Настройка прав потребления для Azure Information Protection
В этой статье описаны права на использование, которые можно настроить для автоматического применения при выборе метки или шаблона пользователями, администраторами или настроенными службами.
Права на использование выбираются при настройке меток конфиденциальности или шаблонов защиты для шифрования. Например, можно выбрать роли, которые настраивают логическую группу прав на использование или настраивать отдельные права отдельно. Кроме того, пользователи могут выбирать и применять сами права на использование.
Для полноты информации эта статья содержит значения с классического портала Azure, использование которого было прекращено 8 января 2018 г.
Внимание
Используйте эту статью, чтобы понять, как права на использование предназначены для интерпретации приложениями.
Приложения могут отличаться в том, как они реализуют права на использование, и мы рекомендуем консультироваться с документацией вашего приложения и выполнять собственное тестирование, чтобы проверить поведение приложения перед развертыванием в рабочей среде.
Права на использование и их описание
В следующей таблице перечислены и описаны права на использование, которые поддерживаются Rights Management, порядок их использования и интерпретации. Они перечислены под их общими именами, которым обычно отображаются или ссылаются на права использования, как более удобная версия однословного значения, используемого в коде (значение Кодирование в политике).
В этой таблице:
Константа или значение API является именем SDK для вызова API MSIPC или SDK Microsoft Purview Information Protection, используемого при написании приложения, которое проверяет право на использование или добавляет право использования в политику.
Центр администрирования меток — это Портал соответствия требованиям Microsoft Purview, где вы настраиваете метки конфиденциальности.
| Право на использование | Описание | Внедрение |
|---|---|---|
| Простое имя: Редактировать содержимое, Редактировать Кодирование в политике: DOCEDIT |
Позволяет пользователю изменять, переупорядочение, форматирование или сортировку содержимого внутри приложения, которое включает Office в Интернете. Не предоставляет право на сохранение измененной копии. В Word, если у вас нет Office 365 Профессиональный плюс с минимальной версией 1807, то этого права недостаточно для включения или отключения отслеживания изменений, а также для использования всех функций отслеживания изменений в качестве рецензента. Вместо этого для использования всех параметров отслеживания изменений требуется следующее право: полный доступ. |
Настраиваемые права Office: в составе параметров Изменение и Полный доступ. Имя на классическом портале Azure: Изменить содержимое Название в портале соответствия Microsoft Purview и портале Azure: Изменение содержимого, Изменение (DOCEDIT) Имя в шаблонах AD RMS: Изменение Константа или значение API: MSIPC: неприменимо. Пакет SDK MIP: DOCEDIT |
| Общее название: Сохранение Кодирование в политике: EDIT |
Позволяет пользователю сохранять документ в текущем расположении. В Office в Интернете он также позволяет пользователю изменять содержимое. В приложениях Office это право позволяет пользователю сохранять содержимое файла в новом расположении и с новым именем, если выбранный формат файла имеет встроенную поддержку Rights Management. Список доступных форматов файлов ограничен теми, которые поддерживают Управление правами. Это ограничение гарантирует, что исходная защита не может быть удалена из файла. |
Настраиваемые права Office: в составе параметров Изменение и Полный доступ. Имя на классическом портале Azure: Сохранить файл Имя в портале соответствия Microsoft Purview и Портале Azure: Сохранить (Изменить) Имя в шаблонах AD RMS: Сохранить Константа или значение API: MSIPC: IPC_GENERIC_WRITE L"EDIT" Пакет SDK MIP: EDIT |
| Распространенное имя: Комментирование Кодирование в политике: COMMENT |
Включает возможность добавлять примечания или комментарии к содержимому. Это право доступно в пакете SDK, а также как произвольная политика в модуле защиты AzureInformationProtection и RMS для Windows PowerShell и реализовано в некоторых приложениях поставщиков программного обеспечения. Однако он не используется широко и не поддерживается приложениями Office. |
Настраиваемые права Office: не реализовано. Имя на классическом портале Azure: не реализовано. Имя в портале соответствия требованиям Microsoft Purview и портале Azure: не реализовано. Имя в шаблонах AD RMS: не реализовано. Константа или значение API: MSIPC: IPC_GENERIC_COMMENT L"COMMENT Пакет SDK MIP: COMMENT |
| Общее название: Сохранить как, экспорт Кодирование в политике: EXPORT |
Включает параметр для сохранения содержимого под другим именем файла ("Сохранить как"). Для клиента Azure Information Protection файл можно сохранить без защиты, а также повторно защитить с помощью новых параметров и разрешений. Эти разрешенные действия означают, что пользователь, имеющий это право, может изменить или удалить метку Azure Information Protection из защищенного документа или электронной почты. Это право позволяет пользователю выполнять другие варианты экспорта в приложениях, например Отправить в OneNote. |
Пользовательские права Office: в рамках опции "Полный контроль". Имя на классическом портале Azure: Экспорт содержимого (Сохранить как) Имя в портале соответствия требованиям Microsoft Purview и портале Azure: Сохранить как, Экспорт (EXPORT) Имя в шаблонах AD RMS: Экспорт (Сохранить как) Константа или значение API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" Пакет SDK MIP: EXPORT |
| Распространенное имя: Переслать Кодирование в политике: FORWARD |
Предоставляет возможность пересылать электронные сообщения и добавлять получателей в строки Кому и Копия. Данное право не применяется к документам — только к сообщениям электронной почты. Не позволяет пересылающему пользователю предоставлять права другим пользователям в рамках действия пересылки. При предоставлении этого права также предоставьте право редактирования содержимого, редактирование (общее название), и дополнительно предоставьте сохранение (общее название), чтобы убедиться, что защищенное сообщение электронной почты не доставляется в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, использующую клиент Outlook или веб-приложение Outlook. Кроме того, для пользователей в организации, которые не используют защиту Rights Management, так как вы реализовали элементы управления подключением. |
Настраиваемые права Office: запрещено при использовании стандартной политики Не пересылать. Имя на классическом портале Azure: Переадресовать Имя в портале соответствия требованиям Microsoft Purview и Azure портале: Forward (пересылка) Имя в шаблонах AD RMS: Переслать Константа или значение API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" Пакет SDK MIP: FORWARD |
| Распространенное имя: Полный доступ Кодирование в политике: OWNER |
Предоставляются все права на документ, и все доступные действия могут быть выполнены. Включает в себя возможность удалить и восстановить защиту для документа. Обратите внимание, что это право использования отличается от прав Владельца Управления правами. |
Настраиваемые права Office: в составе настраиваемого параметра Полный доступ. Имя на классическом портале Azure: Полный доступ Имя в портал соблюдения требований Microsoft Purview и Портал Azure: полный контроль (ВЛАДЕЛЕЦ) Имя в шаблонах AD RMS: Полный доступ Константа или значение API: MSIPC: IPC_GENERIC_ALL L"OWNER" Пакет SDK MIP: OWNER |
| Общее название: Печать Кодирование в политике: PRINT |
Включает параметры для печати содержимого. | Настраиваемые права Office: в виде параметра Печать содержимого в пользовательских разрешениях. Это не персональная настройка для каждого получателя. Имя на классическом портале Azure: Печать Имя в портале соответствия требованиям Microsoft Purview и портале Azure: печать (ПЕЧАТЬ) Имя в шаблонах AD RMS: Печать Константа или значение API: MSIPC: IPC_GENERIC_PRINT L"PRINT" Пакет SDK MIP: PRINT |
| Распространенное имя: Ответ Кодирование в политике: REPLY |
Включает параметр Ответить в почтовом клиенте, не позволяя изменять строку Кому или Копия. При предоставлении этого права, также предоставьте право на редактирование содержимого (общее имя) и право на сохранение (общее имя), чтобы удостовериться, что защищенное сообщение электронной почты не доставляется в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, использующую клиент Outlook или веб-приложение Outlook. Или для пользователей в вашей организации, которые освобождены от использования защиты Rights Management, потому что вы реализовали меры контроля при интеграции. |
Настраиваемые права Office: не доступны. Имя на классическом портале Azure: Ответ Имя на классическом портале Azure: Ответ (REPLY) Имя в шаблонах AD RMS: Ответ Константа или значение API: MSIPC: IPC_EMAIL_REPLY Пакет SDK MIP: REPLY |
| Обычное название: Ответить всем Кодирование в политике: REPLYALL |
Включает параметр Ответить всем в почтовом клиенте, но не позволяет пользователю добавлять получателей в строки Кому или Копия. При предоставлении этого права также предоставьте право на редактирование контента, редактирование (общее имя), а дополнительно предоставьте право на сохранение (общее имя), чтобы убедиться, что защищенное сообщение электронной почты не доставляется в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, использующую клиент Outlook или веб-приложение Outlook. Кроме того, для пользователей в организации, которые не используют защиту Rights Management, так как вы реализовали элементы управления подключением. |
Настраиваемые права для Office: не используется. Имя на классическом портале Azure: Ответить всем Имя в портале соответствия требованиям Microsoft Purview и портале Azure: ответить всем (ОТВЕТИТЬ ВСЕМ) Имя в шаблонах AD RMS: Ответ всем Константа или значение API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" Пакет SDK MIP: REPLYALL |
| Обычное название: Просмотр, Открыть, Читать Кодирование в политике: VIEW |
Позволяет пользователю открыть документ и просмотреть содержимое. В Excel это право недостаточно для сортировки данных, для чего требуется следующее право: Изменение, Изменение содержимого. Чтобы отфильтровать данные в Excel, вам потребуется следующие два права: изменение содержимого, редактирование и копирование. |
Настраиваемые права доступа Office: как и пользовательская политика Чтение, опция Просмотр. Имя на классическом портале Azure: Просмотр Имя в портале соответствия требованиям Microsoft Purview и портале Azure: Вид, Открытие, Чтение (VIEW) Имя в шаблонах AD RMS: Чтение Константа или значение API: MSIPC: IPC_GENERIC_READ L"VIEW" Пакет SDK MIP: VIEW |
| Общее название: Копия Кодирование в политике: EXTRACT |
Включает возможность для копирования данных (в том числе снимков экрана) из документа в тот же или другой документ. В некоторых приложениях также позволяет сохранить весь документ в незащищенном виде. В Skype для бизнеса и аналогичных приложениях для общего доступа к экранам выступающий должен иметь это право успешно представить защищенный документ. Если выступающий не имеет этого права, участники не могут просматривать документ, и для них он отображается как затемненный. |
Настраиваемые права Office: как параметр пользовательской политики Разрешить пользователям с правом на чтение копировать содержимое. Имя в классическом портале Azure: Копирование и извлечение содержимого Имя в портале обеспечения соответствия Microsoft Purview и портале Azure: копирование (ИЗВЛЕЧЕНИЕ) Имя в шаблонах AD RMS: Извлечение Константа или значение API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" Пакет SDK MIP: EXTRACT |
| Общепринятое название: Права на просмотр Кодирование в политике: VIEWRIGHTSDATA |
Позволяет пользователю просматривать политику, примененную к документу. Не поддерживается приложениями Office и клиентами Azure Information Protection. |
Настраиваемые права Office: не реализовано. Имя на классическом портале Azure: Просмотреть назначенные права Имя в портале соответствия требованиям Microsoft Purview и портале Azure: Просмотр прав (VIEWRIGHTSDATA). Имя в шаблонах AD RMS: Просмотр прав Константа или значение API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" Пакет SDK MIP: VIEWRIGHTSDATA |
| Общее имя: Изменение прав Кодирование в политике: EDITRIGHTSDATA |
Позволяет пользователю изменить политику, примененную к документу. Включает в том числе удаление защиты. Не поддерживается приложениями Office или клиентами Azure Information Protection. |
Настраиваемые права Office: не реализовано. Имя на классическом портале Azure: Изменить права Имя в портале соответствия требованиям Microsoft Purview и портале Azure: Права редактирования (EDITRIGHTSDATA). Имя в шаблонах AD RMS: Изменение прав Константа или значение API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" Пакет SDK MIP: EDITRIGHTSDATA |
| Общее название: Разрешить макросы Кодирование в политике: OBJMODEL |
Включает параметр для выполнения макросов или осуществления другого программного или удаленного доступа к содержимому в документе. | Настраиваемые права Office: в виде параметра пользовательской политики Разрешить программный доступ. Не отдельный параметр для каждого получателя. Имя на классическом портале Azure: Разрешить макросы Имя в Портал соответствия требованиям Microsoft Purview и Портал Azure: Разрешить макросы (OBJMODEL) Имя в шаблонах AD RMS: Разрешить макросы Константа ИЛИ значение API: MSIPC: не реализована. Пакет SDK MIP: OBJMODEL |
Права, включенные в уровни разрешений
Некоторые приложения группируют права в уровни разрешений, чтобы облегчить выбор прав, которые обычно используются вместе. Эти уровни разрешений помогают абстрагировать уровень сложности от пользователей, чтобы они могли выбирать параметры на основе ролей. Например, Viewer и Ограниченный редактор. Хотя эти варианты часто показывают пользователям общую информацию о правах, они могут не включать все права, перечисленные в предыдущей таблице.
Список этих уровней разрешений и полный список прав на использование, которые они содержат, приведены в следующей таблице. Права на использование перечислены под их общими названиями.
| Уровень разрешений | Приложения | Включенные права на использование |
|---|---|---|
| Зритель | Классический портал Azure Портал Azure Клиент Azure Information Protection для Windows |
Просмотр, открытие, чтение; Просмотр прав; Ответ [1]; Ответить всем [1]; Разрешить макросы [2],[3] Примечание. Для сообщений электронной почты вместо этого уровня разрешений следует использовать параметр "Рецензент", чтобы получать ответ в виде сообщения электронной почты, а не вложения. Параметр "Рецензент" также требуется при отправке сообщения электронной почты в другую организацию, которая использует клиент Outlook или Outlook Web App. Оно необходимо и для пользователей вашей организации, которые освобождены от использования службы Azure Rights Management в связи с реализацией управления процессом включения в работу. |
|
Ограниченный редактор (Ранее рецензент[4]) |
Классический портал Azure Портал Azure Клиент Azure Information Protection для Windows |
Просмотр, Открыть, Читать; Сохранить; Редактировать содержимое; Просмотр разрешений; Ответить: Ответить всем [5]; Переслать [5]; Разрешить макросы [2],[3] |
|
редактор (Ранее соавтор[4]) |
Классический портал Azure Портал Azure Клиент Azure Information Protection для Windows |
Просмотр, Открытие, Чтение; Сохранить; Изменение содержимого, Редактирование; Копировать; Просмотр прав; Разрешить макросы [3]; Сохранить как, Экспорт [6]; Печатать; Ответ [5]; Ответить всем [5]; Переслать [5] |
|
владелец (Ранее совладелец[4]) |
Классический портал Azure Портал Azure Клиент Azure Information Protection для Windows |
Просмотр, Открыть, Читать; Сохранить; Редактировать; Копировать; Просмотреть права; Изменить права; Разрешить макросы; Сохранить как, Экспорт; Печать; Ответить [5]; Ответить всем [5]; Переслать [5]; Полный контроль |
Сноска 1
Не входит в Портал соответствия требованиям Microsoft Purview или портал Azure.
Сноска 2
Для клиента Azure Information Protection для Windows это право необходимо для панели защиты информации в приложениях Office.
Сноска 3
Не входит в диалоговое окно пользовательских разрешений в Word, Excel и PowerPoint для Windows (версия 2408+).
Сноска 4
Портал соответствия Требованиям Microsoft Purview и диалоговое окно пользовательских разрешений в Word, Excel и PowerPoint для Windows (версия 2411+) обновили имена уровней разрешений. рецензент теперь называется ограниченный редактор, соавтор теперь называется редактор, а совладелец теперь называется владелец. Другие приложения продолжают использовать исходные имена на уровне разрешений.
Сноска 5
Неприменимо к клиенту Azure Information Protection для Windows.
Сноска 6
Не входит в Портал соответствия требованиям Microsoft Purview, портал Azure или клиент Azure Information Protection для Windows.
Параметр "Не пересылать" для сообщений электронной почты
Клиенты и службы Exchange (например, клиент Outlook, Outlook в Интернете, правила потока обработки почты Exchange и действия защиты от потери данных для Exchange) имеют дополнительный параметр защиты прав на доступ к данным для сообщений электронной почты: Не пересылайте.
Несмотря на то что этот параметр отображается для пользователей (и администраторов Exchange) в виде доступного для выбора шаблона по умолчанию Rights Management, Не пересылать не является шаблоном. Это объясняет, почему вы не можете увидеть его в портале Azure при просмотре и управлении шаблонами защиты. Вместо этого параметр "Не пересылать" — это набор прав на использование, которые динамически применяются пользователями к получателям электронной почты.
Если параметр "Не пересылать" применяется к электронной почте, электронная почта шифруется и получатели должны проходить проверку подлинности. Затем получатели не могут перенаправить его, распечатать или скопировать из него. Например, в клиенте Outlook кнопка "Переадресация" недоступна, параметры меню "Сохранить как " и "Печать " недоступны, и вы не можете добавлять или изменять получателей в полях "Кому", "Копия" или "Копия ".
Незащищенные документы Office, присоединенные к электронной почте, автоматически наследуют те же ограничения. Права на использование, применяемые к этим документам, — изменить содержимое, изменить; Сохранить; Просмотр, открытие, чтение и разрешение макросов. Если требуется разные права использования для вложения или вложение не является документом Office, поддерживающим эту наследуемую защиту, защитите файл перед вложением в сообщение электронной почты. Затем вы можете назначить определенные права на использование, необходимые для файла.
Разница между "Не пересылать" и отказом от предоставления права на пересылку.
Существует важное различие между применением параметра "Не пересылать " и применением шаблона, который не предоставляет право на перенаправление на электронную почту: параметр "Не пересылать " использует динамический список авторизованных пользователей, основанный на выбранных получателях исходной электронной почты пользователя; в то время как права в шаблоне имеют статический список авторизованных пользователей, указанных администратором ранее. В чем различие? Рассмотрим пример.
Пользователю необходимо отправить по электронной почте конкретным сотрудникам из отдела маркетинга некоторые сведения, которые должны быть закрыты от общего доступа. Нужно ли защитить сообщение с помощью шаблона, который ограничивает права (на просмотр, ответ и сохранение) только отделом маркетинга? Или же следует выбрать параметр Не пересылать? В каждом из этих случаев получатели не смогут переслать сообщение.
Если применить шаблон, получатели по-прежнему смогут делиться информацией с другими сотрудниками отдела маркетинга. Например, получатель с помощью Explorer может перетащить сообщение в общую папку или на USB-устройство. Теперь любой сотрудник отдела маркетинга (и владелец электронной почты), имеющий доступ к этому расположению, может просматривать сведения в сообщении.
Если она применит параметр Не пересылать, получатели не смогут поделиться информацией с другими сотрудниками отдела маркетинга, переместив электронное письмо в другое место. В этом случае просматривать сообщение смогут только исходные получатели (и владелец электронной почты).
Примечание.
Параметр Не пересылать следует использовать в ситуациях, когда требуется, чтобы информация в сообщении была доступна только получателям, выбранным отправителем. Шаблон для сообщений электронной почты следует использовать для предоставления прав группе людей, заранее определенной администратором, независимо от получателей, выбранных отправителем.
Параметр "Только шифрование" для сообщений электронной почты
Когда Exchange Online использует новые возможности для шифрования сообщений Office 365, новый параметр шифрования электронной почты становится доступным для шифрования данных без дополнительных ограничений.
Этот параметр доступен для клиентов, которые используют Exchange Online и могут быть выбраны следующим образом:
- В Outlook в Интернете с параметром Encrypt или меткой чувствительности, настроенной для разрешить пользователям назначать разрешения и параметром "Только для шифрования"
- В качестве другого варианта защиты прав для правила пересылки почты
- Как действие защиты от потери данных в Office 365
-
Из приложения Outlook для настольных компьютеров и мобильных устройств:
- С меткой конфиденциальности, настроенной для разрешения пользователям назначать доступ и с параметром Только шифрование, для Windows, macOS, iOS и Android при использовании встроенной маркировки с минимальными версиями, указанными в таблице функций меток конфиденциальности в Outlook.
- С параметром "Шифрование" в Windows и macOS для версий, перечисленных в таблице поддерживаемых версий для Приложения Microsoft 365 по каналу обновления.
Дополнительные сведения о параметре «Только шифрование» см. в следующей записи блога, когда она была впервые анонсирована командой Office: «Только шифрование» в развертывании шифрования сообщений Office 365.
При выборе этого параметра электронная почта шифруется, а получатели должны пройти проверку подлинности. Затем получатели имеют все права на использование, кроме сохранения как, экспорта и полного управления. Это сочетание прав на использование означает, что получатели не имеют ограничений, за исключением того, что они не могут удалить защиту. Например, получатель может скопировать его из сообщения электронной почты, распечатать его и перенаправить его.
Аналогичным образом, по умолчанию незащищенные документы Office, присоединенные к электронной почте, наследуют те же разрешения. Эти документы автоматически защищены, и после их скачивания их можно сохранить, изменить, копировать и распечатать из приложений Office получателей. При сохранении документа получателем его можно сохранить в новом имени и даже другом формате. Однако доступны только форматы файлов, поддерживающие защиту, чтобы документ не был сохранен без исходной защиты. Если требуется разные права использования для вложения или вложение не является документом Office, поддерживающим эту наследуемую защиту, защитите файл перед вложением в сообщение электронной почты. Затем вы можете назначить определенные права на использование, необходимые для файла.
Кроме того, вы можете изменить наследование защиты документов, указав Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true с помощью Exchange Online PowerShell. Используйте эту конфигурацию, если после проверки подлинности пользователя не требуется сохранять исходную защиту документа. Когда получатели открывают сообщение электронной почты, документ не защищен.
Если вам нужен вложенный документ для сохранения исходной защиты, см . статью "Безопасная совместная работа с документами с помощью Azure Information Protection".
Примечание.
Если вы видите ссылки на DecryptAttachmentFromPortal, этот параметр теперь не рекомендуется использовать для Set-IRMConfiguration. Если этот параметр не задан ранее, он недоступен.
Автоматическое шифрование PDF-документов с помощью Exchange Online
Если Exchange Online использует новые возможности шифрования сообщений Office 365, вы можете автоматически шифровать незащищенные PDF-документы при присоединении к зашифрованному сообщению электронной почты. Документ наследует те же разрешения, что и для сообщения электронной почты. Чтобы включить эту конфигурацию, используйте команду Set-IRMConfiguration с параметром EnablePdfEncryption $True.
Получатели, у которых еще нет средства чтения, поддерживающие стандарт ISO для шифрования PDF, могут установить один из читателей, перечисленных в средствах чтения PDF, поддерживающих Защита информации Microsoft Purview. Кроме того, получатели могут читать защищенный PDF-документ на портале OME.
Издатель Rights Management и владелец Rights Management
Если документ или сообщение электронной почты защищены с помощью службы Azure Rights Management, учетная запись, которая защищает содержимое, автоматически становится издателем Rights Management для этого содержимого. Эта учетная запись фиксируется как инициатор в журналах использования.
Издателю Rights Management всегда предоставляется право полного контроля над использованием документов или сообщений электронной почты. Кроме того, издатель имеет следующие права.
Если в параметрах защиты указана дата окончания срока действия, издатель Rights Management по-прежнему может открывать и редактировать документы или сообщения после этой даты.
Издатель Rights Management всегда может обращаться к документам или сообщениям электронной почты в автономном режиме.
Выдаватель Rights Management по-прежнему может открывать документ после его аннулирования.
По умолчанию эта учетная запись также является владельцем управления правами этого содержимого, что происходит, когда пользователь, создавший документ или электронное письмо, инициирует защиту. Но существуют сценарии, когда администратор или служба могут защищать содержимое от имени пользователей. Например:
Администратор массово защищает файлы в общей папке: учетная запись администратора в идентификаторе Microsoft Entra защищает документы для пользователей.
Соединитель Rights Management защищает документы Office в папке Windows Server: учетная запись служебного принципала в Microsoft Entra ID, созданная для соединителя RMS, защищает документы для пользователей.
В этих сценариях издатель Rights Management может назначить владельца Rights Management другой учетной записи с помощью PowerShell или пакетов SDK для Azure Information Protection. Например, при использовании командлета PowerShell Protect-RMSFile с клиентом Azure Information Protection можно указать параметр OwnerEmail, чтобы назначить владельца управления правами другой пользовательской учетной записи.
Если издатель Rights Management обеспечивает защиту от имени пользователей, при назначении владельца Rights Management владелец исходного документа или сообщения электронной почты будет иметь тот же уровень управления защищенным содержимым, как если бы он сам инициировал защиту.
Например, пользователь, создавший документ, может распечатать его, даже несмотря на то, что теперь он защищен с помощью шаблона, не имеющего права использования "Печать". Тот же пользователь всегда может получать доступ к своим документам независимо от параметра автономного доступа или даты окончания срока действия, настроенных в этом шаблоне. Кроме того, так как владелец Rights Management имеет право на использование с полным доступом, этот пользователь также может повторно защитить документ, чтобы предоставить доступ дополнительным пользователям (после чего пользователь становится издателем Rights Management и владельцем Rights Management). Он также может удалить защиту. Но отслеживать и аннулировать документы может только издатель Rights Management.
Владелец системы управления правами для документа или электронного письма записывается в виде поля owner-email в журналах использования.
Примечание.
Владелец Rights Management не зависит от владельца файловой системы Windows. Они часто совпадают, но могут быть разными, даже если вы не используете пакеты SDK или PowerShell.
Лицензия на использование Rights Management
Когда пользователь открывает документ или электронное письмо, защищенное Azure Rights Management, ему предоставляется лицензия на использование Rights Management для этого содержимого. Эта лицензия является сертификатом с правами на использование документа или электронного письма и ключом шифрования, который использовался для шифрования содержимого. Лицензия на использование также содержит срок действия, если он задан, и время, в течение которого лицензия действительна.
Пользователь должен иметь действительную лицензию на использование, чтобы открыть содержимое в дополнение к сертификату учетной записи прав (RAC), который является сертификатом, предоставленным при инициализации пользовательской среды, а затем продлеваться каждые 31 дней.
В течение срока действия лицензии на использование пользователь не проходит повторную аутентификацию и повторное авторизирование для доступа к содержимому. Это позволяет пользователю продолжать открывать защищенный документ или электронную почту без подключения к Интернету. Когда срок действия лицензии истекает, в следующий раз, когда пользователь обращается к защищенному документу или электронной почте, пользователь должен повторно пройти проверку подлинности и повторно авторизации.
Если документы и письма защищены с помощью метки или шаблона, который задает параметры защиты, вы можете изменить эти параметры без повторной защиты содержимого. Если пользователь уже получал доступ к содержимому, изменения вступят в силу по истечении срока действия лицензии на использование. Но если пользователь применил настраиваемые разрешения (также известные как автоматизированная политика прав), которые нужно изменить после защиты документа или электронного письма, такое содержимое потребуется защитить повторно с помощью новых разрешений. Настраиваемые разрешения для электронного письма внедряются с параметром "Не пересылать".
Срок действия лицензии по умолчанию для клиента составляет 30 дней, и это значение можно настроить с помощью командлета PowerShell Set-AipServiceMaxUseLicenseValidityTime. Вы можете настроить более строгий параметр для применения защиты, используя метку конфиденциальности, настроенную для немедленного назначения разрешений, или шаблон.
При настройке метки конфиденциальности срок действия лицензии берет свое значение из параметра «Разрешить автономный доступ».
Дополнительные сведения и рекомендации по настройке этого параметра для метки конфиденциальности см. в таблице рекомендаций из инструкций по настройке разрешений для метки конфиденциальности.
При настройке шаблона с помощью PowerShell срок действия лицензии принимает значение параметра LicenseValidityDuration в командлетах Set-AipServiceTemplateProperty и Add-AipServiceTemplate.
Дополнительные сведения и рекомендации по настройке этого параметра с помощью PowerShell см. в справке для каждого командлета.
См. также
- Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования
- Configuring super users for Azure Information Protection and discovery services or data recovery (Настройка суперпользователей для Azure Information Protection и служб обнаружения или восстановления данных)