Konfigurace oprávnění k používání služby Azure Information Protection

Tento článek popisuje práva k používání, která můžete nakonfigurovat tak, aby se automaticky použila při výběru popisku nebo šablony uživateli, správci nebo nakonfigurovanými službami.

Práva k používání se vyberou při konfiguraci popisků citlivosti nebo šablon ochrany pro šifrování. Můžete například vybrat role, které konfigurují logické seskupení práv k používání, nebo nakonfigurovat jednotlivá práva samostatně. Případně můžou uživatelé vybrat a použít práva k používání sami.

Pro úplnost tento článek obsahuje hodnoty z portálu Azure Classic, který byl vyřazen z 8. ledna 2018.

Důležité

V tomto článku se dozvíte, jak jsou práva k používání navržena tak, aby byla interpretována aplikacemi.

Aplikace se můžou lišit v tom, jak implementují práva k používání, a doporučujeme si prohlédnout dokumentaci vaší aplikace a provést vlastní testování a zkontrolovat chování aplikace před nasazením v produkčním prostředí.

Práva k používání a popisy

Následující tabulka uvádí a popisuje práva k používání, která Rights Management podporuje, a způsob jejich použití a interpretace. Jsou uvedeny podle jejich běžného názvu, což je obvykle způsob, jak se může zobrazit právo použití zobrazené nebo odkazované, jako popisnější verze jednoslovné hodnoty, která se používá v kódu ( kódování v hodnotě zásad ).

V této tabulce:

  • Konstanta nebo hodnota rozhraní API je název sady SDK MSIPC nebo volání rozhraní API sady Microsoft Purview Information Protection, které se používá při psaní aplikace, která kontroluje práva k použití, nebo přidává práva na používání k zásadám.

  • Centrum pro správu popisků je Portál dodržování předpisů Microsoft Purview, kde konfigurujete popisky citlivosti.

Právo na používání Popis Implementace
Běžný název: Upravit obsah, Upravit

Kódování v zásadě: DOCEDIT
Umožňuje uživateli upravovat, měnit uspořádání, formátovat nebo řadit obsah uvnitř aplikace, který zahrnuje Office na webu. Neuděluje právo uložit upravenou kopii.

Pokud ve Wordu nemáte Office 365 ProPlus s minimální verzí 1807, není toto právo dostatečné k zapnutí nebo vypnutí funkce Sledování změn nebo použití všech funkcí sledování změn jako kontrolor. Místo toho pro použití všech možností sledování změn vyžaduje následující právo: Úplné řízení.
Vlastní práva Office: Jako součást možností změny a úplného řízení

Název na portálu Azure Classic: Upravit obsah

Název na webu Portál dodržování předpisů Microsoft Purview a webu Azure Portal: Upravit obsah, úpravy (DOCEDIT)

Název v šablonách služby AD RMS: Upravit

Konstanta nebo hodnota rozhraní API:
MSIPC: Nejde použít.
MIP SDK:DOCEDIT
Běžný název: Uložit

Kódování v zásadách: EDIT
Umožňuje uživateli uložit dokument do aktuálního umístění. V Office na webu také umožňuje uživateli upravovat obsah.

V aplikace Office lications toto právo umožňuje uživateli uložit soubor do nového umístění a s novým názvem, pokud má vybraný formát souboru integrovanou podporu ochrany Rights Management. Omezení formátu souboru zajišťuje, že původní ochranu nelze ze souboru odebrat.
Vlastní práva Office: Jako součást možností změny a úplného řízení

Název na portálu Azure Classic: Uložit soubor

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Uložit (UPRAVIT)

Název v šablonách služby AD RMS: Uložit

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_GENERIC_WRITE L"EDIT"
MIP SDK:EDIT
Běžný název: Komentář

Kódování v zásadách: COMMENT
Umožňuje přidávat do obsahu poznámky nebo komentáře.

Toto právo je k dispozici v sadě SDK, je k dispozici jako ad hoc zásada v modulu AzureInformationProtection a RMS Protection pro Windows PowerShell a byla implementována v některých aplikacích dodavatelů softwaru. Není však široce používán a není podporován aplikace Office lications.
Vlastní práva Office: Není implementováno.

Název na portálu Azure Classic: Není implementováno.

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Není implementováno.

Název v šablonách služby AD RMS: Není implementováno.

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_GENERIC_COMMENT L"COMMENT
MIP SDK:COMMENT
Běžný název: Uložit jako, Exportovat

Kódování v zásadách: EXPORT
Umožňuje uložit obsah do jiného názvu souboru (Uložit jako).

Pro klienta Služby Azure Information Protection je možné soubor uložit bez ochrany a také znovu chránit pomocí nových nastavení a oprávnění. Tyto povolené akce znamenají, že uživatel, který má toto právo, může změnit nebo odebrat popisek služby Azure Information Protection z chráněného dokumentu nebo e-mailu.

Toto právo také umožňuje uživateli provádět další možnosti exportu v aplikacích, jako je odeslat do OneNotu.
Vlastní práva Office: Jako součást možnosti Úplné řízení .

Název na portálu Azure Classic: Export obsahu (Uložit jako)

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Uložit jako, exportovat (EXPORT)

Název v šablonách služby AD RMS: Export (Uložit jako)

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_GENERIC_EXPORT L"EXPORT"
MIP SDK:EXPORT
Běžný název: Předat dál

Kódování v zásadách: FORWARD
Umožňuje přeposlat e-mailovou zprávu a přidat příjemce do řádků Komu a Kopie . Toto právo se nevztahuje na dokumenty; pouze e-mailové zprávy.

Neumožňuje předávání udělit práva jiným uživatelům v rámci akce předávání.

Když udělíte toto právo, udělte také oprávnění Upravit obsah, Upravit právo (běžný název) a navíc udělte právo Uložit (běžný název), aby se zajistilo, že se chráněná e-mailová zpráva nedoručí jako příloha. Tato práva také určete při odesílání e-mailu jiné organizaci, která používá klienta Outlooku nebo Outlook Web Appu. Nebo pro uživatele ve vaší organizaci, kteří jsou vyloučeni z používání ochrany Rights Management, protože jste implementovali ovládací prvky onboardingu.
Vlastní práva Office: Odepřeno při použití standardních zásad Nepřeposílat

Název na portálu Azure Classic: Předat dál

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Předat dál (FORWARD)

Název v šablonách služby AD RMS: Předat dál

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_EMAIL_FORWARD L"FORWARD"
MIP SDK:FORWARD
Běžný název: Úplné řízení

Kódování v zásadách: OWNER
Uděluje všechna práva k dokumentu a všechny dostupné akce lze provádět.

Zahrnuje možnost odebrání ochrany a opětovné ochrany dokumentu.

Všimněte si, že toto právo na používání není stejné jako vlastník Rights Management.
Vlastní práva Office: Jako vlastní možnost Úplné řízení

Název na portálu Azure Classic: Úplné řízení

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Úplné řízení (VLASTNÍK)

Název v šablonách služby AD RMS: Úplné řízení

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_GENERIC_ALL L"OWNER"
MIP SDK:OWNER
Běžný název: Tisk

Kódování v zásadách: PRINT
Umožňuje vytisknout obsah. Vlastní práva Office: Jako možnost Tisk obsahu ve vlastních oprávněních. Nejedná se o nastavení pro jednotlivé příjemce.

Název na portálu Azure Classic: Tisk

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Tisk (PRINT)

Název v šablonách služby AD RMS: Tisk

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_GENERIC_PRINT L"PRINT"
MIP SDK: PRINT
Běžný název: Odpovědět

Kódování v zásadě: ODPOVĚDĚT
Povolí možnost Odpovědět v e-mailovém klientovi bez povolení změn v řádcích Komu nebo Kopie.

Když udělíte toto právo, udělte také oprávnění Upravit obsah, Upravit právo (běžný název) a navíc udělte právo Uložit (běžný název), aby se zajistilo, že se chráněná e-mailová zpráva nedoručí jako příloha. Tato práva také určete při odesílání e-mailu jiné organizaci, která používá klienta Outlooku nebo Outlook Web Appu. Nebo pro uživatele ve vaší organizaci, kteří jsou vyloučeni z používání ochrany Rights Management, protože jste implementovali ovládací prvky onboardingu.
Vlastní práva Office: Nelze použít.

Název na portálu Azure Classic: Odpovědět

Název na portálu Azure Classic: Odpovědět (ODPOVĚDĚT)

Název v šablonách služby AD RMS: Odpovědět

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_EMAIL_REPLY
MIP SDK:REPLY
Běžný název: Odpovědět všem

Kódování v zásadě: REPLYALL
Povolí možnost Odpovědět všem v e-mailovém klientovi, ale neumožňuje uživateli přidávat příjemce do řádků Komu nebo Kopie.

Když udělíte toto právo, udělte také oprávnění Upravit obsah, Upravit právo (běžný název) a navíc udělte právo Uložit (běžný název), aby se zajistilo, že se chráněná e-mailová zpráva nedoručí jako příloha. Tato práva také určete při odesílání e-mailu jiné organizaci, která používá klienta Outlooku nebo Outlook Web Appu. Nebo pro uživatele ve vaší organizaci, kteří jsou vyloučeni z používání ochrany Rights Management, protože jste implementovali ovládací prvky onboardingu.
Vlastní práva Office: Nelze použít.

Název na portálu Azure Classic: Odpovědět všem

Jméno na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Odpovědět všem (ODPOVĚDĚT VŠEM)

Název v šablonách služby AD RMS: Odpovědět všem

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_EMAIL_REPLYALL L"REPLYALL"
MIP SDK:REPLYALL
Běžný název: Zobrazení, Otevření, Čtení

Kódování v zásadách: VIEW
Umožňuje uživateli otevřít dokument a zobrazit obsah.

V Excelu toto právo nestačí k řazení dat, která vyžadují následující práva: Upravit obsah, Upravit. K filtrování dat v Excelu potřebujete následující dvě práva: Upravit obsah, Upravit a Kopírovat.
Vlastní práva Office: Jako možnost Číst vlastní zásady zobrazení

Název na portálu Azure Classic: Zobrazení

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: View, Open, Read (VIEW)

Název v šablonách služby AD RMS: Čtení

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_GENERIC_READ L"VIEW"
MIP SDK:VIEW
Běžný název: Kopírovat

Kódování v zásadách: EXTRACT
Umožňuje kopírovat data (včetně snímků obrazovky) z dokumentu do stejného nebo jiného dokumentu.

V některých aplikacích také umožňuje uložit celý dokument v nechráněném formuláři.

V Skype pro firmy a podobných aplikacích pro sdílení obrazovky musí mít prezentující toto právo k úspěšnému prezentování chráněného dokumentu. Pokud prezentující toto právo nemá, účastníci nemohou dokument zobrazit a zobrazí se jim jako začerněný.
Vlastní práva Office: Možnost Povolit uživatelům s oprávněním ke čtení kopírovat vlastní zásady obsahu

Název na portálu Azure Classic: Kopírování a extrahování obsahu

Název na webu Portál dodržování předpisů Microsoft Purview a webu Azure Portal: Copy (EXTRACT)

Název v šablonách služby AD RMS: Extrakce

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_GENERIC_EXTRACT L"EXTRACT"
MIP SDK:EXTRACT
Běžný název: Zobrazit práva

Kódování v zásadě: VIEWRIGHTSDATA
Umožňuje uživateli zobrazit zásady použité v dokumentu.

Klienti služby Aplikace Office nebo Azure Information Protection se nepodporují.
Vlastní práva Office: Není implementováno.

Název na portálu Azure Classic: Zobrazit přiřazená práva

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Zobrazit práva (VIEWRIGHTSDATA)

Název v šablonách služby AD RMS: Zobrazit práva

Konstanta nebo hodnota rozhraní API:
MSIPC:IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
MIP SDK:VIEWRIGHTSDATA
Běžný název: Změna práv

Kódování v zásadě: EDITRIGHTSDATA
Umožňuje uživateli změnit zásadu použitou v dokumentu. Zahrnuje i odebrání ochrany.

Klienti služby Aplikace Office nebo Azure Information Protection se nepodporují.
Vlastní práva Office: Není implementováno.

Název na portálu Azure Classic: Změna práv

Název na webu Portál dodržování předpisů Microsoft Purview a na webu Azure Portal: Upravit práva (EDITRIGHTSDATA)

Název v šablonách služby AD RMS: Upravit práva

Konstanta nebo hodnota rozhraní API:
MSIPC:PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
MIP SDK:EDITRIGHTSDATA
Běžný název: Povolit makra

Kódování v zásadě: OBJMODEL
Umožňuje spouštět makra nebo provádět jiný programový nebo vzdálený přístup k obsahu v dokumentu. Vlastní práva Office: Jako možnost Povolit vlastní zásady přístupu prostřednictvím kódu programu. Nejedná se o nastavení pro jednotlivé příjemce.

Název na portálu Azure Classic: Povolit makra

Název na webu Portál dodržování předpisů Microsoft Purview a webu Azure Portal: Povolit makra (OBJMODEL)

Název v šablonách služby AD RMS: Povolit makra

Konstanta nebo hodnota rozhraní API: MSIPC: Není implementováno. MIP SDK:OBJMODEL

Práva zahrnutá v úrovních oprávnění

Některé aplikace seskupují práva k používání do úrovní oprávnění, což usnadňuje výběr práv k používání, která se obvykle používají společně. Tyto úrovně oprávnění pomáhají uživatelům abstrahovat úroveň složitosti, aby mohli zvolit možnosti, které jsou založené na rolích. Například revidujícím a spoluvytvářem. I když tyto možnosti často uživatelům zobrazují souhrn práv, nemusí obsahovat všechna práva uvedená v předchozí tabulce.

Následující tabulka obsahuje seznam těchto úrovní oprávnění a úplný seznam práv k používání, která obsahují. Práva k používání jsou uvedena podle jejich běžného názvu.

Úroveň oprávnění Aplikace Zahrnutá práva k používání
Prohlížející Portál Azure Classic

portál Azure

Klient Azure Information Protection pro Windows
Zobrazení, otevření, čtení; Zobrazit práva; Odpovědět [1]; Odpovědět všem [1]; Povolit makra [2]

Poznámka: U e-mailů používejte místo této úrovně oprávnění revidujícím, abyste zajistili, že se e-mailová odpověď přijme jako e-mailová zpráva místo přílohy. Revidujícím se také vyžaduje, když pošlete e-mail jiné organizaci, která používá klienta Outlooku nebo Outlook Web App. Nebo pro uživatele ve vaší organizaci, kteří jsou vyloučeni z používání služby Azure Rights Management, protože jste implementovali ovládací prvky onboardingu.
Recenzent Portál Azure Classic

portál Azure

Klient Azure Information Protection pro Windows
Zobrazení, otevření, čtení; Uložit; Upravit obsah, upravit; Zobrazit práva; Odpověď: Odpovědět všem [3]; Vpřed [3]; Povolit makra [2]
Spoluvytáření Portál Azure Classic

portál Azure

Klient Azure Information Protection pro Windows
Zobrazení, otevření, čtení; Uložit; Upravit obsah, upravit; Kopírovat; Zobrazit práva; Povolit makra; Uložit jako, exportovat [4]; Tisk; Odpovědět [3]; Odpovědět všem [3]; Vpřed [3]
Spoluvlastník Portál Azure Classic

portál Azure

Klient Azure Information Protection pro Windows
Zobrazení, otevření, čtení; Uložit; Upravit obsah, upravit; Kopírovat; Zobrazit práva; Změnit práva; Povolit makra; Uložit jako, exportovat; Tisk; Odpovědět [3]; Odpovědět všem [3]; Vpřed [3]; Úplné řízení
Poznámka pod čarou 1

Není součástí webu Portál dodržování předpisů Microsoft Purview ani na webu Azure Portal.

Poznámka pod čarou 2

Pro klienta služby Azure Information Protection pro Windows je toto právo vyžadováno pro panel Information Protection v aplikace Office.

Poznámka pod čarou 3

Nevztahuje se na klienta služby Azure Information Protection pro Windows.

Poznámka pod čarou 4

Není součástí Portál dodržování předpisů Microsoft Purview, webu Azure Portal nebo klienta služby Azure Information Protection pro Windows.

Možnost Nepřeposílat pro e-maily

Klienti a služby Exchange (například klient Outlooku, Outlook na webu, pravidla toku pošty Exchange a akce ochrany před únikem informací pro Exchange) mají další možnost ochrany práv k informacím pro e-maily: Nepřeposílat.

I když se tato možnost uživatelům (a správcům Exchange) zdá, jako by se jedná o výchozí šablonu Rights Management, kterou můžou vybrat, není šablona Nepřeposílat . To vysvětluje, proč se nezobrazuje na webu Azure Portal při zobrazení a správě šablon ochrany. Místo toho je možnost Nepřeposílat nastavená na sadu práv k používání, která uživatelé dynamicky použijí na příjemce e-mailu.

Pokud se u e-mailu použije možnost Nepřeposílat , e-mail se zašifruje a příjemci musí být ověřeni. Příjemci ho pak nemůžou přeposlat, vytisknout ani zkopírovat. Například v klientovi Outlooku není tlačítko Přeposlat dostupné, možnosti nabídky Uložit jako a Tisk nejsou k dispozici a v polích Komu, Kopie nebo Skrytá nelze přidat ani změnit příjemce.

Nechráněné dokumenty Office, které jsou připojené k e-mailu, automaticky dědí stejná omezení. Práva k používání, která se na tyto dokumenty vztahují, jsou Upravit obsah, Upravit; Uložit; Zobrazení, otevření, čtení a povolení maker Pokud chcete pro přílohu použít různá práva k používání nebo vaše příloha není dokument Office, který tuto zděděnou ochranu podporuje, zamkněte soubor před připojením k e-mailu. Pak můžete přiřadit konkrétní práva k používání, která potřebujete pro soubor.

Rozdíl mezi nepřeposílat a neudělovat právo na předávání

Existuje důležitý rozdíl mezi použitím možnosti Nepřeposílat a použitím šablony, která neuděluje uživateli právo předat dál e-mailu: Možnost Nepřeposílat používá dynamický seznam autorizovaných uživatelů založených na vybraných příjemcůch původního e-mailu, zatímco práva v šabloně mají statický seznam autorizovaných uživatelů, které správce zadal dříve. V čem je rozdíl? Podívejme se na příklad:

Uživatel chce poslat e-mailem určité informace konkrétním lidem v marketingovém oddělení, které by se neměly sdílet s nikým jiným. Měla by e-mail chránit pomocí šablony, která omezuje práva (prohlížení, odpovídání a ukládání) na marketingové oddělení? Nebo by měla zvolit možnost Nepřeposílat ? Výsledkem obou možností bude, že příjemci nebudou moct e-mail přeposlat.

  • Pokud šablonu použila, mohli by příjemci dál sdílet informace s ostatními v marketingovém oddělení. Příjemce může například pomocí Průzkumníka přetáhnout e-mail do sdíleného umístění nebo jednotky USB. Teď může kdokoli z marketingového oddělení (a vlastníka e-mailu), který má přístup k tomuto umístění, zobrazit informace v e-mailu.

  • Pokud použila možnost Nepřeposílat , příjemci nebudou moct sdílet informace s kýmkoli jiným v marketingovém oddělení přesunutím e-mailu na jiné místo. V tomto scénáři budou moct informace v e-mailu zobrazit jenom původní příjemci (a vlastník e-mailu).

Poznámka:

Funkci Nepřeposílat používejte, pokud je důležité, aby informace v e-mailu viděli jenom příjemci, které si odesílatel zvolí. Pomocí šablony pro e-maily omezte práva na skupinu osob, které správce předem určí nezávisle na vybraných příjemcůch odesílatele.

Možnost pouze šifrování pro e-maily

Když Exchange Online používá nové funkce pro šifrování zpráv Office 365, zpřístupní se nová možnost Šifrování e-mailu, která data šifruje bez dalších omezení.

Tato možnost je dostupná pro tenanty, kteří používají Exchange Online a dají se vybrat takto:

Další informace o možnosti jen pro šifrování najdete v následujícím blogovém příspěvku, který byl poprvé oznámen od týmu Office: Šifrování pouze v Šifrování zpráv Office 365.

Pokud je tato možnost vybraná, e-mail se zašifruje a příjemci musí být ověřeni. Příjemci pak mají všechna práva k používání s výjimkou možnosti Uložit jako, Exportovat a Úplné řízení. Tato kombinace práv k používání znamená, že příjemci nemají žádná omezení s tím rozdílem, že ochranu nemohou odebrat. Příjemce může například zkopírovat e-mail, vytisknout ho a přeposlat.

Podobně ve výchozím nastavení nechráněné dokumenty Office, které jsou připojené k e-mailu, dědí stejná oprávnění. Tyto dokumenty jsou automaticky chráněny a při jejich stahování je možné je uložit, upravit, zkopírovat a vytisknout z aplikace Office řetězení příjemci. Když dokument uloží příjemce, můžete ho uložit na nové jméno a dokonce i jiný formát. K dispozici jsou však pouze formáty souborů, které podporují ochranu, aby dokument nelze uložit bez původní ochrany. Pokud chcete pro přílohu použít různá práva k používání nebo vaše příloha není dokument Office, který tuto zděděnou ochranu podporuje, zamkněte soubor před připojením k e-mailu. Pak můžete přiřadit konkrétní práva k používání, která potřebujete pro soubor.

Alternativně můžete tuto dědičnost ochrany dokumentů změnit zadáním Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true Exchange Online PowerShellu. Tuto konfiguraci použijte, pokud po ověření uživatele nepotřebujete zachovat původní ochranu dokumentu. Když příjemci otevřou e-mailovou zprávu, dokument není chráněný.

Pokud potřebujete k zachování původní ochrany připojený dokument, přečtěte si téma Zabezpečení spolupráce na dokumentech pomocí služby Azure Information Protection.

Poznámka:

Pokud se zobrazí odkazy na DecryptAttachmentFromPortal, tento parametr je teď pro Set-IRMConfiguration zastaralý. Pokud jste tento parametr nenastavili dříve, není k dispozici.

Automatické šifrování dokumentů PDF pomocí Exchange Online

Když Exchange Online používá nové funkce pro šifrování zpráv Office 365, můžete automaticky šifrovat nechráněné dokumenty PDF, když jsou připojené k šifrovaným e-mailům. Dokument dědí stejná oprávnění jako pro e-mailovou zprávu. Pokud chcete tuto konfiguraci povolit, nastavte enablePdfEncryption $True pomocí set-IRMConfiguration.

Příjemci, kteří ještě nemají nainstalovanou čtečku, která podporuje standard ISO pro šifrování PDF, mohou nainstalovat jeden ze čteček uvedených v čtečkách PDF, které podporují Microsoft Purview Information Protection. Příjemci si také můžou na portálu OME přečíst chráněný dokument PDF.

Vystavitel služby Rights Management a vlastník Rights Management

Pokud je dokument nebo e-mail chráněný pomocí služby Azure Rights Management, stane se účet, který tento obsah chrání, automaticky vystavitelem služby Rights Management pro daný obsah. Tento účet se protokoluje jako pole vystavitele v protokolech využití.

Vystavitel Rights Management má vždy udělené právo úplné řízení na používání dokumentu nebo e-mailu a navíc:

  • Pokud nastavení ochrany zahrnuje datum vypršení platnosti, může vystavitel služby Rights Management dokument nebo e-mail po tomto datu otevřít a upravit.

  • Vystavitel Rights Management má vždycky přístup k dokumentu nebo e-mailu offline.

  • Vystavitel Rights Management může dokument i po odvolání otevřít.

Ve výchozím nastavení je tento účet také vlastníkem služby Rights Management pro tento obsah, což je případ, kdy uživatel, který dokument nebo e-mail vytvořil, zahájí ochranu. Existují ale situace, kdy může správce nebo služba chránit obsah jménem uživatelů. Příklad:

  • Správce hromadně chrání soubory ve sdílené složce: Účet správce v Microsoft Entra ID chrání dokumenty pro uživatele.

  • Rights Management Connector chrání dokumenty Office ve složce Windows Serveru: Instanční účet v Microsoft Entra ID, které je vytvořené pro službu RMS Connector, chrání dokumenty pro uživatele.

V těchto scénářích může vystavitel Rights Management přiřadit vlastníka služby Rights Management jinému účtu pomocí sad SDK služby Azure Information Protection nebo PowerShellu. Pokud například použijete rutinu PowerShellu Protect-RMSFile s klientem služby Azure Information Protection, můžete zadat parametr OwnerEmail pro přiřazení vlastníka Rights Management k jinému účtu.

Když vystavitel služby Rights Management chrání jménem uživatelů, přiřazení vlastníka služby Rights Management zajistí, aby původní dokument nebo vlastník e-mailu měli stejnou úroveň kontroly nad chráněným obsahem, jako kdyby ochranu zahájili sami.

Uživatel, který dokument vytvořil, si ho může vytisknout, i když je teď chráněný šablonou, která neobsahuje právo použití tisku. Stejný uživatel má vždycky přístup ke svému dokumentu bez ohledu na nastavení offline přístupu nebo datum vypršení platnosti, které mohlo být v této šabloně nakonfigurované. Kromě toho, protože vlastník Rights Management má právo používat úplné řízení, může tento uživatel také znovu chránit dokument, aby udělil dalším uživatelům přístup (v tomto okamžiku se uživatel stane vystavitelem Rights Management i vlastníkem Rights Management) a tento uživatel může ochranu dokonce odebrat. Dokument ale může sledovat a odvolat pouze vystavitel Rights Management.

Vlastník služby Rights Management pro dokument nebo e-mail se v protokolech použití zaprotokoluje jako pole vlastník-e-mail.

Poznámka:

Vlastník služby Rights Management je nezávislý na vlastníkovi systému souborů Windows. Často jsou stejné, ale můžou se lišit, i když nepoužíváte sady SDK nebo PowerShell.

Licence na používání služby Rights Management

Když uživatel otevře dokument nebo e-mail chráněný službou Azure Rights Management, udělí se uživateli licence k používání služby Rights Management. Tato licence k použití je certifikát, který obsahuje práva uživatele k používání dokumentu nebo e-mailové zprávy, a šifrovací klíč, který se použil k šifrování obsahu. Licence k použití obsahuje také datum vypršení platnosti, pokud je nastavená a jak dlouho je licence k použití platná.

Uživatel musí mít platnou licenci k použití k otevření obsahu kromě certifikátu účtu práv (RAC), což je certifikát udělený při inicializaci uživatelského prostředí a jeho prodloužení každých 31 dnů.

Po dobu trvání licence k použití se uživatel znovu neověří ani znovu neověří pro obsah. Díky tomu může uživatel dál otevírat chráněný dokument nebo e-mail bez připojení k internetu. Po vypršení doby platnosti licence pro použití musí být uživatel při příštím přístupu k chráněnému dokumentu nebo e-mailu znovu autorizován a znovu autorizován.

Pokud jsou dokumenty a e-mailové zprávy chráněné pomocí popisku nebo šablony, která definuje nastavení ochrany, můžete tato nastavení změnit v popisku nebo šabloně, aniž byste museli obsah znovu chránit. Pokud uživatel už k obsahu přistupoval, změny se projeví až po vypršení platnosti licence k použití. Pokud ale uživatelé použijí vlastní oprávnění (označovaná také jako zásady ad hoc práv) a tato oprávnění se musí po zamknutém dokumentu nebo e-mailu změnit, musí být tento obsah znovu chráněný novými oprávněními. Vlastní oprávnění pro e-mailovou zprávu se implementují pomocí možnosti Nepřeposílat.

Výchozí doba platnosti licence pro tenanta je 30 dní a tuto hodnotu můžete nakonfigurovat pomocí rutiny PowerShellu Set-AipServiceMaxUseLicenseValidityTime. Pokud je ochrana použita, můžete nakonfigurovat přísnější nastavení pomocí popisku citlivosti, který je nakonfigurovaný pro přiřazení oprávnění, nebo šablony:

  • Když nakonfigurujete popisek citlivosti, doba platnosti licence pro použití má hodnotu z nastavení Povolit offline přístup .

    Další informace a pokyny ke konfiguraci tohoto nastavení pro popisek citlivosti najdete v tabulce doporučení v pokynech, jak teď nakonfigurovat oprávnění pro popisek citlivosti.

  • Když nakonfigurujete šablonu pomocí PowerShellu, doba platnosti licence pro použití převezme jeho hodnotu z parametru LicenseValidityDuration v rutinách Set-AipServiceTemplateProperty a Add-AipServiceTemplate .

    Další informace a pokyny ke konfiguraci tohoto nastavení pomocí PowerShellu najdete v nápovědě pro každou rutinu.

Viz také