Konfigurera användningsrättigheter för Azure Information Protection

Gäller för:Azure Information Protection, Office 365

Relevant för:AIP unified labeling client and classic client

Obs!

För att ge en enhetlig och smidig kundupplevelse är den klassiska Azure Information Protection-klienten och Etiketthantering i Azure-portalen inaktuella sedan den 31 mars 2021. Inget ytterligare stöd tillhandahålls för den klassiska klienten och underhållsversioner kommer inte längre att släppas.

Den klassiska klienten upphör officiellt och slutar fungera den 31 mars 2022.

Alla aktuella kunder med Azure Information Protection för klassiska klienter måste migrera till Microsoft Information Protection unified labeling-plattformen och uppgradera till den enhetliga etikettklienten. Läs mer i vår migreringsblogg.

För fullständighet innehåller den här artikeln värden från den klassiska Azure-portalen som drogs tillbaka den 8 januari 2018.

I den här artikeln beskrivs användningsrättigheter som du kan konfigurera för att tillämpas automatiskt när en etikett eller mall väljs av användare, administratörer eller konfigurerade tjänster.

Användningsbehörigheter väljs när du konfigurerar känslighetsetiketter eller skyddsmallar för kryptering. Du kan till exempel välja roller som konfigurerar en logisk gruppering av användningsrättigheter eller konfigurera enskilda rättigheter separat. Alternativt kan användarna själva välja och tillämpa användningsrättigheterna.

Viktigt

Använd den här artikeln för att förstå hur användningsrättigheter är utformade för att tolkas av program.

Programmen kan variera i hur de implementerar användningsrättigheter och vi rekommenderar att du konsultarbete med programmets dokumentation och dina egna tester för att kontrollera programbeteendet innan du distribuerar i produktionen.

Användningsrättigheter och beskrivningar

I följande tabell visas och beskrivs de användningsrättigheter som rättighetshantering har stöd för och hur de används och tolkas. De listas efter sitt vanliga namn ,vilket vanligtvis är hur du kan se användnings höger visas eller refereras, som en mer användarvänlig version av värdet enkelord som används i koden (kodningen i principvärdet).

I den här tabellen:

  • API-konstanten eller värdet är SDK-namnet för ett MSIPC API-anrop, som används när du skriver ett program som söker efter en användnings höger eller lägger till en användnings höger i en princip.

  • Administrationscentret för märkning är det Microsoft 365 Efterlevnadscenter där du konfigurerar känslighetsetiketter.

    Om du har den klassiska klienten konfigurerar du etiketter och etikettprinciper i Azure Portal.

Användnings höger Beskrivning Implementering
Vanligt namn: Redigera innehåll, Redigera

Kodning i princip: DOCEDIT
Gör att användaren kan ändra, ordna om, formatera eller sortera innehållet i programmet. Den ger inte rätt att spara den redigerade kopian.

Om du inte har Office 365 ProPlus med en lägsta version av 1807räcker det inte med att aktivera eller inaktivera Spåra ändringar eller för att använda alla funktioner för spåra ändringar som granskare. För att du ska kunna använda alla alternativ för Spåra ändringar måste du i stället ha följande höger: Fullständig kontroll.
Office här anpassade rättigheter: Som en del av alternativen Ändra och Fullständig behörighet.

Namn i den klassiska Azure-portalen: Redigera innehåll

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Redigera innehåll, Redigera (DOCEDIT)

Namn i AD RMS-mallar: Redigera

API-konstant eller -värde: Ej tillämpligt.
Vanligt namn: Spara

Kodning i princip: EDIT
Gör att användaren kan spara dokumentet på den aktuella platsen.

I Office-program gör den här rättigheten också att användaren kan ändra dokumentet och spara det på en ny plats och ett nytt namn om det valda filformatet har stöd för rättighetshanteringsskydd. Filformatsbegränsningen säkerställer att det ursprungliga skyddet inte kan tas bort från filen.
Office här anpassade rättigheter: Som en del av alternativen Ändra och Fullständig behörighet.

Namn i den klassiska Azure-portalen: Spara fil

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Spara (REDIGERA)

Namn i AD RMS-mallar: Spara

API-konstant eller -värde: IPC_GENERIC_WRITE L"EDIT"
Vanligt namn: Kommentar

Kodning i princip: COMMENT
Aktiverar alternativet för att lägga till anteckningar eller kommentarer i innehållet.

Den här höger är tillgänglig i SDK, är tillgänglig som en ad hoc-princip i AzureInformationProtection- och RMS Protection-modulen för Windows PowerShell och har implementerats i vissa program från programvaruleverantörer. Den används dock inte i stor utsträckning och stöds inte av Office program.
Office egna rättigheter: Implementeras inte.

Namn i Den klassiska Azure-portalen: Implementeras inte.

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Implementeras inte.

Namn i AD RMS-mallar: Implementeras inte.

API-konstant eller -värde: IPC_GENERIC_COMMENT L"COMMENT
Vanligt namn: Spara som, Exportera

Kodning i princip: EXPORT
Aktiverar alternativet att spara innehållet i ett annat filnamn (Spara som).

För Azure Information Protection-klienten kan filen sparas utan skydd och även skyddas på nytt med nya inställningar och behörigheter. Dessa tillåtna åtgärder innebär att en användare som har den här rättigheten kan ändra eller ta bort en Azure Information Protection-etikett från ett skyddat dokument eller e-postmeddelande.

Med den här rättigheten kan användaren även utföra andra exportalternativ i program, till exempel Skicka till OneNote.
Office här anpassade rättigheter: Som en del av alternativet Fullständig behörighet.

Namn i den klassiska Azure-portalen: Exportera innehåll (Spara som)

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Spara som, Exportera (EXPORT)

Namn i AD RMS-mallar: Exportera (Spara som)

API-konstant eller -värde: IPC_GENERIC_EXPORT L"EXPORT"
Vanligt namn: Vidarebefordra

Kodning i princip: FORWARD
Med det här alternativet kan du vidarebefordra ett e-postmeddelande och lägga till mottagare på raderna Tilloch Kopia. Den här rättigheten gäller inte för dokument. endast e-postmeddelanden.

Tillåter inte att vidarebefordraren beviljar rättigheter till andra användare som en del av vidarebefordran.

När du beviljar den här rättigheten ska du även ge rättigheten Redigera innehåll, Redigera (vanligt namn) och även ge Spara rätt (gemensamt namn) för att säkerställa att det skyddade e-postmeddelandet inte levereras som en bifogad fil. Ange även dessa rättigheter när du skickar ett e-postmeddelande till en annan organisation som använder Outlook-klienten Outlook webbprogrammet. Eller för användare i organisationen som är undantagna från att använda Rättighetshanteringsskydd eftersom du har implementerat onboarding-kontroller.
Office: Nekas när du använder standardprincipen Vidarebefordra inte.

Namn i den klassiska Azure-portalen: Vidarebefordra

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Vidarebefordra (VIDAREBEFORDRA)

Namn i AD RMS-mallar: Vidarebefordra

API-konstant eller -värde: IPC_EMAIL_FORWARD L"FORWARD"
Vanligt namn: Fullständig kontroll

Kodning i princip: ÄGARE
Beviljar alla rättigheter till dokumentet och alla tillgängliga åtgärder kan utföras.

Omfattar även möjligheten att ta bort skydd och skydda ett dokument på nytt.

Observera att denna användnings höger inte är samma som rättighetshanteringsägaren.
Office för anpassade rättigheter: Som det anpassade alternativet Fullständig behörighet.

Namn i den klassiska Azure-portalen: Fullständig kontroll

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Fullständig kontroll (ÄGARE)

Namn i AD RMS-mallar: Fullständig åtkomst

API-konstant eller -värde: IPC_GENERIC_ALL L"OWNER"
Vanligt namn: Skriv ut

Kodning i princip: PRINT
Aktiverar alternativen för att skriva ut innehållet. Office anpassade rättigheter: Som alternativet Skriv ut innehåll i anpassade behörigheter. Inte en inställning per mottagare.

Namn i den klassiska Azure-portalen: Skriv ut

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Skriv ut (PRINT)

Namn i AD RMS-mallar: Skriv ut

API-konstant eller -värde: IPC_GENERIC_PRINT L"PRINT"
Vanligt namn: Svara

Kodning i princip: REPLY
Aktiverar alternativet Svara i en e-postklient, utan att tillåta ändringar på raderna Tilloch Kopia.

När du beviljar den här rättigheten ska du även ge rättigheten Redigera innehåll, Redigera (vanligt namn) och även ge Spara rätt (gemensamt namn) för att säkerställa att det skyddade e-postmeddelandet inte levereras som en bifogad fil. Ange även dessa rättigheter när du skickar ett e-postmeddelande till en annan organisation som använder Outlook-klienten Outlook webbprogrammet. Eller för användare i organisationen som är undantagna från att använda Rättighetshanteringsskydd eftersom du har implementerat onboarding-kontroller.
Office anpassade rättigheter: Ej tillämpligt.

Namn i den klassiska Azure-portalen: Svara

Namn i den klassiska Azure-portalen: Svara (SVARA)

Namn i AD RMS-mallar: Svara

API-konstant eller -värde: IPC_EMAIL_REPLY
Vanligt namn: Svara alla

Kodning i princip: REPLYALL
Aktiverar alternativet Svara alla i en e-postklient, men användaren kan inte lägga till mottagare på raderna Tilleller Kopia.

När du beviljar den här rättigheten ska du även ge rättigheten Redigera innehåll, Redigera (vanligt namn) och även ge Spara rätt (gemensamt namn) för att säkerställa att det skyddade e-postmeddelandet inte levereras som en bifogad fil. Ange även dessa rättigheter när du skickar ett e-postmeddelande till en annan organisation som använder Outlook-klienten Outlook webbprogrammet. Eller för användare i organisationen som är undantagna från att använda Rättighetshanteringsskydd eftersom du har implementerat onboarding-kontroller.
Office anpassade rättigheter: Ej tillämpligt.

Namn i den klassiska Azure-portalen: Svara alla

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Svara alla (SVARA ALLA)

Namn i AD RMS-mallar: Svara alla

API-konstant eller -värde: IPC_EMAIL_REPLYALL L"REPLYALL"
Vanligt namn: Visa, Öppna, Läsa

Kodning i princip: VIEW
Gör att användaren kan öppna dokumentet och se innehållet.

I Excel räcker inte den här behörigheten för att sortera data, vilket kräver följande höger: Redigera innehåll, Redigera. Om du vill filtrera Excel innehåll behöver du följande två rättigheter: Redigera innehåll, Redigera och Kopiera.
Office anpassade rättigheter: Som Läs anpassad princip, alternativet Visa.

Namn i den klassiska Azure-portalen: Visa

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Visa, Öppna, Läsa (VISA)

Namn i AD RMS-mallar: Läsa

API-konstant eller -värde: IPC_GENERIC_READ L"VIEW"
Vanligt namn: Kopiera

Kodning i princip: EXTRACT
Aktiverar alternativ för att kopiera data (inklusive skärmdumpar) från dokumentet till samma eller ett annat dokument.

I vissa program kan hela dokumentet också sparas i oskyddat format.

I Skype för företag skärmdelningsprogram och liknande program för skärmdelning måste presentatören ha rätt att presentera ett skyddat dokument. Om presentatören inte har den här rättigheten kan inte deltagarna visa dokumentet och det visas som nedsvarat för dem.
Office för anpassade rättigheter: Som alternativet Tillåt användare med läsbehörighet att kopiera innehåll, anpassad princip.

Namn i den klassiska Azure-portalen: Kopiera och extrahera innehåll

Namn i Microsoft 365 Efterlevnadscenter och Azure Portal: Copy (EXTRACT)

Namn i AD RMS-mallar: Extrahera

API-konstant eller -värde: IPC_GENERIC_EXTRACT L"EXTRACT"
Vanligt namn: Visa rättigheter

Kodning i princip: VIEWRIGHTSDATA
Gör att användaren kan se principen som används i dokumentet.

Stöds inte av Office appar eller Azure Information Protection-klienter.
Office egna rättigheter: Implementeras inte.

Namn i den klassiska Azure-portalen: Visa tilldelade rättigheter

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: View Rights (VIEWRIGHTSDATA).

Namn i AD RMS-mallar: Visa rättigheter

API-konstant eller -värde: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
Vanligt namn: Ändra rättigheter

Kodning i princip: EDITRIGHTSDATA
Med det här alternativet kan användaren ändra principen som används i dokumentet. Omfattar även borttagning av skydd.

Stöds inte av Office appar eller Azure Information Protection-klienter.
Office egna rättigheter: Implementeras inte.

Namn i den klassiska Azure-portalen: Ändra rättigheter

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Edit Rights (EDITRIGHTSDATA).

Namn i AD RMS-mallar: Redigera rättigheter

API-konstant eller -värde: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
Vanligt namn: Tillåt makron

Kodning i princip: OBJMODEL
Aktiverar alternativet för att köra makron eller utföra annan programmässiga eller fjärråtkomst till innehållet i ett dokument. Office egna rättigheter: Alternativet Tillåt programmeringsåtkomst. Inte en inställning per mottagare.

Namn i den klassiska Azure-portalen: Tillåt makron

Namn i Microsoft 365 Efterlevnadscenter och Azure-portalen: Tillåt makron (OBJMODEL)

Namn i AD RMS-mallar: Tillåt makron

API-konstant eller -värde: Implementeras inte.

Rättigheter i behörighetsnivåer

I vissa program grupperas användningsrättigheter i behörighetsnivåer, vilket gör det enklare att välja de användningsrättigheter som vanligtvis används tillsammans. De här behörighetsnivåerna hjälper till att abstrakta en nivå av komplexitet från användare, så att de kan välja alternativ som är rollbaserade. Till exempel Granskare ochMedförfattare. Även om de här alternativen ofta visar en sammanfattning av behörigheterna, kanske de inte omfattar alla rättigheter som anges i föregående tabell.

Använd följande tabell för en lista över de här behörighetsnivåerna och en fullständig lista över de användningsrättigheter som de innehåller. Användningsrättigheterna anges efter deras vanliga namn.

Behörighetsnivå Program Användningsrättigheter ingår
Visningsprogram Klassisk Azure-portal

Azure Portal

Azure Information Protection-klient för Windows
Visa, Öppna, Läsa; Visa rättigheter Svara [1]; Svara alla [1]; Tillåt makron [2]

Obs! För e-postmeddelanden använder du Granskare i stället för den här behörighetsnivån för att säkerställa att ett e-postmeddelande tas emot som ett e-postmeddelande i stället för som en bifogad fil. Granskare krävs också när du skickar ett e-postmeddelande till en annan organisation som använder Outlook- Outlook-webbprogrammet. Eller för användare i organisationen som är undantagna från att använda Azure Rights Management-tjänsten eftersom du har implementerat onboarding-kontroller.
Granskare Klassisk Azure-portal

Azure Portal

Azure Information Protection-klient för Windows
Visa, Öppna, Läsa; Spara Redigera innehåll, Redigera Visa rättigheter Svara: Svara alla [3]; Vidarebefordra [3]; Tillåt makron [2]
Samtidig redigering Klassisk Azure-portal

Azure Portal

Azure Information Protection-klient för Windows
Visa, Öppna, Läsa; Spara Redigera innehåll, Redigera Kopiera; Visa rättigheter Tillåt makron Spara som, Exportera [4]; Skriv ut; Svara [3]; Svara alla [3]; Vidarebefordra [3]
Medägare Klassisk Azure-portal

Azure Portal

Azure Information Protection-klient för Windows
Visa, Öppna, Läsa; Spara Redigera innehåll, Redigera Kopiera; Visa rättigheter Ändra rättigheter Tillåt makron Spara som, Exportera; Skriv ut; Svara [3]; Svara alla [3]; Vidarebefordra [3]; Fullständig kontroll
Fotnot 1

Ingår inte i Microsoft 365 Efterlevnadscenter eller Azure Portal.

Fotnot 2

För Azure Information Protection-klienten för Windows krävs den här rättigheten för informationsskyddsfältet i Office program.

Fotnot 3

Gäller inte Azure Information Protection-klienten för Windows.

Fotnot 4

Ingår inte i Microsoft 365 Efterlevnadscenter, Azure-portalen eller Azure Information Protection-klienten för Windows.

Alternativet Vidarebefordra inte för e-postmeddelanden

Exchange-klienter och -tjänster (till exempel Outlook-klienten, Outlook på webben Exchange-e-postflödesregler och DLP-åtgärder för Exchange) har ytterligare alternativ för skydd av informationsrättigheter för e-postmeddelanden: Vidarebefordra inte .

Även om det här alternativet visas för användare (och Exchange administratörer) som om det är en standardmall för rättighetshantering som de kan välja, är Vidarebefordra inte inte en mall. Det förklarar varför du inte kan se den i Azure Portal när du visar och hanterar skyddsmallar. Alternativet Vidarebefordra inte är i stället en uppsättning användningsrättigheter som tillämpas dynamiskt av användarna på deras e-postmottagare.

När alternativet Vidarebefordra inte tillämpas på ett e-postmeddelande krypteras e-postmeddelandet och mottagarna måste vara autentiserade. Mottagarna kan sedan inte vidarebefordra den, skriva ut eller kopiera från den. I Outlook-klienten är till exempel knappen Vidarebefordra inte tillgänglig, menyalternativen Spara som och Skriv ut är inte tillgängliga och du kan inte lägga till eller ändra mottagare i rutorna Till, Kopia eller Hemlig kopia.

Oskyddade e-Office som är kopplade till e-postmeddelandet ärver automatiskt samma begränsningar. De användningsrättigheter som tillämpas på dessa dokument är Redigera innehåll, Redigera; Spara ;Visa, Öppna, Läsa; och Tillåt makron. Om du vill ha olika användningsrättigheter för en bifogad fil, eller om den bifogade filen inte är ett Office-dokument som stöder det här ärvda skyddet, ska du skydda filen innan du bifogar den till e-postmeddelandet. Du kan sedan tilldela de särskilda användningsrättigheter som du behöver för filen.

Skillnaden mellan Vidarebefordra inte och att inte bevilja rätt användning av vidarebefordran

Det finns en viktig skillnad mellan att använda alternativet Vidarebefordra inte och att använda en mall som inte beviljar användning av vidarebefordran till ett e-postmeddelande: Alternativet Vidarebefordra inte använder en dynamisk lista över behöriga användare som baseras på användarens valda mottagare av det ursprungliga e-postmeddelandet. Medan rättigheterna i mallen har en statisk lista över behöriga användare som administratören har angett tidigare. Vad är skillnaden? Vi tar ett exempel:

En användare vill skicka en del information till vissa personer på marknadsföringsavdelningen som inte ska delas med någon annan. Ska hon skydda e-posten med en mall som begränsar behörighet (visning, svar och sparande) till marknadsföringsavdelningen? Eller ska hon välja alternativet Vidarebefordra inte? Båda alternativen ledde till att mottagarna inte kunde vidarebefordra e-postmeddelandet.

  • Om hon tillämpade mallen kunde mottagarna fortfarande dela informationen med andra på marknadsföringsavdelningen. En mottagare kan till exempel använda Utforskaren för att dra och släppa e-postmeddelandet till en delad plats eller en USB-enhet. Nu kan vem som helst från marknadsföringsavdelningen (och e-postägaren) som har åtkomst till platsen visa informationen i e-postmeddelandet.

  • Om hon använder alternativet Vidarebefordra inte kan mottagarna inte dela informationen med någon annan på marknadsföringsavdelningen genom att flytta e-postmeddelandet till en annan plats. I det här scenariot kan endast de ursprungliga mottagarna (och e-postägaren) visa informationen i e-postmeddelandet.

Obs!

Använd Vidarebefordra inte när det är viktigt att endast de mottagare som avsändaren väljer ska se informationen i e-postmeddelandet. Använd en mall för e-postmeddelanden för att begränsa behörigheten till en grupp personer som administratören anger i förväg, oberoende av avsändarens valda mottagare.

Alternativet Endast kryptering för e-postmeddelanden

När Exchange Online använder de nya funktionerna för Meddelandekryptering i Office 365 blir det nya alternativet Kryptera e-post tillgängligt för att kryptera data utan ytterligare begränsningar.

Det här alternativet är tillgängligt för klienter som använder Exchange Online och kan väljas enligt följande:

  • I Outlook på webben med alternativet Kryptera eller en känslighetsetikett som är konfigurerad för Låt användare tilldela behörigheter och alternativet Kryptera endast
  • Ett annat behörighetsskyddsalternativ för en e-postflödesregel
  • Som en Office 365 DLP-åtgärd
  • Från Outlook för stationära datorer och mobila enheter:
    • Med en känslighetsetikett som är konfigurerad för Låt användare tilldela behörigheter och alternativet Kryptera endast för Windows, macOS, iOS och Android när du använder inbyggda etiketter med de lägsta versionerna i tabellen för känslighetsetikettfunktioner i Outlook.
    • Med alternativet Kryptera på Windows och macOS gäller att de versioner som listas i tabellen med versioner för Microsoft 365-applikationer som stöds via uppdateringskanal visas när du har Microsoft 365-programsom stöder Azure Rights Management.

Mer information om alternativet för att kryptera finns i följande blogginlägg när det annonserades från Office-teamet första gången: Kryptera endast distribueras Meddelandekryptering i Office 365.

När du väljer det här alternativet krypteras e-posten och mottagarna måste autentiseras. Mottagarna har sedan alla användningsrättigheter utom Spara som, Exportera och Fullständig behörighet. Den här kombinationen av användningsrättigheter innebär att mottagarna inte har några begränsningar, förutom att de inte kan ta bort skyddet. En mottagare kan till exempel kopiera från e-postmeddelandet, skriva ut och vidarebefordra det.

På samma sätt ärver oskyddade Office dokument som är kopplade till e-postmeddelandet samma behörigheter. Dokumenten skyddas automatiskt och när de laddas ned kan de sparas, redigeras, kopieras och skrivas ut från ett Office av mottagarna. När dokumentet sparas av en mottagare kan det sparas med ett nytt namn och till och med i ett annat format. Det är dock bara filformat som har stöd för skydd som är tillgängliga så att dokumentet inte kan sparas utan det ursprungliga skyddet. Om du vill ha olika användningsrättigheter för en bifogad fil, eller om den bifogade filen inte är ett Office-dokument som stöder det här ärvda skyddet, ska du skydda filen innan du bifogar den till e-postmeddelandet. Du kan sedan tilldela de särskilda användningsrättigheter som du behöver för filen.

Alternativt kan du ändra det här skyddets arv av dokument genom att Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true ange Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true Använd den här konfigurationen när du inte behöver behålla det ursprungliga skyddet för dokumentet efter att användaren har autentiserats. När mottagarna öppnar e-postmeddelandet är dokumentet inte skyddat.

Om du behöver ett bifogat dokument för att behålla det ursprungliga skyddet kan du gå till Skydda dokumentsamarbete med hjälp av Azure Information Protection.

Obs!

Om du ser referenser till DecryptAttachmentFromPortalär den här parametern inaktuell för Set-IRMConfiguration. Om du inte tidigare har angett den här parametern är den inte tillgänglig.

Kryptera PDF-dokument automatiskt med Exchange Online

När Exchange Online använder de nya funktionerna för Meddelandekryptering i Office 365 kan du automatiskt kryptera oskyddade PDF-dokument när de bifogas i ett krypterat e-postmeddelande. Dokumentet ärver samma behörigheter som för e-postmeddelandet. Om du vill aktivera den här konfigurationen ställer du in EnablePdfEncryption $True med Set-IRMConfiguration.

Mottagare som inte redan har en läsare installerad som stöder ISO-standarden för PDF-kryptering kan installera en av de läsare som listas i PDF-läsare som har stöd för Microsoft Information Protection. Alternativt kan mottagarna läsa det skyddade PDF-dokumentet i OME-portalen.

Rättighetshanteringsutfärdare och rättighetshanteringsägare

När ett dokument eller e-post skyddas med tjänsten Azure Rights Management blir kontot som skyddar innehållet automatiskt utfärdare av rättighetshantering för innehållet. Det här kontot loggas som fältet utfärdare i användningsloggarna.

Rättighetshanteringsutfärdaren beviljas alltid fullständig behörighet för dokumentet eller e-post, och dessutom:

  • Om skyddsinställningarna innehåller ett utgångsdatum kan utfärdaren av Rättighetshantering fortfarande öppna och redigera dokumentet eller e-postmeddelandet efter det datumet.

  • Rättighetshanteringsutfärdaren kan alltid komma åt dokumentet eller e-post offline.

  • Rättighetshanteringsutfärdaren kan fortfarande öppna ett dokument efter att det har återkallats.

Som standard är det här kontot även rättighetshanteringsägaren för innehållet, vilket är fallet när en användare som skapat dokumentet eller e-postmeddelandet initierar skyddet. Men det finns några scenarier där en administratör eller tjänst kan skydda innehåll åt användarna. Till exempel:

  • En administratör massskyddar filer på en filresurs: Administratörskontot i Azure AD skyddar dokumenten för användarna.

  • Rights Management-kopplingen skyddar Office-dokument i en Windows Server-mapp: Tjänstens huvudkonto i Azure AD som skapas för RMS-kopplingen skyddar dokumenten för användarna.

I sådana fall kan utfärdare av rättighetshantering tilldela rättighetshanteringsägaren till ett annat konto med hjälp av Azure Information Protection SDKs eller PowerShell. När du till exempel använder cmdleten Protect-RMSFile PowerShell med Azure Information Protection-klienten kan du ange parametern OwnerEmail för att tilldela rights management-ägaren till ett annat konto.

När rättighetshanteringsutfärdaren skyddar åt användare säkerställer tilldelning av Rättighetshanteringsägaren att den ursprungliga dokument- eller e-postägaren har samma kontrollnivå för det skyddade innehållet som om de själva startade skyddet.

Till exempel kan användaren som skapade dokumentet skriva ut det, även om det nu skyddas med en mall som inte innehåller användandet för utskrift. Samma användare kan alltid komma åt dokumentet, oavsett inställningen för offlineåtkomst eller utgångsdatumet som kan ha konfigurerats i mallen. Eftersom rättighetshanteringsägaren har fullständig behörighet för användningen kan användaren dessutom skydda dokumentet på nytt för att ge ytterligare användare åtkomst (vid vilken tidpunkt användaren sedan blir rättighetshanteringsutfärdaren och rättighetshanteringsägaren), och användaren kan till och med ta bort skyddet. Men det är bara rättighetshanteringsutfärdaren som kan spåra och återkalla ett dokument.

Rättighetshanteringsägaren för ett dokument eller e-postmeddelande loggas som fältet för ägar-e-post i användningsloggarna.

Obs!

Rättighetshanteringsägaren är oberoende Windows filsystemägaren. De är ofta desamma men kan vara olika, även om du inte använder SDKs eller PowerShell.

Rights Management-användningslicens

När en användare öppnar ett dokument eller e-postmeddelande som har skyddats av Azure Rights Management tilldelas användaren en licens för rättighetshanteringsanvändning för innehållet. Den här användningslicensen är ett certifikat som innehåller användarens användningsrättigheter för dokumentet eller e-postmeddelandet, och krypteringsnyckeln som användes för att kryptera innehållet. Användningslicensen innehåller också ett utgångsdatum om detta har angetts och hur länge användningslicensen är giltig.

En användare måste ha en giltig användningslicens för att öppna innehållet utöver sitt behörighetskontocertifikat (RAC), som är ett certifikat som beviljas när användarmiljön initieras och sedan förnyas var 31:e dag.

Under användningslicensens varaktighet är användaren inte återauktoriserad eller omrektoriserad för innehållet. Då kan användaren fortsätta att öppna det skyddade dokumentet eller e-post utan internetanslutning. Nästa gång användaren får åtkomst till det skyddade dokumentet eller e-post måste användaren återauktoriseras när användningslicensen löper ut.

När dokument och e-postmeddelanden skyddas med hjälp av en etikett eller en mall som definierar skyddsinställningarna kan du ändra de här inställningarna i etiketten eller mallen utan att behöva skydda innehållet på nytt. Om användaren redan har åtkomst till innehållet verkställs ändringarna när användningslicensen har upphört. När användare tillämpar anpassade behörigheter (kallas även ad hoc-behörighetsprincip) och behörigheterna måste ändras när dokumentet eller e-postmeddelandet har skyddats måste innehållet skyddas igen med de nya behörigheterna. Anpassade behörigheter för ett e-postmeddelande implementeras med alternativet Vidarebefordra inte.

Standardtiden för användningslicensen för en innehavare är 30 dagar och du kan konfigurera det här värdet med hjälp av PowerShell-cmdleten Set-AipServiceMaxUseLicenseValidityTime. Du kan konfigurera en mer restriktiv inställning för när skydd tillämpas med hjälp av en känslighetsetikett eller mall:

  • När du konfigurerar en känslighetsetikett tar perioden för användningslicensens giltighetsperiod sitt värde från inställningen Tillåt offlineåtkomst.

    Mer information och råd om hur du konfigurerar den här inställningen finns i Information om tabellen med skyddsinställningar. Där finns anvisningar om hur du konfigurerar en etikett för Rights Management Protection.

  • När du konfigurerar en mall med hjälp av PowerShell tar användningsperiodens giltighetsperiod sitt värde från parametern LicenseValidityDuration i cmdletarna Set-AipServiceTemplateProperty och Add-AipServiceTemplate.

    Mer information och råd om hur du konfigurerar den här inställningen med hjälp av PowerShell finns i hjälpen för varje cmdlet.

Rättigheter som ingår i standardmallarna

Relevant för:Endast AIP klassisk klient

I följande tabell visas de användningsrättigheter som ingår när standardmallarna skapas. Användningsrättigheterna anges efter deras vanliga namn.

De här standardmallarna skapas när prenumerationen köptes och namn och användningsrättigheter kan ändras i Azure-portalen och med PowerShell.

Visningsnamn för mall Användningsrättigheter från den 6 oktober 2017 till dagens datum Användningsrättigheter före den 6 oktober 2017
organisationens namn – endast konfidentiellt

eller

Mycket konfidentiellt \ Alla anställda
Visa, Öppna, Läsa; Kopiera; Visa rättigheter Tillåt makron Skriv ut; Vidarebefordra Svara; Svara alla; Spara Redigera innehåll, Redigera Visa, Öppna, Läsa
organisationens namn – konfidentiellt

eller

Konfidentiellt \ Alla anställda
Visa, Öppna, Läsa; Spara som, Exportera; Kopiera; Visa rättigheter Ändra rättigheter Tillåt makron Skriv ut; Vidarebefordra Svara; Svara alla; Spara Redigera innehåll, Redigera Fullständig kontroll Visa, Öppna, Läsa; Spara som, Exportera; Redigera innehåll, Redigera Visa rättigheter Tillåt makron Vidarebefordra Svara; Svara alla

Se även