Dela via


Konfigurera användarbehörighet för Azure Information Protection

Den här artikeln beskriver användningsrättigheter som du kan konfigurera så att den tillämpas automatiskt när en etikett eller mall väljs av användare, administratörer eller konfigurerade tjänster.

Användningsrättigheter väljs när du konfigurerar känslighetsetiketter eller skyddsmallar för kryptering. Du kan till exempel välja roller som konfigurerar en logisk gruppering av användningsrättigheter eller konfigurera enskilda rättigheter separat. Alternativt kan användarna välja och tillämpa själva användningsrättigheterna.

För fullständighet innehåller den här artikeln värden från den klassiska Azure-portalen, som drogs tillbaka den 8 januari 2018.

Viktigt!

Använd den här artikeln för att förstå hur användningsrättigheter är utformade för att tolkas av program.

Programmen kan variera i hur de implementerar användningsrättigheter, och vi rekommenderar att du konsulterar programmets dokumentation och utför dina egna tester för att kontrollera programmets beteende innan de distribueras i produktion.

Användningsrättigheter och beskrivningar

I följande tabell visas och beskrivs de användningsrättigheter som Rights Management stöder och hur de används och tolkas. De visas med deras gemensamma namn, vilket vanligtvis är hur du kan se användningsrätten visas eller refereras, som en mer användarvänlig version av det enordsvärde som används i koden ( kodningen i principvärdet ).

I den här tabellen:

  • API-konstanten eller -värdet är SDK-namnet för ett MSIPC- eller Microsoft Purview Information Protection SDK-API-anrop, som används när du skriver ett program som söker efter en användningsrättvisa eller lägger till en användningsrätt till en princip.

  • Administrationscentret för etikettering är Microsoft Purview-efterlevnadsportalen, där du konfigurerar känslighetsetiketter.

Användningsrätt beskrivning Implementering
Eget namn: Redigera innehåll, Redigera

Kodning i princip: DOCEDIT
Tillåter att användaren ändrar, ordnar om, formaterar eller sorterar innehållet i programmet, vilket inkluderar Office na vebu. Den ger inte behörighet att spara den redigerade kopian.

Om du inte har Office 365 ProPlus med en lägsta version av 1807 i Word räcker det inte med den här rättigheten för att aktivera eller inaktivera Spåra ändringar eller för att använda alla funktioner för spårändringar som granskare. För att kunna använda alla alternativ för spårändringar krävs i stället följande rätt: Fullständig kontroll.
Anpassade Office-rättigheter: Som en del av alternativen Ändra och Fullständig kontroll .

Namn i den klassiska Azure-portalen: Redigera innehåll

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Redigera innehåll, Redigera (DOCEDIT)

Namn i AD RMS-mallar: Redigera

API-konstant eller -värde:
MSIPC: Inte tillämpligt.
MIP SDK: DOCEDIT
Eget namn: Spara

Kodning i princip: REDIGERA
Tillåter att användaren sparar dokumentet på den aktuella platsen. I Office na vebu gör det också att användaren kan redigera innehållet.

I aplikacija Office tillämpningar tillåter den här rättigheten att användaren sparar filen på en ny plats och med ett nytt namn om det valda filformatet har inbyggt stöd för Rights Management-skydd. Begränsningen av filformatet säkerställer att det ursprungliga skyddet inte kan tas bort från filen.
Anpassade Office-rättigheter: Som en del av alternativen Ändra och Fullständig kontroll .

Namn i den klassiska Azure-portalen: Spara fil

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Spara (EDIT)

Namn i AD RMS-mallar: Spara

API-konstant eller -värde:
MSIPC: IPC_GENERIC_WRITE L"EDIT"
MIP SDK: EDIT
Eget namn: Kommentar

Kodning i princip: KOMMENTAR
Aktiverar alternativet för att lägga till anteckningar eller kommentarer i innehållet.

Den här rättigheten är tillgänglig i SDK, är tillgänglig som en ad hoc-princip i Modulen AzureInformationProtection och RMS Protection för Windows PowerShell och har implementerats i vissa program för programvaruleverantörer. Den används dock inte i stor utsträckning och stöds inte av aplikacija Office likeringar.
Office anpassade rättigheter: Inte implementerad.

Namn i den klassiska Azure-portalen: Inte implementerat.

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Inte implementerat.

Namn i AD RMS-mallar: Inte implementerat.

API-konstant eller -värde:
MSIPC: IPC_GENERIC_COMMENT L"COMMENT
MIP SDK: COMMENT
Eget namn: Spara som, Exportera

Kodning i princip: EXPORT
Aktiverar alternativet att spara innehållet i ett annat filnamn (Spara som).

För Azure Information Protection-klienten kan filen sparas utan skydd och även skyddas igen med nya inställningar och behörigheter. Dessa tillåtna åtgärder innebär att en användare som har den här rättigheten kan ändra eller ta bort en Azure Information Protection-etikett från ett skyddat dokument eller e-postmeddelande.

Med den här rättigheten kan användaren även utföra andra exportalternativ i program, till exempel Skicka till OneNote.
Anpassade Office-rättigheter: Som en del av alternativet Fullständig kontroll .

Namn i den klassiska Azure-portalen: Exportera innehåll (Spara som)

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Spara som, Exportera (EXPORT)

Namn i AD RMS-mallar: Exportera (Spara som)

API-konstant eller -värde:
MSIPC: IPC_GENERIC_EXPORT L"EXPORT"
MIP SDK: EXPORT
Eget namn: Vidarebefordra

Kodning i princip: FRAMÅT
Aktiverar alternativet att vidarebefordra ett e-postmeddelande och lägga till mottagare till raderna Till och Kopia . Denna rättighet gäller inte för dokument. endast e-postmeddelanden.

Tillåter inte att vidarebefordraren beviljar rättigheter till andra användare som en del av vidarekopplingsåtgärden.

När du beviljar den här rättigheten beviljar du även Redigeringsinnehåll, Redigera rättighet (eget namn) och beviljar dessutom spara-rättigheten (eget namn) för att säkerställa att det skyddade e-postmeddelandet inte levereras som en bifogad fil. Ange även dessa rättigheter när du skickar ett e-postmeddelande till en annan organisation som använder Outlook-klienten eller Outlook-webbappen. Eller för användare i din organisation som är undantagna från att använda Rights Management-skydd eftersom du har implementerat registreringskontroller.
Anpassade Office-rättigheter: Nekas när standardprincipen Vidarebefordra inte används.

Namn i den klassiska Azure-portalen: Vidarebefordra

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Vidarebefordra (FORWARD)

Namn i AD RMS-mallar: Vidarebefordra

API-konstant eller -värde:
MSIPC: IPC_EMAIL_FORWARD L"FORWARD"
MIP SDK: FORWARD
Eget namn: Fullständig kontroll

Kodning i princip: ÄGARE
Beviljar alla rättigheter till dokumentet och alla tillgängliga åtgärder kan utföras.

Innehåller möjligheten att ta bort skyddet och återaktivera skyddet av ett dokument.

Observera att den här användningsrätten inte är samma som Rights Management-ägaren.
Anpassade Office-rättigheter: Som anpassat alternativ för fullständig kontroll .

Namn i den klassiska Azure-portalen: Fullständig kontroll

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Fullständig kontroll (ÄGARE)

Namn i AD RMS-mallar: Fullständig kontroll

API-konstant eller -värde:
MSIPC: IPC_GENERIC_ALL L"OWNER"
MIP SDK: OWNER
Eget namn: Skriv ut

Kodning i princip: PRINT
Aktiverar alternativen för att skriva ut innehållet. Anpassade rättigheter för Office: Som alternativet Skriv ut innehåll i anpassade behörigheter. Inte en inställning per mottagare.

Namn i den klassiska Azure-portalen: Skriv ut

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Print (PRINT)

Namn i AD RMS-mallar: Skriv ut

API-konstant eller -värde:
MSIPC: IPC_GENERIC_PRINT L"PRINT"
MIP SDK: PRINT
Eget namn: Svara

Kodning i princip: SVARA
Aktiverar alternativet Svara i en e-postklient, utan att tillåta ändringar i raderna Till eller Kopia.

När du beviljar den här rättigheten beviljar du även Redigeringsinnehåll, Redigera rättighet (eget namn) och beviljar dessutom spara-rättigheten (eget namn) för att säkerställa att det skyddade e-postmeddelandet inte levereras som en bifogad fil. Ange även dessa rättigheter när du skickar ett e-postmeddelande till en annan organisation som använder Outlook-klienten eller Outlook-webbappen. Eller för användare i din organisation som är undantagna från att använda Rights Management-skydd eftersom du har implementerat registreringskontroller.
Office anpassade rättigheter: Inte tillämpligt.

Namn i den klassiska Azure-portalen: Svara

Namn i den klassiska Azure-portalen: Svara (SVAR)

Namn i AD RMS-mallar: Svara

API-konstant eller -värde:
MSIPC: IPC_EMAIL_REPLY
MIP SDK: REPLY
Eget namn: Svara alla

Kodning i princip: REPLYALL
Aktiverar alternativet Svara alla i en e-postklient, men tillåter inte att användaren lägger till mottagare till raderna Till eller Kopia.

När du beviljar den här rättigheten beviljar du även Redigeringsinnehåll, Redigera rättighet (eget namn) och beviljar dessutom spara-rättigheten (eget namn) för att säkerställa att det skyddade e-postmeddelandet inte levereras som en bifogad fil. Ange även dessa rättigheter när du skickar ett e-postmeddelande till en annan organisation som använder Outlook-klienten eller Outlook-webbappen. Eller för användare i din organisation som är undantagna från att använda Rights Management-skydd eftersom du har implementerat registreringskontroller.
Office anpassade rättigheter: Inte tillämpligt.

Namn i den klassiska Azure-portalen: Svara alla

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Svara alla (SVARA ALLA)

Namn i AD RMS-mallar: Svara alla

API-konstant eller -värde:
MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL"
MIP SDK: REPLYALL
Eget namn: Visa, Öppna, Läsa

Kodning i princip: VISA
Tillåter att användaren öppnar dokumentet och ser innehållet.

I Excel räcker det inte med den här rättigheten för att sortera data, vilket kräver följande rätt: Redigera innehåll, Redigera. Om du vill filtrera data i Excel behöver du följande två rättigheter: Redigera innehåll, Redigera och Kopiera.
Anpassade rättigheter för Office: Som alternativet Läs anpassad princip, Visa .

Namn i den klassiska Azure-portalen: Visa

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Visa, Öppna, Läs (VIEW)

Namn i AD RMS-mallar: Läs

API-konstant eller -värde:
MSIPC: IPC_GENERIC_READ L"VIEW"
MIP SDK: VIEW
Eget namn: Kopiera

Kodning i princip: EXTRAHERA
Aktiverar alternativ för att kopiera data (inklusive skärmdumpar) från dokumentet till samma eller ett annat dokument.

I vissa program gör det också att hela dokumentet kan sparas i oskyddat format.

I Skype za posao och liknande skärmdelningsprogram måste presentatören ha den här rätten att presentera ett skyddat dokument. Om presentatören inte har den här rättigheten kan deltagarna inte visa dokumentet och det visas som svart för dem.
Anpassade rättigheter för Office: Som alternativet Tillåt användare med läsbehörighet att kopiera innehåll anpassad princip.

Namn i den klassiska Azure-portalen: Kopiera och extrahera innehåll

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Kopiera (EXTRAHERING)

Namn i AD RMS-mallar: Extrahera

API-konstant eller -värde:
MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT"
MIP SDK: EXTRACT
Eget namn: Visa rättigheter

Kodning i princip: VIEWRIGHTSDATA
Tillåter att användaren ser principen som tillämpas på dokumentet.

Stöds inte av aplikacija Office eller Azure Information Protection-klienter.
Office anpassade rättigheter: Inte implementerad.

Namn i den klassiska Azure-portalen: Visa tilldelade rättigheter

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: View Rights (VIEWRIGHTSDATA).

Namn i AD RMS-mallar: Visa rättigheter

API-konstant eller -värde:
MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
MIP SDK: VIEWRIGHTSDATA
Eget namn: Ändra rättigheter

Kodning i princip: EDITRIGHTSDATA
Tillåter att användaren ändrar den princip som tillämpas på dokumentet. Omfattar inklusive borttagning av skydd.

Stöds inte av aplikacija Office eller Azure Information Protection-klienter.
Office anpassade rättigheter: Inte implementerad.

Namn i den klassiska Azure-portalen: Ändringsrättigheter

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Edit Rights (EDITRIGHTSDATA).

Namn i AD RMS-mallar: Redigera rättigheter

API-konstant eller -värde:
MSIPC:PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
MIP SDK: EDITRIGHTSDATA
Eget namn: Tillåt makron

Kodning i princip: OBJMODEL
Aktiverar alternativet att köra makron eller utföra annan programmatisk eller fjärråtkomst till innehållet i ett dokument. Office anpassade rättigheter: Som alternativet Tillåt programmatisk åtkomst anpassad princip. Inte en inställning per mottagare.

Namn i den klassiska Azure-portalen: Tillåt makron

Namn i Microsoft Purview-efterlevnadsportalen och Azure-portalen: Tillåt makron (OBJMODEL)

Namn i AD RMS-mallar: Tillåt makron

API-konstant eller -värde: MSIPC: Inte implementerad. MIP SDK: OBJMODEL

Rättigheter som ingår i behörighetsnivåer

Vissa program grupperar användningsrättigheter i behörighetsnivåer för att göra det enklare att välja användningsrättigheter som vanligtvis används tillsammans. Dessa behörighetsnivåer hjälper till att sammanfatta en nivå av komplexitet från användare, så att de kan välja alternativ som är rollbaserade. Till exempel Granskare och medförfattare. Även om dessa alternativ ofta visar användarna en sammanfattning av rättigheterna, kanske de inte innehåller alla rättigheter som anges i föregående tabell.

Använd följande tabell för en lista över dessa behörighetsnivåer och en fullständig lista över de användningsrättigheter som de innehåller. Användningsrättigheterna anges med deras gemensamma namn.

Behörighetsnivå Appar Användningsrättigheter ingår
Tittare Klassisk Azure-portal

Azure Portal

Azure Information Protection-klienten för Windows
Visa, Öppna, Läsa; Visa rättigheter; Svara [1]; Svara alla [1]; Tillåt makron [2]

Obs! För e-postmeddelanden använder du Granskare i stället för den här behörighetsnivån för att säkerställa att ett e-postsvar tas emot som ett e-postmeddelande i stället för en bifogad fil. Granskaren krävs också när du skickar ett e-postmeddelande till en annan organisation som använder Outlook-klienten eller Outlook-webbappen. Eller för användare i din organisation som är undantagna från att använda Azure Rights Management-tjänsten eftersom du har implementerat registreringskontroller.
Recensent Klassisk Azure-portal

Azure Portal

Azure Information Protection-klienten för Windows
Visa, Öppna, Läsa; Spara; Redigera innehåll, redigera; Visa rättigheter; Svar: Svara alla [3]; Framåt [3]; Tillåt makron [2]
Medförfattare Klassisk Azure-portal

Azure Portal

Azure Information Protection-klienten för Windows
Visa, Öppna, Läsa; Spara; Redigera innehåll, redigera; Kopia; Visa rättigheter; Tillåt makron; Spara som, exportera [4]; Trycka; Svara [3]; Svara alla [3]; Vidarebefordra [3]
Medägare Klassisk Azure-portal

Azure Portal

Azure Information Protection-klienten för Windows
Visa, Öppna, Läsa; Spara; Redigera innehåll, redigera; Kopia; Visa rättigheter; Ändringsrättigheter; Tillåt makron; Spara som, exportera; Trycka; Svara [3]; Svara alla [3]; Framåt [3]; Fullständig kontroll
Fotnot 1

Ingår inte i Microsoft Purview-efterlevnadsportalen eller Azure-portalen.

Fotnot 2

För Azure Information Protection-klienten för Windows krävs den här rättigheten för informationsskyddsfältet i aplikacija Office.

Fotnot 3

Inte tillämpligt för Azure Information Protection-klienten för Windows.

Fotnot 4

Ingår inte i Microsoft Purview-efterlevnadsportalen, Azure-portalen eller Azure Information Protection-klienten för Windows.

Alternativet Vidarebefordra inte för e-postmeddelanden

Exchange-klienter och -tjänster (till exempel Outlook-klienten, Outlook na vebu, Exchange-e-postflödesregler och DLP-åtgärder för Exchange) har ytterligare ett skyddsalternativ för informationsrättigheter för e-postmeddelanden: Vidarebefordra inte.

Även om det här alternativet visas för användare (och Exchange-administratörer) som om det är en Rights Management-standardmall som de kan välja, är Vidarebefordra inte inte en mall. Det förklarar varför du inte kan se den i Azure-portalen när du visar och hanterar skyddsmallar. I stället är alternativet Vidarebefordra inte en uppsättning användningsrättigheter som tillämpas dynamiskt av användare på deras e-postmottagare.

När alternativet Vidarebefordra inte tillämpas på ett e-postmeddelande krypteras e-postmeddelandet och mottagarna måste autentiseras. Mottagarna kan sedan inte vidarebefordra den, skriva ut den eller kopiera från den. I Outlook-klienten är till exempel knappen Vidarebefordra inte tillgänglig, menyalternativen Spara som och Skriv ut är inte tillgängliga och du kan inte lägga till eller ändra mottagare i rutorna Till, Kopia eller Hemlig kopia .

Oskyddade Office-dokument som är kopplade till e-postmeddelandet ärver automatiskt samma begränsningar. De användningsrättigheter som tillämpas på dessa dokument är Redigera innehåll, Redigera; Spara; Visa, Öppna, Läsa och Tillåt makron. Om du vill ha olika användningsrättigheter för en bifogad fil, eller om den bifogade filen inte är ett Office-dokument som stöder det här ärvda skyddet, skyddar du filen innan du bifogar den i e-postmeddelandet. Du kan sedan tilldela de specifika användningsrättigheter som du behöver för filen.

Skillnad mellan Vidarebefordra inte och att inte bevilja rätten till vidarebefordringsanvändning

Det finns en viktig skillnad mellan att tillämpa alternativet Vidarebefordra inte och att tillämpa en mall som inte beviljar vidarebefordran av användningsrättigheter till ett e-postmeddelande: Alternativet Vidarebefordra inte använder en dynamisk lista över behöriga användare som baseras på användarens valda mottagare av det ursprungliga e-postmeddelandet, medan rättigheterna i mallen har en statisk lista över behöriga användare som administratören tidigare har angett. Vad är skillnaden? Låt oss ta ett exempel:

En användare vill skicka viss information via e-post till specifika personer på marknadsföringsavdelningen som inte ska delas med någon annan. Ska hon skydda e-postmeddelandet med en mall som begränsar rättigheter (visa, svara och spara) till marknadsföringsavdelningen? Eller ska hon välja alternativet Vidarebefordra inte ? Båda alternativen skulle resultera i att mottagarna inte kan vidarebefordra e-postmeddelandet.

  • Om hon använde mallen kunde mottagarna fortfarande dela informationen med andra på marknadsföringsavdelningen. En mottagare kan till exempel använda Explorer för att dra och släppa e-postmeddelandet till en delad plats eller en USB-enhet. Nu kan alla från marknadsföringsavdelningen (och e-postägaren) som har åtkomst till den här platsen visa informationen i e-postmeddelandet.

  • Om hon använde alternativet Vidarebefordra inte kommer mottagarna inte att kunna dela informationen med någon annan på marknadsföringsavdelningen genom att flytta e-postmeddelandet till en annan plats. I det här scenariot kan endast de ursprungliga mottagarna (och e-postägaren) visa informationen i e-postmeddelandet.

Kommentar

Använd Vidarebefordra inte när det är viktigt att endast de mottagare som avsändaren väljer ska se informationen i e-postmeddelandet. Använd en mall för e-postmeddelanden för att begränsa rättigheter till en grupp personer som administratören anger i förväg, oberoende av avsändarens valda mottagare.

Alternativet Endast kryptering för e-postmeddelanden

När Exchange Online använder de nya funktionerna för Office 365-meddelandekryptering blir ett nytt krypteringsalternativ tillgängligt för att kryptera data utan ytterligare begränsningar.

Det här alternativet är tillgängligt för klienter som använder Exchange Online och kan väljas på följande sätt:

  • I Outlook na vebu med alternativet Kryptera eller en känslighetsetikett som är konfigurerad för Låt användare tilldela behörigheter och alternativet Kryptera endast
  • Som ett annat rättighetsskyddsalternativ för en e-postflödesregel
  • Som en Office 365 DLP-åtgärd
  • Från Outlook-appen för stationära datorer och mobila enheter:

Mer information om alternativet endast kryptering finns i följande blogginlägg när det först tillkännagavs från Office-teamet: Kryptera distribueras endast i Office 365-meddelandekryptering.

När det här alternativet har valts krypteras e-postmeddelandet och mottagarna måste autentiseras. Mottagarna har sedan alla användningsrättigheter förutom Spara som, Exportera och Fullständig kontroll. Den här kombinationen av användningsrättigheter innebär att mottagarna inte har några begränsningar förutom att de inte kan ta bort skyddet. En mottagare kan till exempel kopiera från e-postmeddelandet, skriva ut det och vidarebefordra det.

På samma sätt ärver oskyddade Office-dokument som är kopplade till e-postmeddelandet som standard samma behörigheter. Dessa dokument skyddas automatiskt och när de laddas ned kan de sparas, redigeras, kopieras och skrivas ut från aplikacija Office licenser av mottagarna. När dokumentet sparas av en mottagare kan det sparas till ett nytt namn och till och med ett annat format. Men endast filformat som stöder skydd är tillgängliga så att dokumentet inte kan sparas utan det ursprungliga skyddet. Om du vill ha olika användningsrättigheter för en bifogad fil, eller om den bifogade filen inte är ett Office-dokument som stöder det här ärvda skyddet, skyddar du filen innan du bifogar den i e-postmeddelandet. Du kan sedan tilldela de specifika användningsrättigheter som du behöver för filen.

Du kan också ändra det här skyddets arv av dokument genom att Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true ange med Exchange Online PowerShell. Använd den här konfigurationen när du inte behöver behålla det ursprungliga skyddet för dokumentet när användaren har autentiserats. När mottagarna öppnar e-postmeddelandet skyddas inte dokumentet.

Om du behöver ett bifogat dokument för att behålla det ursprungliga skyddet kan du läsa Skydda dokumentsamarbete med hjälp av Azure Information Protection.

Kommentar

Om du ser referenser till DecryptAttachmentFromPortal är den här parametern nu inaktuell för Set-IRMConfiguration. Om du inte tidigare har angett den här parametern är den inte tillgänglig.

Kryptera PDF-dokument automatiskt med Exchange Online

När Exchange Online använder de nya funktionerna för Office 365-meddelandekryptering kan du automatiskt kryptera oskyddade PDF-dokument när de är anslutna till ett krypterat e-postmeddelande. Dokumentet ärver samma behörigheter som för e-postmeddelandet. Om du vill aktivera den här konfigurationen anger du EnablePdfEncryption $True med Set-IRMConfiguration.

Mottagare som inte redan har en läsare installerad som stöder ISO-standarden för PDF-kryptering kan installera en av de läsare som anges i PDF-läsare som stöder Microsoft Purview Information Protection. Alternativt kan mottagarna läsa det skyddade PDF-dokumentet i OME-portalen.

Rights Management-utfärdare och Rights Management-ägare

När ett dokument eller e-postmeddelande skyddas med hjälp av Azure Rights Management-tjänsten blir kontot som skyddar innehållet automatiskt Rights Management-utfärdaren för innehållet. Det här kontot loggas som utfärdarfält i användningsloggarna.

Rights Management-utfärdaren beviljas alltid användningsrätt för fullständig kontroll för dokumentet eller e-postmeddelandet, och dessutom:

  • Om skyddsinställningarna innehåller ett förfallodatum kan Rights Management-utfärdaren fortfarande öppna och redigera dokumentet eller e-postmeddelandet efter det datumet.

  • Rights Management-utfärdaren kan alltid komma åt dokumentet eller e-postmeddelandet offline.

  • Rights Management-utfärdaren kan fortfarande öppna ett dokument när det har återkallats.

Som standard är det här kontot även Rights Management-ägare för det innehållet, vilket är fallet när en användare som skapade dokumentet eller e-postmeddelandet initierar skyddet. Men det finns vissa scenarier där en administratör eller tjänst kan skydda innehåll för användarnas räkning. Till exempel:

  • En administratör massskyddar filer på en filresurs: Administratörskontot i Microsoft Entra-ID skyddar dokumenten för användarna.

  • Rights Management-anslutningsappen skyddar Office-dokument i en Windows Server-mapp: Tjänstens huvudnamnskonto i Microsoft Entra-ID som har skapats för RMS-anslutningstjänsten skyddar dokumenten för användarna.

I dessa scenarier kan Rights Management-utfärdaren tilldela Rights Management-ägaren till ett annat konto med hjälp av Azure Information Protection SDK:er eller PowerShell. När du till exempel använder PowerShell-cmdleten Protect-RMSFile med Azure Information Protection-klienten kan du ange parametern OwnerEmail för att tilldela Rights Management-ägaren till ett annat konto.

När Rights Management-utfärdaren skyddar för användarnas räkning säkerställer tilldelningen av Rights Management-ägaren att det ursprungliga dokumentet eller e-postmeddelandets ägare har samma kontrollnivå för sitt skyddade innehåll som om de själva initierade skyddet.

Användaren som skapade dokumentet kan till exempel skriva ut det, även om det nu är skyddat med en mall som inte innehåller rättigheten Skriv ut användning. Samma användare kan alltid komma åt sitt dokument, oavsett inställningen för offlineåtkomst eller utgångsdatum som kan ha konfigurerats i mallen. Eftersom Rights Management-ägaren har behörigheten Fullständig kontroll kan användaren också återaktivera skyddet av dokumentet för att ge ytterligare användare åtkomst (då blir användaren utfärdare av Rights Management och Rights Management-ägare), och användaren kan även ta bort skyddet. Det är dock bara Rights Management-utfärdaren som kan spåra och återkalla ett dokument.

Rights Management-ägaren för ett dokument eller e-postmeddelande loggas som fältet ägare/e-post i användningsloggarna.

Kommentar

Rights Management-ägaren är oberoende av Windows-filsystemets ägare. De är ofta samma men kan vara olika, även om du inte använder SDK:erna eller PowerShell.

Användarlicens för Rights Management

När en användare öppnar ett dokument eller e-postmeddelande som har skyddats av Azure Rights Management beviljas användaren en Rights Management-användningslicens för innehållet. Den här användningslicensen är ett certifikat som innehåller användarens användningsrättigheter för dokumentet eller e-postmeddelandet och krypteringsnyckeln som användes för att kryptera innehållet. Användningslicensen innehåller också ett utgångsdatum om detta har angetts och hur länge användningslicensen är giltig.

En användare måste ha en giltig användningslicens för att öppna innehållet utöver sitt rättighetskontocertifikat (RAC), vilket är ett certifikat som beviljas när användarmiljön initieras och sedan förnyas var 31:e dag.

Under användningslicensens varaktighet autentiseras inte användaren igen eller auktoriseras på nytt för innehållet. På så sätt kan användaren fortsätta att öppna det skyddade dokumentet eller e-postmeddelandet utan internetanslutning. När giltighetsperioden för användningslicensen upphör att gälla måste användaren autentiseras och auktoriseras igen nästa gång användaren kommer åt det skyddade dokumentet eller e-postmeddelandet.

När dokument och e-postmeddelanden skyddas med hjälp av en etikett eller en mall som definierar skyddsinställningarna kan du ändra inställningarna i etiketten eller mallen utan att behöva skydda innehållet igen. Om användaren redan har använt innehållet träder ändringarna i kraft när deras användningslicens har upphört att gälla. Men när användare tillämpar anpassade behörigheter (kallas även för en ad hoc-rättighetsprincip) och dessa behörigheter måste ändras när dokumentet eller e-postmeddelandet har skyddats, måste innehållet skyddas igen med de nya behörigheterna. Anpassade behörigheter för ett e-postmeddelande implementeras med alternativet Vidarebefordra inte.

Standardperioden för användningslicensen för en klientorganisation är 30 dagar och du kan konfigurera det här värdet med hjälp av PowerShell-cmdleten Set-AipServiceMaxUseLicenseValidityTime. Du kan konfigurera en mer restriktiv inställning för när skydd tillämpas med hjälp av en känslighetsetikett som har konfigurerats för att tilldela behörigheter nu, eller en mall:

  • När du konfigurerar en känslighetsetikett tar giltighetsperioden för användningslicensen dess värde från inställningen Tillåt offlineåtkomst .

    Mer information och vägledning för att konfigurera den här inställningen för en känslighetsetikett finns i rekommendationstabellen från anvisningarna hur du konfigurerar behörigheter nu för en känslighetsetikett.

  • När du konfigurerar en mall med hjälp av PowerShell tar giltighetsperioden för användningslicensen sitt värde från parametern LicenseValidityDuration i cmdletarna Set-AipServiceTemplateProperty och Add-AipServiceTemplate.

    Mer information och vägledning för att konfigurera den här inställningen med hjälp av PowerShell finns i hjälpen för varje cmdlet.

Se även