将信息权限管理 (IRM) 应用到列表或库
可以使用信息权限管理 (IRM) 来帮助控制和保护从列表或库下载的文件。 此功能仅在Microsoft全局云中受支持。 国家云部署中的 SharePoint 列表和库不支持 IRM。
提示
如果你不是 E5 客户,请使用 90 天Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即在 Microsoft Purview 试用中心开始。 了解有关 注册和试用条款的详细信息。
应用 IRM 之前的管理员准备
Azure Rights Management 服务从 Azure 信息保护 (Azure RMS) ,本地等效的 Active Directory Rights Management Services (AD RMS) 支持站点的信息权限管理。 不需要单独安装或其他安装。
在将 IRM 应用于列表或库之前,需要为站点启用 IRM。 需要管理员权限才能启用 IRM。
若要将 IRM 应用于列表或库,必须对该列表或库具有管理员权限。
如果使用的是 SharePoint Online,则用户在下载受 IRM 保护的大型文件时可能会遇到超时。 若要避免超时,请使用 Office 程序应用 IRM 保护,并将较大的文件存储在不使用 IRM 的 SharePoint 库中。
注意
如果您使用的是 SharePoint Server 2013,则服务器管理员必须在所有前端 Web 服务器上安装保护程序,以便为组织中的人员希望使用 IRM 进行保护的每种文件类型安装保护程序。
将 IRM 应用于列表或库
转到要为其配置 IRM 的列表或库。
在功能区上,选择“ 库 ”选项卡,然后选择“ 库设置”。 (如果要处理列表,请选择“ 列表 ”选项卡,然后选择“ 列表设置”) 。
在 “权限和管理”下,选择“ 信息权限管理”。 如果未显示“信息权限管理”链接,则可能未为站点启用 IRM。 请与服务器管理员联系,了解是否可以为站点启用 IRM。 图片库不会显示 “信息权限管理 ”链接。
在“信息权限管理设置”页上,选择“下载时限制对此库中文档的权限检查”框,将受限权限应用于用户从此列表或库下载的文档。
在 “创建权限策略标题 ”框中,输入策略的描述性名称。 使用有助于从其他策略中识别此策略的名称。 例如,使用 公司机密 对包含机密公司文档的列表或库应用受限权限。
在 “添加权限策略说明 ”框中,键入将向使用此列表或库的用户显示的说明,说明他们应如何处理此列表或库中的文档。 例如,如果要将对这些文档中的信息的访问限制为内部员工,则可以键入 “仅与其他员工讨论此文档的内容 ”。
若要对此列表或库中的文档应用其他限制,请选择“ 显示选项”,并执行以下任一操作:
为此: | 执行此操作: |
---|---|
允许用户打印此列表或库中的文档 | 选中“允许查看者打印检查框。 |
允许至少具有“查看项目”权限的人员对文档运行嵌入代码或宏。 | 选中“允许查看者运行脚本和屏幕阅读器以在下载的文档上运行检查”框。如果选择此选项,用户可以运行代码来提取文档的内容。 |
如果要将内容的访问限制在指定的时间段内,请选择此选项。 如果选择此选项,用户用于访问内容的颁发许可证将在指定天数后过期,并且用户需要返回服务器以验证其凭据并下载新副本。 | 选择“下载后,文档访问权限将在这些天数 (1-365) 检查”框,然后指定希望查看文档的天数。 |
阻止用户将不支持 IRM 的文档上传到此列表或库。 如果选择此选项,用户将无法上传以下任何文件类型:未在所有前端 Web 服务器上安装相应 IRM 保护器的文件类型。 SharePoint Server 2010 无法解密的文件类型。 在另一个程序中受 IRM 保护的文件类型。 | 选中“不允许用户上传不支持 IRM 检查的文档”框。 |
在特定日期从此列表或库中删除受限权限。 | 选中“在检查停止限制对库的访问”框,然后选择所需的日期。 |
控制为许可打开文档的程序缓存 Azure RMS 凭据的间隔。 | 选中“用户必须使用此间隔 (天) 检查”框,然后输入缓存凭据的间隔天数。 |
允许组保护,以便用户可以与同一组的成员共享。 | 选择“ 允许组保护”,并输入要共享的组名称。 |
- 选择完所需选项后,选择“ 确定”。
什么是信息权限管理?
利用信息权限管理 (IRM) ,可以限制用户可以对已从列表或库下载的文件执行的操作。 IRM 对下载的文件进行加密并限制允许解密这些文件的用户和程序组。 IRM 还可限制允许读取文件的用户的权限,以便这些用户无法执行打印文件的副本或复制文件中的文本等操作。
可以对列表或库使用 IRM 来限制敏感内容的传播。 例如,如果要创建一个文档库,以便与选定的营销代表共享有关即将推出的产品的信息,则可以使用 IRM 阻止这些人与公司中的其他员工共享此内容。
在网站上,可将 IRM 应用于整个列表或库,而不是应用于单个文件。 这样可以更轻松地确保对一组文档或文件提供一致的保护。 因此,IRM 可帮助组织强制实施管理机密或专有信息的使用和传播的公司策略。
注意
本页上有关信息权限管理的信息取代了任何Microsoft SharePoint Server 2013 和 SharePoint Server 2016 许可协议协议中引用“信息权限管理”的任何条款。
IRM 如何帮助保护内容
IRM 通过以下方式帮助保护受限内容:
帮助防止授权的查看者复制、修改、打印、传真或复制和粘贴内容以供未经授权的使用
帮助防止授权的查看者使用 Microsoft Windows 中的“打印屏幕”功能复制内容
如果从服务器下载内容后通过电子邮件发送,则有助于防止未经授权的查看者查看内容
将内容的访问限制在指定的时间段内,之后用户必须确认其凭据并再次下载内容
帮助强制实施管理组织中内容的使用和传播的公司策略
IRM 如何帮助保护内容
IRM 无法保护受限内容免受以下问题:
恶意程序(如特洛伊木马、击键记录器和特定类型的间谍软件)擦除、盗窃、捕获或传输
由于计算机病毒的行为而丢失或损坏
从屏幕上的显示器中手动复制或重新排版内容
屏幕上显示的内容的数字或胶片摄影
通过使用第三方屏幕捕获程序进行复制
通过使用第三方屏幕捕获程序或复制粘贴操作) 复制 (列值的内容元数据
列表和库的 IRM 工作原理
IRM 保护应用于列表或库级别的文件。 为库启用 IRM 后,权限管理将应用于该库中的所有文件。 为列表启用 IRM 后,权限管理仅适用于附加到列表项的文件,而不适用于实际列表项。
当用户下载已启用 IRM 的列表或库中的文件时,文件会加密,以便只有经过授权的人员才能查看这些文件。 每个权限管理文件还包含一个颁发许可证,该许可证对查看文件的人员施加限制。 典型的限制包括将文件设置为只读、禁用文本复制、阻止用户保存本地副本以及阻止用户打印文件。 可以读取 IRM 支持的文件类型的客户端程序使用权限管理文件中的颁发许可证来强制实施这些限制。 这就是权限管理文件在从服务器下载后保留其保护的方式。
从列表或库中下载文件时应用于文件的限制类型取决于单个用户在包含该文件的网站上的权限。 下表说明了网站上的权限如何与 IRM 权限对应。
权限 | IRM 权限 |
---|---|
管理权限、管理网站 | 客户端程序) 定义的完全控制 (:此权限通常允许用户读取、编辑、复制、保存和修改权限管理的内容的权限。 |
编辑项目、管理Lists、添加和自定义页面 | 编辑、复制和保存:仅当列表或库的“信息权限管理设置”页上选择了“允许用户打印文档检查”框时,用户才能打印文件。 |
查看项目 | 读取:用户可以读取文档,但不能复制或修改其内容。 只有在列表或库的“信息权限管理设置”页上选择了“允许用户打印文档检查”框时,用户才能打印。 |
其他 | 没有其他权限直接与 IRM 权限相对应。 |
在 SharePoint Server 2013 中为列表或库启用 IRM 时,只能保护所有前端 Web 服务器上为其安装了保护程序的列表或库中的文件类型。 保护程序是一个程序,用于控制特定文件格式的权限管理文件的加密和解密。 SharePoint 包括以下文件类型的保护程序:
Microsoft Office InfoPath 表单
以下 Office 程序的 97-2003 文件格式Microsoft:Word、Excel 和 PowerPoint
以下 office 程序Microsoft的 Office Open XML 格式:Word、Excel 和 PowerPoint
XML 纸张规范 (XPS) 格式
如果你的组织计划使用 IRM 来保护除上面列出的文件类型之外的任何其他文件类型,则服务器管理员必须为这些附加文件格式安装保护程序。