Konfigurowanie praw użycia dla usługi Azure Information Protection
W tym artykule opisano prawa użytkowania, które można skonfigurować do automatycznego stosowania w przypadku wybrania etykiety lub szablonu przez użytkowników, administratorów lub skonfigurowanych usług.
Prawa użytkowania są wybierane podczas konfigurowania etykiet poufności lub szablonów ochrony na potrzeby szyfrowania. Można na przykład wybrać role, które konfigurują logiczne grupowanie praw użytkowania, lub oddzielnie skonfigurować poszczególne prawa. Alternatywnie użytkownicy mogą wybierać i stosować same prawa użytkowania.
Aby uzyskać kompletność, ten artykuł zawiera wartości z klasycznej witryny Azure Portal, która została wycofana 08 stycznia 2018 r.
Ważne
Skorzystaj z tego artykułu, aby dowiedzieć się, w jaki sposób prawa użytkowania są projektowane do interpretowania przez aplikacje.
Aplikacje mogą się różnić w sposobie implementowania praw użytkowania i zalecamy skonsultowanie się z dokumentacją aplikacji i przeprowadzenie własnych testów w celu sprawdzenia zachowania aplikacji przed wdrożeniem w środowisku produkcyjnym.
Prawa użytkowania i opisy
W poniższej tabeli wymieniono i opisano prawa użytkowania obsługiwane przez usługę Rights Management oraz sposób ich używania i interpretowania. Są one wyświetlane według ich nazwy pospolitej, która jest zazwyczaj sposobem wyświetlania lub odwołowania się do prawa użytkowania, jako bardziej przyjazna wersja wartości pojedynczego wyrazu, która jest używana w kodzie ( kodowanie w wartości zasad ).
W tej tabeli:
Stała lub wartość interfejsu API to nazwa zestawu SDK dla wywołania interfejsu API zestawu SDK MSIPC lub Microsoft Purview Information Protection, używana podczas pisania aplikacji, która sprawdza prawo użytkowania, lub dodaje prawo użytkowania do zasad.
Centrum administracyjne etykietowania to portal zgodności Microsoft Purview, w którym konfigurowane są etykiety poufności.
Prawo użytkowania | opis | Implementacja |
---|---|---|
Nazwa pospolita: Edytuj zawartość, Edytuj Kodowanie w zasadach: DOCEDIT |
Umożliwia użytkownikowi modyfikowanie, zmienianie kolejności, formatowanie lub sortowanie zawartości wewnątrz aplikacji, która obejmuje Office w sieci Web. Nie udziela prawa do zapisania edytowanej kopii. W programie Word, chyba że masz usługę Office 365 ProPlus z minimalną wersją 1807, to prawo nie wystarczy, aby włączyć lub wyłączyć śledzenie zmian lub użyć wszystkich funkcji śledzenia zmian jako recenzenta. Zamiast tego, aby użyć wszystkich opcji śledzenia zmian, wymaga następującego prawa: Pełna kontrola. |
Prawa niestandardowe pakietu Office: w ramach opcji Zmień i Pełna kontrola . Nazwa w klasycznym portalu Azure: Edytowanie zawartości Nazwa w witrynie portal zgodności Microsoft Purview i witrynie Azure Portal: Edytowanie zawartości, Edytowanie (DOCEDIT) Nazwa w szablonach usług AD RMS: Edytuj Stała lub wartość interfejsu API: MSIPC: Nie dotyczy. Zestaw MIP SDK: DOCEDIT |
Nazwa pospolita: Zapisz Kodowanie w zasadach: EDYTUJ |
Umożliwia użytkownikowi zapisanie dokumentu w bieżącej lokalizacji. W Office w sieci Web umożliwia również użytkownikowi edytowanie zawartości. W aplikacja pakietu Office lications to prawo umożliwia użytkownikowi zapisanie pliku w nowej lokalizacji i nową nazwę, jeśli wybrany format pliku ma wbudowaną obsługę ochrony usługi Rights Management. Ograniczenie formatu pliku gwarantuje, że nie można usunąć oryginalnej ochrony z pliku. |
Prawa niestandardowe pakietu Office: w ramach opcji Zmień i Pełna kontrola . Nazwa w klasycznym portalu Azure: Zapisz plik Nazwa w witrynie portal zgodności Microsoft Purview i witrynie Azure Portal: Zapisz (EDYTUJ) Nazwa w szablonach usług AD RMS: Zapisz Stała lub wartość interfejsu API: MSIPC: IPC_GENERIC_WRITE L"EDIT" Zestaw MIP SDK: EDIT |
Nazwa pospolita: Komentarz Kodowanie w zasadach: KOMENTARZ |
Włącza opcję dodawania adnotacji lub komentarzy do zawartości. To prawo jest dostępne w zestawie SDK, jest dostępne jako zasady ad hoc w module AzureInformationProtection i RMS Protection dla środowiska Windows PowerShell i został zaimplementowany w niektórych aplikacjach dostawcy oprogramowania. Nie jest ona jednak powszechnie używana i nie jest obsługiwana przez aplikacja pakietu Office lications. |
Prawa niestandardowe pakietu Office: nie zaimplementowano. Nazwa w klasycznym portalu Azure: nie zaimplementowano. Nazwa w portal zgodności Microsoft Purview i witrynie Azure Portal: nie zaimplementowano. Nazwa w szablonach usług AD RMS: nie zaimplementowano. Stała lub wartość interfejsu API: MSIPC: IPC_GENERIC_COMMENT L"COMMENT Zestaw MIP SDK: COMMENT |
Nazwa pospolita: Zapisz jako, Eksportuj Kodowanie w zasadach: EXPORT |
Włącza opcję zapisywania zawartości w innej nazwie pliku (Zapisz jako). W przypadku klienta usługi Azure Information Protection plik można zapisać bez ochrony, a także ponownie chronić przy użyciu nowych ustawień i uprawnień. Te dozwolone akcje oznaczają, że użytkownik, który ma to prawo, może zmienić lub usunąć etykietę usługi Azure Information Protection z chronionego dokumentu lub wiadomości e-mail. To prawo umożliwia również użytkownikowi wykonywanie innych opcji eksportu w aplikacjach, takich jak Wysyłanie do programu OneNote. |
Prawa niestandardowe pakietu Office: w ramach opcji Pełna kontrola . Nazwa w klasycznym portalu Azure: Eksportowanie zawartości (Zapisz jako) Nazwa w witrynie portal zgodności Microsoft Purview i witrynie Azure Portal: Zapisz jako, Eksportuj (EXPORT) Nazwa w szablonach usług AD RMS: eksportowanie (Zapisz jako) Stała lub wartość interfejsu API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" Zestaw MIP SDK: EXPORT |
Nazwa pospolita: Prześlij dalej Kodowanie w zasadach: FORWARD |
Umożliwia opcję przekazywania wiadomości e-mail i dodawania adresatów do wierszy Do i DW . To prawo nie ma zastosowania do dokumentów; tylko wiadomości e-mail. Nie zezwala usłudze przesyłania dalej na udzielanie praw innym użytkownikom w ramach akcji przekazywania dalej. Po udzieleniu tego prawa przyznaj również uprawnienie Edytuj zawartość, Edytuj prawo (nazwa pospolita) i dodatkowo przyznaj uprawnienie Zapisz (nazwa pospolita), aby upewnić się, że chroniona wiadomość e-mail nie jest dostarczana jako załącznik. Określ również te prawa podczas wysyłania wiadomości e-mail do innej organizacji, która korzysta z klienta programu Outlook lub aplikacji Outlook Web App. Lub dla użytkowników w organizacji, którzy są wyklucz z korzystania z ochrony usługi Rights Management, ponieważ zaimplementowano mechanizmy kontroli dołączania. |
Prawa niestandardowe pakietu Office: odmowa w przypadku używania standardowych zasad Nie przesyłaj dalej . Nazwa w klasycznym portalu Azure: Prześlij dalej Nazwa w witrynie portal zgodności Microsoft Purview i witrynie Azure Portal: Prześlij dalej (FORWARD) Nazwa w szablonach usług AD RMS: Prześlij dalej Stała lub wartość interfejsu API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" Zestaw MIP SDK: FORWARD |
Nazwa pospolita: Pełna kontrola Kodowanie w zasadach: OWNER |
Przyznaje wszystkie prawa do dokumentu i można wykonać wszystkie dostępne akcje. Obejmuje możliwość usuwania ochrony i ponownego włączania ochrony dokumentu. Należy pamiętać, że to prawo użytkowania nie jest takie samo jak właściciel usługi Rights Management. |
Prawa niestandardowe pakietu Office: jako opcja niestandardowa Pełna kontrola . Nazwa w klasycznym portalu Azure: Pełna kontrola Nazwa w portal zgodności Microsoft Purview i witrynie Azure Portal: Pełna kontrola (OWNER) Nazwa w szablonach usług AD RMS: Pełna kontrola Stała lub wartość interfejsu API: MSIPC: IPC_GENERIC_ALL L"OWNER" Zestaw MIP SDK: OWNER |
Nazwa pospolita: Drukowanie Kodowanie w zasadach: PRINT |
Włącza opcje drukowania zawartości. | Prawa niestandardowe pakietu Office: jako opcję Drukuj zawartość w uprawnieniach niestandardowych. Nie jest to ustawienie dla poszczególnych adresatów. Nazwa w klasycznym portalu Azure: Drukowanie Nazwa w portal zgodności Microsoft Purview i witrynie Azure Portal: Drukowanie (PRINT) Nazwa w szablonach usług AD RMS: drukowanie Stała lub wartość interfejsu API: MSIPC: IPC_GENERIC_PRINT L"PRINT" Zestaw MIP SDK: PRINT |
Nazwa pospolita: Odpowiedz Kodowanie w zasadach: ODPOWIEDZ |
Włącza opcję Odpowiedz w kliencie poczty e-mail bez zezwalania na zmiany w wierszach Do lub DW. Po udzieleniu tego prawa przyznaj również uprawnienie Edytuj zawartość, Edytuj prawo (nazwa pospolita) i dodatkowo przyznaj uprawnienie Zapisz (nazwa pospolita), aby upewnić się, że chroniona wiadomość e-mail nie jest dostarczana jako załącznik. Określ również te prawa podczas wysyłania wiadomości e-mail do innej organizacji, która korzysta z klienta programu Outlook lub aplikacji Outlook Web App. Lub dla użytkowników w organizacji, którzy są wyklucz z korzystania z ochrony usługi Rights Management, ponieważ zaimplementowano mechanizmy kontroli dołączania. |
Prawa niestandardowe pakietu Office: nie dotyczy. Nazwa w klasycznym portalu Azure: Odpowiedz Nazwa w klasycznym portalu Azure: Odpowiedz (ODPOWIEDZ) Nazwa w szablonach usług AD RMS: Odpowiedz Stała lub wartość interfejsu API: MSIPC: IPC_EMAIL_REPLY Zestaw MIP SDK: REPLY |
Nazwa pospolita: Odpowiedz wszystkim Kodowanie w zasadach: REPLYALL |
Włącza opcję Odpowiedz wszystkim w kliencie poczty e-mail, ale nie zezwala użytkownikowi na dodawanie adresatów do wierszy Do lub DW. Po udzieleniu tego prawa przyznaj również uprawnienie Edytuj zawartość, Edytuj prawo (nazwa pospolita) i dodatkowo przyznaj uprawnienie Zapisz (nazwa pospolita), aby upewnić się, że chroniona wiadomość e-mail nie jest dostarczana jako załącznik. Określ również te prawa podczas wysyłania wiadomości e-mail do innej organizacji, która korzysta z klienta programu Outlook lub aplikacji Outlook Web App. Lub dla użytkowników w organizacji, którzy są wyklucz z korzystania z ochrony usługi Rights Management, ponieważ zaimplementowano mechanizmy kontroli dołączania. |
Prawa niestandardowe pakietu Office: nie dotyczy. Nazwa w klasycznym portalu Azure: Odpowiedz wszystkim Nazwa w portal zgodności Microsoft Purview i witrynie Azure Portal: Odpowiedz wszystkim (ODPOWIEDZ WSZYSTKIM) Nazwa w szablonach usług AD RMS: Odpowiedz wszystkim Stała lub wartość interfejsu API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" Zestaw MIP SDK: REPLYALL |
Nazwa pospolita: Widok, Otwórz, Odczyt Kodowanie w zasadach: WYŚWIETL |
Umożliwia użytkownikowi otwarcie dokumentu i wyświetlenie zawartości. W programie Excel to prawo nie wystarczy do sortowania danych, co wymaga następującego prawa: Edytuj zawartość, Edytuj. Aby filtrować dane w programie Excel, potrzebne są następujące dwa prawa: Edytuj zawartość, Edytuj i Kopiuj. |
Prawa niestandardowe pakietu Office: jako opcję Odczyt zasad niestandardowych wyświetl. Nazwa w klasycznym portalu Azure: Wyświetl Nazwa w witrynie portal zgodności Microsoft Purview i witrynie Azure Portal: Wyświetl, Otwórz, Odczyt (VIEW) Nazwa w szablonach usług AD RMS: odczyt Stała lub wartość interfejsu API: MSIPC: IPC_GENERIC_READ L"VIEW" Zestaw MIP SDK: VIEW |
Nazwa pospolita: Kopiuj Kodowanie w zasadach: EXTRACT |
Umożliwia kopiowanie danych (w tym przechwytywania ekranu) z dokumentu do tego samego lub innego dokumentu. W niektórych aplikacjach umożliwia również zapisanie całego dokumentu w niechronionym formularzu. W Skype dla firm i podobnych aplikacjach do udostępniania ekranu prezenter musi mieć to prawo do pomyślnego przedstawienia chronionego dokumentu. Jeśli prezenter nie ma tego prawa, uczestnicy nie mogą wyświetlić dokumentu i są one wyświetlane jako zaciemnione dla nich. |
Prawa niestandardowe pakietu Office: jako opcja Zezwalaj użytkownikom z dostępem do odczytu w celu kopiowania zasad niestandardowych zawartości . Nazwa w klasycznym portalu Azure: Kopiowanie i wyodrębnianie zawartości Nazwa w witrynie portal zgodności Microsoft Purview i witrynie Azure Portal: Kopiowanie (WYODRĘBNIANIE) Nazwa w szablonach usług AD RMS: wyodrębnianie Stała lub wartość interfejsu API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" Zestaw MIP SDK: EXTRACT |
Nazwa pospolita: Wyświetl prawa Kodowanie w zasadach: VIEWRIGHTSDATA |
Umożliwia użytkownikowi wyświetlenie zasad zastosowanych do dokumentu. Nieobsługiwane przez aplikacja pakietu Office lub klientów usługi Azure Information Protection. |
Prawa niestandardowe pakietu Office: nie zaimplementowano. Nazwa w klasycznym portalu Azure: Wyświetl przypisane prawa Nazwa w portal zgodności Microsoft Purview i witrynie Azure Portal: Wyświetl prawa (VIEWRIGHTSDATA). Nazwa w szablonach usług AD RMS: Wyświetlanie praw Stała lub wartość interfejsu API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" Zestaw MIP SDK: VIEWRIGHTSDATA |
Nazwa pospolita: Zmienianie praw Kodowanie w zasadach: EDITRIGHTSDATA |
Umożliwia użytkownikowi zmianę zasad zastosowanych do dokumentu. Obejmuje to usuwanie ochrony. Nieobsługiwane przez aplikacja pakietu Office lub klientów usługi Azure Information Protection. |
Prawa niestandardowe pakietu Office: nie zaimplementowano. Nazwa w klasycznym portalu Azure: Zmienianie praw Nazwa w portal zgodności Microsoft Purview i witrynie Azure Portal: Edit Rights (EDITRIGHTSDATA). Nazwa w szablonach usług AD RMS: Edytowanie praw Stała lub wartość interfejsu API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" Zestaw MIP SDK: EDITRIGHTSDATA |
Nazwa pospolita: Zezwalaj na makra Kodowanie w zasadach: OBJMODEL |
Umożliwia uruchamianie makr lub wykonywanie innego programowego lub zdalnego dostępu do zawartości w dokumencie. | Prawa niestandardowe pakietu Office: jako opcję Zasad niestandardowych Zezwalaj na dostęp programowy. Nie jest to ustawienie dla poszczególnych adresatów. Nazwa w klasycznym portalu Azure: Zezwalaj na makra Nazwa w portal zgodności Microsoft Purview i witrynie Azure Portal: Zezwalaj na makra (OBJMODEL) Nazwa w szablonach usług AD RMS: Zezwalaj na makra Stała lub wartość interfejsu API: MSIPC: nie zaimplementowano. Zestaw MIP SDK: OBJMODEL |
Prawa uwzględnione w poziomach uprawnień
Niektóre aplikacje grupują prawa użytkowania razem w poziomy uprawnień, aby ułatwić wybieranie praw użytkowania, które są zwykle używane razem. Te poziomy uprawnień ułatwiają abstrakcję poziomu złożoności od użytkowników, dzięki czemu mogą wybrać opcje oparte na rolach. Na przykład Recenzent i Współautor. Chociaż te opcje często pokazują użytkownikom podsumowanie praw, mogą nie zawierać wszystkich praw wymienionych w poprzedniej tabeli.
Poniższa tabela zawiera listę tych poziomów uprawnień oraz pełną listę praw użytkowania, które zawierają. Prawa użytkowania są wymienione według ich nazwy pospolitej.
Poziom uprawnień | Aplikacje | Uwzględnione prawa użytkowania |
---|---|---|
Osoba przeglądająca | Klasyczny portal Azure Azure Portal Klient usługi Azure Information Protection dla systemu Windows |
Wyświetl, Otwórz, Odczyt; Wyświetl prawa; Odpowiedz [1]; Odpowiedz wszystkim [1]; Zezwalaj na makra [2] Uwaga: w przypadku wiadomości e-mail użyj wartości Recenzent, a nie tego poziomu uprawnień, aby upewnić się, że odpowiedź e-mail jest odbierana jako wiadomość e-mail, a nie załącznik. Recenzent jest również wymagany podczas wysyłania wiadomości e-mail do innej organizacji korzystającej z klienta programu Outlook lub aplikacji Outlook Web App. Lub dla użytkowników w organizacji, którzy są wyklucz z korzystania z usługi Azure Rights Management, ponieważ zaimplementowano mechanizmy kontroli dołączania. |
Recenzent | Klasyczny portal Azure Azure Portal Klient usługi Azure Information Protection dla systemu Windows |
Wyświetl, Otwórz, Odczyt; Zapisać; Edytowanie zawartości, edytowanie; Wyświetl prawa; Odpowiedz: Odpowiedz wszystkim [3]; Do przodu [3]; Zezwalaj na makra [2] |
Współautor | Klasyczny portal Azure Azure Portal Klient usługi Azure Information Protection dla systemu Windows |
Wyświetl, Otwórz, Odczyt; Zapisać; Edytowanie zawartości, edytowanie; Kopiować; Wyświetl prawa; Zezwalaj na makra; Zapisz jako, Eksportuj [4]; Drukować; Odpowiedz [3]; Odpowiedz wszystkim [3]; Do przodu [3] |
Współwłaściciel | Klasyczny portal Azure Azure Portal Klient usługi Azure Information Protection dla systemu Windows |
Wyświetl, Otwórz, Odczyt; Zapisać; Edytowanie zawartości, edytowanie; Kopiować; Wyświetl prawa; Zmień prawa; Zezwalaj na makra; Zapisz jako, eksportuj; Drukować; Odpowiedz [3]; Odpowiedz wszystkim [3]; Do przodu [3]; Pełna kontrola |
Przypis 1
Nieuwzględniane w portal zgodności Microsoft Purview ani w witrynie Azure Portal.
Przypis 2
W przypadku klienta usługi Azure Information Protection dla systemu Windows to prawo jest wymagane dla paska usługi Information Protection w aplikacja pakietu Office.
Przypis 3
Nie dotyczy klienta usługi Azure Information Protection dla systemu Windows.
Przypis 4
Nieuwzględniane w portal zgodności Microsoft Purview, witrynie Azure Portal lub kliencie usługi Azure Information Protection dla systemu Windows.
Opcja Nie przekazuj wiadomości e-mail
Klienci i usługi programu Exchange (na przykład klient programu Outlook, Outlook w sieci Web, reguły przepływu poczty programu Exchange i akcje DLP dla programu Exchange) mają dodatkową opcję ochrony praw do informacji dla wiadomości e-mail: Nie przesyłaj dalej.
Chociaż ta opcja jest widoczna dla użytkowników (i administratorów programu Exchange), tak jakby był to domyślny szablon usługi Rights Management, który może wybrać, Nie przesyłaj dalej nie jest szablonem. Wyjaśnia to, dlaczego nie można go zobaczyć w witrynie Azure Portal podczas wyświetlania szablonów ochrony i zarządzania nimi. Zamiast tego opcja Nie przekazuj jest zestawem praw użytkowania, które są dynamicznie stosowane przez użytkowników do ich adresatów poczty e-mail.
Po zastosowaniu opcji Nie przekazuj do wiadomości e-mail wiadomość e-mail jest szyfrowana, a adresaci muszą być uwierzytelniani. Następnie adresaci nie mogą przekazać go dalej, wydrukować ani skopiować z niego. Na przykład w kliencie programu Outlook przycisk Prześlij dalej jest niedostępny, opcje menu Zapisz jako i Drukuj nie są dostępne i nie można dodawać ani zmieniać adresatów w polach Do, DW lub UDW.
Niechronione dokumenty pakietu Office dołączone do wiadomości e-mail automatycznie dziedziczą te same ograniczenia. Prawa użytkowania stosowane do tych dokumentów to Edytuj zawartość, Edytuj; Zapisz; Wyświetlanie, otwieranie, odczytywanie i zezwalanie na makra. Jeśli chcesz uzyskać różne prawa użytkowania dla załącznika lub załącznik nie jest dokumentem pakietu Office obsługującym tę ochronę dziedziczona, przed dołączeniem go do wiadomości e-mail należy chronić. Następnie możesz przypisać określone prawa użytkowania potrzebne do pliku.
Różnica między nie przesyłaj dalej i nie udzielając prawa użytkowania Do przodu
Istnieje ważne rozróżnienie między zastosowaniem opcji Nie przesyłaj dalej i zastosowaniem szablonu, który nie udziela prawa użytkowania do wiadomości e-mail: Opcja Nie przesyłaj dalej używa dynamicznej listy autoryzowanych użytkowników opartych na wybranych przez użytkownika adresatach oryginalnej wiadomości e-mail; natomiast prawa w szablonie mają statyczną listę autoryzowanych użytkowników, których wcześniej określono. Jaka jest różnica? Przyjrzyjmy się przykładowi:
Użytkownik chce wysłać kilka informacji do określonych osób w dziale marketingu, które nie powinny być udostępniane nikomu innemu. Czy powinna chronić wiadomość e-mail przy użyciu szablonu, który ogranicza prawa (wyświetlanie, odpowiadanie i zapisywanie) do działu marketingu? Czy też powinna wybrać opcję Nie przekazuj ? Obie opcje spowodują, że adresaci nie będą mogli przekazać dalej wiadomości e-mail.
Jeśli zastosowała szablon, adresaci nadal mogą udostępniać informacje innym osobom w dziale marketingu. Na przykład odbiorca może użyć Eksploratora do przeciągania i upuszczania wiadomości e-mail do udostępnionej lokalizacji lub dysku USB. Teraz każda osoba z działu marketingu (i właściciel poczty e-mail), która ma dostęp do tej lokalizacji, może wyświetlić informacje w wiadomości e-mail.
Jeśli zastosowała opcję Nie przesyłaj dalej , adresaci nie będą mogli udostępniać informacji innym osobom w dziale marketingu, przenosząc wiadomość e-mail do innej lokalizacji. W tym scenariuszu tylko oryginalni adresaci (i właściciel poczty e-mail) będą mogli wyświetlać informacje w wiadomości e-mail.
Uwaga
Użyj opcji Nie przekazuj , jeśli ważne jest, aby tylko adresaci wybrani przez nadawcę widzieli informacje w wiadomości e-mail. Użyj szablonu wiadomości e-mail, aby ograniczyć prawa do grupy osób, które administrator określa z wyprzedzeniem, niezależnie od wybranych adresatów nadawcy.
Opcja tylko do szyfrowania wiadomości e-mail
Gdy usługa Exchange Online używa nowych funkcji szyfrowania wiadomości w usłudze Office 365, nowa opcja Szyfruj pocztę e-mail staje się dostępna do szyfrowania danych bez dodatkowych ograniczeń.
Ta opcja jest dostępna dla dzierżawców korzystających z usługi Exchange Online i można wybrać w następujący sposób:
- W Outlook w sieci Web z opcją Szyfruj lub etykietą poufności skonfigurowaną dla opcji Zezwalaj użytkownikom na przypisywanie uprawnień i opcję Tylko szyfrowanie
- Jako kolejna opcja ochrony praw dla reguły przepływu poczty
- Akcja DLP usługi Office 365
- Z poziomu aplikacji Outlook dla komputerów stacjonarnych i urządzeń przenośnych:
- Etykieta poufności skonfigurowana dla opcji Zezwalaj użytkownikom na przypisywanie uprawnień i opcja Tylko szyfrowanie dla systemów Windows, macOS, iOS i Android w przypadku używania wbudowanych etykiet z minimalnymi wersjami wymienionymi w tabeli na potrzeby funkcji etykiet poufności w programie Outlook.
- W przypadku opcji Szyfruj w systemach Windows i macOS dla wersji wymienionych w tabeli obsługiwanych wersji dla Aplikacje Microsoft 365 według kanału aktualizacji.
Aby uzyskać więcej informacji na temat opcji tylko do szyfrowania, zobacz następujący wpis w blogu po raz pierwszy ogłoszony przez zespół pakietu Office: Szyfrowanie jest wdrażane tylko w usłudze Office 365 Message Encryption.
Po wybraniu tej opcji wiadomość e-mail jest zaszyfrowana, a adresaci muszą zostać uwierzytelnieni. Następnie adresaci mają wszystkie prawa użytkowania, z wyjątkiem Zapisz jako, Eksportuj i Pełna kontrola. Ta kombinacja praw użytkowania oznacza, że odbiorcy nie mają żadnych ograniczeń, z wyjątkiem tego, że nie mogą usunąć ochrony. Na przykład adresat może skopiować wiadomość e-mail, wydrukować ją i przekazać dalej.
Podobnie domyślnie niechronione dokumenty pakietu Office dołączone do wiadomości e-mail dziedziczą te same uprawnienia. Te dokumenty są automatycznie chronione i po ich pobraniu można je zapisywać, edytować, kopiować i drukować z aplikacja pakietu Office licacji przez adresatów. Po zapisaniu dokumentu przez adresata można go zapisać w nowej nazwie, a nawet w innym formacie. Jednak dostępne są tylko formaty plików, które obsługują ochronę, aby nie można było zapisać dokumentu bez oryginalnej ochrony. Jeśli chcesz uzyskać różne prawa użytkowania dla załącznika lub załącznik nie jest dokumentem pakietu Office obsługującym tę ochronę dziedziczona, przed dołączeniem go do wiadomości e-mail należy chronić. Następnie możesz przypisać określone prawa użytkowania potrzebne do pliku.
Alternatywnie można zmienić dziedziczenie tej ochrony dokumentów, określając przy użyciu Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
programu Exchange Online PowerShell. Użyj tej konfiguracji, jeśli nie musisz zachować oryginalnej ochrony dokumentu po uwierzytelnieniu użytkownika. Gdy adresaci otwierają wiadomość e-mail, dokument nie jest chroniony.
Jeśli potrzebujesz dołączonego dokumentu, aby zachować oryginalną ochronę, zobacz Zabezpieczanie współpracy dokumentów przy użyciu usługi Azure Information Protection.
Uwaga
Jeśli widzisz odwołania do elementu DecryptAttachmentFromPortal, ten parametr jest teraz przestarzały dla polecenia Set-IRMConfiguration. Jeśli ten parametr nie został wcześniej ustawiony, nie jest dostępny.
Automatyczne szyfrowanie dokumentów PDF za pomocą usługi Exchange Online
Gdy usługa Exchange Online korzysta z nowych funkcji szyfrowania wiadomości w usłudze Office 365, możesz automatycznie szyfrować niechronione dokumenty PDF po dołączeniu ich do zaszyfrowanej wiadomości e-mail. Dokument dziedziczy te same uprawnienia co te dla wiadomości e-mail. Aby włączyć tę konfigurację, ustaw $True EnablePdfEncryption za pomocą polecenia Set-IRMConfiguration.
Adresaci, którzy nie mają jeszcze zainstalowanego czytnika obsługującego standard ISO szyfrowania PDF, mogą zainstalować jednego z czytelników wymienionych w czytnikach plików PDF obsługujących usługę Microsoft Purview Information Protection. Alternatywnie adresaci mogą odczytać chroniony dokument PDF w portalu OME.
Wystawca usługi Rights Management i właściciel usługi Rights Management
Gdy dokument lub wiadomość e-mail jest chroniona przy użyciu usługi Azure Rights Management, konto, które chroni zawartość automatycznie staje się wystawcą usługi Rights Management dla tej zawartości. To konto jest rejestrowane jako pole wystawcy w dziennikach użycia.
Wystawca usługi Rights Management zawsze otrzymuje prawo użytkowania pełnej kontroli dla dokumentu lub wiadomości e-mail, a ponadto:
Jeśli ustawienia ochrony obejmują datę wygaśnięcia, wystawca usługi Rights Management może nadal otwierać i edytować dokument lub wiadomość e-mail po tej dacie.
Wystawca usługi Rights Management zawsze może uzyskać dostęp do dokumentu lub wiadomości e-mail w trybie offline.
Wystawca usługi Rights Management może nadal otwierać dokument po jego odwołaniu.
Domyślnie to konto jest również właścicielem usługi Rights Management dla tej zawartości, czyli wtedy, gdy użytkownik, który utworzył dokument lub wiadomość e-mail, inicjuje ochronę. Istnieją jednak pewne scenariusze, w których administrator lub usługa może chronić zawartość w imieniu użytkowników. Na przykład:
Administrator chroni zbiorczo pliki w udziale plików: konto administratora w usłudze Microsoft Entra ID chroni dokumenty dla użytkowników.
Łącznik usługi Rights Management chroni dokumenty pakietu Office w folderze systemu Windows Server: konto jednostki usługi w usłudze Microsoft Entra ID utworzone dla łącznika usługi RMS chroni dokumenty dla użytkowników.
W tych scenariuszach wystawca usługi Rights Management może przypisać właściciela usługi Rights Management do innego konta przy użyciu zestawów SDK usługi Azure Information Protection lub programu PowerShell. Na przykład w przypadku używania polecenia cmdlet Protect-RMSFile programu PowerShell z klientem usługi Azure Information Protection można określić parametr OwnerEmail , aby przypisać właściciela usługi Rights Management do innego konta.
Gdy wystawca usługi Rights Management chroni w imieniu użytkowników, przypisanie właściciela usługi Rights Management gwarantuje, że oryginalny dokument lub właściciel poczty e-mail ma taki sam poziom kontroli nad chronioną zawartością, jakby sam zainicjował ochronę.
Na przykład użytkownik, który utworzył dokument, może go wydrukować, mimo że jest on teraz chroniony za pomocą szablonu, który nie zawiera prawa do drukowania. Ten sam użytkownik może zawsze uzyskiwać dostęp do dokumentu, niezależnie od ustawienia dostępu w trybie offline lub daty wygaśnięcia, które mogły zostać skonfigurowane w tym szablonie. Ponadto, ponieważ właściciel usługi Rights Management ma prawo użytkowania Pełna kontrola, ten użytkownik może również ponownie włączyć ochronę dokumentu w celu udzielenia dodatkowego dostępu użytkownikom (w tym momencie użytkownik staje się wystawcą usługi Rights Management, a także właścicielem usługi Rights Management), a ten użytkownik może nawet usunąć ochronę. Jednak tylko wystawca usługi Rights Management może śledzić i odwoływać dokument.
Właściciel usługi Rights Management dla dokumentu lub wiadomości e-mail jest rejestrowany jako pole adres e-mail właściciela w dziennikach użycia.
Uwaga
Właściciel usługi Rights Management jest niezależny od właściciela systemu plików systemu Windows. Są one często takie same, ale mogą być różne, nawet jeśli nie używasz zestawów SDK ani programu PowerShell.
Licencja na użytkowanie usługi Rights Management
Gdy użytkownik otworzy dokument lub wiadomość e-mail chronioną przez usługę Azure Rights Management, licencja użytkowania usługi Rights Management dla tej zawartości zostanie udzielona użytkownikowi. Ta licencja użycia to certyfikat zawierający prawa użytkowania użytkownika do dokumentu lub wiadomości e-mail oraz klucz szyfrowania, który został użyty do zaszyfrowania zawartości. Licencja użytkowania zawiera również datę wygaśnięcia, jeśli została ustawiona, oraz czas ważności licencji użytkowania.
Użytkownik musi mieć ważną licencję użytkowania, aby otworzyć zawartość oprócz certyfikatu konta praw (RAC), który jest certyfikatem przyznanym podczas inicjowania środowiska użytkownika, a następnie odnawiany co 31 dni.
Na czas trwania licencji użytkowania użytkownik nie jest ponownie uwierzytelniany ani ponownie uwierzytelniany dla zawartości. Dzięki temu użytkownik może nadal otwierać chroniony dokument lub wiadomość e-mail bez połączenia internetowego. Po wygaśnięciu okresu ważności licencji użytkowania następnym razem, gdy użytkownik uzyskuje dostęp do chronionego dokumentu lub wiadomości e-mail, użytkownik musi zostać ponownie uwierzytelniony i ponownie uwierzytelniony.
Gdy dokumenty i wiadomości e-mail są chronione za pomocą etykiety lub szablonu definiującego ustawienia ochrony, możesz zmienić te ustawienia w etykiecie lub szablonie bez konieczności ponownego włączania ochrony zawartości. Jeśli użytkownik uzyskał już dostęp do zawartości, zmiany zostaną wprowadzone po wygaśnięciu licencji użytkowania. Jednak gdy użytkownicy stosują uprawnienia niestandardowe (znane również jako zasady praw ad hoc) i te uprawnienia muszą ulec zmianie po ochronie dokumentu lub wiadomości e-mail, zawartość musi być ponownie chroniona przy użyciu nowych uprawnień. Uprawnienia niestandardowe wiadomości e-mail są implementowane z opcją Nie przekazuj.
Domyślny okres ważności licencji dla dzierżawy wynosi 30 dni i można skonfigurować tę wartość przy użyciu polecenia cmdlet programu PowerShell Set-AipServiceMaxUseLicenseValidityTime. W przypadku zastosowania ochrony można skonfigurować bardziej restrykcyjne ustawienie, używając etykiety poufności skonfigurowanej do przypisywania uprawnień teraz lub szablonu:
Podczas konfigurowania etykiety poufności okres ważności licencji użycia pobiera jego wartość z ustawienia Zezwalaj na dostęp w trybie offline.
Aby uzyskać więcej informacji i wskazówek dotyczących konfigurowania tego ustawienia dla etykiety poufności, zobacz tabelę zaleceń z instrukcji dotyczących konfigurowania uprawnień dla etykiety poufności.
Podczas konfigurowania szablonu przy użyciu programu PowerShell okres ważności licencji użyje jego wartości z parametru LicenseValidityDuration w poleceniach cmdlet Set-AipServiceTemplateProperty i Add-AipServiceTemplate .
Aby uzyskać więcej informacji i wskazówek dotyczących konfigurowania tego ustawienia przy użyciu programu PowerShell, zobacz pomoc dotyczącą każdego polecenia cmdlet.