Használati jogosultságok konfigurálása az Azure Information Protectionhöz
Ez a cikk a felhasználók, rendszergazdák vagy konfigurált szolgáltatások által kiválasztott címkék vagy sablonok automatikus alkalmazásához konfigurálható használati jogosultságokat ismerteti.
A használati jogosultságok akkor lesznek kiválasztva, ha bizalmassági címkéket vagy védelmi sablonokat konfigurál a titkosításhoz. Kiválaszthatja például a használati jogosultságok logikai csoportosítását konfiguráló szerepköröket, vagy külön konfigurálhatja az egyes jogosultságokat. Másik lehetőségként a felhasználók maguk választhatják ki és alkalmazhatják a használati jogosultságokat.
A teljesség érdekében ez a cikk a klasszikus Azure portál értékeit tartalmazza, amely 2018. január 08-án megszűnt.
Fontos
Ebből a cikkből megtudhatja, hogyan vannak kialakítva a használati jogosultságok az alkalmazások általi értelmezésre.
Az alkalmazások eltérőek lehetnek a használati jogosultságok implementálásának módjában, ezért javasoljuk, hogy az éles üzembe helyezés előtt konzultáljon az alkalmazás dokumentációjával, és végezzen saját tesztelést az alkalmazások viselkedésének ellenőrzéséhez.
Használati jogosultságok és leírások
Az alábbi táblázat felsorolja és ismerteti a Rights Management által támogatott használati jogosultságokat, valamint azok használatát és értelmezését. Ezek a közös nevük szerint vannak felsorolva, ami általában így jelenik meg vagy hivatkozhat a használati jogra a kódban használt egyszavas érték (a kódolás a szabályzatértékben) barátságosabb verziójaként.
Ebben a táblázatban:
Az API-állandó vagy -érték egy MSIPC- vagy Microsoft Purview információvédelem SDK API-hívás SDK-neve, amelyet használati jogokat ellenőrző alkalmazás írásakor vagy használati jog hozzáadásakor használ.
A címkézési felügyeleti központ a Microsoft Purview megfelelőségi portál, ahol bizalmassági címkéket konfigurálhat.
Használati jog | Leírás | Megvalósítás |
---|---|---|
Köznapi név: Tartalom szerkesztése, Szerkesztés Kódolás a szabályzatban: DOCEDIT |
Lehetővé teszi a felhasználó számára, hogy módosítsa, átrendezze, formázza vagy rendezze a tartalmat az alkalmazásban, beleértve a Webes Office is. Nem jogosít fel a szerkesztett másolat mentésére. A Wordben, hacsak nem rendelkezik az Office 365 ProPlus 1807-es minimális verziójával, ez a jog nem elegendő a Változások követése funkció bekapcsolásához vagy kikapcsolásához, vagy az összes korrektúrás funkció korrektúraként való használatához. Ehelyett az összes változáskövetési beállítás használatához a következő jogosultság szükséges: Teljes hozzáférés. |
Egyéni Office-jogosultságok: A Módosítás és a Teljes hozzáférés lehetőség részeként. Név a klasszikus Azure portálon: Tartalom szerkesztése Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Tartalom szerkesztése, Szerkesztés (DOCEDIT) Név az AD RMS-sablonokban: Szerkesztés API-állandó vagy érték: MSIPC: Nem alkalmazható. MIP SDK: DOCEDIT |
Köznapi név: Mentés Kódolás a szabályzatban: SZERKESZTÉS |
Lehetővé teszi a felhasználó számára, hogy a dokumentumot az aktuális helyre mentse. A Webes Office lehetővé teszi a felhasználó számára a tartalom szerkesztését is. A Office-app lications esetében ez a jogosultság lehetővé teszi a felhasználó számára, hogy a fájlt egy új helyre és egy új névvel mentse, ha a kiválasztott fájlformátum beépített támogatást nyújt a Rights Management védelméhez. A fájlformátum korlátozása biztosítja, hogy az eredeti védelem ne távolítható el a fájlból. |
Egyéni Office-jogosultságok: A Módosítás és a Teljes hozzáférés lehetőség részeként. Név a klasszikus Azure portálon: Fájl mentése Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Mentés (SZERKESZTÉS) Név az AD RMS-sablonokban: Mentés API-állandó vagy érték: MSIPC: IPC_GENERIC_WRITE L"EDIT" MIP SDK: EDIT |
Köznapi név: Megjegyzés Kódolás a szabályzatban: MEGJEGYZÉS |
Lehetővé teszi széljegyzetek vagy megjegyzések hozzáadását a tartalomhoz. Ez a jog elérhető az SDK-ban, alkalmi szabályzatként érhető el a Windows PowerShellHez készült AzureInformationProtection és RMS Protection modulban, és néhány szoftverszállító alkalmazásban implementálva van. Azonban nem széles körben használják, és Office-app lications nem támogatja. |
Egyéni Office-jogosultságok: Nincs implementálva. Név a klasszikus Azure-portálon: Nincs implementálva. Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Nincs implementálva. Név az AD RMS-sablonokban: Nincs implementálva. API-állandó vagy érték: MSIPC: IPC_GENERIC_COMMENT L"COMMENT MIP SDK: COMMENT |
Köznapi név: Mentés másként, Exportálás Kódolás a szabályzatban: EXPORT |
Lehetővé teszi a tartalom mentését egy másik fájlnévre (Mentés másként). Az Azure Information Protection-ügyfél esetében a fájl védelem nélkül menthető, és új beállításokkal és engedélyekkel újra védhető. Ezek az engedélyezett műveletek azt jelentik, hogy az ilyen jogosultságokkal rendelkező felhasználók módosíthatják vagy eltávolíthatják az Azure Information Protection-címkét egy védett dokumentumból vagy e-mailből. Ez a jogosultság lehetővé teszi a felhasználó számára, hogy más exportálási lehetőségeket is végrehajtson az alkalmazásokban, például a Küldés a OneNote-ba. |
Egyéni Office-jogosultságok: A Teljes hozzáférés lehetőség részeként. Név a klasszikus Azure portálon: Tartalom exportálása (Mentés másként) Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Mentés másként, Exportálás (EXPORTÁLÁS) Név az AD RMS-sablonokban: Exportálás (Mentés másként) API-állandó vagy érték: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" MIP SDK: EXPORT |
Köznapi név: Továbbítás Kódolás a szabályzatban: FORWARD |
Lehetővé teszi e-mail továbbítását és címzettek felvételét a Címzett és a Másolatot kap sorba. Ez a jog nem vonatkozik a dokumentumokra; csak e-maileket. Nem teszi lehetővé a továbbító számára, hogy a továbbítási művelet részeként jogokat adjon más felhasználóknak. Ha megadja ezt a jogot, adja meg a Tartalom szerkesztése, szerkesztési jog (köznapi név), valamint a mentési jogosultságot (köznapi név), hogy a védett e-mail ne legyen mellékletként kézbesítve. Ezeket a jogosultságokat akkor is megadhatja, ha e-mailt küld egy másik szervezetnek, amely az Outlook-ügyfelet vagy az Outlook-webalkalmazást használja. Vagy a szervezet azon felhasználói számára, amelyek mentesülnek a Rights Management-védelem használata alól, mert bevezetési vezérlőket implementált. |
Egyéni Office-jogosultságok: A Nem továbbítható standard házirend használata esetén megtagadva. Név a klasszikus Azure-portálon: Továbbítás Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Forward (FORWARD) Név az AD RMS-sablonokban: Továbbítás API-állandó vagy érték: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" MIP SDK: FORWARD |
Köznapi név: Teljes hozzáférés Kódolás a szabályzatban: TULAJDONOS |
Minden jogosultságot biztosít a dokumentumhoz, és minden elérhető művelet végrehajtható. Lehetővé teszi a védelem eltávolítását és a dokumentumok ismételt védelmét. Vegye figyelembe, hogy ez a használati jog nem azonos a Rights Management tulajdonosával. |
Egyéni Office-jogosultságok: Teljes hozzáférésű egyéni beállításként. Név a klasszikus Azure portálon: Teljes hozzáférés Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Teljes hozzáférés (TULAJDONOS) Név az AD RMS-sablonokban: Teljes hozzáférés API-állandó vagy érték: MSIPC: IPC_GENERIC_ALL L"OWNER" MIP SDK: OWNER |
Köznapi név: Nyomtatás Kódolás a szabályzatban: PRINT |
Lehetővé teszi a tartalom nyomtatását. | Egyéni Office-jogosultságok: A Tartalom nyomtatása lehetőségként az egyéni engedélyekben. Nem címzettenkénti beállítás. Név a klasszikus Azure portálon: Nyomtatás Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Nyomtatás (PRINT) Név az AD RMS-sablonokban: Nyomtatás API-állandó vagy érték: MSIPC: IPC_GENERIC_PRINT L"PRINT" MIP SDK: PRINT |
Köznapi név: Válasz Kódolás a szabályzatban: VÁLASZ |
Engedélyezi a Válasz lehetőséget egy e-mail-ügyfélben anélkül, hogy engedélyezve lenne a Címzett vagy a Másolatot kap sor módosítása. Ha megadja ezt a jogot, adja meg a Tartalom szerkesztése, szerkesztési jog (köznapi név), valamint a mentési jogosultságot (köznapi név), hogy a védett e-mail ne legyen mellékletként kézbesítve. Ezeket a jogosultságokat akkor is megadhatja, ha e-mailt küld egy másik szervezetnek, amely az Outlook-ügyfelet vagy az Outlook-webalkalmazást használja. Vagy a szervezet azon felhasználói számára, amelyek mentesülnek a Rights Management-védelem használata alól, mert bevezetési vezérlőket implementált. |
Egyéni Office-jogosultságok: Nem alkalmazható. Név a klasszikus Azure portálon: Válasz Név a klasszikus Azure portálon: Válasz (VÁLASZ) Név az AD RMS-sablonokban: Válasz API-állandó vagy érték: MSIPC: IPC_EMAIL_REPLY MIP SDK: REPLY |
Köznapi név: Válasz mindenkinek Kódolás a szabályzatban: REPLYALL |
Engedélyezi a Válasz mindenkinek lehetőséget egy e-mail-ügyfélben, de nem engedélyezi a felhasználónak, hogy címzetteket vegyen fel a Címzett vagy a Másolatot kap sorba. Ha megadja ezt a jogot, adja meg a Tartalom szerkesztése, szerkesztési jog (köznapi név), valamint a mentési jogosultságot (köznapi név), hogy a védett e-mail ne legyen mellékletként kézbesítve. Ezeket a jogosultságokat akkor is megadhatja, ha e-mailt küld egy másik szervezetnek, amely az Outlook-ügyfelet vagy az Outlook-webalkalmazást használja. Vagy a szervezet azon felhasználói számára, amelyek mentesülnek a Rights Management-védelem használata alól, mert bevezetési vezérlőket implementált. |
Egyéni Office-jogosultságok: Nem alkalmazható. Név a klasszikus Azure portálon: Válasz mindenkinek Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Válasz mindenkinek (VÁLASZ MINDENKINEK) Név az AD RMS-sablonokban: Válasz mindenkinek API-állandó vagy érték: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" MIP SDK: REPLYALL |
Köznapi név: Nézet, Megnyitás, Olvasás Kódolás a szabályzatban: VIEW |
Lehetővé teszi a felhasználó számára a dokumentum megnyitását és a tartalom megtekintését. Az Excelben ez a jog nem elegendő az adatok rendezéséhez, amelyhez a következő jogosultság szükséges: Tartalom szerkesztése, Szerkesztés. Az Excelben az adatok szűréséhez a következő két jogosultságra van szüksége: Tartalom szerkesztése, Szerkesztés és másolás. |
Egyéni Office-jogosultságok: Egyéni olvasási szabályzatként a Nézet lehetőség. Név a klasszikus Azure-portálon: Megtekintés Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Megtekintés, Megnyitás, Olvasás (NÉZET) Név az AD RMS-sablonokban: Olvasás API-állandó vagy érték: MSIPC: IPC_GENERIC_READ L"VIEW" MIP SDK: VIEW |
Köznapi név: Másolás Kódolás a szabályzatban: EXTRACT |
Lehetővé teszi az adatok (beleértve a képernyőfelvételek) másolását a dokumentumból ugyanarra vagy egy másik dokumentumra. Egyes alkalmazásokban a teljes dokumentum nem védett formában is menthető. A Skype Vállalati verzió és hasonló képernyőmegosztó alkalmazásokban az előadónak rendelkeznie kell ezzel a joggal egy védett dokumentum sikeres bemutatásához. Ha az előadó nem rendelkezik ezzel a joggal, a résztvevők nem tekintik meg a dokumentumot, és elsötétítettként jelennek meg. |
Egyéni Office-jogosultságok: Olvasási hozzáféréssel rendelkező felhasználók számára a tartalom másolása egyéni házirend-beállításként. Név a klasszikus Azure portálon: Tartalom másolása és kinyerése Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Másolás (EXTRACT) Név az AD RMS-sablonokban: Kinyerés API-állandó vagy érték: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" MIP SDK: EXTRACT |
Köznapi név: Jogosultságok megtekintése Kódolás a szabályzatban: VIEWRIGHTSDATA |
Lehetővé teszi a felhasználó számára a dokumentumra alkalmazott szabályzat megtekintését. A Office-app vagy az Azure Information Protection-ügyfelek nem támogatják. |
Egyéni Office-jogosultságok: Nincs implementálva. Név a klasszikus Azure portálon: Hozzárendelt jogok megtekintése Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Jogosultságok megtekintése (VIEWRIGHTSDATA). Név az AD RMS-sablonokban: Jogosultságok megtekintése API-állandó vagy érték: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" MIP SDK: VIEWRIGHTSDATA |
Köznapi név: Jogosultságok módosítása Kódolás a szabályzatban: EDITRIGHTSDATA |
Lehetővé teszi, hogy a felhasználó módosítsa a dokumentumra alkalmazott szabályzatot. Beleértve a védelem eltávolítását is. A Office-app vagy az Azure Information Protection-ügyfelek nem támogatják. |
Egyéni Office-jogosultságok: Nincs implementálva. Név a klasszikus Azure-portálon: Jogosultságok módosítása Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Jogosultságok szerkesztése (EDITRIGHTSDATA). Név az AD RMS-sablonokban: Jogosultságok szerkesztése API-állandó vagy érték: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" MIP SDK: EDITRIGHTSDATA |
Köznapi név: Makrók engedélyezése Kódolás a szabályzatban: OBJMODEL |
Lehetővé teszi makrók futtatását, illetve a dokumentum tartalmának programozott vagy távoli elérését. | Egyéni Office-jogosultságok: Programozott hozzáférés engedélyezése egyéni házirend-beállításként. Nem címzettenkénti beállítás. Név a klasszikus Azure portálon: Makrók engedélyezése Név a Microsoft Purview megfelelőségi portál és az Azure Portalon: Makrók engedélyezése (OBJMODEL) Név az AD RMS-sablonokban: Makrók engedélyezése API-állandó vagy érték: MSIPC: Nincs implementálva. MIP SDK: OBJMODEL |
Az engedélyszintekben foglalt jogosultságok
Egyes alkalmazások engedélyszintekbe csoportosítják a használati jogosultságokat, hogy könnyebben kiválaszthassa azokat a használati jogosultságokat, amelyeket általában együtt használnak. Ezek az engedélyszintek segítenek a felhasználók összetettségi szintjének absztrakciójában, így szerepköralapú beállításokat választhatnak. Például véleményező és társszerző. Bár ezek a beállítások gyakran megjelenítik a felhasználók számára a jogosultságok összegzését, előfordulhat, hogy nem tartalmazzák az előző táblázatban felsorolt összes jogot.
Az alábbi táblázat ezen engedélyszintek listáját és az általuk tartalmazott használati jogosultságok teljes listáját tartalmazza. A használati jogosultságok a közös nevük szerint vannak felsorolva.
Engedélyek szintje | Alkalmazások | Használati jogosultságok belefoglalva |
---|---|---|
Megtekintő | Klasszikus Azure-portál Azure Portal Azure Information Protection-ügyfél Windows rendszerekhez |
Megtekintés, Megnyitás, Olvasás; Jogosultságok megtekintése; Válasz [1]; Válasz mindenkinek [1]; Makrók engedélyezése [2] Megjegyzés: Az e-mailek esetében az engedélyszint helyett a Véleményező használatával győződjön meg arról, hogy az e-mail-válasz e-mail üzenetként, nem mellékletként érkezik. Véleményezőre akkor is szükség van, ha e-mailt küld egy másik szervezetnek, amely az Outlook-ügyfelet vagy az Outlook-webalkalmazást használja. Vagy a szervezet azon felhasználói számára, amelyek mentesülnek a Azure Tartalomvédelmi szolgáltatások szolgáltatás használata alól, mert bevezetési vezérlőket implementált. |
Recenzens | Klasszikus Azure-portál Azure Portal Azure Information Protection-ügyfél Windows rendszerekhez |
Megtekintés, Megnyitás, Olvasás; Megment; Tartalom szerkesztése, szerkesztés; Jogosultságok megtekintése; Válasz: Válasz mindenkinek [3]; Továbbítás [3]; Makrók engedélyezése [2] |
Társszerző | Klasszikus Azure-portál Azure Portal Azure Information Protection-ügyfél Windows rendszerekhez |
Megtekintés, Megnyitás, Olvasás; Megment; Tartalom szerkesztése, szerkesztés; Másolat; Jogosultságok megtekintése; Makrók engedélyezése; Mentés másként, Exportálás [4]; Nyomtat; Válasz [3]; Válasz mindenkinek [3]; Továbbítás [3] |
Társtulajdonos | Klasszikus Azure-portál Azure Portal Azure Information Protection-ügyfél Windows rendszerekhez |
Megtekintés, Megnyitás, Olvasás; Megment; Tartalom szerkesztése, szerkesztés; Másolat; Jogosultságok megtekintése; Jogosultságok módosítása; Makrók engedélyezése; Mentés másként, exportálás; Nyomtat; Válasz [3]; Válasz mindenkinek [3]; Továbbítás [3]; Teljes hozzáférés |
1. lábjegyzet
Nem szerepel a Microsoft Purview megfelelőségi portál vagy az Azure Portalon.
Lábjegyzet 2
A WindowsHoz készült Azure Information Protection-ügyfél esetében ez a jog szükséges a Office-app-beli Information Protection-sávhoz.
Lábjegyzet 3
Nem alkalmazható a WindowsHoz készült Azure Information Protection-ügyfélre.
Lábjegyzet 4
A Microsoft Purview megfelelőségi portál, az Azure Portal vagy a WindowsHoz készült Azure Information Protection-ügyfél nem tartalmazza.
E-mailek továbbítása tiltás lehetőség
Az Exchange-ügyfelek és -szolgáltatások (például az Outlook-ügyfél, a Webes Outlook, az Exchange levelezési szabályai és az Exchange DLP-műveletei) további információvédelmi lehetőséggel rendelkeznek az e-mailekhez: Ne továbbítsa.
Bár ez a beállítás a felhasználók (és az Exchange-rendszergazdák) számára úgy jelenik meg, mintha egy alapértelmezett Rights Management-sablont választanának, a Nem továbbítandó sablon nem sablon. Ez megmagyarázza, hogy miért nem látja az Azure Portalon a védelmi sablonok megtekintésekor és kezelésekor. Ehelyett a Nem továbbítandó beállítás olyan használati jogosultságok készlete, amelyet a felhasználók dinamikusan alkalmaznak az e-mail címzettjeire.
Ha a Nem továbbítandó beállítást alkalmazza egy e-mailre, az e-mail titkosítva lesz, és a címzetteket hitelesíteni kell. Ezután a címzettek nem továbbíthatják, nyomtathatják ki vagy másolhatják. Az Outlook-ügyfélen például a Továbbítás gomb nem érhető el, a Mentés másként és a Nyomtatás menü beállításai nem érhetők el, és a Címzett, a Másolatot kap vagy a Titkos másolat mezőben nem vehet fel vagy módosíthat címzetteket.
Az e-mailhez csatolt nem védett Office-dokumentumok automatikusan öröklik ugyanazokat a korlátozásokat. A dokumentumokra alkalmazott használati jogosultságok a Tartalom szerkesztése, Szerkesztés; Mentés; Makrók megtekintése, megnyitása, olvasása és engedélyezése. Ha más használati jogokat szeretne egy melléklethez, vagy ha a melléklet nem egy olyan Office-dokumentum, amely támogatja ezt az örökölt védelmet, védje a fájlt, mielőtt csatolja az e-mailhez. Ezután hozzárendelheti a fájlhoz szükséges használati jogosultságokat.
A Továbbítás tiltása és a Továbbítási használati jog meg nem adása közötti különbség
Van egy fontos különbség a Do Not Forward beállítás alkalmazása és egy olyan sablon alkalmazása között, amely nem biztosít továbbítási használati jogot egy e-mailre: A Nem továbbítható beállítás a jogosult felhasználók dinamikus listáját használja, amely az eredeti e-mail kiválasztott címzettjein alapul; míg a sablonban a jogosultságok a rendszergazda által korábban megadott jogosult felhasználók statikus listájával rendelkeznek. Mi a különbség? Vegyünk egy példát:
A felhasználó e-mailben szeretne e-mailben megadni bizonyos információkat a marketing részleg bizonyos munkatársainak, amelyeket nem szabad másokkal megosztani. Olyan sablonnal kell védenie az e-maileket, amely korlátozza a marketingosztályra vonatkozó jogosultságokat (megtekintést, válaszadást és mentést) ? Vagy válassza a Nem továbbítandó lehetőséget? Mindkét választás azt eredményezné, hogy a címzettek nem tudják továbbítani az e-mailt.
Ha alkalmazta a sablont, a címzettek továbbra is megoszthatják az információkat a marketing részleg többi tagjával. A címzettek például az Intézővel húzhatják át az e-maileket egy megosztott helyre vagy EGY USB-meghajtóra. Most a marketing részleg (és az e-mail tulajdonosa) bárki, aki hozzáfér ehhez a helyhez, megtekintheti az e-mailben szereplő információkat.
Ha a Nem továbbítandó lehetőséget alkalmazta, a címzettek nem oszthatják meg az információkat senki mással a marketing részlegen úgy, hogy áthelyezik az e-mailt egy másik helyre. Ebben az esetben csak az eredeti címzettek (és az e-mail tulajdonosa) tekinthetik meg az e-mailben található információkat.
Feljegyzés
Ha fontos, hogy csak a feladó által kiválasztott címzettek lássák az e-mailben szereplő információkat, használja a Ne továbbítsa lehetőséget. E-mailek sablonjával korlátozhatja a rendszergazda által előre megadott személyek egy csoportjára vonatkozó jogosultságokat, függetlenül a feladó által kiválasztott címzettektől.
Csak titkosítási lehetőség az e-mailekhez
Ha az Exchange Online az Office 365 Üzenettitkosítás új funkcióit használja, egy új titkosítási e-mail-beállítás válik elérhetővé, amely további korlátozások nélkül titkosítja az adatokat.
Ez a beállítás az Exchange Online-t használó bérlők számára érhető el, és az alábbiak szerint választható ki:
- A Webes Outlook a Titkosítás beállítással vagy egy bizalmassági címkével, amely konfigurálva van a felhasználók engedélyeinek hozzárendeléséhez és a Csak titkosítás beállításhoz
- Az e-mail-forgalom szabályának egy másik rights protection-lehetőségeként
- Office 365 DLP-műveletként
- Az asztali és mobileszközökhöz készült Outlook alkalmazásból :
- Egy bizalmassági címkével, amely konfigurálva van arra, hogy a felhasználók engedélyeket rendelnek hozzá, valamint a Csak titkosítás lehetőséget, Windows, macOS, iOS és Android esetén, ha beépített címkézést használ a táblázatban felsorolt minimális verziókkal a bizalmassági címke képességeinek használatához az Outlookban.
- Windows és macOS rendszeren a Titkosítás beállítással a támogatott verziók táblázatában felsorolt verziókhoz Microsoft 365-alkalmazások frissítési csatornával.
A csak titkosítási lehetőséggel kapcsolatos további információkért tekintse meg a következő blogbejegyzést, amikor először jelentették be az Office-csapattól: A titkosítás csak az Office 365 Üzenettitkosításban történt.
Ha ezt a beállítást választja, az e-mail titkosítva lesz, és a címzetteket hitelesíteni kell. Ezután a címzettek a Mentés másként, az Exportálás és a Teljes hozzáférés kivételével minden használati jogosultságtal rendelkeznek. A használati jogosultságok e kombinációja azt jelenti, hogy a címzetteknek nincs korlátozásuk, kivéve, hogy nem távolíthatják el a védelmet. A címzettek például másolhatnak az e-mailből, kinyomtathatják és továbbíthatják azt.
Hasonlóképpen, alapértelmezés szerint az e-mailhez csatolt nem védett Office-dokumentumok öröklik ugyanazokat az engedélyeket. Ezek a dokumentumok automatikusan védettek, és letöltésükkor a címzettek menthetik, szerkeszthetik, másolhatják és kinyomtathatják őket Office-app licációkból. Ha a dokumentumot egy címzett menti, az új névre és akár egy másik formátumra is menthető. Csak a védelmet támogató fájlformátumok érhetők el, így a dokumentum nem menthető az eredeti védelem nélkül. Ha más használati jogokat szeretne egy melléklethez, vagy ha a melléklet nem egy olyan Office-dokumentum, amely támogatja ezt az örökölt védelmet, védje a fájlt, mielőtt csatolja az e-mailhez. Ezután hozzárendelheti a fájlhoz szükséges használati jogosultságokat.
Másik lehetőségként módosíthatja a dokumentumok Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
védelmi öröklését az Exchange Online PowerShell használatával. Ezt a konfigurációt akkor használja, ha a felhasználó hitelesítése után nem kell megőriznie a dokumentum eredeti védelmét. Amikor a címzettek megnyitják az e-mailt, a dokumentum nem védett.
Ha az eredeti védelem megőrzéséhez csatolt dokumentumra van szüksége, tekintse meg a biztonságos dokumentum-együttműködést az Azure Information Protection használatával.
Feljegyzés
Ha a DecryptAttachmentFromPortal parancsra mutató hivatkozásokat lát, ez a paraméter elavulttá vált a Set-IRMConfiguration esetében. Ha korábban nem állította be ezt a paramétert, az nem érhető el.
PDF-dokumentumok automatikus titkosítása az Exchange Online-nal
Ha az Exchange Online az Office 365 Üzenettitkosítás új funkcióit használja, automatikusan titkosíthatja a nem védett PDF-dokumentumokat, amikor titkosított e-mailhez vannak csatolva. A dokumentum ugyanazokat az engedélyeket örökli, mint az e-mailhez. A konfiguráció engedélyezéséhez állítsa be az EnablePdfEncryption $True a Set-IRMConfiguration beállítással.
Azok a címzettek, akik még nem rendelkeznek olyan olvasóval, amely támogatja a PDF-titkosítás ISO szabványát, telepíthetik az Microsoft Purview információvédelem támogató PDF-olvasók egyikét. Másik lehetőségként a címzettek elolvashatják a védett PDF-dokumentumot az OME portálon.
Rights Management-kiállító és Rights Management-tulajdonos
Ha egy dokumentumot vagy e-mailt a Azure Tartalomvédelmi szolgáltatások szolgáltatással véd, a tartalmat védő fiók automatikusan a tartalom Rights Management-kiállítójává válik. Ezt a fiókot a rendszer a használati naplók kiállító mezőjeként naplózza.
A Rights Management-kiállító mindig teljes hozzáférésű használati jogot kap a dokumentumhoz vagy az e-mailhez, továbbá:
Ha a védelmi beállítások lejárati dátumot tartalmaznak, a Rights Management-kiállító a dátum után is megnyithatja és szerkesztheti a dokumentumot vagy az e-mailt.
A Rights Management-kiállító bármikor hozzáférhet a dokumentumhoz vagy az e-mailhez offline állapotban.
A Rights Management-kiállító a visszavonás után is megnyithat egy dokumentumot.
Alapértelmezés szerint ez a fiók a tartalom Rights Management-tulajdonosa is, ami akkor fordul fenn, ha a dokumentumot vagy e-mailt létrehozó felhasználó kezdeményezi a védelmet. Vannak azonban olyan esetek, amikor egy rendszergazda vagy szolgáltatás a felhasználók nevében képes megvédeni a tartalmakat. Példa:
A rendszergazdák tömegesen védik a fájlmegosztásokon tárolt fájlokat: A Microsoft Entra ID rendszergazdai fiókja védi a felhasználók dokumentumait.
A Rights Management-összekötő egy Windows Server-mappában védi az Office-dokumentumokat: Az RMS-összekötőhöz létrehozott Microsoft Entra-azonosító szolgáltatásnév-fiókja védi a dokumentumokat a felhasználók számára.
Ezekben az esetekben a Rights Management-kiállító hozzárendelheti a Rights Management-tulajdonost egy másik fiókhoz az Azure Information Protection SDK-k vagy a PowerShell használatával. Ha például a Protect-RMSFile PowerShell-parancsmagot használja az Azure Information Protection-ügyféllel, megadhatja a OwnerEmail paramétert a Rights Management-tulajdonos másik fiókhoz való hozzárendeléséhez.
Ha a Rights Management-kiállító a felhasználók nevében védelmet nyújt, a Rights Management tulajdonosának hozzárendelése biztosítja, hogy az eredeti dokumentum vagy e-mail-tulajdonos ugyanolyan szintű vezérléssel rendelkezik a védett tartalom tekintetében, mintha maguk kezdeményezték volna a védelmet.
A dokumentumot létrehozó felhasználó például kinyomtathatja, annak ellenére, hogy mostantól olyan sablonnal van védve, amely nem tartalmazza a nyomtatási használati jogot. Ugyanaz a felhasználó mindig hozzáférhet a dokumentumához, függetlenül attól, hogy milyen kapcsolat nélküli hozzáférési beállítást vagy lejárati dátumot konfigurált a sablonban. Ezen kívül, mivel a Rights Management-tulajdonos rendelkezik a teljes hozzáférés használati jogával, ez a felhasználó újra védheti a dokumentumot, hogy további felhasználók számára hozzáférést biztosítson (ekkor a felhasználó ekkor a Rights Management-kiállítóvá és a Rights Management-tulajdonossá válik), és ez a felhasználó akár el is távolíthatja a védelmet. Azonban csak a Rights Management-kiállító követheti nyomon és vonhatja vissza a dokumentumokat.
Egy dokumentum vagy e-mail Rights Management-tulajdonosa a használati naplók tulajdonos-e-mail mezőjeként lesz naplózva.
Feljegyzés
A Rights Management-tulajdonos független a Windows fájlrendszer tulajdonosától. Ezek gyakran azonosak, de eltérőek lehetnek, még akkor is, ha nem használja az SDK-t vagy a PowerShellt.
Rights Management-használati licenc
Amikor egy felhasználó megnyitja a Azure Tartalomvédelmi szolgáltatások által védett dokumentumot vagy e-mailt, a tartalomhoz Rights Management-használati licencet kap a felhasználó. Ez a használati licenc egy tanúsítvány, amely tartalmazza a felhasználó dokumentumhoz vagy e-mailhez való használati jogosultságát, valamint a tartalom titkosításához használt titkosítási kulcsot. A használati licenc lejárati dátumot is tartalmaz, ha ez be van állítva, és hogy a használati licenc mennyi ideig érvényes.
A felhasználónak érvényes használati licenccel kell rendelkeznie a tartalomnak a jogosultsági fiók tanúsítványán (RAC) kívül való megnyitásához, amely egy tanúsítvány, amelyet a felhasználói környezet inicializálásakor adnak meg, majd 31 naponta megújít.
A használati licenc időtartama alatt a felhasználó nem lesz újrahitelesítve vagy újrahitelesítve a tartalomhoz. Így a felhasználó internetkapcsolat nélkül is megnyithatja a védett dokumentumot vagy e-mailt. Amikor a használati licenc érvényességi ideje lejár, a felhasználó következő alkalommal, amikor a felhasználó hozzáfér a védett dokumentumhoz vagy e-mailhez, újra kell hitelesíteni és újrahitelesíteni a felhasználót.
Ha a dokumentumokat és az e-maileket a védelmi beállításokat meghatározó címke vagy sablon védi, a tartalom ismételt védelme nélkül módosíthatja ezeket a beállításokat a címkében vagy a sablonban. Ha a felhasználó már hozzáfért a tartalomhoz, a módosítások a használati licenc lejárta után lépnek érvénybe. Ha azonban a felhasználók egyéni engedélyeket (más néven alkalmi jogosultsági szabályzatot) alkalmaznak, és ezeknek az engedélyeknek a dokumentum vagy az e-mail védelme után módosítaniuk kell őket, a tartalmat ismét védeni kell az új engedélyekkel. Az e-mailek egyéni engedélyei a Nem továbbítható beállítással implementálódnak.
A bérlők alapértelmezett használati licencének érvényességi ideje 30 nap, és ezt az értéket a Set-AipServiceMaxUseLicenseValidityTime PowerShell-parancsmaggal konfigurálhatja. Szigorúbb beállítást konfigurálhat a védelem alkalmazásakor egy bizalmassági címkével, amely most már engedélyek hozzárendelésére van konfigurálva, vagy egy sablonnal:
Bizalmassági címke konfigurálásakor a használati licenc érvényességi ideje az offline hozzáférés engedélyezése beállításból veszi az értékét.
A bizalmassági címkék beállításának konfigurálásához további információt és útmutatást a bizalmassági címkék engedélyeinek konfigurálására vonatkozó utasítások javaslattáblázatában talál.
Amikor a PowerShell használatával konfigurál egy sablont, a használati licenc érvényességi időtartama a Set-AipServiceTemplateProperty és az Add-AipServiceTemplate parancsmagok LicenseValidityDuration paraméterének értékét veszi figyelembe.
A beállítás PowerShell használatával történő konfigurálásával kapcsolatos további információkért és útmutatásért tekintse meg az egyes parancsmagok súgóját.