Konfigurace oprávnění k používání služby Azure Information Protection
Tento článek popisuje práva na používání, která můžete nakonfigurovat tak, aby se automaticky použila, když uživatelé, správci nebo nakonfigurované služby vyberou popisek nebo šablonu.
Práva k používání se vybírají při konfiguraci popisků citlivosti nebo šablon ochrany pro šifrování. Můžete například vybrat role, které konfigurují logické seskupení práv k používání, nebo nakonfigurovat jednotlivá práva samostatně. Případně si uživatelé můžou práva na používání vybrat a použít sami.
Pro úplnost tento článek obsahuje hodnoty z portálu Azure Classic, který byl vyřazen 8. ledna 2018.
Důležité
V tomto článku se dozvíte, jak jsou práva na používání navržena tak, aby byla interpretována aplikacemi.
Aplikace se můžou lišit v tom, jak implementují práva k používání, a proto doporučujeme, abyste se před nasazením do produkčního prostředí poradili s dokumentací vaší aplikace a provedli vlastní testování, abyste zkontrolovali chování aplikace.
Práva na používání a popisy
Následující tabulka shrnuje a popisuje práva na používání, která Rights Management podporuje, a způsob jejich používání a interpretace. Jsou uvedeny podle jejich běžného názvu, což je obvykle způsob, jak můžete zobrazit právo na použití nebo odkazovat jako popisnější verzi jednoslovné hodnoty, která se používá v kódu (hodnota Kódování v zásadách ).
V této tabulce:
Konstanta nebo hodnota rozhraní API je název sady SDK pro volání rozhraní API MSIPC nebo Microsoft Purview Information Protection SDK, který se používá při psaní aplikace, která kontroluje práva na používání, nebo přidává právo na používání k zásadám.
Centrum pro správu popisků je Portál dodržování předpisů Microsoft Purview, kde konfigurujete popisky citlivosti.
| Práva k používání | Popis | Implementace |
|---|---|---|
| Běžný název: Upravit obsah, Upravit Kódování v zásadě: DOCEDIT |
Umožňuje uživateli upravovat, měnit uspořádání, formátovat nebo řadit obsah uvnitř aplikace, což zahrnuje Office na webu. Neuděluje právo uložit upravenou kopii. Pokud v Word nemáte Office 365 ProPlus s minimální verzí 1807, toto právo nestačí k zapnutí nebo vypnutí sledování změn nebo k použití všech funkcí sledování změn jako revidující. Pokud chcete místo toho použít všechny možnosti sledování změn, musíte mít následující právo: Úplné řízení. |
Vlastní práva Office: jako součást možností Změnit a Úplné řízení. Název na portálu Azure Classic: Upravit obsah Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Upravit obsah, upravit (DOCEDIT) Název v šablonách služby AD RMS: Upravit Konstanta nebo hodnota API: MSIPC: Nejde použít. MIP SDK: DOCEDIT |
| Běžný název: Uložit Kódování v zásadě: UPRAVIT |
Umožňuje uživateli uložit dokument do aktuálního umístění. V Office na webu také umožňuje uživateli upravovat obsah. V aplikacích Office toto právo umožňuje uživateli uložit soubor do nového umístění a pod novým názvem, pokud má vybraný formát souborů integrovanou podporu ochrany Rights Management. Omezení formátu souboru zajišťuje, že původní ochranu nelze ze souboru odebrat. |
Vlastní práva Office: jako součást možností Změnit a Úplné řízení. Název na portálu Azure Classic: Uložit soubor Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Uložit (EDIT) Název v šablonách služby AD RMS: Uložit Konstanta nebo hodnota API: MSIPC: IPC_GENERIC_WRITE L"EDIT" MIP SDK: EDIT |
| Běžný název: Komentář Kódování v zásadě: KOMENTÁŘ |
Umožňuje přidat poznámky nebo komentáře k obsahu. Toto právo je k dispozici v sadě SDK, je dostupné jako zásada ad hoc v modulu AzureInformationProtection a RMS Protection pro Windows PowerShell a bylo implementované v některých aplikacích dodavatelů softwaru. Není ale široce používán a aplikace Office ho nepodporují. |
Implementace ve vlastních právech Office: není implementováno. Název na portálu Azure Classic: není implementováno. Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Není implementováno. Název v šablonách služby AD RMS: není implementováno. Konstanta nebo hodnota API: MSIPC: IPC_GENERIC_COMMENT L"COMMENT MIP SDK: COMMENT |
| Běžný název: Uložit jako, Export Kódování v zásadě: EXPORT |
Umožňuje uložit obsah s jiným názvem souboru (Uložit jako). V případě klienta Azure Information Protection je možné soubor uložit bez ochrany a také znovu nastavit ochranu pomocí nových nastavení a oprávnění. Tyto povolené akce znamenají, že uživatel s tímto právem může změnit nebo odebrat popisek azure Information Protection z chráněného dokumentu nebo e-mailu. Toto právo také umožňuje uživateli provádět další možnosti exportu v aplikacích, jako je například Odeslat do aplikace OneNote. |
Vlastní práva Office: Jako součást možnosti Úplné řízení . Název na portálu Azure Classic: Exportovat obsah (uložit jako) Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Uložit jako, Exportovat (EXPORTOVAT) Název v šablonách služby AD RMS: Exportovat (uložit jako) Konstanta nebo hodnota API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" MIP SDK: EXPORT |
| Běžný název: Předat dál Kódování v zásadě: PŘEDAT |
Umožňuje předat dál e-mailovou zprávu a přidat příjemce do řádku Komu a Kopie. Toto právo se nevztahuje na dokumenty, jenom na e-mailové zprávy. Neumožňuje předávajícímu udělovat práva jiným uživatelům v rámci akce předávání dál. Když toto právo udělíte, udělte také právo Upravit obsah, Upravit (běžný název) a navíc udělte právo Uložit (běžný název), aby se zajistilo, že chráněná e-mailová zpráva nebude doručena jako příloha. Tato práva také zajistěte, když posíláte e-mail jiné organizaci, která používá klienta Outlook nebo Outlook Web App. Nebo pro uživatele ve vaší organizaci, kteří jsou z používání ochrany Rights Management vyloučeni, protože jste implementovali ovládací prvky onboardingu. |
Vlastní práva Office: zamítnuto při použití standardní zásady Nepředávat. Název na portálu Azure Classic: Předat Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Přeposlat (PŘEPOSLAT) Název v šablonách služby AD RMS: Předat Konstanta nebo hodnota API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" MIP SDK: FORWARD |
| Běžný název: Úplné řízení Kódování v zásadě: VLASTNÍK |
Uděluje všechna práva k dokumentu a možnost provádět všechny dostupné akce. Zahrnuje možnost odebrat ochranu a znovunastavení ochrany dokumentu. Toto právo na používání není stejné jako vlastník Rights Managementu. |
Vlastní práva Office: jako vlastní možnost Úplné řízení. Název na portálu Azure Classic: Úplné řízení Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Úplné řízení (VLASTNÍK) Název v šablonách služby AD RMS: Úplné řízení Konstanta nebo hodnota API: MSIPC: IPC_GENERIC_ALL L"OWNER" MIP SDK: OWNER |
| Běžný název: Tisk Kódování v zásadě: TISK |
Povolí možnosti tisknout obsah. | Vlastní práva Office: jako možnost Tisk obsahu ve vlastním oprávnění. Není to individuální nastavení. Název na portálu Azure Classic: Tisk Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Print (PRINT) Název v šablonách služby AD RMS: Tisk Konstanta nebo hodnota API: MSIPC: IPC_GENERIC_PRINT L"PRINT" MIP SDK: PRINT |
| Běžný název: Odpovědět Kódování v zásadě: ODPOVĚDĚT |
Aktivuje možnost Odpovědět v e-mailovém klientovi beze povolení změn na řádcích Komu nebo Kopie. Když toto právo udělíte, udělte také právo Upravit obsah, Upravit (běžný název) a navíc udělte právo Uložit (běžný název), aby se zajistilo, že chráněná e-mailová zpráva nebude doručena jako příloha. Tato práva také zajistěte, když posíláte e-mail jiné organizaci, která používá klienta Outlook nebo Outlook Web App. Nebo pro uživatele ve vaší organizaci, kteří jsou z používání ochrany Rights Management vyloučeni, protože jste implementovali ovládací prvky onboardingu. |
Implementace ve vlastních právech Office: není k dispozici. Název na portálu Azure Classic: Odpovědět Název na portálu Azure Classic: Odpovědět (REPLY) Název v šablonách služby AD RMS: Odpovědět Konstanta nebo hodnota API: MSIPC: IPC_EMAIL_REPLY MIP SDK: REPLY |
| Běžný název: Odpovědět všem Kódování v zásadě: ODPOVĚDĚT VŠEM |
Aktivuje možnost Odpovědět všem v e-mailovém klientovi, ale neumožňuje uživateli přidat příjemce do polí Komu nebo Kopie. Když toto právo udělíte, udělte také právo Upravit obsah, Upravit (běžný název) a navíc udělte právo Uložit (běžný název), aby se zajistilo, že chráněná e-mailová zpráva nebude doručena jako příloha. Tato práva také zajistěte, když posíláte e-mail jiné organizaci, která používá klienta Outlook nebo Outlook Web App. Nebo pro uživatele ve vaší organizaci, kteří jsou z používání ochrany Rights Management vyloučeni, protože jste implementovali ovládací prvky onboardingu. |
Implementace ve vlastních právech Office: není k dispozici. Název na portálu Azure Classic: Odpovědět všem Jméno v Portál dodržování předpisů Microsoft Purview a Azure Portal: Odpovědět všem (ODPOVĚDĚT VŠEM) Název v šablonách služby AD RMS: Odpovědět všem Konstanta nebo hodnota API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" MIP SDK: REPLYALL |
| Běžný název: Zobrazit, Otevřít, Číst Kódování v zásadě: ZOBRAZIT |
Umožňuje uživateli otevřít dokument a zobrazit obsah. V Excelu toto právo nestačí k řazení dat, což vyžaduje následující práva: Upravit obsah, Upravit. K filtrování dat v Excelu potřebujete následující dvě práva: Upravit obsah, Upravit a Kopírovat. |
Vlastní práva Office: jako vlastní možnost Čtení a možnost Zobrazení. Název na portálu Azure Classic: Zobrazení Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Zobrazit, Otevřít, Číst (VIEW) Název v šablonách služby AD RMS: Číst Konstanta nebo hodnota API: MSIPC: IPC_GENERIC_READ L"VIEW" MIP SDK: VIEW |
| Běžný název: Kopírovat Kódování v zásadě: EXTRACT |
Povolí možnost kopírovat data (včetně snímků obrazovky) z dokumentu do stejného nebo jiného dokumentu. V některých aplikacích také umožňuje uložit celý dokument v nechráněné podobě. V Skype pro firmy a podobných aplikacích pro sdílení obrazovky musí mít prezentující toto právo k úspěšné prezentaci chráněného dokumentu. Pokud prezentující toto právo nemá, účastníci nebudou moct dokument zobrazit a dokument se jim zobrazí jako začerněný. |
Vlastní práva Office: Stejná jako možnost vlastní zásady Povolit uživatelům s přístupem pro čtení kopírovat obsah. Název na portálu Azure Classic: Kopírování a extrahování obsahu Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Copy (EXTRACT) Název v šablonách služby AD RMS: Extrahovat Konstanta nebo hodnota API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" MIP SDK: EXTRACT |
| Běžný název: Zobrazit práva Kódování v zásadě: VIEWRIGHTSDATA |
Umožňuje uživatelům zobrazit zásadu, která je použitá v dokumentu. Aplikace Office ani klienti Azure Information Protection nepodporují. |
Implementace ve vlastních právech Office: není implementováno. Název na portálu Azure Classic: Zobrazení přiřazených práv Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Zobrazit práva (VIEWRIGHTSDATA) Název v šablonách služby AD RMS: Zobrazit práva Konstanta nebo hodnota API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" MIP SDK: VIEWRIGHTSDATA |
| Běžný název: Změnit práva Kódování v zásadě: EDITRIGHTSDATA |
Umožňuje uživatelům změnit zásadu, která je použitá v dokumentu. Včetně možnosti odebrání ochrany. Aplikace Office ani klienti Azure Information Protection nepodporují. |
Implementace ve vlastních právech Office: není implementováno. Název na portálu Azure Classic: Změnit práva Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Upravit práva (EDITRIGHTSDATA). Název v šablonách služby AD RMS: Upravit práva Konstanta nebo hodnota API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" MIP SDK: EDITRIGHTSDATA |
| Běžný název: Povolit makra Kódování v zásadě: OBJMODEL |
Aktivuje možnost spouštět makra nebo jiný programový nebo vzdálený přístup k obsahu v dokumentu. | Vlastní práva Office: jako vlastní možnost zásad Povolit programovací přístup. Není to individuální nastavení. Název na portálu Azure Classic: Povolit makra Název v Portál dodržování předpisů Microsoft Purview a Azure Portal: Povolit makra (OBJMODEL) Název v šablonách služby AD RMS: Povolit makra Konstanta nebo hodnota rozhraní API: MSIPC: Není implementováno. MIP SDK: OBJMODEL |
Práva, která jsou zahrnutá na úrovních oprávnění
Některé aplikace seskupují práva na používání do úrovní oprávnění, aby bylo jednodušší vybírat práva na používání, která se běžně používají společně. Tyto úrovně oprávnění pomáhají uživatelům zjednodušit postupy, aby si mohli vybírat možnosti, které jsou založené na rolích. Existují třeba úrovně Revidující a Spoluautor. I když tyto možnosti často uživatelům zobrazují souhrn jejich práv, nemusí obsahovat všechna práva uvedená v předchozí tabulce.
V následující tabulce najdete seznam těchto úrovní oprávnění a úplný seznam práv k používání, která obsahují. Práva k používání jsou uvedena podle jejich běžného názvu.
| Úroveň oprávnění | Aplikace | Zahrnutá práva na používání |
|---|---|---|
| Prohlížející | portál Azure Classic portál Azure Klient služby Azure Information Protection pro Windows |
Zobrazit, otevřít, číst; Zobrazit práva; Odpověď [1]; Odpovědět všem [1]; Povolit makra [2] Poznámka: Pro e-maily místo této úrovně oprávnění použijte Kontrolora, aby se zaručilo, že odpověď na e-mail bude přijata jako e-mailová zpráva a ne jako příloha. Kontrolor je také nutný, když odesíláte e-mail do jiné organizace, která používá klienta Outlook nebo webovou aplikaci Outlook. Nebo pro uživatele ve vaší organizaci, kteří jsou vyloučeni z používání služby Azure Rights Management, protože jste implementovali ovládací prvky onboardingu. |
| Kontrolor | portál Azure Classic portál Azure Klient služby Azure Information Protection pro Windows |
Zobrazit, otevřít, číst; Uložit; Upravit obsah, Upravit; Zobrazit práva; Odpovědět: Odpovědět všem [3]; Přeposlat [3]; Povolit makra [2] |
| Spoluautor | portál Azure Classic portál Azure Klient služby Azure Information Protection pro Windows |
Zobrazit, otevřít, číst; Uložit; Upravit obsah, Upravit; Kopírovat; Zobrazit práva; Povolit makra; Uložit jako, exportovat [4]; Tisk; Odpověď [3]; Odpovědět všem [3]; Přeposlat [3] |
| Spoluvlastník | portál Azure Classic portál Azure Klient služby Azure Information Protection pro Windows |
Zobrazit, otevřít, číst; Uložit; Upravit obsah, Upravit; Kopírovat; Zobrazit práva; Změnit práva; Povolit makra; Uložit jako, Exportovat; Tisk; Odpověď [3]; Odpovědět všem [3]; Přeposlat [3]; Úplné řízení |
Poznámka pod čarou 1
Není součástí Portál dodržování předpisů Microsoft Purview nebo Azure Portal.
Poznámka pod čarou 2
Pro klienta Azure Information Protection pro Windows je toto právo vyžadováno pro panel Information Protection v aplikacích Office.
Poznámka pod čarou 3
Nevztahuje se na klienta Azure Information Protection pro Windows.
Poznámka pod čarou 4
Není součástí Portál dodržování předpisů Microsoft Purview, Azure Portal nebo klienta Azure Information Protection pro Windows.
Možnost Nepředávat dál pro e-maily
Klienti a služby Exchange (například klient Outlooku, Outlook na webu, pravidla toku pošty Exchange a akce ochrany před únikem informací pro Exchange) mají pro e-maily další možnost ochrany práv k informacím: Nepřeposílat.
Přestože se tato možnost uživatelům (a správcům systému Exchange) zobrazuje, jako kdyby to byla výchozí šablona služby Rights Management, Nepředávat dál není šablona. To vysvětluje, proč ho nevidíte v Azure Portal při prohlížení a správě šablon ochrany. Místo toho je možnost Nepřeposílat sadu práv k používání, která uživatelé dynamicky aplikují na příjemce e-mailu.
Když se u e-mailu použije možnost Nepřeposílat , e-mail se zašifruje a příjemci musí být ověřeni. Příjemci ho pak nebudou moct přeposlat, vytisknout nebo zkopírovat. Například v klientovi Outlooku není k dispozici tlačítko Přeposlat, nejsou dostupné možnosti nabídky Uložit jako a Tisk a v polích Komu, Kopie nebo Skrytá není možné přidávat ani měnit příjemce.
Nechráněné dokumenty Office připojené k e-mailu automaticky dědí stejná omezení. Práva na používání těchto dokumentů jsou Upravit obsah, Upravit; Uložit; Zobrazit, otevřít, číst; a Povolit makra. Pokud chcete pro přílohu použít různá práva nebo pokud příloha není dokument Office, který tuto zděděnou ochranu podporuje, před připojením k e-mailu soubor zachovejte. Pak můžete přiřadit konkrétní práva k používání, která k souboru potřebujete.
Rozdíl mezi neudělovat dál a neudělovat právo na využití vpřed
Existuje důležitý rozdíl mezi použitím možnosti Nepřeposílat a použitím šablony, která neuděluje e-mailu právo na použití přeposlat : Možnost Nepřeposílat používá dynamický seznam oprávněných uživatelů, který je založený na uživatelově zvoleném příjemci původního e-mailu. zatímco práva v šabloně mají statický seznam oprávněných uživatelů, který správce určil dříve. V čem je rozdíl? Vezměme si příklad:
Uživatel chce konkrétním lidem v oddělení marketingu e-mailem poslat nějaké informace, které by neměl vidět nikdo jiný. Má tento e-mail chránit pomocí šablony, která omezuje práva (zobrazení, odeslání odpovědi a uložení) jenom na oddělení marketingu? Nebo má vybrat možnost Nepředávat dál? Obě možnosti povedou k tomu, že příjemci nebudou moct příslušný e-mail přeposlat.
Pokud se použije šablona, příjemci budou moct sdílet informace s ostatními pracovníky marketingového oddělení. Příjemce by mohl třeba pomocí Průzkumníku přetáhnout e-mail na sdílené umístění nebo jednotku USB. Informace v e-mailu si pak může prohlédnout kdokoli z marketingového oddělení (a vlastník e-mailu), kdo má k tomuto umístění přístup.
Pokud se použije možnost Nepředávat dál, příjemci nebudou moct přesunout e-mail do jiného umístění a sdílet tak tyto informace ostatními z marketingového oddělení. V tomto scénáři budou moct informace v e-mailu zobrazit jenom původní příjemci tohoto e-mailu.
Poznámka
Možnost Nepředávat dál použijte, pokud je důležité, aby obsah e-mailu viděli jenom příjemci, které vybral odesilatel. Šablonu použijte pro omezení práv na skupinu osob, které správce určí předem, nezávisle na tom, jaké příjemce zvolí odesilatel.
Možnost Pouze šifrování pro e-maily
Když Exchange Online použije nové funkce pro šifrování zpráv Office 365, zpřístupní se nová možnost Šifrovat e-mail, která zašifruje data bez dalších omezení.
Tato možnost je dostupná pro tenanty, kteří používají Exchange Online, a je možné ji vybrat následujícím způsobem:
- V Outlook na webu s možností Šifrovat nebo popiskem citlivosti, který je nakonfigurovaný pro možnost Povolit uživatelům přiřazovat oprávnění a možnost Pouze šifrování.
- Jako další možnost ochrany práv pro pravidlo toku pošty
- Jako Office 365 akci ochrany před únikem informací
- Z aplikace Outlook pro stolní počítače a mobilní zařízení:
- S popiskem citlivosti, který je nakonfigurovaný pro možnost Umožnit uživatelům přiřazovat oprávnění a možnost Jen zašifrovat , pro Windows, macOS, iOS a Android použijete integrované popisky s minimálními verzemi uvedenými v tabulce pro funkce popisků citlivosti v Outlooku.
- Pokud máte aplikace Microsoft 365, které podporují Azure Rights Management, použijte možnost Šifrovat ve Windows a macOS v tabulce podporovaných verzí pro Microsoft 365 Apps podle kanálu aktualizací.
Další informace o možnosti pouze šifrování najdete v následujícím blogovém příspěvku, který byl poprvé oznámen týmem Office: Šifrování pouze v Office 365 Šifrování zpráv.
Když vyberete tuto možnost, e-mail se zašifruje a příjemci musí být ověřeni. Příjemci pak mají všechna práva k používání kromě možnosti Uložit jako, Exportovat a Úplné řízení. Tato kombinace práv k používání znamená, že příjemci nemají žádná omezení kromě toho, že nemůžou ochranu odebrat. Příjemce může například zkopírovat e-mail, vytisknout ho a přeposlat.
Podobně ve výchozím nastavení zdědí stejná oprávnění i nechráněné dokumenty Office , které jsou připojené k e-mailu. Tyto dokumenty jsou automaticky chráněné a příjemci je můžou po stažení ukládat, upravovat, kopírovat a tisknout z aplikací Office. Když je dokument uložen příjemcem, může být uložen pod novým názvem a dokonce i v jiném formátu. Jsou však k dispozici pouze formáty souborů, které podporují ochranu, takže dokument nelze uložit bez původní ochrany. Pokud chcete pro přílohu použít různá práva nebo pokud příloha není dokument Office, který tuto zděděnou ochranu podporuje, před připojením k e-mailu soubor zachovejte. Pak můžete přiřadit konkrétní práva k používání, která k souboru potřebujete.
Alternativně můžete tuto dědičnost ochrany dokumentů změnit zadáním Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $trueExchange Online PowerShellu. Tuto konfiguraci použijte, pokud po ověření uživatele nepotřebujete zachovat původní ochranu dokumentu. Když příjemci otevřou e-mailovou zprávu, dokument není chráněný.
Pokud k zachování původní ochrany potřebujete připojený dokument, přečtěte si téma Zabezpečení spolupráce na dokumentech pomocí Azure Information Protection.
Poznámka
Pokud se zobrazí odkazy na DecryptAttachmentFromPortal, je tento parametr pro Set-IRMConfiguration zastaralý. Pokud jste tento parametr nenastavili dříve, není k dispozici.
Automatické šifrování dokumentů PDF pomocí Exchange Online
Když Exchange Online používá nové funkce pro šifrování zpráv Office 365, můžete automaticky šifrovat nechráněné dokumenty PDF, když jsou připojené k zašifrovanému e-mailu. Dokument dědí stejná oprávnění jako pro e-mailovou zprávu. Pokud chcete tuto konfiguraci povolit, nastavte EnablePdfEncryption $True pomocí Set-IRMConfiguration.
Příjemci, kteří ještě nemají nainstalovanou čtečku, která podporuje standard ISO pro šifrování PDF, si můžou nainstalovat jednu ze čteček uvedených ve čtečkách PDF, které podporují Microsoft Purview Information Protection. Případně si můžou příjemci přečíst chráněný dokument PDF na portálu OME.
Vystavitel a vlastník Rights Managementu
Když je dokument nebo e-mail chráněný pomocí služby Azure Rights Management, stane se účet, který obsah chrání, automaticky vystavitelem Rights Managementu pro tento obsah. Tento účet se zaznamená jako vystavitel (issuer) v protokolech použití.
Vystavitel Rights Managementu má pro dokument nebo e-mail vždy právo na používání Úplné řízení a navíc:
Pokud nastavení ochrany zahrnují datum konce platnosti, může vystavitel Rights Managementu dokument nebo e-mail otevřít a upravit i po tomto datu.
Vystavitel Rights Managementu má k dokumentu nebo e-mailu kdykoli přístup v režimu offline.
Vystavitel Rights Management může dokument otevřít i po jeho odvolání.
Ve výchozím nastavení je tento účet také vlastníkem Rights Managementu pro daný obsah. Je tomu tak v případě, kdy ochranu iniciuje uživatel, který dokument nebo e-mail vytvořil. Existují ale scénáře, kdy může obsah jménem uživatelů chránit správce nebo služba. Příklad:
Správce hromadně chrání soubory ve sdílené složce: účet správce v Azure AD chrání dokumenty pro uživatele.
Rights Management Connector chrání dokumenty Office ve složce Windows Serveru: hlavní účet služby v Azure AD, který je vytvořený pro RMS Connector, chrání dokumenty pro uživatele.
V těchto scénářích může vystavitel Rights Managementu vlastníka Rights Managementu přiřadit jinému účtu pomocí sad SDK Azure Information Protection nebo pomocí PowerShellu. Když třeba použijete rutinu PowerShellu Protect-RMSFile s klientem Azure Information Protection, můžete zadáním parametru OwnerEmail přiřadit vlastníka Rights Managementu jinému účtu.
Když vystavitel Rights Managementu chrání jménem uživatelů, pak přiřazení vlastníka Rights Managementu zajistí, že původní vlastník dokumentu nebo e-mailu bude mít stejnou úroveň kontroly nad chráněným obsahem, jako kdyby ochranu inicioval sám.
Například uživatel, který vytvořil dokument, ho může vytisknout, i když je teď chráněný šablonou, která neobsahuje právo na používání Tisk. Stejný uživatel má ke svému dokumentu vždy přístup bez ohledu na nastavení přístupu v režimu offline nebo datum konce platnosti, které může být v šabloně nakonfigurované. Vzhledem k tomu, že vlastník služby Rights Management má oprávnění k použití Úplné řízení, může tento uživatel také znovu nastavit ochranu dokumentu a udělit přístup dalším uživatelům (v takovém okamžiku se uživatel stane vystavitelem služby Rights Management i vlastníkem služby Rights Management) a tento uživatel může ochranu dokonce odebrat. Sledovat a zrušit dokument může ale jenom vystavitelem Rights Managementu.
Vlastník Rights Managementu pro dokument nebo e-mail se zaznamená jako vlastník e-mailu v protokolech použití.
Poznámka
Vlastník služby Rights Management je nezávislý na vlastníkovi systému souborů Windows. Často bývají stejní, ale můžou se lišit, i když nepoužijete sady SDK nebo PowerShell.
Licence na používání služby Rights Management
Když uživatel otevře dokument nebo e-mail, který je chráněný službou Azure Rights Management, udělí se mu licence k použití rights managementu pro daný obsah. Tato licence k použití je certifikát, který obsahuje práva uživatele k používání dokumentu nebo e-mailové zprávy a šifrovací klíč, který byl použit k šifrování obsahu. Licence k použití obsahuje také datum vypršení platnosti, pokud je nastavené a jak dlouho je licence k použití platná.
Uživatel musí mít kromě svého certifikátu účtu práv (RAC) platnou licenci k použití k otevření obsahu, což je certifikát, který se uděluje při inicializaci uživatelského prostředí a poté každých 31 dní obnovuje.
Po dobu trvání licence k použití se uživateli obsah znovu neověří ani neautorizuje. To uživateli umožní pokračovat v otevírání chráněného dokumentu nebo e-mailu bez připojení k internetu. Když vyprší doba platnosti licence pro použití, při příštím přístupu uživatele k chráněnému dokumentu nebo e-mailu musí být uživatel znovu autorizován a znovu autorizován.
Když jsou dokumenty a e-mailové zprávy chráněné pomocí popisku nebo šablony, která definuje nastavení ochrany, můžete tato nastavení v popisku nebo šabloně změnit, aniž byste museli znovu chránit obsah. Pokud uživatel už k obsahu přistupoval, změny se projeví po vypršení jeho licence k použití. Pokud ale uživatelé použijí vlastní oprávnění (označovaná také jako ad hoc zásady práv) a tato oprávnění se musí po zamknutém dokumentu nebo e-mailu změnit, musí se tento obsah znovu chránit pomocí nových oprávnění. Vlastní oprávnění pro e-mailovou zprávu se implementují pomocí možnosti Nepřeposílat.
Výchozí doba platnosti licence pro tenanta je 30 dnů a tuto hodnotu můžete nakonfigurovat pomocí rutiny PowerShellu Set-AipServiceMaxUseLicenseValidityTime. Můžete nakonfigurovat více omezující nastavení pro použití ochrany pomocí popisku citlivosti, který je nakonfigurovaný pro přiřazení oprávnění nyní, nebo šablony:
Když nakonfigurujete popisek citlivosti, doba platnosti licence pro použití převezme hodnotu z nastavení Povolit offline přístup .
Další informace a pokyny ke konfiguraci tohoto nastavení pro popisek citlivosti najdete v tabulce doporučení z pokynů, jak nakonfigurovat oprávnění pro popisek citlivosti.
Při konfiguraci šablony pomocí PowerShellu přebírá doba platnosti licence hodnotu z parametru LicenseValidityDuration v rutinách Set-AipServiceTemplateProperty a Add-AipServiceTemplate .
Další informace a pokyny ke konfiguraci tohoto nastavení pomocí PowerShellu najdete v nápovědě k jednotlivým rutinám.