Office 應用程式和服務如何支援 Azure Rights Management

Office 應用程式和 Office 服務的終端使用者可以使用 Azure 資訊保護的 Azure Rights Management 服務來協助保護組織的資料。 這些 Office 應用程式包括 Word、Excel、PowerPoint 及 Outlook。 Office 服務為 Exchange 和 Microsoft SharePoint。 支援 Azure Rights Management 服務的 Office 設定通常稱為資訊版權管理 (IRM)

Office 應用程式:Word、Excel、PowerPoint 及 Outlook

這些應用程式支援 Azure Rights Management 內建,並讓使用者將保護套用至已儲存的檔或要傳送的電子郵件訊息。 使用者可套用範本以套用保護, 或針對 Word、Excel 及 PowerPoint 選擇針對存取、權限與使用限制的自訂設定。

例如,使用者可以設定讓 Word 文件僅供貴組織中的人員存取, 或是控制 Excel 試算表是否可供編輯、限制成唯讀或防止列印。 針對有時限性的檔案,可設定一個到期時間,在這之後將無法再存取檔案。 此設定可由使用者直接完成或透過套用保護範本來完成。 Outlook 的使用者還可以選擇 [不可轉寄] 選項來協助防止資料外洩。

如果您已準備好設定 Office 應用程式,請參閱 Office 應用程式:用戶端的設定。

如需相關的已知問題,請參閱 Office 應用程式中的 AIP 已知問題

Exchange Online 和 Exchange Server

當您使用 Exchange Online 或 Exchange Server 時,您可以設定 Azure 資訊保護的選項。 此設定可讓 Exchange 提供下列保護解決方案:

  • Exchange ActiveSync IRM:可讓行動裝置保護和使用受保護的電子郵件訊息。

  • 適用於 Outlook 網頁版的電子郵件保護支援:其實作方式類似於 Outlook 用戶端。 此設定可讓使用者透過使用保護範本或選項,來保護電子郵件訊息。 使用者可以讀取及使用所收到之受保護的電子郵件訊息。

  • 保護規則 (適用於 Outlook 用戶端):這是系統管理員所設定,可將保護範本和選項自動套用至指定收件者的電子郵件訊息。 例如,當內部電子郵件被傳送至您的法務部門時,只有法務部門的成員可以讀取該郵件且無法轉寄。 使用者會在傳送電子郵件訊息之前看到該訊息已套用保護。根據預設,如果使用者覺得沒有必要套用此保護,則可以將它移除。 電子郵件會先經過加密再傳送。 如需詳細資訊,請參閱 Exchange 文件庫中的 Outlook 保護規則建立 Outlook 保護規則

  • 郵件流程規則:這是系統管理員所設定,可將保護範本或選項自動套用至電子郵件訊息。 這些規則是依據寄件者、收件者、郵件主旨和內容等屬性。 從概念上來看,這些規則與保護規則類似,但不允許使用者移除保護,因為保護是由 Exchange 服務設定,而不是由用戶端設定。 既然這是由服務設定的保護,因此使用者採用哪些裝置或作業系統並不重要。 如需詳細資訊,請參閱 Exchange Online 中的郵件流程規則 (傳輸規則) 以及適用於 Exchange 內部部署的建立傳輸保護規則

  • 資料外泄防護 (DLP) 原則,其中包含篩選電子郵件訊息並採取動作的條件集,以協助防止機密或敏感性內容的資料遺失。 其中一個您可以指定的動作是藉由指定某個保護範本或選項,套用加密作為保護。 偵測到敏感性資料時可以使用原則提示,在使用者可能需要套用保護時向使用者發出警示。 如需詳細資訊,請參閱 Exchange Online 文件中的資料外洩防護

  • 支援 將受保護的電子郵件訊息和受保護的 Office 檔當做附件傳送至任何裝置上任何電子郵件地址的郵件加密。 針對未使用 Azure AD 的使用者帳戶,Web 體驗支援社交身分識別提供者或一次性密碼。 如需詳細資訊,請參閱從Microsoft 365 檔設定以 Azure 資訊保護為基礎建置的新 Microsoft 365 訊息加密功能。 若要協助您尋找與這項設定相關的其他資訊,請參閱 Microsoft 365 郵件加密

如果您使用 Exchange 內部部署,您可以藉由部署 Microsoft Rights Management 連接器,將 IRM 功能與 Azure Rights Management 服務搭配使用。 此連接器的作用是內部部署伺服器與 Azure Rights Management 服務之間的轉送。

如需可用來保護電子郵件之電子郵件選項的詳細資訊,請參閱電子郵件的 [不要轉寄] 選項電子郵件的僅限加密選項

如果您已準備好要設定 Exchange 來保護電子郵件:

Microsoft 365 和 SharePoint Server 中的 SharePoint

當您在 Microsoft 365 或 SharePoint Server 中使用 SharePoint 時,您可以使用 SharePoint 資訊版權管理 (IRM) 功能來保護檔。 此功能可讓系統管理員保護清單或文件庫,以便在使用者簽出文件時保護下載的檔案,而只有獲授權的人員可以根據您指定的資訊保護原則來檢視和使用該檔案。 例如,檔案可能為唯讀、停用文字複製功能、不允許儲存本機複本以及不允許列印檔案。

Word、PowerPoint、Excel 和 PDF 文件支援此 SharePoint IRM 保護。 根據預設,只限保護下載文件的人員。 您可以使用名為「允許群組保護」變更此預設值,這可以將保護延伸到您指定的群組。 例如,您可以指定有權限可編輯文件庫中之文件的群組,以便相同的使用者群組可以在 SharePoint 以外編輯該文件,不論文件是由哪個使用者所下載。 或者,您可以指定未獲授與 SharePoint 權限但必須在 SharePoint 以外存取文件的使用者群組。 對於 SharePoint 清單和文件庫,此保護一律是由系統管理員設定,絕對不會由終端使用者設定。 您在網站層級設定權限,而該網站的所有清單或程式庫預設都會繼承這些權限。 如果您在 Microsoft 365 中使用 SharePoint,使用者也可以設定其 Microsoft OneDrive 文件庫以進行 IRM 保護。

如需更精細的控制,您可以設定網站的清單或程式庫停止繼承其父代的權限。 然後,您可以在該層級設定 IRM 許可權, (清單或程式庫) ,然後稱為「唯一許可權」。不過,許可權一律會在容器層級設定;您無法設定個別檔案的許可權。

您必須先為 SharePoint 啟用 IRM 服務。 然後,您可以指定程式庫的 IRM 權限。 針對 SharePoint 和 OneDrive,使用者也可以為其 OneDrive 文件庫指定 IRM 許可權。 雖然您可以選取符合範本可指定設定的 SharePoint 組態設定,但是 SharePoint 不會使用權限原則範本。

如果您使用 SharePoint Server,您可以藉由部署 Microsoft Rights Management 連接器來使用此 IRM 保護。 此連接器的作用是內部部署伺服器與 Rights Management 雲端服務之間的轉送。 如需詳細資訊,請參閱 部署 Microsoft Rights Management 連接器

注意

當您使用 SharePoint IRM 時有一些限制:

  • 您無法使用您在 Azure 入口網站中管理的預設或自訂保護範本。

  • 受保護的 PDF 檔案不支援副檔名為 .ppdf 的檔案。 如需檢視受保護 PDF 檔的詳細資訊,請參閱適用于Microsoft Purview 資訊保護的受保護 PDF 讀取器

  • 當多人同時編輯文件時,不支援共同撰寫。 若要在受 IRM 保護的文件庫中編輯文件,您必須先簽出文件並下載它,然後在 Office 應用程式中進行編輯。 因此,一次只能有一個人編輯文件。

對於未受 IRM 保護的程式庫,如果您僅將保護套用至您上傳至 SharePoint 或 OneDrive 的檔案,下列專案不適用於此檔案:共同撰寫、Office 網頁版、搜尋、檔預覽、縮圖、電子檔探索和資料外泄防護 (DLP) 。

重要

SharePoint IRM 可與套用保護的敏感度標籤搭配使用。 當您同時使用這兩個功能時,受保護檔案的行為會變更。 如需詳細資訊,請參閱 在 SharePoint 和 OneDrive 中啟用 Office 檔案的敏感度標籤

當您使用 SharePoint IRM 保護時,Azure 版權管理服務會在文件從 SharePoint下載時,對其套用使用限制與資料加密,而不會在文件於 SharePoint 上次建立時或上傳到文件庫時套用。 如需在下載檔案之前如何保護檔的相關資訊,請參閱 SharePoint 檔中的 OneDrive 和 SharePoint 中的資料加密

如需即將推出的變更,請參閱sharePoint 安全性、管理和移轉更新

如已準備好設定 SharePoint for IRM:

後續步驟

如果您有 Microsoft 365,您可能有興趣檢閱 Microsoft 365 中的檔案保護解決方案,其提供在 Microsoft 365中保護檔案的建議功能。

若要查看其他應用程式和服務如何支援 Azure 資訊保護的 Azure Rights Management 服務,請參閱應用程式如何支援 Azure Rights Management 服務

如果您已準備好開始部署,包括設定這些應用程式和服務,請參閱 AIP 部署藍圖以進行分類、標記和保護