為 Azure 資訊保護設定使用權
本文說明當使用者、系統管理員或已設定的服務選取標籤或範本時,您可以設定為自動套用的許可權。
當您設定加密的敏感度標籤或保護範本時,會選取許可權。 例如,您可以選取設定許可權邏輯群組的角色,或個別設定個別許可權。 或者,用戶可以自行選取並套用許可權。
為了完整性,本文包含 Azure 傳統入口網站中已淘汰 2018 年 1 月 8 日的值。
重要
使用本文來瞭解如何設計許可權,以由應用程式解譯。
應用程式實作許可權的方式可能會有所不同,建議您諮詢應用程式的檔,並執行您自己的測試,以在生產環境中部署之前檢查應用程序行為。
許可權和描述
下表列出並描述 Rights Management 支援的使用權,以及其使用和解譯方式。 它們會以其 通用名稱列出,這通常是您可能會看到顯示或參考的使用方式,做為程式代碼中所使用的單字值更易記的版本(原則 值中的 編碼)。
在這裡表格中:
API 常數或值是 MSIPC 或 Microsoft Purview 資訊保護 SDK API 呼叫的 SDK 名稱,用於撰寫檢查許可權的應用程式,或將使用權新增至原則。
標籤系統管理中心是 Microsoft Purview 合規性入口網站,您可以在其中設定敏感度標籤。
使用權 | 描述 | 實作 |
---|---|---|
一般名稱: 編輯內容、編輯 原則中的編碼方式: DOCEDIT |
允許使用者修改、重新排列、格式化或排序應用程式內的內容,包括 Office 網頁版。 它不會授與儲存已編輯複本的許可權。 在 Word 中,除非您有最低版本 1807 的 Office 365 專業增強版,否則此許可權不足以開啟或關閉追蹤變更,或將所有追蹤變更功能當做檢閱者使用。 相反地,若要使用所有追蹤變更選項,需要下列許可權: 完全控制。 |
Office 自定義許可權:變更和完全控制選項的一部分。 Azure 傳統入口網站中的名稱: 編輯內容 Microsoft Purview 合規性入口網站和 Azure 入口網站 中的名稱:編輯內容、編輯 (DOCEDIT) AD RMS 範本中的名稱: 編輯 API 常數或值: MSIPC: 不適用。 MIP SDK: DOCEDIT |
一般名稱: 儲存 原則中的編碼方式: EDIT |
允許使用者將檔案儲存到目前的位置。 在 Office 網頁版 中,它也允許使用者編輯內容。 在 Office 應用程式 lications 中,此許可權可讓使用者將檔案儲存到新的位置,並在選取的檔格式具有 Rights Management 保護的內建支援時使用新的名稱。 檔案格式限制可確保無法從檔案中移除原始保護。 |
Office 自定義許可權:變更和完全控制選項的一部分。 Azure 傳統入口網站中的名稱: 儲存盤案 Microsoft Purview 合規性入口網站 與 Azure 入口網站的名稱:儲存 (EDIT) AD RMS 範本中的名稱: 儲存 API 常數或值: MSIPC: IPC_GENERIC_WRITE L"EDIT" MIP SDK: EDIT |
一般名稱: 批注 原則中的編碼方式: COMMENT |
啟用選項,將批注或批註新增至內容。 SDK 中提供此許可權,可在適用於 Windows PowerShell 的 AzureInformationProtection 和 RMS Protection 模組中作為臨機操作原則,並已在某些軟體廠商應用程式中實作。 不過,它並不廣泛使用,而且 Office 應用程式 數據列不支援。 |
Office 自定義許可權:未實作。 Azure 傳統入口網站中的名稱:未實作。 Microsoft Purview 合規性入口網站 和 Azure 入口網站 中的名稱:未實作。 AD RMS 範本中的名稱:未實作。 API 常數或值: MSIPC: IPC_GENERIC_COMMENT L"COMMENT MIP SDK: COMMENT |
一般名稱: 另存新檔、匯出 原則中的編碼方式: EXPORT |
啟用選項,將內容儲存至不同的檔名(另存新檔)。 針對 Azure 資訊保護 客戶端,檔案可以儲存而不保護,也可以使用新的設定和許可權重新保護。 這些允許的動作表示擁有此許可權的使用者可以從受保護的檔或電子郵件變更或移除 Azure 資訊保護 標籤。 此許可權也可讓使用者在應用程式中執行其他導出選項,例如 傳送至 OneNote。 |
Office 自定義許可權:做為 [完全控制] 選項的一部分。 Azure 傳統入口網站中的名稱: 匯出內容(另存新檔) Microsoft Purview 合規性入口網站 與 Azure 入口網站中的名稱:另存新檔、匯出 (EXPORT) AD RMS 樣本中的名稱: 匯出 (另存新檔) API 常數或值: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" MIP SDK: EXPORT |
一般名稱: 轉寄 原則中的編碼方式: FORWARD |
啟用轉寄電子郵件訊息的選項,並將收件者新增至 [收件者] 和 [副本] 行。 此權利不適用於檔;只有電子郵件訊息。 不允許轉寄站將許可權授與其他用戶作為轉寄動作的一部分。 當您授與此許可權時,也授 與 [編輯內容]、[編輯 許可權] (一般名稱),並另外授 與 [儲存 許可權] (一般名稱),以確保受保護的電子郵件訊息不會以附件的形式傳遞。 當您傳送電子郵件給使用 Outlook 用戶端或 Outlook Web 應用程式的另一個組織時,也請指定這些許可權。 或者,對於貴組織中的使用者,因為您已實 作上線控件,因此無法使用 Rights Management 保護。 |
Office 自定義許可權:使用 「不要轉寄 」標準原則時遭到拒絕。 Azure 傳統入口網站中的名稱: 轉寄 Microsoft Purview 合規性入口網站 和 Azure 入口網站 中的名稱:轉寄(FORWARD) AD RMS 範本中的名稱: 轉寄 API 常數或值: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" MIP SDK: FORWARD |
一般名稱: 完全控制 原則中的編碼方式: OWNER |
授與檔的所有許可權,並可執行所有可用的動作。 包含移除保護並重新保護檔的能力。 請注意,此許可權與 Rights Management 擁有者不同。 |
Office 自定義許可權:作為 [完全控制 ] 自定義選項。 Azure 傳統入口網站中的名稱: 完全控制 Microsoft Purview 合規性入口網站 與 Azure 入口網站中的名稱:完全控制(OWNER) AD RMS 範本中的名稱: 完全控制 API 常數或值: MSIPC: IPC_GENERIC_ALL L"OWNER" MIP SDK: OWNER |
一般名稱: 列印 原則中的編碼方式: PRINT |
可讓選項列印內容。 | Office 自定義許可權:做為 自定義許可權中的 [列印內容 ] 選項。 不是個別收件者設定。 Azure 傳統入口網站中的名稱: 列印 Microsoft Purview 合規性入口網站 與 Azure 入口網站中的名稱:列印 (PRINT) AD RMS 範本中的名稱: 列印 API 常數或值: MSIPC: IPC_GENERIC_PRINT L"PRINT" MIP SDK: PRINT |
一般名稱: 回復 原則中的編碼方式: REPLY |
在電子郵件用戶端中啟用 [回復] 選項,而不允許變更 [收件者] 或 [副本] 行。 當您授與此許可權時,也授 與 [編輯內容]、[編輯 許可權] (一般名稱),並另外授 與 [儲存 許可權] (一般名稱),以確保受保護的電子郵件訊息不會以附件的形式傳遞。 當您傳送電子郵件給使用 Outlook 用戶端或 Outlook Web 應用程式的另一個組織時,也請指定這些許可權。 或者,對於貴組織中的使用者,因為您已實 作上線控件,因此無法使用 Rights Management 保護。 |
Office 自定義許可權:不適用。 Azure 傳統入口網站中的名稱: 回復 Azure 傳統入口網站中的名稱: 回復 (REPLY) AD RMS 範本中的名稱: 回復 API 常數或值: MSIPC: IPC_EMAIL_REPLY MIP SDK: REPLY |
一般名稱: 全部回復 原則中的編碼方式: REPLYALL |
啟用電子郵件用戶端中的 [全部回復] 選項,但不允許使用者將收件者新增至 [收件者] 或 [副本] 行。 當您授與此許可權時,也授 與 [編輯內容]、[編輯 許可權] (一般名稱),並另外授 與 [儲存 許可權] (一般名稱),以確保受保護的電子郵件訊息不會以附件的形式傳遞。 當您傳送電子郵件給使用 Outlook 用戶端或 Outlook Web 應用程式的另一個組織時,也請指定這些許可權。 或者,對於貴組織中的使用者,因為您已實 作上線控件,因此無法使用 Rights Management 保護。 |
Office 自定義許可權:不適用。 Azure 傳統入口網站中的名稱: 全部回復 Microsoft Purview 合規性入口網站與 Azure 入口網站中的名稱:全部回覆(全部回覆) AD RMS 範本中的名稱: 全部回復 API 常數或值: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" MIP SDK: REPLYALL |
一般名稱: 檢視、開啟、讀取 原則中的編碼方式: VIEW |
允許使用者開啟檔並查看內容。 在 Excel 中,此許可權不足以排序數據,這需要下列許可權: 編輯內容、編輯。 若要篩選 Excel 中的數據,您需要下列兩個許可權: 編輯內容、編輯 和 複製。 |
Office 自定義許可權:作為 [讀取 自定義原則], [檢視] 選項。 Azure 傳統入口網站中的名稱: 檢視 Microsoft Purview 合規性入口網站 與 Azure 入口網站中的名稱:檢視、開啟、讀取 (VIEW) AD RMS 範本中的名稱: 讀取 API 常數或值: MSIPC: IPC_GENERIC_READ L"VIEW" MIP SDK: VIEW |
一般名稱: 複製 原則中的編碼方式: EXTRACT |
可讓選項將數據(包括螢幕擷取)從檔複製到相同或另一份檔。 在某些應用程式中,它也允許將整份檔儲存在未受保護的表單中。 在 商務用 Skype 和類似的螢幕共用應用程式中,演示者必須具有此許可權,才能成功呈現受保護的檔。 如果演示者沒有此許可權,則出席者無法檢視檔,而且會顯示為黑色。 |
Office 自定義許可權:作為 [允許具有讀取許可權的用戶複製內容 自定義原則] 選項。 Azure 傳統入口網站中的名稱: 複製和擷取內容 Microsoft Purview 合規性入口網站 與 Azure 入口網站中的名稱:複製 (EXTRACT) AD RMS 範本中的名稱: 擷取 API 常數或值: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" MIP SDK: EXTRACT |
一般名稱: 檢視許可權 原則中的編碼方式: VIEWRIGHTSDATA |
允許使用者查看套用至文件的原則。 Office 應用程式 或 Azure 資訊保護 用戶端不支援。 |
Office 自定義許可權:未實作。 Azure 傳統入口網站中的名稱: 檢視指派的許可權 Microsoft Purview 合規性入口網站 與 Azure 入口網站中的名稱:檢視權限 (VIEWRIGHTSDATA) 。 AD RMS 範本中的名稱: 檢視許可權 API 常數或值: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" MIP SDK: VIEWRIGHTSDATA |
一般名稱: 變更許可權 原則中的編碼方式: EDITRIGHTSDATA |
允許使用者變更套用至文件的原則。 包括移除保護。 Office 應用程式 或 Azure 資訊保護 用戶端不支援。 |
Office 自定義許可權:未實作。 Azure 傳統入口網站中的名稱: 變更許可權 Microsoft Purview 合規性入口網站 與 Azure 入口網站中的名稱:編輯權限 (EDITRIGHTSDATA) 。 AD RMS 範本中的名稱: 編輯許可權 API 常數或值: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" MIP SDK: EDITRIGHTSDATA |
一般名稱: 允許巨集 原則中的編碼方式: OBJMODEL |
啟用執行巨集或執行文件內容之其他程式設計或遠端訪問的選項。 | Office 自定義許可權:作為 [ 允許程序設計存取 自定義原則] 選項。 不是個別收件者設定。 Azure 傳統入口網站中的名稱: 允許巨集 Microsoft Purview 合規性入口網站與 Azure 入口網站的名稱:允許巨集 (OBJMODEL) AD RMS 範本中的名稱: 允許巨集 API 常數或值: MSIPC: 未實作。 MIP SDK: OBJMODEL |
許可權層級中包含的許可權
某些應用程式會將許可權許可權群組在一起,以便更輕鬆地選取通常一起使用的許可權。 這些許可權層級有助於從使用者擷取複雜度層級,讓他們可以選擇以角色為基礎的選項。 例如, Reviewer 和 Co-Author。 雖然這些選項通常會向使用者顯示許可權摘要,但可能不會包含上表所列的每個許可權。
針對這些許可權層級的清單,以及它們所包含的許可權許可權完整清單,請使用下表。 許可權會依其 一般名稱列出。
許可權層級 | 應用程式 | 包含的使用權 |
---|---|---|
檢視人員 | Azure 傳統入口網站 Azure 入口網站 適用於 Windows 的 Azure 資訊保護 用戶端 |
檢視、開啟、讀取;檢視許可權;回復 [1]; 全部回復 [1];允許巨集 [2] 注意:對於電子郵件,請使用檢閱者而非此許可權等級,以確保電子郵件回復會以電子郵件訊息而非附件的形式接收。 當您傳送電子郵件給使用 Outlook 用戶端或 Outlook Web 應用程式的另一個組織時,也需要檢閱者。 或者,對於貴組織中的使用者,因為您已實 作上線控制,因此無法使用 Azure Rights Management 服務。 |
[檢閱者] | Azure 傳統入口網站 Azure 入口網站 適用於 Windows 的 Azure 資訊保護 用戶端 |
檢視、開啟、讀取;救;編輯內容、編輯;檢視許可權;回復:全部 回復 [3];正向 [3];允許巨集 [2] |
共同作者 | Azure 傳統入口網站 Azure 入口網站 適用於 Windows 的 Azure 資訊保護 用戶端 |
檢視、開啟、讀取;救;編輯內容、編輯;複製;檢視許可權;允許巨集;另存新檔,匯出 [4];列印;回復 [3]; 全部回復 [3];正向 [3] |
共同擁有者 | Azure 傳統入口網站 Azure 入口網站 適用於 Windows 的 Azure 資訊保護 用戶端 |
檢視、開啟、讀取;救;編輯內容、編輯;複製;檢視許可權;變更許可權;允許巨集;另存新檔、匯出;列印;回復 [3]; 全部回復 [3];正向 [3];完全控制 |
腳注 1
不包含在 Microsoft Purview 合規性入口網站 或 Azure 入口網站 中。
腳注 2
針對適用於 Windows 的 Azure 資訊保護 用戶端,Office 應用程式 中 資訊保護 列需要此許可權。
腳注 3
不適用於適用於 Windows 的 Azure 資訊保護 用戶端。
腳注 4
不包含在 Microsoft Purview 合規性入口網站、Azure 入口網站 或適用於 Windows 的 Azure 資訊保護 用戶端中。
電子郵件的 [不要轉寄] 選項
Exchange 用戶端和服務(例如,Outlook 用戶端、Outlook 網頁版、Exchange 郵件流程規則,以及 Exchange 的 DLP 動作)具有電子郵件的其他資訊版權保護選項:請勿轉寄。
雖然此選項會顯示給使用者(和 Exchange 系統管理員),就好像它是他們可以選取的預設 Rights Management 範本, 但「不要轉寄 」不是範本。 這說明當您檢視和管理保護範本時,為何無法在 Azure 入口網站 中看到它。 相反地,[ 不要轉寄 ] 選項是由用戶動態套用至其電子郵件收件者的一組許可權。
當 [ 不要轉寄 ] 選項套用至電子郵件時,電子郵件會加密,且收件者必須經過驗證。 然後,收件者無法轉寄、列印或複製。 例如,在 Outlook 用戶端中,[轉寄] 按鈕無法使用、[另存新檔] 和 [列印] 功能表選項無法使用,而且您無法在 [收件者]、[副本] 或 [密件抄送] 方塊中新增或變更收件者。
附加至電子郵件的未受保護的 Office 檔案 會自動繼承相同的限制。 套用至這些檔案的權限為 [編輯內容]、[編輯] ; 儲存; 檢視、開啟、讀取和 允許巨集。 如果您想要不同的附件許可權,或您的附件不是支援此繼承保護的 Office 檔,請先保護檔案,再將它附加至電子郵件。 然後,您可以指派檔案所需的特定許可權。
不可轉寄與未授與轉寄使用權之間的差異
套用 [不可轉寄] 選項和套用範本不會將 [轉寄] 許可權授與電子郵件的範本之間有重要的區別:[不可轉寄] 選項會使用以使用者所選原始電子郵件收件者為基礎的授權使用者動態清單;而範本中的許可權則具有系統管理員先前指定之授權使用者的靜態清單。 有何不同? 讓我們以下列範例為例:
使用者想要傳送某些資訊給營銷部門中不應與其他人共用的特定人員。 她應該使用範本保護電子郵件,以限制行銷部門的許可權(檢視、回復和儲存)嗎? 還是她應該選擇 [不要轉寄 ] 選項? 這兩個選項都會導致收件者無法轉寄電子郵件。
如果她套用範本,收件者仍然可以與行銷部門的其他人共享資訊。 例如,收件者可以使用 Explorer 將電子郵件拖放到共用位置或 USB 磁碟驅動器。 現在,任何有權存取此位置的行銷部門(和電子郵件擁有者)的人都可以檢視電子郵件中的資訊。
如果她套用 [ 不可轉寄 ] 選項,收件者將無法將電子郵件移至另一個位置,與行銷部門的其他人共享資訊。 在此案例中,只有原始收件者(和電子郵件擁有者)才能檢視電子郵件中的資訊。
注意
當只有寄件者選擇的收件者應該在電子郵件中看到資訊時,請使用 [不要轉寄 ]。 使用電子郵件範本,將許可權限製為系統管理員事先指定的人員群組,與發件者所選收件者無關。
電子郵件的僅限加密選項
當 Exchange Online 使用 Office 365 郵件加密的新功能時,新的 [加密 電子郵件] 選項就可供使用,以加密數據而不受其他限制。
此選項可供使用 Exchange Online 且可選取的租使用者,如下所示:
- 在 Outlook 網頁版 中,具有 [加密] 選項或針對 [讓使用者指派許可權] 和 [僅限加密] 選項設定的敏感度標籤
- 作為郵件流程規則的另一個許可權保護選項
- 作為 Office 365 DLP 動作
- 從適用於桌面和行動裝置的 Outlook 應用程式 :
- 當您使用內建標籤搭配 Outlook 敏感度標籤中所列的最低版本時,針對 Windows、macOS、iOS 和 Android,設定為 [讓使用者指派許可權] 和 [僅限加密] 選項的敏感度卷標。
- 使用 Windows 和 macOS 上的 [加密] 選項,依更新通道列出 Microsoft 365 Apps 支援版本表格所列的版本。
如需僅限加密選項的詳細資訊,請參閱第一次從 Office 小組宣佈時,請參閱下列部落格文章: 僅加密在 Office 365 郵件加密中推出。
選取此選項時,電子郵件會加密,且收件者必須經過驗證。 然後,收件者擁有 [另存新檔]、[匯出] 和 [完全控制] 以外的所有許可權。 這種許可權組合表示收件者沒有限制,但無法移除保護。 例如,收件者可以從電子郵件複製、列印並轉寄。
同樣地,根據預設,附加至電子郵件的未受保護的 Office 檔 會繼承相同的許可權。 這些文件會自動受到保護,而且下載時,可以儲存、編輯、複製和列印收件者從 Office 應用程式 數據列。 當檔由收件者儲存時,它可以儲存到新的名稱,甚至是不同的格式。 不過,只有支援保護的檔案格式可供使用,因此若沒有原始保護,就無法儲存檔。 如果您想要不同的附件許可權,或您的附件不是支援此繼承保護的 Office 檔,請先保護檔案,再將它附加至電子郵件。 然後,您可以指派檔案所需的特定許可權。
或者,您可以使用 Exchange Online PowerShell 指定 Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
,以變更檔的這項保護繼承。 當您不需要在使用者驗證之後保留檔的原始保護時,請使用此設定。 當收件者開啟電子郵件訊息時,檔不會受到保護。
如果您需要附加檔來保留原始保護,請參閱使用 Azure 資訊保護 保護檔共同作業。
注意
如果您看到 DecryptAttachmentFromPortal 的參考,此參數現在已淘汰為 Set-IRMConfiguration。 除非您先前已設定此參數,否則無法使用。
使用 Exchange Online 自動加密 PDF 檔
當 Exchange Online 使用 Office 365 郵件加密的新功能時,您可以在附加至加密電子郵件時自動加密未受保護的 PDF 檔。 檔會繼承與電子郵件訊息相同的許可權。 若要啟用此設定,請使用 Set-IRMConfiguration 設定 EnablePdfEncryption $True。
尚未安裝支援 PDF 加密 ISO 標準的讀取器收件者可以安裝其中一個支援 Microsoft Purview 資訊保護 之 PDF 讀取器中所列的讀取器。 或者,收件者可以在 OME 入口網站中讀取受保護的 PDF 檔。
Rights Management 簽發者和 Rights Management 擁有者
使用 Azure Rights Management 服務保護檔或電子郵件時,保護該內容的帳戶會自動成為該內容的 Rights Management 簽發者。 此帳戶會記錄為使用量記錄中的簽發者欄位。
Rights Management 簽發者一律獲得檔或電子郵件的完整控制許可權,此外:
如果保護設定包含到期日,Rights Management 簽發者仍然可以在該日期之後開啟和編輯檔或電子郵件。
Rights Management 簽發者一律可以離線存取檔或電子郵件。
Rights Management 簽發者在撤銷檔后仍可開啟檔。
根據預設,此帳戶也是 該內容的 Rights Management 擁有者 ,也就是建立檔或電子郵件的使用者起始保護時的情況。 但在某些情況下,系統管理員或服務可以代表用戶保護內容。 例如:
系統管理員會大量保護檔案共用上的檔案:Microsoft Entra ID 中的系統管理員帳戶會保護用戶的檔。
Rights Management 連接器會保護 Windows Server 資料夾中的 Office 檔:Microsoft為 RMS 連接器建立的服務主體帳戶會保護使用者的檔。
在這些案例中,Rights Management 簽發者可以使用 Azure 資訊保護 SDK 或 PowerShell,將 Rights Management 擁有者指派給另一個帳戶。 例如,當您搭配 Azure 資訊保護 用戶端使用 Protect-RMSFile PowerShell Cmdlet 時,您可以指定 OwnerEmail 參數,將 Rights Management 擁有者指派給另一個帳戶。
當 Rights Management 簽發者代表用戶保護時,指派 Rights Management 擁有者可確保原始檔或電子郵件擁有者對其受保護內容擁有相同的控制層級,就像他們自行起始保護一樣。
例如,建立文件的使用者可以列印檔,即使它現在受到未包含列印許可權的範本保護也一樣。 不論該範本中可能已設定的離線存取設定或到期日為何,相同的使用者一律可以存取其檔。 此外,由於 Rights Management 擁有者具有完全控制許可權,因此此使用者也可以重新保護檔以授與其他使用者存取權(此時使用者會成為 Rights Management 簽發者和 Rights Management 擁有者),而且此使用者甚至可以移除保護。 不過,只有 Rights Management 簽發者可以追蹤和撤銷檔。
文件或電子郵件的 Rights Management 擁有者會記錄為使用記錄中的擁有者-電子郵件欄位。
注意
Rights Management 擁有者與 Windows 文件系統擁有者無關。 它們通常相同,但可能不同,即使您不使用 SDK 或 PowerShell 也一樣。
Rights Management 使用權限
當用戶開啟受 Azure Rights Management 保護的檔或電子郵件時,會將該內容的 Rights Management 使用授權授與給使用者。 此使用授權是憑證,其中包含檔或電子郵件訊息的使用者使用權,以及用來加密內容的加密密鑰。 如果已設定,則使用授權也會包含到期日,以及使用授權的有效時間。
使用者除了許可權帳戶憑證 (RAC) 之外,還必須有有效的使用授權才能開啟內容,這是在初始化用戶環境時授與的憑證,然後每隔 31 天更新一次。
在使用授權期間,使用者不會重新驗證或重新授權內容。 這可讓用戶在沒有因特網連線的情況下繼續開啟受保護的檔或電子郵件。 當使用授權有效期限到期時,下次使用者存取受保護的檔或電子郵件時,用戶必須重新驗證並重新授權。
使用標籤或定義保護設定的範本來保護檔和電子郵件訊息時,您可以在標籤或範本中變更這些設定,而不需要重新保護內容。 如果用戶已經存取內容,變更會在其使用授權過期後生效。 不過,當使用者套用自定義許可權(也稱為臨機操作許可權原則)且這些許可權必須在檔或電子郵件受到保護之後變更時,該內容必須再次受到新的許可權保護。 電子郵件訊息的自訂許可權是使用 [不可轉寄] 選項來實作。
租用戶的預設使用授權有效期間為 30 天,您可以使用 PowerShell Cmdlet Set-AipServiceMaxUseLicenseValidityTime 來設定此值。 您可以使用設定為立即指派權限的敏感度標籤,或樣本,為 套用保護時設定更嚴格的設定:
當您設定敏感度標籤時,使用授權有效期間會從 [允許離線存取 ] 設定取得其值。
如需為敏感度標籤設定此設定的詳細資訊和指引,請參閱指示如何 立即 為敏感度標籤設定許可權的建議表格。
當您使用 PowerShell 設定範本時,使用授權有效期間會從 Set-AipServiceTemplateProperty 和 Add-AipServiceTemplate Cmdlet 中的 LicenseValidityDuration 參數取得其值。
如需使用PowerShell來設定此設定的詳細資訊和指引,請參閱每個 Cmdlet 的說明。