為 Azure 資訊保護設定使用權
本文說明當使用者、系統管理員或已設定的服務選取標籤或範本時,您可以設定為自動套用的許可權。
當您設定加密的敏感度標籤或保護範本時,會選取許可權。 例如,您可以選取設定許可權邏輯群組的角色,或個別設定個別許可權。 或者,使用者可以自行選取並套用許可權。
為了完整性,本文包含 Azure 傳統入口網站中已淘汰 2018 年 1 月 8 日的值。
重要
使用本文來瞭解如何設計 許可權 ,以由應用程式解譯。
應用程式實作許可權的方式可能會有所不同,建議您諮詢應用程式的檔,並執行您自己的測試,以在生產環境中部署之前檢查應用程式行為。
許可權和描述
下表列出並描述 Rights Management 支援的使用權,以及其使用和解譯方式。 它們會以其 通用名稱 列出,這通常是您可能會看到顯示或參考的使用方式,做為程式碼中所使用的單字值更易記的版本(原則 值中的 編碼)。
在此表格中:
API 常數或值 是 MSIPC 或 Microsoft Purview 資訊保護 SDK API 呼叫的 SDK 名稱,用於撰寫檢查許可權的應用程式,或將使用權新增至原則。
卷 標系統管理中心 是Microsoft Purview 合規性入口網站,您可以在其中設定敏感度標籤。
| 使用權 | 描述 | 實作 |
|---|---|---|
| 一般名稱: 編輯內容、編輯 原則中的編碼方式: DOCEDIT |
允許使用者修改、重新排列、格式化或排序應用程式內的內容,包括Office 網頁版。 它不會授與儲存已編輯複本的許可權。 在 Word 中,除非您有最低版本 1807 的Office 365 專業增強版,否則此許可權不足以開啟或關閉 追蹤變更 ,或將所有追蹤變更功能當做檢閱者使用。 相反地,若要使用所有追蹤變更選項,需要下列許可權: 完全控制 。 |
Office 自訂許可權:變更和 完全控制 選項的 一部分。 Azure 傳統入口網站中的名稱: 編輯內容 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 編輯內容、編輯 (DOCEDIT) AD RMS 範本中的名稱: 編輯 API 常數或值: MSIPC: 不適用。 MIP SDK: DOCEDIT |
| 一般名稱: 儲存 原則中的編碼方式: EDIT |
允許使用者將檔儲存到目前的位置。 在Office 網頁版中,它也允許使用者編輯內容。 在 Office 應用程式lications 中,此許可權可讓使用者將檔案儲存到新的位置,並在選取的檔案格式具有 Rights Management 保護的內建支援時,使用新的名稱。 檔案格式限制可確保無法從檔案中移除原始保護。 |
Office 自訂許可權:變更和 完全控制 選項的 一部分。 Azure 傳統入口網站中的名稱: 儲存檔案 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 儲存 (EDIT) AD RMS 範本中的名稱: 儲存 API 常數或值: MSIPC: IPC_GENERIC_WRITE L"EDIT" MIP SDK: EDIT |
| 一般名稱: 批註 原則中的編碼方式: COMMENT |
啟用選項,將批註或批註新增至內容。 SDK 中提供此許可權,可在適用于 Windows PowerShell 的 AzureInformationProtection 和 RMS Protection 模組中作為臨機操作原則,並已在某些軟體廠商應用程式中實作。 不過,它並未廣泛使用,而且Office 應用程式資料列不支援。 |
Office 自訂許可權:未實作。 Azure 傳統入口網站中的名稱:未實作。 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱:未實作。 AD RMS 範本中的名稱:未實作。 API 常數或值: MSIPC: IPC_GENERIC_COMMENT L"COMMENT MIP SDK: COMMENT |
| 一般名稱: 另存新檔、匯出 原則中的編碼方式: EXPORT |
啟用選項,將內容儲存至不同的檔案名(另存新檔)。 針對 Azure 資訊保護用戶端,檔案可以儲存而不保護,也可以使用新的設定和許可權重新保護。 這些允許的動作表示擁有此許可權的使用者可以從受保護的檔或電子郵件變更或移除 Azure 資訊保護 標籤。 此許可權也可讓使用者在應用程式中執行其他匯出選項,例如 傳送至 OneNote 。 |
Office 自訂許可權:做為 [完全控制 ] 選項的 一部分。 Azure 傳統入口網站中的名稱: 匯出內容(另存新檔) Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 另存新檔、匯出 (EXPORT) AD RMS 範本中的名稱: 匯出 (另存新檔) API 常數或值: MSIPC: IPC_GENERIC_EXPORT L"EXPORT" MIP SDK: EXPORT |
| 一般名稱: 轉寄 原則中的編碼方式: FORWARD |
啟用轉寄電子郵件訊息的選項,並將收件者新增至 [收 件者] 和 [ 副本 ] 行。 此權利不適用於檔;只有電子郵件訊息。 不允許轉寄站將許可權授與其他使用者作為轉寄動作的一部分。 當您授與此許可權時,也授 與 [編輯內容]、[編輯 許可權] (一般名稱),並另外授 與 [儲存 許可權] (一般名稱),以確保受保護的電子郵件訊息不會以附件的形式傳遞。 當您傳送電子郵件給使用 Outlook 用戶端或 Outlook Web 應用程式的另一個組織時,也請指定這些許可權。 或者,對於貴組織中的使用者,因為您已實 作上線控制項 ,因此無法使用 Rights Management 保護。 |
Office 自訂許可權:使用 「不要轉寄 」標準原則時遭到拒絕。 Azure 傳統入口網站中的名稱: 轉寄 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 轉寄(FORWARD) AD RMS 範本中的名稱: 轉寄 API 常數或值: MSIPC: IPC_EMAIL_FORWARD L"FORWARD" MIP SDK: FORWARD |
| 一般名稱: 完全控制 原則中的編碼方式: OWNER |
授與檔的擁有權限,並可執行所有可用的動作。 包含移除保護並重新保護檔的能力。 請注意,此許可權與 Rights Management 擁有者 不同 。 |
Office 自訂許可權:作為 [完全控制 ] 自訂選項。 Azure 傳統入口網站中的名稱: 完全控制 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 完全控制(OWNER) AD RMS 範本中的名稱: 完全控制 API 常數或值: MSIPC: IPC_GENERIC_ALL L"OWNER" MIP SDK: OWNER |
| 一般名稱: 列印 原則中的編碼方式: PRINT |
可讓選項列印內容。 | Office 自訂許可權:做為 自訂許可權中的 [列印內容 ] 選項。 不是個別收件者設定。 Azure 傳統入口網站中的名稱: 列印 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 列印 (PRINT) AD RMS 範本中的名稱: 列印 API 常數或值: MSIPC: IPC_GENERIC_PRINT L"PRINT" MIP SDK : PRINT |
| 一般名稱: 回復 原則中的編碼方式: REPLY |
在電子郵件用戶端中啟用 [ 回復 ] 選項,而不允許變更 [收 件者] 或 [ 副本 ] 行。 當您授與此許可權時,也授 與 [編輯內容]、[編輯 許可權] (一般名稱),並另外授 與 [儲存 許可權] (一般名稱),以確保受保護的電子郵件訊息不會以附件的形式傳遞。 當您傳送電子郵件給使用 Outlook 用戶端或 Outlook Web 應用程式的另一個組織時,也請指定這些許可權。 或者,對於貴組織中的使用者,因為您已實 作上線控制項 ,因此無法使用 Rights Management 保護。 |
Office 自訂許可權:不適用。 Azure 傳統入口網站中的名稱: 回復 Azure 傳統入口網站中的名稱: 回復 (REPLY) AD RMS 範本中的名稱: 回復 API 常數或值: MSIPC: IPC_EMAIL_REPLY MIP SDK: REPLY |
| 一般名稱: 全部回復 原則中的編碼方式: REPLYALL |
啟用電子郵件用戶端中的 [ 全部 回復] 選項,但不允許使用者將收件者新增至 [收 件者] 或 [ 副本 ] 行。 當您授與此許可權時,也授 與 [編輯內容]、[編輯 許可權] (一般名稱),並另外授 與 [儲存 許可權] (一般名稱),以確保受保護的電子郵件訊息不會以附件的形式傳遞。 當您傳送電子郵件給使用 Outlook 用戶端或 Outlook Web 應用程式的另一個組織時,也請指定這些許可權。 或者,對於貴組織中的使用者,因為您已實 作上線控制項 ,因此無法使用 Rights Management 保護。 |
Office 自訂許可權:不適用。 Azure 傳統入口網站中的名稱: 全部回復 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 全部回復(全部回復) AD RMS 範本中的名稱: 全部回復 API 常數或值: MSIPC: IPC_EMAIL_REPLYALL L"REPLYALL" MIP SDK: REPLYALL |
| 一般名稱: 檢視、開啟、讀取 原則中的編碼方式: VIEW |
允許使用者開啟檔並查看內容。 在 Excel 中,此許可權不足以排序資料,這需要下列許可權: 編輯內容、編輯 。 若要篩選 Excel 中的資料,您需要下列兩個許可權: 編輯內容、編輯 和 複製 。 |
Office 自訂許可權:作為 [讀取 自訂原則], [檢視] 選項。 Azure 傳統入口網站中的名稱: 檢視 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 檢視、開啟、讀取 (VIEW) AD RMS 範本中的名稱: 讀取 API 常數或值: MSIPC: IPC_GENERIC_READ L"VIEW" MIP SDK: VIEW |
| 一般名稱: 複製 原則中的編碼方式: EXTRACT |
可讓選項將資料(包括螢幕擷取)從檔案複製到相同或另一份檔。 在某些應用程式中,它也允許將整份檔儲存在未受保護的表單中。 在商務用 Skype和類似的螢幕共用應用程式中,簡報者必須具備此許可權,才能成功呈現受保護的檔。 如果簡報者沒有此許可權,則出席者無法檢視檔,而且會顯示為黑色。 |
Office 自訂許可權:作為 [允許具有讀取權限的使用者複製內容 自訂原則] 選項。 Azure 傳統入口網站中的名稱: 複製和擷取內容 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 複製(EXTRACT) AD RMS 範本中的名稱: 擷取 API 常數或值: MSIPC: IPC_GENERIC_EXTRACT L"EXTRACT" MIP SDK: EXTRACT |
| 一般名稱: 檢視許可權 原則中的編碼方式: VIEWRIGHTSDATA |
允許使用者查看套用至檔的原則。 Office 應用程式或 Azure 資訊保護 用戶端不支援。 |
Office 自訂許可權:未實作。 Azure 傳統入口網站中的名稱: 檢視指派的許可權 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 檢視許可權(VIEWRIGHTSDATA)。 AD RMS 範本中的名稱: 檢視許可權 API 常數或值: MSIPC: IPC_READ_RIGHTS L"VIEWRIGHTSDATA" MIP SDK: VIEWRIGHTSDATA |
| 一般名稱: 變更許可權 原則中的編碼方式: EDITRIGHTSDATA |
允許使用者變更套用至檔的原則。 包括移除保護。 Office 應用程式或 Azure 資訊保護 用戶端不支援。 |
Office 自訂許可權:未實作。 Azure 傳統入口網站中的名稱: 變更許可權 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 編輯許可權 (EDITRIGHTSDATA) 。 AD RMS 範本中的名稱: 編輯許可權 API 常數或值: MSIPC: PC_WRITE_RIGHTS L"EDITRIGHTSDATA" MIP SDK: EDITRIGHTSDATA |
| 一般名稱: 允許宏 原則中的編碼方式: OBJMODEL |
啟用執行宏或執行檔內容之其他程式設計或遠端存取的選項。 | Office 自訂許可權:作為 [ 允許程式設計存取 自訂原則] 選項。 不是個別收件者設定。 Azure 傳統入口網站中的名稱: 允許宏 Microsoft Purview 合規性入口網站和Azure 入口網站中的名稱: 允許宏 (OBJMODEL) AD RMS 範本中的名稱: 允許宏 API 常數或值: MSIPC: 未實作。 MIP SDK: OBJMODEL |
許可權層級中包含的許可權
某些應用程式會將許可權許可權群組在一起,以便更輕鬆地選取通常一起使用的許可權。 這些許可權層級有助於從使用者擷取複雜度層級,讓他們可以選擇以角色為基礎的選項。 例如, Reviewer 和 Co-Author 。 雖然這些選項通常會向使用者顯示許可權摘要,但可能不會包含上表所列的每個許可權。
針對這些許可權層級的清單,以及它們所包含的許可權許可權完整清單,請使用下表。 許可權會依其 一般名稱 列出。
| 許可權層級 | 應用程式 | 包含的使用權 |
|---|---|---|
| 檢視人員 | Azure 傳統入口網站 Azure 入口網站 適用于 Windows 的 Azure 資訊保護 用戶端 |
檢視、開啟、讀取;檢視許可權;回復 [1] ; 全部回復 [1] ;允許宏 [2] 注意:對於電子郵件,請使用檢閱者而非此許可權等級,以確保電子郵件回復會以電子郵件訊息而非附件的形式接收。 當您傳送電子郵件給使用 Outlook 用戶端或 Outlook Web 應用程式的另一個組織時,也需要檢閱者。 或者,對於貴組織中的使用者,因為您已實 作上線控制 ,因此無法使用 Azure Rights Management 服務。 |
| 評論家 | Azure 傳統入口網站 Azure 入口網站 適用于 Windows 的 Azure 資訊保護 用戶端 |
檢視、開啟、讀取;救;編輯內容、編輯;檢視許可權;回復:全部 回復 [3] ;正向 [3] ;允許宏 [2] |
| 共同作者 | Azure 傳統入口網站 Azure 入口網站 適用于 Windows 的 Azure 資訊保護 用戶端 |
檢視、開啟、讀取;救;編輯內容、編輯;複製;檢視許可權;允許宏;另存新檔,匯出 [4] ;列印;回復 [3] ; 全部回復 [3] ;正向 [3] |
| 共同擁有者 | Azure 傳統入口網站 Azure 入口網站 適用于 Windows 的 Azure 資訊保護 用戶端 |
檢視、開啟、讀取;救;編輯內容、編輯;複製;檢視許可權;變更許可權;允許宏;另存新檔、匯出;列印;回復 [3] ; 全部回復 [3] ;正向 [3] ;完全控制 |
註腳 1
不包含在Microsoft Purview 合規性入口網站或Azure 入口網站中。
註腳 2
針對適用于 Windows 的 Azure 資訊保護 用戶端,Office 應用程式中資訊保護列需要此許可權。
註腳 3
不適用於適用于 Windows 的 Azure 資訊保護 用戶端。
註腳 4
不包含在適用于 Windows 的 Microsoft Purview 合規性入口網站、Azure 入口網站 或 Azure 資訊保護 用戶端中。
電子郵件的 [不要轉寄] 選項
Exchange 用戶端和服務(例如,Outlook 用戶端、Outlook 網頁版、Exchange 郵件流程規則,以及 Exchange 的 DLP 動作)具有電子郵件的額外資訊版權保護選項: [不要轉寄 ]。
雖然此選項會顯示給使用者(和 Exchange 系統管理員),就好像它是他們可以選取的預設 Rights Management 範本, 但「不要轉寄 」不是範本。 這說明當您檢視和管理保護範本時,為何無法在Azure 入口網站中看到它。 相反地,[ 不要轉寄 ] 選項是由使用者動態套用至其電子郵件收件者的一組許可權。
當 [ 不要轉寄 ] 選項套用至電子郵件時,電子郵件會加密,且收件者必須經過驗證。 然後,收件者無法轉寄、列印或複製。 例如,在 Outlook 用戶端中,[轉寄] 按鈕無法使用、 [另存新檔 ] 和 [列印 ] 功能表選項無法使用,而且您無法在 [收 件者]、 [副本] 或 [密 件抄送] 方塊 中 新增或 變更收件者。
附加至電子郵件的未受保護的 Office 檔 會自動繼承相同的限制。 套用至這些檔的許可權為 [編輯內容]、[編輯 ] ; 儲存 ; 檢視、開啟、讀取 和 允許宏 。 如果您想要不同的附件許可權,或您的附件不是支援此繼承保護的 Office 檔,請先保護檔案,再將它附加至電子郵件。 然後,您可以指派檔案所需的特定許可權。
不可轉寄與未授與轉寄使用權之間的差異
套用 [ 不可轉 寄] 選項和套用範本不會將 [轉 寄] 許可權授 與電子郵件的範本之間有重要的區別: [不可轉 寄] 選項會使用以使用者所選原始電子郵件收件者為基礎的授權使用者動態清單;而範本中的許可權則具有系統管理員先前指定之授權使用者的靜態清單。 有何不同? 讓我們以下列範例為例:
使用者想要傳送某些資訊給行銷部門中不應與其他人共用的特定人員。 她應該使用範本保護電子郵件,以限制行銷部門的許可權(檢視、回復和儲存)嗎? 還是她應該選擇 [不要轉寄 ] 選項? 這兩個選項都會導致收件者無法轉寄電子郵件。
如果她套用範本,收件者仍然可以與行銷部門的其他人共用資訊。 例如,收件者可以使用 Explorer 將電子郵件拖放到共用位置或 USB 磁片磁碟機。 現在,任何有權存取此位置的行銷部門(和電子郵件擁有者)的人都可以檢視電子郵件中的資訊。
如果她套用 [ 不可轉寄 ] 選項,收件者將無法將電子郵件移至另一個位置,與行銷部門的其他人共用資訊。 在此案例中,只有原始收件者(和電子郵件擁有者)才能檢視電子郵件中的資訊。
注意
當只有寄件者選擇的收件者應該在電子郵件中看到資訊時,請使用 [不要轉寄 ]。 使用電子郵件範本,將許可權限制為系統管理員事先指定的人員群組,與寄件者所選收件者無關。
電子郵件的僅限加密選項
當 Exchange Online 使用 Office 365 郵件加密的新功能時,新的 [加密 電子郵件] 選項就可供使用,以加密資料而不受其他限制。
此選項可供使用 Exchange Online 且可選取的租使用者,如下所示:
- 在 Outlook 網頁版 中,具有 [加密 ] 選項或針對 [讓使用者指派許可權 ] 和 [ 僅限 加密] 選項設定的敏感度標籤
- 作為郵件流程規則的另一個許可權保護選項
- 作為 Office 365 DLP 動作
- 從適用于桌面和行動裝置的 Outlook 應用程式 :
- 當您使用內建標籤搭配 Outlook 敏感度標籤中所列 的最低版本時,針對 Windows、macOS、iOS 和 Android,設定為 [讓使用者指派許可權 ] 和 [ 僅限 加密] 選項的敏感度標籤。
- 使用 Windows 和 macOS 上的 [加密 ] 選項,當您有 支援 Azure Rights Management 的 Microsoft 365 應用程式時,適用于 Microsoft 365 Apps 依更新通道 所列出的 版本。
如需僅限加密選項的詳細資訊,請參閱第一次從 Office 小組宣佈時,請參閱下列部落格文章: 僅加密在 Office 365 郵件加密 中推出。
選取此選項時,電子郵件會加密,且收件者必須經過驗證。 然後,收件者擁有 [另存新檔]、[匯出 ] 和 [完全控制 ] 以外的 擁有權限。 這種許可權組合表示收件者沒有限制,但無法移除保護。 例如,收件者可以從電子郵件複製、列印並轉寄。
同樣地,根據預設,附加至電子郵件的未受保護的 Office 檔 會繼承相同的許可權。 這些檔會自動受到保護,而且下載時,可以儲存、編輯、複製和列印收件者從Office 應用程式複製檔。 當檔由收件者儲存時,它可以儲存到新的名稱,甚至是不同的格式。 不過,只有支援保護的檔案格式可供使用,因此若沒有原始保護,就無法儲存檔。 如果您想要不同的附件許可權,或您的附件不是支援此繼承保護的 Office 檔,請先保護檔案,再將它附加至電子郵件。 然後,您可以指派檔案所需的特定許可權。
或者,您可以使用 Exchange Online PowerShell 指定 Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true ,以變更檔的這項保護繼承。 當您不需要在使用者驗證之後保留檔的原始保護時,請使用此設定。 當收件者開啟電子郵件訊息時,檔不會受到保護。
如果您需要附加檔來保留原始保護,請參閱 使用 Azure 資訊保護 保護檔共同作業。
注意
如果您看到 DecryptAttachmentFromPortal 的 參考,此參數現在已淘汰為 Set-IRMConfiguration 。 除非您先前已設定此參數,否則無法使用。
使用 Exchange Online 自動加密 PDF 檔
當 Exchange Online 使用 Office 365 郵件加密的新功能時,您可以在附加至加密電子郵件時自動加密未受保護的 PDF 檔。 檔會繼承與電子郵件訊息相同的許可權。 若要啟用此設定,請使用 Set-IRMConfiguration 設定 EnablePdfEncryption $True 。
尚未安裝支援 PDF 加密 ISO 標準之讀取器的收件者,可以安裝其中一個支援Microsoft Purview 資訊保護 的 PDF 讀取器中 所列的讀取器。 或者,收件者可以在 OME 入口網站中讀取受保護的 PDF 檔。
Rights Management 簽發者和 Rights Management 擁有者
使用 Azure Rights Management 服務保護檔或電子郵件時,保護該內容的帳戶會自動成為該內容的 Rights Management 簽發者。 此帳戶會記錄為 使用量記錄 中的 簽發者 欄位。
Rights Management 簽發者一律獲得檔或電子郵件的完整控制許可權,此外:
如果保護設定包含到期日,Rights Management 簽發者仍然可以在該日期之後開啟和編輯檔或電子郵件。
Rights Management 簽發者一律可以離線存取檔或電子郵件。
Rights Management 簽發者在撤銷檔後仍可開啟檔。
根據預設,此帳戶也是 該內容的 Rights Management 擁有者 ,也就是建立檔或電子郵件的使用者起始保護時的情況。 但在某些情況下,系統管理員或服務可以代表使用者保護內容。 例如:
系統管理員會大量保護檔案共用上的檔案:Microsoft Entra ID 中的系統管理員帳戶會保護使用者的檔。
Rights Management 連接器會保護 Windows Server 資料夾中的 Office 檔:為 RMS 連接器建立的 Microsoft Entra 識別碼中的服務主體帳戶會保護使用者的檔。
在這些案例中,Rights Management 簽發者可以使用 Azure 資訊保護 SDK 或 PowerShell,將 Rights Management 擁有者指派給另一個帳戶。 例如,當您搭配 Azure 資訊保護 用戶端使用 Protect-RMSFile PowerShell Cmdlet 時,您可以指定 OwnerEmail 參數,將 Rights Management 擁有者指派給另一個帳戶。
當 Rights Management 簽發者代表使用者保護時,指派 Rights Management 擁有者可確保原始檔案或電子郵件擁有者對其受保護內容擁有相同的控制層級,就像他們自行起始保護一樣。
例如,建立檔的使用者可以列印檔案,即使它現在受到未包含列印許可權的範本保護也一樣。 不論該範本中可能已設定的離線存取設定或到期日為何,相同的使用者一律可以存取其檔。 此外,由於 Rights Management 擁有者具有完全控制許可權,因此此使用者也可以重新保護檔以授與其他使用者存取權(此時使用者會成為 Rights Management 簽發者和 Rights Management 擁有者),而且此使用者甚至可以移除保護。 不過,只有 Rights Management 簽發者可以追蹤和撤銷檔。
檔或電子郵件的 Rights Management 擁有者會記錄為 使用記錄中的 擁有者-電子郵件 欄位。
注意
Rights Management 擁有者與 Windows 檔案系統擁有者無關。 它們通常相同,但可能不同,即使您不使用 SDK 或 PowerShell 也一樣。
Rights Management 使用權限
當使用者開啟受 Azure Rights Management 保護的檔或電子郵件時,會將該內容的 Rights Management 使用授權授與給使用者。 此使用授權是憑證,其中包含檔或電子郵件訊息的使用者使用權,以及用來加密內容的加密金鑰。 如果已設定,則使用授權也會包含到期日,以及使用授權的有效時間。
使用者除了許可權帳戶憑證 (RAC) 之外,還必須有有效的使用授權才能開啟內容,這是在初始化使用者環境 時 授與的憑證,然後每隔 31 天更新一次。
在使用授權期間,使用者不會重新驗證或重新授權內容。 這可讓使用者在沒有網際網路連線的情況下繼續開啟受保護的檔或電子郵件。 當使用授權有效期限到期時,下次使用者存取受保護的檔或電子郵件時,使用者必須重新驗證並重新授權。
使用標籤或定義保護設定的範本來保護檔和電子郵件訊息時,您可以在標籤或範本中變更這些設定,而不需要重新保護內容。 如果使用者已經存取內容,變更會在其使用授權過期後生效。 不過,當使用者套用自訂許可權(也稱為臨機操作許可權原則)且這些許可權必須在檔或電子郵件受到保護之後變更時,該內容必須再次受到新的許可權保護。 電子郵件訊息的自訂許可權是使用 [不可轉寄] 選項來實作。
租使用者的預設使用授權有效期間為 30 天,您可以使用 PowerShell Cmdlet Set-AipServiceMaxUseLicenseValidityTime 來設定此值。 您可以使用設定為立即指派許可權的敏感度標籤,或範本,為 套用保護時設定更嚴格的設定:
當您設定敏感度標籤時,使用授權有效期間會從 [允許離線存取 ] 設定取得其值。
如需為敏感度標籤設定此設定的詳細資訊和指引,請參閱指示如何 立即 為敏感度標籤設定許可權的建議表格。
當您使用 PowerShell 設定範本時,使用授權有效期間會從 Set-AipServiceTemplateProperty 和 Add-AipServiceTemplate Cmdlet 中的 LicenseValidityDuration 參數取得其值。
如需使用 PowerShell 來設定此設定的詳細資訊和指引,請參閱每個 Cmdlet 的說明。
另請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應