使用 Office 2016 中的資訊版權管理 (IRM) 保護機密訊息和文件
總結: 在 Office 2016 中使用資訊版權管理 (IRM) ,以指定存取和使用敏感性文件和訊息的許可權。
IRM 可讓個人和系統管理員定義誰可以存取檔、活頁簿和簡報。 這項功能可保護敏感性資訊,防止未經授權的列印、轉寄或複製。 本文提供 Office 應用程式中資訊版權管理 (IRM) 技術的概觀。 其中包含在 Office 2016 中設定和安裝實作 IRM 所需軟體的指引,以及其他信息的連結。
IRM 概觀
Azure Rights Management 和 Active Directory Rights Management 是來自Microsoft的持續性文件層級資訊保護技術。 它們會實作許可權和授權來保護敏感性資訊。 使用 IRM 限制檔或訊息的許可權,可確保未經授權的個人無法列印、轉寄或複製它。 使用限制會內嵌在文件或電子郵件訊息中,隨檔案隨即出差。 Microsoft Office 會使用資訊版權管理 (IRM) 功能來實作這些技術的支援。
「您可以在 Office 專業增強版 2016 和 Microsoft 365 Apps 企業版中建立具有限制許可權的文件或電子郵件訊息。 此功能也適用於 Excel 2016、Outlook 2016、PowerPoint 2016、InfoPath 2016 和 Word 2016 的獨立版本。 您可以在 Office 2007、Office 2010、Office 2013 或 Office 2016 中檢視在 Office 2016 中建立的 IRM 內容。
如需 Office 2016、Office 2013、Office 2010 和 Office 2007 中支援的 IRM 和 Active Directory Rights Management Services (AD RMS) 功能的詳細資訊,請參閱 AD RMS 和 Microsoft Office 部署考慮。 如需 IRM 和 Azure RMS 的相關信息,請 參閱應用程式如何支援 Azure Rights Management 和 什麼是 Azure Rights Management。
Office 2016 中的 IRM 支援可協助組織和知識工作者解決兩個基本需求:
敏感性資訊的限制許可權 IRM 可協助保護敏感性資訊免於未經授權的存取和重複使用。 組織依賴防火牆、登入安全性相關措施和其他網路技術來協助保護敏感性智慧財產權。 不過,這些技術的主要限制是授權使用者可以與未經授權的個人共用資訊,進而導致潛在的安全策略缺口。
信息隱私權、控制和完整性 資訊工作者通常會使用機密或敏感性資訊。 藉由使用 IRM,員工不需要依賴其他人的自行決定,以確保敏感性數據仍保留在公司內部。 IRM 會停用使用限制許可權的檔和訊息中的這些函式,以防止使用者轉寄、複製或印表機密資訊的能力。
針對資訊技術 (IT) 管理員,IRM 可協助強制執行有關文件機密性、工作流程和電子郵件保留的現有公司原則。 IRM 是適用於主管和安全性人員的重要工具。 它會將關鍵公司資訊觸及錯誤人員的風險降到最低。 此保護涵蓋意外洩漏、粗心錯誤和刻意攻擊。
IRM 在 Office 2016 中的運作方式
Office 使用者會使用 [檔案] 功能表中的選項,將許可權套用至訊息或檔;例如,使用 [資訊]、[保護檔] 下的 [限制存取] 選項。 可用的保護選項是以您可以為組織自定義的許可權原則範本為基礎。 Rights Policy Templates 是您在預先定義的原則中封裝在一起的 IRM 許可權群組,用戶可以套用至其檔。 Office 2016 也提供預先定義的 [不可轉寄 ] 選項,可將特定許可權授與電子郵件收件者。 若要深入瞭解 Rights Policy 範本,請參閱設定 和管理 Microsoft Purview 資訊保護的範本。
注意事項
除了使用 [ 檔案 ] 功能表中的選項,當您安裝適用於 Windows 的 Rights Management 共用應用程式時,使用者還可以從 Office 功能區選取 [ 共用保護 ]。 此應用程式也會啟用其他功能,例如追蹤共用檔耗用量的能力。 如需詳細資訊,請參閱 適用於 Windows 的 Rights Management 共用應用程式。
若要使用 IRM 保護 Office 2016 中的檔,您必須擁有內部部署 AD RMS 或 Azure RMS 訂用帳戶,作為 Office 365 或獨立服務的一部分。
搭配 Active Directory Rights Management Services 使用 IRM
在組織中啟用 IRM 需要存取執行 Active Directory Rights Management Services 的電腦, (適用於 Windows Server 2012 或 Windows Server 2012 R2 的 AD RMS) ,或是具有 Azure RMS 訂用帳戶的雲端租使用者。 許可權是使用驗證來強制執行,通常是使用 Active Directory 網域服務 (AD DS) 或Microsoft Entra ID。
組織可以藉由建立許可權原則範本,來定義 Office 應用程式中顯示的許可權原則。 例如,您可以定義名為 Marketing Confidential 的許可權原則範本,指定使用該原則的文件或電子郵件訊息只能由該部門內的用戶開啟。 雖然可以建立的許可權原則數目沒有限制,但 Office 一次最多只能顯示 20 個原則範本。 Azure Rights Management 提供兩個預先定義的全組織範本。 您可以建立自己的自定義範本,或視需要停用現有的範本。
透過 Windows Server 2012 上的 AD RMS,用戶可以在具有同盟信任關係的公司之間共享受版權保護的檔。 如需詳細資訊,請參閱 Active Directory Rights Management Services 概觀 和 同盟 AD RMS。 使用 Azure RMS,組織之間安全地共同作業的能力是內建的,不需要您完成任何特殊設定。
在 Outlook 2016 中,您可以建立和讀取受保護的電子郵件,而不需要特殊的電子郵件伺服器設定。 不過,Exchange Server 2016 會增強這項功能。 它透過 Microsoft Outlook 保護規則,為 Outlook 2016 中的郵件提供整合通訊語音信箱訊息的 RMS 保護和自動 IRM 保護。 此外,在 Exchange Server 中啟用 IRM 整合可讓使用者在 Outlook Web App 和已啟用 Exchange ActiveSync IRM 的行動裝置中建立和取用受保護的電子郵件。 如需詳細資訊, 請參閱 Exchange 2016 中的資訊版權管理。
設定 Office 2016 的 IRM
將 IRM 權限套用至檔案或電子郵件訊息需要下列專案:
存取適用於 Windows Server 2012 或 Windows Server 2012 R2 的 AD RMS,或存取 Azure Rights Management 以取得使用內容的授權。
Rights Management 用戶端軟體。 此用戶端軟體包含在 Windows Vista 和更新版本中。 Rights Management 共用應用程式提供可增強 Office 中 IRM 功能的選擇性附加元件。
Microsoft Office 2007、Office 2010、Office 2013 或 Office 2016。 只有特定的 Office 版本可讓使用者建立 IRM 許可權。
設定 RMS 伺服器存取
AD RMS 和 Azure RMS 會管理授權和其他伺服器功能,這些伺服器函式可與 IRM 搭配運作,以提供 Office 2016 等用戶端應用程式的許可權管理。 啟用 RMS 的用戶端程式,例如 Office 2016,可讓使用者建立及檢視受版權保護的內容。
在客戶端上設定 Rights Management
Windows Vista、Windows 7、Windows 8.1和 Windows 10 隨附 RMS 用戶端軟體。 若要使用 RMS 共用應用程式在 Office 中啟用 IRM 功能,用戶可以自行安裝。 或者,系統管理員可以自動為使用者部署它。
注意事項
不再支援 Windows Vista、Windows 7 和 Windows 8.1。
定義和部署 Office 2016 的許可權原則範本
如同 Office 2007、Office 2010 和 Office 2013,Office 2016 包含讓使用者將個別許可權套用至文件和訊息的選項,例如 Word 2016、Excel 2016、PowerPoint 2016 和 Visio 2016 中的 讀 取和 變更 。 在 Outlook 中,您可以使用 [ 不可轉寄 ] 選項,讓您安心地共用電子郵件,只授與郵件預定收件者的有限許可權。 您可以為組織建立自定義許可權原則範本。 這些範本會自動部署到用戶端,讓用戶能夠輕鬆地套用它們。
您可以在 RMS 或 AD RMS 伺服器上使用管理網站來建立和管理許可權原則範本。 如需如何建立、設定及張貼自定義原則範本的資訊,請參閱 AD RMS Rights Policy Templates 部署逐步指南。
您可以包含在 Office 2016 許可權原則範本中的許可權列在下列各節中。
IRM 許可權
設定為使用AD RMS或 Azure RMS 的 Office 2016 應用程式可以強制執行下表所列的每個 IRM 許可權。
IRM 許可權
右側 IRM | 描述 |
---|---|
完全控制 |
為使用者提供此表格中所列的每個許可權,以及變更與內容相關聯之許可權的許可權。 到期不適用於具有完全控制權的使用者。 |
檢視 |
允許用戶開啟 IRM 內容。 此許可權對應至 Office 2016 使用者介面中的讀取許可權。 |
編輯 |
允許使用者修改文件的內容。 此許可權包含在 Excel 中排序和篩選內容的能力。 |
儲存 |
允許使用者儲存盤案。 |
提取 |
允許使用者複製檔案的任何部分,並將該部分的檔案貼到另一個應用程式的工作區域。 |
匯出 |
允許使用者使用 [另存 新 檔] 命令,以另一種檔案格式儲存內容。 根據使用您所選取檔案格式的應用程式,內容可能會在沒有保護的情況下儲存。 |
Print |
允許使用者列印檔案的內容。 |
允許巨集 |
允許使用者針對檔案的內容執行巨集,並以程式設計方式存取其他應用程式的內容,以及跨工作表連結至內容。 |
轉寄 |
允許電子郵件收件者轉寄 IRM 電子郵件訊息,以及從 [收件者:] 和 [副本: ] 行新增或移除收件者。 擁有此許可權並不表示您可以將存取權授與更多使用者。 即使有人將內容轉寄給使用者,如果他們沒有範本的訪問許可權,他們也無法開啟該內容。 在範本中不授與此許可權並不等於在 Outlook 中使用 [ 不可轉寄 ] 選項,因為該選項只會將許可權授與電子郵件的 [至: 和副本: 行] 中指定的使用者。 |
回覆 |
允許電子郵件收件者回復 IRM 電子郵件訊息。 |
全部回覆 |
允許電子郵件收件者回復 IRM 電子郵件訊息的收件者: 和副本: 行上的所有使用者。 |
檢視許可權 |
提供用戶檢視與檔案相關聯之許可權的許可權。 Office 會忽略此許可權。 |
預先定義的許可權群組
Office 2016 提供下列預先定義的許可權群組,用戶可以在建立 IRM 內容時選擇這些許可權群組。 這些選項可在 Word 2016、Excel 2016、PowerPoint 2016 和 Visio 2016 的 [許可權] 對話框中取得。 在 Office 應用程式中,選取 [檔案] 索引 標籤,選擇 [ 資訊],選擇 [ 保護檔] 按鈕,選取 [ 限制存取],然後從列出的許可權原則範本中選擇,或選擇 [ 限制存取]。 如果您選擇 [限制存取],則可以選擇為每個個別用戶選取其中一個預先定義的許可權群組。
預先定義的讀取/變更許可權群組
IRM 預先定義的群組 | 描述 |
---|---|
讀取 |
具有 [讀取] 許可權的使用者具有檢視許可權。 |
變更 |
具有變更許可權的使用者有權檢視、編輯、擷取和儲存。 |
在 Outlook 2016 中,用戶可以在建立電子郵件專案時,選取下列預先定義的許可權群組。 若要從電子郵件專案存取選項,請選擇 [ 檔案]、[ 資訊],然後 選擇 [設定許可權]。 接下來,從由 Rights Management 伺服器或服務填入的 [版權原則範本] 中選擇,或選擇 [ 不可轉寄],這會實作下列許可權。
預先定義的「不要轉寄」群組
IRM 預先定義的群組 | 描述 |
---|---|
不要轉寄 |
在 Outlook 中,[不要轉寄至電子郵件] 會授與使用者 [To:]、[副本:] 和 [密件抄送]:[檢視]、[編輯]、[回復] 和 [全部回復] 許可權。 |
進階權限
在 Word 2016 中,可以為檔的某些部分指定其他 IRM 許可權。 從 [資訊]、[ 保護檔] 中,選擇 [ 限制編輯],然後選取 [ 更多使用者 ] 選項,以新增有權編輯檔指定區段的使用者。 如需更多限制選項,請選擇 [ 限制 編輯] 面板底部的 [ 限制許可權] 。 例如,使用者可以指定到期日、限制其他用戶列印或複製內容等等。
設定 Office 2016 的 IRM 設定
您可以使用 Office 組策略範本 (Office) ,鎖定許多設定來自定義 IRM。 使用此組策略範本在 Active Directory 中設定組策略物件,不應與許可權原則範本混淆。 此外,有一些 IRM 組態選項只能使用登錄機碼設定來設定。
Office 2016 IRM 設定
下表列出您可以在組策略中為 IRM 設定的設定。 在組策略中,這些設定位於 [使用者設定\原則\系統管理範本]\Microsoft Office 2016\Manage Restricted Permissions] 底下。
組策略的 IRM 設定
IRM 選項 | 描述 |
---|---|
查詢一個專案以進行群組擴充的 Active Directory 逾時 |
當您展開群組時,指定查詢 Active Directory 專案的逾時值。 |
其他許可權要求URL |
指定使用者在取用此客戶端中保護的內容時,可以取得如何存取 IRM 內容的詳細資訊的位置。 |
限制文件的許可權時,一律在 Office 中展開群組 |
當使用者在 [許可權] 對話框中選取組名,將許可權套用至檔時,組名會自動展開以顯示群組的所有成員。 |
一律要求用戶連線以驗證許可權 |
開啟受版權管理的 Office 檔的用戶必須連線到 RMS 服務,以確認他們仍有權透過取得新的 IRM 授權來取用內容。 |
在限制文件的許可權時,絕不允許使用者指定群組 |
當使用者在 [許可權] 對話框中選取群組時傳回錯誤:''您無法將內容發佈至通訊組清單。 您只能為個別使用者指定電子郵件位址。' |
防止使用者變更版權管理內容的許可權 |
如果啟用,用戶就能夠存取具有現有 IRM 許可權的內容。 不過,他們無法將 IRM 許可權套用至新內容或設定檔的許可權。 |
關閉信息版權管理用戶介面 |
停用所有 Office 應用程式使用者介面內的所有 Rights Management 相關選項。 |
Office 2016 IRM 登錄機碼選項
下表列出您可以在登錄中為 IRM 設定的設定。
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\16.0\Common\DRM。
IRM 登錄機碼選項
登錄專案 | 類型 | 值 | 描述 |
---|---|---|---|
RequestPermission |
DWORD |
1 = 已核取方塊。 0 = 已清除方塊。 |
此登錄機碼會切換 [ 用戶可以從複選框要求其他許可權] 的 預設值。 |
DoNotUseOutlookByDefault |
DWORD |
0 = Microsoft使用 Outlook 1 = Microsoft不使用 Outlook |
[ 許可權 ] 對話框會使用 Microsoft Outlook 來驗證在該對話框中輸入的電子郵件位址。 這會導致在限制許可權時啟動 Microsoft Outlook 的實例。 使用此金鑰停用選項。 |
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\16.0\Common\DRM\LicenseServers。 沒有對應的組策略設定。
授權伺服器的 IRM 登錄設定
登錄專案 | 類型 | 值 | 描述 |
---|---|---|---|
LicenseServers |
金鑰/Hive。 包含具有授權伺服器名稱的 DWORD 值。 |
設定為伺服器URL。 如果 DWORD 值設定為 1,Office 會自動取得授權而不提示。 如果值為零,或該伺服器沒有登錄專案,Office 會提示您輸入授權。 |
範例:如果 http://contoso.com/_wmcs/licensing = 1 是此設定的值,則不會提示嘗試從該伺服器取得授權以開啟版權管理檔的使用者進行授權。 此動作與用戶選取複選框,要求使用者第一次取用內容時不要再次收到通知相同。 |
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\16.0\Common\Security。 沒有對應的組策略設定。
安全性的 IRM 登錄設定
登錄專案 | 類型 | 值 | 描述 |
---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = 檔案元數據已加密。 0 = 元數據會以純文字儲存。 預設值為 0。 |
指定是否要加密儲存在版權管理檔內的所有元數據。 |
加密的元數據與 Microsoft Purview 資訊保護標籤不相容。 如果您使用這些標籤,請勿將值設定為 1。
在 Docx、xlsx、pptx 等 Open XML 格式中,用戶可以在版權管理的檔案內加密 Office 元數據。 或者,他們可以讓元數據保持未加密,讓其他應用程式,例如 Windows 檔案伺服器上的 FCI 功能存取數據。
用戶可以選擇藉由設定登錄機碼來加密元數據。 您可以藉由部署登錄設定,為使用者設定預設選項。 沒有加密部分元數據的選項:所有元數據都會加密,或未加密。
此外, DRMEncryptProperty 登錄設定不會判斷非 Office 用戶端元數據記憶體,例如 SharePoint Server 2016 所建立的元數據是否已加密。
設定 Outlook 2016 的 IRM 設定
在 Outlook 2016 中,使用者可以建立並傳送具有限制許可權的電子郵件訊息,以協助防止轉寄、列印或複製郵件。 附加至具有限制許可權之訊息的 Office 2016 檔、活頁簿和簡報會自動受到限制。
身為 Microsoft Outlook 系統管理員,您可以設定數個 IRM 電子郵件選項,例如停用 IRM 或設定本機授權快取。
當您設定受版權管理的電子郵件傳訊時,下列 IRM 設定和功能會很有用:
設定 IRM 的自動授權快取。
協助強制執行電子郵件訊息到期期間。
請勿使用 Outlook 來驗證 IRM 許可權的電子郵件位址。
注意事項
若要在 Outlook 中停用 IRM,您必須停用所有 Office 應用程式的 IRM。 沒有個別選項可只在 Outlook 中停用 IRM。
Outlook IRM 設定
您可以使用 Microsoft Outlook 組策略範本 (Outlk) 或 Office 組策略範本 (Office) ,鎖定大部分的設定來自定義 Microsoft Outlook 的 IRM。 或者,您可以使用 Office 自訂工具 (OCT) 來設定大部分選項的預設設定,這可讓使用者設定設定。 OCT 設定位於 OCT 之 [修改使用者設定] 頁面上的對應位置。
Outlook IRM 選項
位置 | IRM 選項 | 描述 |
---|---|---|
Microsoft Outlook 2016\Miscellaneous |
在 Exchange 資料夾同步處理期間,請勿下載 IRM 電子郵件的許可權授權資訊 |
啟用 以防止在本機快取授權資訊。 如果啟用,用戶必須連線到網路以擷取授權資訊,以開啟受版權管理的電子郵件訊息。 此選項不會影響在伺服器上執行的 Exchange 預先授權。 |
選項 > 更多選項 > 傳遞選項 |
傳送訊息時 |
若要強制電子郵件到期,請啟用並輸入訊息到期前的天數。 只有在用戶傳送受版權管理的電子郵件,且訊息在到期后無法存取時,才會強制執行到期期間。 |
Outlook 2016 IRM 登錄機碼選項
[ 許可權 ] 對話框會使用 Microsoft Outlook 來驗證在該對話框中輸入的電子郵件位址。 這會導致Microsoft Outlook 的實例在許可權受到限制時啟動。 您可以使用下表所列的登錄機碼來停用此選項。 此選項沒有對應的組策略或 OCT 設定。
下列 IRM 登入設定位於 HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM。
Outlook IRM 登錄機碼選項
登錄專案 | 類型 | 值 | 描述 |
---|---|---|---|
DoNotUseOutlookByDefault |
DWORD |
0 = Microsoft使用 Outlook 1 = Microsoft不使用 Outlook |
使用此金鑰停用選項。 |
在 Office 2016 中設定 IRM 的概觀
您可以使用 Office 2016 系統管理範本檔案 (Office16.admx) 和 Microsoft Outlook 組策略範本 (Outlk16.admx) ,來鎖定許多自定義 IRM 的設定。 此外,還有您只能使用登錄機碼設定進行設定的 IRM 設定選項。
在 Outlook 2016 中,使用者可以使用受限制的許可權來建立和傳送電子郵件訊息,以協助防止郵件被轉寄、列印或複製及貼上。 附加至具有限制許可權之訊息的 Office 2016 檔、活頁簿和簡報也會自動受到限制。
身為 Microsoft Outlook 系統管理員,您可以設定數個 IRM 電子郵件選項,例如停用 IRM 或設定本機授權快取。 您也可以為使用者設計預設 [不可轉寄] 權限群組以外的自訂 IRM 權限。
開始之前
開始部署之前,請先決定您可能需要為 IRM 設定的設定。
您可以從 Microsoft 下載中心下載 Office 2016 和 Outlook 2016 範本、系統管理 範本檔案 (ADMX/ADML) for Office。
關閉 Office 2016 中的資訊版權管理
您可以關閉所有 Office 應用程式的 IRM。 若要關閉 Outlook 2016 中的 IRM,您必須關閉所有 Office 應用程式的 IRM。 沒有個別選項可只在 outlook 中關閉 IRM Microsoft。
使用組策略關閉 Office 2016 中的 IRM
在組策略中,載入 Office 2016 範本 (Office) ,然後找出 [用戶設定\原則\系統管理範本\Microsoft Office 2016\管理受限制的許可權]。
選擇 [關閉資訊版權管理使用者介面]。
選擇 [啟用]。
選擇 [確定]。
設定 Outlook 2016 的自動授權快取
根據預設,當 Outlook 與 Exchange Server 同步處理時,Outlook 2016 會自動下載受版權管理電子郵件的 IRM 授權。 您可以設定 Outlook 2016 以防止在本機快取授權資訊。 這會強制使用者連線至網路,在可以開啟受權限管理的電子郵件之前先擷取授權資訊。
使用群組原則停用 IRM 的自動授權快取
在組策略中,將 Outlook 2016 範本載入 Outlk) (並找出 [用戶設定\原則\系統管理範本\Microsoft Outlook 2016\Miscellaneous]。
選擇 [在 Exchange 資料夾同步處理過程中不要下載 IRM 電子郵件的權限授權資訊]。
選擇 [啟用]。
選擇 [確定]。