規劃 Office 2013 的資訊版權管理
適用版本: Office 2013, Office 365 ProPlus
上次修改主題的時間: 2017-09-08
摘要:使用 Office 2013 中的資訊版權管理 (IRM),指定存取和使用敏感文件及訊息的權限。
對象: IT 專業人員
本文摘要說明 IRM 技術及其在 Office 應用程式中的運作方式,以及如何設定及安裝必要軟體,以便在 Office 2013 中實作 IRM 的詳細資訊連結。
.gif "重要事項") 重要事項: |
|---|
| 本文為適用於 IT 專業人員的<Office 2013 身分識別、驗證及授權的藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 身分識別之文章、下載檔、海報及影片的起點。 您在尋找有關個別 Office 2013 應用程式的說明嗎?在 Office.com 上進行搜尋,即可找到此資訊。 |
本文內容:
IRM 概觀
IRM 在 Office 2013 中的運作方式
為 Office 2013 設定 IRM
設定 Office 2013 的 IRM 設定
設定 Outlook 2013 的 IRM 設定
IRM 概觀
Azure Rights Management 和 Active Directory Rights Management 是 Microsoft 所提供的永續性文件層級資訊保護技術。這兩種技術使用權限和授權來協助避免敏感資訊遭到授權使用者列印、轉寄或複製,或遭到未經授權人士存取。使用這項技術限制文件或電子郵件訊息的權限之後,它們在做為檔案內容一部分時,這些使用限制會一直伴隨著它們。Microsoft Office 透過使用資訊版權管理 (IRM) 功能,來支援這兩種技術。
.gif "注意事項") 附註: |
|---|
| 下列軟體提供使用 IRM 建立具有受限制權限之文件或電子郵件訊息的功能:Office Professional Plus 2013以及獨立版本的 Excel 2013、Outlook 2013、PowerPoint 2013、InfoPath 2013 及 Word 2013。在 Office 2013 中所建立的 IRM 內容,可以在 Office 2007、Office 2010或 Office 2013 中加以檢視。 如需關於 Office 2013、Office 2010 和 Office 2007 中所支援的 IRM 與 Active Directory Rights Management Services (AD RMS) 功能的詳細資訊,請參閱<AD RMS 與 Microsoft Office 部署考量>。如需關於 IRM 和 Azure RMS 的資訊,請參閱<應用程式如何支援 Azure Rights Management>和<什麼是 Azure Rights Management>。 |
Office 2013 中的 IRM 支援可協助組織和知識工作者因應下列兩種基本需求:
**適用於敏感資訊的受限制權限:**IRM 可協助防止未經授權存取和重複使用敏感資訊。組織依賴防火牆、登入安全性相關的措施以及其他網路技術,協助保護敏感的智慧財產。使用這些技術的基本限制是,可以存取該資訊的合法使用者可以與未經授權的人員共用該資訊。這可能會違反安全性原則。
**資訊隱私權、控制和完整性:**資訊工作者經常會接觸到機密或敏感資訊。透過使用 IRM,員工不必依賴其他人的決定,即可確保敏感資訊會保留在公司內。IRM 可透過將使用受限制權限之文件和訊息中的轉寄、複製或列印功能予以停用,讓使用者無法對機密資訊執行這些動作。
對於資訊技術 (IT) 管理員而言,IRM 有助於施行與文件機密性、工作流程及電子郵件保留相關的現有公司原則。對於高階主管與安全性部門的主任而言,IRM 可以降低重要公司資訊落入不當人士手中 (不論是意外、無心或純屬惡意) 的風險。
IRM 在 Office 2013 中的運作方式
Office 使用者可透過使用 [檔案] 功能表中的選項對訊息或文件套用權限;例如,透過使用 [資訊] > [保護文件] 底下的 [限制存取] 命令。可用的保護選項取決於 [權限原則範本],而您可以為組織自訂此範本。權限原則範本是可供使用者套用到文件的 IRM 權限群組,並且會一起封裝在預先定義的原則中。Office 2013 也提供預先定義的 [不可轉寄] 選項,此選項可對電子郵件收件者授與特定權限。若要深入了解權限原則範本,請參閱設定 Azure Rights Management 的自訂範本。
| 附註: |
|---|
| 除了使用 [Office 檔案] 功能表中的選項,使用者也可以在安裝適用於 Windows 的 Rights Management 共用應用程式時,從 Office 功能區選取 [共用保護]。此應用程式也會啟用其他功能,例如用來追蹤共用文件使用情況的功能。如需詳細資訊,請參閱適用於 Windows 的 Rights Management 共用應用程式。 |
若要在 Office 2013 中以 IRM 保護文件,您必須擁有內部部署 AD RMS 伺服器或 Azure RMS 訂閱 (屬於 Office 365 一部分或屬於獨立服務)。
搭配使用 IRM 與 RMS 伺服器
若要在組織中啟用 IRM,您必須能夠存取執行 Active Directory Rights Management Services (AD RMS) (適用於 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2) 的電腦,或能夠存取具有 Azure RMS 訂閱的雲端租用戶。透過驗證 (通常是透過使用 Active Directory 網域服務 (AD DS) 或 Azure Active Directory),即可強制執行權限。
組織可以藉由建立權限原則範本,定義 Office 應用程式中會出現的權限原則。例如,您可以定義名為行銷機密的權限原則範本,以指定使用此原則的文件或電子郵件訊息只能由該部門內的使用者開啟。雖然可以建立的權限原則數目沒有限制,但 Office 一次最多只能顯示 20 個原則範本。Azure Rights Management 提供兩個預先定義的全組織範本,以供您加入自己的自訂範本,或者您也可以依您的需要停用這兩個範本。
| 附註: |
|---|
| SharePoint 可支援對文件庫中儲存的文件自動應用 IRM 原則。透過使用此選項,即可控制使用者從 SharePoint 中的文件庫開啟文件時,可在文件上執行的動作。相反地,若 IRM 套用至用戶端電腦上儲存的文件,則文件的擁有者可以選擇要將哪些權限指派給文件的每位使用者。如需關於如何將 IRM 搭配文件庫使用的詳細資訊,請參閱<文件庫規劃 (SharePoint Foundation 2010)>。 |
透過在 Windows Server 2008、Windows Server 2008 R2 和 Windows Server 2012 上使用 AD RMS,使用者可以在具有同盟信任關係的公司之間共用受權限保護的文件。如需詳細資訊,請參閱<Active Directory Rights Management Services 概觀和<同盟 AD RMS>。使用 Azure RMS 時會內建可在組織間安全地協同合作的功能,而且不需要您完成任何特殊設定。
雖然不需要在電子郵件伺服器中進行任何特殊設定,就能在 Outlook 2013 建立和使用受保護的電子郵件,但 Exchange Server 2013 有提供其他受 IRM 保護的電子郵件功能,包括適用於整合通訊語音信箱訊息的 RMS 保護,以及可以在 Outlook 2013 中的訊息離開 Outlook 用戶端之前,自動對訊息套用 IRM 保護的 Outlook 保護規則。此外,在 Exchange Server 中啟用 IRM 整合,可讓使用者在 Outlook Web App 和已啟用 Exchange ActiveSync IRM 功能的行動裝置中建立和使用受保護的電子郵件。如需詳細資訊,請參閱<Exchange 2013 的新功能>和<了解資訊版權管理>。
為 Office 2013 設定 IRM
將 IRM 權限套用至文件或電子郵件需要下列項目:
存取適用於 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012Windows Server 2012 R2 的 AD RMS 或存取 Azure Rights Management,以取得可供使用內容的授權。
Rights Management 用戶端軟體。此用戶端軟體隨附在 Windows Vista 和更新版本內。Rights Management 共用應用程式提供可增強 Office 中 IRM 功能的選擇性附加元件。
Microsoft Office 2007、Office 2010 或 Office 2013。只有特定版本的 Office 可讓使用者建立 IRM 權限。
設定 RMS 伺服器存取
AD RMS 和 Azure RMS 可管理授權和其他伺服器功能,若與 IRM 搭配使用,便可對用戶端應用程式 (如 Office 2013) 提供權限管理。啟用 RMS 的用戶端程式 (例如 Office 2013) 可讓使用者建立和檢視受權限保護的內容。
若要深入了解 RMS 的運作方式,以及如何安裝和設定 RMS 伺服器或啟用雲端型 Azure RMS,請參閱<Microsoft Rights Management Services 首頁>。
安裝版權管理用戶端軟體
RMS 用戶端軟體隨附在 Windows Vista、Windows 7、Windows 8 和 Windows 8.1 內。若要使用 RMS 共用應用程式啟用 Office 中的其他 IRM 功能,使用者可以自行安裝此軟體,或者可由系統管理員自動為使用者部署。
定義和部署 Office 2013 的權限原則範本
和 Office 2007 與 Office 2010 一樣,Office 2013 也有選項可讓使用者對文件和訊息套用個別權限,例如 Word 2013、Excel 2013 和 PowerPoint 2013 中的 [讀取] 和 [變更]。您可以在 Outlook 中使用 [不可轉寄] 選項,這個選項可讓您放心地共用電子郵件,只對郵件收件者授與有限的權限。您也可以為組織定義會自動部署至用戶端的自訂權限原則範本,讓使用者只要按一下就能加以套用。
您可以使用 RMS 或 AD RMS 伺服器上的管理網站,建立及管理權限原則範本。如需關於如何建立、設定及張貼自訂權限原則範本的詳細資訊,請參閱<建立與部署 Active Directory Rights Management Services 權限原則範本的逐步指南>。如需關於 Exchange Server 2010Outlook 保護規則的詳細資訊,請參閱<Outlook 保護規則>。
接下來幾節列出可加入 Office 2013 權限原則範本的權限。
IRM 權限
下表列出的每個 IRM 權限均可透過 Office 2013 應用程式強制執行,而這些應用程式已設定為與 Azure RMS 或 AD RMS 搭配使用。
IRM 權限
| IRM 權限 | 描述 |
|---|---|
完全控制 |
授與使用者此表中所列的每項權限,以及變更與內容相關聯的權限。具有「完全控制」的使用者不會套用到期時間。 |
檢視 |
允許使用者開啟 IRM 內容。此權限對應至 Office 2013 使用者介面中的「讀取權」。 |
編輯 |
允許使用者修改文件的內容。這包括在 Excel 中排序及篩選內容的能力。 |
儲存 |
允許使用者儲存檔案。 |
解壓縮 |
允許使用者複製檔案的任何部分,並將該部分的檔案貼到其他應用程式的工作區。 |
匯出 |
允許使用者使用 [另存新檔] 命令,以其他檔案格式儲存內容。根據使用所選檔案格式的應用程式之不同,可能會在不受保護的情況下儲存內容。 |
列印 |
允許使用者列印檔案內容。 |
允許巨集 |
允許使用者對檔案內容執行巨集,以及透過程式設計方式存取其他應用程式的內容和連結至跨工作表的內容。 |
轉寄 |
允許電子郵件收件者轉寄 IRM 電子郵件訊息,以及在 [收件者:] 和 [副本:] 行新增或移除收件者。此權限並不代表可以授與權限給其他使用者,即使使用者收到轉寄的內容,如果他未獲範本授與權限,就無法開啟內容。未在範本中授與此權限並不等於在 Outlook 中使用 [不可轉寄] 選項,因為該選項只會授與權限給電子郵件的 [收件者:] 和 [副本:] 行中指定的使用者。 |
回覆 |
允許電子郵件收件者回覆 IRM 電子郵件訊息。 |
全部回覆 |
允許電子郵件收件者回覆 IRM 電子郵件訊息 [收件者:] 和 [副本:] 行中的所有使用者。 |
檢視權限 |
給予使用者權限,以檢視與檔案相關聯的權限。Office 會忽略此權限。 |
預先定義的權限群組
Office 2013 會提供下列預先定義的權限群組,當使用者建立 IRM 內容時可從中選擇。Word 2013、Excel 2013 及 PowerPoint 2013 中的 [權限] 對話方塊中即提供這些選項。在 Office 應用程式中,依序選取 [檔案] 索引標籤、[資訊] 及 [保護文件] 按鈕,選取 [限制存取],然後從列出的權限原則範本中選擇 (這些選項是由 Rights Management 伺服器或服務填入) 或選擇 [限制存取] (此選項可供您為每一個使用者選擇其中一個預先定義的權限群組)。
預先定義的讀取/變更權限群組
| IRM 預先定義的群組 | 描述 |
|---|---|
讀取 |
具有「讀取」權限的使用者具有「檢視」權限。 |
變更 |
具有「變更」權限的使用者會具有「檢視」、「編輯」、「解壓縮」及「儲存」權限。 |
在 Outlook 2013 中,使用者可以在建立電子郵件項目時,選取下列預先定義的權限群組。若要從電子郵件項目存取選項,請依序選擇[檔案]、[資訊] 及 [設定權限]。接著,從列出的權限原則範本中選擇 (這些選項是由 Rights Management 伺服器或服務填入) 或選擇 [不可轉寄] (此選項會實作下列權限)。
預先定義的「不可轉寄」群組
| IRM 預先定義的群組 | 描述 |
|---|---|
不可轉寄 |
在 Outlook 中,電子郵件的 [不可轉寄] 選項會授與 [收件者:]、[副本:] 和 [密件副本:] 行上的使用者 [檢視]、[編輯]、[回覆] 及 [全部回覆] 權限。 |
進階權限
在 Word 2013 中,可以為文件的某些部分指定其他 IRM 權限。從 [資訊] > [保護文件],選擇 [限制編輯],然後選取 [更多使用者] 選項,來新增有權編輯文件指定區段的使用者。如需更多的限制選項,請選擇 [限制編輯] 面板底部的 [限制權限]。例如,使用者可以指定到期日、限制其他使用者列印或複製內容等等。
設定 Office 2013 的 IRM 設定
您可以藉由使用 Office 群組原則範本 (Office15.admx) 鎖定許多用來自訂 IRM 的設定。此群組原則範本可用來設定 Active Directory 中的群組原則物件,但請勿將它與本文中所說的權限原則範本混淆。您也可以使用 Office 自訂工具 (OCT) 來進行預設設定,這可讓使用者進行設定。此外,也有只能使用登錄機碼設定來設定的 IRM 組態選項。
Office 2013 IRM 設定
下表列出您可在群組原則中及使用 OCT 來針對 IRM 進行的設定。在群組原則中,這些設定位於「User Configuration\Administrative Templates\Microsoft Office 2013\Manage Restricted Permissions」下。 OCT 設定位於 OCT 之 [修改使用者設定] 頁面上的對應位置。
群組原則或 OCT 的 IRM 設定
| IRM 選項 | 描述 |
|---|---|
查詢群組擴充之單一項目的 Active Directory 逾時值 |
指定在擴充群組時查詢 Active Directory 項目的逾時值。 |
其他權限要求 URL |
指定使用者在使用此用戶端所保護的內容時,可供其取得如何存取 IRM 內容之詳細資訊的位置。 |
當限制文件的權限時,永遠在 Office 中展開群組 |
當使用者在 [權限] 對話方塊中選取群組名稱以便將權限套用至文件時,群組名稱會自動展開,以顯示所有的群組成員。 |
永遠要求使用者連線以驗證權限 |
開啟受版權管理之 Office 文件的使用者必須連線到 RMS 服務,透過取得新的 IRM 授權來驗證其仍有權使用內容。 |
當限制文件的權限時,永不允許使用者指定群組 |
會在使用者於 [權限] 對話方塊中選取群組時傳回錯誤:「您無法發佈內容至 [通訊群組清單]。您僅能指定個別使用者的電子郵件地址」。 |
防止使用者變更版權管理內容的權限 |
若啟用此項,使用者可以使用已包含 IRM 權限的內容,但無法將 IRM 權限套用至新內容,也無法設定文件上的版權。 |
關閉資訊版權管理使用者介面 |
停用所有 Office 應用程式之使用者介面內所有與版權管理相關的選項。 |
如需關於如何自訂這些設定的詳細資訊,請參閱<設定 Office 2013 的資訊版權管理>。
Office 2013 IRM 登錄機碼選項
下表列出您可以在登錄中針對 IRM 進行的設定。
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\15.0\Common\DRM。
IRM 登錄機碼選項
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
RequestPermission |
DWORD |
1 = 已核取方塊。 0 = 已清除方塊。 |
這個登錄機碼會切換 [使用者可從下列位置要求其他權限] 核取方塊的預設值。 |
DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Outlook 1 = 不使用 Outlook |
[權限] 對話方塊會使用 Outlook 來驗證在該對話方塊中輸入的電子郵件地址。這會造成 Outlook 執行個體在有權限限制的情況下啟動。使用這個機碼來停用選項。 |
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\15.0\Common\DRM\LicenseServers 中。沒有對應的群組原則設定。
授權伺服器的 IRM 登錄設定
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
LicenseServers |
機碼/登錄區。包含具有授權伺服器名稱的 DWORD 值。 |
設定為伺服器 URL。如果 DWORD 的值是 1,則 Office 不會顯示取得授權的提示,而是會自動取得授權。 如果值為零或者沒有任何適用於該伺服器的登錄項目,Office 便會顯示輸入授權的提示。 |
範例:如果 ‘https://contoso.com/_wmcs/licensing = 1’ 是此設定的值,則系統不會提示嘗試從該伺服器取得授權以開啟受版權管理文件的使用者輸入授權。這與使用者第一次使用內容時,選取要求不再收到通知的核取方塊之情形相同。 |
下列 IRM 登錄設定位於 HKCU\Software\Microsoft\Office\15.0\Common\Security 中。沒有對應的群組原則設定。
安全性的 IRM 登錄設定
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
DRMEncryptProperty |
DWORD |
1 = 已加密檔案中繼資料。 0 = 中繼資料會以純文字儲存。預設值為 0。 |
指定是否要加密受版權管理之文件內儲存的所有中繼資料。 |
加密中繼資料不相容於 Azure 資訊保護標籤。如果您使用這些標籤,請勿不值設定為 1。
針對 Open XML 格式 (例如,docx、xlsx、pptx 等),使用者可以決定要加密受版權管理之檔案內儲存的 Office 中繼資料,或讓中繼資料內容保持未加密狀態,以便其他應用程式 (例如 Windows 檔案伺服器中的 FCI 功能) 可以存取資料。
使用者可以選擇藉由設定登錄機碼來加密中繼資料。您可以透過部署登錄設定,為使用者設定預設選項。沒有任何選項可用於加密部分中繼資料:加密所有中繼資料或全部都不加密。
除此之外,DRMEncryptProperty 登錄設定不會決定是否要加密非 Office 用戶端中繼資料存放區,例如 SharePoint 2013 所建立的中繼資料。
設定 Outlook 2013 的 IRM 設定
在 Outlook 2013 中,使用者可以建立及傳送有權限限制的電子郵件訊息,以防郵件訊息被轉寄、列印或複製。若郵件訊息有權限限制,則附在該郵件訊息中的 Office 2013 文件、活頁簿及簡報也會自動受到限制。
身為 Outlook 管理員,您可以為 IRM 電子郵件設定數種選項,例如停用 IRM 或是設定本機授權快取。
設定受版權管理的電子郵件訊息時,下列 IRM 設定和功能會非常有用:
設定 IRM 的自動授權快取。
協助強制執行電子郵件訊息的到期時間。
不使用 Outlook 驗證電子郵件地址是否有 IRM 權限。
| 附註: |
|---|
| 若要停用 Outlook 中的 IRM,您必須停用所有 Office 應用程式的 IRM。沒有僅在 Outlook 中停用 IRM 的選項。 |
Outlook 2013 IRM 設定
您可以使用 Outlook 群組原則範本 (Outlk15.admx) 或是 Office 群組原則範本 (Office15.admx),鎖住大部分的設定,以便自訂 Outlook 的 IRM。您也可以使用 Office 自訂工具 (OCT) 設定大部分選項的預設設定,如此可讓使用者能設定這些設定。OCT 設定位於 OCT 之 [修改使用者設定] 頁面上的對應位置。
Outlook IRM 選項
| 位置 | IRM 選項 | 描述 |
|---|---|---|
Microsoft Outlook 2013\其他 |
在 Exchange 資料夾同步處理過程中不要下載 IRM 電子郵件的權限授權資訊。 |
防止在本機快取授權資訊。若啟用此項,使用者便必須連線到網路以擷取授權資訊,才能開啟受版權管理的電子郵件訊息。這不會影響伺服器上所執行的 Exchange 預先授權。 |
Microsoft Outlook 2010\Outlook 選項\ 電子郵件選項\ 進階電子郵件選項 |
傳送訊息時 |
若要強制執行電子郵件到期時間,請啟用並輸入訊息到期前的天數。只有當使用者傳送受版權管理的電子郵件時,才會強制執行到期時間,而到期後將無法存取該郵件。 |
如需關於如何自訂這些設定的詳細資訊,請參閱<設定 Office 2013 的資訊版權管理>。
Outlook 2013 IRM 登錄機碼選項
[權限] 對話方塊會使用 Outlook 來驗證在該對話方塊中輸入的電子郵件地址。這會造成 Outlook 執行個體在有權限限制的情況下啟動。您可以使用下表所列的登錄機碼停用此選項。此選項沒有對應的群組原則或 OCT 設定。
下列 IRM 登錄設定位於 HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\DRM。
Outlook IRM 登錄機碼選項
| 登錄項目 | 類型 | 值 | 描述 |
|---|---|---|---|
DoNotUseOutlookByDefault |
DWORD |
0 = 使用 Outlook 1 = 不使用 Outlook |
使用這個機碼來停用選項。 |
另請參閱
Active Directory Rights Management Services
了解資訊版權管理
規劃文件庫 (Windows SharePoint Services)