso. En este punto, Windows SharePoint Services se convierte en el principal propietario del contenido protegido; en concreto, el propietario del proceso en que Windows SharePoint Services se convierte en el propietario del documento administrado por derechos. El usuario que solicitó el documento se agrega como un consumidor del documento y puede obtener una licencia para el usuario final (EUL) que concede los permisos correctos. Sólo Windows SharePoint Services y este usuario poseen derechos sobre el archivo descargado. Por ejemplo, el usuario no puede enviar el archivo administrado por derechos a otra persona, aunque dicha persona también tenga acceso al archivo en la biblioteca de documentos Windows SharePoint Services. En su lugar, dicha persona necesitaría tener acceso a la biblioteca de documentos y descargar el documento directamente.
Habilitación de IRM en Windows SharePoint Services
IRM se habilita en el nivel de biblioteca de documentos. Sin embargo, IRM debe configurarse para Windows SharePoint Services como un todo de modo que pueda ser una opción en el nivel de biblioteca de documentos. La habilitación de IRM para Windows SharePoint Services normalmente requiere la instalación de plataformas de administración de derechos en cada servidor cliente web, así como asegurarse de que Windows SharePoint Services y cualquier cuenta de servicio asociada tenga los permisos necesarios en dicha plataforma.
Una vez que haya llevado a cabo dichos pasos, los administradores de la biblioteca de documentos podrán habilitar IRM en cualquier biblioteca de documentos para la cual dispongan de permisos adecuados.
Para obtener información detallada acerca de cómo realizar estos pasos, consulte la documentación para profesionales de TI de Windows SharePoint Services.
Para obtener más información acerca de los protectores integrados y autónomos, consulte Protectores IRM personalizados.
Vea también
Otros recursos
Arquitectura del marco de IRM en Windows SharePoint Services
Procesamiento de archivos de IRM
Protectores IRM personalizados
Procedimiento para registrar un protector IRM