配置 Azure 信息保护的使用权限

适用于:Azure信息保护、Office 365

相关:AIP 统一标签客户端和经典客户端

注意

为了提供统一且简化的客户体验,Azure 门户中的Azure信息保护经典客户端和标签管理在2021年 3 月 31 日已弃用。 不再提供对经典客户端的进一步支持,并且将不再发布维护版本。

经典客户端将于 2022 年 3 月 31 日正式停用并停止运行。

所有当前的 Azure 信息保护经典客户端客户必须迁移到统一Microsoft 信息保护平台,并升级到统一的标签客户端。 在迁移博客 中了解更多信息

为完整,本文包含 Azure 经典门户中的值,该门户于 2018 年 1 月 8 日停用。

本文介绍用户、管理员或已配置服务选择标签或模板时可配置为自动应用的使用权限。

配置敏感度标签或保护模板进行加密时,将选择使用权限。 例如,可以选择配置使用权限逻辑分组的角色,或单独配置各个权限。 或者,用户可以自行选择并应用使用权限。

重要

使用本文了解应用程序如何解释使用权限。

应用程序实现使用权限时可能有所不同,我们建议在生产中部署之前,咨询应用程序文档并执行自己的测试,以检查应用程序行为。

使用权限和说明

下表列出并描述了权限管理支持的使用权限,以及这些权限的使用和解释方式。 它们按其公用名列出,这通常是显示或引用用法的一种方式,作为代码中使用的单字值的更友好版本 (策略值) 。

在此表中:

  • API 常量或值是 MSIPC API 调用的 SDK 名称,在编写检查使用权限的应用程序或向策略添加使用权限时使用。

  • 标签管理中心是一个Microsoft 365 合规中心,您可以在其中配置敏感度标签。

    如果有经典客户端,可以在 Azure 门户中配置标签和标签策略。

使用权利 说明 实现
公用名: 编辑内容、编辑

策略中的编码 :DOCEDIT
允许用户修改、重新排列、格式化或排序应用程序中的内容。 它不授予保存已编辑副本的权利。

在 Word 中,除非Office 365 专业增强版版本为1807,否则此权限不足以打开或关闭"修订",或者将所有修订功能用作审阅者。 相反,若要使用所有修订选项,需要以下权利: 完全控制
Office权限:作为"更改"和"完全控制"选项的一部分。

Azure 经典门户中的名称: 编辑内容

门户和 Azure Microsoft 365 合规中心中的名称:编辑内容、编辑 (DOCEDIT)

AD RMS 模板中的名称: 编辑

API 常量或值:不适用。
公用名: 保存

策略中的编码: 编辑
允许用户将文档保存到当前位置。

在Office应用程序中,如果所选文件格式原生支持权限管理保护,则此权限还允许用户修改文档并将其保存到新位置和新名称。 文件格式限制可确保无法从文件中删除原始保护。
Office权限:作为"更改"和"完全控制"选项的一部分。

Azure 经典门户中的名称: 保存文件

门户和 Azure 门户Microsoft 365 合规中心名称:保存 (编辑)

AD RMS 模板中的名称: 保存

API 常量或值: IPC_GENERIC_WRITE L"EDIT"
公用名: 注释

策略中的编码 :COMMENT
启用 向内容添加批注或批注的选项。

此权利在 SDK 中提供,作为适用于 Windows PowerShell 的 AzureInformationProtection 和 RMS 保护模块中的临时策略提供,已在某些软件供应商应用程序中实现。 但是,它未广泛使用,并且不受应用程序Office支持。
Office自定义权限:未实现。

Azure 经典门户中的名称:未实现。

门户和 Azure Microsoft 365 合规中心中的名称:未实现。

AD RMS 模板中的名称:未实现。

API 常量或值: IPC_GENERIC_COMMENT L"COMMENT
公用名: 另存为、导出

策略中的编码 :EXPORT
允许选项将内容保存到其他文件名, (另存为) 。

对于 Azure 信息保护客户端,无需保护即可保存文件,也可使用新设置和权限重新保护文件。 这些允许的操作意味着拥有此权限的用户可以在受保护的文档或电子邮件中更改或删除 Azure 信息保护标签。

此权限还允许用户在应用程序中执行其他导出选项,例如"发送到OneNote"。
Office权限:作为"完全控制"选项的一部分。

Azure 经典门户中的名称: 导出内容 (另存为)

门户和 Azure Microsoft 365 合规中心中的名称:另存为、导出 (导出)

AD RMS 模板中的名称: 导出 (另存为)

API 常量或值: IPC_GENERIC_EXPORT L"EXPORT"
公用名: 转发

策略中的编码 :FORWARD
启用"转发电子邮件"和将收件人添加到"收件人"和"抄送"的选项。 此权利不适用于文档;仅电子邮件。

不允许转发器在转发操作中向其他用户授予权限。

授予此权限时,还应授予编辑内容、编辑权限 (公用名) ,并额外授予"保存"权限 (公用名) 以确保受保护的电子邮件不会作为附件传递。 此外,当您向使用应用程序客户端或 Web 应用的另一个组织Outlook指定Outlook权限。 或者,对于组织中因已实施载入控件而免除使用权限管理保护 的用户
Office自定义权限:使用"不转发"标准策略时被拒绝。

Azure 经典门户中的名称: 转发

门户和 Azure 门户Microsoft 365 合规中心名称:转发 (转发)

AD RMS 模板中的名称: 转发

API 常量或值: IPC_EMAIL_FORWARD L"FORWARD"
公用名: 完全控制

策略中的编码 :OWNER
授予对文档的所有权限,并可以执行所有可用操作。

包括删除保护和重新保护文档的能力。

请注意,此使用权利与权限管理 所有者 不同
Office权限:作为"完全控制"自定义选项。

Azure 经典门户中的名称: 完全控制

门户和 Azure Microsoft 365 合规中心中的名称:完全控制 (所有者)

AD RMS 模板中的名称: 完全控制

API 常量或值: IPC_GENERIC_ALL L"OWNER"
公用名: 打印

策略中的编码 :PRINT
启用用于打印内容的选项。 Office权限:作为自定义权限中的"打印内容"选项。 不是按收件人设置。

Azure 经典门户中的名称: 打印

门户和 Azure Microsoft 365 合规中心中的名称:打印 (打印)

AD RMS 模板中的名称: 打印

API 常量或值: IPC_GENERIC_PRINT L"PRINT"
公用名: 回复

策略中的编码 :REPLY
在电子邮件客户端中启用"答复"选项,不允许更改"至"或"抄送"行。

授予此权限时,还应授予编辑内容、编辑权限 (公用名) ,并额外授予"保存"权限 (公用名) 以确保受保护的电子邮件不会作为附件传递。 向使用客户端或 Web 应用的另一个组织发送电子邮件时,Outlook指定Outlook权限。 或者,对于组织中因已实施载入控件而免除使用权限管理保护 的用户
Office自定义权限:不适用。

Azure 经典门户中的名称: 回复

Azure 经典门户中的名称: 回复 (回复)

AD RMS 模板中的名称: 回复

API 常量或值: IPC_EMAIL_REPLY
公用名: 全部答复

策略中的编码 :REPLYALL
电子邮件客户端中启用"全部答复"选项,但不允许用户将收件人添加到"收件人"或"抄送"行。

授予此权限时,还应授予编辑内容、编辑权限 (公用名) ,并额外授予"保存"权限 (公用名) 以确保受保护的电子邮件不会作为附件传递。 向使用客户端或 Web 应用的另一个组织发送电子邮件时,Outlook指定Outlook权限。 或者,对于组织中因已实施载入控件而免除使用权限管理保护 的用户
Office自定义权限:不适用。

Azure 经典门户中的名称: 全部答复

门户和 Azure 门户Microsoft 365 合规中心名称:全部答复 (全部答复)

AD RMS 模板中的名称: 全部答复

API 常量或值: IPC_EMAIL_REPLYALL L"REPLYALL"
公用名: 视图、打开、读取

策略中的编码 :VIEW
允许用户打开文档并查看内容。

在Excel中,此权限不足以对数据进行排序,这需要以下权限:编辑内容、编辑。 若要筛选数据Excel,需要以下两个权限:"编辑内容"和"编辑"和"复制"。
Office权限:作为"读取自定义策略"的"查看"选项。

Azure 经典门户中的名称: 查看

门户和 Azure Microsoft 365 合规中心中的名称:查看、打开、 (查看)

AD RMS 模板中的名称: 读取

API 常量或值: IPC_GENERIC_READ L"VIEW"
公用名: 复制

策略中的编码 :EXTRACT
允许选项将数据复制到 (,包括从) 文档复制到同一文档或其他文档的屏幕截图。

在某些应用程序中,它还允许以未受保护的形式保存整个文档。

在Skype for Business类似的屏幕共享应用程序中,演示者必须有权成功演示受保护的文档。 如果演示者没有此权利,与会者将无法查看文档,并且文档会显示为被黑屏。
Office权限:作为"允许具有读取访问权限的用户复制内容自定义策略"选项。

Azure 经典门户中的名称: 复制和提取内容

门户和 Azure Microsoft 365 合规中心中的名称:复制 (EXTRACT)

AD RMS 模板中的名称: 提取

API 常量或值: IPC_GENERIC_EXTRACT L"EXTRACT"
公用名: 查看权限

策略中的编码 :VIEWRIGHTSDATA
允许用户查看应用于文档的策略。

不支持Office Azure 信息保护客户端。
Office自定义权限:未实现。

Azure 经典门户中的名称: 查看分配权限

门户和 Azure Microsoft 365 合规中心中的名称:查看权限 (VIEWRIGHTSDATA) 。

AD RMS 模板中的名称: 查看权限

API 常量或值: IPC_READ_RIGHTS L"VIEWRIGHTSDATA"
公用名: 更改权限

策略中的编码 :EDITRIGHTSDATA
允许用户更改应用于文档的策略。 包括删除保护。

不支持Office Azure 信息保护客户端。
Office自定义权限:未实现。

Azure 经典门户中的名称: 更改权限

门户和 Azure 门户Microsoft 365 合规中心名称:编辑编辑权限 (EDITRIGHTSDATA) 。

AD RMS 模板中的名称: 编辑权限

API 常量或值: PC_WRITE_RIGHTS L"EDITRIGHTSDATA"
公用名: 允许宏

策略中的编码 :OBJMODEL
允许选项运行宏或对文档中的内容执行其他编程或远程访问。 Office权限:作为"允许以编程方式访问自定义策略"选项。 不是按收件人设置。

Azure 经典门户中的名称: 允许宏

门户和 Azure Microsoft 365 合规中心中的名称:允许将宏 (OBJMODEL)

AD RMS 模板中的名称: 允许宏

API 常量或值:未实现。

权限级别中包含的权限

某些应用程序将使用权限分组到权限级别,以便更轻松地选择通常一起使用的使用权限。 这些权限级别有助于从用户抽象化复杂性级别,以便用户可以选择基于角色的选项。 例如,"审阅者"和"共同创作"。 虽然这些选项通常向用户显示权限摘要,但可能不包含上表中列出的所有权利。

使用下表查看这些权限级别的列表及其包含的使用权限的完整列表。 使用权限按其公用名 列出

权限级别 应用程序 包含的使用权限
查看器 Azure 经典门户

Azure 门户

适用于 Windows 的 Azure 信息保护客户端
视图、打开、读取;查看权限;回复 [1];全部答复 [1];允许宏 [2]

注意:对于电子邮件,请使用"审阅者"而不是此权限级别来确保电子邮件答复作为电子邮件而不是附件接收。 将电子邮件发送到使用客户端或 Web 应用的另一Outlook时,Outlook审阅者。 或者,对于组织中因已实施载入控件而免除使用 Azure Rights Management 服务 的用户
审阅者 Azure 经典门户

Azure 门户

适用于 Windows 的 Azure 信息保护客户端
视图、打开、读取;保存;编辑内容、编辑;查看权限;回复:全部答复 [3];Forward [3];允许宏 [2]
共同创作 Azure 经典门户

Azure 门户

适用于 Windows 的 Azure 信息保护客户端
视图、打开、读取;保存;编辑内容、编辑;复制;查看权限;允许宏;另存为,导出 [4];打印;回复 [3];全部答复 [3];转发 [3]
共同所有者 Azure 经典门户

Azure 门户

适用于 Windows 的 Azure 信息保护客户端
视图、打开、读取;保存;编辑内容、编辑;复制;查看权限;更改权限;允许宏;另存为、导出;打印;回复 [3];全部答复 [3];Forward [3];完全控制
脚注 1

不包括在 Microsoft 365 合规中心 或 Azure 门户中。

脚注 2

对于适用于 Windows 的 Azure 信息保护客户端,此权限是应用内信息保护Office项。

脚注 3

不适用于 Azure 信息保护客户端Windows。

脚注 4

不包括在 Microsoft 365 合规中心、Azure 门户或 Azure 信息保护客户端中,Windows。

电子邮件的"不转发"选项

Exchange客户端和服务 (例如,Outlook 客户端、Outlook 网页版、Exchange 邮件流规则和 Exchange) 的 DLP 操作具有针对电子邮件的其他信息权限保护选项:不转发

尽管此选项向用户 (Exchange管理员) ,就像用户可以选择的默认权限管理模板一样,"不转发"不是模板。 这解释了为何在查看和管理保护模板时无法在 Azure 门户中看到它。 相反 ,"不转发 "选项是由用户动态应用到其电子邮件收件人的一组使用权限。

"不 转发"选项应用于电子邮件时,电子邮件会加密,且收件人必须经过身份验证。 然后,收件人无法转发、打印或复制。 例如,在 Outlook 客户端中,"转发"按钮不可用,"另存为"和"打印"菜单选项不可用,并且您无法在"收件人"、抄送或"密件抄送"框中添加或更改收件人。

Office附加到电子邮件的文档会自动继承相同的限制。 应用于这些文档的使用权限包括"编辑内容"和"编辑";保存;查看、打开、读取;和"允许宏"。 如果您希望对附件使用不同的使用权限,或者您的附件不是支持Office继承保护的附件文档,请保护该文件,然后再将其附加到电子邮件。 然后,可以分配文件所需的特定使用权限。

不转发和未授予转发使用权利的区别

应用"不转发"选项与应用不向电子邮件授予转发使用权限的模板有一个重要区别:"不转发"选项使用基于用户所选原始电子邮件收件人的动态授权用户列表; 而模板中的权利具有管理员以前指定的已授权用户的静态列表。 区别是什么? 让我们以一个示例为例:

用户希望向市场营销部门中的特定人员发送不应与任何人共享的一些信息。 她应该使用模板来保护电子邮件,该模板 (查看、答复和保存) 市场营销部门? 或者她应选择" 不转发" 选项? 这两个选项都会导致收件人无法转发电子邮件。

  • 如果应用了模板,收件人仍可以与营销部门中的其他人共享信息。 例如,收件人可以使用资源管理器将电子邮件拖放到共享位置或 U 盘。 现在,营销部门的任何人 (有权访问此位置) 电子邮件所有者都可以查看电子邮件中的信息。

  • 如果应用了" 转发"选项,收件人将无法通过将电子邮件移动到其他位置来与营销部门中的其他人共享信息。 在这种情况下,只有原始收件人 (和电子邮件所有者) 才能查看电子邮件中的信息。

注意

只有 发件人选择的收件人才能在电子邮件中查看信息时,请使用"不转发"。 使用电子邮件模板将权限限制为管理员事先指定的一组人员,独立于发件人选择的收件人。

电子邮件的"仅加密"选项

当Exchange Online新的加密功能Office 365 邮件加密,新的"加密电子邮件"选项将变为可用,用于加密数据而不进行其他限制。

此选项适用于使用Exchange Online的租户,可以选择如下:

  • 在Outlook 网页版"加密"选项或为"允许用户分配权限"和"仅加密"选项配置的敏感度标签
  • 作为邮件流规则的另 一个权限保护选项
  • 作为一Office 365 DLP 操作
  • 从Outlook和移动设备的移动应用:
    • 对于Windows、macOS、iOSAndroid,使用内置标签以及Outlook 中敏感度标签功能的表中列出的最低版本时,为 Windows、macOS、iOS 和 Android 配置了"允许用户分配权限"和"仅加密"选项的敏感度标签。
    • 使用Windows 和 macOS 上的"加密"选项,当具有支持 Azure Rights Management的 Microsoft 365 应用时,通过更新频道 针对Microsoft 365 应用版支持的版本表中列出的版本。

有关仅加密选项的信息,请参阅以下博客文章,该文章最初由 Office 团队发布:仅加密在 Office 365 邮件加密 中推出

选择此选项后,电子邮件将加密,且收件人必须经过身份验证。 然后,收件人具有除"另存为"、" 导出 "和"完全控制" 之外的所有使用权限。 这种使用权限组合意味着收件人没有限制,只是他们无法删除保护。 例如,收件人可以从电子邮件复制、打印和转发。

同样,默认情况下,未受保护的Office附加到电子邮件的文档将继承相同的权限。 这些文档会自动受到保护,下载后,收件人可以从应用程序保存、编辑、复制Office打印这些文档。 当文档由收件人保存时,可保存为新名称甚至其他格式。 但是,只有支持保护的文件格式才可用,因此在未进行原始保护的情况下无法保存文档。 如果您希望对附件使用不同的使用权限,或者您的附件不是支持Office继承保护的附件文档,请保护该文件,然后再将其附加到电子邮件。 然后,可以分配文件所需的特定使用权限。

或者,可以通过使用 PowerShell 指定 来更改文档的此 Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $trueSet-IRMConfiguration -DecryptAttachmentForEncryptOnly $true。 在用户进行身份验证后不需要保留文档的原始保护时,请使用此配置。 收件人打开电子邮件时,文档不受保护。

如果需要附加文档来保留原始保护,请参阅使用 Azure 信息保护 保护文档协作

注意

如果看到对 DecryptAttachmentFromPortal的引用,则此参数现在已弃用 Set-IRMConfiguration。 除非之前设置了此参数,否则它不可用。

使用文件自动加密 PDF Exchange Online

如果Exchange Online加密电子邮件的新功能Office 365 邮件加密,则当未受保护的 PDF 文档附加到加密电子邮件时,可以自动加密这些文档。 文档继承的权限与电子邮件的权限相同。 若要启用此配置,请设置 EnablePdfEncryption $TrueSet-IRMConfiguration

尚未安装支持 PDF 加密的 ISO 标准的阅读器的收件人可以安装PDF阅读器中列出的支持此加密的一Microsoft 信息保护。 或者,收件人可以在 OME 门户中阅读受保护的 PDF 文档。

权限管理颁发者和权限管理所有者

使用 Azure Rights Management 服务保护文档或电子邮件时,保护该内容的帐户会自动成为该内容的权利管理颁发者。 此帐户记录为使用情况 日志中 的颁发 者字段

始终为权限管理颁发者授予文档或电子邮件的完全控制使用权限,此外:

  • 如果保护设置包含到期日期,则权限管理颁发者仍可以在该日期之后打开和编辑文档或电子邮件。

  • 权限管理颁发者始终可以脱机访问文档或电子邮件。

  • 权限管理颁发者在吊销文档后仍可以打开文档。

默认情况下,此帐户也是该内容的权利管理所有者,这是创建文档或电子邮件的用户启动保护时的情况。 但在某些情况下,管理员或服务可以代表用户保护内容。 例如:

  • 管理员对文件共享上的文件进行批量保护:Azure AD管理员帐户保护用户的文档。

  • 权限管理连接器Office Windows Server 文件夹中的文档:Azure AD 中为 RMS 连接器创建的服务主体帐户保护用户的文档。

在这些情况下,权限管理颁发者可以使用 Azure 信息保护 SDK 或 PowerShell 将权限管理所有者分配给另一个帐户。 例如,将 Protect-RMSFile PowerShell cmdlet 与 Azure 信息保护客户端一起使用时,可以指定 OwnerEmail 参数,将权限管理所有者分配到其他帐户。

当权限管理颁发者代表用户进行保护时,分配权限管理所有者可确保原始文档或电子邮件所有者对受保护内容具有与自己启动保护相同的控制级别。

例如,创建文档的用户可以打印文档,即使它现在使用不包含"打印"用法权限的模板进行保护。 无论脱机访问设置或可能已在该模板中配置的到期日期是什么,同一用户始终可以访问其文档。 此外,由于权限管理所有者具有"完全控制"使用权限,因此此用户还可以重新保护文档以向其他用户授予访问权限 (此时,该用户将成为权限管理颁发者以及权限管理所有者) ,并且此用户甚至可以删除保护。 但是,只有 Rights Management 颁发者可以跟踪和吊销文档。

文档或电子邮件的 Rights Management 所有者记录为使用情况日志中的所有者-电子邮件字段

注意

权限管理所有者独立于Windows所有者。 它们通常相同,但可能不同,即使不使用 SDK 或 PowerShell。

Rights Management 使用许可证

当用户打开受 Azure 权限管理保护的文档或电子邮件时,会向用户授予该内容的权限管理使用许可证。 此使用许可证是一个证书,其中包含用户对文档或电子邮件的使用权限,以及用于加密内容的加密密钥。 如果已设置到期日期,则使用许可证还包含到期日期,以及使用许可证的有效期。

除了权限帐户证书 (RAC) 之外,用户还必须具有有效的使用许可证才能打开内容,该证书是在初始化用户环境后每 31 天续订一次时授予的证书。

在使用许可证期间,不会为用户重新进行身份验证或重新授权内容。 这样,用户无需 Internet 连接即可继续打开受保护的文档或电子邮件。 使用许可证有效期到期后,下次用户访问受保护的文档或电子邮件时,用户必须重新进行身份验证和重新授权。

使用标签或定义保护设置的模板保护文档和电子邮件时,可以在标签或模板中更改这些设置,而无需重新保护内容。 如果用户已访问内容,则更改将在其使用许可证过期后生效。 但是,当用户应用自定义权限 (也称为临时权限策略) 并且这些权限需要在文档或电子邮件受保护后更改,则必须使用新权限再次保护该内容。 电子邮件的自定义权限通过"不转发"选项实现。

租户的默认使用许可证有效期为 30 天,可以使用 PowerShell cmdlet Set-AipServiceMaxUseLicenseValidityTime配置此值。 可以使用敏感度标签或模板为应用保护时配置更严格的设置:

  • 配置敏感度标签时,使用许可证有效期会从"允许脱机访问 "设置获取其 值。

    有关配置此设置的信息和指南,请参阅有关如何为权限管理保护配置标签的说明中有关保护设置的信息表。

  • 使用 PowerShell 配置模板时,使用许可证有效期会从Set-AipServiceTemplatePropertyAdd-AipServiceTemplate cmdlet 中的LicenseValidityDuration参数获取其值。

    有关使用 PowerShell 配置此设置的信息和指南,请参阅每个 cmdlet 的帮助。

默认模板中包含的权限

相关:仅 AIP 经典客户端

下表列出了创建默认模板时包含的使用权限。 使用权限按其公用名 列出

这些默认模板是在购买订阅时创建的,可以在 Azure 门户和 PowerShell 中更改名称和使用权限

模板的显示名称 使用权利:2017 年 10 月 6 日到当前日期 2017 年 10 月 6 日之前的使用权利
组织名称 - 仅机密视图



高度机密 \ 所有员工
视图、打开、读取;复制;查看权限;允许宏;打印;转发;回复;全部答复;保存;编辑内容,编辑 查看、打开、阅读
组织名称 - 机密



机密 \ 所有员工
视图、打开、读取;另存为、导出;复制;查看权限;更改权限;允许宏;打印;转发;回复;全部答复;保存;编辑内容、编辑;完全控制 视图、打开、读取;另存为、导出;编辑内容、编辑;查看权限;允许宏;转发;回复;全部答复

另请参阅