在 2016 Office使用信息权限管理 (IRM) 保护敏感消息和文档
总结: 在 2016 Office使用信息权限管理 (IRM) 指定访问和使用敏感文档和消息的权限。
IRM 允许个人和管理员指定谁可以访问文档、工作簿和演示文稿。 这有助于防止未经授权的人员打印、转发或复制敏感信息。 本文概述了 IRM 技术及其在Office应用程序中的工作原理,以及有关如何在 2016 Office设置和安装实现 IRM 所需的软件的详细信息的链接。
IRM 概述
Azure Rights Management 和 Active Directory Rights Management 是 Microsoft 提供的永久性文档级信息保护技术。 他们使用权限和授权来帮助防止未经授权的用户打印、转发或复制或访问敏感信息。 使用 IRM 限制文档或邮件的权限后,使用限制会随文档或电子邮件一起传输,作为文件内容的一部分。 Microsoft Office使用信息权限管理 (IRM) 功能实现对这些技术的支持。
使用 IRM 创建具有受限权限的文档或电子邮件的功能可在Office 专业增强版 2016和Microsoft 365 企业应用版以及独立版本的Excel 2016 Outlook 2016中使用,PowerPoint 2016、InfoPath 2016 和Word 2016。 可在 2007 Office、2010 Office、2013 Office或 2016 Office查看在 2016 Office创建的 IRM 内容。
有关 2016、Office 2013、Office 2010 和 2007 Office支持的 IRM 和 Active Directory Rights Management Services (AD RMS) Office功能的详细信息,请参阅 AD RMS 和Microsoft Office 部署注意事项。 有关 IRM 和 Azure RMS 的信息,请参阅 应用程序如何支持 Azure Rights Management 和 什么是 Azure Rights Management。
2016 Office IRM 支持可帮助组织和知识工作者满足两个基本需求:
敏感信息的受限权限 IRM 可帮助保护敏感信息免受未经授权的访问和重复使用。 组织依靠防火墙、登录安全相关措施和其他网络技术来帮助保护敏感知识产权。 但是,使用这些技术的一个基本限制是,有权访问这些信息的合法用户可以与未经授权的人员共享信息。 这可能导致可能违反安全策略。
信息隐私、控制和完整性 信息工作者通常使用机密或敏感信息。 通过使用 IRM,员工不必依靠其他人的自由裁量权来确保敏感材料保留在公司内部。 IRM 通过禁用使用受限权限的文档和消息中的这些函数来阻止用户转发、复制或打印机密信息。
对于信息技术 (IT) 管理器,IRM 有助于实施有关文档保密性、工作流和电子邮件保留的现有公司策略。 对于高管和安全官员来说,IRM 可以降低关键公司信息落入错误人员手中的风险,无论是偶然的、深思熟虑的还是恶意的。
IRM 在 2016 Office的工作原理
Office用户使用 “文件” 菜单中的选项对消息或文档应用权限;例如,使用“信息 ”下的**“限制访问**”选项 “保护文档”。 可用的保护选项基于可以为组织自定义的权限策略模板。 权限策略模板是 IRM 权限组,可在用户可以应用到其文档的预定义策略中打包在一起。 Office 2016 还提供预定义的 “不转发”选项,该选项向电子邮件收件人授予特定权限。 若要了解有关权限策略模板的详细信息,请参阅为 Azure 信息保护 配置和管理模板。
备注
除了使用 “文件” 菜单中的选项外,在为Windows安装 Rights Management 共享应用程序时,用户还可以从Office功能区中选择“受保护的共享”。 此应用程序还启用了其他功能,例如能够跟踪共享文档的使用情况。 有关详细信息,请参阅适用于Windows的 Rights Management 共享应用程序。
若要使用 IRM 保护 Office 2016 中的文档,必须具有本地 AD RMS 或 Azure RMS 订阅(作为Office 365或独立服务的一部分)。
将 IRM 与Active Directory Rights Management Services配合使用
在组织中启用 IRM 需要访问运行 Active Directory Rights Management Services (AD RMS) 的计算机,以便Windows Server 2012或Windows Server 2012 R2,或者访问具有 Azure RMS 订阅的云租户。 这些权限是通过使用身份验证强制实施的,通常使用Active Directory 域服务 (AD DS) 或Azure Active Directory。
组织可以通过创建权限策略模板来定义Office应用程序中显示的权限策略。 例如,可以定义名为“ 市场营销机密”的权限策略模板,该模板指定使用该策略的文档或电子邮件只能由该部门内的用户打开。 虽然可以创建的权限策略数没有限制,但Office一次最多只能显示 20 个策略模板。 Azure Rights Management 提供两个预定义的组织范围模板,可以向这些模板添加自己的自定义模板,也可以根据需要禁用模板。
使用 Windows Server 2012 上的 AD RMS,用户可以在具有联合信任关系的公司之间共享受权限保护的文档。 有关详细信息,请参阅Active Directory Rights Management Services概述和联合 AD RMS。 借助 Azure RMS,组织之间安全协作的功能是内置的,不需要完成任何特殊配置。
虽然在 Outlook 2016 中创建和使用受保护的电子邮件的功能不需要电子邮件服务器中的任何特殊配置,但 Exchange Server 2016 提供受 IRM 保护的其他电子邮件功能,包括针对统一消息语音邮件的 RMS 保护,以及 Microsoft Outlook保护规则,这些规则可自动将 IRM 保护应用于邮件在离开 Microsoft Outlook 客户端之前Outlook 2016。 此外,在 Exchange Server 中启用 IRM 集成可让用户在启用了 IRM 的Outlook Web App和Exchange ActiveSync移动设备中创建和使用受保护的电子邮件。 有关详细信息,请参Exchange 2016 年的信息权限管理。
为 Office 2016 设置 IRM
对文档或电子邮件应用 IRM 权限需要以下各项:
访问 AD RMS 以Windows Server 2012或Windows Server 2012 R2,或访问 Azure Rights Management,以获取使用内容的许可证。
Rights Management 客户端软件。 此客户端软件包含在 Windows Vista 及更高版本中。 Rights Management 共享应用程序提供了一个可选加载项,可增强 Office 中的 IRM 功能。
Microsoft Office 2007、Office 2010、2013 Office或 2016 Office。 只有特定版本的Office使用户能够创建 IRM 权限。
设置 RMS 服务器访问权限
AD RMS 和 Azure RMS 管理许可和其他与 IRM 配合使用的服务器函数,以便为客户端应用程序(如 Office 2016)提供权限管理。 启用 RMS 的客户端程序(如 Office 2016)允许用户创建和查看受权限保护的内容。
在客户端上设置权限管理
RMS 客户端软件包含在 Windows Vista、Windows 7、Windows 8.1 和 Windows 10 中。 为了通过使用 RMS 共享应用程序在Office中启用其他 IRM 功能,用户可以自行安装它,或者管理员可以自动为用户部署它。
备注
不再支持 Windows Vista 和 Windows 7。
为 Office 2016 定义和部署权限策略模板
与 2007 Office、2010 Office和 2013 Office一样,Office 2016 包括用户对文档和消息应用个人权限的选项,例如Word 2016中的 读 取和 更改、Excel 2016、PowerPoint 2016和Visio 2016 年。 在Outlook可以使用 “不转发”选项来自信地共享电子邮件,仅向邮件的预期收件人授予有限的权限。 还可以为自动部署到客户端的组织定义自定义权限策略模板,以便用户可以在一次单击中应用这些模板。
使用 RMS 或 AD RMS 服务器上的管理站点创建和管理权限策略模板。 有关如何创建、配置和发布自定义策略模板的信息,请参阅 AD RMS Rights Policy 模板部署分步指南。
可在权限策略模板中包含Office 2016 的权限在以下部分中列出。
IRM 权限
下表中列出的每个 IRM 权限可由配置为使用 AD RMS 或 Azure RMS 的 2016 Office应用程序强制执行。
IRM 权限
| IRM 权限 | 说明 |
|---|---|
| 完全控制 |
为用户提供此表中列出的每个权限,以及更改与内容关联的权限的权利。 过期不适用于具有完全控制的用户。 |
| 查看 |
允许用户打开 IRM 内容。 这对应于 Office 2016 用户界面中的读取访问权限。 |
| 编辑 |
允许用户修改文档的内容。 这包括对Excel中的内容进行排序和筛选的功能。 |
| Save |
允许用户保存文件。 |
| 提取 |
允许用户创建文件的任何部分的副本,并将该文件的一部分粘贴到另一个应用程序的工作区域。 |
| 导出 |
允许用户使用 “另 一文件”命令以其他文件格式保存内容。 根据使用所选文件格式的应用程序,内容可能会在没有保护的情况下保存。 |
| 打印 |
允许用户打印文件的内容。 |
| 允许宏 |
允许用户针对文件内容运行宏,以及以编程方式访问来自其他应用程序的内容,并跨工作表链接到内容。 |
| 转发 |
允许电子邮件收件人转发 IRM 电子邮件,并从 To: 和 Cc: 行中添加或删除收件人。 此权利并不意味着能够向其他用户授予权限,即使转发了用户的内容,如果模板未向该用户授予权限,则将阻止用户打开内容。 在模板中不授予此权限并不等效于在Outlook中使用 “不转发”选项,因为该选项仅向电子邮件的 To: 和 Cc: 行中指定的用户授予权限。 |
| 答复 |
允许电子邮件收件人答复 IRM 电子邮件。 |
| 全部答复 |
允许电子邮件收件人答复“收件人:和 Cc:IRM 电子邮件行”上的所有用户。 |
| 查看权限 |
授予用户查看与文件关联的权限的权限。 Office忽略此权限。 |
预定义的权限组
Office 2016 提供以下预定义的权限组,用户可以在创建 IRM 内容时从中选择这些权限组。 Word 2016、Excel 2016、PowerPoint 2016 和 Visio 2016 的“权限”对话框中提供了这些选项。 在Office应用程序中,选择 “文件” 选项卡,选择 “信息”,选择 “保护文档”按钮,选择 “限制访问”,然后从列出的权限策略模板中选择“受限访问”。 如果选择 “受限访问”,则可以选择为每个用户选择一个预定义的权限组。
预定义的读/更改权限组
| IRM 预定义组 | 说明 |
|---|---|
| 阅读 |
拥有“读取”权限的用户拥有“视图”权限。 |
| 更改项 |
具有更改权限的用户有权查看、编辑、提取和保存。 |
在Outlook 2016中,用户可以在创建电子邮件项时选择以下预定义权限组。 若要从电子邮件项访问该选项,请选择 “文件”、“ 信息”,然后 选择“设置权限”。 接下来,从列出的权限策略模板(由 Rights Management 服务器或服务填充)中进行选择,或选择 “不转发”,实现以下权限。
预定义的“不转发”组
| IRM 预定义组 | 说明 |
|---|---|
| 请勿转发 |
在Outlook中,不转发到电子邮件会授予用户对 To:、Cc:和 Bcc:行视图、编辑、答复和回复所有权限。 |
高级权限
在Word 2016中,可以为文档的各个部分指定其他 IRM 权限。 在 “信息”、“ 保护文档”中,选择 “限制编辑”,然后选择 “更多用户 ”选项,以添加有权编辑文档所指示部分的用户。 对于更多限制选项,请选择 “限制编辑”面板底部的“限制”权限。 例如,用户可以指定过期日期、限制其他用户打印或复制内容等。
为 Office 2016 配置 IRM 设置
可以使用Office 组策略模板 (Office) 锁定多个设置以自定义 IRM。 使用此组策略模板在 Active Directory 中配置组策略对象,并且不应与权限策略模板混淆。 此外,还有 IRM 配置选项只能使用注册表项设置进行配置。
Office 2016 IRM 设置
下表列出了可以在组策略中为 IRM 配置的设置。 在组策略中,这些设置位于 用户配置\策略\管理模板\Microsoft Office 2016\管理受限权限下。
组策略的 IRM 设置
| IRM 选项 | 说明 |
|---|---|
| 用于查询组扩展的一个条目的 Active Directory 超时 |
指定在展开组时查询 Active Directory 条目的超时值。 |
| 其他权限请求 URL |
指定用户在使用此客户端中受保护的内容时可以获取有关如何访问 IRM 内容的详细信息的位置。 |
| 限制文档权限时,请始终在Office中展开组 |
当用户通过在“ 权 限”对话框中选择组名称向文档应用权限时,组名称会自动展开以显示组的所有成员。 |
| 始终要求用户连接以验证权限 |
打开权限管理的Office文档的用户必须连接到 RMS 服务,以验证他们是否仍然有权通过获取新的 IRM 许可证来使用内容。 |
| 在限制文档权限时,绝不允许用户指定组 |
当用户在“ 权限 ”对话框中选择一个组时返回错误:“无法将内容发布到分发列表。 只能为单个用户指定电子邮件地址。 |
| 阻止用户更改权限托管内容的权限 |
如果启用,用户可以使用已包含 IRM 权限的内容,但不能对新内容应用 IRM 权限,也不能配置文档的权限。 |
| 关闭信息权限管理用户界面 |
禁用所有Office应用程序的用户界面中与 Rights Management 相关的所有选项。 |
Office 2016 IRM 注册表项选项
下表列出了可在注册表中为 IRM 配置的设置。
以下 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\16.0\Common\DRM 中。
IRM 注册表项选项
| 注册表项 | 类型 | 值 | 说明 |
|---|---|---|---|
| RequestPermission |
DWORD |
1 = 选中该框。 0 = 已清除该框。 |
此注册表项切换用户的默认值 ,可从复选框请求其他权 限。 |
| DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Microsoft Outlook 1 = 未使用 Microsoft Outlook |
“权限”对话框使用 Microsoft Outlook 验证在该对话框中输入的电子邮件地址。 这会导致在限制权限时启动 Microsoft Outlook实例。 使用此密钥禁用该选项。 |
以下 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\16.0\Common\DRM\LicenseServers 中。 没有相应的组策略设置。
许可证服务器的 IRM 注册表设置
| 注册表项 | 类型 | 值 | 说明 |
|---|---|---|---|
| LicenseServers |
键/Hive。 包含具有许可证服务器名称的 DWORD 值。 |
设置为服务器 URL。 如果 DWORD 的值为 1,Office不会提示获取许可证,它将自动获取许可证。 如果该值为零或该服务器没有注册表条目,Office许可证提示。 |
示例:如果 http://contoso.com/_wmcs/licensing = 1 是此设置的值,则不会提示尝试从该服务器获取许可证以打开权限管理文档的用户进行授权。 这与用户选择复选框时要求在首次使用内容时不再收到通知相同。 |
以下 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\16.0\Common\Security 中。 没有相应的组策略设置。
适用于安全性的 IRM 注册表设置
| 注册表项 | 类型 | 值 | 说明 |
|---|---|---|---|
| DRMEncryptProperty |
DWORD |
1 = 文件元数据已加密。 0 = 元数据以纯文本形式存储。 默认值为 0。 |
指定是否加密存储在权限管理文档中的所有元数据。 |
加密元数据与 Azure 信息保护标签不兼容。 如果使用这些标签,请不要将值设置为 1。
对于 open XML 格式 ((例如 docx、xlsx、pptx 等)) ,用户可以决定加密存储在权限管理文件中的Office元数据,或者将元数据内容保留为未加密,以便其他应用程序(如 Windows 文件服务器中的 FCI 功能)可以访问数据。
用户可以选择通过设置注册表项来加密元数据。 可以通过部署注册表设置为用户设置默认选项。 没有用于加密某些元数据的选项:所有元数据均已加密或未加密。
此外,DRMEncryptProperty 注册表设置无法确定非Office客户端元数据存储(如由 SharePoint Server 2016 创建的元数据)是否已加密。
为Outlook 2016配置 IRM 设置
在Outlook 2016中,用户可以创建和发送具有受限权限的电子邮件,以帮助防止转发、打印或复制邮件。 Office附加到具有受限权限的消息的 2016 文档、工作簿和演示文稿也会自动受到限制。
作为 Microsoft Outlook管理员,可以为 IRM 电子邮件配置多个选项,例如禁用 IRM 或配置本地许可证缓存。
配置权限管理的电子邮件时,以下 IRM 设置和功能可能很有用:
为 IRM 配置自动许可证缓存。
帮助强制实施电子邮件过期期。
请勿使用Outlook验证 IRM 权限的电子邮件地址。
备注
若要在Outlook中禁用 IRM,必须为所有Office应用程序禁用 IRM。 没有单独的选项只能在Outlook中禁用 IRM。
Outlook IRM 设置
可以使用 Microsoft Outlook 组策略 模板 (Outlk) 或 Office 组策略 模板 (Office) ,锁定大多数设置以自定义 IRM for Microsoft Outlook。 或者,可以使用Office自定义工具 (OCT) 为大多数选项配置默认设置,使用户能够配置设置。 OCT 设置位于 OCT 的 “修改用户设置 ”页上的相应位置。
Outlook IRM 选项
| Location | IRM 选项 | 说明 |
|---|---|---|
| Microsoft Outlook 2016\Miscellaneous |
在Exchange文件夹同步期间,请勿下载 IRM 电子邮件的权限许可信息 |
启用可防止在本地缓存许可证信息。 如果启用,用户必须连接到网络以检索许可证信息才能打开权限管理的电子邮件。 这不会影响在服务器上执行的Exchange预许可。 |
| “传递”选项>更多选项>选项 |
发送消息时 |
若要强制实施电子邮件过期,请启用并输入邮件过期前的天数。 仅当用户发送权限管理的电子邮件且过期后无法访问该邮件时,才会强制执行过期时间。 |
Outlook 2016 IRM 注册表项选项
“权限”对话框使用 Microsoft Outlook 验证在该对话框中输入的电子邮件地址。 这会导致 Microsoft Outlook实例在权限受限时启动。 可以使用下表中列出的注册表项禁用此选项。 此选项没有相应的组策略或 OCT 设置。
以下 IRM 注册表设置位于 HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM 中。
Outlook IRM 注册表项选项
| 注册表项 | 类型 | 值 | 说明 |
|---|---|---|---|
| DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Microsoft Outlook 1 = 未使用 Microsoft Outlook |
使用此密钥禁用该选项。 |
2016 Office配置 IRM 的概述
可以使用 Office 2016 管理模板文件 (Office16.admx) 和 Microsoft Outlook 组策略 模板 (Outlk16.admx) 来锁定许多自定义 IRM 的设置。 此外,还有 IRM 配置选项,只能使用注册表项设置进行配置。
在Outlook 2016中,用户可以创建和发送具有受限权限的电子邮件,以帮助防止转发、打印或复制和粘贴邮件。 Office附加到具有受限权限的消息的 2016 文档、工作簿和演示文稿也会自动受到限制。
作为 Microsoft Outlook管理员,可以为 IRM 电子邮件配置多个选项,例如禁用 IRM 或配置本地许可证缓存。 除了默认 的“不转发 ”权限组外,还可以为用户设计自定义 IRM 权限。
准备工作
在开始部署之前,请确定可能需要为 IRM 配置的设置。
可以从 Microsoft 下载中心下载 Office 2016 和Outlook 2016模板,管理模板文件 (ADMX/ADML) Office。
在 2016 Office关闭信息权限管理
可以关闭所有Office应用程序的 IRM。 若要在Outlook 2016中关闭 IRM,必须关闭所有Office应用程序的 IRM。 没有单独的选项可以仅在 Microsoft Outlook 中关闭 IRM。
若要在 2016 Office关闭 IRM,请使用组策略
在组策略中, (Office) 加载 Office 2016 模板并找到 User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Manage Restricted Permissions。
选择 “关闭信息权限管理用户界面”。
选择 “已启用”。
选择"确定"。
为Outlook 2016配置自动许可证缓存
默认情况下,Outlook 2016 Outlook与Exchange Server同步时自动下载权限管理电子邮件的 IRM 许可证。 可以配置Outlook 2016以防止在本地缓存许可证信息。 这会强制用户连接到网络以检索许可证信息,然后才能打开权限管理的电子邮件。
使用组策略禁用 IRM 的自动许可证缓存
在组策略中,加载 Outlook 2016 模板 (Outlk) 并找到 User Configuration\Policies\Administrative Templates\Microsoft Outlook 2016\Miscellaneous。
选择 在Exchange文件夹同步期间不要下载 IRM 电子邮件的权限许可信息。
选择 “已启用”。
选择"确定"。