Настройка прав потребления для Azure Information Protection
В этой статье описаны права на использование, которые можно настроить для автоматического применения при выборе метки или шаблона пользователями, администраторами или настроенными службами.
Права на использование выбираются при настройке меток конфиденциальности или шаблонов защиты для шифрования. Например, можно выбрать роли, которые настраивают логическую группу прав на использование или настраивать отдельные права отдельно. Кроме того, пользователи могут выбирать и применять сами права на использование.
Для полноты информации эта статья содержит значения с классического портала Azure, использование которого было прекращено 8 января 2018 г.
Внимание
Используйте эту статью, чтобы понять, как права на использование предназначены для интерпретации приложениями.
Приложения могут отличаться в том, как они реализуют права на использование, и мы рекомендуем консультироваться с документацией вашего приложения и выполнять собственное тестирование, чтобы проверить поведение приложения перед развертыванием в рабочей среде.
Права на использование и их описание
В следующей таблице перечислены и описаны права на использование, которые поддерживаются Rights Management, порядок их использования и интерпретации. В таблице указывается общее имя, которое обычно используется для отображения прав на использование или ссылки на них как более понятная версия краткого значения, используемого в коде (значение Кодирование в политике).
В этой таблице:
Константой ИЛИ значением API является имя пакета SDK для вызова API MSIPC или Защита информации Microsoft Purview SDK, используемого при написании приложения, которое проверяет право на использование или добавляет право использования в политику.
Центр администрирования меток — это Портал соответствия требованиям Microsoft Purview, где вы настраиваете метки конфиденциальности.
Право на использование | Description | Внедрение |
---|---|---|
Распространенное имя: Изменение содержимого, изменение Кодирование в политике: DOCEDIT |
Позволяет пользователю изменять, переупорядочение, форматирование или сортировку содержимого внутри приложения, которое включает Office в Интернете. Не предоставляет право на сохранение измененной копии. В Word, если у вас нет Office 365 профессиональный плюс с минимальной версией 1807, это право недостаточно для включения или отключения отслеживания изменений или использования всех функций отслеживания изменений в качестве рецензента. Вместо этого для использования всех параметров отслеживания изменений требуется следующее право: полный доступ. |
Настраиваемые права Office: в составе параметров Изменение и Полный доступ. Имя на классическом портале Azure: Изменить содержимое Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: изменение содержимого, изменение (DOCEDIT) Имя в шаблонах AD RMS: Изменение Константа или значение API: MSIPC: неприменимо. Пакет SDK MIP: DOCEDIT |
Распространенное имя: Сохранение Кодирование в политике: EDIT |
Позволяет пользователю сохранять документ в текущем расположении. В Office в Интернете он также позволяет пользователю изменять содержимое. В Приложение Office ликации это право позволяет пользователю сохранять файл в новом расположении и с новым именем, если выбранный формат файла имеет встроенную поддержку защиты Rights Management. Ограничение формата файла гарантирует, что исходная защита не может быть удалена из файла. |
Настраиваемые права Office: в составе параметров Изменение и Полный доступ. Имя на классическом портале Azure: Сохранить файл Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: сохранить (ИЗМЕНИТЬ) Имя в шаблонах AD RMS: Сохранение Константа или значение API: MSIPC: IPC_GENERIC_WRITE L"EDIT" Пакет SDK MIP: EDIT |
Распространенное имя: Комментирование Кодирование в политике: COMMENT |
Включает параметр, чтобы добавлять примечания или комментарии к содержимому. Это право доступно в пакете SDK, а также как произвольная политика в модуле защиты AzureInformationProtection и RMS для Windows PowerShell и реализовано в некоторых приложениях поставщиков программного обеспечения. Однако он широко не используется и не поддерживается Приложение Office ликациями. |
Настраиваемые права Office: не реализовано. Имя на классическом портале Azure: не реализовано. Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: не реализовано. Имя в шаблонах AD RMS: не реализовано. Константа или значение API: MSIPC: IPC_GENERIC_COMMENT L"COMMENT Пакет SDK MIP: COMMENT |
Распространенное имя: Сохранить как, экспорт Кодирование в политике: EXPORT |
Включает параметр для сохранения содержимого под другим именем файла ("Сохранить как"). Для клиента Azure Information Protection файл можно сохранить без защиты, а также повторно защитить с помощью новых параметров и разрешений. Эти разрешенные действия означают, что пользователь, имеющий это право, может изменить или удалить метку Azure Information Protection из защищенного документа или электронной почты. Это право позволяет пользователю выполнять другие варианты экспорта в приложениях, например Отправить в OneNote. |
Пользовательские права Office: в рамках параметра "Полный доступ ". Имя на классическом портале Azure: Экспорт содержимого (сохранить как) Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: сохранение как, экспорт (ЭКСПОРТ) Имя в шаблонах AD RMS: Экспорт (сохранить как) Константа или значение API: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" Пакет SDK MIP: EXPORT |
Распространенное имя: Переадресация Кодирование в политике: FORWARD |
Включает параметр для пересылки электронного сообщения и добавления получателей в строки Кому и Копия. Данное право не применяется к документам — только к сообщениям электронной почты. Не разрешает пересылающему пользователю предоставлять права другим пользователям при пересылке. При предоставлении этого права также предоставьте содержимое редактирования, правку (общее имя) и дополнительно предоставьте право сохранения (общее имя), чтобы убедиться, что защищенное сообщение электронной почты не доставлено в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, использующую клиент Outlook или веб-приложение Outlook. Кроме того, для пользователей в организации, которые не используют защиту Rights Management, так как вы реализовали элементы управления подключением. |
Настраиваемые права Office: запрещено при использовании стандартной политики Не пересылать. Имя на классическом портале Azure: Переадресовать Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: пересылка (пересылка) Имя в шаблонах AD RMS: Переадресация Константа или значение API: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" Пакет SDK MIP: FORWARD |
Распространенное имя: Полный доступ Кодирование в политике: OWNER |
Предоставляет все права на документ, для выполнения доступны все действия. Включает в себя возможность удалить и восстановить защиту для документа. Обратите внимание, что это право использования не совпадает со значением Владелец Rights Management. |
Настраиваемые права Office: в составе настраиваемого параметра Полный доступ. Имя на классическом портале Azure: Полный доступ Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: полный контроль (ВЛАДЕЛЕЦ) Имя в шаблонах AD RMS: Полный доступ Константа или значение API: MSIPC: IPC_GENERIC_ALL L"OWNER" Пакет SDK MIP: OWNER |
Распространенное имя: Печать Кодирование в политике: PRINT |
Включает параметры для печати содержимого. | Настраиваемые права Office: в виде параметра Печать содержимого в пользовательских разрешениях. Не отдельный параметр для каждого получателя. Имя на классическом портале Azure: Печать Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: печать (ПЕЧАТЬ) Имя в шаблонах AD RMS: Печать Константа или значение API: MSIPC: IPC_GENERIC_PRINT L"PRINT" Пакет SDK MIP: PRINT |
Распространенное имя: Ответ Кодирование в политике: REPLY |
Включает параметр Ответить в почтовом клиенте, не позволяя изменять строку Кому или Копия. При предоставлении этого права также предоставьте содержимое редактирования, правку (общее имя) и дополнительно предоставьте право сохранения (общее имя), чтобы убедиться, что защищенное сообщение электронной почты не доставлено в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, использующую клиент Outlook или веб-приложение Outlook. Кроме того, для пользователей в организации, которые не используют защиту Rights Management, так как вы реализовали элементы управления подключением. |
Настраиваемые права Office: не применимо. Имя на классическом портале Azure: Ответ Имя на классическом портале Azure: Ответ (REPLY) Имя в шаблонах AD RMS: Ответ Константа или значение API: MSIPC: IPC_EMAIL_REPLY Пакет SDK MIP: REPLY |
Распространенное имя: Ответить всем Кодирование в политике: REPLYALL |
Включает параметр Ответить всем в почтовом клиенте, но не позволяет пользователю добавлять получателей в строку Кому или Копия. При предоставлении этого права также предоставьте содержимое редактирования, правку (общее имя) и дополнительно предоставьте право сохранения (общее имя), чтобы убедиться, что защищенное сообщение электронной почты не доставлено в виде вложения. Кроме того, укажите эти права при отправке сообщения электронной почты в другую организацию, использующую клиент Outlook или веб-приложение Outlook. Кроме того, для пользователей в организации, которые не используют защиту Rights Management, так как вы реализовали элементы управления подключением. |
Настраиваемые права Office: не применимо. Имя на классическом портале Azure: Ответить всем Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: ответить всем (ОТВЕТИТЬ ВСЕМ) Имя в шаблонах AD RMS: Ответ всем Константа или значение API: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" Пакет SDK MIP: REPLYALL |
Распространенное имя: Просмотр, открытие, чтение Кодирование в политике: VIEW |
Позволяет пользователю открыть документ и просмотреть содержимое. В Excel это право недостаточно для сортировки данных, для которых требуется следующее : изменение содержимого, изменение. Чтобы отфильтровать данные в Excel, вам потребуется следующие два права: изменение содержимого, редактирование и копирование. |
Настраиваемые права Office: в составе пользовательской политики Чтение, право Просмотр. Имя на классическом портале Azure: Просмотр Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: вид, открытие, чтение (VIEW) Имя в шаблонах AD RMS: чтение Константа или значение API: MSIPC: IPC_GENERIC_READ L"VIEW" Пакет SDK MIP: VIEW |
Распространенное имя: Копирование Кодирование в политике: EXTRACT |
Включает возможность для копирования данных (в том числе снимков экрана) из документа в тот же или другой документ. В некоторых приложениях также позволяет сохранить весь документ в незащищенном виде. В Skype для бизнеса и аналогичных приложениях для общего доступа к экранам выступающий должен иметь это право успешно представить защищенный документ. Если выступающий не имеет этого права, участники не могут просматривать документ, и он отображается как черное для них. |
Настраиваемые права Office: как параметр пользовательской политики Разрешить пользователям с правом на чтение копировать содержимое. Имя на классическом портале Azure: Копировать и извлечь содержимое Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: копирование (ИЗВЛЕЧЕНИЕ) Имя в шаблонах AD RMS: Извлечение Константа или значение API: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" Пакет SDK MIP: EXTRACT |
Распространенное имя: Просмотр прав Кодирование в политике: VIEWRIGHTSDATA |
Позволяет пользователю просматривать политику, примененную к документу. Не поддерживается клиентами Приложение Office или Azure Information Protection. |
Настраиваемые права Office: не реализовано. Имя на классическом портале Azure: Просмотреть назначенные права Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: Просмотр прав (VIEWRIGHTSDATA). Имя в шаблонах AD RMS: Просмотр прав Константа или значение API: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" Пакет SDK MIP: VIEWRIGHTSDATA |
Общее имя: Изменение прав Кодирование в политике: EDITRIGHTSDATA |
Позволяет пользователю изменить политику, примененную к документу. Включает удаление защиты. Не поддерживается клиентами Приложение Office или Azure Information Protection. |
Настраиваемые права Office: не реализовано. Имя на классическом портале Azure: Изменить права Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: правка (EDITRIGHTSDATA). Имя в шаблонах AD RMS: Изменение прав Константа или значение API: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" Пакет SDK MIP: EDITRIGHTSDATA |
Распространенное имя: Разрешение макросов Кодирование в политике: OBJMODEL |
Включает параметр для выполнения макросов или осуществления другого программного или удаленного доступа к содержимому в документе. | Настраиваемые права Office: в виде параметра пользовательской политики Разрешить программный доступ. Не отдельный параметр для каждого получателя. Имя на классическом портале Azure: Разрешить макросы Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: разрешить макросы (OBJMODEL) Имя в шаблонах AD RMS: Разрешить макросы Константа ИЛИ значение API: MSIPC: не реализована. Пакет SDK MIP: OBJMODEL |
Права, включенные в уровни разрешений
Некоторые приложения группируют права в уровни разрешений, чтобы облегчить выбор прав, которые обычно используются вместе. Эти уровни разрешений помогают абстрагировать уровень сложности от пользователей, чтобы они могли выбирать параметры на основе ролей. Например, Рецензент и Соавтор. Хотя эти варианты часто показывают пользователям общую информацию о правах, они могут не включать все права, перечисленные в предыдущей таблице.
Список этих уровней разрешений и полный список прав на использование, которые они содержат, приведены в следующей таблице. Список прав на использование составлен по общим именам.
Уровень разрешений | Приложения | Включенные права на использование |
---|---|---|
Зритель | Классический портал Azure Портал Azure Клиент Azure Information Protection для Windows |
Просмотр, открытие, чтение; просмотр прав; ответ [1]; ответ всем [1]; разрешение макросов [2] Примечание. Для сообщений электронной почты вместо этого уровня разрешений следует использовать параметр "Рецензент", чтобы получать ответ в виде сообщения электронной почты, а не вложения. Параметр "Рецензент" также требуется при отправке сообщения электронной почты в другую организацию, которая использует клиент Outlook или Outlook Web App. Оно необходимо и для пользователей вашей организации, исключенных из службы Azure Rights Management в связи с реализацией элементов управления подключением. |
рецензент; | Классический портал Azure Портал Azure Клиент Azure Information Protection для Windows |
Просмотр, открытие, чтение; сохранение; изменение содержимого, изменение; просмотр прав; ответ; ответ всем [3]; переадресация [3]; включение макросов [2] |
Соавтор | Классический портал Azure Портал Azure Клиент Azure Information Protection для Windows |
Просмотр, открытие, чтение; сохранение; изменение содержимого, изменение; копирование; просмотр прав; включение макросов; сохранение под другим именем, экспорт [4]; печать; ответ [3]; ответ всем [3]; переадресация [3] |
Совладельца | Классический портал Azure Портал Azure Клиент Azure Information Protection для Windows |
Просмотр, открытие, чтение; сохранение; изменение содержимого, изменение; копирование; просмотр прав; изменение прав; включение макросов; сохранение под другим именем, экспорт; печать; ответ [3]; ответ всем [3]; переадресация [3]; полный доступ |
Сноска 1
Не входит в Портал соответствия требованиям Microsoft Purview или портал Azure.
Сноска 2
Для клиента Azure Information Protection для Windows это право необходимо для панели Information Protection в Приложение Office.
Сноска 3
Неприменимо к клиенту Azure Information Protection для Windows.
Сноска 4
Не входит в Портал соответствия требованиям Microsoft Purview, портал Azure или клиент Azure Information Protection для Windows.
Параметр "Не пересылать" для сообщений электронной почты
Клиенты и службы Exchange (например, клиент Outlook, Outlook в Интернете, правила потока обработки почты Exchange и действия защиты от потери данных для Exchange) имеют дополнительный параметр защиты прав на доступ к данным для сообщений электронной почты: Не пересылайте.
Несмотря на то что этот параметр отображается для пользователей (и администраторов Exchange) в виде доступного для выбора шаблона по умолчанию Rights Management, Не пересылать не является шаблоном. Это объясняет, почему его нельзя увидеть в портал Azure при просмотре шаблонов защиты и управлении ими. Вместо этого параметр "Не пересылать" — это набор прав на использование, которые динамически применяются пользователями к получателям электронной почты.
Если параметр "Не пересылать" применяется к электронной почте, электронная почта шифруется и получатели должны проходить проверку подлинности. Затем получатели не могут перенаправить его, распечатать или скопировать из него. Например, в клиенте Outlook кнопка "Переадресация" недоступна, параметры меню "Сохранить как " и "Печать " недоступны, и вы не можете добавлять или изменять получателей в полях "Кому", "Копия" или "Копия ".
Незащищенные документы Office, присоединенные к электронной почте, автоматически наследуют те же ограничения. Права на использование, применяемые к этим документам, — изменить содержимое, изменить; Сохранить; Просмотр, открытие, чтение и разрешение макросов. Если требуется разные права использования для вложения или вложение не является документом Office, поддерживающим эту наследуемую защиту, защитите файл перед вложением в сообщение электронной почты. Затем вы можете назначить определенные права на использование, необходимые для файла.
Разница между "Не пересылать" и не предоставлять право на использование пересылки
Существует важное различие между применением параметра "Не пересылать " и применением шаблона, который не предоставляет право на перенаправление на электронную почту: параметр "Не пересылать " использует динамический список авторизованных пользователей, основанный на выбранных получателях исходной электронной почты пользователя; в то время как права в шаблоне имеют статический список авторизованных пользователей, указанных администратором ранее. В чем различие? Рассмотрим пример.
Пользователю необходимо отправить по электронной почте конкретным сотрудникам из отдела маркетинга некоторые сведения, которые должны быть закрыты от общего доступа. Нужно ли защитить сообщение с помощью шаблона, который ограничивает права (на просмотр, ответ и сохранение) только отделом маркетинга? Или же следует выбрать параметр Не пересылать? В каждом из этих случаев получатели не смогут переслать сообщение.
Если применить шаблон, получатели по-прежнему смогут делиться информацией с другими сотрудниками отдела маркетинга. Например, получатель с помощью Explorer может перетащить сообщение в общую папку или на USB-устройство. Теперь любой сотрудник отдела маркетинга (и владелец электронной почты), имеющий доступ к этому расположению, может просматривать сведения в сообщении.
Если применить параметр Не пересылать, получатели не смогут предоставить доступ к информации другим сотрудникам отдела, переместив сообщение в другое расположение. В этом случае просматривать сообщение смогут только исходные получатели (и владелец электронной почты).
Примечание.
Параметр Не пересылать следует использовать в ситуациях, когда требуется, чтобы информация в сообщении была доступна только получателям, выбранным отправителем. Шаблон для сообщений электронной почты следует использовать для предоставления прав группе людей, заранее определенной администратором, независимо от получателей, выбранных отправителем.
Параметр "Только шифрование" для сообщений электронной почты
Когда Exchange Online использует новые возможности для шифрования сообщений Office 365, новый параметр шифрования электронной почты становится доступным для шифрования данных без дополнительных ограничений.
Этот параметр доступен для клиентов, которые используют Exchange Online и могут быть выбраны следующим образом:
- В Outlook в Интернете с параметром Encrypt или меткой конфиденциальности, настроенной для разрешения пользователей назначить разрешения и параметр "Только для шифрования"
- В качестве другого варианта защиты прав для правила потока обработки почты
- Как действие защиты от потери данных Office 365
- Из приложения Outlook для настольных компьютеров и мобильных устройств:
- С меткой конфиденциальности, настроенной для предоставления пользователям разрешений и параметра "Только шифрование", для Windows, macOS, iOS и Android при использовании встроенных меток с минимальными версиями, перечисленными в таблице для возможностей меток конфиденциальности в Outlook.
- С параметром "Шифрование" в Windows и macOS для версий, перечисленных в таблице поддерживаемых версий для Приложения Microsoft 365 по каналу обновления.
Дополнительные сведения о параметре только для шифрования см. в следующей записи блога, когда она была впервые объявлена командой Office: шифрование только для развертывания в шифровании сообщений Office 365.
При выборе этого параметра электронная почта шифруется, а получатели должны пройти проверку подлинности. Затем получатели имеют все права на использование, кроме сохранения как, экспорта и полного управления. Это сочетание прав на использование означает, что получатели не имеют ограничений, за исключением того, что они не могут удалить защиту. Например, получатель может скопировать его из сообщения электронной почты, распечатать его и перенаправить его.
Аналогичным образом, по умолчанию незащищенные документы Office, присоединенные к электронной почте, наследуют те же разрешения. Эти документы автоматически защищены и при их скачивании их можно сохранить, изменить, копировать и распечатать из Приложение Office ликации получателей. При сохранении документа получателем его можно сохранить в новом имени и даже другом формате. Однако доступны только форматы файлов, поддерживающие защиту, чтобы документ не был сохранен без исходной защиты. Если требуется разные права использования для вложения или вложение не является документом Office, поддерживающим эту наследуемую защиту, защитите файл перед вложением в сообщение электронной почты. Затем вы можете назначить определенные права на использование, необходимые для файла.
Кроме того, вы можете изменить это наследование документов, указав Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true
exchange Online PowerShell. Используйте эту конфигурацию, если после проверки подлинности пользователя не требуется сохранять исходную защиту документа. Когда получатели открывают сообщение электронной почты, документ не защищен.
Если вам нужен вложенный документ для сохранения исходной защиты, см . статью "Безопасная совместная работа с документами с помощью Azure Information Protection".
Примечание.
Если вы видите ссылки на DecryptAttachmentFromPortal, этот параметр теперь не рекомендуется использовать для Set-IRMConfiguration. Если этот параметр не задан ранее, он недоступен.
Автоматическое шифрование PDF-документов с помощью Exchange Online
Если Exchange Online использует новые возможности шифрования сообщений Office 365, вы можете автоматически шифровать незащищенные PDF-документы при присоединении к зашифрованному сообщению электронной почты. Документ наследует те же разрешения, что и для сообщения электронной почты. Чтобы включить эту конфигурацию, задайте $True EnablePdfEncryption с помощью Set-IRMConfiguration.
Получатели, у которых еще нет средства чтения, поддерживающие стандарт ISO для шифрования PDF, могут установить один из читателей, перечисленных в средствах чтения PDF, поддерживающих Защита информации Microsoft Purview. Кроме того, получатели могут читать защищенный PDF-документ на портале OME.
Издатель Rights Management и владелец Rights Management
Если документ или сообщение электронной почты защищены с помощью службы Azure Rights Management, учетная запись, которая защищает содержимое, автоматически становится издателем Rights Management для этого содержимого. Эта учетная запись регистрируется как издатель в журналах использования.
Издателю Rights Management всегда предоставляется право полного контроля над использованием документов или сообщений электронной почты. Кроме того, издатель имеет следующие права.
Если в параметрах защиты указана дата окончания срока действия, издатель Rights Management по-прежнему может открывать и редактировать документы или сообщения после этой даты.
Издатель Rights Management всегда может обращаться к документам или сообщениям электронной почты в автономном режиме.
Издатель Rights Management по-прежнему может открывать документ после его аннулирования.
По умолчанию эта учетная запись также является владельцем Rights Management этого содержимого, которая действует в случае, когда пользователь, создавший документ или сообщение, инициирует защиту. Но существуют сценарии, когда администратор или служба могут защищать содержимое от имени пользователей. Например:
Администратор массово защищает файлы в общей папке: учетная запись администратора в идентификаторе Microsoft Entra защищает документы для пользователей.
Соединитель Rights Management защищает документы Office в папке Windows Server: учетная запись субъекта-службы в идентификаторе Microsoft Entra, созданном для соединителя RMS, защищает документы для пользователей.
В этих сценариях издатель Rights Management может назначить владельца Rights Management другой учетной записи с помощью PowerShell или пакетов SDK для Azure Information Protection. Например, при использовании командлета PowerShell Protect-RMSFile с клиентом Azure Information Protection можно указать параметр OwnerEmail, чтобы назначить владельца Rights Management другой учетной записи.
Если издатель Rights Management обеспечивает защиту от имени пользователей, при назначении владельца Rights Management владелец исходного документа или сообщения электронной почты будет иметь тот же уровень управления защищенным содержимым, как если бы он сам инициировал защиту.
Например, пользователь, создавший документ, может распечатать его, даже несмотря на то, что теперь он защищен с помощью шаблона, не имеющего права использования "Печать". Тот же пользователь всегда может получать доступ к своим документам независимо от параметра автономного доступа или даты окончания срока действия, настроенных в этом шаблоне. Кроме того, так как владелец Rights Management имеет право на использование с полным доступом, этот пользователь также может повторно защитить документ, чтобы предоставить доступ дополнительным пользователям (после чего пользователь становится издателем Rights Management и владельцем Rights Management). Он также может удалить защиту. Но отслеживать и аннулировать документы может только издатель Rights Management.
Владелец Rights Management документа или сообщения электронной почты фиксируется как поле owner-email в журналах использования.
Примечание.
Владелец Rights Management не зависит от владельца файловой системы Windows. Они часто совпадают, но могут быть разными, даже если вы не используете пакеты SDK или PowerShell.
Лицензия на использование Rights Management
Когда пользователь открывает документ или электронное письмо, защищенное Azure Rights Management, ему предоставляется лицензия на использование Rights Management для этого содержимого. Эта лицензия является сертификатом с правами на использование документа или электронного письма и ключом шифрования, который использовался для шифрования содержимого. Лицензия на использование также содержит срок действия, если он задан, и время, в течение которого лицензия действительна.
Пользователь должен иметь действительную лицензию на использование, чтобы открыть содержимое в дополнение к сертификату учетной записи прав (RAC), который является сертификатом, предоставленным при инициализации пользовательской среды, а затем продлеваться каждые 31 дней.
В течение срока действия лицензии на использование пользователь не выполняет повторную проверку подлинности или повторно несанкционированный доступ к содержимому. Это позволяет пользователю продолжать открывать защищенный документ или электронную почту без подключения к Интернету. Когда срок действия лицензии истекает, в следующий раз, когда пользователь обращается к защищенному документу или электронной почте, пользователь должен повторно пройти проверку подлинности и повторно авторизации.
Если документы и письма защищены с помощью метки или шаблона, который задает параметры защиты, вы можете изменить эти параметры без повторной защиты содержимого. Если пользователь уже получал доступ к содержимому, изменения вступят в силу по истечении срока действия лицензии на использование. Но если пользователь применил настраиваемые разрешения (также известные как автоматизированная политика прав), которые нужно изменить после защиты документа или электронного письма, такое содержимое потребуется защитить повторно с помощью новых разрешений. Настраиваемые разрешения для электронного письма внедряются с параметром "Не пересылать".
Срок действия лицензии по умолчанию для клиента составляет 30 дней, и это значение можно настроить с помощью командлета PowerShell Set-AipServiceMaxUseLicenseValidityTime. Вы можете настроить более строгий параметр при применении защиты с помощью метки конфиденциальности, настроенной для назначения разрешений сейчас или шаблона:
При настройке метки конфиденциальности срок действия лицензии используется из параметра "Разрешить автономный доступ ".
Дополнительные сведения и рекомендации по настройке этого параметра для метки конфиденциальности см. в таблице рекомендаций из инструкций по настройке разрешений для метки конфиденциальности.
При настройке шаблона с помощью PowerShell срок действия лицензии принимает значение параметра LicenseValidityDuration в командлетах Set-AipServiceTemplateProperty и Add-AipServiceTemplateTemplate.
Дополнительные сведения и рекомендации по настройке этого параметра с помощью PowerShell см. в справке для каждого командлета.
См. также
- Ограничение доступа к содержимому с помощью меток конфиденциальности для применения шифрования
- Configuring super users for Azure Information Protection and discovery services or data recovery (Настройка суперпользователей для Azure Information Protection и служб обнаружения или восстановления данных)