Защита конфиденциальных сообщений и документов с помощью службы управления правами на доступ к данным (IRM) в Office 2016
Сводка: Используйте управление правами на доступ к данным (IRM) в Office 2016, чтобы указать разрешение на доступ к конфиденциальным документам и сообщениям и использовать их.
IRM позволяет пользователям и администраторам определять, кто имеет доступ к документам, книгам и презентациям. Эта функция защищает конфиденциальную информацию от несанкционированной печати, пересылки или копирования. В этой статье представлен обзор технологии управления правами на доступ к данным (IRM) в приложениях Office. Он содержит рекомендации по настройке и установке необходимого программного обеспечения для реализации IRM в Office 2016, а также ссылки на дополнительные сведения.
Обзор IRM
Управление правами Azure и Active Directory Rights Management — технологии, которые корпорация Майкрософт предоставляет на постоянной основе для защиты информации на уровне документов. Они реализуют разрешения и авторизацию для защиты конфиденциальной информации. Ограничение разрешений для документа или сообщения с помощью IRM гарантирует, что несанкционированные пользователи не смогут печатать, пересылать или копировать их. Ограничения использования внедряются в документ или сообщение электронной почты, перемещаясь с файлом, где бы он ни был. Поддержка этих технологий реализована в Microsoft Office с помощью функций управления правами на доступ к данным (IRM).
"Вы можете создавать документы или сообщения электронной почты с ограниченными разрешениями в Office профессиональный плюс 2016 и Приложения Microsoft 365 для предприятий. Эта функция также доступна в автономных версиях Excel 2016, Outlook 2016, PowerPoint 2016, InfoPath 2016 и Word 2016. Содержимое IRM, созданное в Office 2016, можно просматривать в Office 2007, Office 2010, Office 2013 или Office 2016.
Дополнительные сведения о функциях IRM и служб Active Directory Rights Management Services (AD RMS), поддерживаемых в Office 2016, Office 2013, Office 2010 и Office 2007, см. в статье Рекомендации по развертыванию AD RMS и Microsoft Office. Сведения об IRM и Azure RMS см. в разделах Как приложения поддерживают Azure Rights Management и Что такое Управление правами Azure.
Поддержка IRM в Office 2016 помогает организациям и специалистам по работе с знаниями решать две основные задачи:
Ограниченные разрешения для конфиденциальной информации IRM помогает защитить конфиденциальную информацию от несанкционированного доступа и повторного использования. Организации используют брандмауэры, меры, связанные с безопасностью для входа, и другие сетевые технологии для защиты конфиденциальной интеллектуальной собственности. Однако ключевым ограничением этих технологий является то, что авторизованные пользователи могут делиться информацией с несанкционированными пользователями, что приводит к потенциальному нарушению политики безопасности.
Конфиденциальность, контроль и целостность информации Информационные работники часто работают с конфиденциальной или конфиденциальной информацией. Используя IRM, сотрудники не должны зависеть от усмотрения других людей, чтобы гарантировать, что конфиденциальные материалы остаются внутри компании. IRM не позволяет передавать, копировать или печатать конфиденциальные данные, помогая отключить эти функции в документах и сообщениях с использованием ограниченных разрешений.
Руководителям отдела информационных технологий (ИТ) IRM помогает внедрять существующие корпоративные политики, относящиеся к конфиденциальности документов, рабочих процессов и электронной почты. IRM — это ценный инструмент для руководителей и сотрудников службы безопасности. Это сводит к минимуму риск того, что ключевая информация о компании достигает не тех людей. Эта защита охватывает случайные утечки, неосторожные ошибки и преднамеренные атаки.
Принцип работы IRM в Office 2016
Пользователи Office применяют разрешения для сообщений или документов с помощью параметров в меню Файл ; например, с помощью параметра Ограничить доступ в разделе Сведения, Защита документа. Доступные параметры защиты на основе шаблоны политики прав , можно настроить для своей организации. Шаблоны политики прав — это группы прав IRM, которые упаковываются в предопределенную политику, которую пользователи могут применять к своим документам. Office 2016 также предоставляет предопределенный параметр "Не пересылать ", который предоставляет определенные права получателям электронной почты. Дополнительные сведения о шаблонах политики прав см. в статье Настройка шаблонов для Защита информации Microsoft Purview и управление ими.
Примечание.
Помимо использования параметров в меню Файл , пользователи могут выбрать Общий доступ защищенный на ленте Office при установке приложения управления доступом Rights Management для Windows. Это приложение также включает дополнительные функции, например возможность следить за использованием документов, к которым предоставлен общий доступ. Дополнительные сведения см. в разделе Приложение управления доступом Rights Management для Windows.
Чтобы защитить документ в Office 2016 с помощью IRM, необходимо иметь локальную подписку AD RMS или Azure RMS в составе Office 365 или в качестве автономной службы.
Использование IRM со службами Active Directory Rights Management
Для включения IRM в организации требуется доступ к компьютеру под управлением служб Active Directory Rights Management Services (AD RMS) для Windows Server 2012 или Windows Server 2012 R2 или к облачному клиенту с подпиской Azure RMS. Разрешения применяются с помощью проверки подлинности, обычно с помощью доменные службы Active Directory (AD DS) или Microsoft Entra ID.
Организации могут определять политики разрешений, отображаемые в приложениях Office, путем создания шаблонов политик прав. Например, можно определить шаблон политики прав с именем Marketing Confidential, который указывает, что документы или сообщения электронной почты, использующие эту политику, могут открываться только пользователями в этом отделе. Хотя количество политик разрешений, которые можно создать, не ограничено, Office может одновременно отображать до 20 шаблонов политик. Azure Rights Management предоставляет два стандартных шаблона для всей организации. При необходимости можно создать собственные пользовательские шаблоны или отключить существующие.
С помощью AD RMS на Windows Server 2012 пользователи могут обмениваться защищенными правами документами между компаниями с федеративными отношениями доверия. Дополнительные сведения см. в разделах Общие сведения о службах Active Directory Rights Management Services и Федерация AD RMS. В Azure RMS встроена возможность безопасной совместной работы между организациями, которая не требует выполнения какой-либо специальной настройки.
В Outlook 2016 вы можете создавать и читать защищенные сообщения электронной почты без специальных параметров сервера электронной почты. Однако Exchange Server 2016 расширяет эту функцию. Она обеспечивает защиту RMS для сообщений голосовой почты единой системы обмена сообщениями и автоматическую защиту IRM для сообщений в Outlook 2016 с помощью правил защиты Microsoft Outlook. Кроме того, включение интеграции IRM в Exchange Server позволяет пользователям создавать и использовать защищенные сообщения электронной почты на Outlook Web App и на мобильных устройствах с поддержкой IRM Exchange ActiveSync. Дополнительные сведения см. в статье Управление правами на доступ к данным в Exchange 2016.
Настройка IRM для Office 2016
Для применения разрешений IRM к документам или сообщениям электронной почты необходимо следующее.
Доступ к AD RMS для Windows Server 2012 или Windows Server 2012 R2 или Azure Rights Management для получения лицензий на использование содержимого.
Клиентское программное обеспечение для службы управления правами. Такое клиентское программное обеспечение входит в состав Windows Vista и более поздних версий. Приложение для управления доступом Rights Management предоставляет дополнительную надстройку, которая расширяет функциональные возможности IRM в Office.
Microsoft Office 2007, Office 2010, Office 2013 или Office 2016. Только определенные выпуски Office позволяют пользователям создавать разрешения IRM.
Настройка доступа к серверу RMS
AD RMS и Azure RMS управляют лицензированием и другими серверными функциями, которые работают с IRM для обеспечения управления правами для клиентских приложений, таких как Office 2016. Клиентская программа с поддержкой RMS, например Office 2016, позволяет пользователям создавать и просматривать защищенное правами содержимое.
Настройка управления правами на клиенте
Windows Vista, Windows 7, Windows 8.1 и Windows 10 поставляются с клиентским программным обеспечением RMS. Чтобы активировать функции IRM в Office с помощью приложения для общего доступа RMS, пользователи могут установить его самостоятельно. Кроме того, администраторы могут автоматически развернуть его для пользователей.
Примечание.
Windows Vista, Windows 7 и Windows 8.1 больше не поддерживаются.
Определение и развертывание шаблонов политик прав для Office 2016
Как и в Office 2007, Office 2010 и Office 2013, Office 2016 предоставляет пользователям возможность применять индивидуальные права к документам и сообщениям, таким как чтение и изменение в Word 2016, Excel 2016, PowerPoint 2016 и Visio 2016. В Outlook можно использовать параметр "Не пересылать ", который позволяет уверенно делиться электронной почтой, предоставляя только ограниченные права получателям сообщения. Вы можете создавать настраиваемые шаблоны политик прав для организации. Эти шаблоны автоматически развертываются на клиентах, что позволяет пользователям легко применять их.
Создание шаблонов прав и управление ими осуществляется с помощью сайта администрирования на сервере AD RMS. Сведения о создании, настройке и публикации пользовательских шаблонов политик см. в разделе Пошаговое руководство по развертыванию шаблонов политики прав AD RMS.
Права, которые можно включить в шаблоны политик разрешений для Office 2016, перечислены в следующих разделах.
Права IRM
Каждое право IRM, указанное в следующей таблице, может применяться приложениями Office 2016, настроенными для работы с AD RMS или Azure RMS.
Права на управление разрешениями IRM
Право службы управления правами на доступ к данным | Описание |
---|---|
Полный доступ |
Предоставляет пользователю все перечисленные ниже права, а также право вносить изменения в разрешения, связанные с контентом. Срок действия не применяется к пользователям с полным доступом. |
Просмотр |
Позволяет пользователю открывать содержимое управления правами на доступ к данным. Это право соответствует доступу на чтение в пользовательском интерфейсе Office 2016. |
Изменить |
Позволяет пользователю изменять содержимое документа. Это право включает в себя возможность сортировки и фильтрации содержимого в Excel. |
Сохранить |
Позволяет пользователю сохранять файл. |
Экстракт |
Позволяет пользователю копировать любую часть файла и вставлять эту часть файла в рабочую область другого приложения. |
Экспорт |
Позволяет сохранять содержимое в другом формате с помощью команды Сохранить как. В зависимости от приложения, использующего выбранный формат файла, содержимое может быть сохранено без защиты. |
Print |
Позволяет пользователю печатать содержимое файла. |
Разрешить макросы |
Позволяет пользователю запускать макросы для содержимого файла, осуществлять программный доступ к содержимому из других приложений и связываться с содержимым на разных листах. |
Переслать |
Позволяет получателю электронной почты пересылать сообщение электронной почты IRM, а также добавлять или удалять получателей из строк Кому: и Копия. Наличие этого права не означает, что вы можете предоставить доступ большему количество пользователей. Даже если кто-то перенаправит содержимое пользователю, если у него нет прав доступа к шаблону, он не сможет открыть его. Отсутствие этого права в шаблоне не эквивалентно использованию параметра "Не пересылать " в Outlook, так как этот параметр предоставляет права только пользователям, указанным в строках сообщения Кому: и Копия: сообщения электронной почты. |
Ответить |
Позволяет получателям электронной почты отвечать на сообщения электронной почты, к которым применяется управление правами на доступ к данным. |
Ответить всем |
Позволяет получателям сообщений электронной почты отвечать всем пользователям, включенным в поля "Кому" и "Копия" сообщения, к которому применяется управление правами на доступ к данным. |
Просмотр прав |
Предоставляет пользователю разрешение просматривать связанные с файлом права. Система Office не использует это право. |
Предварительно определенные группы разрешений
Office 2016 предоставляет следующие предопределенные группы прав, которые пользователи могут выбирать при создании содержимого IRM. Параметры доступны в диалоговом окне Разрешения для Word 2016, Excel 2016, PowerPoint 2016 и Visio 2016. В приложении Office перейдите на вкладку Файл , нажмите кнопку Сведения, нажмите кнопку Защитить документ , выберите Ограничить доступ, а затем выберите один из перечисленных шаблонов политики прав или ограниченный доступ. При выборе параметра Ограниченный доступ вы получите возможность выбрать одну из предопределенных групп разрешений для каждого отдельного пользователя.
Предопределенные группы разрешений на чтение и изменение
Предварительно определенная группа службы управления правами на доступ к данным | Описание |
---|---|
Чтение |
Пользователи, получившие разрешение на чтение, имеют право на просмотр. |
Изменение |
Пользователи, получившие разрешение на изменение, имеют права на просмотр, редактирование, извлечение и сохранение. |
В Outlook 2016 пользователи могут выбрать следующую предопределенную группу прав при создании элемента электронной почты. Чтобы найти этот параметр для элемента электронной почты, выберите команды Файл, Сведения и Установить разрешения. Затем выберите один из представленных шаблонов политики прав, которые заполняет сервер или служба управления правами, или выберите параметр Не пересылать, который реализует следующие права:
Предопределенная группа "Не пересылать"
Предварительно определенная группа службы управления правами на доступ к данным | Описание |
---|---|
Не пересылайте |
В Outlook параметр Не пересылать сообщения электронной почты предоставляет пользователям права "Кому:,Копия:" и "Ск": "Вид", "Изменить", "Ответить" и "Ответить все". |
Дополнительные разрешения
В Word 2016 для частей документа можно указать другие разрешения IRM. Выберите элементы Сведения, Защитить документ и Ограничить редактирование, а затем выберите параметр Дополнительные пользователи, чтобы добавить пользователей с правами на редактирование указанных разделов документа. Чтобы просмотреть дополнительные параметры ограничения, нажмите Ограничить разрешение в нижней части панели Ограничить редактирование. Например, пользователь может указать срок действия, запретить другим пользователям печатать или копировать содержимое и т. д.
Настройка параметров IRM для Office 2016
Вы можете заблокировать многие параметры для настройки IRM с помощью шаблона Office групповая политика (Office). Используйте этот шаблон групповая политика для настройки объектов групповая политика в Active Directory. Его не следует путать с шаблонами политики прав. Кроме того, существуют параметры конфигурации IRM, которые можно настроить только с помощью параметров раздела реестра.
Параметры IRM в Office 2016
Параметры, которые можно настроить для IRM в групповая политика, перечислены в следующей таблице. В групповая политика эти параметры находятся в разделе Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Office 2016\Управление ограниченными разрешениями.
Параметры IRM для групповая политика
Параметр IRM | Описание |
---|---|
Active Directory timeout for querying one entry for group expansion |
Указание времени ожидания для запроса записи Active Directory при развертывании группы. |
URL-адрес запроса дополнительных разрешений |
Укажите расположение, где пользователь сможет получить дополнительную информацию о доступе к содержимому, защищенному с помощью IRM, при использовании защищенного содержимого в этом клиенте. |
Always expand groups in Office when restriction permission for documents |
Когда пользователи применяют разрешения к документу, выбирая имя группы в диалоговом окне Разрешения, имя группы автоматически расширяется для отображения всех членов группы. |
Пользователи должны подключаться для проверки разрешений |
Пользователи, которые открывают управляемый правами документ Office, должны подключиться к службе RMS, чтобы убедиться, что они по-прежнему имеют право на использование содержимого, получив новую лицензию IRM. |
Никогда не разрешать пользователям указывать группы при ограничении разрешений для документов |
При выборе пользователями группы в диалоговом окне Разрешение возвращается ошибка: "Содержимое нельзя публиковать в списках рассылки. Можно лишь указывать адреса электронной почты отдельных пользователей". |
Не позволять пользователям изменять разрешения в контенте с управлением правами |
Если этот параметр включен, пользователи могут получать доступ к содержимому с существующими разрешениями IRM. Однако они не могут применять разрешения IRM к новому содержимому или устанавливать права для документа. |
Отключить интерфейс пользователя службы управления доступом к данным |
Отключение всех параметров, относящихся к управлению правами и включенных в интерфейс всех приложений Office. |
Параметры раздела реестра IRM в Office 2016
В следующих таблицах приведены параметры, которые можно настраивать для IRM в реестре.
Следующие параметры реестра IRM находятся в HKCU\Software\Microsoft\Office\16.0\Common\DRM.
Параметры раздела реестра IRM
Запись реестра | Тип | Значение | Описание |
---|---|---|---|
RequestPermission |
DWORD |
1 = в поле стоит флажок. 0 = флажка нет. |
Этот раздел реестра переключает выбранное по умолчанию состояние флажка Пользователи могут запрашивать дополнительные разрешения от. |
DoNotUseOutlookByDefault |
DWORD |
0 = используется Microsoft Outlook 1 = Microsoft Outlook не используется |
Диалоговое окно Разрешение использует Microsoft Outlook для проверки адресов электронной почты, введенных в этом диалоговом окне. Это приводит к запуску экземпляра Microsoft Outlook при ограничении разрешений. Раздел позволяет отключить параметр. |
Следующий параметр реестра IRM находится в HKCU\Software\Microsoft\Office\16.0\Common\DRM\LicenseServers. Соответствующий параметр групповая политика отсутствует.
Параметр реестра IRM для серверов лицензирования
Запись реестра | Тип | Значение | Описание |
---|---|---|---|
LicenseServers |
Ключ или Hive. Содержит значения DWORD с именем сервера лицензий. |
Устанавливает URL-адрес сервера. Если значение DWORD равно 1, Office автоматически получает лицензию без запроса. Если значение равно нулю или для этого сервера нет записи реестра, Office запрашивает лицензию. |
Пример. Если http://contoso.com/_wmcs/licensing для этого параметра задано значение = 1, пользователю, который пытается получить лицензию с этого сервера на открытие документа, управляемого правами, не запрашивается авторизация. Это действие совпадает с тем, что пользователь, установив этот флажок, просит не получать уведомления при первом использовании содержимого. |
Следующий параметр реестра IRM находится в папке HKCU\Software\Microsoft\Office\16.0\Common\Security. Соответствующий параметр групповая политика отсутствует.
Параметры IRM реестра для обеспечения безопасности
Запись реестра | Тип | Значение | Описание |
---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = метаданные файла шифруются. 0 = метаданные сохраняются в простом текстовом формате. Значение по умолчанию равно 0. |
Укажите, нужно ли шифровать все метаданные, которые хранятся в документе с настроенными правами. |
Зашифрованные метаданные несовместимы с метками Защита информации Microsoft Purview. Если вы используете эти метки, не устанавливайте значение 1.
В форматах Open XML, таких как docx, xlsx, pptx и т. д., пользователи могут шифровать метаданные Office в управляемом правами файле. Кроме того, они могут оставить метаданные незашифрованными, что позволяет другим приложениям, таким как функции FCI на файловом сервере Windows, получать доступ к данным.
Пользователи могут зашифровать метаданные, задав раздел реестра. Вы можете задать параметр по умолчанию для пользователей, развернув параметр реестра. Для шифрования некоторых метаданных нет возможности: все метаданные шифруются или не шифруются.
Кроме того, параметр реестра DRMEncryptProperty не определяет, шифруется ли хранилище метаданных клиента, отличное от Office, например метаданные, созданные SharePoint Server 2016.
Настройка параметров IRM для Outlook 2016
В Outlook 2016 пользователи могут создавать и отправлять сообщения электронной почты с ограниченными разрешениями, чтобы предотвратить пересылку, печать или копирование сообщений. Документы, книги и презентации Office 2016, присоединенные к сообщениям с ограниченными разрешениями, автоматически ограничиваются.
Администратор Microsoft Outlook может настроить несколько параметров электронной почты IRM, таких как отключение IRM или локальное кэширование лицензий.
При настройке обмена сообщениями электронной почты с управлением правами можно использовать следующие параметры и возможности службы управления правами на доступ к данным.
Настройка автоматического кэширования лицензий для управления правами на доступ к данным.
Помощь при внедрении срока действия сообщения электронной почты.
Не используйте Outlook для проверки адресов электронной почты для разрешений IRM.
Примечание.
Чтобы отключить IRM в Outlook, необходимо отключить IRM для всех приложений Office. Отдельного параметра для отключения IRM только в Outlook нет.
Параметры Outlook IRM
Вы можете заблокировать большинство параметров для настройки IRM для Microsoft Outlook с помощью шаблона Microsoft Outlook групповая политика (Outlk) или шаблона Office групповая политика (Office). Вы также можете настроить параметры по умолчанию для большинства параметров с помощью центра развертывания Office (OCT), который позволяет пользователям настраивать параметры. Параметры центра развертывания Office можно найти в соответствующих разделах на странице Modify user settings (Изменение пользовательских параметров) в центре развертывания.
Параметры службы управления доступа к данным Outlook
Location | Параметр IRM | Описание |
---|---|---|
Microsoft Outlook 2016\Прочее |
Не скачивайте сведения о лицензировании разрешений для электронной почты IRM во время синхронизации папок Exchange |
Включите, чтобы запретить локальное кэширование сведений о лицензии. Если это правило включено, пользователи должны подключиться к сети для получения сведений о лицензии, чтобы открыть электронное сообщение с настроенными правами. Этот параметр не влияет на предварительное лицензирование Exchange, которое выполняется на сервере. |
Параметры > Дополнительные параметры > доставки |
При отправке сообщения |
Чтобы установить срок действия для электронного сообщения, включите правило и введите число дней до истечения срока действия сообщения. Период истечения применяется, только если пользователь отправляет сообщение с настроенными правами, а после истечения периода срока действия доступ к сообщению запрещен. |
параметры раздела реестра IRM Outlook 2016
Диалоговое окно Разрешение использует Microsoft Outlook для проверки адресов электронной почты, введенных в этом диалоговом окне. Это приводит к запуску экземпляра Microsoft Outlook при ограничении разрешений. Можно отключить этот параметр, используя раздел реестра, указанный в следующей таблице. Соответствующий параметр групповая политика или oct для этого параметра отсутствует.
Следующий параметр IRM размещен в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM.
Параметры раздела реестра IRM для Outlook
Запись реестра | Тип | Значение | Описание |
---|---|---|---|
DoNotUseOutlookByDefault |
DWORD |
0 = используется Microsoft Outlook 1 = Microsoft Outlook не используется |
Раздел позволяет отключить параметр. |
Общие сведения о настройке IRM в Office 2016
Вы можете заблокировать многие параметры для настройки IRM с помощью файлов административных шаблонов Office 2016 (Office16.admx) и шаблона Microsoft Outlook групповая политика (Outlk16.admx). Кроме того, некоторые параметры настройки IRM можно изменять только с помощью параметров раздела реестра.
В Outlook 2016 пользователи могут создавать и отправлять сообщения электронной почты с ограниченными разрешениями, чтобы предотвратить пересылку, печать, копирование и вставку сообщений. Документы, книги и презентации Office 2016, присоединенные к сообщениям с ограниченными разрешениями, также автоматически ограничены.
Администратор Microsoft Outlook может настроить несколько параметров электронной почты IRM, таких как отключение IRM или локальное кэширование лицензий. Кроме группы разрешений Не пересылать, можно также создать для пользователей собственные разрешения IRM.
Подготовка к работе
Перед началом развертывания определите параметры, которые, возможно, потребуется настроить для IRM.
Вы можете скачать шаблоны Office 2016 и Outlook 2016 из Центра загрузки Майкрософт в разделе Файлы административных шаблонов (ADMX/ADML) для Office.
Отключение управления правами на доступ к данным в Office 2016
Вы можете отключить IRM для всех приложений Office. Чтобы отключить IRM в Outlook 2016, необходимо отключить IRM для всех приложений Office. Отдельной возможности отключить IRM только в Microsoft Outlook нет.
Отключение IRM в Office 2016 с помощью групповая политика
В групповая политика загрузите шаблон Office 2016 (Office) и найдите Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Office 2016\Manage Restricted Permissions.
Выберите Отключить пользовательский интерфейс управления правами на доступ к данным.
Выберите Включено.
Нажмите кнопку OK.
Настройка автоматического кэширования лицензий для Outlook 2016
По умолчанию Outlook 2016 автоматически загружает лицензию IRM для электронной почты, управляемой правами, когда Outlook синхронизируется с Exchange Server. Вы можете настроить Outlook 2016, чтобы предотвратить локальное кэширование сведений о лицензиях. Пользователи должны будут подключиться к сети для получения сведений о лицензии, чтобы открыть сообщение электронной почты с управлением правами.
Отключение автоматического кэширования лицензии для IRM с помощью групповой политики
В групповая политика загрузите шаблон Outlook 2016 (Outlk) и найдите Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Outlook 2016\Прочее.
Выберите Не загружать информацию о лицензии разрешения на права для почты управления правами на доступ к данным во время синхронизации автономной папки Exchange
Выберите Включено.
Нажмите кнопку OK.