SharePoint からダウンロードされたドキュメントの保護を行うために、IRM(Information Rights Management)の機能は有用です。また、ドキュメント管理においてドキュメント ライブラリ内のファイルを別のライブラリへ送ることができる “送信” 機能は、複数のライブラリやサイトにあるドキュメントをひとつのライブラリへ集約するなどのシナリオで有用です。(ただ、近ごろの SharePoint Online の UI を見ていると、だんだんと影が薄くなっている気がします。オンプレミスでは、SharePoint Designer で作成するワークフローからもドキュメントの送信を行えるのですが、SharePoint Online では対応していませんし…)

これらの IRM と “送信” 機能を組み合わせて利用すると、面白い動作だったので紹介します。

この記事を書いている時点での動作確認は下記の環境を利用しています。

  • SharePoint Online
  • Azure Rights Management
  • Office 2016

前提となる IRM の動作

SharePoint のドキュメント ライブラリへドキュメント(Office ファイル)をアップロードした時点では、IRM による暗号化は行われていません。ドキュメントに対して IRM が有効となるのは、ユーザーがファイルをダウンロードするタイミングです。これは良く知られた動作かと思います。このため、ダウンロードせずに SharePoint 内で処理が行われているように見える “送信” 機能では、IRM が有効になっていない状態で処理が行われるような気がします。(していました)

IRM ライブラリから非 IRM ライブラリへのドキュメントの送信

IRM が有効化されたライブラリから、IRM が有効化されていないライブラリへドキュメントを送信した場合、その時点で送信元の IRM ポリシーが適用され保護済みのドキュメントが送られます。非 IRM ライブラリにドキュメントがあるのだから、IRM は有効化されていないだろうと考えるとハマります。(ハマりました)

IRM ライブラリから IRM ライブラリへのドキュメントの送信

IRM が有効化されたライブラリから、IRM が有効化された他のライブラリへドキュメントを送信した場合、こちらもその時点で送信元の IRM ポリシーが適用され保護済みのドキュメントが送られます。送信先の IRM ライブラリのポリシーで上書きされても良さそうな気がしますが、そうはなりません。

おまけ。IRM ライブラリからダウンロードしたドキュメントを他の IRM ライブラリへアップロードする。

IRM ライブラリからダウンロードしたドキュメントを、他の IRM ライブラリへアップロードする場合、こちらもダウンロード時に適用された IRM ポリシーがそのまま引き継がれます。

さいごに

なんでこんな動作なんだ!!と、思ったのですが、冷静になって考えてみると、こうした操作で IRM ポリシーの上書きを許可してしまうと、送信や他のライブラリへの再アップロードがドキュメント保護の抜け道になってしまうので、当たり前に理解のできる動作ですね。ただし、ダウンロードを伴わない “送信” 機能を用いた SharePoint 内の移動でも IRM が効いてしまいますので、ダウンロードするときにだけ IRM が有効化されると思っているとハマりポイントかもしれません。(僕がそうだったというだけですけど…)

今年もありがとうございました。2016 年はオンプレミスの新バージョン SharePoint 2016 の登場が楽しみですね。みなさま良いお年を。