规划 Office 2013 中的信息权限管理

 

适用于: Office 2013, Office 365 ProPlus

上一次修改主题: 2017-09-08

摘要:使用 Office 2013 中的信息权限管理 (IRM) 来指定访问和使用敏感文档和邮件所需的权限。

目标用户: IT 专业人员

本文概括地介绍了 IRM 技术及其在 Office 应用程序中的工作方式,并提供了一些详细说明有关如何设置和安装所需的软件以在 Office 2013 中实现 IRM 的链接。

重要说明重要说明:
本文是面向 IT 专业人员的 对于 Office 2013 标识、身份验证和授权的路线图的一部分。可以使用该指南作为起点来获取可帮助您评估 Office 2013 标识的文章、下载、海报和视频。
您是否要查找有关单独 Office 2013 应用程序的帮助信息?您可以搜索 Office.com 以查找此信息。

本文内容:

  • IRM 概述

  • IRM 在 Office 2013 中的工作方式

  • 针对 Office 2013 设置 IRM

  • 针对 Office 2013 配置 IRM 设置

  • 针对 Outlook 2013 配置 IRM 设置

IRM 概述

Azure Rights Management 和 Active Directory Rights Management 是来自 Microsoft 的持久性文档级别信息保护技术。这些技术使用权限和授权帮助防止未经授权的用户打印、转发或复制敏感信息,或者未经授权的人员访问敏感信息。使用此技术限制文档或邮件的权限后,使用限制就会遍布该文档或电子邮件,如同文件内容的一部分。Microsoft Office 使用信息权限管理 (IRM) 功能实现对这些技术的支持。

注意注意:
Office Professional Plus 2013 中以及 Excel 2013、Outlook 2013、PowerPoint 2013、InfoPath 2013 和 Word 2013 的独立版本中提供使用 IRM 创建权限受限的文档或电子邮件的功能。可在 Office 2007、Office 2010 或 Office 2013 中查看在 Office 2013 中创建的 IRM 内容。
若要详细了解 Office 2013、Office 2010、Office 2007 中支持的 IRM 及 Active Directory 权限管理服务 (AD RMS) 功能,请参阅 AD RMS and Microsoft Office Deployment Considerations(AD RMS 和 Microsoft Office 部署注意事项)。若要了解 IRM 和 Azure RMS,请参阅应用程序如何支持 Azure 权限管理,以及 Azure 权限管理是什么

Office 2013 对 IRM 的支持满足了组织和知识工作者的两个基本需求:

  • 敏感信息的受限权限   IRM 有助于保护敏感信息不被未经授权进行访问和重用。组织依靠防火墙、与登录安全相关的措施和其他网络技术帮助保护敏感的知识产权。使用这些技术的基本局限是有权访问信息的合法用户可以与未经授权的用户共用访问权限。这样做有可能破坏安全策略。

  • 信息隐私、控制和完整性   信息工作人员经常会处理机密或敏感信息。通过使用 IRM,员工不必依赖其他人的判断即可确保敏感材料留在公司内部。IRM 通过帮助禁用权限受限的文档和邮件中的转发、复制或打印功能,防止用户对机密信息使用这些功能。

对于信息技术 (IT) 管理员,IRM 有助于强制实施在文档保密性、工作流和电子邮件保留等方面的现有企业策略。对于执行官和安全官,IRM 降低了重要公司信息落入不当人员之手的风险,无论是意外、疏忽还是预谋。

IRM 在 Office 2013 中的工作方式

Office 用户通过使用“文件”菜单中的选项向邮件或文档应用权限;例如,通过使用“信息”、“保护文档”下的“限制访问”命令。可用的保护选项基于可以为组织自定义的权限策略模板。权限策略模板是在用户可以应用于其文档的预定义策略中一起打包的 IRM 权限组。 Office 2013 还提供了一个预定义的“不要转发”选项,该选项向电子邮件收件人授予特定权限。若要了解有关权限策略模板的详细信息,请参阅为 Azure Rights Management 配置自定义模板

注意注意:
除了使用 Office“文件”菜单中的选项,用户还可以在安装适用于 Windows 的 Rights Management 共享应用程序时从 Office 功能区选择“共享保护”。此应用程序还支持其他功能,例如能够跟踪共享文档的使用情况。有关详细信息,请参阅适用于 Windows 的 Rights Management 共享应用程序

要对 Office 2013 中的文档进行 IRM 保护,您必须具有内部部署 AD RMS 服务器或 Azure RMS 订阅,不管是作为 Office 365 的一部分还是作为独立服务。

在有 RMS 服务器的环境中使用 IRM

在组织中启用 IRM 需要访问运行 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 的 Active Directory Rights Management Services (AD RMS) 的计算机或者访问订阅了 Azure RMS 的云租户。通过使用身份验证(通常是通过使用 Active Directory Domain Services (AD DS) 或 Azure Active Directory)强制实施权限。

组织可以通过创建权限策略模板定义在 Office 应用程序中显示的权限策略。例如,可以定义称为“市场机密”的权限策略模板,指定仅该部门内部的用户可以打开使用该策略的文档或电子邮件。虽然可以创建的权限策略数目没有限制,但 Office 一次最多只能显示 20 个策略模板。Azure Rights Management 提供了两个预定义的组织范围的模板,您可以在其中添加您自己的自定义模板,也可以根据需要禁用这些模板。

注意注意:
SharePoint 支持对存储在文档库中的文档自动应用 IRM 策略。通过使用该选项,可以控制用户从 SharePoint 的库中打开文档时对文档可以采取的操作。相比之下,IRM 应用于存储在客户端计算机上的文档时,文档的所有者可以选择向文档的每个用户指派何种权限。有关如何对文档库使用 IRM 的详细信息,请参阅文档库规划 (SharePoint Foundation 2010)

利用 Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 上的 AD RMS,用户可以在具有联合信任关系的公司之间共享受权限保护的文档。有关详细信息,请参阅 Active Directory 权限管理服务概述联合 AD RMS。借助 Azure RMS,可以利用内置的在组织之间安全协作功能,无需完成任何特殊配置。

虽然无需在电子邮件服务器中进行任何特殊配置,即可在 Outlook 2013 中创建并使用受保护的电子邮件,但 Exchange Server 2013 还提供了受 IRM 保护的电子邮件功能,包括适用于统一消息语音邮件的 RMS 保护,以及可以在 Outlook 2013 中的邮件离开 Outlook 客户端之前自动对它们应用 IRM 保护的 Outlook 保护规则。此外,在 Exchange Server 中启用 IRM 集成,用户还可以在 Outlook Web App 以及启用了 Exchange ActiveSync IRM 的移动设备中创建和使用受保护的电子邮件。有关详细信息,请参阅 Exchange 2013 中的新增功能了解信息权限管理

针对 Office 2013 设置 IRM

将 IRM 权限应用于文档或电子邮件时要求以下各项:

  • 访问 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2 的 AD RMS,或者访问 Azure Rights Management 以便获取使用内容的许可证。

  • 权限管理客户端软件。此客户端软件包含在 Windows Vista 或更高版本中。Rights Management 共享应用程序提供了增强 Office 中的 IRM 功能的可选附加项。

  • Microsoft Office 2007、Office 2010 或 Office 2013 。只有特定版本的 Office 才允许用户创建 IRM 权限。

设置 RMS 服务器访问

AD RMS 和 Azure RMS 管理许可以及与 IRM 结合使用以为 Office 2013 等客户端应用程序提供权限管理的其他服务器功能。启用了 RMS 的客户端程序(例如 Office 2013)使用户能够创建和查看受权限保护的内容。

若要了解 RMS 的工作方式以及如何安装和配置 RMS 服务器或者启用基于云的 Azure RMS 的详细信息,请参阅 Microsoft Rights Management Services 主页

安装权限管理客户端软件

Windows Vista、Windows 7、Windows 8 和 Windows 8.1 中包括的 RMS 客户端软件。为了使用 RMS 共享应用程序在 Office 中启用其他 IRM 功能,用户可以自行安装或者管理员可以为用户自动进行部署。

为 Office 2013 定义和部署权限策略模板

与 Office 2007 和 Office 2010 中一样,Office 2013 包括让用户对文档和邮件应用各项权限(例如 Word 2013、Excel 2013 和 PowerPoint 2013 中的“读取”和“更改”)的选项。在 Outlook 中,您可以使用“不要转发”选项来秘密共享电子邮件,仅向邮件的预期收件人授予有限权限。您还可以为组织定义自动部署到客户端的自定义权限策略模板,这样用户只需单击一次即可应用这些模板。

通过使用 RMS 或 AD RMS 服务器上的管理网站来创建和管理权限策略模板。有关如何创建、配置和发布自定义权限策略模板的信息,请参阅 AD RMS Rights Policy Templates Deployment Step-by-Step Guide(AD RMS 权限策略模板部署分步指南)。有关 Exchange Server 2010Outlook 保护规则,请参阅了解 Outlook 保护规则

针对 Office 2013 可以包括在权限策略模板中的权限在以下各节中列出。

IRM 权限

下表中列出的每个 IRM 权限可由配置为与 Azure RMS 或 AD RMS 一起使用的 Office 2013 应用程序强制实施。

IRM 权限

IRM 权限 说明

完全控制

授予用户此表中列出的每个权限,以及对与内容关联的权限进行更改的权限。过期不适用于具有完全控制权限的用户。

视图

允许用户打开 IRM 内容。此权限对应于 Office 2013 用户界面中的读取权限。

编辑

允许用户修改文档的内容。这包括对 Excel 中的内容进行排序和筛选的功能。

保存

允许用户保存文件。

提取

允许用户制作文件任何部分的副本并将该部分文件粘贴到另一个应用程序的工作区中。

导出

允许用户使用“另存为”命令将内容保存为其他文件格式。根据使用所选文件格式的应用程序,可能不加保护地保存内容。

印刷品

允许用户打印文件的内容。

允许宏

允许用户对文件的内容运行宏,以及以编程方式对其它应用程序中的内容进行访问并链接到工作表中的内容。

转发

允许电子邮件收件人转发 IRM 电子邮件,并在“收件人:”或“抄送:”行中添加或删除收件人。此权限并不意味着能够向其他用户授予权限,即使某用户转发了内容,但如果模板未授予该用户权限,那么也会阻止该用户打开此内容。不在模板中授予此权限并不等于在 Outlook 中使用“不要转发”选项,因为该选项只对电子邮件“收件人:”或“抄送:”行中指定的用户授予权限。

答复

允许电子邮件收件人对 IRM 电子邮件作出答复。

全部答复

允许电子邮件收件人对 IRM 电子邮件的“收件人:”和“抄送:”行上的所有用户作出答复。

查看权限

授予用户查看与文件关联的权限的相关权限。Office 将忽略此权限。

权限的预定义组

Office 2013 提供以下预定义的权限组,用户可以在创建 IRM 内容时从这些预定义组中进行选择。Word 2013、Excel 2013 和 PowerPoint 2013 的“权限”对话框中提供了这些选项。在 Office 应用程序中,依次选择“文件”选项卡、“信息”、“保护文档”按钮和“限制访问”,然后从列出的由权限管理服务器或服务填充的权限策略模板中进行选择,或者选择“限制访问”,从而使您可以为每个单个用户选择其中一个预定义的权限组。

预定义的读取/更改权限组

IRM 预定义组 说明

读取

具有“读取”权限的用户具有“查看”权限。

更改

具有“更改”权限的用户具有“查看”、“编辑”、“提取”和“保存”权限。

在 Outlook 2013 中,用户可以在创建电子邮件项时选择以下预定义权限组。若要访问电子邮件项中的选项,请依次选择“文件”、“信息”和“设置权限”。接下来,从列出的由权限管理服务器或服务填充的权限策略模板中进行选择,或者选择“不要转发”,实现以下权限。

预定义的“不要转发”组

IRM 预定义组 说明

不要转发

在 Outlook 中,电子邮件的“不要转发”授予“收件人:”、“抄送:”以及“密送:”行中的用户“查看”、“编辑”、“答复”和“全部答复”权限。

高级权限

在 Word 2013 中,可以为部分文档指定其他 IRM 权限。从“信息” 、“保护文档”中,选择“限制编辑”,并选择“更多用户”选项添加具有编辑文档指定部分的权限的用户。对于更多限制选项,请选择“限制编辑”面板底部的“限制权限”。例如,用户可以指定到期日期、限制其他用户打印或复制内容等。

针对 Office 2013 配置 IRM 设置

您可以锁定很多设置以使用 Office 组策略模板 (Office15.admx) 自定义 IRM。使用此组策略模板在 Active Directory 中配置组策略对象,不应与本文档中已经介绍的权限策略模板混淆。还可以使用 Office 自定义工具 (OCT) 来配置默认设置,这样可以使用户能够配置设置。此外,有一些 IRM 配置选项只能通过使用注册表项设置来配置。

Office 2013 IRM 设置

下表中列出了可以在组策略中以及可以通过使用 OCT 配置的 IRM 设置。在组策略中,这些设置位于“用户配置\管理模板\Microsoft Office 2013\管理受限权限”下。OCT 设置位于 OCT 的“修改用户设置”页上相应的位置。

针对组策略或 OCT 的 IRM 设置

IRM 选项 说明

查询一个组展开条目的 Active Directory 超时时间

指定展开组时查询 Active Directory 条目的超时值。

附加权限请求 URL

使用此客户端中的受保护内容时指定用户可从中获取有关如何访问 IRM 内容的详细信息的位置。

限制文档权限时始终在 Office 中展开组

用户在“权限”对话框中选择组名以将权限应用于文档时,将自动展开组名以显示该组的所有成员。

始终要求用户进行连接以验证权限

打开权限管理 Office 文档的用户必须连接到 RMS 服务以验证是否仍授权他们通过获取新的 IRM 许可证来使用内容。

限制文档权限时始终不允许用户指定组

当用户在“权限”对话框中选择组时,返回一个错误:“您无法将内容发布到通讯组列表。只能为单独用户指定电子邮件地址”。

禁止用户更改权限管理内容的权限

如果启用,则用户可以使用已包含 IRM 权限的内容,但不能将 IRM 权限应用于新的内容,也不能配置对文档的权限。

关闭信息权限管理用户界面

在所有 Office 应用程序的用户界面中禁用与权限管理相关的所有选项。

有关如何自定义这些设置的详细信息,请参阅在 Office 2013 中配置信息权限管理

Office 2013 IRM 注册表项选项

下表中列出了可在注册表中为 IRM 配置的设置。

下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\15.0\Common\DRM 中。

IRM 注册表项选项

注册表项 类型 说明

RequestPermission

DWORD

1 = 此框处于选中状态。

0 = 此框处于清除状态。

此注册表项将切换“用户可以从此处请求附加权限”复选框的默认值。

DoNotUseOutlookByDefault

DWORD

0 = 使用 Outlook

1 = 不使用 Outlook

“权限”对话框使用 Outlook 验证在该对话框中输入的电子邮件地址。这将导致在限制权限时启动一个 Outlook 实例。请使用此注册表项禁用该选项。

下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\15.0\Common\DRM\LicenseServers 中。没有对应的组策略设置。

针对许可证服务器的 IRM 注册表设置

注册表项 类型 说明

LicenseServers

键/配置单元。包含具有许可证服务器名称的 DWORD 值。

设置为服务器 URL。如果 DWORD 的值为 1,则 Office 将不提示获取许可证(它将自动获得许可证)。

如果值为零或者没有该服务器的注册表项,则 Office 将提示获取许可证。

示例:如果“http://contoso.com/_wmcs/licensing = 1”是此设置的值,则尝试从该服务器获取许可证以打开权限管理文档的用户将不会被提示获取授权。这与选择请求在首次使用内容时不再次被通知这一复选框的用户相同。

下面的 IRM 注册表设置位于 HKCU\Software\Microsoft\Office\15.0\Common\Security 中。没有对应的组策略设置。

针对安全的 IRM 注册表设置

注册表项 类型 说明

DRMEncryptProperty

DWORD

1 = 对文件元数据进行加密。

0 = 以明文形式存储元数据。默认值为 0。

指定是否对存储在权限管理文档内的所有元数据进行加密。

加密元数据与 Azure 信息保护标签不兼容。如果使用这些标签,请勿将值设置为 1。

对于 Open XML 格式(例如 docx、xlsx、pptx 等),用户可以决定对存储在受权限管理文件内的 Office 元数据进行加密。或将元数据内容保留为未加密以便其他应用程序(如 Windows File Server 中的 FCI 功能)能够访问数据。

用户可以选择通过设置注册表项来对元数据进行加密。您可以通过部署注册表设置为用户设置默认选项。没有用于对部分元数据进行加密的选项:要么对所有元数据进行加密,要么不对任何元数据进行加密。

此外,DRMEncryptProperty 注册表设置不会确定非 Office 客户端元数据存储(例如 SharePoint 2013 创建的元数据)是否已加密。

针对 Outlook 2013 配置 IRM 设置

在 Outlook 2013 中,用户可以创建和发送具有受限权限的电子邮件,以防止邮件被转发、打印或复制。附加到具有受限权限的邮件的 Office 2013 文档、工作簿和演示文稿也将自动受到限制。

作为 Outlook 管理员,您可以为 IRM 电子邮件配置若干选项,例如禁用 IRM 或配置本地许可证缓存。

在配置权限管理电子邮件传递时,可以使用以下 IRM 设置和功能:

  • 为 IRM 配置自动许可证缓存。

  • 帮助强制实施电子邮件过期期限。

  • 不要使用 Outlook 来验证电子邮件地址的 IRM 权限。

注意注意:
若要在 Outlook 中禁用 IRM,您必须为所有 Office 应用程序禁用 IRM。没有单独的选项用于仅在 Outlook 中禁用 IRM。

Outlook 2013 IRM 设置

可以使用 Outlook 组策略模板 (Outlk15.admx) 或 Office 组策略模板 (Office15.admx) 锁定大多数为 Outlook 自定义 IRM 的设置。或者,可以使用 Office 自定义工具(OCT,使用户能够配置设置)配置大多数选项的默认设置。OCT 设置位于 OCT 的“修改用户设置”页上相应的位置。

Outlook IRM 选项

位置 IRM 选项 说明

Microsoft Outlook 2013\Miscellaneous

在 Exchange 文件夹同步期间,不下载 IRM 电子邮件的权限许可证信息

启用以防止通过本地方式缓存许可证信息。如果启用,则用户必须连接到网络检索许可证信息才能打开权限管理电子邮件。这不会影响在服务器级别执行的 Exchange 预许可。

Microsoft Outlook 2010\Outlook Options\Email Options\ Advanced Email Options

发送邮件时

若要强制电子邮件过期,请启用并输入邮件过期前的天数。只有当用户发送受权限管理的电子邮件时才强制实施过期期限,在过期期限过后,将无法访问邮件。

有关如何自定义这些设置的详细信息,请参阅在 Office 2013 中配置信息权限管理

Outlook 2013 IRM 注册表项选项

“权限”对话框使用 Outlook 验证在该对话框中输入的电子邮件地址。这会导致在权限受限时启动一个 Outlook 的实例。您可以通过下表中所列的注册表项禁用此选项。此选项没有对应的组策略或 OCT 设置。

以下 IRM 注册表设置位于 HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM 中。

Outlook IRM 注册表项选项

注册表项 类型 说明

DoNotUseOutlookByDefault

DWORD

0 = 使用 Outlook

1 = 不使用 Outlook

请使用此注册表项禁用该选项。

另请参阅

对于 Office 2013 标识、身份验证和授权的路线图

Active Directory Rights Management Services
了解信息权限管理
规划文档库 (Windows SharePoint Services)