Настройка прав потребления для Azure Information Protection

В этой статье описаны права на использование, которые можно настроить для автоматического применения, если метка или шаблон выбраны пользователями, администраторами или настроенными службами.

Права на использование выбираются при настройке меток конфиденциальности или шаблонов защиты для шифрования. Например, можно выбрать роли, которые настраивают логическую группу прав на использование, или настроить отдельные права отдельно. Кроме того, пользователи могут выбирать и применять сами права на использование.

Для полноты информации эта статья содержит значения с классического портала Azure, использование которого было прекращено 8 января 2018 г.

Важно!

Используйте эту статью, чтобы понять, как права на использование интерпретируются приложениями.

Приложения могут отличаться в том, как они реализуют права на использование, и мы рекомендуем консультироваться с документацией вашего приложения и выполнять собственное тестирование, чтобы проверить поведение приложения перед развертыванием в рабочей среде.

Права на использование и их описание

В следующей таблице перечислены и описаны права на использование, которые поддерживаются Rights Management, порядок их использования и интерпретации. В таблице указывается общее имя, которое обычно используется для отображения прав на использование или ссылки на них как более понятная версия краткого значения, используемого в коде (значение Кодирование в политике).

В этой таблице:

  • Константой или значением API является имя пакета SDK для ВЫЗОВА API MSIPC или Защита информации Microsoft Purview SDK, используемого при написании приложения, которое проверяет право на использование или добавляет право использования в политику.

  • Центр администрирования меток — это Портал соответствия требованиям Microsoft Purview, где настраивается метки конфиденциальности.

Право на использование Описание Реализация
Распространенное имя: Изменение содержимого, изменение

Кодирование в политике: DOCEDIT
Позволяет пользователю изменять, изменять порядок, форматировать или сортировать содержимое внутри приложения, включая Office в Интернете. Не предоставляет право на сохранение измененной копии.

В Word, если у вас нет Office 365 профессиональный плюс с минимальной версией 1807, это право недостаточно для включения или отключения отслеживания изменений или использования всех функций отслеживания изменений в качестве рецензента. Вместо этого, чтобы использовать параметры отслеживания изменений, требуется следующее право: Полный доступ.
Настраиваемые права Office: в составе параметров Изменение и Полный доступ.

Имя на классическом портале Azure: Изменить содержимое

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: изменение содержимого, изменение (DOCEDIT)

Имя в шаблонах AD RMS: Изменение

Константа или значение API:
MSIPC: Неприменимо.
Пакет SDK для MIP:DOCEDIT
Распространенное имя: Сохранение

Кодирование в политике: EDIT
Позволяет пользователю сохранить документ в текущем расположении. В Office в Интернете он также позволяет пользователю изменять содержимое.

В приложениях Office это право позволяет пользователю сохранять файл в новом расположении и с новым именем, если выбранный формат файла имеет встроенную поддержку защиты Rights Management. Ограничение формата файла гарантирует, что исходную защиту невозможно удалить из файла.
Настраиваемые права Office: в составе параметров Изменение и Полный доступ.

Имя на классическом портале Azure: Сохранить файл

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: Сохранить (ИЗМЕНИТЬ)

Имя в шаблонах AD RMS: Сохранение

Константа или значение API:
MSIPC:IPC_GENERIC_WRITE L"EDIT"
Пакет SDK для MIP:EDIT
Распространенное имя: Комментирование

Кодирование в политике: COMMENT
Включает параметр, чтобы добавлять примечания или комментарии к содержимому.

Это право доступно в пакете SDK, а также как произвольная политика в модуле защиты AzureInformationProtection и RMS для Windows PowerShell и реализовано в некоторых приложениях поставщиков программного обеспечения. Однако он не широко используется и не поддерживается приложениями Office.
Настраиваемые права Office: не реализовано.

Имя на классическом портале Azure: не реализовано.

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: не реализовано.

Имя в шаблонах AD RMS: не реализовано.

Константа или значение API:
MSIPC:IPC_GENERIC_COMMENT L"COMMENT
Пакет SDK для MIP:COMMENT
Распространенное имя: Сохранить как, экспорт

Кодирование в политике: EXPORT
Включает параметр для сохранения содержимого под другим именем файла ("Сохранить как").

В случае с клиентом Azure Information Protection файл можно сохранить без защиты и повторно защитить с помощью новых параметров и разрешений. Эти разрешенные действия означают, что пользователь с этим правом может изменить метку Azure Information Protection или удалить ее из защищенного документа или электронного письма.

Это право позволяет пользователю выполнять в приложениях другие варианты экспорта, например Отправить в OneNote.
Настраиваемые права Office: в составе параметров Полный доступ.

Имя на классическом портале Azure: Экспорт содержимого (сохранить как)

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: "Сохранить как", "Экспорт" (EXPORT)

Имя в шаблонах AD RMS: Экспорт (сохранить как)

Константа или значение API:
MSIPC:IPC_GENERIC_EXPORT L"EXPORT"
Пакет SDK для MIP:EXPORT
Распространенное имя: Переадресация

Кодирование в политике: FORWARD
Разрешает пересылать электронное сообщение и добавлять получателей в строки Кому и Копия. Данное право не применяется к документам — только к сообщениям электронной почты.

Не разрешает пересылающему пользователю предоставлять права другим пользователям при пересылке.

При предоставлении этого права также следует предоставить право Изменение содержимого, изменение (общее имя) и дополнительно предоставить право Сохранение (общее имя), чтобы защищенное сообщение электронной почты не отправлялось как вложение. Кроме того, эти права следует указать при отправке сообщения электронной почты в другую организацию, в которой используется клиент Outlook или Outlook Web App. Или для пользователей в вашей организации, которые не используют защиту Rights Management, так как вы реализовали элементы управления подключением.
Настраиваемые права Office: запрещено при использовании стандартной политики Не пересылать.

Имя на классическом портале Azure: Переадресовать

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: переадресация (пересылка)

Имя в шаблонах AD RMS: Переадресация

Константа или значение API:
MSIPC:IPC_EMAIL_FORWARD L"FORWARD"
Пакет SDK для MIP:FORWARD
Распространенное имя: Полный доступ

Кодирование в политике: OWNER
Предоставляет все права на документ, для выполнения доступны все действия.

Включает в себя возможность удалить и восстановить защиту для документа.

Обратите внимание, что это право использования не совпадает со значением Владелец Rights Management.
Настраиваемые права Office: в составе настраиваемого параметра Полный доступ.

Имя на классическом портале Azure: Полный доступ

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: полный доступ (ВЛАДЕЛЕЦ)

Имя в шаблонах AD RMS: Полный доступ

Константа или значение API:
MSIPC:IPC_GENERIC_ALL L"OWNER"
Пакет SDK для MIP:OWNER
Распространенное имя: Печать

Кодирование в политике: PRINT
Включает параметры для печати содержимого. Настраиваемые права Office: в виде параметра Печать содержимого в пользовательских разрешениях. Не отдельный параметр для каждого получателя.

Имя на классическом портале Azure: Печать

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: печать (PRINT)

Имя в шаблонах AD RMS: Печать

Константа или значение API:
MSIPC:IPC_GENERIC_PRINT L"PRINT"
Пакет SDK для MIP: PRINT
Распространенное имя: Ответ

Кодирование в политике: REPLY
Включает параметр Ответить в почтовом клиенте, не позволяя изменять строку Кому или Копия.

При предоставлении этого права также следует предоставить право Изменение содержимого, изменение (общее имя) и дополнительно предоставить право Сохранение (общее имя), чтобы защищенное сообщение электронной почты не отправлялось как вложение. Кроме того, эти права следует указать при отправке сообщения электронной почты в другую организацию, в которой используется клиент Outlook или Outlook Web App. Или для пользователей в вашей организации, которые не используют защиту Rights Management, так как вы реализовали элементы управления подключением.
Настраиваемые права Office: не применимо.

Имя на классическом портале Azure: Ответ

Имя на классическом портале Azure: Ответ (REPLY)

Имя в шаблонах AD RMS: Ответ

Константа или значение API:
MSIPC:IPC_EMAIL_REPLY
Пакет SDK для MIP:REPLY
Распространенное имя: Ответить всем

Кодирование в политике: REPLYALL
Включает параметр Ответить всем в почтовом клиенте, но не позволяет пользователю добавлять получателей в строку Кому или Копия.

При предоставлении этого права также следует предоставить право Изменение содержимого, изменение (общее имя) и дополнительно предоставить право Сохранение (общее имя), чтобы защищенное сообщение электронной почты не отправлялось как вложение. Кроме того, эти права следует указать при отправке сообщения электронной почты в другую организацию, в которой используется клиент Outlook или Outlook Web App. Или для пользователей в вашей организации, которые не используют защиту Rights Management, так как вы реализовали элементы управления подключением.
Настраиваемые права Office: не применимо.

Имя на классическом портале Azure: Ответить всем

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: ответить всем (ОТВЕТИТЬ ВСЕМ)

Имя в шаблонах AD RMS: Ответ всем

Константа или значение API:
MSIPC:IPC_EMAIL_REPLYALL L"REPLYALL"
Пакет SDK для MIP:REPLYALL
Распространенное имя: Просмотр, открытие, чтение

Кодирование в политике: VIEW
Позволяет пользователю открыть документ и просмотреть содержимое.

В Excel это право не позволяет сортировать данные. Для этого требуется следующее право: Изменение содержимого, изменение. Чтобы фильтровать данные в Excel, требуются следующие права: Изменение содержимого, изменение и Копирование.
Настраиваемые права Office: в составе пользовательской политики Чтение, право Просмотр.

Имя на классическом портале Azure: Просмотр

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: View, Open, Read (VIEW)

Имя в шаблонах AD RMS: Чтение

Константа или значение API:
MSIPC:IPC_GENERIC_READ L"VIEW"
Пакет SDK для MIP:VIEW
Распространенное имя: Копирование

Кодирование в политике: EXTRACT
Включает возможность для копирования данных (в том числе снимков экрана) из документа в тот же или другой документ.

В некоторых приложениях также позволяет сохранить весь документ в незащищенном виде.

В Skype для бизнеса и подобных приложениях с возможностями общего доступа к экрану, у выступающего должно быть это право для успешного представления защищенного документа. Если выступающего нет этого права, участники не смогут просмотреть документ — вместо него будет отображаться черный экран.
Настраиваемые права Office: как параметр пользовательской политики Разрешить пользователям с правом на чтение копировать содержимое.

Имя на классическом портале Azure: Копировать и извлечь содержимое

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: Копировать (EXTRACT)

Имя в шаблонах AD RMS: Извлечение

Константа или значение API:
MSIPC:IPC_GENERIC_EXTRACT L"EXTRACT"
Пакет SDK для MIP:EXTRACT
Распространенное имя: Просмотр прав

Кодирование в политике: VIEWRIGHTSDATA
Позволяет пользователю просматривать политику, примененную к документу.

Не поддерживается приложениями Office или клиентами Information Protection Azure.
Настраиваемые права Office: не реализовано.

Имя на классическом портале Azure: Просмотреть назначенные права

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: Просмотр прав (VIEWRIGHTSDATA).

Имя в шаблонах AD RMS: Просмотр прав

Константа или значение API:
MSIPC:IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
Пакет SDK для MIP:VIEWRIGHTSDATA
Общее имя: Изменение прав

Кодирование в политике: EDITRIGHTSDATA
Позволяет пользователю изменить политику, примененную к документу. Включает удаление защиты.

Не поддерживается приложениями Office или клиентами Information Protection Azure.
Настраиваемые права Office: не реализовано.

Имя на классическом портале Azure: Изменить права

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: Изменение прав (EDITRIGHTSDATA).

Имя в шаблонах AD RMS: Изменение прав

Константа или значение API:
MSIPC:PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
Пакет SDK для MIP:EDITRIGHTSDATA
Распространенное имя: Разрешение макросов

Кодирование в политике: OBJMODEL
Включает параметр для выполнения макросов или осуществления другого программного или удаленного доступа к содержимому в документе. Настраиваемые права Office: в виде параметра пользовательской политики Разрешить программный доступ. Не отдельный параметр для каждого получателя.

Имя на классическом портале Azure: Разрешить макросы

Имя в Портал соответствия требованиям Microsoft Purview и портал Azure: разрешить макросы (OBJMODEL)

Имя в шаблонах AD RMS: Разрешить макросы

Константа или значение API: MSIPC: не реализована. Пакет SDK для MIP:OBJMODEL

Права, включенные в уровни разрешений

Некоторые приложения группируют права в уровни разрешений, чтобы облегчить выбор прав, которые обычно используются вместе. Эти уровни разрешений помогают абстрагировать уровень сложности от пользователей, чтобы они могли выбирать параметры на основе ролей. Например, Рецензент и Соавтор. Хотя эти варианты часто показывают пользователям общую информацию о правах, они могут не включать все права, перечисленные в предыдущей таблице.

Список этих уровней разрешений и полный список прав на использование, которые они содержат, приведены в следующей таблице. Список прав на использование составлен по общим именам.

Уровень разрешений Приложения Включенные права на использование
Зритель Классический портал Azure

Портал Azure

Клиент Azure Information Protection для Windows
Просмотр, открытие, чтение; просмотр прав; ответ [1]; ответ всем [1]; разрешение макросов [2]

Примечание. Для сообщений электронной почты вместо этого уровня разрешений следует использовать параметр "Рецензент", чтобы получать ответ в виде сообщения электронной почты, а не вложения. Параметр "Рецензент" также требуется при отправке сообщения электронной почты в другую организацию, которая использует клиент Outlook или Outlook Web App. Оно необходимо и для пользователей вашей организации, исключенных из службы Azure Rights Management в связи с реализацией элементов управления подключением.
рецензент; Классический портал Azure

Портал Azure

Клиент Azure Information Protection для Windows
Просмотр, открытие, чтение; сохранение; изменение содержимого, изменение; просмотр прав; ответ; ответ всем [3]; переадресация [3]; включение макросов [2]
Соавтор Классический портал Azure

Портал Azure

Клиент Azure Information Protection для Windows
Просмотр, открытие, чтение; сохранение; изменение содержимого, изменение; копирование; просмотр прав; включение макросов; сохранение под другим именем, экспорт [4]; печать; ответ [3]; ответ всем [3]; переадресация [3]
Совладельца Классический портал Azure

Портал Azure

Клиент Azure Information Protection для Windows
Просмотр, открытие, чтение; сохранение; изменение содержимого, изменение; копирование; просмотр прав; изменение прав; включение макросов; сохранение под другим именем, экспорт; печать; ответ [3]; ответ всем [3]; переадресация [3]; полный доступ
Сноска 1

Не входит в Портал соответствия требованиям Microsoft Purview или портал Azure.

Сноска 2

Для клиента Azure Information Protection для Windows это право необходимо для панели Information Protection в приложениях Office.

Сноска 3

Не относится к клиенту Azure Information Protection для Windows.

Сноска 4

Не входит в Портал соответствия требованиям Microsoft Purview, портал Azure или клиент Azure Information Protection для Windows.

Параметр "Не пересылать" для сообщений электронной почты

Клиенты и службы Exchange (например, клиент Outlook, Outlook в Интернете, правила потока обработки почты Exchange и действия DLP для Exchange) имеют один дополнительный параметр защиты прав на доступ к данным для электронной почты — Не пересылать.

Несмотря на то что этот параметр отображается для пользователей (и администраторов Exchange) в виде доступного для выбора шаблона по умолчанию Rights Management, Не пересылать не является шаблоном. Это объясняет, почему вы не видите его при работе с шаблонами защиты на портале Azure. Параметр Не пересылать представляет собой набор прав на использование, который пользователи динамически назначают получателям своих электронных писем.

Если к сообщению электронной почты применен параметр Не пересылать, оно шифруется и получатели должны будут пройти проверку подлинности. В этом случае получатели не могут переслать его, распечатать или скопировать его текст. Например, в клиенте Outlook кнопка "Переслать" недоступна, пункты меню Сохранить как и Распечатать также недоступны. Кроме того, невозможно добавлять или изменять получателей в полях Кому, Копия или Скрытая копия.

Незащищенные документы Office, вложенные в электронное письмо, автоматически наследуют те же разрешения. Права на использование, применяемые к этим документам: Изменение содержимого, изменение; Сохранение; Просмотр, открытие, чтение и Разрешение макросов. Если вам для какого-то вложения нужны другие права на использование или вложение не является документом Office, поддерживающим эту наследуемую защиту, то необходимо защитить файл, прежде чем вкладывать его в письмо. После этого вы сможете назначить права на использование, нужные для этого файла.

Разница между параметром "Не пересылать" и непредоставлением права на использование кнопки "Переслать"

Существует важное отличие между применением параметра Не пересылать и шаблоном, который не предоставляет электронному письму право на использование кнопки Переслать: параметр Не пересылать использует динамический список авторизованных пользователей, основанный на выбранных в исходном сообщении получателях, тогда как права в шаблоне действуют на основе статического списка авторизованных пользователей, ранее заданного администратором. В чем различие? Рассмотрим пример.

Пользователю необходимо отправить по электронной почте конкретным сотрудникам из отдела маркетинга некоторые сведения, которые должны быть закрыты от общего доступа. Нужно ли защитить сообщение с помощью шаблона, который ограничивает права (на просмотр, ответ и сохранение) только отделом маркетинга? Или же следует выбрать параметр Не пересылать? В каждом из этих случаев получатели не смогут переслать сообщение.

  • Если применить шаблон, получатели по-прежнему смогут делиться информацией с другими сотрудниками отдела маркетинга. Например, получатель с помощью Explorer может перетащить сообщение в общую папку или на USB-устройство. Теперь любой сотрудник отдела маркетинга (и владелец электронной почты), имеющий доступ к этому расположению, может просматривать сведения в сообщении.

  • Если применить параметр Не пересылать, получатели не смогут предоставить доступ к информации другим сотрудникам отдела, переместив сообщение в другое расположение. В этом случае просматривать сообщение смогут только исходные получатели (и владелец электронной почты).

Примечание

Параметр Не пересылать следует использовать в ситуациях, когда требуется, чтобы информация в сообщении была доступна только получателям, выбранным отправителем. Шаблон для сообщений электронной почты следует использовать для предоставления прав группе людей, заранее определенной администратором, независимо от получателей, выбранных отправителем.

Параметр "Только шифрование" для сообщений электронной почты

Когда Exchange Online использует новые возможности для шифрования сообщений Office 365, становится доступен новый параметр шифрования электронной почты для шифрования данных без дополнительных ограничений.

Этот параметр доступен клиентам, которые используют Exchange Online и могут быть выбраны следующим образом:

Дополнительные сведения о параметре только для шифрования см. в следующей записи блога, когда она была впервые объявлена командой Office: шифрование только в Office 365 шифровании сообщений.

Если этот параметр выбран, сообщение электронной почты шифруется и получатели должны будут пройти проверку подлинности. После этого у получателей будут все права на использование, кроме следующих: Сохранение как, экспорт и Полный доступ. Эта комбинация прав на использование означает, что у получателей нет ограничений, но они не могут снять защиту. Например, получатель сможет копировать текст электронного письма, печатать и пересылать его.

Аналогичным образом, по умолчанию незащищенные документы Office, вложенные в электронное письмо, наследуют те же разрешения. При скачивании к этим документам автоматически применяется защита. Получатели могут их сохранять, редактировать, копировать и печатать из приложений Office. Когда получатель сохраняет документ, он может изменить его имя и даже формат. Однако допустимы только те форматы файлов, которые поддерживают защиту, поэтому документ невозможно сохранить без исходной защиты. Если вам для какого-то вложения нужны другие права на использование или вложение не является документом Office, поддерживающим эту наследуемую защиту, то необходимо защитить файл, прежде чем вкладывать его в письмо. После этого вы сможете назначить права на использование, нужные для этого файла.

Кроме того, можно изменить такое наследование защиты документов, указав Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true с помощью Exchange Online PowerShell. Используйте эту конфигурацию, когда вам не нужно оставлять исходную защиту для документа после проверки подлинности пользователей. Когда получатели откроют сообщение электронной почты, документ не будет защищен.

Если вы хотите оставить исходную защиту для вложенного документа, см. руководство по защите совместно используемых документов с помощью Azure Information Protection.

Примечание

Если вы видите ссылки на DecryptAttachmentFromPortal, этот параметр считается устаревшим для Set-IRMConfiguration. Если вы не задали этот параметр ранее, он недоступен.

Автоматическое шифрование PDF-документов с помощью Exchange Online

Если Exchange Online использует новые возможности для шифрования сообщений Office 365, вы можете автоматически шифровать незащищенные PDF-документы при присоединении к зашифрованному сообщению электронной почты. Документ наследует те же разрешения, что и для сообщения электронной почты. Чтобы включить эту конфигурацию, задайте $True EnablePdfEncryption с помощью Set-IRMConfiguration.

Получатели, у которых еще нет средства чтения, поддерживающие стандарт ISO для шифрования PDF, могут установить одно из модулей чтения, перечисленных в модулях чтения PDF, поддерживающих Защита информации Microsoft Purview. Кроме того, получатели могут считывать защищенный PDF-документ на портале OME.

Издатель Rights Management и владелец Rights Management

Если документ или сообщение электронной почты защищены с помощью службы Azure Rights Management, учетная запись, которая защищает содержимое, автоматически становится издателем Rights Management для этого содержимого. Эта учетная запись регистрируется как издатель в журналах использования.

Издателю Rights Management всегда предоставляется право полного контроля над использованием документов или сообщений электронной почты. Кроме того, издатель имеет следующие права.

  • Если в параметрах защиты указана дата окончания срока действия, издатель Rights Management по-прежнему может открывать и редактировать документы или сообщения после этой даты.

  • Издатель Rights Management всегда может обращаться к документам или сообщениям электронной почты в автономном режиме.

  • Издатель Rights Management по-прежнему может открывать документ после его аннулирования.

По умолчанию эта учетная запись также является владельцем Rights Management этого содержимого, которая действует в случае, когда пользователь, создавший документ или сообщение, инициирует защиту. Но существуют сценарии, когда администратор или служба могут защищать содержимое от имени пользователей. Пример:

  • Администратор обеспечивает массовую защиту файлов на общем файловом ресурсе: документы для пользователей защищает учетная запись администратора в Azure Active Directory.

  • Соединитель Rights Management защищает документы Office в папке на сервере Windows Server: документы для пользователей защищает учетная запись субъекта-службы в Azure Active Directory, созданная для соединителя RMS.

В этих сценариях издатель Rights Management может назначить владельца Rights Management другой учетной записи с помощью PowerShell или пакетов SDK для Azure Information Protection. Например, при использовании командлета PowerShell Protect-RMSFile с клиентом Azure Information Protection можно указать параметр OwnerEmail, чтобы назначить владельца Rights Management другой учетной записи.

Если издатель Rights Management обеспечивает защиту от имени пользователей, при назначении владельца Rights Management владелец исходного документа или сообщения электронной почты будет иметь тот же уровень управления защищенным содержимым, как если бы он сам инициировал защиту.

Например, пользователь, создавший документ, может распечатать его, даже несмотря на то, что теперь он защищен с помощью шаблона, не имеющего права использования "Печать". Тот же пользователь всегда может получать доступ к своим документам независимо от параметра автономного доступа или даты окончания срока действия, настроенных в этом шаблоне. Кроме того, так как владелец Rights Management имеет право на использование с полным доступом, этот пользователь также может повторно защитить документ, чтобы предоставить доступ дополнительным пользователям (после чего пользователь становится издателем Rights Management и владельцем Rights Management). Он также может удалить защиту. Но отслеживать и аннулировать документы может только издатель Rights Management.

Владелец Rights Management документа или сообщения электронной почты фиксируется как поле owner-email в журналах использования.

Примечание

Владелец Rights Management не зависит от владельца файловой системы Windows. Они часто совпадают, но могут быть разными, даже если вы не используете пакеты SDK или PowerShell.

Лицензия на использование Rights Management

Когда пользователь открывает документ или электронное письмо, защищенное Azure Rights Management, ему предоставляется лицензия на использование Rights Management для этого содержимого. Эта лицензия является сертификатом с правами на использование документа или электронного письма и ключом шифрования, который использовался для шифрования содержимого. Лицензия на использование также содержит срок действия, если он задан, и время, в течение которого лицензия действительна.

Чтобы открывать содержимое, пользователь должен иметь действительную лицензию на использование в дополнение к стандартному сертификату учетной записи службы управления правами (RAC), который является сертификатом, который предоставляется во время инициализации пользовательской среды и затем обновляется каждые 31 дни.

Пока лицензия действует, пользователю не нужно повторно проходить проверку подлинности или авторизацию для содержимого. Это позволяет пользователю продолжать открывать защищенный документ или электронную почту без подключения к Интернету. По истечении срока действия лицензии при следующей попытке открыть защищенный документ или письмо пользователю потребуется пройти повторную проверку подлинности и авторизацию.

Если документы и письма защищены с помощью метки или шаблона, который задает параметры защиты, вы можете изменить эти параметры без повторной защиты содержимого. Если пользователь уже получал доступ к содержимому, изменения вступят в силу по истечении срока действия лицензии на использование. Но если пользователь применил настраиваемые разрешения (также известные как автоматизированная политика прав), которые нужно изменить после защиты документа или электронного письма, такое содержимое потребуется защитить повторно с помощью новых разрешений. Настраиваемые разрешения для электронного письма внедряются с параметром "Не пересылать".

Срок действия лицензии по умолчанию для клиента составляет 30 дней, и это значение можно настроить с помощью командлета PowerShell Set-AipServiceMaxUseLicenseValidityTime. Вы можете настроить более строгий параметр для применения защиты с помощью метки конфиденциальности, настроенной для назначения разрешений сейчас, или шаблона:

  • При настройке метки конфиденциальности срок действия лицензии используется из параметра "Разрешить автономный доступ ".

    Дополнительные сведения и рекомендации по настройке этого параметра для метки конфиденциальности см. в таблице рекомендаций из инструкций по настройке разрешений для метки конфиденциальности.

  • При настройке шаблона с помощью PowerShell срок действия лицензии используется из параметра LicenseValidityDuration в командлетах Set-AipServiceTemplateProperty и Add-AipServiceTemplate .

    Дополнительные сведения и рекомендации по настройке этого параметра с помощью PowerShell см. в справке для каждого командлета.

См. также: