Gebruiksrechten configureren voor Azure Information Protection

In dit artikel worden gebruiksrechten beschreven die u kunt configureren om automatisch te worden toegepast wanneer een label of sjabloon wordt geselecteerd door gebruikers, beheerders of geconfigureerde services.

Gebruiksrechten worden geselecteerd wanneer u vertrouwelijkheidslabels of beveiligingssjablonen voor versleuteling configureert. U kunt bijvoorbeeld rollen selecteren die een logische groepering van gebruiksrechten configureren of de afzonderlijke rechten afzonderlijk configureren. Gebruikers kunnen ook de gebruiksrechten zelf selecteren en toepassen.

Voor volledigheid bevat dit artikel waarden uit de klassieke Azure-portal, die op 08 januari 2018 buiten gebruik is gesteld.

Belangrijk

Gebruik dit artikel om te begrijpen hoe gebruiksrechten zijn ontworpen om te worden geïnterpreteerd door toepassingen.

Toepassingen kunnen variëren in hoe ze gebruiksrechten implementeren. We raden u aan de documentatie van uw toepassing te raadplegen en uw eigen tests uit te voeren om het gedrag van toepassingen te controleren voordat ze in productie worden geïmplementeerd.

Gebruiksrechten en beschrijvingen

De volgende tabel bevat en beschrijft de gebruiksrechten die Rights Management ondersteunt en hoe ze worden gebruikt en geïnterpreteerd. Ze worden weergegeven met hun algemene naam. Dit is meestal hoe u het gebruiksrecht ziet dat wordt weergegeven of waarnaar wordt verwezen, als een meer beschrijvende versie van de waarde van één woord die in de code wordt gebruikt (de codering in beleidswaarde ).

In deze tabel:

  • De API-constante of -waarde is de SDK-naam voor een MSIPC- of Microsoft Purview Informatiebeveiliging SDK-API-aanroep, die wordt gebruikt wanneer u een toepassing schrijft die controleert op een gebruiksrecht of een gebruiksrecht toevoegt aan een beleid.

  • Het labelbeheercentrum is de Microsoft Purview-nalevingsportal, waar u vertrouwelijkheidslabels configureert.

Gebruiksrecht Omschrijving Implementatie
Algemene naam: Inhoud bewerken, Bewerken

Codering in beleid: DOCEDIT
Hiermee kan de gebruiker de inhoud in de toepassing wijzigen, opnieuw ordenen, opmaken of sorteren, waaronder webversie van Office. Het verleent niet het recht om de bewerkte kopie op te slaan.

In Word, tenzij u Office 365 ProPlus hebt met minimaal 1807, is dit recht niet voldoende om Wijzigingen bijhouden in of uit te schakelen, of om alle functies voor wijzigingen bijhouden als revisor te gebruiken. Als u in plaats daarvan alle opties voor wijzigingen bijhouden wilt gebruiken, hebt u het volgende recht nodig: Volledig beheer.
Aangepaste Office-rechten: als onderdeel van de opties Wijzigen en Volledig beheer .

Naam in de klassieke Azure-portal: Inhoud bewerken

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Inhoud bewerken, Bewerken (DOCEDIT)

Naam in AD RMS-sjablonen: Bewerken

API-constante of -waarde:
MSIPC: Niet van toepassing.
MIP SDK:DOCEDIT
Algemene naam: Opslaan

Codering in beleid: BEWERKEN
Hiermee kan de gebruiker het document opslaan op de huidige locatie. In webversie van Office kan de gebruiker de inhoud ook bewerken.

In Office-app licaties kan de gebruiker met dit recht het bestand opslaan op een nieuwe locatie en met een nieuwe naam als de geselecteerde bestandsindeling ingebouwde ondersteuning heeft voor Rights Management-beveiliging. De beperking voor de bestandsindeling zorgt ervoor dat de oorspronkelijke beveiliging niet uit het bestand kan worden verwijderd.
Aangepaste Office-rechten: als onderdeel van de opties Wijzigen en Volledig beheer .

Naam in de klassieke Azure-portal: Bestand opslaan

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Opslaan (BEWERKEN)

Naam in AD RMS-sjablonen: Opslaan

API-constante of -waarde:
MSIPC:IPC_GENERIC_WRITE L"EDIT"
MIP SDK:EDIT
Algemene naam: Opmerking

Codering in beleid: OPMERKING
Hiermee kunt u aantekeningen of opmerkingen toevoegen aan de inhoud.

Dit recht is beschikbaar in de SDK, is beschikbaar als ad-hocbeleid in de module AzureInformationProtection en RMS Protection voor Windows PowerShell en is geïmplementeerd in sommige softwareleverancierstoepassingen. Het wordt echter niet veel gebruikt en wordt niet ondersteund door Office-app licaties.
Aangepaste Office-rechten: niet geïmplementeerd.

Naam in de klassieke Azure-portal: Niet geïmplementeerd.

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Niet geïmplementeerd.

Naam in AD RMS-sjablonen: niet geïmplementeerd.

API-constante of -waarde:
MSIPC:IPC_GENERIC_COMMENT L"COMMENT
MIP SDK:COMMENT
Algemene naam: Opslaan als, Exporteren

Codering in beleid: EXPORTEREN
Hiermee schakelt u de optie in om de inhoud op te slaan in een andere bestandsnaam (Opslaan als).

Voor de Azure Information Protection-client kan het bestand zonder beveiliging worden opgeslagen en opnieuw worden beveiligd met nieuwe instellingen en machtigingen. Deze toegestane acties betekenen dat een gebruiker met dit recht een Azure Information Protection-label kan wijzigen of verwijderen uit een beveiligd document of e-mailbericht.

Met dit recht kan de gebruiker ook andere exportopties uitvoeren in toepassingen, zoals Verzenden naar OneNote.
Aangepaste Office-rechten: als onderdeel van de optie Volledig beheer .

Naam in de klassieke Azure-portal: Inhoud exporteren (Opslaan als)

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Opslaan als, Exporteren (EXPORT)

Naam in AD RMS-sjablonen: Exporteren (Opslaan als)

API-constante of -waarde:
MSIPC:IPC_GENERIC_EXPORT L"EXPORT"
MIP SDK:EXPORT
Algemene naam: Doorsturen

Codering in beleid: FORWARD
Hiermee kunt u een e-mailbericht doorsturen en geadresseerden toevoegen aan de regels Aan en CC . Dit recht is niet van toepassing op documenten; alleen e-mailberichten.

Staat de doorstuurserver niet toe om rechten te verlenen aan andere gebruikers als onderdeel van de doorstuuractie.

Wanneer u dit recht verleent, verleent u ook het bewerken van inhoud, het recht Bewerken (algemene naam) en verleent u het recht Opslaan (algemene naam) om ervoor te zorgen dat het beveiligde e-mailbericht niet als bijlage wordt bezorgd. Geef deze rechten ook op wanneer u een e-mailbericht verzendt naar een andere organisatie die gebruikmaakt van de Outlook-client of outlook-web-app. Of voor gebruikers in uw organisatie die zijn vrijgesteld van het gebruik van Rights Management-beveiliging, omdat u onboarding-besturingselementen hebt geïmplementeerd.
Aangepaste Office-rechten: geweigerd wanneer u het standaardbeleid Niet doorsturen gebruikt.

Naam in de klassieke Azure-portal: Doorsturen

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Doorsturen (FORWARD)

Naam in AD RMS-sjablonen: Doorsturen

API-constante of -waarde:
MSIPC:IPC_EMAIL_FORWARD L"FORWARD"
MIP SDK:FORWARD
Algemene naam: Volledig beheer

Codering in beleid: EIGENAAR
Verleent alle rechten aan het document en alle beschikbare acties kunnen worden uitgevoerd.

Bevat de mogelijkheid om beveiliging te verwijderen en een document opnieuw te beveiligen.

Houd er rekening mee dat dit gebruiksrecht niet hetzelfde is als de Rights Management-eigenaar.
Aangepaste Office-rechten: als de aangepaste optie Volledig beheer .

Naam in de klassieke Azure-portal: Volledig beheer

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Volledig beheer (EIGENAAR)

Naam in AD RMS-sjablonen: Volledig beheer

API-constante of -waarde:
MSIPC:IPC_GENERIC_ALL L"OWNER"
MIP SDK:OWNER
Algemene naam: Afdrukken

Codering in beleid: PRINT
Hiermee kunt u de opties voor het afdrukken van de inhoud inschakelen. Aangepaste Office-rechten: als de optie Inhoud afdrukken in aangepaste machtigingen. Geen instelling per ontvanger.

Naam in de klassieke Azure-portal: Afdrukken

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Afdrukken (PRINT)

Naam in AD RMS-sjablonen: Afdrukken

API-constante of -waarde:
MSIPC:IPC_GENERIC_PRINT L"PRINT"
MIP SDK: PRINT
Algemene naam: Beantwoorden

Encoding in beleid: REPLY
Hiermee schakelt u de optie Beantwoorden in een e-mailclient in, zonder wijzigingen in de regels Aan of CC toe te staan.

Wanneer u dit recht verleent, verleent u ook het bewerken van inhoud, het recht Bewerken (algemene naam) en verleent u het recht Opslaan (algemene naam) om ervoor te zorgen dat het beveiligde e-mailbericht niet als bijlage wordt bezorgd. Geef deze rechten ook op wanneer u een e-mailbericht verzendt naar een andere organisatie die gebruikmaakt van de Outlook-client of outlook-web-app. Of voor gebruikers in uw organisatie die zijn vrijgesteld van het gebruik van Rights Management-beveiliging, omdat u onboarding-besturingselementen hebt geïmplementeerd.
Aangepaste Office-rechten: niet van toepassing.

Naam in de klassieke Azure-portal: Beantwoorden

Naam in de klassieke Azure-portal: Beantwoorden (BEANTWOORDEN)

Naam in AD RMS-sjablonen: Beantwoorden

API-constante of -waarde:
MSIPC:IPC_EMAIL_REPLY
MIP SDK:REPLY
Algemene naam: Allen beantwoorden

Codering in beleid: REPLYALL
Hiermee schakelt u de optie Allen beantwoorden in een e-mailclient in, maar kan de gebruiker geen geadresseerden toevoegen aan de regels Aan of CC .

Wanneer u dit recht verleent, verleent u ook het bewerken van inhoud, het recht Bewerken (algemene naam) en verleent u het recht Opslaan (algemene naam) om ervoor te zorgen dat het beveiligde e-mailbericht niet als bijlage wordt bezorgd. Geef deze rechten ook op wanneer u een e-mailbericht verzendt naar een andere organisatie die gebruikmaakt van de Outlook-client of outlook-web-app. Of voor gebruikers in uw organisatie die zijn vrijgesteld van het gebruik van Rights Management-beveiliging, omdat u onboarding-besturingselementen hebt geïmplementeerd.
Aangepaste Office-rechten: niet van toepassing.

Naam in de klassieke Azure-portal: Allen beantwoorden

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Allen beantwoorden (ALLEN BEANTWOORDEN)

Naam in AD RMS-sjablonen: Allen beantwoorden

API-constante of -waarde:
MSIPC:IPC_EMAIL_REPLYALL L"REPLYALL"
MIP SDK:REPLYALL
Algemene naam: Weergeven, Openen, Lezen

Codering in beleid: WEERGAVE
Hiermee kan de gebruiker het document openen en de inhoud bekijken.

In Excel is dit recht niet voldoende om gegevens te sorteren. Hiervoor is het volgende vereist: Inhoud bewerken, Bewerken. Als u gegevens wilt filteren in Excel, hebt u de volgende twee rechten nodig: Inhoud bewerken, Bewerken en Kopiëren.
Aangepaste Office-rechten: Als aangepast beleid lezen , optie Weergeven .

Naam in de klassieke Azure-portal: Weergeven

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Weergeven, Openen, Lezen (VIEW)

Naam in AD RMS-sjablonen: lezen

API-constante of -waarde:
MSIPC:IPC_GENERIC_READ L"VIEW"
MIP SDK:VIEW
Algemene naam: Kopiëren

Codering in beleid: EXTRACT
Hiermee kunt u opties kopiëren om gegevens (inclusief schermopnamen) uit het document naar hetzelfde of een ander document te kopiëren.

In sommige toepassingen kan het hele document ook worden opgeslagen in onbeveiligde vorm.

In Skype voor Bedrijven en vergelijkbare toepassingen voor schermdeling moet de presentator dit recht hebben om een beveiligd document te presenteren. Als de presentator dit recht niet heeft, kunnen de genodigden het document niet bekijken en worden ze als zwart weergegeven.
Aangepaste Office-rechten: als de optie Gebruikers met leestoegang toestaan om aangepast beleid voor inhoud te kopiëren.

Naam in de klassieke Azure-portal: inhoud kopiëren en extraheren

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Kopiëren (EXTRACT)

Naam in AD RMS-sjablonen: Extraheren

API-constante of -waarde:
MSIPC:IPC_GENERIC_EXTRACT L"EXTRACT"
MIP SDK:EXTRACT
Algemene naam: Rechten weergeven

Encoding in beleid: VIEWRIGHTSDATA
Hiermee kan de gebruiker het beleid zien dat op het document wordt toegepast.

Niet ondersteund door Office-app s- of Azure Information Protection-clients.
Aangepaste Office-rechten: niet geïmplementeerd.

Naam in de klassieke Azure-portal: Toegewezen rechten weergeven

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: View Rights (VIEWRIGHTSDATA).

Naam in AD RMS-sjablonen: Rechten weergeven

API-constante of -waarde:
MSIPC:IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
MIP SDK:VIEWRIGHTSDATA
Algemene naam: Rechten wijzigen

Encoding in beleid: EDITRIGHTSDATA
Hiermee kan de gebruiker het beleid wijzigen dat op het document wordt toegepast. Omvat inclusief het verwijderen van beveiliging.

Niet ondersteund door Office-app s- of Azure Information Protection-clients.
Aangepaste Office-rechten: niet geïmplementeerd.

Naam in de klassieke Azure-portal: Rechten wijzigen

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Edit Rights (EDITRIGHTSDATA).

Naam in AD RMS-sjablonen: Rechten bewerken

API-constante of -waarde:
MSIPC:PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
MIP SDK:EDITRIGHTSDATA
Algemene naam: Macro's toestaan

Encoding in beleid: OBJMODEL
Hiermee kunt u macro's uitvoeren of andere programmatische of externe toegang tot de inhoud in een document uitvoeren. Aangepaste Office-rechten: als de optie Aangepast beleid voor programmatische toegang toestaan. Geen instelling per ontvanger.

Naam in de klassieke Azure-portal: Macro's toestaan

Naam in de Microsoft Purview-nalevingsportal en Azure Portal: Macro's toestaan (OBJMODEL)

Naam in AD RMS-sjablonen: Macro's toestaan

API-constante of -waarde: MSIPC: Niet geïmplementeerd. MIP SDK:OBJMODEL

Rechten die zijn opgenomen in machtigingsniveaus

Sommige toepassingen groeperen gebruiksrechten samen in machtigingsniveaus, zodat u eenvoudiger gebruiksrechten kunt selecteren die doorgaans samen worden gebruikt. Deze machtigingsniveaus helpen bij het abstract maken van een complexiteitsniveau van gebruikers, zodat ze opties kunnen kiezen die op rollen zijn gebaseerd. Bijvoorbeeld revisor en cocreatie. Hoewel deze opties vaak een samenvatting van de rechten weergeven, bevatten ze mogelijk niet elk recht dat in de vorige tabel wordt vermeld.

Gebruik de volgende tabel voor een lijst met deze machtigingsniveaus en een volledige lijst met de gebruiksrechten die ze bevatten. De gebruiksrechten worden vermeld onder hun algemene naam.

Machtigingsniveau Toepassingen Gebruiksrechten inbegrepen
Kijker Klassieke Azure-portal

Azure Portal

Azure Information Protection-client voor Windows
Weergeven, openen, lezen; Rechten weergeven; Beantwoorden [1]; Allen beantwoorden [1]; Macro's toestaan [2]

Opmerking: Voor e-mailberichten gebruikt u Revisor in plaats van dit machtigingsniveau om ervoor te zorgen dat een e-mailantwoord wordt ontvangen als een e-mailbericht in plaats van een bijlage. Revisor is ook vereist wanneer u een e-mailbericht verzendt naar een andere organisatie die gebruikmaakt van de Outlook-client of Outlook Web App. Of voor gebruikers in uw organisatie die geen gebruik kunnen maken van de Azure Rights Management-service, omdat u onboarding-besturingselementen hebt geïmplementeerd.
Revisor Klassieke Azure-portal

Azure Portal

Azure Information Protection-client voor Windows
Weergeven, openen, lezen; Opslaan; Inhoud bewerken, bewerken; Rechten weergeven; Antwoord: Allen beantwoorden [3]; Doorsturen [3]; Macro's toestaan [2]
Cocreatie Klassieke Azure-portal

Azure Portal

Azure Information Protection-client voor Windows
Weergeven, openen, lezen; Opslaan; Inhoud bewerken, bewerken; Kopiëren; Rechten weergeven; Macro's toestaan; Opslaan als, exporteren [4]; Afdrukken; Antwoord [3]; Allen beantwoorden [3]; Doorsturen [3]
Mede-eigenaar Klassieke Azure-portal

Azure Portal

Azure Information Protection-client voor Windows
Weergeven, openen, lezen; Opslaan; Inhoud bewerken, bewerken; Kopiëren; Rechten weergeven; Rechten wijzigen; Macro's toestaan; Opslaan als, exporteren; Afdrukken; Antwoord [3]; Allen beantwoorden [3]; Doorsturen [3]; Volledig beheer
Voetnoot 1

Niet opgenomen in de Microsoft Purview-nalevingsportal of Azure Portal.

Voetnoot 2

Voor de Azure Information Protection-client voor Windows is dit recht vereist voor de Information Protection-balk in Office-app s.

Voetnoot 3

Niet van toepassing op de Azure Information Protection-client voor Windows.

Voetnoot 4

Niet opgenomen in de Microsoft Purview-nalevingsportal, Azure Portal of de Azure Information Protection-client voor Windows.

Optie Niet doorsturen voor e-mailberichten

Exchange-clients en -services (bijvoorbeeld de Outlook-client, webversie van Outlook, Exchange-e-mailstroomregels en DLP-acties voor Exchange) hebben een extra optie voor gegevensbescherming voor e-mailberichten: Niet doorsturen.

Hoewel deze optie voor gebruikers (en Exchange-beheerders) lijkt alsof het een standaard Rights Management-sjabloon is die ze kunnen selecteren, is Niet doorsturen geen sjabloon. Dit verklaart waarom u deze niet in Azure Portal kunt zien wanneer u beveiligingssjablonen bekijkt en beheert. In plaats daarvan is de optie Niet doorsturen een set gebruiksrechten die dynamisch door gebruikers worden toegepast op hun e-mailontvangers.

Wanneer de optie Niet doorsturen wordt toegepast op een e-mailbericht, wordt het e-mailbericht versleuteld en moeten geadresseerden worden geverifieerd. Vervolgens kunnen de geadresseerden het niet doorsturen, afdrukken of kopiëren. In de Outlook-client is de knop Doorsturen bijvoorbeeld niet beschikbaar, de menuopties Opslaan als en Afdrukken zijn niet beschikbaar en u kunt geen geadresseerden toevoegen of wijzigen in de vakken Aan, CC of BCC .

Niet-beveiligde Office-documenten die aan het e-mailbericht zijn gekoppeld, nemen automatisch dezelfde beperkingen over. De gebruiksrechten die op deze documenten zijn toegepast, zijn Inhoud bewerken, Bewerken; Opslaan; Macro's weergeven, openen, lezen en toestaan. Als u andere gebruiksrechten voor een bijlage wilt of als uw bijlage geen Office-document is dat deze overgenomen beveiliging ondersteunt, beveiligt u het bestand voordat u het bijvoegt aan het e-mailbericht. Vervolgens kunt u de specifieke gebruiksrechten toewijzen die u nodig hebt voor het bestand.

Verschil tussen Niet doorsturen en het recht voor doorsturen niet verlenen

Er is een belangrijk onderscheid tussen het toepassen van de optie Niet doorsturen en het toepassen van een sjabloon die het gebruiksrecht Doorsturen niet verleent aan een e-mailbericht: de optie Niet doorsturen maakt gebruik van een dynamische lijst met geautoriseerde gebruikers die is gebaseerd op de door de gebruiker gekozen geadresseerden van het oorspronkelijke e-mailbericht; terwijl de rechten in de sjabloon een statische lijst hebben met geautoriseerde gebruikers die de beheerder eerder heeft opgegeven. Wat is het verschil? Laten we een voorbeeld nemen:

Een gebruiker wil bepaalde informatie per e-mail verzenden naar specifieke personen op de afdeling Marketing die niet met iemand anders mogen worden gedeeld. Moet ze het e-mailbericht beveiligen met een sjabloon die rechten (weergeven, beantwoorden en opslaan) beperkt tot de marketingafdeling? Of moet ze de optie Niet doorsturen kiezen? Beide opties zouden ertoe leiden dat de geadresseerden het e-mailbericht niet kunnen doorsturen.

  • Als ze de sjabloon heeft toegepast, kunnen de geadresseerden de informatie nog steeds delen met anderen op de marketingafdeling. Een geadresseerde kan bijvoorbeeld Explorer gebruiken om het e-mailbericht naar een gedeelde locatie of een USB-station te slepen en neer te zetten. Nu kan iedereen van de marketingafdeling (en de e-maileigenaar) die toegang heeft tot deze locatie, de informatie in het e-mailbericht bekijken.

  • Als ze de optie Niet doorsturen heeft toegepast, kunnen de geadresseerden de informatie niet delen met iemand anders in de marketingafdeling door het e-mailbericht naar een andere locatie te verplaatsen. In dit scenario kunnen alleen de oorspronkelijke geadresseerden (en de eigenaar van de e-mail) de informatie in het e-mailbericht bekijken.

Notitie

Gebruik Niet doorsturen als het belangrijk is dat alleen de geadresseerden die de afzender kiest, de informatie in het e-mailbericht moeten zien. Gebruik een sjabloon voor e-mailberichten om rechten te beperken tot een groep personen die de beheerder vooraf opgeeft, onafhankelijk van de gekozen geadresseerden van de afzender.

Optie Alleen versleutelen voor e-mailberichten

Wanneer Exchange Online gebruikmaakt van de nieuwe mogelijkheden voor Office 365-berichtversleuteling, wordt er een nieuwe optie E-mail versleutelen beschikbaar om de gegevens zonder extra beperkingen te versleutelen.

Deze optie is beschikbaar voor tenants die Exchange Online gebruiken en kunnen als volgt worden geselecteerd:

Zie de volgende blogpost toen deze voor het eerst werd aangekondigd vanuit het Office-team voor meer informatie over de optie Alleen versleutelen: Versleutelen alleen in Office 365-berichtversleuteling.

Wanneer deze optie is geselecteerd, wordt het e-mailbericht versleuteld en moeten geadresseerden worden geverifieerd. Vervolgens hebben de geadresseerden alle gebruiksrechten, behalve Opslaan als, Exporteren en Volledig beheer. Deze combinatie van gebruiksrechten betekent dat de ontvangers geen beperkingen hebben, behalve dat ze de beveiliging niet kunnen verwijderen. Een geadresseerde kan bijvoorbeeld kopiëren vanuit het e-mailbericht, afdrukken en doorsturen.

Op dezelfde manier nemen niet-beveiligde Office-documenten die aan het e-mailbericht zijn gekoppeld, dezelfde machtigingen over. Deze documenten worden automatisch beveiligd en wanneer ze worden gedownload, kunnen ze worden opgeslagen, bewerkt, gekopieerd en afgedrukt vanuit Office-app licaties door de geadresseerden. Wanneer het document wordt opgeslagen door een geadresseerde, kan het worden opgeslagen in een nieuwe naam en zelfs een andere indeling. Er zijn echter alleen bestandsindelingen beschikbaar die bescherming ondersteunen, zodat het document niet kan worden opgeslagen zonder de oorspronkelijke beveiliging. Als u andere gebruiksrechten voor een bijlage wilt of als uw bijlage geen Office-document is dat deze overgenomen beveiliging ondersteunt, beveiligt u het bestand voordat u het bijvoegt aan het e-mailbericht. Vervolgens kunt u de specifieke gebruiksrechten toewijzen die u nodig hebt voor het bestand.

U kunt deze overname van documenten ook wijzigen door op te Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true geven met Exchange Online PowerShell. Gebruik deze configuratie wanneer u de oorspronkelijke beveiliging voor het document niet hoeft te behouden nadat de gebruiker is geverifieerd. Wanneer geadresseerden het e-mailbericht openen, is het document niet beveiligd.

Als u een bijgevoegd document nodig hebt om de oorspronkelijke beveiliging te behouden, raadpleegt u Samenwerking met beveiligde documenten met behulp van Azure Information Protection.

Notitie

Als u verwijzingen naar DecryptAttachmentFromPortal ziet, is deze parameter nu afgeschaft voor Set-IRMConfiguration. Tenzij u deze parameter eerder hebt ingesteld, is deze niet beschikbaar.

PDF-documenten automatisch versleutelen met Exchange Online

Wanneer Exchange Online gebruikmaakt van de nieuwe mogelijkheden voor Office 365-berichtversleuteling, kunt u niet-beveiligde PDF-documenten automatisch versleutelen wanneer ze zijn gekoppeld aan een versleuteld e-mailbericht. Het document neemt dezelfde machtigingen over als die voor het e-mailbericht. Als u deze configuratie wilt inschakelen, stelt u EnablePdfEncryption $True in met Set-IRMConfiguration.

Ontvangers die nog geen lezer hebben geïnstalleerd die ondersteuning biedt voor de ISO-standaard voor PDF-versleuteling, kunnen een van de lezers installeren die worden vermeld in PDF-lezers die ondersteuning bieden voor Microsoft Purview Informatiebeveiliging. Ontvangers kunnen ook het beveiligde PDF-document lezen in de OME-portal.

Rights Management-uitgever en Rights Management-eigenaar

Wanneer een document of e-mailbericht wordt beveiligd met behulp van de Azure Rights Management-service, wordt het account dat die inhoud beschermt automatisch de Rights Management-verlener voor die inhoud. Dit account wordt geregistreerd als het veld Verlener in de gebruikslogboeken.

De Rights Management-verlener krijgt altijd het gebruiksrecht Volledig beheer voor het document of e-mailbericht en daarnaast:

  • Als de beveiligingsinstellingen een vervaldatum bevatten, kan de Rights Management-uitgever het document of e-mailbericht na die datum nog steeds openen en bewerken.

  • De Rights Management-uitgever heeft altijd offline toegang tot het document of e-mailbericht.

  • De Rights Management-verlener kan nog steeds een document openen nadat het is ingetrokken.

Dit account is standaard ook de Rights Management-eigenaar voor die inhoud. Dit is het geval wanneer een gebruiker die het document of e-mailbericht heeft gemaakt, de beveiliging initieert. Er zijn echter enkele scenario's waarin een beheerder of service inhoud namens gebruikers kan beveiligen. Bijvoorbeeld:

  • Een beheerder beveiligt bestanden bulksgewijs op een bestandsshare: het beheerdersaccount in Microsoft Entra ID beveiligt de documenten voor de gebruikers.

  • De Rights Management-connector beveiligt Office-documenten in een Windows Server-map: het service-principal-account in Microsoft Entra ID dat is gemaakt voor de RMS-connector beveiligt de documenten voor de gebruikers.

In deze scenario's kan de Rights Management-uitgever de Rights Management-eigenaar toewijzen aan een ander account met behulp van de Azure Information Protection SDK's of PowerShell. Wanneer u bijvoorbeeld de PowerShell-cmdlet Protect-RMSFile gebruikt met de Azure Information Protection-client, kunt u de parameter OwnerEmail opgeven om de Rights Management-eigenaar toe te wijzen aan een ander account.

Wanneer de Rights Management-verlener namens gebruikers beveiligt, zorgt het toewijzen van de Rights Management-eigenaar ervoor dat het oorspronkelijke document of de e-maileigenaar hetzelfde controleniveau heeft voor hun beveiligde inhoud alsof ze de beveiliging zelf hebben gestart.

De gebruiker die het document heeft gemaakt, kan het bijvoorbeeld afdrukken, ook al is het nu beveiligd met een sjabloon die het gebruiksrecht Afdrukken niet bevat. Dezelfde gebruiker heeft altijd toegang tot het document, ongeacht de instelling voor offlinetoegang of de vervaldatum die mogelijk is geconfigureerd in die sjabloon. Omdat de Rights Management-eigenaar het gebruiksrecht Volledig beheer heeft, kan deze gebruiker het document ook opnieuw beveiligen om extra gebruikers toegang te verlenen (op welk moment de gebruiker vervolgens de Rights Management-uitgever en de Rights Management-eigenaar wordt) en kan deze gebruiker zelfs de beveiliging verwijderen. Alleen de Rights Management-verlener kan echter een document bijhouden en intrekken.

De Rights Management-eigenaar voor een document of e-mailbericht wordt geregistreerd als het veld voor het e-mailadres van de eigenaar in de gebruikslogboeken.

Notitie

De Rights Management-eigenaar is onafhankelijk van de eigenaar van het Windows-bestandssysteem. Ze zijn vaak hetzelfde, maar kunnen verschillen, zelfs als u de SDK's of PowerShell niet gebruikt.

Rights Management-gebruikslicentie

Wanneer een gebruiker een document of e-mailbericht opent dat is beveiligd door Azure Rights Management, wordt aan de gebruiker een Rights Management-gebruikslicentie voor die inhoud verleend. Deze gebruikslicentie is een certificaat met de gebruiksrechten van de gebruiker voor het document of e-mailbericht en de versleutelingssleutel die is gebruikt om de inhoud te versleutelen. De gebruikslicentie bevat ook een vervaldatum als deze is ingesteld en hoe lang de gebruikslicentie geldig is.

Een gebruiker moet een geldige gebruikslicentie hebben om de inhoud te openen naast het RAC (Rights Account Certificate), een certificaat dat wordt verleend wanneer de gebruikersomgeving wordt geïnitialiseerd en vervolgens elke 31 dagen wordt vernieuwd.

Voor de duur van de gebruikslicentie wordt de gebruiker niet opnieuw geverifieerd of opnieuw geverifieerd voor de inhoud. Hierdoor kan de gebruiker het beveiligde document of e-mailbericht blijven openen zonder internetverbinding. Wanneer de geldigheidsperiode van de gebruikslicentie verloopt, moet de gebruiker de volgende keer dat de gebruiker het beveiligde document of e-mailbericht opent, opnieuw worden geverifieerd en opnieuw worden geverifieerd.

Wanneer documenten en e-mailberichten worden beveiligd met behulp van een label of een sjabloon die de beveiligingsinstellingen definieert, kunt u deze instellingen in uw label of sjabloon wijzigen zonder dat u de inhoud opnieuw hoeft te beveiligen. Als de gebruiker de inhoud al heeft geopend, worden de wijzigingen van kracht nadat hun gebruikslicentie is verlopen. Wanneer gebruikers echter aangepaste machtigingen toepassen (ook wel ad-hoc rechtenbeleid genoemd) en deze machtigingen moeten worden gewijzigd nadat het document of e-mailbericht is beveiligd, moet die inhoud opnieuw worden beveiligd met de nieuwe machtigingen. Aangepaste machtigingen voor een e-mailbericht worden geïmplementeerd met de optie Niet doorsturen.

De standaardduur voor de geldigheidsduur van een gebruikslicentie voor een tenant is 30 dagen en u kunt deze waarde configureren met behulp van de PowerShell-cmdlet Set-AipServiceMaxUseLicenseValidityTime. U kunt een meer beperkende instelling configureren voor wanneer beveiliging wordt toegepast met behulp van een vertrouwelijkheidslabel dat nu is geconfigureerd om machtigingen toe te wijzen, of een sjabloon:

Zie ook